22.03.2012
Kukus
BSI
Lab 5
Pytania z wejściówki:
1. SSO – wyjaśnić co to jest
2. Wymienić serwery autentykacji
3. Podać 2 adresy ip firewall’a
Zadania do wykonania
Ustawianie użytkowników: BSK1, BSK2
BSK1 – WWW (tylko jemu)
BSK2 – FTP (tylko on)
GRUPA_BSK – SSH (grupa użytkowników)
Przekierować na www.pk.edu.pl
Zabronić wielokrotnego logowania (usuwanie sesji/zabronienie wielokrotnego logowania) –
przetestować obie opcje
Zmienić czas wygaśnięcia
Przetestować całość
Router – adres zewnętrzny i wewnętrzny
Dla ułatwienia oznaczmy sobie urządzenia:
Dodawanie nowych użytkowników/grup
1. Z Policy Manager’a wybieramy:
Setup -> Authentication -> Authentication Servers
2. Pojawiło się okienko (zauważcie, że kryje ono odpowiedź na pytanie o serwery autoryzacji):
Aby dodać użytkownika, w polu „Users” klikamy ADD.
Pojawiło się nowe okienko, do którego wprowadzamy potrzebne informacje (takie, jak
nazwę, czy hasło użyszkodnika):
Klikamy OK
3. Dodawanie grup jest podobne – w polu USER GROUPS klikamy ADD i wprowadzamy dane do
okienka. Możemy też dodać istniejących użytkowników do danej grupy:
4. Dodaj potrzebne polityki (HTTP, DNS, SSH, FTP). W polach „from” wystarczy jedynie dać
odpowiedniego usera lub grupę. Nie ma co dokładniej tego tłumaczyć, gdyż to powinno być
raczej intuicyjne.
5. Zapisz do firewall’a
6. Przetestujmy, czy wszystko działa. W przeglądarkę wpisujemy https://192.168.<nr>.1:4100.
Zostaniemy poproszeni o dodanie wyjątku bezpieczeństwa, co oczywiście robimy. Pojawia się
okno menu z logowaniem. Zauważyć można, że logując się jako BSK1 mamy Internet, a jako
BSK2 – nie mamy. Czyli logowanie działa poprawnie.
UWAGA! Logując się jako BSK2 w momencie, gdy zalogowany jest BSK1 automatycznie
wylogujemy tego pierwszego. Zawsze jednak warto wpierw siebie wylogować.
Utworzenie strony domyślnej
1. Z Policy Manager’a wybieramy:
Setup -> Authentication -> Authentication Settings
2. Pojawiło się okno opcji – ustawiamy ptaszka „send a redirect” i wpisujemy adres strony, na
którą nastąpi przekierowanie:
Klikamy OK i po sprawie.
Zabronienie wielokrotnego logowania
1. Wchodzimy do Authentication Settings
2. W odpowiednim polu:
Wybieramy „limit users to a single login session”.
Lista rozwijana:
1-wsza opcja powoduje odmówienie zalogowania – w momencie, kiedy zalogowany
jest inny użytkownik
2-ga opcja powoduje automatyczne wylogowanie użytkownika w razie zalogowania
przez innego
3. Ustawiamy zmianę czasu wygaśnięcia:
Logowanie do fireboxa kolegi
Załóżmy, że mamy komputer numer 9 i 10 i z komputera 10 chce się zalogować na 9
(przeglądanie łączy z komputera numer 10):
1. Dodajemy dwie polityki: WGA Any to any