18. Настройка Telnet proxy

В этой главе показано, как настраивать Telnet proxy для аутентификации пользователей.

Что такое Telnet proxy ?

Telnet proxy - это специальная программа межсетевого экрана Aker, предназначенная для работы с Telnet протоколом, который используется для эмуляции удаленного терминала. Его основная функция состоит в том, чтобы обеспечить аутентификацию на уровне пользователя для Telnet соединений. Это позволяет обеспечить большую гибкость и высокий уровень безопасности.
 
Telnet proxy относятся к категории прозрачных proxy (смотрите главу Работа с proxy серверами ), и потому ни сервер, ни клиент не должны знать о его существовании.

Использование Telnet proxy

Чтобы использовать Telnet proxy, необходимо выполнить следующие шаги:

1. Создать контекст ( как это сделать, объяснено в следующем разделе).
2. Зарегистрировать сервис, пакеты которого будет перенаправлены Telnet proxy, используя контекст, созданный на предыдущем шаге  (см. главу Регистрация объектов ).
3. Добавить правило фильтрации для этого сервиса для необходимых сетей и хостов (см. главу Пакетный фильтр с контролем состояния).

Теперь, когда Telnet сессия удовлетворяет созданному правилу, межсетевой экран запрашивает идентификатор пользователя и пароль. Если идентификатор и пароль введены правильно и пользователю разрешен доступ, сессия будет установлен. В противном случае пользователю сообщается об ошибке и сессия заканчивается.

18.1 Использование графического интерфейса пользователя

Для доступа к окну настройки Telnet proxy выполните следующие действия:

• Выберите меню Proxy в главном окне
• Выберите опцию Telnet

Окно контекстов Telnet

Окно контекстов содержит все Telnet контексты, определенные в межсетевом экране. Оно состоит из списка, в котором каждый контекст показан на отдельной строке.

• Кнопка OK закрывает окно контекстов.
• Кнопка Help показывает окно помощи по данному разделу.
• Полоса прокрутки справа используется для просмотра контекстов, которые не уместились в окне.

Для выполнения любого действия на конкретном контексте, нажмите правой клавишей мыши на контексте. Откроется следующее меню (Это меню появляется всегда при нажатии правой клавишей мыши, даже если нет выделенных контекстов. В этом случае будут доступны только опции Add и Paste.)

• Add: Эта опция позволяет дополнить список новым контекстом. Если выделен какой-либо контекст, новый вставляется на место выделенного контекста. Во всех прочих случаях новый контекст добавляется в конец списка.
• Delete: Эта опция удаляет выделенный контекст из списка.
• Edit: Эта опция открывает окно свойств для выделенного контекста.
• Copy: Эта опция копирует выделенный контекст в буфер.
• Cut: Эта опция удаляет выделенный контекст из списка и копирует его буфер.
• Paste: Эта опция копирует контекст из буфера в список. Если контекст выделен, новый будет помещен на место выделенного контекста, если нет, он будет помещен в конец списка.

Указание: Ко всем этим опциям можно получить доступ через инструментальное меню, расположенное в верхней части окна. В этом случае сначала выделите контекст, нажав на нем левой клавишей мыши, а затем выберите необходимую опцию. В случае добавления или редактирования контекстов будет открыто описанное ниже окно свойств:

Окно свойств контекстов Telnet

В окне свойств можно настроить все параметры конкретного контекста. Окно состоит из следующих полей:

Name: Имя, которое идентифицирует контекст. Это имя будет показано в списке контекстов и в окне редактирования сервисов при создании сервиса, пакеты которого перенаправляются Telnet proxy. Не может быть двух контекстов с одинаковыми именами.

Maximum number of simultaneous sessions: Это поле определяет максимальное число Telnet сессий для данного контекста. Если число открытых сессий достигает этого предела, пользователи, пытающиеся установить новые соединения, будут информированы о том, что достигнут предел и что им следует возобновить попытки позднее.

Allowed only with a valid reverse DNS: Если эта опция установлена, будут приниматься соединения только от хостов, для которых описано обратное преобразование в системе доменных имен (DNS).

Idle timeout: Этот параметр определяет максимальное время в секундах, в течение которого proxy остаются в активном состоянии при отсутствии передачи через них данных.

Это значение должно быть меньше или равно тому значению, которое задается в поле TCP Timeout в глобальных параметрах настройки (смотрите главу Настройка параметров системы ).

Default permission: Это поле определяет, какое действие будет применено ко всем тем пользователям, кто не принадлежит к какой-либо из групп из разрешающего доступ списка. Значение accept позволяет установить Telnet соединение, а значение reject нет.

Permissions list: В этом списке описывается пользователи или группы пользователей, которым разрешен доступ.

Для выполнения действий с пользователем или группой в списке нажмите на соответствующем пользователе (или на группе) правой клавишей мыши. Появится следующее меню (Это меню появляется каждый раз, если нажать правую клавишу мыши, даже когда не выделен пользователь или группа. При этом доступны только опции Add и Paste)

• Add: Эта опция позволяет добавить нового пользователя или группу в список. Если выделен какой-либо пользователь (или группа), новый будет вставлен на место выделенного. Во всех прочих случаях новый пользователь (или группа) будут добавлены в конец списка.
• Edit: Эта опция позволяет модификацию полномочия на доступ для пользователя (или группы).
• Delete: Эта опция удаляет выделенного пользователя (или группу) из списка.

Совет: Ко всем этим опциям можно получить доступ через инструментальную полоску, расположенную справа над списком. В этом случае сначала выделите пользователя (или группу), нажав на нем левой клавишей мыши, а затем нажмите необходимую опцию.

! Порядок расположения пользователей и групп в списке полномочий очень важен. При аутентификации пользователя межсетевой экран просматривает список с самого начала в поисках имени пользователя или группы, к которой он принадлежит. Как только оно будет найдено, начинает использоваться связанные с ним полномочия.

Для изменения позиции пользователя или группы в списке, сделайте следующее:

1. Выберите перемещаемого пользователя или группу.
2. Нажмите одну из кнопок в форме стрелки справа от списка. Кнопка со стрелкой вверх переместит выделенного пользователя или группу на одну позицию вверх, а кнопка со стрелкой вниз - на одну позицию вниз.

При добавлении пользователей или группы откроется следующее окно:

Окно добавления пользователя или группы

Окно добавления определяет полномочия на доступ для пользователя или группы у конкретного аутентификатора. Для его определения необходимо сделать следующее:

1. Выбрать аутентификатор, с которого вы хотите получить список пользователей или групп, нажав левой клавишей мыши на его имени в верхнем списке окна (Если необходимого аутентификатора нет в списке, нужно добавить его в список аутентификаторов. Подробно этот вопрос рассмотрен в главе Настройка параметров аутентификации .)
2. Выбрать между списками пользователей и групп, нажав соответствующую кнопку, расположенную между двумя списками
3. Нажать левой клавишей мыши на имени добавляемого пользователя или группы в нижнем списке окна.
4. Определить права на доступ для пользователя или группы, выбрав между значениями accept (которое позволяет установить соединение) или reject (которое запрещает установление соединения).
5. Нажать кнопку OK , которая закрывает окно и добавляет пользователя или группу в список.

Назад | Содержание | Вперед