7.6  Použití uživatelských účtů a skupin v komunikačních pravidlech

V komunikačních pravidlech lze jako zdroj (případně cíl) použít také uživatelské účty a/nebo skupiny uživatelů. Uživatelský účet má v pravidle význam IP adresy počítače, ze kterého je uživatel přihlášen. Pravidlo se tedy uplatní pouze v případě, že je uživatel na firewallu ověřen (po odhlášení uživatele je pravidlo opět neplatné). V této kapitole popisujeme aspekty, které mohou vzniknout při použití uživatelských účtů v komunikačních pravidlech, a řešení těchto problémů.

Poznámka: Podrobné informace o definici komunikačních pravidel viz kapitola 7.3  Definice vlastních komunikačních pravidel.

Povolení přístupu do Internetu vybraným uživatelům

Požadavkem je povolit přístup do Internetu (ke všem službám) pouze vybraným uživatelům. Předpokládejme, že se jedná o privátní lokální síť a přístup do Internetu je realizován pomocí technologie NAT. Pak stačí příslušné uživatele uvést v položce Zdroj pravidla pro překlad adres.

Komunikační pravidlo povolující přístup do Internetu pouze vybraným uživatelům

Obrázek 7.34. Komunikační pravidlo povolující přístup do Internetu pouze vybraným uživatelům


Takto definované pravidlo povolí přístup do Internetu vyjmenovaným uživatelům, pokud budou na firewallu ověřeni. Tito uživatelé však budou muset ručně otevřít přihlašovací stránku WWW rozhraní WinRoute a přihlásit se (podrobnosti viz kapitola 10.1  Ověřování uživatelů na firewallu).

S takto definovaným pravidlem však budou neúčinné všechny metody automatického ověřování (tj. přesměrování na přihlašovací stránku, NTLM ověřování a automatické přihlášení z definovaných počítačů). Automatické ověření (resp. přesměrování na přihlašovací stránku) se totiž provádí až v okamžiku navazování spojení do Internetu (z důvodu sledování využití licence — viz kapitola 4.6  Kontrola počtu uživatelů). Toto pravidlo pro překlad adres však nepovolí navázat spojení dříve, než je příslušný uživatel ověřen.

Povolení automatického ověřování

Problém s automatickým ověřováním uživatelů můžeme snadno vyřešit následujícím způsobem:

  • Nad pravidlo pro překlad IP adres přidáme pravidlo povolující přístup ke službě HTTP bez omezení.

    Komunikační pravidla umožňující automatické přesměrování na přihlašovací stránku

    Obrázek 7.35. Komunikační pravidla umožňující automatické přesměrování na přihlašovací stránku


  • V pravidlech pro URL (viz kapitola 12.2  Pravidla pro URL) povolíme přístup ke všem WWW stránkám vybraným uživatelům a zakážeme přístup všem ostatním uživatelům.

    Pravidla pro URL umožňující přístup ke všem WWW stránkám pouze vybraným uživatelům

    Obrázek 7.36. Pravidla pro URL umožňující přístup ke všem WWW stránkám pouze vybraným uživatelům


Pokud uživatel nebude dosud ověřen a pokusí se přistoupit na nějakou WWW stránku, bude automaticky přesměrován na přihlašovací stránku (příp. ověřen pomocí NTLM nebo automaticky přihlášen z příslušného počítače). Po úspěšném ověření bude uživatelům uvedeným v pravidle NAT (viz obrázek 7.35  Komunikační pravidla umožňující automatické přesměrování na přihlašovací stránku) povolen přístup i k ostatním službám v Internetu. Neověřeným uživatelům a ostatním uživatelům, kteří nejsou v pravidlech uvedeni, bude zakázán přístup na všechny WWW stránky a všechny ostatní služby v Internetu.

Poznámka: V tomto příkladu předpokládáme, že klientské počítače využívají DNS forwarder ve WinRoute, případně DNS server v lokální síti, jehož komunikace je povolena. Pokud by klientské stanice používaly přímo DNS server v Internetu (nedoporučená konfigurace!), musela by do pravidla povolujícího přístup bez omezení být přidána ještě služba DNS.