(Die Seite wurde neu angelegt: „{{Set_lang}} {{var|display|Benutzerverwaltung | User administration }} {{var|1|Anlegen und konfigurieren von Benutzern und Gruppen (Berechtigungen) | Creati…“) |
KKeine Bearbeitungszusammenfassung |
||
(18 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
{{Archivhinweis|UTM/AUTH/Benutzerverwaltung}} | |||
{{Set_lang}} | {{Set_lang}} | ||
{{#vardefine:headerIcon|spicon-utm}} | |||
{{var|display|Benutzerverwaltung | {{var|display|Benutzerverwaltung | ||
| User administration }} | | User administration }} | ||
Zeile 13: | Zeile 14: | ||
{{var|5|Vorkonfigurierter [[#Support-Benutzer | Support-Benutzer]] lässt sich bei Bedarf anlegen | {{var|5|Vorkonfigurierter [[#Support-Benutzer | Support-Benutzer]] lässt sich bei Bedarf anlegen | ||
| Preconfigured [[#Support-Benutzer | Support user]] can be created as required }} | | Preconfigured [[#Support-Benutzer | Support user]] can be created as required }} | ||
{{var|6|[[#mail-bericht | | {{var|6|[[#mail-bericht | Separate Mail-Adresse für Spam-Report ]] konfigurierbar | ||
| [[#mail-bericht | | | [[#mail-bericht | Separate mail address for spam report ]] configurable}} | ||
{{var|6b|[[#downloadq | Download für quarantänisierte Anhänge ]] erlauben | {{var|6b|[[#downloadq | Download für quarantänisierte Anhänge ]] erlauben | ||
| Allow [[#downloadq | Download for quarantined attachments ]]}} | | Allow [[#downloadq | Download for quarantined attachments ]]}} | ||
Zeile 79: | Zeile 80: | ||
{{var|34|Anmeldename: | {{var|34|Anmeldename: | ||
| Loginname: }} | | Loginname: }} | ||
{{var|35|Willkürlicher Name, der mit | {{var|35|Willkürlicher Name, der mit {{ic|support-}} beginnt und nur durch {{Button||refresh}} geändert werden kann. Es ist keine manuelle Eingabe möglich. | ||
|An arbitrary name that begins with | |An arbitrary name that begins with {{ic|support-}} and can only be changed by {{Button||refresh}}. Manual input is not possible. }} | ||
{{var|36|UTM_v.11.8.6_Authentifizierung_Benutzer_Supportbenutzer.png | {{var|36|UTM_v.11.8.6_Authentifizierung_Benutzer_Supportbenutzer.png | ||
|UTM_v.11.8.6_Authentifizierung_Benutzer_Supportbenutzer-en.png }} | |UTM_v.11.8.6_Authentifizierung_Benutzer_Supportbenutzer-en.png }} | ||
Zeile 309: | Zeile 310: | ||
{{var|135|Mailfilter Administrator | {{var|135|Mailfilter Administrator | ||
| Mailfilter Administrator}} | | Mailfilter Administrator}} | ||
{{var|136|Mitglieder dieser Gruppe | {{var | 136 | ||
| Members of this group | | Mitglieder dieser Gruppe haben in Kombination mit dem Recht ''User Webinterface'' Zugriff auf alle E-Mails, die im Mailarchiv der UTM zwischengespeichert sind - {{Hinweis|!}} unabhängig davon, ob sie rechtmäßige Empfänger oder Sender dieser E-Mails sind. | ||
| Members of this group have access to all emails cached in the UTM's mail archive with the ''User Web Interface'' right - {{Hinweis|!}} regardless of whether they are legitimate recipients or senders of these emails. }} | |||
{{var|137|SSL-VPN | {{var|137|SSL-VPN | ||
| SSL-VPN}} | | SSL-VPN}} | ||
Zeile 364: | Zeile 366: | ||
{{var|172| <p>WOL steht für Wake on LAN und schaltet einen Computer über die Netzwerkkarte ein. Um den Rechner per Datenpaket zu starten, muss der Rechner dies auch unterstützen. In der Regel wird dies im BIOS bzw. UEFI konfiguriert.</p><p>Mitglieder dieser Gruppe dürfen hier eingetragene Hosts per WOL einschalten.</p> | {{var|172| <p>WOL steht für Wake on LAN und schaltet einen Computer über die Netzwerkkarte ein. Um den Rechner per Datenpaket zu starten, muss der Rechner dies auch unterstützen. In der Regel wird dies im BIOS bzw. UEFI konfiguriert.</p><p>Mitglieder dieser Gruppe dürfen hier eingetragene Hosts per WOL einschalten.</p> | ||
| <p>WOL stands for Wake on LAN and switches on a computer via the network card. In order to start the computer via data packet, the computer must also support this. Usually this is configured in the BIOS or UEFI.</p><p>Members of this group may switch on hosts entered here by WOL.</p>}} | | <p>WOL stands for Wake on LAN and switches on a computer via the network card. In order to start the computer via data packet, the computer must also support this. Usually this is configured in the BIOS or UEFI.</p><p>Members of this group may switch on hosts entered here by WOL.</p>}} | ||
{{var|Benutzer--mailfilter--berechtigung--keine | |||
| Keine | |||
| None }} | |||
{{var|Benutzer--mailfilter--berechtigung--gefiltert | |||
| Gefiltert, aber nicht quarantänisiert | |||
| Filtered but not quarantined}} | |||
{{var|Benutzer--mailfilter--berechtigung--quarantänisiert | |||
| Quarantänisiert, aber nicht gefiltert | |||
| Quarantined but not filtered }} | |||
{{var|Benutzer--mailfilter--berechtigung--gefiltert-quarantänisiert | |||
| Quarantänisiert und/oder gefiltert | |||
| Quarantined and/or filtered }} | |||
{{var|Benutzer--mailfilter--berechtigung--download--warnung | |||
| Diese Funktion ermöglicht u.U. das '''herunterladen von Viren''' und sollte daher nur versierten Benutzern erlaubt werden! | |||
| This function may allow the '''downloading of viruses''' and should therefore only be allowed for experienced users! }} | |||
{{var|Benutzer--mailfilter--berechtigung--weiterleiten--warnung | |||
| Diese Funktion ermöglicht u.U. das weiterleiten von Viren und sollte daher nur versierten Benutzern erlaubt werden! | |||
| This function may allow the forwarding of viruses and should therefore only be allowed for experienced users! }} | |||
{{var| Benutzer--mailfilter--berechtigung--download| Der Benutzer kann im User-Interface Anhänge von Mails <u>herunterladen</u>, die bestimmte Kriterien erfüllen. | |||
| In the user interface, the user can <u>download/u> attachments of mails that meet certain criteria.}} | |||
{{var|Benutzer--mailfilter--berechtigung--weiterleiten| Der Benutzer kann im User-Interface E-Mails <u>weiterleiten</u>, die bestimmte Kriterien erfüllen. | |||
| In the user interface, the user can <u>forward/u> attachments of mails that meet certain criteria.}} | |||
{{var| spamreport--default-mail--Bericht | |||
| Sind mehrere Mailadressen für einen Benutzer in einem AD hinterlegt, wird der dort als ''Primäre SMTP-Adresse'' konfigurierte Eintrag als Default-Adresse verwendet.. | |||
| If several mail addresses for a user are stored in an AD, the entry configured there as ''Primary SMTP address'' is used as the default address. }} | |||
{{var| spamreport--default-mail--bild | |||
| AD proxyAdresses spamreport.png | |||
| AD proxyAdresses spamreport.png }} | |||
{{var| neu--spamreport--default-ad | |||
| Default-Adresse für Spamreport [[#spamreport-default | aus dem AD ]] | |||
| Default address for spam report [[#spamreport-default | from AD ]] }} | |||
{{var | benutzer--root | |||
| root-Benutzer | |||
| root user }} | |||
{{var | benutzer--root--desc | |||
| {{Hinweis|!|g}} Ein Benutzer mit dem Namen ''root'' muss auch Mitglied einer Gruppe mit Administratorberechtigung sein. <br>Dieser Benutzer erhält dann automatisch <u>root-Berechtigung.</u> Nach Anmeldung per ssh auf der Appliance landet dieser Benutzer ''nicht auf dem CLI'' sondern sofort in der Linux-Konsole. <br>Diesem Benutzer stehen dort umfangreiche Diagnosewerkzeuge zur Verfügung, z.B. ''tcpdump''<br>Der Root-Benutzer erreicht das Command Line Interface (CLI) mit dem Befehl {{Code|spcli}} und verläßt es mit {{code|exit}}.<br>{{Hinweis|!|r}}Der root-Benutzer sollte unbedingt mit einem <u>kurzfristigen</u> Ablaufdatum versehen werden oder nach den Diagnosearbeiten sofort wieder entfernt werden! | |||
| {{Hinweis|!|g}} A user with the name ''root'' must also be a member of a group with administrator privileges. <br>This user will then automatically get <u>root permission.</u> After logging on to the appliance via ssh, this user ''does not end up on the CLI'' but immediately in the Linux console. <br>This user has extensive diagnostic tools available there, e.g. ''tcpdump''<br>The root user reaches the Command Line Interface (CLI) with the command {{Code|spcli}} and leaves it with {{code|exit}}. <br>{{Hinweis|!|r}}The root user should definitely be given a <u>short-term </u> expiration date or be removed immediately after the diagnostic work! }} | |||
{{var | neu--root-benutzer | |||
| Beschreibung [[#{{#var:benutzer--root}} | root-Benutzer]] | |||
| Description: [[#{{#var:benutzer--root}} | root user]] }} | |||
</div>{{DISPLAYTITLE:{{#var:display|Benutzerverwaltung}}}}{{Select_lang}}{{TOC2}} | </div>{{DISPLAYTITLE:{{#var:display|Benutzerverwaltung}}}}{{Select_lang}}{{TOC2}} | ||
<p>'''{{#var:1|Anlegen und konfigurieren von Benutzern und Gruppen (Berechtigungen)}}'''</p> | <p>'''{{#var:1|Anlegen und konfigurieren von Benutzern und Gruppen (Berechtigungen)}}'''</p> | ||
<p>{{#var:2|Letzte Anpassung zur Version:}} '''11.8. | <p>{{#var:2|Letzte Anpassung zur Version:}} '''11.8.8''' <small>(04.2020)</small></p> | ||
<br> | <br> | ||
{{ cl | {{#var:3|Neu:}} | | {{ cl | {{#var:3|Neu:}} | | ||
* {{#var:neu--root-benutzer}} | |||
* {{Hinweis| § in 11.8.8|11.8.8|gr}} {{#var:neu--spamreport--default-ad}} | |||
* {{#var:4|Ablaufdatum für Benutzerkonten}} | * {{#var:4|Ablaufdatum für Benutzerkonten}} | ||
* {{#var:5|Vorkonfigurierter Support-Benutzer lässt sich bei Bedarf anlegen}} | * {{#var:5|Vorkonfigurierter Support-Benutzer lässt sich bei Bedarf anlegen}} | ||
|w=50px}} | |w=50px}} | ||
<br> | <br> | ||
Zeile 412: | Zeile 459: | ||
! {{#var:be|Beschriftung}} !! {{#var:w|Wert}} !! {{#var:des|Beschreibung}} | ! {{#var:be|Beschriftung}} !! {{#var:w|Wert}} !! {{#var:des|Beschreibung}} | ||
|- | |- | ||
| {{b| {{#var:34|Anmeldename:}} }} || style="min-width: 130px;" | {{ic|support-N3e-oDt|w=x}} || class="border-bottom" | {{#var:35|Willkürlicher Name, der mit <code>support-</code> beginnt und nur durch {{Button||refresh}} geändert werden kann. Es ist keine manuelle Eingabe möglich.}} || class="bild" rowspan="5" | {{bild|{{#var:36|UTM_v11.8.5_Authentifizierung_Benutzer_Support-Benutzer.png}}|hochkant=1}} | | {{b| {{#var:34|Anmeldename:}} }} || style="min-width: 130px;" | {{ic|support-N3e-oDt|w=x}} || class="border-bottom" | {{#var:35|Willkürlicher Name, der mit <code>support-</code> beginnt und nur durch {{Button||refresh}} geändert werden kann. Es ist keine manuelle Eingabe möglich.}} || class="bild width-m" rowspan="5" | {{bild|{{#var:36|UTM_v11.8.5_Authentifizierung_Benutzer_Support-Benutzer.png}}|hochkant=1}} | ||
|- | |- | ||
| {{b| {{#var:37|Passwort:}} }} || {{ic|red-SZZ-sIa-dCB|w=x }} || {{#var:38|Willkürlicher Wert, der nur durch {{Button||refresh}} geändert werden kann. Es ist keine manuelle Eingabe möglich.}} | | {{b| {{#var:37|Passwort:}} }} || {{ic|red-SZZ-sIa-dCB|w=x }} || {{#var:38|Willkürlicher Wert, der nur durch {{Button||refresh}} geändert werden kann. Es ist keine manuelle Eingabe möglich.}} | ||
Zeile 422: | Zeile 469: | ||
| {{b| {{#var:43|Root-Berechtigung:}} }} || {{ButtonAus|{{#var:n|Nein}} }} || {{#var:44|Bei {{ButtonAn|Ja}} Aktivierung erhält der Benutzer zusätzlich root-Berechtigung. Bei einer Verbindung mit SSH erfolgt die Anmeldung direkt auf der root-Konsole!}} | | {{b| {{#var:43|Root-Berechtigung:}} }} || {{ButtonAus|{{#var:n|Nein}} }} || {{#var:44|Bei {{ButtonAn|Ja}} Aktivierung erhält der Benutzer zusätzlich root-Berechtigung. Bei einer Verbindung mit SSH erfolgt die Anmeldung direkt auf der root-Konsole!}} | ||
|- | |- | ||
| colspan="2"| | | colspan="2"| {{Kasten| {{#var:44b| Administration}}}} <br>{{b|{{#var:44c|Zugriff für den Securepoint Support freigeben: }} }}   {{ButtonAn|{{#var:ja|Ja}} }}|| {{#var:44d|Um einen Zugriff auf das Admin-Interface über die externe Schnittstelle zu ermöglichen wird unter {{Menu|Netzwerk| Servereinstellungen}} Reiter {{Reiter| Administration}} der Eintrag {{ic|support.de.securepoint.de}} hinzugefügt.}} | ||
|}<br/> | |}<br/> | ||
{{Hinweis | {{#var:45|!! Vor dem Speichern sollte der Anmeldename und <u>muss</u> das Passwort notiert werden !<br/> | {{Hinweis | {{#var:45|!! Vor dem Speichern sollte der Anmeldename und <u>muss</u> das Passwort notiert werden !<br/> | ||
Zeile 444: | Zeile 491: | ||
! {{#var:be|Beschriftung}} !! {{#var:w|Wert}} !! {{#var:des|Beschreibung}} | ! {{#var:be|Beschriftung}} !! {{#var:w|Wert}} !! {{#var:des|Beschreibung}} | ||
|- | |- | ||
| {{b|{{#var:55|Anmeldename}} }} || {{ic|admin-user}} || {{#var:56|Login-Name des Benutzers}} | | rowspan="2" | {{b|{{#var:55|Anmeldename}} }} || {{ic|admin-user}} || {{#var:56|Login-Name des Benutzers}} | ||
|- | |||
| {{ic|root}} || {{h4|{{#var:benutzer--root}} }}{{#var:benutzer--root--desc| {{Hinweis|!|g}} Ein Benutzer mit dem Namen ''root'' muss auch Mitglied einer Gruppe mit Administratorberechtigung sein. <br>Dieser Benutzer erhält dann automatisch <u>root-Berechtigung.</u> Nach Anmeldung per ssh auf der Appliance landet dieser Benutzer ''nicht auf dem CLI'' sondern sofort in der Linux-Konsole. <br>Diesem Benutzer stehen dort umfangreiche Diagnosewerkzeuge zur Verfügung, z.B. ''tcpdump''<br>Der Root-Benutzer erreicht das Command Line Interface (CLI) mit dem Befehl {{Code|spcli}} und verläßt es mit {{code|exit}}.<br>{{Hinweis|!|r}}Der root-Benutzer sollte unbedingt mit einem <u>kurzfristigen</u> Ablaufdatum versehen werden oder nach den Diagnosearbeiten sofort wieder entfernt werden! }} | |||
|- | |- | ||
| style="min-width:150px;" | <p>{{b|{{#var:57|Passwort}} }}</p><p>{{b|{{#var:58|Passwort bestätigen}} }}</p> | | style="min-width:150px;" | <p>{{b|{{#var:57|Passwort}} }}</p><p>{{b|{{#var:58|Passwort bestätigen}} }}</p> | ||
Zeile 450: | Zeile 499: | ||
| {{Kasten|{{#var:59|Stark}}|grün}} {{Hinweis | {{#var:60|! Neu ab 11.8}}|11.8.4}}{{:UTM/AUTH/Kennwortregeln}} | | {{Kasten|{{#var:59|Stark}}|grün}} {{Hinweis | {{#var:60|! Neu ab 11.8}}|11.8.4}}{{:UTM/AUTH/Kennwortregeln}} | ||
|- | |- | ||
| {{b|{{#var:61|Ablaufdatum}}}} <br/>{{Hinweis|{{#var:62|! Neu ab 11.8.5}}|11.8.5}} || style="min-width:130px;"|{{ic|2020-08-21 00:00:00|w=x}} || {{#var:63|Nach Ablauf kann sich der Benutzer nicht mehr anmelden. Das Ablaufdatum kann aber wieder verlängert werden. (Es kann im Web-Interface nicht in die Vergangenheit gesetzt werden!)}} {{ | | {{b|{{#var:61|Ablaufdatum}}}} <br/>{{Hinweis|{{#var:62|! Neu ab 11.8.5}}|11.8.5}} || style="min-width:130px;"|{{ic|2020-08-21 00:00:00|w=x}} || {{#var:63|Nach Ablauf kann sich der Benutzer nicht mehr anmelden. Das Ablaufdatum kann aber wieder verlängert werden. (Es kann im Web-Interface nicht in die Vergangenheit gesetzt werden!)}} {{Einblenden3|{{#var:64|CLI-Befehl}} |{{#var:65|ausblenden}} | true|dezent}}<br/>{{#var:66|Das Ablaufdatum lässt sich ebenfalls per CLI ändern:<br/> | ||
<pre>user attribute set name testnutzer attribute expirydate value 1576553166</pre><br/>Der Wert wird als Unixtime (Zeit in Sekunden seit dem 1.1.1970 00:00 Uhr) angegeben.}}</div> | <pre>user attribute set name testnutzer attribute expirydate value 1576553166</pre><br/>Der Wert wird als Unixtime (Zeit in Sekunden seit dem 1.1.1970 00:00 Uhr) angegeben.}}</div> | ||
|- | |- | ||
Zeile 483: | Zeile 532: | ||
| {{b| {{#var:82|Mindest Kennwortlänge:}} }} || style="min-width: 90px;" | {{ic | 8|c|w=80px}} || {{#var:83|Die minimale Kennwortlänge kann auf mehr als 8 Zeichen gesetzt werden.}} | | {{b| {{#var:82|Mindest Kennwortlänge:}} }} || style="min-width: 90px;" | {{ic | 8|c|w=80px}} || {{#var:83|Die minimale Kennwortlänge kann auf mehr als 8 Zeichen gesetzt werden.}} | ||
|- | |- | ||
| colspan="3" | {{ | | colspan="3" | {{Einblenden3|{{#var:84|Weitere, feste Kriterien für Kennwörter}} | {{#var:85|ausblenden}}|true|dezent}} | ||
{{:UTM/AUTH/Kennwortregeln}} | {{:UTM/AUTH/Kennwortregeln}} | ||
</div> | </div> | ||
Zeile 502: | Zeile 551: | ||
| {{ic|{{#var:92|E-Mail-Adresse}} }} ||{{Button||+}} || {{#var:93|Eintragen einer E-Mail-Adresse in die Liste}} | | {{ic|{{#var:92|E-Mail-Adresse}} }} ||{{Button||+}} || {{#var:93|Eintragen einer E-Mail-Adresse in die Liste}} | ||
|- | |- | ||
| rowspan="4" | {{b|{{#var:mf94|Herunterladen von folgenden Anhängen erlauben:}} }} || {{Button| {{#var:Benutzer--mailfilter--berechtigung--keine}} |dr}} (Default) || {{#var: Benutzer--mailfilter--berechtigung--download|Mitglieder dieser Gruppe können im User-Interface Anhänge von Mails herunterladen, die bestimmte Kriterien erfüllen.}} | |||
|- | |||
| {{Button| {{#var:Benutzer--mailfilter--berechtigung--gefiltert}} |dr|w=170px}} || | |||
|- | |||
| {{Button| {{#var:Benutzer--mailfilter--berechtigung--quarantänisiert}}|dr|w=170px}} || {{Hinweis|!|r}} {{#var:Benutzer--mailfilter--berechtigung--download--warnung}} | |||
|- | |||
| {{Button| {{#var:Benutzer--mailfilter--berechtigung--gefiltert-quarantänisiert}}|dr|w=170px}} || {{Hinweis|!|r}} {{#var:Benutzer--mailfilter--berechtigung--download--warnung}} | |||
|- | |||
| rowspan="4" style="min-width: 180px;" | {{b|{{#var:mf98|Weiterleiten von folgenden E-Mails erlauben:}} }}|| {{Button| {{#var:Benutzer--mailfilter--berechtigung--keine}} |dr}} (Default) || {{#var:Benutzer--mailfilter--berechtigung--weiterleiten|Mitglieder dieser Gruppe können im User-Interface Anhänge von Mails weiterleiten, die bestimmte Kriterien erfüllen.}} | |||
|- | |||
| {{Button| {{#var:Benutzer--mailfilter--berechtigung--gefiltert}} |dr|w=170px}} || | |||
|- | |||
| {{Button| {{#var:Benutzer--mailfilter--berechtigung--quarantänisiert}}|dr|w=170px}} || {{Hinweis|!|r}} {{#var:Benutzer--mailfilter--berechtigung--weiterleiten--warnung}} | |||
|- | |||
| {{Button| {{#var:Benutzer--mailfilter--berechtigung--gefiltert-quarantänisiert}}|dr|w=170px}} || {{Hinweis|!|r}} {{#var:Benutzer--mailfilter--berechtigung--weiterleiten--warnung}} | |||
|- | |||
| {{b| {{#var:mf166|Bericht E-Mail-Adresse:}} }} || {{ic | | w=150px}} || {{#var:mf167|E-Mail-Adresse, an die ein Spam-Report versendet wird.<br/>Wenn hier kein Eintrag erfolgt, wird der Spam-Report an die erste E-Mail-Adresse der Liste gesendet.}}<br> | |||
<span id="spamreport-default">{{Hinweis|{{#var:new}} in 11.8.8|11.8.8|gr}}{{#var: spamreport--default-mail--Bericht}} {{Einblenden2|Abb.|ausblenden|dezent|true| content= [[Datei:{{#var:spamreport--default-mail--bild|AD proxyAdresses spamreport.png}}|mini]] }} | |||
</span><!-- | |||
| style="min-width: 180px;" | {{b|{{#var:94|Herunterladen von folgenden Anhängen erlauben:}} }} || {{#var:95|Default-Wert95}} || {{Hinweis|{{#var:96c|! Neu ab 11.8.6 96c}}|11.8.6 }}{{#var:96|Jo96}}<br>{{#var:97|Liste97}} | | style="min-width: 180px;" | {{b|{{#var:94|Herunterladen von folgenden Anhängen erlauben:}} }} || {{#var:95|Default-Wert95}} || {{Hinweis|{{#var:96c|! Neu ab 11.8.6 96c}}|11.8.6 }}{{#var:96|Jo96}}<br>{{#var:97|Liste97}} | ||
|- | |- | ||
| <span id="downloadq"></span>{{b|{{#var:98|Weiterleiten von folgenden E-Mails erlauben:}} }}<br/>{{Hinweis|{{#var:96b|! Neu ab 11.8.5}}|11.8.5 }}|| {{#var:99|Defaultwert}} || {{Hinweis|{{#var:96c|! Neu ab 11.8.6}}|11.8.6 }}{{#var:99b|Erklärung}}<br>{{#var:99c|Liste}} | | <span id="downloadq"></span>{{b|{{#var:98|Weiterleiten von folgenden E-Mails erlauben:}} }}<br/>{{Hinweis|{{#var:96b|! Neu ab 11.8.5}}|11.8.5 }}|| {{#var:99|Defaultwert}} || {{Hinweis|{{#var:96c|! Neu ab 11.8.6}}|11.8.6 }}{{#var:99b|Erklärung}}<br>{{#var:99c|Liste}} | ||
|- | |- | ||
| <span id="mail-bericht"></span>{{b| {{#var:100|Bericht E-Mail-Adresse:}} }}<br/>{{Hinweis|{{#var:96b|! Neu ab 11.8.5}}|11.8.5 }} || {{ic |    }} || {{#var:101|E-Mail-Adresse, an die ein Spam-Report versendet wird.<br/>Wenn hier kein Eintrag erfolgt, wird der Spam-Report an die erste E-Mail-Adresse der Liste gesendet.}} | | <span id="mail-bericht"></span>{{b| {{#var:100|Bericht E-Mail-Adresse:}} }}<br/>{{Hinweis|{{#var:96b|! Neu ab 11.8.5}}|11.8.5 }} || {{ic |    }} || {{#var:101|E-Mail-Adresse, an die ein Spam-Report versendet wird.<br/>Wenn hier kein Eintrag erfolgt, wird der Spam-Report an die erste E-Mail-Adresse der Liste gesendet.}}--> | ||
|- | |- | ||
| {{b| {{#var:102|Sprache der Berichte:}} }} || {{Button|Defaulta|dr|w=85px}} || {{#var:103|Vorgabe unter {{Menu|Netzwerk|Servereinstellungen}} → {{Kasten|Firewall}} → {{b|Sprache der Berichte}}<br/>Es kann gezielt ausgewählt werden: {{Button|Deutsch|dr}} bzw. {{Button|Englisch|dr}}}} | | {{b| {{#var:102|Sprache der Berichte:}} }} || {{Button|Defaulta|dr|w=85px}} || {{#var:103|Vorgabe unter {{Menu|Netzwerk|Servereinstellungen}} → {{Kasten|Firewall}} → {{b|Sprache der Berichte}}<br/>Es kann gezielt ausgewählt werden: {{Button|Deutsch|dr}} bzw. {{Button|Englisch|dr}}}} | ||
Zeile 588: | Zeile 660: | ||
==== {{Reiter| SSL-VPN}} ==== | ==== {{Reiter| SSL-VPN}} ==== | ||
{{:UTM/AUTH/Benutzerverwaltung-Gruppen-SSL- | {{:UTM/AUTH/Benutzerverwaltung-Gruppen-SSL-VPN_v12.4}} | ||
==== {{Reiter|{{#var:148|Verzeichnis Dienst}} }} ==== | ==== {{Reiter|{{#var:148|Verzeichnis Dienst}} }} ==== | ||
Zeile 600: | Zeile 672: | ||
{{#var:156|Die Berechtigung '''Userinterface''' {{ButtonAn|Ein}} wird benötigt.}} | {{#var:156|Die Berechtigung '''Userinterface''' {{ButtonAn|Ein}} wird benötigt.}} | ||
<br clear=all> | <br clear=all> | ||
{{:UTM/AUTH/ | {{:UTM/AUTH/Benutzerverwaltung_Gruppen_Mailfilter_v12.4}}<br clear=all> | ||
==== {{Reiter| WOL}} ==== | ==== {{Reiter| WOL }} ==== | ||
{{pt2|{{#var:170|UTM_v11.8.5_Authentifizierung_Benutzer_Gruppen_WOL.png}} | {{#var:171|Wake on LAN konfigurieren}} }} | {{pt2|{{#var:170|UTM_v11.8.5_Authentifizierung_Benutzer_Gruppen_WOL.png}} | {{#var:171|Wake on LAN konfigurieren}} }} | ||
{{#var:172|<p>WOL steht für Wake on LAN und schaltet einen Computer über die Netzwerkkarte ein. Um den Rechner per Datenpaket zu starten, muss der Rechner dies auch unterstützen. In der Regel wird dies im BIOS bzw. UEFI konfiguriert.</p> | {{#var:172|<p>WOL steht für Wake on LAN und schaltet einen Computer über die Netzwerkkarte ein. Um den Rechner per Datenpaket zu starten, muss der Rechner dies auch unterstützen. In der Regel wird dies im BIOS bzw. UEFI konfiguriert.</p> |
Aktuelle Version vom 17. Januar 2024, 15:27 Uhr
notempty
Anlegen und konfigurieren von Benutzern und Gruppen (Berechtigungen)
Letzte Anpassung zur Version: 11.8.8 (04.2020)
- Neu:
- Beschreibung root-Benutzer
- in 11.8.8 Default-Adresse für Spamreport aus dem AD
- Ablaufdatum für Benutzerkonten
- Vorkonfigurierter Support-Benutzer lässt sich bei Bedarf anlegen
Vorherige Versionen: 11.7 | 11.8.5
Einleitung
Aufruf der Benutzerkonfiguration in der Navigationsleiste unter
Die hier eingetragenen Benutzer werden in einer lokalen Datenbank auf der Appliance gespeichert.
Auch die an dieser Stelle konfigurierte Authentifizierung wird gegen die lokale Datenbank vorgenommen.
Es können zusätzlich lokale Benutzergruppen einer AD/LDAP - Gruppe zugeordnet werden.
Benutzer
Beschriftung | Wert | Beschreibung |
---|---|---|
Name | admin |
Login-Name der Benutzer |
Gruppen | administrator | Gruppenzugehörigket des jeweiligen Users |
Berechtigungen | Firewall Administrator | Berechtigungen, Konfiguration unter Gruppen |
Hinweise Neu ab 11.8.5 |
Läuft in 8 Stunden ab | Nach Ablauf kann sich der Benutzer nicht mehr anmelden. |
Bearbeiten oder Löschen des Benutzers |
Support-Benutzer
Neue Funktion ab 11.8.5
Der Support-Benutzer ist ein temporärer Administrator, der zum Beispiel zur Unterstützung für den Securepoint Support aktiviert werden kann.
Die Schaltfläche zum Anlegen eines Support-Benutzers befindet sich rechts oben im Dashboard. (Headset-Symbol)
Es lassen sich nicht mehrere Support-Benutzer gleichzeitig anlegen. Existiert bereits ein Support-Benutzer wird gefragt, ob der vorhandene Benutzer gelöscht werden soll!
Vor dem Speichern sollte der Anmeldename und muss das Passwort notiert werden !
Das Passwort kann nach dem Speichern nicht mehr angezeigt werden.
Beide Werte lassen sich jeweils über die Zwischenablage kopieren.
Abgelaufene Benutzer-Zugänge werden automatisch nach einer gewissen Zeit entfernt.
Benutzer hinzufügen
Es öffnet sich der Dialog Benutzer hinzufügen. Dieser Dialog beinhaltet mehrere Registerkarten.Es müssen nicht in allen Registerkarten Eintragungen gemacht werden. Mit
werden die Eintragungen übernommen.Benutzer Allgemein
Beschriftung | Wert | Beschreibung |
---|---|---|
Anmeldename | admin-user | Login-Name des Benutzers |
root | root-BenutzerEin Benutzer mit dem Namen root muss auch Mitglied einer Gruppe mit Administratorberechtigung sein.Dieser Benutzer erhält dann automatisch root-Berechtigung. Nach Anmeldung per ssh auf der Appliance landet dieser Benutzer nicht auf dem CLI sondern sofort in der Linux-Konsole. Diesem Benutzer stehen dort umfangreiche Diagnosewerkzeuge zur Verfügung, z.B. tcpdump Der Root-Benutzer erreicht das Command Line Interface (CLI) mit dem Befehl spcli und verläßt es mit exit. Der root-Benutzer sollte unbedingt mit einem kurzfristigen Ablaufdatum versehen werden oder nach den Diagnosearbeiten sofort wieder entfernt werden! | |
Passwort Passwort bestätigen |
•••••••• | Stark Neu ab 11.8
Kennwörter müssen folgende Kriterien erfüllen:
|
Ablaufdatum Neu ab 11.8.5 |
2020-08-21 00:00:00 | Nach Ablauf kann sich der Benutzer nicht mehr anmelden. Das Ablaufdatum kann aber wieder verlängert werden. (Es kann im Web-Interface nicht in die Vergangenheit gesetzt werden!) Das Ablaufdatum lässt sich ebenfalls per CLI ändern: user attribute set name testnutzer attribute expirydate value 1576553166 Der Wert wird als Unixtime (Zeit in Sekunden seit dem 1.1.1970 00:00 Uhr) angegeben. |
Gruppen | administrator | Gruppenzugehörigkeit und damit Berechtigungen dieses Benutzers |
VPN
Hier können feste IP-Tunnel Adressen an die Benutzer vergeben werden
L2TP IP-Adresse:
SSL-VPN IPv4-Adresse:
SSL-VPN IPv6-Adresse:
PPTP steht nicht mehr zur Verfügung, da es sich nachgewiesenermaßen um ein unsicheres Protokoll handelt.
SSL-VPN
Beschriftung | Wert | Beschreibung | UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer |
---|---|---|---|
Einstellungen aus der Gruppe verwenden: | Nein | Wenn der Benutzer Mitglied einer Gruppe ist, können die Einstellungen von dort übernommen werden. Die folgenden Einstellungen werden dann hier ausgeblendet und sind im Menü Gruppen zu konfigurieren. | Bereich|
Client im Userinterface herunterladbar | Ja | Der Securepoint VPN-Windows-Client kann im User Webinterface (im Standard über Port 1443 erreichbar) heruntergeladen werden. Der Port ist konfigurierbar im Menü Servereinstellungen Schaltfläche / User Webinterface Port: : 1443. | Bereich|
SSL-VPN Verbindung: | RW-Securepoint | Auswahl einer Verbindung, die im Menü | angelegt wurde.|
Client-Zertifikat: | cs-sslvpn-rw | Es muss ein Zertifikat angegeben werden, mit dem sich der Client gegenüber der UTM authentifiziert. Es können auch ACME-Zertifikate genutzt werden. | |
Remote Gateway: | 192.168.175.1 (Beispiel-IP) | Externe IP-Adresse oder im DNS auflösbare Adresse des Gateways, zu dem die Verbindung hergestellt werden soll. | |
Redirect Gateway: | Ein | Bei Aktivierung wird der gesamte Netzwerkverkehr des Clients über das gewählte Gateway gesendet. | |
Lädt den Securepoint VPN-Windows-Client herunter. Die Datei enthält ein Installationsprogramm für den Securepoint VPN-Windows-Client, die dazugehörigen Konfigurationsdateien und Zertifikate. | |||
Lädt eine portable Version des Securepoint VPN-Windows-Clients herunter. Die Datei enthält die Start-SSL-VPN-Client.exe mit den dazugehörigen Konfigurationsdateien und Zertifikate. | |||
Lädt die Konfigurationsdateien für beliebige VPN-Clients herunter. Die Datei enthält im Ordner local_firewall.securepoint.local.tblk die dazu notwendigen Konfigurationsdateien und Zertifikate. | |||
notempty Neu: |
Lädt die Konfigurationsdatei für beliebige VPN-Clients herunter. Die Zertifikate werden dabei direkt in die ovpn-Datei geschrieben. | ||
Passwort
Auf der Registerkarte Passwort wird die Stärke des Kennwortes definiert und ob das Kennwort vom Benutzer selbst geändert werden darf.
Beschriftung | Standardwert | Beschreibung |
---|---|---|
Passwortänderung erlaubt: | Aus | Legt fest, ob der Benutzer sein Kennwort im User-Interface selber ändern darf. |
Mindest Kennwortlänge: | 8 | Die minimale Kennwortlänge kann auf mehr als 8 Zeichen gesetzt werden. |
Kennwörter müssen folgende Kriterien erfüllen:
|
Mailfilter
Beschriftung | Standardwert | Beschreibung |
---|---|---|
Einstellungen aus der Gruppe verwenden: | Nein | Wenn der Benutzer Mitglied einer Gruppe ist, können die Einstellungen von dort übernommen werden. Die folgenden Einstellungen werden dann hier ausgeblendet und sind im Menü Gruppen zu konfigurieren. | /
E-Mail-Adresse | ||
user@ttt-point.de | E-Mailkonten, die von diesem Benutzer eingesehen werden können, um den Mailfilter zu kontrollieren. Löschen mit | |
E-Mail-Adresse | Eintragen einer E-Mail-Adresse in die Liste | |
Herunterladen von folgenden Anhängen erlauben: | (Default) | Der Benutzer kann im User-Interface Anhänge von Mails herunterladen, die bestimmte Kriterien erfüllen. |
Diese Funktion ermöglicht u.U. das herunterladen von Viren und sollte daher nur versierten Benutzern erlaubt werden! | ||
Diese Funktion ermöglicht u.U. das herunterladen von Viren und sollte daher nur versierten Benutzern erlaubt werden! | ||
Weiterleiten von folgenden E-Mails erlauben: | (Default) | Der Benutzer kann im User-Interface E-Mails weiterleiten, die bestimmte Kriterien erfüllen. |
Diese Funktion ermöglicht u.U. das weiterleiten von Viren und sollte daher nur versierten Benutzern erlaubt werden! | ||
Diese Funktion ermöglicht u.U. das weiterleiten von Viren und sollte daher nur versierten Benutzern erlaubt werden! | ||
Bericht E-Mail-Adresse: | E-Mail-Adresse, an die ein Spam-Report versendet wird. Wenn hier kein Eintrag erfolgt, wird der Spam-Report an die erste E-Mail-Adresse der Liste gesendet. Neu in 11.8.8 Sind mehrere Mailadressen für einen Benutzer in einem AD hinterlegt, wird der dort als Primäre SMTP-Adresse konfigurierte Eintrag als Default-Adresse verwendet..
| |
Sprache der Berichte: | Vorgabe unter Firewall → Sprache der BerichteEs kann gezielt ausgewählt werden: bzw. | →
WOL
WOL steht für Wake on LAN und schaltet einen Computer über die Netzwerkkarte ein. Um den Rechner per Datenpaket zu starten, muss der Rechner dies auch unterstützen. In der Regel wird dies im BIOS bzw. UEFI konfiguriert.
Damit ein Benutzer WOL nutzen darf, muss es hier konfiguriert werden!
Beschriftung | Standardwert | Beschreibung |
---|---|---|
Beschreibung: | Freier Text | |
MAC Adresse: | __:__:__:__:__: | MAC-Adresse des Rechners, der per Wake on Lan aktiviert werden soll |
Schnittstelle: | Schnittstelle der Appliance, über die das WOL-Paket gesendet werden muss |
Ruft den Eintrag zum Bearbeiten auf.
Löscht den Eintrag
Gruppen
Manche Einstellungen, die im Abschnitt Benutzer beschrieben worden sind, können auch für die gesamte Gruppe eingestellt werden. Die Einstellungen für den einzelnen Benutzer ersetzen allerdings die Gruppeneinstellungen.
Berechtigungen
Beschriftung | Beschreibung |
---|---|
Gruppenname | Frei wählbarer Name |
Berechtigungen | |
Firewall Administrator | Mitglieder dieser Gruppe können das Admin-Interface aufrufen (per Default auf Port 11115 erreichbar. Es muss immmer mindestens einen Firewall-Adminstrator geben. |
Spamreport | Mitglieder dieser Gruppe können einen Spamreport erhalten |
VPN-L2TP | Mitglieder dieser Gruppe können eine VPN-L2TP-Verbindung aufbauen |
Mailrelay Benutzer | Mitglieder dieser Gruppe können das Mailrelay verwenden |
HTTP-Proxy | Mitglieder dieser Gruppe können den HTTP-Proxy verwenden |
IPSEC XAUTH | Mitglieder dieser Gruppe können sich mit IPSEC authentizieren |
Userinterface | Mitglieder dieser Gruppe haben Zugriff auf das Userinterface (inkl. Mailfilter) |
Clientless VPN | Mitglieder dieser Gruppe können Clientless VPN verwenden |
Mailfilter Administrator | Mitglieder dieser Gruppe haben in Kombination mit dem Recht User Webinterface Zugriff auf alle E-Mails, die im Mailarchiv der UTM zwischengespeichert sind - unabhängig davon, ob sie rechtmäßige Empfänger oder Sender dieser E-Mails sind. |
SSL-VPN | Mitglieder dieser Gruppe können eine SSL-VPN-Verbindung aufbauen |
Clientless VPN
Dieser Reiter wird nur angezeigt, wenn im Reiter Berechtigungen Clientless VPN aktiviert Ein wurde.
Unter
angelegte Verbindungen werden hier angezeigt.Clientless VPN | ||
---|---|---|
Name | Name der Verbindung | |
Zugriff | Nein | Bei Ja Aktivierung können Mitglieder dieser Gruppe diese Verbindung nutzen |
Hier lassen sich Verbindungen konfigurieren und hinzufügen.
Aufruf alternativ über
Weitere Hinweise im Artikel zu Clientless VPN.
SSL-VPN
notempty
Hier können für die gesamte Gruppe Einstellungen für das SSL-VPN konfiguriert werden.
Alle Benutzer verwenden das gleiche Zertifikat, wenn die Gruppeneinstellungen verwendet werden!
SSL-VPN Einstellungen einzelner Benutzer überschreiben die Gruppeneinstellungen.
Beschriftung: | Wert | Beschreibung: | |
---|---|---|---|
Client im Userinterface herunterladbar: | Nein | Wenn aktiviert, dann kann der VPN-Client im Userinterface heruntergeladen werden | |
SSL-VPN Verbindung: | rw-sslvpn-e2s-01 | Auswahl der gewünschten Verbindung (Angelegt unter | )|
Client-Zertifikat: | cs-sslvpn-rw | Auswahl des Zertifikats für diese Gruppe (Angelegt unter Zertifikate) Es können auch ACME-Zertifikate genutzt werden. | Reiter |
Remote Gateway: | 203.0.113.0/24 | IP-Adresse des Gateways, auf dem sich die SSL-VPN-Clients einwählen. Freie Eingabe oder Auswahl per Dropdown-Menü. | |
Redirect Gateway: | Aus | Anfragen zu Zielen außerhalb des lokalen Netzwerks (und damit auch des VPNs) werden vom Gateway des VPN-Users in der Regel direkt ins Internet geleitet. Bei Aktivierung des Buttons Ein wird das lokale Gateway umgeleitet auf die UTM. Dadurch profitieren auch diese Pakete vom Schutz der UTM. Diese Einstellung verändert die Konfigurationsdatei für den VPN-Client. | |
Im Portfilter verfügbar: | Nein | Durch Aktivierung Ja dieser Option können im Portfilter Regeln für diese Gruppe erstellt werden. Damit lässt sich der Zugriff für Benutzer, die Mitglied dieser über SSL-VPN verbundenen Gruppe sind, steuern. | |
Verzeichnis Dienst
Hier wird eingetagen, welcher Verzeichnis-Dienst-Gruppe die Mitglieder dieser Benutzergruppe angehören sollen.
Damit an dieser Stelle eine Gruppe ausgewählt werden kann, muss unter eine entsprechende Verbindung konfiguriert worden sein.
Auswahl einer AD/LDAP - Gruppe
Mailfilter
Die Berechtigung Userinterface Ein wird benötigt.
E-Mail-Adresse | ||
Beschriftung | Default | Beschreibung |
---|---|---|
support@ttt-point.de | E-Mailkonten, die von Mitgliedern dieser Gruppe eingesehen werden können, um den Mailfilter zu kontrollieren. Löschen mit | |
E-Mail-Adresse | Eintragen einer Mail-Adresse in die Liste | |
Herunterladen von folgenden Anhängen erlauben: | (Default) | Mitglieder dieser Gruppe können im User-Interface Anhänge von Mails herunterladen, die bestimmte Kriterien erfüllen. |
Weiterleiten von folgenden E-Mails erlauben: | (Default) | Mitglieder dieser Gruppe können im User-Interface E-Mails weiterleiten, die bestimmte Kriterien erfüllen. |
Bericht E-Mail-Adresse: | E-Mail-Adresse, an die ein Spam-Report versendet wird. Wenn hier kein Eintrag erfolgt, wird der Spam-Report an die erste E-Mail-Adresse der Liste gesendet. Sind mehrere Mailadressen für einen Benutzer in einem AD hinterlegt, wird der dort als Primäre SMTP-Adresse konfigurierte Eintrag als Default-Adresse verwendet.
| |
Sprache der Berichte: | Vorgabe unter Firewall → Sprache der BerichteEs kann gezielt ausgewählt werden: bzw. | →
WOL
WOL steht für Wake on LAN und schaltet einen Computer über die Netzwerkkarte ein. Um den Rechner per Datenpaket zu starten, muss der Rechner dies auch unterstützen. In der Regel wird dies im BIOS bzw. UEFI konfiguriert.
Mitglieder dieser Gruppe dürfen hier eingetragene Hosts per WOL einschalten.
Beschriftung | Standardwert | Beschreibung |
---|---|---|
Beschreibung | Freier Text | |
MAC Adresse: | __:__:__:__:__: | MAC-Adresse des Rechners, der per Wake on Lan aktiviert werden soll |
Schnittstelle: | Schnittstelle der Appliance, über die das WOL-Paket gesendet werden muss |
Ruft den Eintrag zum Bearbeiten auf.
Löscht den Eintrag