Lokální účty jsou účty vytvořené
v Administration Console nebo importované
z domény. Tyto účty jsou uloženy v konfigurační databázi
WinRoute (fyzicky v souboru
userDB.cfg
v instalačním adresáři
WinRoute). Tyto účty lze využít zejména v prostředích
bez domény a pro speciální účely (např. pro správu firewallu).
Nezávisle na tom, jak byl konkrétní účet vytvořen, může být každý uživatel ověřován v interní databázi WinRoute, v Active Directory nebo v doméně Windows NT.
Základní administrátorský účet se vytváří přímo během instalace WinRoute. Tento účet má plná práva pro správu WinRoute a může být odstraněn, pokud existuje alespoň jeden další účet s plnými právy ke správě.
Hesla ke všem uživatelským účtům by měla být důsledně uchovávána v tajnosti, aby nemohlo dojít k jejich zneužití neoprávněnou osobou.
Odstraníte-li poslední účet s plnými právy ke správě a
odhlásíte se z programu Administration Console,
nebude již možné se ke správě WinRoute přihlásit.
V takovém případě bude při dalším startu WinRoute Firewall
Engine automaticky vytvořen lokální uživatelský účet
Admin
s prázdný heslem.
V případě zapomenutí administrátorského hesla kontaktujte technickou podporu firmy Kerio Technologies (viz http://www.kerio.cz/).
Přepneme se do sekce Uživatelé a skupiny → Uživatelé, záložka Uživatelské účty. V položce Doména zvolíme Lokální databáze uživatelů.
Stisknutím tlačítka
se zobrazí průvodce vytvořením nového uživatelského účtu.Přihlašovací jméno uživatele.
V uživatelském jméně se nerozlišují malá a velká písmena. Nedoporučuje se používat v uživatelském jméně české znaky (tj. písmena s diakritikou) — mohlo by dojít k problémům s přihlašováním do WWW rozhraní a rozhraní SSL-VPN.
Plné jméno (typicky jméno a příjmení daného uživatele).
Textový popis uživatele (např. funkce).
Položky Celé jméno a Popis mají pouze informativní charakter. Mohou obsahovat libovolné informace nebo nemusejí být vyplněny vůbec.
E-mailová adresa uživatele pro zasílání výstrah (viz kapitola 19.4 Výstrahy) a dalších zpráv (např. varování o překročení limitu objemu přenesených dat). Pro efektivní využití všech funkcí WinRoute je třeba každému uživateli nastavit platnou e-mailovou adresu.
Poznámka: Pro zasílání e-mailových zpráv uživatelům musí být ve WinRoute nastaven server odchozí pošty. Podrobnosti naleznete v kapitole 18.3 Nastavení serveru odchozí pošty.
Způsob ověřování uživatele (viz dále).
Dočasné zrušení („vypnutí“) účtu bez nutnosti jej odstraňovat.
Poznámka: V průvodci pro vytvoření nového účtu lze tuto volbu využít např. pro vytvoření účtu uživateli, který jej nebude používat ihned (nový zaměstnanec, který dosud nenastoupil na své místo apod.).
Volba způsobu, jakým budou nastaveny parametry tohoto uživatelského účtu (přístupová práva, kvóty objemu přenesených dat a pravidla pro obsah WWW stránek). Tyto parametry mohou být definovány šablonou příslušné domény (viz kapitola 15.1 Zobrazení a definice uživatelských účtů) nebo nastaveny individuálně pro konkrétní účet.
Šablonu je vhodné použít pro „standardní“ účty v dané doméně (např. účty běžných uživatelů). Definice účtů se tím výrazně zjednoduší — průvodce vytvořením účtu bude zkrácen o 3 kroky.
Individuální nastavení je vhodné zejména pro účty se speciálními právy (např. účty pro správu WinRoute). Těchto účtů bývá zpravidla malý počet, a proto jejich vytvoření a individuální nastavení parametrů není příliš náročné.
Uživatel je ověřován pouze v rámci WinRoute. V tomto případě je potřeba zadat heslo do položek Heslo a Potvrzení hesla (své heslo pak může uživatel sám změnit pomocí WWW rozhraní — viz kapitola 11 WWW rozhraní).
Heslo smí obsahovat pouze tisknutelné znaky (písmena, číslice, interpunkční znaménka). V hesle se rozlišují malá a velká písmena. Nedoporučuje se používat v hesle české znaky (tj. písmena s diakritikou) — mohlo by dojít k problémům s přihlašováním do WWW rozhraní.
Při tomto způsobu ověřování uživatelů nelze použít automatické ověřování uživatelů metodou NTLM (viz kapitola 25.2 Automatické ověřování uživatelů pomocí NTLM). Tyto účty rovněž nelze použít pro přístup do rozhraní Clientless SSL-VPN (viz kapitola 24 Kerio Clientless SSL-VPN).
Uživatel bude ověřován v doméně Windows NT (Windows NT 4.0) nebo v Active Directory (Windows 2000/2003/2008).
Parametry pro ověřování uživatelů v doméně Windows NT a/nebo Active Directory je třeba nastavit v záložce Active Directory / NT doména sekce Uživatelé. Je-li nastaveno ověřování v Active Directory i v doméně Windows NT, pak má Active Directory přednost.
Poznámka: Nebude-li povoleno ověřování ani v Active Directory ani v NT doméně, pak budou uživatelské účty s tímto typem ověřování neaktivní. Podrobnosti viz kapitola 15.3 Lokální databáze uživatelů: externí ověřování a import účtů.
V tomto dialogu lze (tlačítky Uživatelé a skupiny → Skupiny — viz kapitola 15.5 Skupiny uživatelů). Při definici skupin lze stejným způsobem do skupin přidávat uživatele — nezáleží na tom, zda budou nejprve vytvořeny skupiny nebo uživatelské účty.
a ) přidat nebo odebrat skupiny, do kterých má být uživatel zařazen (skupiny se definují v sekciPři přidávání skupin lze označit více skupin najednou přidržením klávesy Ctrl nebo Shift.
Každý uživatel musí mít nastavenu jednu ze tří úrovní přístupových práv.
Uživatel nemá práva pro přihlášení ke správě WinRoute. Toto nastavení je typické pro většinu uživatelů — konfigurační úkony by měl provádět pouze jeden nebo několik správců.
Uživatel se může přihlásit ke správě WinRoute, může však pouze prohlížet nastavení a záznamy, nemá právo provádět žádné změny.
Uživatel má plná práva ke správě, je ekvivalentní uživateli
Admin
. Existuje-li alespoň jeden uživatel s těmito
právy, může být účet Admin
odstraněn.
Doplňková práva:
Tato volba umožňuje uživateli měnit osobní nastavení filtrování obsahu WWW stránek nezávisle na nastavení (podrobnosti viz Krok 5).
Po zaškrtnutí volby je uživateli povoleno jednorázově obejít zákaz přístupu na blokované WWW stránky — na stránce s informací o zákazu se tomuto uživateli zobrazí tlačítko Odemknout. Odemknutí musí být zároveň povoleno v příslušném pravidle pro URL (podrobnosti viz kapitola 12.2 Pravidla pro URL).
Pokud je připojení k Internetu realizováno vytáčenými linkami, uživatel bude moci tyto linky vytáčet a zavěšovat prostřednictvím WWW rozhraní firewallu (viz kapitola 11 WWW rozhraní).
Uživatel má právo připojit se k VPN serveru ve WinRoute (aplikací Kerio VPN Client). Podrobné informace naleznete v kapitole 23 Kerio VPN.
Tento uživatel bude moci přistupovat ke sdíleným souborů a složkám v lokální síti prostřednictvím webového rozhraní Clientless SSL-VPN. Podrobnosti viz kapitola 24 Kerio Clientless SSL-VPN.
Na tohoto uživatele nebude aplikováno blokování komunikace při detekci P2P (Peer-to-Peer) sítí. Podrobnosti viz kapitola 17.1 Detekce a blokování P2P sítí.
Tento uživatel bude mít přístup ke statistikám firewallu zobrazovaným ve WWW rozhraní (viz kapitola 11 WWW rozhraní).
Přístupová práva mohou být nastavena šablonou uživatelského účtu.
V tomto kroku průvodce lze nastavit denní a měsíční limit objemu dat přenesených daným uživatelem přes firewall a akce, které budou provedeny.
Nastavení denního, týdenního a měsíčního limitu objemu přenesených dat pro daného uživatele.
V položce Směr lze vybrat, jaký směr přenosu dat bude sledován (download — přijímaná data, upload — vysílaná data, download i upload — součet v obou směrech).
Do položky Kvóta je třeba zadat požadovaný limit ve vybraných jednotkách (megabyty nebo gigabyty).
Nastavení akcí, které mají být provedeny při překročení některého limitu:
Blokovat veškerou další komunikaci — uživatel bude moci dále komunikovat v rámci již otevřených spojení, nebude však moci navázat žádná nová spojení (tzn. např. připojit se na nový server, stáhnout další soubor v FTP relaci apod.).
Neblokovat další komunikaci (pouze omezit rychlost...) — uživateli bude omezena rychlost internetové komunikace (tzv. šířka pásma). Nic nebude blokováno, ale uživatel zaznamená výrazné zpomalení internetové komunikace (což by jej mělo přimět k omezení jeho aktivit). Podrobné informace viz kapitola 9 Omezování šířky pásma.
Zapnutím volby Při překročení kvóty upozornit uživatele e-mailem bude uživateli zasláno e-mailem varování při překročení některého z nastavených limitů. Podmínkou je, aby měl uživatel nastavenu platnou e-mailovou adresu (viz Krok 1 tohoto průvodce). Ve WinRoute musí být nastaven server odchozí pošty (viz kapitola 18.3 Nastavení serveru odchozí pošty).
Má-li být při překročení kvóty některým uživatelem varován také správce WinRoute, můžeme nastavit příslušnou výstrahu v sekci Konfigurace → Statistiky a záznamy. Podrobnosti naleznete v kapitole 19.4 Výstrahy.
Poznámka:
Je-li při překročení limitu zablokována komunikace, platí omezení až do konce příslušného období (tj. dne nebo měsíce). Zrušení omezení před skončením tohoto období je možné:
(dočasným) vypnutím příslušného limitu, zvýšením tohoto limitu nebo změnou akce na Neblokovat další komunikaci,
smazáním čítačů objemu přenesených dat příslušného uživatele (viz kapitola 20.1 Objem přenesených dat a využití kvóty).
Akce při překročení kvóty se neprovádějí, pokud je uživatel přihlášen přímo na firewallu. V takovém případě by totiž mohlo dojít k blokování komunikace firewallu a tím i všech uživatelů v lokální síti. Přenesená data se však do kvóty započítávají!
Kvóty objemu přenesených dat a odpovídající akce mohou být nastaveny šablonou uživatelského účtu.
V sekci Volby pro kontrolu obsahu WWW je možné provést specifické nastavení filtrování obsahu WWW stránek pro konkrétního uživatele. Výchozí nastavení (při definici nového uživatelského účtu) se přebírá z globálních pravidel (sekce Konfigurace → Filtrování obsahu → Pravidla pro HTTP, záložka Pravidla pro obsah). Podrobnosti viz kapitola 12.3 Globální pravidla pro prvky WWW stránek).
V sekci Jazykové volby lze nastavit preferovaný jazyk WWW rozhraní WinRoute (včetně rozhraní Kerio StaR). Volba podle prohlížeče znamená, že WinRoute detekuje nastavení preferovaných jazyků ve WWW prohlížeči uživatele a použije jazyk s nejvyšší preferencí, který má k dispozici. Není-li k dispozici žádný z preferovaných jazyků, bude použita angličtina.
V preferovaném jazyce rovněž firewall zasílá uživateli e-mailové výstrahy (upozornění na překročení kvóty objemu přenesených dat, nalezený virus a detekci P2P sítě). Je-li jazyk nastavován podle preferencí ve WWW prohlížeči, pak bude použit preferovaný jazyk uživatele při posledním přihlášení do WWW rozhraní. Pokud uživatel dosud s WWW rozhraním nepracoval, budou výstrahy zasílány v angličtině.
Poznámka: Tato nastavení si uživatel může sám měnit na příslušné stránce WWW rozhraní WinRoute (viz manuál Kerio WinRoute Firewall — Příručka uživatele). Má-li uživatel právo „přejít pravidla pro obsah WWW stránek“, může nastavení měnit libovolně. V opačném případě může povolovat nebo zakazovat pouze ty prvky, které má v nastavení uživatelského účtu povoleny. Nastavení jazyka lze měnit vždy (aktuální nastavení se pak promítne také do Administration Console).
Pravidla pro obsah WWW stránek mohou být nastavena šablonou uživatelského účtu.
Pokud uživatel pracuje na vyhrazeném počítači (tj. nesdílí počítač s jinými uživateli) a tento počítač má pevnou IP adresou (statickou nebo rezervovanou na DHCP serveru), pak může být daný uživatel z této IP adresy automaticky ověřován. V praxi to znamená, že při zachycení komunikaci z této IP adresy WinRoute předpokládá, že se jedná o aktivitu majitele příslušného počítače, a nevyžaduje ověření uživatele. Vše (tj. pravidla pro přístup, sledování statistik atd.) pak funguje stejně, jako kdyby se uživatel přihlásil k firewallu svým uživatelským jménem a heslem.
Z výše uvedeného popisu logicky vyplývá, že z konkrétní IP adresy může být automaticky ověřován nejvýše jeden uživatel. WinRoute při definici uživatelského účtu kontroluje, zda není zadaná IP adresa již použita pro automatické ověřování jiného uživatele.
Automatické ověřování uživatele lze nastavit buď z firewallu (tj. počítače, na kterém je WinRoute nainstalován) nebo z libovolného jiného počítače, případně více počítačů (např. pokud má uživatel kromě své pracovní stanice také notebook). Pro specifikaci více počítačů lze využít skupinu IP adres (viz kapitola 14.1 Skupiny IP adres).
Automatické přihlašování uživatelů představuje určité bezpečnostní riziko. Pokud k počítači, ze kterého je uživatel automaticky ověřován, získá přístup neoprávněná osoba, pak může na tomto počítači pracovat pod identitou automaticky ověřeného uživatele. Automatické ověřování by mělo být doplněno ochranou — typicky ověřováním uživatele při přístupu do systému.
Sekce Adresa VPN klienta umožňuje nastavit IP adresu, která bude vždy přidělována VPN klientovi tohoto uživatele. Tímto způsobem lze zajistit, že i při přístupu do lokální sítě prostřednictvím aplikace Kerio VPN Client bude mít uživatel pevnou IP adresu. Tuto adresu pak můžeme přidat do seznamu IP adres, ze kterých bude uživatel automaticky přihlašován.
Podrobné informace o proprietárním VPN řešení firmy Kerio Technologies naleznete v kapitole 23 Kerio VPN.