Squid, BorderManager и другое.

Для любителей просто поболтать

Squid, BorderManager и другое.

Сообщение Андрей Добров » 07 фев 2014, 15:52

Если кому интересно по FortiGATE.

Пару лет назад приобрели железку из 60 серии.
И так особенности.
1. SSO с eDirectory работает. Имеется агент под Win32 который мониторит eDirectory на предмет регистрации и раз регистрации пользователей. Агент может работать в двух режимах режимах Native и LDAP, т.е. с установленной клиентской частью от Novеll, или без оной. Данные от агента читает коробка от FortiNET.
2. Уже два раза меняли флеш внутри коробки. При появлении проблем с флеш - жизнь в коробке тормозиться без божно.
3. Лицензирования. Это песня. Если Вам продали коробку которая пролежала у продавца больше полугода - вы не имеется прав на тех.поддержку но имеете возможность на долгую переписку. Если Вы не оплатили в течении 60 дней подписку - Вы лишаетесь тех.поддержки. Если железка выйдет из строя в течении года(к примеру блок питания выносной с очень необычным штекером) можете курить бамбук больше месяца. Что значит Вы лишаетесь тех.поддержки это любые обновления оси внутри коробки или к примеру новые релизы агента eDirectory - Вам не доступны. Т.е. покупаете и работаете в режиме как есть.
4. При размере канала интернет 10 Мб стала явно не комфортно. Процессор стоит на пике 80-100%. И это пользователей меньше сотни.
5. Если сейчас рассматривал - то может релиз для виртулки. Вопрос в цене. А так приходиться вторую держать на полке.

Этак коротенько.
Андрей Добров
 
Сообщения: 229
Зарегистрирован: 03 авг 2003, 21:27
Откуда: Железнодорожный,Регион 50

Re: Squid, BorderManager и другое.

Сообщение Dimerson » 10 фев 2014, 05:55

Ну от 60 сложно хотеть большего. 525 Mhz cpu, 512 Ram. Старшие модельки там поинтереснее.

Вы скажите как в работе SSO ?
Аватара пользователя
Dimerson
 
Сообщения: 2791
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: Squid, BorderManager и другое.

Сообщение Андрей Добров » 17 фев 2014, 18:19

Dimerson писал(а):Ну от 60 сложно хотеть большего. 525 Mhz cpu, 512 Ram. Старшие модельки там поинтереснее.

Вы скажите как в работе SSO ?


Работает. Но очень особенно.

Этапы
1. Устанавливаем агент FSSO на компьютер с виндой.
2. Настраиваем агент на доступ в eDirecory.
3. Выбираем в агенте группы eDirectory члены которой будут в определении прав доступа в Интернет.
4. Настраиваем саму коробку на работу с агентом FSSO
5. Выбираем группы с которыми будем работать. Будут видны только те что выбраны в агенте FSSO.
6. Назначаем объектам FortiGATE(т.е. группам авторизации самого FortiGATE) группы из eDirectory. Я создаю группы в FortiGATE такие же по названию как и в eDirecory чтоб не путаться.
7. Создаем политики доступа/работы в Интернет в которых можем создавать правила в которых может использоваться авторизация от FSSO.

Т.е. железка напрямую не лазиет в eDirecory. Если у Вас в сети будет более чем 1 агент FSSO, то надо производить изменения везде. Ни какой автоматизации.

Может именно такая архитектура позволяет стабильно работать SSO, в плане ложных срабатываний. В логах на железке видно когда регистрируется пользователь, так же и когда происходит раз регистрация. Особенно интересно как железка отслеживает последнее.
Андрей Добров
 
Сообщения: 229
Зарегистрирован: 03 авг 2003, 21:27
Откуда: Железнодорожный,Регион 50


Вернуться в Флейм

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron