UTM/AUTH/Benutzerverwaltung v12.2.3: Unterschied zwischen den Versionen

Einleitung

Aufruf der Benutzerkonfiguration in der Navigationsleiste unter → Authentifizierung →Benutzer

Die hier eingetragenen Benutzer werden in einer lokalen Datenbank auf der Appliance gespeichert.
Auch die an dieser Stelle konfigurierte Authentifizierung wird gegen die lokale Datenbank vorgenommen.
Es können zusätzlich lokale Benutzergruppen einer AD/LDAP - Gruppe zugeordnet werden.

Benutzerübersicht

Benutzerverwaltung

Support-Benutzer

Support-Benutzer anlegen

Der Support-Benutzer ist ein temporärer Administrator, der zum Beispiel zur Unterstützung für den Securepoint Support aktiviert werden kann.

Die Schaltfläche zum Anlegen eines Support-Benutzers befindet sich links in der Menuleiste:

Beschriftung	Wert	Beschreibung
Anmeldename:	support-N3e-oDt	Willkürlicher Name, der mit support- beginnt. Es ist keine manuelle Eingabe möglich.
Passwort:	red-SZZ-sIa-dCB	Willkürlicher Wert, der nur durch geändert werden kann. Es ist keine manuelle Eingabe möglich.
Ablaufdatum:	2019-08-20 11:11:11	Per Default läuft der Zugang für den Support-Benutzer nach 24 Stunden ab. Es ist möglich, diesen Wert auf bis zu 30 Tage zu verlängern. Es ist nicht möglich, diesen Wert nachträglich zu ändern.
Gruppen:	administrator	Es ist per Default die erste Benutzer-Gruppe mit der Berechtigung Firewall Administrator eingetragen. Es lassen sich andere Gruppen, die ebenfalls über diese Berechtigung verfügen auswählen.
Root-Berechtigung:	Nein	Bei Ja Aktivierung erhält der Benutzer zusätzlich root-Berechtigung. Bei einer Verbindung mit SSH erfolgt die Anmeldung direkt auf der root-Konsole!
Administration Zugriff für den Securepoint Support freigeben:   Ja		Um einen Zugriff auf das Admin-Interface über die externe Schnittstelle zu ermöglichen wird unter → Netzwerk →Servereinstellungen Reiter Administration der Eintrag support.de.securepoint.de hinzugefügt.
Anmeldedaten kopieren Neu ab 12.2.3		Der Inhalt der Zwischenablage sieht dann wie folgt aus: Benutzername: support-NII-Z53-Yk2 Passwort: UMC-DP6-FSK-F46-ULD Vor dem Speichern sollte der Anmeldename und muss das Passwort notiert werden! Das Passwort kann nach dem Speichern nicht mehr angezeigt werden.
Speichern		Mit einem Klick auf die Schaltfläche wird der Supportbenutzer angelegt und gespeichert.
Schließen		Mit einem Klick auf die Schaltfläche wird der Vorgang abgebrochen und der Dialog für den Supportbenutzer geschlossen.
	user support new name support-4711 password Insecure.123 groups administrator expirydate 1566650891 flags ROOT

Allgemeine Benutzer

Benutzer hinzufügen / bearbeiten

Benutzer hinzufügen /

Es öffnet sich der Dialog Benutzer hinzufügen. Dieser Dialog beinhaltet mehrere Registerkarten. Es müssen nicht in allen Registerkarten Eintragungen gemacht werden. Mit Speichern werden die Eintragungen übernommen.

Benutzer Allgemein

root-Benutzer

Beschriftung	Wert	Beschreibung	Anmeldedaten des Benutzers eintragen
Anmeldename	admin-user	Login-Name des Benutzers
	root	Ein Benutzer mit dem Namen root muss auch Mitglied einer Gruppe mit Administratorberechtigung sein Dieser Benutzer erhält dann automatisch root-Berechtigung Nach Anmeldung per ssh auf der Appliance landet dieser Benutzer nicht auf dem CLI sondern sofort in der Linux-Konsole Diesem Benutzer stehen dort umfangreiche Diagnosewerkzeuge zur Verfügung, z.B. tcpdump Der Root-Benutzer erreicht das Command Line Interface (CLI) mit dem Befehl spcli und verläßt es mit exit Der root-Benutzer sollte unbedingt mit einem kurzfristigen Ablaufdatum versehen werden oder nach den Diagnosearbeiten sofort wieder entfernt werden!
Passwort Passwort bestätigen	•••••••• Stark	Kennwörter müssen folgende Kriterien erfüllen: mindestens 8 Zeichen Länge mindestens 3 der folgenden Kategorien: Großbuchstaben Kleinbuchstaben Sonderzeichen Ziffern
Ablaufdatum	2020-08-21 00:00:00	Nach Ablauf kann sich der Benutzer nicht mehr anmelden. Das Ablaufdatum kann aber wieder verlängert werden. (Es kann im Web-Interface nicht in die Vergangenheit gesetzt werden!) Das Ablaufdatum lässt sich ebenfalls per CLI ändern: user attribute set name testnutzer attribute expirydate value 2023-11-01 00:00 Der Wert kann entweder als Unixtime (Zeit in Sekunden seit dem 1.1.1970 00:00 Uhr) angegeben werden oder im Format: YYYY-MM-DD HH:MM aktualisiert
Gruppen	administrator	Gruppenzugehörigkeit und damit Berechtigungen dieses Benutzers

VPN

IP-Tunnel Adressen festlegen

Hier können feste IP-Tunnel Adressen an die Benutzer vergeben werden

• L2TP IP-Adresse:

• SSL-VPN IPv4-Adresse:

• SSL-VPN IPv6-Adresse:

PPTP steht nicht mehr zur Verfügung, da es sich nachgewiesenermaßen um ein unsicheres Protokoll handelt.

SSL-VPN

Beschriftung	Wert	Beschreibung	Benutzer hinzufügen UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer SSL-VPN Einstellungen für Benutzer
Einstellungen aus der Gruppe verwenden:	Nein	Wenn der Benutzer Mitglied einer Gruppe ist, können die Einstellungen von dort übernommen werden. Die folgenden Einstellungen werden dann hier ausgeblendet und sind im Menü Authentifizierung Benutzer  Bereich Gruppen zu konfigurieren.
Client im Userinterface herunterladbar	Ja	Der Securepoint VPN-Windows-Client kann im User Webinterface (im Standard über Port 1443 erreichbar) heruntergeladen werden. Der Port ist konfigurierbar im Menü Netzwerk Servereinstellungen  Bereich Servereinstellungen Schaltfläche Webserver / User Webinterface Port: : 1443.
SSL-VPN Verbindung:	RW-Securepoint	Auswahl einer Verbindung, die im Menü VPN SSL-VPN angelegt wurde.
Client-Zertifikat:	cs-sslvpn-rw	Es muss ein Zertifikat angegeben werden, mit dem sich der Client gegenüber der UTM authentifiziert. Es können auch ACME-Zertifikate genutzt werden.
Remote Gateway:	192.168.175.1 (Beispiel-IP)	Externe IP-Adresse oder im DNS auflösbare Adresse des Gateways, zu dem die Verbindung hergestellt werden soll.
Redirect Gateway:	Ein	Bei Aktivierung wird der gesamte Netzwerkverkehr des Clients über das gewählte Gateway gesendet.
Installer		Lädt den Securepoint VPN-Windows-Client herunter. Die Datei enthält ein Installationsprogramm für den Securepoint VPN-Windows-Client, die dazugehörigen Konfigurationsdateien und Zertifikate.
Portable Client		Lädt eine portable Version des Securepoint VPN-Windows-Clients herunter. Die Datei enthält die Start-SSL-VPN-Client.exe mit den dazugehörigen Konfigurationsdateien und Zertifikate.
Konfiguration		Lädt die Konfigurationsdateien für beliebige VPN-Clients herunter. Die Datei enthält im Ordner local_firewall.securepoint.local.tblk die dazu notwendigen Konfigurationsdateien und Zertifikate.
Konfiguration mit Zertifikat notempty Neu:		Lädt die Konfigurationsdatei für beliebige VPN-Clients herunter. Die Zertifikate werden dabei direkt in die ovpn-Datei geschrieben.

Passwort

Festlegen der Kennworteigenschaften

Auf der Registerkarte Passwort wird die Stärke des Kennwortes definiert und ob das Kennwort vom Benutzer selbst geändert werden darf.

Beschriftung	Standardwert	Beschreibung
Passwortänderung erlaubt:	Aus	Legt fest, ob der Benutzer sein Kennwort im User-Interface selber ändern darf.
Mindest Kennwortlänge:	8	Die minimale Kennwortlänge kann auf mehr als 8 Zeichen gesetzt werden.
Kennwörter müssen folgende Kriterien erfüllen: mindestens 8 Zeichen Länge mindestens 3 der folgenden Kategorien: Großbuchstaben Kleinbuchstaben Sonderzeichen Ziffern

Mailfilter

Beschriftung	Standardwert	Beschreibung
Einstellungen aus der Gruppe verwenden:	Nein	Wenn der Benutzer Mitglied einer Gruppe ist, können die Einstellungen von dort übernommen werden. Die folgenden Einstellungen werden dann hier ausgeblendet und sind im Menü → Authentifizierung →Benutzer / Gruppen zu konfigurieren.
E-Mail-Adresse
user@ttt-point.de		E-Mailkonten, die von diesem Benutzer eingesehen werden können, um den Mailfilter zu kontrollieren. Löschen mit
E-Mail-Adresse		Eintragen einer E-Mail-Adresse in die Liste
Herunterladen von folgenden Anhängen erlauben:	(Default)	Der Benutzer kann im User-Interface Anhänge von Mails herunterladen, die bestimmte Kriterien erfüllen.
	Gefiltert, aber nicht quarantänisiert
	Quarantänisiert, aber nicht gefiltert	Diese Funktion ermöglicht u.U. das herunterladen von Viren und sollte daher nur versierten Benutzern erlaubt werden!
	Quarantänisiert und/oder gefiltert	Diese Funktion ermöglicht u.U. das herunterladen von Viren und sollte daher nur versierten Benutzern erlaubt werden!
Weiterleiten von folgenden E-Mails erlauben:	(Default)	Der Benutzer kann im User-Interface E-Mails weiterleiten, die bestimmte Kriterien erfüllen.
	Gefiltert, aber nicht quarantänisiert
	Quarantänisiert, aber nicht gefiltert	Diese Funktion ermöglicht u.U. das weiterleiten von Viren und sollte daher nur versierten Benutzern erlaubt werden!
	Quarantänisiert und/oder gefiltert	Diese Funktion ermöglicht u.U. das weiterleiten von Viren und sollte daher nur versierten Benutzern erlaubt werden!
Bericht E-Mail-Adresse:		E-Mail-Adresse, an die ein Spam-Report versendet wird. Wenn hier kein Eintrag erfolgt, wird der Spam-Report an die erste E-Mail-Adresse der Liste gesendet. Neu in 11.8.8 Sind mehrere Mailadressen für einen Benutzer in einem AD hinterlegt, wird der dort als Primäre SMTP-Adresse konfigurierte Eintrag als Default-Adresse verwendet.
Sprache der Berichte:	Default	Vorgabe unter Netzwerk Servereinstellungen → Firewall → Sprache der Berichte Es kann gezielt ausgewählt werden: Deutsch bzw. Englisch

WOL

Wake on Lan konfigurieren

WOL steht für Wake on LAN und schaltet einen Computer über die Netzwerkkarte ein. Um den Rechner per Datenpaket zu starten, muss der Rechner dies auch unterstützen. In der Regel wird dies im BIOS bzw. UEFI konfiguriert.

Damit ein Benutzer WOL nutzen darf, muss es hier konfiguriert werden!

 Ruft den Eintrag zum Bearbeiten auf.

 Löscht den Eintrag

Gruppen

Gruppen hinzufügen

Manche Einstellungen, die im Abschnitt Benutzer beschrieben worden sind, können auch für die gesamte Gruppe eingestellt werden. Die Einstellungen für den einzelnen Benutzer ersetzen allerdings die Gruppeneinstellungen.

Berechtigungen

Clinetless VPN

Dieser Reiter wird nur angezeigt, wenn im Reiter Berechtigungen Clientless VPN aktiviert Ein wurde.

Unter→ VPN →Clientless VPN angelegte Verbindungen werden hier angezeigt.

Clientless VPN Verwaltung öffnen Hier lassen sich Verbindungen konfigurieren und hinzufügen.

Aufruf alternativ über → VPN →Clientless VPN

Weitere Hinweise im Artikel zu Clientless VPN.

SSL-VPN

Beschriftung:	Wert	Beschreibung:	Gruppe hinzufügen UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer SSL-VPN Einstellungen der Gruppe
Client im Userinterface herunterladbar:	Nein	Wenn aktiviert, dann kann der VPN-Client im Userinterface heruntergeladen werden
SSL-VPN Verbindung:	RW-Securepoint	Auswahl der gewünschten Verbindung (Angelegt unter VPN SSL-VPN )
Client-Zertifikat:	cs-sslvpn-rw(1)	Auswahl des Zertifikats für diese Gruppe (Angelegt unter Authentifizierung Zertifikate  Bereich Zertifikate) Es können auch ACME-Zertifikate genutzt werden.
Remote Gateway:	192.168.175.1	IP-Adresse des Gateways, auf dem sich die SSL-VPN-Clients einwählen. Freie Eingabe oder Auswahl per Dropdown-Menü.
Redirect Gateway:	Aus	Anfragen zu Zielen außerhalb des lokalen Netzwerks (und damit auch des VPNs) werden vom Gateway des VPN-Users in der Regel direkt ins Internet geleitet. Bei Aktivierung des Buttons Ein wird das lokale Gateway umgeleitet auf die UTM. Dadurch profitieren auch diese Pakete vom Schutz der UTM. Diese Einstellung verändert die Konfigurationsdatei für den VPN-Client.
Im Paketfilter verfügbar:	Nein	Durch Aktivierung Ja dieser Option können im Paketfilter Regeln für diese Gruppe erstellt werden. Damit lässt sich der Zugriff für Benutzer, die Mitglied dieser über SSL-VPN verbundenen Gruppe sind, steuern.

Verzeichnis Dienst

AD/LDAP Gruppenzuordnung

Hier wird eingetagen, welcher Verzeichnis-Dienst-Gruppe die Mitglieder dieser Benutzergruppe angehören sollen.

Auswahl einer Gruppe des AD/LDAP-Servers

Mailfilter

Mailfilter für Gruppen konfigurieren

Die Berechtigung Userinterface Ein wird benötigt.

Beschriftung	Default	Beschreibung
Herunterladen von folgenden Anhängen erlauben:	Keine (Default)	Mitglieder dieser Gruppe können im User-Interface Anhänge von Mails herunterladen, die bestimmte Kriterien erfüllen.
	Gefiltert, aber nicht quarantänisiert
	Quarantänisiert, aber nicht gefiltert	Diese Funktion ermöglicht u.U. das herunterladen von Viren und sollte daher nur versierten Benutzern erlaubt werden!
	Quarantänisiert und/oder gefiltert	Diese Funktion ermöglicht u.U. das herunterladen von Viren und sollte daher nur versierten Benutzern erlaubt werden!
Weiterleiten von folgenden E-Mails erlauben:	Keine (Default)	Mitglieder dieser Gruppe können im User-Interface E-Mails weiterleiten, die bestimmte Kriterien erfüllen.
	Gefiltert, aber nicht quarantänisiert
	Quarantänisiert, aber nicht gefiltert	Diese Funktion ermöglicht u.U. das weiterleiten von Viren und sollte daher nur versierten Benutzern erlaubt werden!
	Quarantänisiert und/oder gefiltert	Diese Funktion ermöglicht u.U. das weiterleiten von Viren und sollte daher nur versierten Benutzern erlaubt werden!
Bericht E-Mail-Adresse:		E-Mail-Adresse, an die ein Spam-Report versendet wird. Wenn hier kein Eintrag erfolgt, wird der Spam-Report an die erste E-Mail-Adresse der Liste gesendet. Sind mehrere Mailadressen für einen Benutzer in einem AD hinterlegt, wird der dort als Primäre SMTP-Adresse konfigurierte Eintrag als Default-Adresse verwendet.
Sprache der Berichte:	Default	Vorgabe unter Netzwerk Servereinstellungen → Firewall → Sprache der Berichte Es kann gezielt ausgewählt werden: Deutsch bzw. Englisch
E-Mail-Adressen
E-Mail-Adresse		Eintragen einer Mail-Adresse in die Liste
support@ttt-point.de		E-Mailkonten, die von Mitgliedern dieser Gruppe eingesehen werden können, um den Mailfilter zu kontrollieren. Löschen mit

WOL

Wake on LAN konfigurieren

WOL steht für Wake on LAN und schaltet einen Computer über die Netzwerkkarte ein. Um den Rechner per Datenpaket zu starten, muss der Rechner dies auch unterstützen. In der Regel wird dies im BIOS bzw. UEFI konfiguriert.

Mitglieder dieser Gruppe dürfen hier eingetragene Hosts per WOL einschalten.

 Ruft den Eintrag zum Bearbeiten auf.

 Löscht den Eintrag

Captive Portal Benutzer

Captive Portal Benutzer müssen sich, wenn sie sich mit einem entsprechend konfigurierten Netzwerk verbinden, authentifizieren und den Nutzungsbedingungen zustimmen. Erst danach wird der Netzzugang - gemäß den Portfilterregeln freigegeben.	Benutzer UTMbenutzer@firewall.name.fqdnAuthentifikation
notempty Firewall-Benutzer, die Mitglied einer Gruppe mit der Berechtigung Userinterface Adminstrator Ein sind ( Authentifizierung Benutzer  Bereich Guppen Schaltfläche ) können die Captive Portal Benutzerverwaltung über die Benutzerverwaltung (im Standard Port 443) erreichen

Benutzer hinzufügen

Captive Portal Benutzer können verwaltet werden von:

• Administratoren
• Benutzern, die Mitglied einer Gruppe mit der Berechtigung Userinterface Administrator sind.
  Diese erreichen die Benutzerverwaltung über das Userinterface.

Beschriftung	Wert	Beschreibung	Captive Portal Benutzer hinzufügen UTMbenutzer@firewall.name.fqdnAuthentifikationBenutzer Drucken und speichern
Anmeldename:	user-VNK-JT4	Zufällig generierter Anmeldename. Einmal generierte Anmeldenamen lassen sich nach dem Speichern nicht mehr ändern.
Passwort:	BRU-NZE-TCY-LI3-QHE	Zufällig generiertes Passwort Anmeldename und Passwort können mit der Schaltfläche neu generiert werden. Einaml gespeicherte Passöwrter lassen sich nicht erneut anzeigen.
Ablaufdatum:	yyyy-mm-dd hh:mm:ss	Begrenzt die Gültigkeit der Zugangsdaten
	/ Neu ab v12.2.2	Mit diesen Schaltflächen lässt sich das Ablaufdatum um 24 Stunden ab dem aktuellen Zeitpunkt verkürzen (-) oder verlängern (+)
Drucken und speichern		Speichert und schließt den Dialog, erzeugt eine html-Seite mit dem Usernamen und dem Passwort und öffnet den Druck-Dialog
		Speichert die Angaben und schließt den Dialog. Das Passwort läßt sich anschließend nicht mehr anzeigen. Es kann jedoch jederzeit ein neues Passwort erzeugt werden .
		Schließt den Dialog, ohne Änderungen zu speichern.