احراز هویت در کریو کنترل
احراز هویت در کریو کنترل، یکی از مهمترین قسمت ها در پیاده سازی کریو کنترل احراز هویت کاربران می باشد. پس از انجام تنظیمات ابتدایی در کریو کنترل باید روش هایی را به کار گرفت تا کاربران ملزم به احراز هویت در کریو شوند. چنانچه کاربر قبل از اینکه در کریو کنترل احراز هویت شود، به اینترنت دسترسی داشته باشد و از اینترنت استفاده نماید، تمامی Rule ها و سیاست هایی که درون کریو کنترل ایجاد شده، بر روی کاربر اعمال نخواهد شد و کاربر بدون هیچ محدودیتی مستقیم به اینترنت دسترسی خواهد داشت. در چنین شرایطی وجود کریو کنترل در شبکه بی اثر خواهد بود و هیچگونه مدیریتی روی کاربر شکل نخواهد گرفت. بنابراین احراز هویت و ملزم نمودن کاربران به احراز هویت در کریو کنترل امری اجتناب ناپذیر خواهد بود.
احراز هویت در کریو کنترل
فهرست مطالب
تنظیمات اولیه
در کریو کنترل روش های مختلفی جهت احراز هویت کاربران وجود دارد. اما تنظیماتی پایه ای در کریو کنترل باید انجام گیرد تا بتوان از روش های مختلف احراز هویت در کریو کنترل استفاده نمود. برای انجام تنظیمات اولیه می بایست گزینه Advanced Option را از منوی کنسول مدیریتی کریو کنترل انتخاب نماییم. در تب Web Interface تیک گزینه Use Specified hostname را فعال می نماییم تا بتوان یک اسم برای اتصال کاربران به پنل مربوط به Web interface کریو کنترل انتخاب کنیم و کاربران را از درگیر شدن با مباحث آدرس IP بی نیاز کنیم. چنانچه در شبکه از Domain استفاده می شود این نام را می توان بر اساس نام دامنه در نظر گرفت. اگر شبکه مورد نظر در حالت Workgroup است، می توان یک اسم پیش فرض مثل kerio.local را در نظر گرفت. پس از وارد نمودن اسم مورد نظر در قسمت Web Interface is accessible at یک آدرس ( https://kerio.local:4081/ ) را جهت دسترسی به پنل کریو نمایش خواهد داد.
اما همانطور که مشخص است یک نام در شبکه ایجاد نمودیم که همان kerio.local است اما برای اینکه دسترسی به این آدرس امکان پذیر باشد می بایست در DNS نیز یک رکورد برای این نام ایجاد نماییم. به این نکته دقت داشته باشید که همواره پیشنهاد می شود که DNS را روی خود کریو کنترل پیاده سازی نمایید. جهت ایجاد رکورد kerio.local درون DNS نیز باید روی گزینه DNS کلیک نموده و گزینه Edit در قسمت Host table را انتخاب نماییم. در پنجره باز شده، جهت ایجاد رکورد DNS روی گزینه Add کلیک نموده و آدرس IP کریو کنترل را وارد می نماییم و در قسمت Hostname اسم مورد نظر ( kerio.local ) را مقدار دهی می کنیم.
اکنون با استفاده از آدرس https://kerio.local:4081/ دسترسی به پنل مدیریتی کریو امکان پذیر خواهد بود. باید دقت داشت که DNS کلاینت های شبکه روی آدرس IP کریو کنترل تنظیم شده باشند و چنانچه از DHCP کریو در شبکه استفاده می شود حتما DNS Option روی آدرس IP کریو کنترل تنظیم گردد.
تظیمات Login
در مرحله بعدی باید تنظیمات مربوط به login کاربران انجام گیرد. به همین منظور روی گزینه Domains and user Login را از منوی کنسول مدیریتی کریو کنترل انتخاب می نماییم. در قسمت Web authentication می بایست تیک گزینه Always require users to be authenticated when accessing web pages را فعال کنیم تا هنگامی کاربران قصد دارند به وب سایت های اینترنتی دسترسی پیدا نمایند، ملزم به احراز هویت در کریو کنترل گردند.
تنظیمات Traffic Rules
در این مرحله باید تنظیماتی را در قسمت Traffic Rules ایجاد نماییم تا قانونی ایجاد کنیم که فقط کاربرانی که احراز هویت آن ها انجام شده امکان دسترسی به اینترنت را داشته باشند. در حالت پیش فرض یک Rule در کریو کنترل وجود دارد که به همه کاربران اجازه دسترسی بدون محدودیت به اینترنت را خواهد داد که این Rule به صورت زیر به صورت پیش فرض نوشته شده است:
در قدم اول باید با برداشتن تیک این Rule آن را غیر فعال و سپس دو Rule جدید را ایجاد نماییم. به همین منظور ما در ابتدایی ترین سطر Traffic Rules، دو Rule مورد نظر را ایجاد خواهیم نمود. در Rule اول باید اجازه دسترسی کاربران از طریق سرویس http و DNS به اینترنت را فعال نماییم. برای ایجاد قانون روی گزینه Add کلیک نموده و یک نام برای Rule انتخاب می کنیم.
در صفحه بعدی مبدا ترافیک را روی Any به صورت پیش فرض قرار داده و روی Next کلیک می نماییم.
در قست Destination با استفاده از گزیته Interfaces اینترفیس مربوط به اینترنت ( Internet Interfaces ) را انتخاب می نماییم .
نهایتا در قسمت Services باید فقط سرویس HTTP و سرویس DNS انتخاب گردد و سپس بر روی Finish کلیک می نماییم. کریو به صورت پیش فرض تمامی ترافیک های که به HTTP ارسال می شود را به login page خودش Redirect خواهد نمود.
پس از اضافه نمودن Rule مورد نظر در بالاترین سطر Traffic Rule به دلیل اینکه این قانون درمورد دسترسی به اینترنت است می بایست یک NAT نیز برای آن انجام گیرد. برای انجام این کار روی ستون translation در Rule ایجاد شده دوبار کلیک می کنیم و گزینه Enable Source NAT را فعال می نماییم.
در مرحله بعدی یک Rule در سطر پایین Rule قبل ایجاد نموده تا دسترسی به اینترنت فقط برای کاربران احراز هویت شده امکان پذیر باشد. برای ایجاد Rule مورد نظر روی گزینه Add کلیک می نماییم. و یک نام برای آن در نظر می گیریم. در قسمت Source این بار گزینه Any Authenticated User را انتخاب می نماییم.
Destination را مجدد روی Internet interfaces قرار می دهیم.
در قسمت Services بدون انتخاب گزینه ای در حالت Any بر روی Finish کلیک می نماییم.
نهایتا جهت فعال سازی NAT روی ستون translation در Rule ایجاد شده دوبار کلیک می کنیم و گزینه Enable Source NAT را فعال می نماییم. باید دقت داشت تا ترتیب Rule ها دقیقا به صورت گفته شده انجام گیرد در غیر این صورت احراز هویت کاربران امکان پذیر نخواهد بود. همچنین دو Rule ایجاد شده در جدول Traffic Rules به صورت زیر قابل مشاهده می باشد:
با بهره گیری از تنظیمات فوق اکنون در سمت کلاینت چنانچه آدرسی را Ping کنیم با Request timed out رو برو خواهیم شد و تا احراز هویت به کریو کنترل امکان دسترسی کاربر به اینترنت وجود نخواهد داشت.
چنانچه کاربر به صفحه مرورگر خود مراجعه کند در آن قسمت نیز با پیام You must log into this network before you can access the internet مواجه خواهد شد.
جهت دسترسی به اینترنت کاربر با کلیک بر روی Open network login page و یا وارد نمودن آدرس https://kerio.local:4081/ به صفحه login کریو کنترل هدایت می شود و با وارد نمودن نام کاربری و رمز عبور خود و احراز هویت در کریو کنترل به اینترنت دسترسی خواهد داشت.
نظرات کاربران