Доступ / Управление пользователями

Менеджер пользователей Traffic Inspector Next Generation позволяет управлять доступом как к различным частям (страницам) конфигуратора, так и к определённым сервисам на основе базы пользователей.

Аутентификация

Traffic Inspector Next Generation предоставляет интеграцию с внешними серверами для сервисов, которые требуют аутентификации пользователя. Эти сервисы включают в себя:

• IPsec

• OpenVPN

• Captive Portal

• Веб-прокси

Интегрированными в Traffic Inspector Next Generation являются Локальная база данных пользователей и Сервер сертификатов. Последний предназначен для использования в Captive portal.

Поддерживаются следующие внешние сервисы:

• LDAP

• Radius

Авторизация

Помимо аутентификации, авторизацию пользователей для доступа к страницам конфигуратора, можно настроить при помощи внешнего сервера. Для предоставления соответствующих привилегий пользователям, они должны существовать в локальном менеджере пользователей. Таким образом, можно проверить пользователя по его внешнему паролю и получить тонкий контроль над страницами конфигурации, к которым пользователь может получить доступ.

Примечание

Так как локальные пользователи являются пользователями системы (BSD), схема их именования должна удовлетворять требованиям FreeBSD по длине (33 символа) и допустимым символам.

Пользователи, группы и привилегии

Когда используется локальный менеджер пользователей, отдельно или в сочетании с внешним сервером аутентификации, можно создать группы - для объединения набора привилегий для определённой группы пользователей. Пользователь должен быть отдельным, а группы должна быть определена таким образом, чтобы у всех её участников были одинаковые права доступа, называемые привилегиями.

Службы аутентификации

Службы аутентификации можно настроить на странице Система ‣ Доступ ‣ Серверы. Сюда входят как локальные учётные записи, так и удалённая аутентификация.

По умолчанию, для входа в графический интерфейс Traffic Inspector Next Generation используются локальные учётные записи. Это можно изменить, перейдя в раздел Система ‣ Настройки ‣ Администрирование, прокрутив страницу вниз до группы «Аутентификация» и изменив настройку «Сервер».

Конфигурирование локальных учётных записей

Параметры для управления входом при помощи локальных аккаунтов можно установить на странице Система ‣ Доступ ‣ Серверы, нажав на значок карандаша (кнопка Редактировать) для Локальной базы данных. Можно повысить безопасность учётных записей пользователей, установив ограничения политики паролей на длину и сложность.

Доступные настройки:

Политика	Включение ограничений политики паролей, делает доступными последующие настройки.
Продолжительность	[Политика] Продолжительность действия пароля: определяет, как часто пользователь должен менять свой пароль.
Длина	[Политика] Задаёт минимальную длину пароля (по умолчанию: 8).
Сложность	[Политика] Включение проверки пароля на соответствие правилам сложности.

Совет

При использовании одноразовых паролей в сочетании с локальной базой, применяются те же ограничения политики, что и при настройке в разделе «Локальная база данных».

Настройки доступа

• Пользователи и группы
• Доступ/Серверы/LDAP
• Доступ/Серверы/Radius
• Двухфакторная аутентификация
  • Настройка 2FA TOTP и Google Authenticator

Примечание

При использовании внешних сервисов аутентификации (например, ldap), брандмауэру для правильной работы необходим маршрут к настроенной целевой машине. В частности, когда сервер доступен только через классический IPsec-туннель (не VTI), может потребоваться статический маршрут, чтобы направить пакеты в нужный туннель, соответствующий политике. Например, если существует политика для LAN, добавьте шлюз, указывающий на наш собственный адрес, и статический маршрут, направляющий трафик на другой конец.

Быстрый тест для проверки правильности настроек маршрутов всегда можно сделать с помощью ping, с адреса источника по умолчанию.