15.2  Lokální uživatelské účty

Lokální účty jsou účty vytvořené v Administration Console nebo importované z domény. Tyto účty jsou uloženy v konfigurační databázi WinRoute (fyzicky v souboru userDB.cfg v instalačním adresáři WinRoute). Tyto účty lze využít zejména v prostředích bez domény a pro speciální účely (např. pro správu firewallu).

Nezávisle na tom, jak byl konkrétní účet vytvořen, může být každý uživatel ověřován v interní databázi WinRoute, v Active Directory nebo v doméně Windows NT.

Základní administrátorský účet se vytváří přímo během instalace WinRoute. Tento účet má plná práva pro správu WinRoute a může být odstraněn, pokud existuje alespoň jeden další účet s plnými právy ke správě.

Upozornění

  1. Hesla ke všem uživatelským účtům by měla být důsledně uchovávána v tajnosti, aby nemohlo dojít k jejich zneužití neoprávněnou osobou.

  2. Odstraníte-li poslední účet s plnými právy ke správě a odhlásíte se z programu Administration Console, nebude již možné se ke správě WinRoute přihlásit. V takovém případě bude při dalším startu WinRoute Firewall Engine automaticky vytvořen lokální uživatelský účet Admin s prázdný heslem.

  3. V případě zapomenutí administrátorského hesla kontaktujte technickou podporu firmy Kerio Technologies (viz http://www.kerio.cz/).

Vytvoření lokálního uživatelského účtu

Přepneme se do sekce Uživatelé a skupiny → Uživatelé, záložka Uživatelské účty. V položce Doména zvolíme Lokální databáze uživatelů.

Lokální uživatelské účty ve WinRoute

Obrázek 15.2. Lokální uživatelské účty ve WinRoute


Stisknutím tlačítka Přidat se zobrazí průvodce vytvořením nového uživatelského účtu.

Krok 1 — základní údaje

Vytvoření uživatelského účtu — základní parametry

Obrázek 15.3. Vytvoření uživatelského účtu — základní parametry


Jméno

Přihlašovací jméno uživatele.

Upozornění

V uživatelském jméně se nerozlišují malá a velká písmena. Nedoporučuje se používat v uživatelském jméně české znaky (tj. písmena s diakritikou) — mohlo by dojít k problémům s přihlašováním do WWW rozhraní a rozhraní SSL-VPN.

Celé jméno

Plné jméno (typicky jméno a příjmení daného uživatele).

Popis

Textový popis uživatele (např. funkce).

Položky Celé jméno a Popis mají pouze informativní charakter. Mohou obsahovat libovolné informace nebo nemusejí být vyplněny vůbec.

E-mailová adresa

E-mailová adresa uživatele pro zasílání výstrah (viz kapitola 19.4  Výstrahy) a dalších zpráv (např. varování o překročení limitu objemu přenesených dat). Pro efektivní využití všech funkcí WinRoute je třeba každému uživateli nastavit platnou e-mailovou adresu.

Poznámka: Pro zasílání e-mailových zpráv uživatelům musí být ve WinRoute nastaven server odchozí pošty. Podrobnosti naleznete v kapitole 18.3  Nastavení serveru odchozí pošty.

Ověřování

Způsob ověřování uživatele (viz dále).

Účet je zablokován

Dočasné zrušení („vypnutí“) účtu bez nutnosti jej odstraňovat.

Poznámka: V průvodci pro vytvoření nového účtu lze tuto volbu využít např. pro vytvoření účtu uživateli, který jej nebude používat ihned (nový zaměstnanec, který dosud nenastoupil na své místo apod.).

Šablona domény

Volba způsobu, jakým budou nastaveny parametry tohoto uživatelského účtu (přístupová práva, kvóty objemu přenesených dat a pravidla pro obsah WWW stránek). Tyto parametry mohou být definovány šablonou příslušné domény (viz kapitola 15.1  Zobrazení a definice uživatelských účtů) nebo nastaveny individuálně pro konkrétní účet.

Šablonu je vhodné použít pro „standardní“ účty v dané doméně (např. účty běžných uživatelů). Definice účtů se tím výrazně zjednoduší — průvodce vytvořením účtu bude zkrácen o 3 kroky.

Individuální nastavení je vhodné zejména pro účty se speciálními právy (např. účty pro správu WinRoute). Těchto účtů bývá zpravidla malý počet, a proto jejich vytvoření a individuální nastavení parametrů není příliš náročné.

Možné způsoby ověřování:

Interní databáze uživatelů

Uživatel je ověřován pouze v rámci WinRoute. V tomto případě je potřeba zadat heslo do položek Heslo a Potvrzení hesla (své heslo pak může uživatel sám změnit pomocí WWW rozhraní — viz kapitola 11  WWW rozhraní).

Upozornění

  1. Heslo smí obsahovat pouze tisknutelné znaky (písmena, číslice, interpunkční znaménka). V hesle se rozlišují malá a velká písmena. Nedoporučuje se používat v hesle české znaky (tj. písmena s diakritikou) — mohlo by dojít k problémům s přihlašováním do WWW rozhraní.

  2. Při tomto způsobu ověřování uživatelů nelze použít automatické ověřování uživatelů metodou NTLM (viz kapitola 25.2  Automatické ověřování uživatelů pomocí NTLM). Tyto účty rovněž nelze použít pro přístup do rozhraní Clientless SSL-VPN (viz kapitola 24  Kerio Clientless SSL-VPN).

NT doména / Kerberos 5

Uživatel bude ověřován v doméně Windows NT (Windows NT 4.0) nebo v Active Directory (Windows 2000/2003/2008).

Parametry pro ověřování uživatelů v doméně Windows NT a/nebo Active Directory je třeba nastavit v záložce Active Directory / NT doména sekce Uživatelé. Je-li nastaveno ověřování v Active Directory i v doméně Windows NT, pak má Active Directory přednost.

Poznámka: Nebude-li povoleno ověřování ani v Active Directory ani v NT doméně, pak budou uživatelské účty s tímto typem ověřování neaktivní. Podrobnosti viz kapitola 15.3  Lokální databáze uživatelů: externí ověřování a import účtů.

Krok 2 — skupiny

Vytvoření uživatelského účtu — skupiny

Obrázek 15.4. Vytvoření uživatelského účtu — skupiny


V tomto dialogu lze (tlačítky Přidat a Odebrat) přidat nebo odebrat skupiny, do kterých má být uživatel zařazen (skupiny se definují v sekci Uživatelé a skupiny → Skupiny — viz kapitola 15.5  Skupiny uživatelů). Při definici skupin lze stejným způsobem do skupin přidávat uživatele — nezáleží na tom, zda budou nejprve vytvořeny skupiny nebo uživatelské účty.

Tip

Při přidávání skupin lze označit více skupin najednou přidržením klávesy Ctrl nebo Shift.

Krok 3 — přístupová práva

Vytvoření uživatelského účtu — uživatelská práva

Obrázek 15.5. Vytvoření uživatelského účtu — uživatelská práva


Každý uživatel musí mít nastavenu jednu ze tří úrovní přístupových práv.

Nemá přístup ke správě

Uživatel nemá práva pro přihlášení ke správě WinRoute. Toto nastavení je typické pro většinu uživatelů — konfigurační úkony by měl provádět pouze jeden nebo několik správců.

Přístup pouze pro čtení

Uživatel se může přihlásit ke správě WinRoute, může však pouze prohlížet nastavení a záznamy, nemá právo provádět žádné změny.

Přístup pro čtení i zápis

Uživatel má plná práva ke správě, je ekvivalentní uživateli Admin. Existuje-li alespoň jeden uživatel s těmito právy, může být účet Admin odstraněn.

Doplňková práva:

Uživatel má právo přejít pravidla...

Tato volba umožňuje uživateli měnit osobní nastavení filtrování obsahu WWW stránek nezávisle na nastavení (podrobnosti viz Krok 5).

Uživatel může „odemykat“ pravidla pro URL

Po zaškrtnutí volby je uživateli povoleno jednorázově obejít zákaz přístupu na blokované WWW stránky — na stránce s informací o zákazu se tomuto uživateli zobrazí tlačítko Odemknout. Odemknutí musí být zároveň povoleno v příslušném pravidle pro URL (podrobnosti viz kapitola 12.2  Pravidla pro URL).

Uživatel může vytáčet připojení RAS

Pokud je připojení k Internetu realizováno vytáčenými linkami, uživatel bude moci tyto linky vytáčet a zavěšovat prostřednictvím WWW rozhraní firewallu (viz kapitola 11  WWW rozhraní).

Uživatel se může připojovat k VPN serveru

Uživatel má právo připojit se k VPN serveru ve WinRoute (aplikací Kerio VPN Client). Podrobné informace naleznete v kapitole 23  Kerio VPN.

Uživatel může používat rozhraní Clientless SSL-VPN

Tento uživatel bude moci přistupovat ke sdíleným souborů a složkám v lokální síti prostřednictvím webového rozhraní Clientless SSL-VPN. Podrobnosti viz kapitola 24  Kerio Clientless SSL-VPN.

Uživatel může používat P2P sítě

Na tohoto uživatele nebude aplikováno blokování komunikace při detekci P2P (Peer-to-Peer) sítí. Podrobnosti viz kapitola 17.1  Detekce a blokování P2P sítí.

Uživatel má právo prohlížet statistiky

Tento uživatel bude mít přístup ke statistikám firewallu zobrazovaným ve WWW rozhraní (viz kapitola 11  WWW rozhraní).

Tip

Přístupová práva mohou být nastavena šablonou uživatelského účtu.

Krok 4 — kvóta objemu přenesených dat

Vytvoření uživatelského účtu — kvóta objemu dat

Obrázek 15.6. Vytvoření uživatelského účtu — kvóta objemu dat


V tomto kroku průvodce lze nastavit denní a měsíční limit objemu dat přenesených daným uživatelem přes firewall a akce, které budou provedeny.

Kvóta objemu přenesených dat

Nastavení denního, týdenního a měsíčního limitu objemu přenesených dat pro daného uživatele.

V položce Směr lze vybrat, jaký směr přenosu dat bude sledován (download — přijímaná data, upload — vysílaná data, download i upload — součet v obou směrech).

Do položky Kvóta je třeba zadat požadovaný limit ve vybraných jednotkách (megabyty nebo gigabyty).

Akce při překročení kvóty

Nastavení akcí, které mají být provedeny při překročení některého limitu:

  • Blokovat veškerou další komunikaci — uživatel bude moci dále komunikovat v rámci již otevřených spojení, nebude však moci navázat žádná nová spojení (tzn. např. připojit se na nový server, stáhnout další soubor v FTP relaci apod.).

  • Neblokovat další komunikaci (pouze omezit rychlost...) — uživateli bude omezena rychlost internetové komunikace (tzv. šířka pásma). Nic nebude blokováno, ale uživatel zaznamená výrazné zpomalení internetové komunikace (což by jej mělo přimět k omezení jeho aktivit). Podrobné informace viz kapitola 9  Omezování šířky pásma.

Zapnutím volby Při překročení kvóty upozornit uživatele e-mailem bude uživateli zasláno e-mailem varování při překročení některého z nastavených limitů. Podmínkou je, aby měl uživatel nastavenu platnou e-mailovou adresu (viz Krok 1 tohoto průvodce). Ve WinRoute musí být nastaven server odchozí pošty (viz kapitola 18.3  Nastavení serveru odchozí pošty).

Má-li být při překročení kvóty některým uživatelem varován také správce WinRoute, můžeme nastavit příslušnou výstrahu v sekci Konfigurace → Statistiky a záznamy. Podrobnosti naleznete v kapitole 19.4  Výstrahy.

Poznámka:

  1. Je-li při překročení limitu zablokována komunikace, platí omezení až do konce příslušného období (tj. dne nebo měsíce). Zrušení omezení před skončením tohoto období je možné:

    • (dočasným) vypnutím příslušného limitu, zvýšením tohoto limitu nebo změnou akce na Neblokovat další komunikaci,

    • smazáním čítačů objemu přenesených dat příslušného uživatele (viz kapitola 20.1  Objem přenesených dat a využití kvóty).

  2. Akce při překročení kvóty se neprovádějí, pokud je uživatel přihlášen přímo na firewallu. V takovém případě by totiž mohlo dojít k blokování komunikace firewallu a tím i všech uživatelů v lokální síti. Přenesená data se však do kvóty započítávají!

Tip

Kvóty objemu přenesených dat a odpovídající akce mohou být nastaveny šablonou uživatelského účtu.

Krok 5 — pravidla pro obsah WWW stránek a preferovaný jazyk

Vytvoření uživatelského účtu — pravidla pro obsah WWW stránek

Obrázek 15.7. Vytvoření uživatelského účtu — pravidla pro obsah WWW stránek


V sekci Volby pro kontrolu obsahu WWW je možné provést specifické nastavení filtrování obsahu WWW stránek pro konkrétního uživatele. Výchozí nastavení (při definici nového uživatelského účtu) se přebírá z globálních pravidel (sekce Konfigurace → Filtrování obsahu → Pravidla pro HTTP, záložka Pravidla pro obsah). Podrobnosti viz kapitola 12.3  Globální pravidla pro prvky WWW stránek).

V sekci Jazykové volby lze nastavit preferovaný jazyk WWW rozhraní WinRoute (včetně rozhraní Kerio StaR). Volba podle prohlížeče znamená, že WinRoute detekuje nastavení preferovaných jazyků ve WWW prohlížeči uživatele a použije jazyk s nejvyšší preferencí, který má k dispozici. Není-li k dispozici žádný z preferovaných jazyků, bude použita angličtina.

V preferovaném jazyce rovněž firewall zasílá uživateli e-mailové výstrahy (upozornění na překročení kvóty objemu přenesených dat, nalezený virus a detekci P2P sítě). Je-li jazyk nastavován podle preferencí ve WWW prohlížeči, pak bude použit preferovaný jazyk uživatele při posledním přihlášení do WWW rozhraní. Pokud uživatel dosud s WWW rozhraním nepracoval, budou výstrahy zasílány v angličtině.

Poznámka: Tato nastavení si uživatel může sám měnit na příslušné stránce WWW rozhraní WinRoute (viz manuál Kerio WinRoute Firewall — Příručka uživatele). Má-li uživatel právo „přejít pravidla pro obsah WWW stránek“, může nastavení měnit libovolně. V opačném případě může povolovat nebo zakazovat pouze ty prvky, které má v nastavení uživatelského účtu povoleny. Nastavení jazyka lze měnit vždy (aktuální nastavení se pak promítne také do Administration Console).

Tip

Pravidla pro obsah WWW stránek mohou být nastavena šablonou uživatelského účtu.

Krok 6 — IP adresy uživatele

Vytvoření uživatelského účtu — IP adresy pro automatické přihlašování a VPN klienta

Obrázek 15.8. Vytvoření uživatelského účtu — IP adresy pro automatické přihlašování a VPN klienta


Pokud uživatel pracuje na vyhrazeném počítači (tj. nesdílí počítač s jinými uživateli) a tento počítač má pevnou IP adresou (statickou nebo rezervovanou na DHCP serveru), pak může být daný uživatel z této IP adresy automaticky ověřován. V praxi to znamená, že při zachycení komunikaci z této IP adresy WinRoute předpokládá, že se jedná o aktivitu majitele příslušného počítače, a nevyžaduje ověření uživatele. Vše (tj. pravidla pro přístup, sledování statistik atd.) pak funguje stejně, jako kdyby se uživatel přihlásil k firewallu svým uživatelským jménem a heslem.

Z výše uvedeného popisu logicky vyplývá, že z konkrétní IP adresy může být automaticky ověřován nejvýše jeden uživatel. WinRoute při definici uživatelského účtu kontroluje, zda není zadaná IP adresa již použita pro automatické ověřování jiného uživatele.

Automatické ověřování uživatele lze nastavit buď z firewallu (tj. počítače, na kterém je WinRoute nainstalován) nebo z libovolného jiného počítače, případně více počítačů (např. pokud má uživatel kromě své pracovní stanice také notebook). Pro specifikaci více počítačů lze využít skupinu IP adres (viz kapitola 14.1  Skupiny IP adres).

Upozornění

Automatické přihlašování uživatelů představuje určité bezpečnostní riziko. Pokud k počítači, ze kterého je uživatel automaticky ověřován, získá přístup neoprávněná osoba, pak může na tomto počítači pracovat pod identitou automaticky ověřeného uživatele. Automatické ověřování by mělo být doplněno ochranou — typicky ověřováním uživatele při přístupu do systému.

Sekce Adresa VPN klienta umožňuje nastavit IP adresu, která bude vždy přidělována VPN klientovi tohoto uživatele. Tímto způsobem lze zajistit, že i při přístupu do lokální sítě prostřednictvím aplikace Kerio VPN Client bude mít uživatel pevnou IP adresu. Tuto adresu pak můžeme přidat do seznamu IP adres, ze kterých bude uživatel automaticky přihlašován.

Podrobné informace o proprietárním VPN řešení firmy Kerio Technologies naleznete v kapitole 23  Kerio VPN.

Úprava uživatelského účtu

Tlačítko Změnit otevírá dialog pro změnu parametrů uživatelského účtu. Tento dialog obsahuje výše popsané části průvodce vytvořením účtu, uspořádané do záložek v jednom okně.