Captive portal에서 특정 사용자가 다수의 사용자 그룹에 멤버로 포함된 경우 인증방식이 일반적인 VPN 인증 방식과는 조금 다르게 적용된다.
먼저 SSLVPN의 경우를 살펴보면, 사용자가 인증을 받으면 해당 사용자가 포함된 모든 그룹의 정책이 적용된다,
아래 처럼 "willy"라는 사용자가 "eBT_Sales"와 "Admin_group"에 포함되어 있는 예를 살펴 보겠다.
방화벽 정책에서는 각 그룹별로 다르게 정책이 적용되어 있다.
"willy" 라는 사용자가 SSLVPN에 로그인하게 되면, 정책은 사용자 그룹별로 분리되었지만 각 사용자 그룹에 "willy"가 포함되어 있으므로 ICMP와 HTTPS 접속은 허용된다.
"Dashboard > Users & Devices > Firewall Users" 에서 인증받은 현황을 보면, "willy"가 포함된 모든 User Group을 보여준다.
동일한 상황에서 Captive Portal은 다르게 동작한다.
아래 처럼 인터페이스에 'Restricted Group' 으로 하나의 특정 그룹만 지정한다면, 해당 그룹에만 인증이 적용된다. 'willy'는 "eBT_Sales"와 "Admin_group"에 포함되어 있지만, "Admin_group"으로 설정된 정책은 인증받지않은 사용자가된다.
방화벽 정책에서 아래와 같이 그룹별로 다르게 정책을 적용하여 "willy" 로 인증받으면, "eBT_Sales"가 적용된 HTTP는 허용되지만 "Admin_group"가 적용된 HTTPS는 차단된다.
"Dashboard > Users & Devices > Firewall Users" 에서 인증받은 현황을 보면, "willy"가 인증받은 "eBT_Sales" 그룹만 표시된다.
Captive Portal에서 사용자 그룹별로 세분화된 정책을 적용하고 싶으면 방법은 2가지이다.
첫번째, Captive Portal 설정에서 'User groups' 항목에 모든 그룹을 다 포함시키는 것이다.
두번째는 'User access' 항목을 "Allow all" 로 적용하고, 방화벽 정책에서 세분화된 그룹별 정책을 적용하면 된다.
'FortiGate > Authentication' 카테고리의 다른 글
Captive portal 사용자 인증후 웹 페이지가 접속 안되는 경우 (0) | 2021.05.20 |
---|---|
크롬계열 브라우저에서 Captive portal 인증 timeout 문제 (0) | 2021.05.07 |
Fortigate Ldap Common Name Identifier 설정 CN, sAMAccountName 차이 (0) | 2021.03.03 |
3rd party Radius 서버와 연결 안되는 경우 (0) | 2020.12.31 |
Remote 인증서버를 사용할때 Local admin 계정 접속 제한 (0) | 2020.12.30 |
댓글