зачем нужен check point identity agent в принципе? кто знает
Для аутентификации пользователя на МСЭ
- -Подумал и добавил - -
Множество методов идентификации пользователей
Программный блейд Identity Awareness обеспечивает множество методов, чтобы подтвердить идентичность пользователя, включая AD Query, подтверждение в браузере или установку агента. Информация об идентичности может быть использована соответствующими программными блейдами, чтобы применить политики безопасности для пользователей.
AD Query
Легко внедряемый метод сбора информации об идентичности без установки агента. Он основан на интеграции с Active Directory и полностью прозрачен для пользователя.
Аутентификация через браузер
Определяет удостоверения от неидентифицированных пользователей. Вы можете настроить эти методы:
- Captive Portal — простой метод аутентификации пользователей в веб-интерфейсе перед тем, как они получат доступ к интернет-ресурсам. Когда пользователи пытаются получить доступ к защищенным ресурсам, они видят веб-страницу, которую необходимо заполнить.
- Прозрачная аутентификация по протоколу Kerberos — браузер пытается аутентифицировать пользователя незаметно, получая информацию об идентичности перед тем, как открывается Captive Portal с необходимостью ввода имени пользователя и пароля. Когда эта опция настроена, Captive Portal запрашивает аутентификационную информацию из браузера. Если аутентификация прошла успешно, пользователь получает доступ. Если попытка не удается, пользователь должен ввести свои данные на Captive Portal.
Агенты
Есть два типа агентов для определения идентичности:
- Агент на конечном устройстве — клиент устанавливается непосредственно на компьютерах пользователей. Он собирает и передает информацию о проверках на шлюзы безопасности.
- Агент на серверах Terminal — агент устанавливается на сервере, на котором размещены сервисы Citrix/Terminal. Он идентифицирует отдельных пользователей, заходящих под одним IP-адресом.
Использование агента позволяет вам:
- Идентифицировать пользователя и устройства.
- Беспокоить пользователя минимальным образом — необходимые настройки выполняются администратором и не требуют действий пользователя.
- Бесшовное соединение — незаметная аутентификация с помощью единого входа Kerberos (Kerberos Single Sign-On), во время которой пользователи залогиниваются в домене. Если вы не хотите использовать Kerberos Single Sign-On, вы можете сделать так, чтобы пользователи вводили данные вручную. Эти данные можно запомнить.
- Связь через роуминг — пользователи автоматически идентифицируются, когда они передвигаются между сетями, так как клиент определяет передвижение и переподключение.
- Дополнительная безопасность — вы можете использовать запатентованную технологию, чтобы предотвратить IP-спуфинг.
Учет в протоколе RADIUS
Эта опция позволяет идентифицировать данные из учетных запросов RADIUS, которые генерируются клиентом учета RADIUS. Программный блейд использует данные этих запросов, чтобы получать информацию о пользователе и устройстве от сервера LDAP.
Удаленный доступ (VPN SSO)
Удостоверения проверяются для клиентов мобильного доступа IPSec VPN , когда происходит настройка работы в офисном режиме и когда они соединяются со шлюзом безопасности.
Подробнее
https://www.checkpoint.com/ru/products/identity-awareness-software-blade/
Обмен данными о проверке идентичности
Идентификационная информация может быть легко распространена, если требуется, на единый шлюз безопасности или на целую сеть. Там, где применяется множество шлюзов (когда существуют филиалы или шлюзы защищают внутренние ресурсы), идентичность может проверяться на одном шлюзе и распространяться на другие. Преимущества этого решения:
- Однократная аутентификация — данные проверки личности пользователя распространяются по отдельным шлюзам безопасности, позволяя пользователям получать доступ к нужным ресурсам всюду в их сети.
- Снижает нагрузку на сеть.
- Упрощает выполнение операций на серверах Active Directory и их синхронизацию.