FAAS - Frontgate Advanced Authorization Server
Aktuální verze: 1.9.32 (vydáno 20.3.2012)
FAAS: stručný popis
FAAS je síťový identity management software, který sleduje vztah síťové adresy a uživatele. Tyto informace jsou postupovány firewallu (Fortigate, Mikrotik)
Firewall je tak zásoben objekty, které odkazují na jména uživatelů a skupiny objektů, které reprezentují skupiny uživatelů. Tyto informace jsou konzultovány a upravovány např. z MS Active Directory.Změny v přihlášení a změny skupin jsou automaticky monitorovány a objekty jsou občerstvovány.
Spolehlivost produktu je produkčně vyzkoušena a nečiní mu problém nasazení v síti s >300 přihlášenými uživateli najednou. FAAS při jednoduchém deploymentu (jeden agent, kolektor a autentikátor) škáluje až k 2500 souběžně přihlášeným uživatelům.
Proč jej nasadit?
FAAS dramatickým způsobem usnadňuje management pravidel na firewallu. Pokud použijete FAAS, můžete pracovat s uživateli a s jejich skupinami jako s objekty. Druhotně tak odpadá složitý proces DHCP rezervací a statických konfigurací IP adres u koncových PC a následné udržování konzistence objektů firewallu s reálným stavem v LAN. Síťovým administrátorům odpadá zbytečná manuální práce a mohou se věnovat se jiným věcem.
Požadavky pro běh
Systém je zpravidla instalován na Linux server jako binární balík. Ke svému běhu potřebuje:
- LDAP s databází uživatelů
- Instalaci agenta sludujícího přihlášené uživatele
- Pochopitelně podporovaný firewall
Jak to funguje?
Systém je rozdělen do tří vrstev: Agent, Kolektor, Autentikátor. Každá vrstva zpracovává jiné informace a může běžet na jiném serveru.
Agent sleduje přihlášené uživatele k jedné službě, např. k SAMBA sdílení. tyto informace jsou pak postoupeny na Kolektor. Agentů může ve vaší síti běžet více, lze tak sledovat více služeb najednou. Agenti monitorují v aktuální verzi tyto služby:
- SAMBA a UNIX servery (podpora regexp výstupů z příkazů)
- RADIUS Authentication, Accounting (login pomocí RADIUS proti LDAP databázi), sledování user session pomocí Accountingu (nezávislé na průběhu autorizace, která může být oddělená)
Kolektor shromažďuje informace z agentů. Provádí kontroly členství v LDAP skupinách a další testy. Výsledky vyhodnocuje a následně předává instrukce Autentikátorům.
- spolupráce s Fortinet FSSO kolektorem (spojíte tak heterogenní sítě dohromady)
- multi-service login: uživatel je monitorován z pohledu více síťových služeb (např. RADIUS + SAMBA)
- LDAP user a group refresh
Autentikátor komunikuje s firewallem, a informace z kolektoru mu prezentuje jeho řečí. Např. pomocí FSSO protokolu, nebo API výrobce.
- firewally Fortinet, verze 4.0MR1 a novější, pomocí protokolu FSSO (FortiOS 4.0MR3 patch 3 je plně podporován)
- routery Mikrotik RouterOS 4.0 a nověší, pomocí API
Rozšíření spolupracuje s kolektorem a rozšiřuje/upravuje informace o uživatelích, případně může upravovat platnost údajů.
- L2 monitor: sleduje aktivity ARP, DHCP a ostatních protokolů. Změny v LAN prostředí upřesňují a zneplatňují zastaralé informace kolektoru. Zatím ve stadiu Beta.
- Propojení s RFID čtečkami. Stadium Alfa.
Licencování
Frontgate je softwarový projekt společnosti Netlancers s.r.o. zahrnující vydané, i zatím nevydané spolupracující produkty (zatím jen FAAS).