10.1  Ověřování uživatelů na firewallu

Ověřit na firewallu se může každý uživatel, který má ve WinRoute vytvořen uživatelský účet (bez ohledu na přístupová práva). Uživatel se může k firewallu přihlásit těmito způsoby:

Přihlášení přesměrováním probíhá následovně: uživatel zadá do prohlížeče adresu stránky, kterou chce navštívit. WinRoute zjistí, že uživatel dosud není přihlášen, a automaticky jej přesměruje na přihlašovací stránku. Po úspěšném přihlášení je uživatel ihned přesměrován na požadovanou stránku nebo se zobrazí stránka s informací, že na tuto stránku má přístup zakázán.

Poznámka: Uživatelé budou přesměrováváni na zabezpečené nebo nezabezpečené WWW rozhraní, podle toho, která verze WWW rozhraní je povolena (viz kapitola 11.1  Volby pro WWW rozhraní). Jsou-li povoleny obě verze, bude použito zabezpečené WWW rozhraní.

Upřesňující parametry pro ověřování uživatelů

V sekci Uživatelé a skupiny → Uživatelé, záložka Volby pro ověřování, lze nastavit parametry pro přihlašování a odhlašování uživatelů na/z firewall.

Volby pro ověřování uživatelů na firewallu

Obrázek 10.1. Volby pro ověřování uživatelů na firewallu


Přesměrování na přihlašovací stránku

Po zapnutí volby Při přístupu na WWW stránky vždy vyžadovat ověření uživatele bude vyžadováno ověření uživatele při přístupu na libovolnou WWW stránku (pokud není dosud přihlášen). Vyžádání ověření se liší podle způsobu, jakým WWW prohlížeč přistupuje do Internetu:

  • Přímý přístup — prohlížeč bude automaticky přesměrován na přihlašovací stránku WWW rozhraní WinRoute (viz kapitola 11.2  Přihlašování uživatelů k WWW rozhraní) a po úspěšném přihlášení na požadovanou WWW stránku.

  • Přístup přes proxy server ve WinRoute — prohlížeč nejprve zobrazí přihlašovací dialog, a teprve po úspěšném přihlášení požadovanou WWW stránku.

Bude-li volba Při přístupu na WWW stránky vždy vyžadovat ověření uživatele vypnuta, pak bude ověření uživatele vyžadováno pouze při přístupu na WWW stránky, na které není pravidly pro URL povolen přístup nepřihlášeným uživatelům (viz kapitola 12.2  Pravidla pro URL).

Poznámka: Ověření uživatele má význam nejen pro řízení přístupu na WWW stránky (případně k dalším službám), ale také pro sledování aktivit jednotlivých uživatelů — využívání Internetu není anonymní.

Vyžadovat ověření na netransparentním proxy serveru

Za normálních okolností, pokud se uživatel k firewallu přihlásí z určitého počítače, pak je považován za ověřeného z IP adresy tohoto počítače až do okamžiku, kdy se odhlásí nebo kdy je automaticky odhlášen při nečinnosti (viz níže). Pokud však klientský počítač umožňuje práci více uživatelů současně (např. Microsoft Terminal Services, Citrix Presentation Server nebo Rychlé přepínání uživatelů v systémech Windows XP, Windows Server 2003, Windows VistaWindows Server 2008 ), pak bude firewall vyžadovat ověření pouze po uživateli, který začal pracovat jako první. Ostatní uživatelé pak budou vystupovat pod jeho identitou.

Pro služby HTTP a HTTPS lze toto technické omezení obejít. Ve WWW prohlížečích všech klientů víceuživatelského systému nastavíme přístup do Internetu přes proxy server ve WinRoute (podrobnosti viz kapitola 8.4  Proxy server) a ve WinRoute zapneme volbu Povolit ověřování na netransparentním proxy serveru. Proxy server pak bude vyžadovat ověření uživatele při zahájení každé nové relace prohlížeče[5].

Vyžadování ověření uživatele na proxy serveru při zahájení každé nové relace může být však obtěžující pro uživatele pracující na „jednouživatelských “ počítačích. Proto je vhodné omezit vyžadování ověření v každé relaci pouze na počítače, o kterých víme, že na nich pracuje více uživatelů. K tomuto účelu slouží volba Aplikovat pouze na tyto IP adresy.

Automatické ověřování (NTLM)

Je-li zapnuta volba Povolit WWW prohlížečům..., pak při použití prohlížeče Internet Explorer (verze 5.01 a vyšší) nebo Firefox/SeaMonkey (verze jádra 1.3 a vyšší), pak může být uživatel ověřován na firewallu automaticky (metodou NTLM).

V praxi to znamená, že prohlížeč nepožaduje zadání uživatelského jména a hesla a použije identitu uživatele přihlášeného do systému Windows. V jiných operačních systémech metoda NTLM bohužel není k dispozici.

Podrobnosti naleznete v kapitole 25.2  Automatické ověřování uživatelů pomocí NTLM.

Automatické odhlášení uživatele při nečinnosti

V položce Časový limit lze nastavit dobu (v minutách), po níž dojde k automatickému odhlášení uživatele od firewallu, jestliže z jeho počítače není zaznamenána žádná komunikace. Výchozí hodnota je 120 minut (2 hodiny).

Tato situace nastává zpravidla v případech, kdy se uživatel zapomene od firewallu odhlásit, a proto nedoporučujeme tuto volbu vypínat — mohlo by totiž dojít k tomu, že získaná přístupová práva budou zneužita jiným uživatelem (přičemž bude ve všech záznamech figurovat jméno uživatele, který se zapomněl odhlásit).



[5] Relace (angl. session, někdy též překládáno jako sezení) je období běhu jedné instance prohlížeče. Např. v případě prohlížečů Internet Explorer, Firefox nebo Opera relace zaniká po uzavření všech otevřených oken prohlížeče, zatímco u prohlížeče SeaMonkey relace zaniká až po ukončení programu Rychlé spuštění (ikona v oznamovací oblasti nástrojové lišty).