FAAS - Frontgate Advanced Authorization Server

Aktuální verze: 1.9.32 (vydáno 20.3.2012)

FAAS: stručný popis

FAAS je síťový identity management software, který sleduje vztah síťové adresy a uživatele.  Tyto informace jsou postupovány firewallu (Fortigate, Mikrotik)

Firewall je tak zásoben objekty, které odkazují na jména uživatelů a skupiny objektů, které reprezentují skupiny uživatelů. Tyto informace jsou konzultovány a upravovány např. z MS Active Directory.Změny v přihlášení a změny skupin jsou automaticky monitorovány a objekty jsou občerstvovány.

Spolehlivost produktu je produkčně vyzkoušena a nečiní mu problém nasazení v síti s >300 přihlášenými uživateli najednou. FAAS při jednoduchém deploymentu (jeden agent, kolektor a autentikátor) škáluje až k 2500 souběžně přihlášeným uživatelům.

Proč jej nasadit?

FAAS dramatickým způsobem usnadňuje management pravidel na firewallu. Pokud použijete FAAS, můžete pracovat s uživateli a s jejich skupinami jako s objekty. Druhotně tak odpadá složitý proces DHCP rezervací a statických konfigurací IP adres u koncových PC a následné udržování konzistence objektů firewallu s reálným stavem v LAN. Síťovým administrátorům odpadá zbytečná manuální práce a mohou se věnovat se jiným věcem.

 

Požadavky pro běh

Systém je zpravidla instalován na Linux server jako binární balík. Ke svému běhu potřebuje:

  •    LDAP s databází uživatelů
  •    Instalaci agenta sludujícího přihlášené uživatele
  •    Pochopitelně podporovaný firewall

Jak to funguje?

Systém je rozdělen do tří vrstev: Agent, Kolektor, Autentikátor. Každá vrstva zpracovává jiné informace a může běžet na jiném serveru.

Agent sleduje přihlášené uživatele k jedné službě, např. k SAMBA sdílení. tyto informace jsou pak postoupeny na Kolektor. Agentů může ve vaší síti běžet více, lze tak sledovat více služeb najednou. Agenti monitorují v aktuální verzi tyto služby:

  • SAMBA UNIX servery (podpora regexp výstupů z příkazů)
  • RADIUS Authentication, Accounting (login pomocí RADIUS proti LDAP databázi), sledování user session pomocí Accountingu (nezávislé na průběhu autorizace, která může být oddělená)

Kolektor shromažďuje informace z agentů. Provádí kontroly členství v LDAP skupinách a další testy. Výsledky vyhodnocuje a následně předává instrukce Autentikátorům.

  • spolupráce s Fortinet FSSO kolektorem (spojíte tak heterogenní sítě dohromady)
  • multi-service login: uživatel je monitorován z pohledu více síťových služeb (např. RADIUS + SAMBA)
  • LDAP user a group refresh

Autentikátor komunikuje s firewallem, a informace z kolektoru mu prezentuje jeho řečí. Např. pomocí FSSO protokolu, nebo API výrobce.

  • firewally Fortinet, verze 4.0MR1 a novější, pomocí protokolu FSSO (FortiOS 4.0MR3 patch 3 je plně podporován)
  • routery Mikrotik RouterOS 4.0 a nověší, pomocí API

Rozšíření spolupracuje s kolektorem a rozšiřuje/upravuje informace o uživatelích, případně může upravovat platnost údajů.

  • L2 monitor: sleduje aktivity ARP, DHCP a ostatních protokolů. Změny v LAN prostředí upřesňují a zneplatňují zastaralé informace kolektoru. Zatím ve stadiu Beta.
  • Propojení s RFID čtečkami. Stadium Alfa.

Licencování

Produkt lze zakoupit přímo od nás. Součástí základní licence je jeden kolektor pro maximálních N souběžně přihlášených uživatelů, a neomezený počet a typ autentikátorů a agentů, pokud není výslovně uvedeno jinak. Vrstva rozšíření  je licencována zvlášť.
Beta komponenty nejsou k dispozici v základním balíku a je nutné požádat o speciální build.
 
 

Frontgate je softwarový projekt společnosti Netlancers s.r.o. zahrnující vydané, i zatím nevydané spolupracující produkty (zatím jen FAAS).