Авторизация по MAC-адресу
В статье рассмотрены особенности авторизации по MAC-адресам в Ideco NGFW.
Last updated
В статье рассмотрены особенности авторизации по MAC-адресам в Ideco NGFW.
Last updated
Этот тип авторизации подойдет для тех устройств, у которых время от времени меняется местоположение между локальными сетями внутри организации (например, рабочие ноутбуки сотрудников) или сетевых устройств, на которых не настроена привязка IP+MAC и выдается IP-адрес через DHCP.
Для авторизации пользователя на NGFW по MAC-адресу оба устройства должны находиться в одном широковещательном домене, а NGFW должен выступать шлюзом для устройств.
Пользователи, находящиеся за роутером в локальной сети NGFW, не могут авторизоваться по MAC-адресу, так как роутер разделяет широковещательные домены и не обрабатывает трафик уровня L2. Такие пользователи могут авторизоваться только по IP-адресу. Для работы MAC-авторизации необходимо, чтобы NGFW и пользователь находились в одном L2-сегменте сети.
Для авторизации пользователя по MAC-адресу выполните действия:
1. Узнайте MAC-адрес устройства. Для этого в командной строке Windows введите ipconfig /all | findstr Address или ipconfig /all | findstr адрес (для русскоязычной версии):
2. Удостоверьтесь, что устройство пользователя и NGFW находятся в одном широковещательном домене. Для этого в разделе Управление сервером -> Терминал веб-интерфейса NGFW введите команду ip neigh:
Эта команда выводит ARP-таблицу NGFW. Наличие записи с MAC-адресом устройства и статусом REACHEBLE - маркер L2-доступности между NGFW и устройством пользователя.
3. Создайте правило-связку Пользователь <--> MAC-адрес в разделе Пользователи -> Авторизация -> IP и MAC авторизация.
Сессия с типом авторизации MAC отобразится в разделе Мониторинг -> Авторизованные пользователи:
Для MAC-адресов невозможно настроить постоянную авторизацию, т. к. для создания авторизованной сессии необходим IP-адрес. Рекомендуем использовать MAC-авторизацию в комбинации с DHCP-сервером.
В организациях часто возникает ситуация, когда необходимо перемещаться между локальными сетями с ноутбуком и при этом всегда оставаться в сети. В таких случаях рекомендуем использовать авторизацию по MAC-адресу.
Для авторизации по MAC настройте DHCP-сервер (собственный или на NGFW). В раздаваемых реквизитах шлюзом должен выступать локальный интерфейс NGFW.
Пример. Пользователю user понадобилось переместиться с ноутбуком между локальными сетями:
На NGFW настроены локальные интерфейсы:
Настроено правило авторизации пользователя по MAC-адресу:
У пользователя одна активная сессия в разделе Авторизованные пользователи:
При переходе пользователя из одной локальной сети в другую ему выдаются другие сетевые реквизиты от DHCP-сервера, в которых шлюзом указан NGFW. При обнаружении любой активности пользователя появится вторая сессия авторизации по MAC-адресу:
Если у пользователя не появляется доступ и вторая сессия с авторизацией по MAC-адресу, следует обновить сетевые реквизиты.
Сбросьте старые сетевые реквизиты от DHCP-сервера и получите новые с помощью команд:
Windows - ipconfig /release && ipconfig /renew;
Linux - sudo dhclient -r <имя_интерфейса>.
Сетевые устройства, которым необходим доступ в интернет, должны быть авторизованы на NGFW. Такие устройства можно назвать статическими, для них подойдет авторизация по MAC-адресу.
Чтобы авторизовать сетевой принтер, необходимо создать пользователя на NGFW вручную или через Обнаружение устройств:
В разделе Пользователи -> Авторизация -> IP и MAC авторизация для сетевого принтера необходимо создать правило Пользователь <--> MAC-адрес:
При обнаружении активности от сетевого принтера или другого устройства сессия пользователя появится в Мониторинг -> Авторизованные пользователи:
Опция Рандомизация MAC-адреса будет мешать при авторизации мобильного устройства по MAC-адресу. Рекомендуется эту опцию отключать либо использовать другие типы авторизации (например, Веб-аутентификацию)
