|
Авторизация |
  
|
|
Авторизация |
|
Авторизация - это решение задачи, чей это трафик. В программе поддерживаются следующие типы авторизации:
| • | По сетевым адресам: IP, MAC, IP + MAC, диапазон IP-адресов. |
| • | По имени. |
| • | По e-mail адресу получателя: используется в SMTP-шлюзе для учета почтового трафика клиента (смотрите далее). |
При авторизации по сетевым адресам клиент всегда считается авторизованным, т.к. его адреса заранее известны. Этот тип авторизации наиболее подходит, например, к серверам.
При авторизации по имени клиент должен пройти аутентификацию.
Трафик в программе снимается двумя способами: с сетевого драйвера и прокси-сервера (HTTP и SOCKS). При соединении клиента с прокси-сервером через HTTP-прокси или SOCKS версии 5 используется аутентификация в рамках сетевого протокола. В трафике, снятом с драйвера, никакой аутентификации не подразумевается - в этом случае для авторизации могут использоваться только сетевые адреса - IP и MAC.
Для реализации возможности авторизации по имени для любого трафика применяется принцип сквозной авторизации. Из чего следует, что если с какого-то IP-адреса клиент прошел процедуру аутентификации, то в дальнейшем весь трафик с этого IP-адреса уже относится к данному клиенту. Состояние авторизации клиента будет удерживаться некоторое время - в течение заданного в настройках тайм-аута или пока не закроются все TCP-соединения HTTP прокси-сервера или SOCKS.
Для более общего случая работы клиента предусмотрена отдельная программа - клиентский агент. Агент запускается на компьютере клиента, производит аутентификацию с сервером программы, и после этого весь трафик с IP-адреса клиента считается авторизованным.
Агент может работать по протоколам:
| • | UDP с сервером авторизации. Используется порт 999. Сервер авторизации доступен на всех IP-адресах внутренних интерфейсов. |
| • | HTTP/SSL, c использованием встроенного веб-сервера. Подробности смотрите в разделе, где он описан. |
Можно пройти авторизацию с помощью функции API, с возможным использованием сторонними приложениями.
При авторизации по имени допустима аутентификация:
| • | Встроенная учетная запись: имя и пароль задаются в программе. При аутентификации агентом по UDP данные шифруются, но для HTTP (без SSL) и SOCKS5 пароли передаются открытым текстом - тип аутентификации BASIC. Клиенту может быть предоставлено право самому менять пароль через агента. |
| • | Интегрированная Windows-аутентификация: применяются встроенные учетные записи Windows или Active Directory. Поддерживается работа с несколькими доменами. При аутентификации агентом используется NTLM, а для HTTP - как NTLM, так и BASIC. |
Вариант авторизации по имени наиболее предпочтителен, т.к. позволяет вести учет, в каком случае несколько пользователей работают на одном компьютере, а в каком - пользователь может работать на разных компьютерах. Это типичная ситуация при работе в сети предприятия.
Для провайдера при подключении клиентов к сети Интернет (например, домовой сети) также рекомендуется авторизация по имени, т.к. IP-адрес или MAC очень легко подделать. Предпочтительней обратиться к агенту - он для аутентификации использует методы криптозащиты. С целью лучшей защищенности предусмотрена возможность запретить аутентификацию открытыми паролями через прокси, встроенный веб-сервер или SOCKS.
Авторизация по имени подразумевает работу одновременно только с одного IP-адреса. Попытка войти под именем клиента, который уже работает, с другого IP-адреса, будет пресечена.
Также недопустима авторизация нескольких клиентов с одного IP-адреса - нарушается принцип сквозной авторизации. Хотя в некоторых случаях это может потребоваться: например, при работе нескольких клиентов с сервера терминалов. Для такого случая предусмотрен запрет сквозной авторизации с определенных IP-адресов. В этом режиме возможна работа только через HTTP-прокси и SOCKS с обязательной аутентификацией в каждой HTTP-(SOCKS-)сессии.
Ограничения авторизации и контроль политики
При авторизации по имени можно задать ограничения:
| • | IP-адрес или диапазон адресов, с которых допускается авторизация. |
| • | MAC-адрес. |
| • | VLAN Id. |
Может быть включен контроль политики авторизации - будут фиксироваться все попытки авторизации при несовпадении сетевых адресов, заданных в параметрах авторизации клиента. Эти события фиксируются в логах программы, администратор может быть оповещен по электронной почте, а подробные данные учитываются в отдельной сетевой статистике.
В качестве предупреждающей меры клиент может быть автоматически заблокирован на заданное время.
Если у клиента в параметрах авторизации прописан MAC- и IP-адрес, то может быть включено назначение статических ARP-записей в стеке TCP/IP системы. В таком случае служба программы сама создает и ведет ARP-таблицу системы. Эта мера ускоряет работу сети, т.к. системе не надо рассылать ARP-запросы, а также значительно повышает безопасность сети в целом.
Программа отслеживает появление клиентов с параметрами авторизации, которые дублируют друг друга. Такое возможно при ошибках администратора, что позволяет исключить различные коллизии. Если авторизация по имени, то отслеживается уникальность имени; если авторизация по сетевым адресам, то по ним. Уникальность не отслеживается для клиентов в состоянии "запрещен", что позволяет держать в списке несколько клиентов одинаковыми параметрами авторизации, но работа разрешена будет только одному.
Автоматическое добавление клиентов
Для клиентов Windows может быть использована функция автоматического добавления клиентов в программу. Эта возможность упрощает труд администратора программы при большом количестве клиентов. Заменяет инструменты импорта клиентов из Windows, делая эту задачу более удобной. Подробнее функция описана в разделе настроек клиентов.
Текущая страница справки: http://help.smart-soft.ru/doc20/index.html?howworkauth.htm