Управление доступом на сервере Access Server

Содержание статьи

Управление доступом на сервере Access Server

Управление доступом является важным инструментом безопасности, используемым для предоставления доступа пользователям или группам к необходимым для работы сервисам и инструментам. Оно также ограничивает доступ к другим сервисам и инструментам, сохраняя их доступными только для определенных пользователей.

Уровни и закономерности управления доступом

Access Server — это программное обеспечение, разработанное компанией OpenVPN, которое позволяет настраивать и управлять доступом к сети через ВПН. Access Server обеспечивает доступ к вашей сети в зашифрованном виде через незащищенный интернет, и позволяет точно определить, какой пользователь может получить доступ к каким ресурсам.

Управление доступом в Access Server работает на трех уровнях:

  • Глобальный уровень - общий доступ для всех пользователей ВПН.
  • Групповой уровень - доступ для определенных групп пользователей.
  • Уровень пользователя - индивидуальный доступ для конкретного пользователя.

Предположим, требуется предоставить доступ, как в таком сценарии:

  • Всем пользователям ВПН нужен доступ к серверам печати. Предоставляем глобальный доступ к серверу печати с веб-адресом 10.0.0.1.
  • Только веб-команда должна иметь доступ к серверу разработки. Предоставляем доступ группе разработчиков к серверу разработки с IP 10.0.0.2.
  • Только один член команды эксплуатации нуждается в доступе к производственному серверу. Предоставляем ему индивидуальный доступ к производственному серверу 10.0.0.3.

Для реализации такого сценария потребуется несколько серверов, каждый из которых будет выполнять свою специфическую функцию и иметь уникальный IP-адрес.

Правила управления доступом на сервере Access Server можно представить следующими пунктами:

  • Пользователь может принадлежать к одной группе или не принадлежать ни к одной (в таком случае у него есть право доступа глобального уровня).
  • Если пользователь принадлежит к двум группам, его права доступа формируются на основе объединения доступов от обеих групп и глобального уровня. Это означает, что пользователь наследует доступы, предоставленные каждой из групп, к которым он принадлежит, а также доступы, предоставленные на глобальном уровне.
  • Пользователь может иметь дополнительный доступ, определенный для его учетной записи.
  • Каждая группа пользователей автоматически получает права доступа, которые определены на глобальном уровне для всех пользователей сети.
  • Группа может иметь дополнительный доступ, определенный для группы.
  • Глобальный доступ распространяется на все группы и пользователей.

Виды доступа и их настройка

Настройка глобального доступа предполагает следующие шаги для предоставления доступа всем пользователям ВПН к конкретному ресурсу на основе подсети:

  • Войти в Admin Web UI.
  • Перейти в Конфигурация. Настройки ВПН.
  • В разделе Маршрутизация включить доступ, установив Да, с использованием NAT. NAT — это технология, которая позволяет изменять IP-адреса в заголовках сетевых пакетов, когда они проходят через маршрутизатор или брандмауэр. Использование NAT позволяет нескольким устройствам в локальной сети использовать один и тот же публичный IP-адрес для доступа к внешней сети. Это необходимо для обеспечения правильного маршрута передачи данных и маскировки внутренних IP-адресов.
  • Для частных подсетей ввести подсеть для ресурса (например, для сервера печати ввести "10.0.0.1/32").

Настройка группового доступа подразумевает следующие шаги:

  • Войти в Admin Web UI.
  • Перейти в Управление пользователями > Разрешения группы.
  • Для группы, которой необходимо предоставить доступ, нажать Дополнительные настройки.
  • В разделе Управление доступом установить Использовать управление доступом в положение Да.
  • Настроить доступ к сетям и сервисам, группам и пользователям.

Шаги для настройки доступа к сетям и сервисам:

  • Нажать Дополнительные настройки для группы, которой предоставляются привилегии доступа.
  • Установить флажок Использовать управление доступом в Да.
  • В разделе Разрешить доступ ввести подсети в формате сеть/битность или сервисы в формате сеть/битность:сервисы.
  • Нажать Сохранить настройки и Обновить работающий сервер.

По умолчанию группы изолированы друг от друга и от пользователей внутри группы. Для предоставления доступа к группам можно выполнить следующие шаги:

  • Нажать Дополнительные настройки для группы.
  • Установить Использовать управление доступом в Да.
  • В разделе Разрешить доступ к выбрать имя группы из списка.
  • Нажать Сохранить настройки и Обновить работающий сервер.

Алгоритм для предоставления группового доступа к определенным пользователям:

  • Нажать Дополнительные настройки для группы.
  • Установить Использовать управление доступом в Да.
  • В разделе Разрешить доступ к выбрать пользователя из списка.
  • Нажать Сохранить настройки и Обновить работающий сервер.

Шаги для предоставления доступа определенному пользователю к ресурсу на основе подсети:

  • Войти в Admin Web UI.
  • Перейти в Управление пользователями. Разрешения пользователя.
  • Для пользователя, которому необходимо предоставить доступ, нажать Дополнительные настройки.
  • В разделе Управление доступом выбрать Использовать NAT для метода адресации.
  • В разделе Разрешить доступ к этим сетям ввести подсеть для ресурса (например, для производственного сервера ввести "10.0.0.3/32").

Если необходимо удаление всех глобальных правил управления доступом:

  • Войти в Admin Web UI.
  • Перейти в Конфигурация. Настройки ВПН.
  • В разделе Маршрутизация установить первый параметр в Нет.

Правильная настройка управления доступом на сервере Access Server обеспечивает безопасность и контроль над доступом к различным ресурсам. Это позволяет разделить доступ между различными пользователями и группами, ограничивая его только необходимыми ресурсами.

Личный ВПН-сервер: эффективный инструмент управления доступом

Использование личного ВПН-сервера позволяет гибко управлять доступом к ресурсам, что особенно актуально в корпоративной среде. Личный ВПН-сервер может быть настроен таким образом, чтобы соответствовать всем вышеописанным принципам и правилам управления доступом, обеспечивая дополнительный уровень безопасности и контроля.

Взять в аренду или купить на выгодных условиях личный ВПН-сервер можно на сайте VPN.how.

Поделитесь статьёй:
Функции безопасности от ВПН для Windows
Интеграция IAM с ВПН