KKeine Bearbeitungszusammenfassung |
KKeine Bearbeitungszusammenfassung |
||
| Zeile 131: | Zeile 131: | ||
{{pt2 | UTM_v11-8_Authentifizierung_Benutzer_Gruppe-hinzufügen_Berechtigungen.png | Gruppen hinzufügen }} | {{pt2 | UTM_v11-8_Authentifizierung_Benutzer_Gruppe-hinzufügen_Berechtigungen.png | Gruppen hinzufügen }} | ||
Manche Einstellungen, die im Abschnitt {{Reiter|Benutzer}} beschrieben worden sind, können auch für die gesamte Gruppe eingestellt werden. Die Einstellungen für den einzelnen Benutzer ersetzen allerdings die Gruppeneinstellungen. | Manche Einstellungen, die im Abschnitt {{Reiter|Benutzer}} beschrieben worden sind, können auch für die gesamte Gruppe eingestellt werden. Die Einstellungen für den einzelnen Benutzer ersetzen allerdings die Gruppeneinstellungen. | ||
==== {{Reiter| Berechtigungen}} ==== | |||
{| class="sptable striped" | {| class="sptable striped" | ||
! Beschriftung !! Beschreibung | ! Beschriftung !! Beschreibung | ||
| Zeile 163: | Zeile 165: | ||
==== {{Reiter| Clinetless VPN}} ==== | |||
{{pt2|UTM_v11.8.5_Authentifizierung_Benutzer_Clientless-VPN.png}} | |||
<br clear=all> | |||
====Registerkarte SSL-VPN==== | ====Registerkarte SSL-VPN==== | ||
| Zeile 190: | Zeile 176: | ||
<br/><br/><br/><br/> | <br/><br/><br/><br/> | ||
<br/><br/><br/><br/> | <br/><br/><br/><br/> | ||
====Registerkarte Active Directory==== | ====Registerkarte Active Directory==== | ||
Version vom 22. August 2019, 16:38 Uhr
Letzte Anpassung zur Version: 11.8.5
- Bemerkung:
-
- Ablaufdatum für Benutzerkonten
- Supportuser
Vorherige Versionen: 11.7
Einleitung
Aufruf der Benutzerkonfiguration in der Navigationsleiste unter
Die hier eingetragenen Benutzer werden in einer lokalen Datenbank auf der Appliance gespeichert. Auch die Authentifizierung wird gegen die lokale Datenbank vorgenommen.
Hier können Sie neue Nutzer angelegt, Eigenschaften von bestehenden Benutzern geändert oder Nutzer gelöscht werden. Ebenso können
Gruppen verwaltet werden, in denen Benutzer organisiert sind.
Benutzer
| Beschriftung | Wert | Beschreibung |
|---|---|---|
| Name | admin |
Login-Name der Benutzer |
| Gruppen | administrator | Gruppenzugehörigket des jeweiligen Users |
| Berechtigungen | Firewall Adminstrator | Berechtigungen, Konfiguration unter Gruppen |
| Hinweise Neu ab 11.8.5 |
Läuft in 8 Stunden ab | Nach Ablauf kann sich der Benutzer nicht mehr anmelden. |
| Bearbeiten oder Löschen des Benutzers |
Benutzer hinzufügen
Es öffnet sich der Dialog Benutzer hinzufügen. Dieser Dialog beinhaltet mehrere Registerkarten. Es müssen nicht in allen Registerkarten Eintragungen gemacht werden. Mit werden die Eintragungen übernommen.
Benutzer Allgemein
| Beschriftung | Wert | Beschreibung |
|---|---|---|
| Anmeldename | admin-user | Login-Name des Benutzers |
| Passwort Passwort bestätigen |
•••••••• | Stark Neu ab 11.8
Kennwörter müssen folgende Kriterien erfüllen:
|
| Ablaufdatum Neu ab 11.8.5 |
2020-08-21 00:00:00 | Nach Ablauf kann sich der Benutzer nicht mehr anmelden. Das Ablaufdatum kann aber wieder verlängert werden. (Es kann nicht in die Vergangenheit gesetzt werden!) |
| Gruppen | administrator | Gruppenzugehörigkeit und damit Berechtigungen dieses Benutzers |
VPN
Hier können feste IP-Tunnel Adressen an die Benutzer vergeben werden
L2TP IP-Adresse:
SSL-VPN IPv4-Adresse:
SSL-VPN IPv6-Adresse:
PPTP steht nicht mehr zur Verfügung, da es sich nachgewiesenermaßen um ein unsicheres Protokoll handelt.
SSL-VPN
| Beschriftung | Wert | Beschreibung | UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer  SSL-VPN Einstellungen für Benutzer |
|---|---|---|---|
| Einstellungen aus der Gruppe verwenden: | Nein | Wenn der Benutzer Mitglied einer Gruppe ist, können die Einstellungen von dort übernommen werden. Die folgenden Einstellungen werden dann hier ausgeblendet und sind im Menü Bereich Gruppen zu konfigurieren. | |
| Client im Userinterface herunterladbar | Ja | Der Securepoint VPN-Windows-Client kann im User Webinterface (im Standard über Port 1443 erreichbar) heruntergeladen werden. Der Port ist konfigurierbar im Menü Bereich Servereinstellungen Schaltfläche / User Webinterface Port: : 1443. | |
| SSL-VPN Verbindung: | RW-Securepoint | Auswahl einer Verbindung, die im Menü angelegt wurde. | |
| Client-Zertifikat: | CC Roadwarrior | Es muss ein Zertifikat angegeben werden, mit dem sich der Client gegenüber der UTM authentifiziert. Es können auch ACME-Zertifikate genutzt werden. | |
| Remote Gateway: | 192.168.175.1 (Beispiel-IP) | Externe IP-Adresse oder im DNS auflösbare Adresse des Gateways, zu dem die Verbindung hergestellt werden soll. | |
| Redirect Gateway: |
mittels Default-Route-Splitting notempty Neu ab v14.1.1 |
Der gesamte Datenverkehr wird in den Tunnel geleitet. Der VPN-Tunnel fungiert als primäres Standard-Gateway. Falls der Tunnel nicht antwortet, wird das reguläre Standard-Gateway genutzt. | |
| mittels Ersetzen des Standard-Gateways (veraltet) | Der gesamte Datenverkehr wird in den Tunnel geleitet. Ersetzt das Standard Gateway vollständig (ohne Fallback) | ||
| Aus | Nur Ziele hinter dem VPN werden in den Tunnel geleitet. Für alle anderen Ziele wird das Default Gateway verwendet | ||
notempty Neu ab v14.1.1 |
Lädt ein Installationsprogramm herunter, mit dem man entweder
Der installierte Client aktualisiert sich bei neuen Updates eigenständig - unabhängig von der UTM-Version. | ||
| Lädt die Konfigurationsdateien für beliebige VPN-Clients herunter. Die Datei enthält im Ordner local_firewall.securepoint.local.tblk die dazu notwendigen Konfigurationsdateien und Zertifikate. | |||
| notempty Neu ab v14.0.1 |
Lädt die Konfigurationsdatei für beliebige VPN-Clients herunter. Die Zertifikate werden dabei direkt in die ovpn-Datei geschrieben. | ||
| Der Dateiname enthält den Benutzernamen und notempty Neu ab v14.1.1 | |||
Passwort
Auf der Registerkarte Passwort wird die Stärke des Kennwortes definiert und ob das Kennwort vom Benutzer selbst geändert werden darf.
| Beschriftung | Default | Beschreibung |
|---|---|---|
| Passwortänderung erlaubt: | Aus | Legt fest, ob der Benutzer sein Kennwort im User-Interface selber ändern darf. |
| Mindest Kennwortlänge: | 8 | Die minimale Kennwortlänge kann auf mehr als 8 Zeichen gesetzt werden. |
Kennwörter müssen folgende Kriterien erfüllen:
| ||
Mailfilter
| Beschriftung | Default | Beschreibung |
|---|---|---|
| Einstellungen aus der Gruppe verwenden: | Nein | Wenn der Benutzer Mitglied einer Gruppe ist, können die Einstellungen von dort übernommen werden. Die folgenden Einstellungen werden dann hier ausgeblendet und sind im Menü / Gruppen zu konfigurieren. |
| E-Mail-Adresse | ||
| E-Mail-Adresse | Eintragen einer Mail-Adresse in die Liste | |
| Herunterladen von gefilterten Anhängen erlauben: | Nein | Bei JaAktivierung kann der Benutzer im User-Interface Anhänge von Mails herunterladen, die durch den Mailfilter nicht zugestellt wurden |
| Herunterladen von quarantänisierten Anhängen erlauben: | Nein | Bei JaAktivierung kann der Benutzer im User-Interface Anhänge von Mails herunterladen, die in Quarantäne verschoben wurden. Diese Funktion sollte nur versierten Benutzern erlaubt werden! |
| Weiterleiten von quarantänisierten E-Mails erlauben: | Ja | Der Benutzer kann im User-Interface E-Mails weiterleiten, die in Quarantäne verschoben wurden. |
| Bericht E-Mail-Adresse: | E-Mail-Adresse, an die ein Bericht versendet wird | |
| Sprache der Berichte: | Vorgabe unter → Firewall → Sprache der BerichteEs kann gezielt ausgewählt werden: bzw. |
WOL
WOL steht für Wake on LAN und schaltet einen Computer über die Netzwerkkarte ein. Um den Rechner per Datenpaket zu starten, muss der Rechner dies auch unterstützen. In der Regel wird dies im BIOS bzw. UEFI konfiguriert
| Beschriftung | Default | Beschreibung |
|---|---|---|
| Beschreibung: | Freier Text | |
| MAC Adresse: | __:__:__:__:__:__ | MAC-Adresse des Rechners, der per Wake on Lan aktiviert werden soll |
| Schnittstelle: | Schnittstelle der Appliance, über die das WOL-Paket gesendet werden muss |
Ruft den Eintrag zum Bearbeiten auf.
Löscht den Eintrag
Gruppen
Manche Einstellungen, die im Abschnitt Benutzer beschrieben worden sind, können auch für die gesamte Gruppe eingestellt werden. Die Einstellungen für den einzelnen Benutzer ersetzen allerdings die Gruppeneinstellungen.
Berechtigungen
| Beschriftung | Beschreibung |
|---|---|
| Gruppenname | Frei wählbarer Name |
| Berechtigungen | |
| Firewall Administrator | Darf alles |
| Spamreport | Mitglieder dieser Gruppe können einen Spamreport erhalten |
| VPN-L2TP | |
| Mailrelay Benutzer | Mitglieder dieser Gruppe können das Mailrelay verwenden |
| HTTP-Proxy | Mitglieder dieser Gruppe können den HTTP-Proxy verwenden |
| IPSEC XAUTH | Mitglieder dieser Gruppe können sich mit IPSEC authentizieren |
| Userinterface | Mitglieder dieser Gruppe haben Zugriff auf das Userinterface |
| Clientless VPN | Mitglieder dieser Gruppe können Clientless VPN verwenden |
| Mailfilter Administrator | Mitglieder dieser Gruppe können einstellungen für den Mailfilter vornehmen |
| SSL-VPN | Mitglieder dieser Gruppe können eine SSL-VPN-Verbindung aufbauen |
Clinetless VPN
Registerkarte SSL-VPN
Auf dieser Registerkarte können Sie für di gesamte Gruppe Einstellungen für das SSL-VPN vergeben.
Beachten Sie, dass dann alle Benutzer das gleiche Zertifikat benutzen. SSL-VPN Einstellungen einzelner Benutzer überschreiben die Gruppeneinstellungen.
Registerkarte Active Directory
Hier tragen Sie ein, welcher Active Directory Gruppe die Mitglieder dieser Benutzergruppe angehören sollen.
- Wählen Sie die Gruppe aus dem Dropdownfeld.
Registerkarte Mailfilter
Setzen Sie hier die E-Mailkonten ein, die von der Gruppe eingesehen werden können, um den Mailfilter zu kontrollieren.
Die Berechtigung Userinterface wird benötigt.
Registerkarte WOL
Auf der Registerkarte WOL tragen Sie Computer ein, die Sie über die Netzwerkschnittstelle starten möchten.
- Tragen Sie die MAC Adresse des gewünschten Computers ein und wählen Sie im rechten Feld das Interface, über welches der Computer mit der Appliance verbunden ist.