(Lauritzl verschob die Seite UTM/AUTH/Benutzerverwaltung nach UTM/AUTH/Benutzerverwaltung v12.2.3) Markierung: Neue Weiterleitung |
K (Weiterleitung auf UTM/AUTH/Benutzerverwaltung v12.2.3 entfernt) Markierung: Weiterleitung entfernt |
||
Zeile 1: | Zeile 1: | ||
# | {{Set_lang}} | ||
{{#vardefine:headerIcon|spicon-utm}} | |||
{{:UTM/AUTH/Benutzerverwaltung.lang}} | |||
{{var | neu--Zwischenablage Supportbenutzer | |||
| Die [[#Support-Benutzer | Anmeldedaten für Supportbenutzer lassen sich in die Zwischenablage kopieren]] <small>(ab v12.2.3)</small> | |||
| The [[#Support_user | Support User Credentials can be copied to the clipboard]] <small>(ab v12.2.3)</small> }} | |||
{{var | neu--Ablaufdatum CLI | |||
| Das Format für das [[#Benutzer_hinzufügen_/_bearbeiten | Ablaufdatum per CLI]] wurde erweitert <small>(ab v12.2.3)</small> | |||
| The format for the [[#Add_/_edit_user | Expiry Date via CLI]] has been extended <small>(ab v12.2.3)</small> }} | |||
{{var | neu--ACME | |||
| Hinweis zur Nutzung von ACME-Zertifikaten für [[:#SSL-VPN|Allgemeine Benutzer]] und für [[:#SSL-VPN_2|Gruppen]] <small>(ab v12.2.3)</small> | |||
| Note on the use of ACME certificates for [[:#SSL-VPN|General User]] and for [[:#SSL-VPN_2|Groups]] <small>(ab v12.2.3)</small> }} | |||
{{var | neu--IPSEC EAP | |||
| Gruppenberechtigung [[#Berechtigungen | IPSec EAP]] hinzugefügt | |||
| Added group permission [[#Permissions | IPSec EAP]] }} | |||
</div>{{Select_lang}}{{TOC2|class=col-md-9}} | |||
{{Header|12.2.4| | |||
* {{#var:neu--IPSEC EAP}} | |||
* {{#var:neu--ACME}} | |||
* {{#var:neu--Zwischenablage Supportbenutzer}} | |||
* {{#var:neu--Ablaufdatum CLI}} | |||
|[[UTM/AUTH/Benutzerverwaltung_11.7 | 11.7]] | |||
[[UTM/AUTH/Benutzerverwaltung_11.8.5 | 11.8.5]] | |||
[[UTM/AUTH/Benutzerverwaltung_v11.8.8 | 11.8.8]] | |||
[[UTM/AUTH/Benutzerverwaltung_v12.2.3 | 12.2.3]] | |||
|{{Menu|{{#var:Authentifizierung}}|{{#var:Benutzer}} }} | |||
}} | |||
---- | |||
=== {{#var:9|Einleitung}} === | |||
<div class="einrücken"> | |||
{{#var:10|<p>Aufruf der Benutzerkonfiguration in der Navigationsleiste unter {{Menu|Authentifizierung| Benutzer}}</p> | |||
<p>Die hier eingetragenen Benutzer werden in einer lokalen Datenbank auf der Appliance gespeichert. <br> | |||
Auch die an dieser Stelle konfigurierte Authentifizierung wird gegen die lokale Datenbank vorgenommen.<br> | |||
Es können zusätzlich lokale Benutzergruppen einer AD/LDAP - Gruppe zugeordnet werden.</p>}} | |||
<br clear=all> | |||
{{h3| {{#var:Benutzerübersicht }} | {{Reiter|{{#var:Benutzer}} }} }} | |||
{{pt3 | {{#var:12|UTM_v11.8.5_Authentifizierung_Benutzer.png}} | {{#var:13|Benutzerverwaltung}} }} | |||
{| class="sptable striped einrücken" | |||
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | |||
|- | |||
| {{b|{{#var:14|Name}}}} || <code>admin</code> || {{#var:15|Login-Name der Benutzer}} | |||
|- | |||
| {{b|{{#var:16|Gruppen}}}} || {{kasten|{{#var:17|administrator}}|blau}} || {{#var:18|Gruppenzugehörigket des jeweiligen Users}} | |||
|- | |||
| {{b|{{#var:19|Berechtigungen}}}} || style="min-width: 150px;" | {{kasten| {{#var:20|Firewall Adminstrator}}|blau}} || {{#var:21|Berechtigungen, Konfiguration unter [[UTM/AUTH/Benutzerverwaltung#Gruppen | Gruppen]]}} | |||
|- | |||
| style="min-width: 150px;" | {{b|{{#var:22|Hinweise}} }} || {{kasten|{{#var:24|Läuft in 8 Stunden ab}}|rot}} || {{#var:25|Nach Ablauf kann sich der Benutzer nicht mehr anmelden.}} | |||
|- | |||
| class="sichtbar-monitor"| || {{Button||w}} {{Button||trash}} || {{#var:26|Bearbeiten oder Löschen des Benutzers}} | |||
|- | |||
| colspan="2"| {{Button|{{#var:OTP Codes}}|p}} || {{#var:OTP Codes--desc}} | |||
|- | |||
| colspan="2"| {{button|{{#var:Benutzer hinzufügen}}|+}} || {{#var:Benutzer hinzufügen--desc}} | |||
|- | |||
| colspan="2"| {{Button|{{#var:Alle abgelaufenen Benutzer löschen}}|trash}} || {{#var:Alle abgelaufenen Benutzer löschen--desc}} | |||
|} | |||
<br clear=all> | |||
</div> | |||
---- | |||
=== {{Reiter | {{#var:27|Support-Benutzer}} }} === | |||
<div class="einrücken"> | |||
{{pt3|{{#var:28|UTM_v11.8.5_Authentifizierung_Benutzer_Support-Benutzer_anlegen.png}}| {{#var:29|Support-Benutzer anlegen}} }} | |||
<p>{{#var:31|Der Support-Benutzer ist ein temporärer Administrator, der zum Beispiel zur Unterstützung für den Securepoint Support aktiviert werden kann.}}</p> | |||
<p>{{Button|{{spc|headset|o|-}} }} {{#var:32|Die Schaltfläche zum Anlegen eines Support-Benutzers befindet sich rechts oben im Dashboard. (Headset-Symbol)}}</p> | |||
<p><li class="list--element__alert list--element__hint">{{#var:33|Es lassen sich nicht mehrere Support-Benutzer gleichzeitig anlegen. Existiert bereits ein Support-Benutzer wird gefragt, ob der vorhandene Benutzer gelöscht werden soll!}}</li></p> | |||
<br clear=all> | |||
{| class="sptable2 zh1 einrücken" | |||
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | |||
| class="bild width-m" rowspan="10" | {{bild|{{#var:36|UTM_v11.8.5_Authentifizierung_Benutzer_Support-Benutzer.png}}|hochkant=1}} | |||
|- | |||
| {{b| {{#var:34|Anmeldename:}} }} || style="min-width: 130px;" | {{ic|support-N3e-oDt|w=x}} || class="border-bottom" | {{#var:35|Willkürlicher Name, der mit <code>support-</code> beginnt und nur durch {{Button||refresh}} geändert werden kann. Es ist keine manuelle Eingabe möglich.}} | |||
|- | |||
| {{b| {{#var:37|Passwort:}} }} || {{ic|red-SZZ-sIa-dCB|w=x }} || {{#var:38|Willkürlicher Wert, der nur durch {{Button||refresh}} geändert werden kann. Es ist keine manuelle Eingabe möglich.}} | |||
|- | |||
| {{b| {{#var:39|Ablaufdatum:}} }} || {{ic|2019-08-20 11:11:11|w=x }} || {{#var:40|Per Default läuft der Zugang für den Support-Benutzer nach '''24 Stunden''' ab. Es ist möglich, diesen Wert auf bis zu '''30 Tage''' zu verlängern. Es ist nicht möglich, diesen Wert nachträglich zu ändern.}} | |||
|- | |||
| {{b| {{#var:41|Gruppen:}} }} || {{cb|administrator|-}} || {{#var:42|Es ist per Default die erste Benutzer-Gruppe mit der Berechtigung {{Kasten|Firewall Administrator|blau}} eingetragen. Es lassen sich andere Gruppen, die ebenfalls über diese Berechtigung verfügen auswählen.}} | |||
|- | |||
| {{b| {{#var:43|Root-Berechtigung:}} }} || {{ButtonAus|{{#var:n|Nein}} }} || {{#var:44|Bei {{ButtonAn|Ja}} Aktivierung erhält der Benutzer zusätzlich root-Berechtigung. Bei einer Verbindung mit SSH erfolgt die Anmeldung direkt auf der root-Konsole!}} | |||
|- | |||
| colspan="2"| {{Kasten| {{#var:44b| Administration}}}} <br>{{b|{{#var:44c|Zugriff für den Securepoint Support freigeben: }} }}   {{ButtonAn|{{#var:ja|Ja}} }}|| {{#var:44d|Um einen Zugriff auf das Admin-Interface über die externe Schnittstelle zu ermöglichen wird unter {{Menu|Netzwerk| Servereinstellungen}} Reiter {{Reiter| Administration}} der Eintrag {{ic|support.de.securepoint.de}} hinzugefügt.}} | |||
|- | |||
| colspan="2"| {{Button|{{#var:Anmeldedaten kopieren}}}}<p>{{Hinweis-neu|{{#var:Neu ab}} 12.2.3|12.3|status=neu}}</p> || <p>{{#var:Anmeldedaten kopieren-desc}}<br> {{#var:Anmeldedaten kopieren Beispiel--desc}}</p>{{Hinweis-neu | {{#var:45|!! Vor dem Speichern sollte der Anmeldename und <u>muss</u> das Passwort notiert werden!<br> Das Passwort kann nach dem Speichern nicht mehr angezeigt werden.}} | g | c=graul}} | |||
|- | |||
| colspan="2" | {{Button|{{#var:Speichern}}}} || {{#var:Speichern--desc}} | |||
|- | |||
| colspan="2" | {{Button|{{#var:Schließen}}}} || {{#var:Schließen--desc}} | |||
|- class="Leerzeile" | |||
| | |||
|- class="Leerzeile" | |||
| {{ic|{{#var:64}} }} || <pre>user support new name support-4711 password Insecure.123 groups administrator expirydate 1566650891 flags ROOT</pre> || {{#var:Support-Benutzer-CLI}} | |||
|- class="Leerzeile" | |||
|}<br> | |||
</div> | |||
<br clear=all> | |||
---- | |||
<!--{{h3|{{#var:Allgemeine Benutzer}} }}--> | |||
=== {{#var:Allgemeine Benutzer}} === | |||
<div class="einrücken"> | |||
{{h4|{{#var:Benutzer hinzufügen-bearbeiten}} }}{{Button|{{#var:Benutzer hinzufügen}}|+}} / {{button||w}} | |||
{{#var:50|Es öffnet sich der Dialog '''Benutzer hinzufügen'''. Dieser Dialog beinhaltet mehrere Registerkarten. | |||
Es müssen nicht in allen Registerkarten Eintragungen gemacht werden. Mit {{Button|Speichern}} werden die Eintragungen übernommen.}} | |||
{{h4|{{#var:51|Benutzer Allgemein}} | {{Reiter| {{#var:52|Allgemein}} }} }} | |||
{{h4|{{#var:benutzer--root}} }} | |||
{| class="sptable2 striped einrücken" | |||
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | |||
| class="Bild" rowspan="6" | {{Bild | {{#var:53|UTM_v11.8.5_Authentifizierung_Benutzer_Allgemein.png}}|{{#var:54|Anmeldedaten des Benutzers eintragen}} }} | |||
|- | |||
| rowspan="2" | {{b|{{#var:55|Anmeldename}} }} || {{ic|admin-user}} || {{#var:56|Login-Name des Benutzers}} | |||
|- | |||
| {{ic|root}} || <li class="list--element__alert list--element__hint">{{#var:benutzer--root--admin-Hinweis}}</li> | |||
{{#var: benutzer--root--desc}} | |||
<li class="list--element__alert list--element__warning">{{#var:benutzer--root--Ablauf-Hinweis}}</li> | |||
|- | |||
| style="min-width:150px;" | <p>{{b|{{#var:57|Passwort}} }}</p><p>{{b|{{#var:58|Passwort bestätigen}} }}</p> | |||
| class=mw11 | {{ic|••••••••}} {{Kasten|{{#var:59|Stark}}|grün}} | |||
| {{:UTM/AUTH/Kennwortregeln}} | |||
|- | |||
| {{b|{{#var:61|Ablaufdatum}}}} || {{ic|2020-08-21 00:00:00}} || {{#var:63|Nach Ablauf kann sich der Benutzer nicht mehr anmelden. Das Ablaufdatum kann aber wieder verlängert werden. (Es kann im Web-Interface nicht in die Vergangenheit gesetzt werden!)}} {{Einblenden3|{{#var:64|CLI-Befehl}} |{{#var:65|ausblenden}} | true|dezent}}<br>{{#var:Ablaufdatum CLI}}</div>{{Hinweis-neu| {{#var:aktualisiert}} | 12.4|status=update}} | |||
|- | |||
| {{b|{{#var:67|Gruppen}} }} || {{cb|administrator|-}} || {{#var:68|Gruppenzugehörigkeit und damit Berechtigungen dieses Benutzers}} | |||
|} | |||
<br clear=all> | |||
==== {{Reiter |VPN }} ==== | |||
<div class="einrücken"> | |||
{{pt3|{{#var:69|UTM_v11.8.5_Authentifizierung_Benutzer_VPN.png}} |{{#var:70|IP-Tunnel Adressen festlegen}}}} | |||
{{#var:71|Hier können feste IP-Tunnel Adressen an die Benutzer vergeben werden}} | |||
{| class="sptable pd5 zh1 einrücken" | |||
! class=mw15| {{#var:cap}} !! class=mw15| {{#var:desc}} | |||
|- class="Leerzeile" | |||
| colspan="2"| {{b|{{Kasten|{{#var:L2TP}} }} }} | |||
|- | |||
| {{b| {{#var:72|L2TP IP-Adresse:}} }} || {{#var:L2TP IP-Adresse--desc}} | |||
|- class="Leerzeile" | |||
| colspan="2"| {{b|{{Kasten|{{#var:SSL-VPN}} }} }} | |||
|- | |||
| {{b| {{#var:73|SSL-VPN IPv4-Adresse:}} }} || {{#var:SSL-VPN IPv4-Adresse--desc}} | |||
|- | |||
| {{b| {{#var:74|SSL-VPN IPv6-Adresse:}} }} || {{#var:SSL-VPN IPv6-Adresse--desc}} | |||
|- class="Leerzeile" | |||
| colspan="2"| {{b|{{Kasten|{{#var:IPSEC}} }} }} | |||
|- | |||
| {{b| {{#var:EAP-MSCHAPV2}} }} || {{#var:EAP-MSCHAPV2--desc}}{{info|{{#var:EAP-MSCHAPV2--Hinweis}} }}<br>{{Hinweis-neu|!|grün}}{{#var:EAP-MSCHAPV2--HowTo}} | |||
|- | |||
|} | |||
<p>{{Hinweis|!}} {{#var:75|PPTP steht nicht mehr zur Verfügung, da es sich nachgewiesenermaßen um ein unsicheres Protokoll handelt.}} </p> | |||
</div> | |||
<br clear=all> | |||
==== {{Reiter|SSL-VPN}} ==== | |||
{{:UTM/AUTH/Benutzerverwaltung_SSL-VPN}} | |||
<br clear=all> | |||
==== {{Reiter| {{#var:76|Passwort}} }} ==== | |||
<div class="einrücken"> | |||
{{pt3| {{#var:77|UTM_v11.8.5_Authentifizierung_Benutzer_Passwort.png}} | {{#var:78|Festlegen der Kennworteigenschaften}} }} | |||
{{#var:79|Auf der Registerkarte '''Passwort''' wird die Stärke des Kennwortes definiert und ob das Kennwort vom Benutzer selbst geändert werden darf.}} | |||
{| class="sptable einrücken" | |||
! {{#var:cap}} !! {{#var:def|Default}} !! {{#var:desc}} | |||
|- | |||
| {{b| {{#var:80|Passwortänderung erlaubt:}} }} || {{ButtonAus|{{#var:a|Aus}} }} || {{#var:81|Legt fest, ob der Benutzer sein Kennwort im User-Interface selber ändern darf.}} | |||
|- | |||
| {{b| {{#var:82|Mindest Kennwortlänge:}} }} || style="min-width: 90px;" | {{ic | 8|c|w=80px}} || {{#var:83|Die minimale Kennwortlänge kann auf mehr als 8 Zeichen gesetzt werden.}} | |||
|- | |||
| colspan="3" | {{Einblenden3|{{#var:84|Weitere, feste Kriterien für Kennwörter}} | {{#var:85|ausblenden}}|true|dezent}} | |||
{{:UTM/AUTH/Kennwortregeln}} | |||
</div> | |||
|} | |||
</div> | |||
<br clear=all> | |||
==== {{Reiter| {{#var:86|Mailfilter}} }} ==== | |||
{{pt3|{{#var:87|UTM_v11.8.5_Authentifizierung_Benutzer_Mailfilter.png|zu verwaltende E-Mail-Adressen}} }}<br clear=all> | |||
{| class="sptable striped einrücken" | |||
! {{#var:cap}} !! {{#var:def|Default}} !! {{#var:desc}} | |||
|- | |||
| {{b| {{#var:88|Einstellungen aus der Gruppe verwenden:}} }} || {{ButtonAus|{{#var:n|Nein}} }}|| {{#var:89|Wenn der Benutzer Mitglied einer Gruppe ist, können die Einstellungen von dort übernommen werden. Die folgenden Einstellungen werden dann hier ausgeblendet und sind im Menü {{ Menu | Authentifizierung | Benutzer }} / {{ Reiter | Gruppen}} zu konfigurieren.}} | |||
|- | |||
| class="Leerzeile" | {{Kasten|{{#var:90|E-Mail-Adresse}}|grau}} | |||
|- | |||
| {{b|user@ttt-point.de}} || || {{#var:91|E-Mailkonten ein, die von diesem Benutzer eingesehen werden können, um den Mailfilter zu kontrollieren.<br> Löschen mit}} {{Button| |trash}} | |||
|- | |||
| {{ic|{{#var:92|E-Mail-Adresse}} }} ||{{Button||+}} || {{#var:93|Eintragen einer E-Mail-Adresse in die Liste}} | |||
|- | |||
| rowspan="4" | {{b|{{#var:94|Herunterladen von folgenden Anhängen erlauben:}} }} || {{Button| {{#var:Benutzer--mailfilter--berechtigung--keine}} |dr}} (Default) || {{#var: Benutzer--mailfilter--berechtigung--download|Mitglieder dieser Gruppe können im User-Interface Anhänge von Mails herunterladen, die bestimmte Kriterien erfüllen.}} | |||
|- | |||
| {{Button| {{#var:Benutzer--mailfilter--berechtigung--gefiltert}} |dr|w=170px}} || | |||
|- | |||
| {{Button| {{#var:Benutzer--mailfilter--berechtigung--quarantänisiert}}|dr|w=170px}} || {{Hinweis|!|r}} {{#var:Benutzer--mailfilter--berechtigung--download--warnung}} | |||
|- | |||
| {{Button| {{#var:Benutzer--mailfilter--berechtigung--gefiltert-quarantänisiert}}|dr|w=170px}} || {{Hinweis|!|r}} {{#var:Benutzer--mailfilter--berechtigung--download--warnung}} | |||
|- | |||
| rowspan="4" style="min-width: 180px;" | {{b|{{#var:98|Weiterleiten von folgenden E-Mails erlauben:}} }}|| {{Button| {{#var:Benutzer--mailfilter--berechtigung--keine}} |dr}} (Default) || {{#var:Benutzer--mailfilter--berechtigung--weiterleiten|Mitglieder dieser Gruppe können im User-Interface Anhänge von Mails weiterleiten, die bestimmte Kriterien erfüllen.}} | |||
|- | |||
| {{Button| {{#var:Benutzer--mailfilter--berechtigung--gefiltert}} |dr|w=170px}} || | |||
|- | |||
| {{Button| {{#var:Benutzer--mailfilter--berechtigung--quarantänisiert}}|dr|w=170px}} || {{Hinweis|!|r}} {{#var:Benutzer--mailfilter--berechtigung--weiterleiten--warnung}} | |||
|- | |||
| {{Button| {{#var:Benutzer--mailfilter--berechtigung--gefiltert-quarantänisiert}}|dr|w=170px}} || {{Hinweis|!|r}} {{#var:Benutzer--mailfilter--berechtigung--weiterleiten--warnung}} | |||
|- | |||
| {{b| {{#var:166|Bericht E-Mail-Adresse:}} }} || {{ic | | w=150px}} || {{#var:mf167|E-Mail-Adresse, an die ein Spam-Report versendet wird.<br>Wenn hier kein Eintrag erfolgt, wird der Spam-Report an die erste E-Mail-Adresse der Liste gesendet.}}<br> | |||
<span id="spamreport-default">{{Hinweis|{{#var:new}} in 11.8.8|11.8.8|gr}}{{#var: spamreport--default-mail--Bericht}} {{Einblenden2|Abb.|ausblenden|dezent|true| content= [[Datei:{{#var:spamreport--default-mail--bild|AD proxyAdresses spamreport.png}}|mini]] }} | |||
</span><!-- | |||
| style="min-width: 180px;" | {{b|{{#var:94|Herunterladen von folgenden Anhängen erlauben:}} }} || {{#var:95|Default-Wert95}} || {{Hinweis|{{#var:96c|! Neu ab 11.8.6 96c}}|11.8.6 }}{{#var:96|Jo96}}<br>{{#var:97|Liste97}} | |||
|- | |||
| <span id="downloadq"></span>{{b|{{#var:98|Weiterleiten von folgenden E-Mails erlauben:}} }}<br>{{Hinweis|{{#var:96b|! Neu ab 11.8.5}}|11.8.5 }}|| {{#var:99|Defaultwert}} || {{Hinweis|{{#var:96c|! Neu ab 11.8.6}}|11.8.6 }}{{#var:99b|Erklärung}}<br>{{#var:99c|Liste}} | |||
|- | |||
| <span id="mail-bericht"></span>{{b| {{#var:100|Bericht E-Mail-Adresse:}} }}<br>{{Hinweis|{{#var:96b|! Neu ab 11.8.5}}|11.8.5 }} || {{ic |    }} || {{#var:101|E-Mail-Adresse, an die ein Spam-Report versendet wird.<br>Wenn hier kein Eintrag erfolgt, wird der Spam-Report an die erste E-Mail-Adresse der Liste gesendet.}} | |||
--> | |||
|- | |||
| {{b| {{#var:102|Sprache der Berichte:}} }} || {{Button|Default|dr|w=85px}} || {{#var:103|Vorgabe unter {{Menu|Netzwerk|Servereinstellungen}} → {{Kasten|Firewall}} → {{b|Sprache der Berichte}}<br>Es kann gezielt ausgewählt werden: {{Button|Deutsch|dr}} bzw. {{Button|Englisch|dr}}}} | |||
|} | |||
<br clear=all> | |||
==== {{Reiter| WOL}} ==== | |||
<div class="einrücken"> | |||
{{pt3|{{#var:104|UTM_v11.8.5_Authentifizierung_Benutzer_WOL.png}} | {{#var:105|Wake on Lan konfigurieren}} }} | |||
<p>{{#var:106|WOL steht für Wake on LAN und schaltet einen Computer über die Netzwerkkarte ein. Um den Rechner per Datenpaket zu starten, muss der Rechner dies auch unterstützen. In der Regel wird dies im BIOS bzw. UEFI konfiguriert.</p> | |||
<p>Damit ein Benutzer WOL nutzen darf, muss es hier konfiguriert werden!</p>}} | |||
{| class="sptable striped einrücken" | |||
! {{#var:cap}} !! {{#var:def|Default}} !! {{#var:desc}} | |||
|- | |||
| {{b|{{#var:desc}}:}} || {{ic|   }} || {{#var:107|Freier Text}} | |||
|- | |||
| {{b|{{#var:108|MAC Adresse:}} }} || {{ic| __:__:__:__:__:|w=100px}} || {{#var:109|MAC-Adresse des Rechners, der per '''Wake on Lan''' aktiviert werden soll}} | |||
|- | |||
| {{b|{{#var:110|Schnittstelle:}} }} || {{Button| eth0 |dr}} || {{#var:111|Schnittstelle der Appliance, über die das WOL-Paket gesendet werden muss}} | |||
|} | |||
<br> | |||
<p>{{Button| |w}}  {{#var:112|Ruft den Eintrag zum Bearbeiten auf.}}</p> | |||
<p>{{Button| |trash}}  {{#var:113|Löscht den Eintrag}}</p> | |||
</div> | |||
<br clear=all> | |||
</div> | |||
---- | |||
=== {{Reiter| {{#var:114|Gruppen}} }} === | |||
<div class="einrücken"> | |||
{{pt3 | {{#var:115|UTM_v11-8_Authentifizierung_Benutzer_Gruppe-hinzufügen_Berechtigungen.png}} | {{#var:116|Gruppen hinzufügen}} }} | |||
{{#var:117|Manche Einstellungen, die im Abschnitt {{Reiter|Benutzer}} beschrieben worden sind, können auch für die gesamte Gruppe eingestellt werden. Die Einstellungen für den einzelnen Benutzer ersetzen allerdings die Gruppeneinstellungen.}} | |||
<br clear=all> | |||
==== {{Reiter| {{#var:118|Berechtigungen}} }} ==== | |||
{| class="sptable striped einrücken" | |||
! {{#var:cap}} !! {{#var:desc}} | |||
|- | |||
| {{#var:119|Gruppenname}} || {{ic|{{#var:120|Frei wählbarer Name}} |w=x}} | |||
|- | |||
| class="Leerzeile noborder" | | |||
|- | |||
| class="Leerzeile noborder" | {{KastenGrau|{{#var:121|Berechtigungen}}}} | |||
|- | |||
| {{#var:122|Firewall Administrator}} || {{#var:122b|Mitglieder dieser Gruppe können das Admin-Interface aufrufen (per Default auf Port 1115 erreichbar.<br> {{Hinweis|!}}Es muss immmer mindestens einen Firewall-Adminstrator geben}} | |||
|- | |||
| {{#var:123|Spamreport}} || {{#var:124|Mitglieder dieser Gruppe können einen Spamreport erhalten}} | |||
|- | |||
| VPN-L2TP || {{#var:124b|Mitglieder dieser Gruppe können eine VPN-L2TP-Verbindung aufbauen}} | |||
|- | |||
| {{#var:125|Mailrelay Benutzer}} || {{#var:126|Mitglieder dieser Gruppe können das Mailrelay verwenden}} | |||
|- | |||
| {{#var:127|HTTP-Proxy}} || {{#var:128|Mitglieder dieser Gruppe können den HTTP-Proxy verwenden}} | |||
|- | |||
| {{#var:129|IPSEC XAUTH}} || {{#var:130|Mitglieder dieser Gruppe können sich mit IPSEC authentizieren}} | |||
|- | |||
| {{#var:IPSEC EAP}} {{Hinweis-neu|{{#var:Neu ab}} 12.2.4|12.2.4|status=neu}} || {{#var:IPSEC EAP--desc}} | |||
|- | |||
| {{#var:131|Userinterface}} || {{#var:132|Mitglieder dieser Gruppe haben Zugriff auf das Userinterface}} | |||
|- | |||
| {{#var:133|Clientless VPN}} || {{#var:134|Mitglieder dieser Gruppe können Clientless VPN verwenden}} | |||
|- | |||
| <span id="Mailfilter-Berechtigung"></span>{{#var:135|Mailfilter Administrator}} || {{#var:136|Mitglieder dieser Gruppe können einstellungen für den Mailfilter vornehmen}} | |||
|- | |||
| {{#var:137|SSL-VPN}} || {{#var:138|Mitglieder dieser Gruppe können eine SSL-VPN-Verbindung aufbauen}} | |||
|- | |||
| {{Hinweis| ab v12 | 12.1}}{{#var:Userinterface Administrator}} || {{#var:Userinterface Administrator--desc}} | |||
|} | |||
<br clear=all> | |||
==== {{Reiter| {{#var:133|Clinetless VPN}} }} ==== | |||
<div class="einrücken"> | |||
{{pt3|{{#var:139|UTM_v11.8.5_Authentifizierung_Benutzer_Clientless-VPN.png}} }} | |||
<p>{{#var:140|Dieser Reiter wird nur angezeigt, wenn im Reiter {{Reiter|Berechtigungen}} {{ic|Clientless VPN}} aktiviert {{ButtonAn|Ein}} wurde.}}</p> | |||
<p>{{#var:141|Unter{{Menu|VPN | Clientless VPN}} angelegte Verbindungen werden hier angezeigt.}} | |||
{| class="sptable" | |||
|- | |||
! colspan="3" | {{Kasten| {{#var:133|Clientless VPN}}|grau}} | |||
|- | |||
| {{b|{{#var:142|Name}} }} || {{#var:142b|Name der Verbindung}} || | |||
|- | |||
| {{b|{{#var:143|Zugriff}} }} || {{ButtonAus|{{#var:n|Nein}} }} || {{#var:143b|Bei {{ButtonAn|Ja}} Aktivierung können Mitglieder dieser Gruppe diese Verbindung nutzen}} | |||
|}</p> | |||
<p>{{Button|{{#var:144|Clientless VPN Verwaltung öffnen}}|mw}} {{#var:145|Hier lassen sich Verbindungen konfigurieren und hinzufügen.}}</p> | |||
<p>{{#var:146|Aufruf alternativ über}} {{Menu|VPN|Clientless VPN}}</p> | |||
<p>{{#var:147|Weitere Hinweise im Artikel zu}} [[UTM/VPN/ClientlessVPN|Clientless VPN]]. | |||
</div> | |||
<br clear=all> | |||
==== {{Reiter| SSL-VPN}} ==== | |||
<div class="einrücken"> | |||
{{:UTM/AUTH/Benutzerverwaltung-Gruppen-SSL-VPN}} | |||
</div> | |||
==== {{Reiter|{{#var:148|Verzeichnis Dienst}} }} ==== | |||
<div class="einrücken"> | |||
{{pt3|{{#var:149|UTM_v11.8.5_Authentifizierung_Benutzer_Verzeichnisdienst.png}}|{{#var:150|AD/LDAP Gruppenzuordnung}} }} | |||
<p>{{#var:151|Hier wird eingetragen, welcher Verzeichnis-Dienst-Gruppe die Mitglieder dieser Benutzergruppe angehören sollen.}}</p> | |||
<p>{{ic| {{#var:152|Auswahl einer Gruppe des AD/LDAP-Servers}} |dr|w=x}}</p> | |||
</div> | |||
<br clear=All> | |||
==== {{Reiter| {{#var:153|Mailfilter}} }} ==== | |||
<div class="einrücken"> | |||
{{pt3|{{#var:154|UTM_v11.8.5_Authentifizierung_Benutzer_Gruppen_Mailfilter.png}} | {{#var:155|Mailfilter für Gruppen konfigurieren}} }} | |||
{{#var:156|Die Berechtigung '''Userinterface''' {{ButtonAn|Ein}} wird benötigt.}} | |||
<br clear=all> | |||
{{:UTM/AUTH/Benutzerverwaltung_Gruppen_Mailfilter}} | |||
</div> | |||
<br clear=all> | |||
==== {{Reiter| WOL }} ==== | |||
<div class="einrücken"> | |||
{{pt3|{{#var:170|UTM_v11.8.5_Authentifizierung_Benutzer_Gruppen_WOL.png}} | {{#var:171|Wake on LAN konfigurieren}} }} | |||
{{#var:172|<p>WOL steht für Wake on LAN und schaltet einen Computer über die Netzwerkkarte ein. Um den Rechner per Datenpaket zu starten, muss der Rechner dies auch unterstützen. In der Regel wird dies im BIOS bzw. UEFI konfiguriert.</p> | |||
<p>Mitglieder dieser Gruppe dürfen hier eingetragene Hosts per WOL einschalten.</p>}} | |||
{| class="sptable striped" | |||
! {{#var:cap}} !! {{#var:def|Default}} !! {{#var:desc}} | |||
|- | |||
| {{#var:desc}} || {{ic|   }} || {{#var:107|Freier Text}} | |||
|- | |||
| {{b|{{#var:108|MAC Adresse:}} }} || {{ic| __:__:__:__:__:|w=100px}} || {{#var:109|MAC-Adresse des Rechners, der per '''Wake on Lan''' aktiviert werden soll}} | |||
|- | |||
| {{b|{{#var:110|Schnittstelle:}} }} || {{Button| eth0 |dr}} || {{#var:111|Schnittstelle der Appliance, über die das WOL-Paket gesendet werden muss}} | |||
|} | |||
<br> | |||
{{Button| |w}}  {{#var:112|Ruft den Eintrag zum Bearbeiten auf.}} | |||
<p>{{Button| |trash}}  {{#var:113|Löscht den Eintrag}} </p> | |||
<br clear=all> | |||
<small><div align="right">[[#top|nach oben]]</div></small> | |||
<br> | |||
</div> | |||
</div> | |||
---- | |||
{{:UTM/AUTH/Captive_Portal_Benutzer}} |
Version vom 21. Dezember 2022, 14:57 Uhr
- Gruppenberechtigung IPSec EAP hinzugefügt
- Hinweis zur Nutzung von ACME-Zertifikaten für Allgemeine Benutzer und für Gruppen (ab v12.2.3)
- Die Anmeldedaten für Supportbenutzer lassen sich in die Zwischenablage kopieren (ab v12.2.3)
- Das Format für das Ablaufdatum per CLI wurde erweitert (ab v12.2.3)
Einleitung
Aufruf der Benutzerkonfiguration in der Navigationsleiste unter
Die hier eingetragenen Benutzer werden in einer lokalen Datenbank auf der Appliance gespeichert.
Auch die an dieser Stelle konfigurierte Authentifizierung wird gegen die lokale Datenbank vorgenommen.
Es können zusätzlich lokale Benutzergruppen einer AD/LDAP - Gruppe zugeordnet werden.
Benutzerübersicht
Beschriftung | Wert | Beschreibung |
---|---|---|
Name | admin |
Login-Name der Benutzer |
Gruppen | administrator | Gruppenzugehörigket des jeweiligen Users |
Berechtigungen | Firewall Adminstrator | Berechtigungen, Konfiguration unter Gruppen |
Hinweise | Läuft in 8 Stunden ab | Nach Ablauf kann sich der Benutzer nicht mehr anmelden. |
Bearbeiten oder Löschen des Benutzers | ||
Erzeugt ein pdf Dokument mit OTP Codes im QR-Format und Klartext für alle Benutzer außer dem Benutzer admin | ||
Legt einen neuen Benutzer an. s.u. | ||
Tut genau das. Supportbenutzer werden spätestens 24 Stunden nach Ablaufdatum automatisch entfernt. |
Support-Benutzer
Der Support-Benutzer ist ein temporärer Administrator, der zum Beispiel zur Unterstützung für den Securepoint Support aktiviert werden kann.
Die Schaltfläche zum Anlegen eines Support-Benutzers befindet sich links in der Menuleiste:
Allgemeine Benutzer
Benutzer hinzufügen / bearbeiten
/Es öffnet sich der Dialog Benutzer hinzufügen. Dieser Dialog beinhaltet mehrere Registerkarten. Es müssen nicht in allen Registerkarten Eintragungen gemacht werden. Mit
werden die Eintragungen übernommen.Benutzer Allgemein
root-Benutzer
VPN
Hier können feste IP-Tunnel Adressen an die Benutzer vergeben werden
Beschriftung | Beschreibung |
---|---|
L2TP IP-Adresse: | Die Tunnel IP-Adresse für L2TP |
SSL-VPN IPv4-Adresse: | Die Tunnel IPv4-Adresse für SSL-VPN |
SSL-VPN IPv6-Adresse: | Die Tunnel IPv6-Adresse für SSL-VPN |
EAP-MSCHAPV2 Passwort | Das Passwort für EAP-MSCHAPV2 Aus Sicherheitsgründen sollte sich das EAP Passwort von dem allgemeinen Passwort des Benutzers unterscheiden. Dieses HowTo beschreibt die Konfiguration von IPSec EAP
|
PPTP steht nicht mehr zur Verfügung, da es sich nachgewiesenermaßen um ein unsicheres Protokoll handelt.
SSL-VPN
Beschriftung | Wert | Beschreibung | UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer |
---|---|---|---|
Einstellungen aus der Gruppe verwenden: | Nein | Wenn der Benutzer Mitglied einer Gruppe ist, können die Einstellungen von dort übernommen werden. Die folgenden Einstellungen werden dann hier ausgeblendet und sind im Menü Gruppen zu konfigurieren. | Bereich|
Client im Userinterface herunterladbar: | Ja | Der Securepoint VPN-Windows-Client kann im User Webinterface (im Standard über Port 1443 erreichbar) heruntergeladen werden. Der Port ist konfigurierbar im Menü Servereinstellungen Schaltfläche / User Webinterface Port: : 1443. | Bereich|
SSL-VPN Verbindung: | RW-Securepoint | Auswahl einer Verbindung, die im Menü | angelegt wurde.|
Client-Zertifikat: | cs-sslvpn-rw(1) | Es muss ein Zertifikat angegeben werden, mit dem sich der Client gegenüber der UTM authentifiziert. Es können auch ACME-Zertifikate genutzt werden. | |
Remote Gateway: | 192.168.0.162 (Beispiel-IP) | Externe IP-Adresse oder im DNS auflösbare Adresse des Gateways, zu dem die Verbindung hergestellt werden soll. | |
Redirect Gateway: | Ein | Bei Aktivierung wird der gesamte Netzwerkverkehr des Clients über das gewählte Gateway gesendet. | |
Passwort
Auf der Registerkarte Passwort wird die Stärke des Kennwortes definiert und ob das Kennwort vom Benutzer selbst geändert werden darf.
Beschriftung | Standardwert | Beschreibung |
---|---|---|
Passwortänderung erlaubt: | Aus | Legt fest, ob der Benutzer sein Kennwort im User-Interface selber ändern darf. |
Mindest Kennwortlänge: | 8 | Die minimale Kennwortlänge kann auf mehr als 8 Zeichen gesetzt werden. |
Kennwörter müssen folgende Kriterien erfüllen:
|
Mailfilter
Beschriftung | Standardwert | Beschreibung |
---|---|---|
Einstellungen aus der Gruppe verwenden: | Nein | Wenn der Benutzer Mitglied einer Gruppe ist, können die Einstellungen von dort übernommen werden. Die folgenden Einstellungen werden dann hier ausgeblendet und sind im Menü Gruppen zu konfigurieren. | /
E-Mail-Adresse | ||
user@ttt-point.de | E-Mailkonten, die von diesem Benutzer eingesehen werden können, um den Mailfilter zu kontrollieren. Löschen mit | |
E-Mail-Adresse | Eintragen einer E-Mail-Adresse in die Liste | |
Herunterladen von folgenden Anhängen erlauben: | (Default) | Der Benutzer kann im User-Interface Anhänge von Mails herunterladen, die bestimmte Kriterien erfüllen. |
Diese Funktion ermöglicht u.U. das herunterladen von Viren und sollte daher nur versierten Benutzern erlaubt werden! | ||
Diese Funktion ermöglicht u.U. das herunterladen von Viren und sollte daher nur versierten Benutzern erlaubt werden! | ||
Weiterleiten von folgenden E-Mails erlauben: | (Default) | Der Benutzer kann im User-Interface E-Mails weiterleiten, die bestimmte Kriterien erfüllen. |
Diese Funktion ermöglicht u.U. das weiterleiten von Viren und sollte daher nur versierten Benutzern erlaubt werden! | ||
Diese Funktion ermöglicht u.U. das weiterleiten von Viren und sollte daher nur versierten Benutzern erlaubt werden! | ||
Bericht E-Mail-Adresse: | E-Mail-Adresse, an die ein Spam-Report versendet wird. Wenn hier kein Eintrag erfolgt, wird der Spam-Report an die erste E-Mail-Adresse der Liste gesendet. Neu in 11.8.8 Sind mehrere Mailadressen für einen Benutzer in einem AD hinterlegt, wird der dort als Primäre SMTP-Adresse konfigurierte Eintrag als Default-Adresse verwendet.
| |
Sprache der Berichte: | Vorgabe unter Firewall → Sprache der BerichteEs kann gezielt ausgewählt werden: bzw. | →
WOL
WOL steht für Wake on LAN und schaltet einen Computer über die Netzwerkkarte ein. Um den Rechner per Datenpaket zu starten, muss der Rechner dies auch unterstützen. In der Regel wird dies im BIOS bzw. UEFI konfiguriert.
Damit ein Benutzer WOL nutzen darf, muss es hier konfiguriert werden!
Beschriftung | Standardwert | Beschreibung |
---|---|---|
Beschreibung: | Freier Text | |
MAC Adresse: | __:__:__:__:__: | MAC-Adresse des Rechners, der per Wake on Lan aktiviert werden soll |
Schnittstelle: | Schnittstelle der Appliance, über die das WOL-Paket gesendet werden muss |
Ruft den Eintrag zum Bearbeiten auf.
Löscht den Eintrag
Gruppen
Manche Einstellungen, die im Abschnitt Benutzer beschrieben worden sind, können auch für die gesamte Gruppe eingestellt werden. Die Einstellungen für den einzelnen Benutzer ersetzen allerdings die Gruppeneinstellungen.
Berechtigungen
Beschriftung | Beschreibung |
---|---|
Gruppenname | Frei wählbarer Name |
Berechtigungen | |
Firewall Administrator | Mitglieder dieser Gruppe können das Admin-Interface aufrufen (per Default auf Port 1115 erreichbar. Es muss immmer mindestens einen Firewall-Adminstrator geben |
Spamreport | Mitglieder dieser Gruppe können einen Spamreport erhalten |
VPN-L2TP | Mitglieder dieser Gruppe können eine VPN-L2TP-Verbindung aufbauen |
Mailrelay Benutzer | Mitglieder dieser Gruppe können das Mailrelay verwenden |
HTTP-Proxy | Mitglieder dieser Gruppe können den HTTP-Proxy verwenden |
IPSEC XAUTH | Mitglieder dieser Gruppe können sich mit IPSEC authentifizieren |
Neu ab 12.2.4 |
Mitglieder dieser Gruppe können sich mit Microsoft CHAPv2 für IPSec Verbindungen mit IKEv2 authentisieren |
Userinterface | Mitglieder dieser Gruppe haben Zugriff auf das Userinterface (inkl. Mailfilter) |
Clientless VPN | Mitglieder dieser Gruppe können Clientless VPN verwenden |
Mailfilter Administrator | Mitglieder dieser Gruppe können einstellungen für den Mailfilter vornehmen |
SSL-VPN | Mitglieder dieser Gruppe können eine SSL-VPN-Verbindung aufbauen |
ab v12 Userinterface Administrator | Mitglieder dieser Gruppe können über das Userinterface auf die Captive Portal Benutzerverwaltung zugreifen. |
Clinetless VPN
Dieser Reiter wird nur angezeigt, wenn im Reiter Berechtigungen Clientless VPN aktiviert Ein wurde.
Unter
angelegte Verbindungen werden hier angezeigt.Clientless VPN | ||
---|---|---|
Name | Name der Verbindung | |
Zugriff | Nein | Bei Aktivierung können Mitglieder dieser Gruppe diese Verbindung nutzen |
Hier lassen sich Verbindungen konfigurieren und hinzufügen.
Aufruf alternativ über
Weitere Hinweise im Artikel zu Clientless VPN.
SSL-VPN
Hier können für die gesamte Gruppe Einstellungen für das SSL-VPN konfiguriert werden.
Alle Benutzer verwenden das gleiche Zertifikat, wenn die Gruppeneinstellungen verwendet werden!
SSL-VPN Einstellungen einzelner Benutzer überschreiben die Gruppeneinstellungen.
Beschriftung: | Wert | Beschreibung: | UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer |
---|---|---|---|
Client im Userinterface herunterladbar: | Nein | Wenn aktiviert, dann kann der VPN-Client im Userinterface heruntergeladen werden | |
SSL-VPN Verbindung: | RW-Securepoint | Auswahl der gewünschten Verbindung (Angelegt unter | )|
Client-Zertifikat: | cs-sslvpn-rw(1) | Auswahl des Zertifikats für diese Gruppe (Angelegt unter Zertifikate) Es können auch ACME-Zertifikate genutzt werden. | Bereich |
Remote Gateway: | 192.168.175.1 | IP-Adresse des Gateways, auf dem sich die SSL-VPN-Clients einwählen. Freie Eingabe oder Auswahl per Dropdown-Menü. | |
Redirect Gateway: | Aus | Anfragen zu Zielen außerhalb des lokalen Netzwerks (und damit auch des VPNs) werden vom Gateway des VPN-Users in der Regel direkt ins Internet geleitet. Bei Aktivierung des Buttons Ein wird das lokale Gateway umgeleitet auf die UTM. Dadurch profitieren auch diese Pakete vom Schutz der UTM. Diese Einstellung verändert die Konfigurationsdatei für den VPN-Client. | |
Im Paketfilter verfügbar: | Nein | Durch Aktivierung Ja dieser Option können im Paketfilter Regeln für diese Gruppe erstellt werden. Damit lässt sich der Zugriff für Benutzer, die Mitglied dieser über SSL-VPN verbundenen Gruppe sind, steuern. | |
Verzeichnis Dienst
Hier wird eingetragen, welcher Verzeichnis-Dienst-Gruppe die Mitglieder dieser Benutzergruppe angehören sollen.
Auswahl einer Gruppe des AD/LDAP-Servers
Mailfilter
Die Berechtigung Userinterface Ein wird benötigt.
Beschriftung | Default | Beschreibung |
---|---|---|
Herunterladen von folgenden Anhängen erlauben: | (Default) | Mitglieder dieser Gruppe können im User-Interface Anhänge von Mails herunterladen, die bestimmte Kriterien erfüllen. |
Weiterleiten von folgenden E-Mails erlauben: | (Default) | Mitglieder dieser Gruppe können im User-Interface E-Mails weiterleiten, die bestimmte Kriterien erfüllen. |
Bericht E-Mail-Adresse: | E-Mail-Adresse, an die ein Spam-Report versendet wird. Wenn hier kein Eintrag erfolgt, wird der Spam-Report an die erste E-Mail-Adresse der Liste gesendet. Sind mehrere Mailadressen für einen Benutzer in einem AD hinterlegt, wird der dort als Primäre SMTP-Adresse konfigurierte Eintrag als Default-Adresse verwendet.
| |
Sprache der Berichte: | Vorgabe unter Firewall → Sprache der BerichteEs kann gezielt ausgewählt werden: bzw. | → |
E-Mail-Adressen | ||
E-Mail-Adresse | Eintragen einer Mail-Adresse in die Liste | |
support@ttt-point.de | E-Mailkonten, die von Mitgliedern dieser Gruppe eingesehen werden können, um den Mailfilter zu kontrollieren. Löschen mit |
WOL
WOL steht für Wake on LAN und schaltet einen Computer über die Netzwerkkarte ein. Um den Rechner per Datenpaket zu starten, muss der Rechner dies auch unterstützen. In der Regel wird dies im BIOS bzw. UEFI konfiguriert.
Mitglieder dieser Gruppe dürfen hier eingetragene Hosts per WOL einschalten.
Beschriftung | Standardwert | Beschreibung |
---|---|---|
Beschreibung | Freier Text | |
MAC Adresse: | __:__:__:__:__: | MAC-Adresse des Rechners, der per Wake on Lan aktiviert werden soll |
Schnittstelle: | Schnittstelle der Appliance, über die das WOL-Paket gesendet werden muss |
Ruft den Eintrag zum Bearbeiten auf.
Löscht den Eintrag
Captive Portal Benutzer
Benutzer hinzufügen
Captive Portal Benutzer können verwaltet werden von:
- Administratoren
- Benutzern, die Mitglied einer Gruppe mit der Berechtigung Userinterface Administrator sind.
Diese erreichen die Benutzerverwaltung über das Userinterface.