notempty
Anlegen und konfigurieren von Benutzern und Gruppen (Berechtigungen)
Letzte Anpassung zur Version: 11.8.5
- Neu:
- Ablaufdatum für Benutzerkonten
- Vorkonfigurierter Support-Benutzer lässt sich bei Bedarf anlegen
- Seperate Mail-Adresse für Spam-Report konfigurierbar
- Download für quarantänisierte Anhänge erlauben
- Bewertung der Kennwort-Qualität
Vorherige Versionen: 11.7
Einleitung
Aufruf der Benutzerkonfiguration in der Navigationsleiste unter
Die hier eingetragenen Benutzer werden in einer lokalen Datenbank auf der Appliance gespeichert.
Auch die an dieser Stelle konfigurierte Authentifizierung wird gegen die lokale Datenbank vorgenommen.
Es können zusätzlich lokale Benutzergruppen einer AD/LDAP - Gruppe zugeordnet werden.
Benutzer
| Beschriftung | Wert | Beschreibung |
|---|---|---|
| Name | admin |
Login-Name der Benutzer |
| Gruppen | administrator | Gruppenzugehörigket des jeweiligen Users |
| Berechtigungen | Firewall Adminstrator | Berechtigungen, Konfiguration unter Gruppen |
| Hinweise Neu ab 11.8.5 |
Läuft in 8 Stunden ab | Nach Ablauf kann sich der Benutzer nicht mehr anmelden. |
| Bearbeiten oder Löschen des Benutzers |
Support-Benutzer
Neue Funktion ab 11.8.5
Der Support-Benutzer ist ein temporärer Administrator, der zum Beispiel zur Unterstützung für den Securepoint Support aktiviert werden kann.
Die Schaltfläche zum Anlegen eines Support-Benutzers befindet sich rechts oben im Dashboard. (Headset-Symbol)
Es lassen sich nicht mehrere Support-Benutzer gleichzeitig anlegen. Existiert bereits ein Support-Benutzer wird gefragt, ob der vorhandene Benutzer gelöscht werden soll!
| Beschriftung | Wert | Beschreibung | |
|---|---|---|---|
| Anmeldename: | support-N3e-oDt | Willkürlicher Name, der mit support- beginnt und nur durch geändert werden kann. Es ist keine manuelle Eingabe möglich. |
 |
| Passwort: | red-SZZ-sIa-dCB | Willkürlicher Wert, der nur durch geändert werden kann. Es ist keine manuelle Eingabe möglich. | |
| Ablaufdatum: | 2019-08-20 11:11:11 | Per Default läuft der Zugang für den Support-Benutzer nach 24 Stunden ab. Es ist möglich, diesen Wert auf bis zu 30 Tage zu verlängern. Es ist nicht möglich, diesen Wert nachträglich zu ändern. | |
| Gruppen: | administrator | Es ist per Default die erste Benutzer-Gruppe mit der Berechtigung Firewall Administrator eingetragen. Es lassen sich andere Gruppen, die ebenfalls über diese Berechtigung verfügen auswählen. | |
| Root-Berechtigung: | Nein | Bei Ja Aktivierung erhält der Benutzer zusätzlich root-Berechtigung. Bei einer Verbindung mit SSH erfolgt die Anmeldung direkt auf der root-Konsole! |
Vor dem Speichern sollte der Anmeldename und muss das Passwort notiert werden !
Das Passwort kann nach dem Speichern nicht mehr angezeigt werden.
Beide Werte lassen sich jeweils über die Zwischenablage kopieren.
Abgelaufene Benutzer-Zugänge werden automatisch nach einer gewissen Zeit entfernt.
Benutzer hinzufügen
Es öffnet sich der Dialog Benutzer hinzufügen. Dieser Dialog beinhaltet mehrere Registerkarten.Es müssen nicht in allen Registerkarten Eintragungen gemacht werden. Mit werden die Eintragungen übernommen.
Benutzer Allgemein
| Beschriftung | Wert | Beschreibung |
|---|---|---|
| Anmeldename | admin-user | Login-Name des Benutzers |
Passwort Passwort bestätigen |
•••••••• | Stark Neu ab 11.8
Passwords must meet the following criteria:
|
| Ablaufdatum Neu ab 11.8.5 |
2020-08-21 00:00:00 | Nach Ablauf kann sich der Benutzer nicht mehr anmelden. Das Ablaufdatum kann aber wieder verlängert werden. (Es kann im Web-Interface nicht in die Vergangenheit gesetzt werden!) Das Ablaufdatum lässt sich ebenfalls per CLI ändern: user attribute set name testnutzer attribute expirydate value 1576553166 Der Wert wird als Unixtime (Zeit in Sekunden seit dem 1.1.1970 00:00 Uhr) angegeben. |
| Gruppen | administrator | Gruppenzugehörigkeit und damit Berechtigungen dieses Benutzers |
VPN
Hier können feste IP-Tunnel Adressen an die Benutzer vergeben werden
L2TP IP-Adresse:
SSL-VPN IPv4-Adresse:
SSL-VPN IPv6-Adresse:
PPTP steht nicht mehr zur Verfügung, da es sich nachgewiesenermaßen um ein unsicheres Protokoll handelt.
SSL-VPN
| Caption | Value | Description | UTMuser@firewall.name.fqdnAuthenticationUser  SSL-VPN settings for users
|
|---|---|---|---|
| Use group settings: | No | If the user is a member of a group, the settings can be adopted from there. The following settings are then greyed out here and are to be configured in the Area Groups menu. | |
| Client downloadable in the user interface | Yes | The Securepoint VPN Windows client can be downloaded from the user web interface (accessible via port 1443 by default). The port is configurable in the Tab Server settings Button / User Webinterface Port: : 1443. | |
| SSL VPN connection: | RW-Securepoint | Selection of a connection created in the menu. | |
| Client certificate: | CC Roadwarrior | A certificate must be specified that the client uses to authenticate itself to the UTM. It is also possible to use ACME certificates. | |
| Remote Gateway: | 192.168.175.1 (Example-IP) | External IP address or DNS resolvable address of the gateway to which the connection is to be established. | |
| Redirect Gateway: |
by Default-Route-Splitting notempty New as of v14.1.1 |
All data traffic is routed through the tunnel. The VPN tunnel acts as the primary default gateway. If the tunnel does not respond, the regular default gateway is used. | |
| by replacing the default gateway (deprecated) | All data traffic is routed through the tunnel. Completely replaces the default gateway (without fallback). | ||
| Off | Only destinations behind the VPN are routed through the tunnel. The default gateway is used for all other destinations | ||
notempty New as of v14.1.1 |
Lädt ein Installationsprogramm herunter, mit dem man entweder
Der installierte Client aktualisiert sich bei neuen Updates eigenständig - unabhängig von der UTM-Version. | ||
| Downloads the configuration files for any VPN clients. The file contains the necessary configuration files and certificates in the local_firewall.securepoint.local.tblk folder. | |||
| notempty New as of v14.0.1 |
Downloads the configuration file for any VPN client. The certificates are written directly to the ovpn file. | ||
| The file name contains the user name and notempty v14.1.1 | |||
Passwort
Auf der Registerkarte Passwort wird die Stärke des Kennwortes definiert und ob das Kennwort vom Benutzer selbst geändert werden darf.
| Beschriftung | Default | Beschreibung |
|---|---|---|
| Passwortänderung erlaubt: | Aus | Legt fest, ob der Benutzer sein Kennwort im User-Interface selber ändern darf. |
| Mindest Kennwortlänge: | 8 | Die minimale Kennwortlänge kann auf mehr als 8 Zeichen gesetzt werden. |
Passwords must meet the following criteria:
| ||
Mailfilter
| Beschriftung | Default | Beschreibung |
|---|---|---|
| Einstellungen aus der Gruppe verwenden: | Nein | Wenn der Benutzer Mitglied einer Gruppe ist, können die Einstellungen von dort übernommen werden. Die folgenden Einstellungen werden dann hier ausgeblendet und sind im Menü / Gruppen zu konfigurieren. |
| E-Mail-Adresse | ||
| user@ttt-point.de | E-Mailkonten ein, die von diesem Benutzer eingesehen werden können, um den Mailfilter zu kontrollieren. Löschen mit | |
| E-Mail-Adresse | Eintragen einer E-Mail-Adresse in die Liste | |
| Herunterladen von gefilterten Anhängen erlauben: | Nein | Bei JaAktivierung kann der Benutzer im User-Interface Anhänge von Mails herunterladen, die durch den Mailfilter nicht zugestellt wurden |
| Herunterladen von quarantänisierten Anhängen erlauben: Neu ab 11.8.5 |
Nein | Bei JaAktivierung kann der Benutzer im User-Interface Anhänge von Mails herunterladen, die in Quarantäne verschoben wurden. Diese Funktion sollte nur versierten Benutzern erlaubt werden! |
| Weiterleiten von quarantänisierten E-Mails erlauben: | Ja | Der Benutzer kann im User-Interface E-Mails weiterleiten, die in Quarantäne verschoben wurden. |
| Bericht E-Mail-Adresse: Neu ab 11.8.5 |
E-Mail-Adresse, an die ein Spam-Report versendet wird. Wenn hier kein Eintrag erfolgt, wird der Spam-Report an die erste E-Mail-Adresse der Liste gesendet. | |
| Sprache der Berichte: | Vorgabe unter → Firewall → Sprache der BerichteEs kann gezielt ausgewählt werden: bzw. |
WOL
WOL steht für Wake on LAN und schaltet einen Computer über die Netzwerkkarte ein. Um den Rechner per Datenpaket zu starten, muss der Rechner dies auch unterstützen. In der Regel wird dies im BIOS bzw. UEFI konfiguriert.
Damit ein Benutzer WOL nutzen darf, muss es hier konfiguriert werden!
| Beschriftung | Default | Beschreibung |
|---|---|---|
| Beschreibung: | Freier Text | |
| MAC Adresse: | __:__:__:__:__: | MAC-Adresse des Rechners, der per Wake on Lan aktiviert werden soll |
| Schnittstelle: | Schnittstelle der Appliance, über die das WOL-Paket gesendet werden muss |
Ruft den Eintrag zum Bearbeiten auf.
Löscht den Eintrag
Gruppen
Manche Einstellungen, die im Abschnitt Benutzer beschrieben worden sind, können auch für die gesamte Gruppe eingestellt werden. Die Einstellungen für den einzelnen Benutzer ersetzen allerdings die Gruppeneinstellungen.
Berechtigungen
| Beschriftung | Beschreibung |
|---|---|
| Gruppenname | Frei wählbarer Name |
| Berechtigungen | |
| Firewall Administrator | Mitglieder dieser Gruppe können das Admin-Interface aufrufen (per Default auf Port 11115 erreichbar. Es muss immmer mindestens einen Firewall-Adminstrator geben |
| Spamreport | Mitglieder dieser Gruppe können einen Spamreport erhalten |
| VPN-L2TP | Mitglieder dieser Gruppe können eine VPN-L2TP-Verbindung aufbauen |
| Mailrelay Benutzer | Mitglieder dieser Gruppe können das Mailrelay verwenden |
| HTTP-Proxy | Mitglieder dieser Gruppe können den HTTP-Proxy verwenden |
| IPSEC XAUTH | Mitglieder dieser Gruppe können sich mit IPSEC authentizieren |
| Userinterface | Mitglieder dieser Gruppe haben Zugriff auf das Userinterface |
| Clientless VPN | Mitglieder dieser Gruppe können Clientless VPN verwenden |
| Mailfilter Administrator | Mitglieder dieser Gruppe können einstellungen für den Mailfilter vornehmen |
| SSL-VPN | Mitglieder dieser Gruppe können eine SSL-VPN-Verbindung aufbauen |
Clientless VPN
Dieser Reiter wird nur angezeigt, wenn im Reiter Berechtigungen Clientless VPN aktiviert Ein wurde.
Unter angelegte Verbindungen werden hier angezeigt.
| Clientless VPN | ||
|---|---|---|
| Name | Name der Verbindung | |
| Zugriff | Nein | Bei Ja Aktivierung können Mitglieder dieser Gruppe diese Verbindung nutzen |
Hier lassen sich Verbindungen konfigurieren und hinzufügen.
Aufruf alternativ über
Weitere Hinweise im Artikel zu Clientless VPN.
SSL-VPN
This is where to configure settings for the SSL VPN for an entire group.
All users share the same certificate when using the group settings!
SSL VPN settings of individual users override the group settings.
| Caption: | Value | Description: | UTMuser@firewall.name.fqdnAuthenticationUser  SSL VPN group settings
|
|---|---|---|---|
| Client downloadable in the user interface: | No | If enabled, the VPN client can be downloaded in the user interface | |
| SSL VPN connection: | RW-Securepoint | Select the preferred connection (created under ) | |
| Client certificate: | cs-sslvpn-rw | Select the certificate for this group (created under Area Certificates) It is also possible to use ACME certificates. | |
| Remote Gateway: | 203.0.113.0 | IP address of the gateway on which the SSL VPN clients dial in. Free input or selection via drop-down menu. | |
| Redirect Gateway: | Off | Requests to destinations outside the local network (and thus also the VPN) are usually routed directly to the Internet by the VPN user's gateway. When the On button is activated, the local gateway is redirected to the UTM. This way, these packets also benefit from the protection of the UTM. This setting changes the configuration file for the VPN client. | |
| Use in packet filter: | No | By enabling Yes this option, rules for this group can be created in the packet filter. This can be used to control access for users who are members of this group connected via SSL VPN. | |
Verzeichnis Dienst
Hier wird eingetagen, welcher Verzeichnis-Dienst-Gruppe die Mitglieder dieser Benutzergruppe angehören sollen.
Damit an dieser Stelle eine Gruppe ausgewählt werden kann, muss unter eine entsprechende Verbindung konfiguriert worden sein.
Auswahl einer AD/LDAP - Gruppe
Mailfilter
Die Berechtigung Userinterface Ein wird benötigt.
| Beschriftung | Default | Beschreibung |
|---|---|---|
| E-Mail-Adresse | ||
| support@ttt-point.de | E-Mailkonten ein, die von dieser Gruppe eingesehen werden können, um den Mailfilter zu kontrollieren. Löschen mit | |
| E-Mail-Adresse | Eintragen einer Mail-Adresse in die Liste | |
| Herunterladen von gefilterten Anhängen erlauben: | Nein | Bei JaAktivierung können Mitglieder dieser Gruppe im User-Interface Anhänge von Mails herunterladen, die durch den Mailfilter nicht zugestellt wurden |
| Herunterladen von quarantänisierten Anhängen erlauben: Neu ab 11.8.5 |
Nein | Bei JaAktivierung können Mitglieder dieser Gruppe im User-Interface Anhänge von Mails herunterladen, die in Quarantäne verschoben wurden. Diese Funktion sollte nur versierten Benutzern erlaubt werden! |
| Weiterleiten von quarantänisierten E-Mails erlauben: | Ja | Mitglieder dieser Gruppe können im User-Interface E-Mails weiterleiten, die in Quarantäne verschoben wurden. |
| Bericht E-Mail-Adresse: Neu ab 11.8.5 |
E-Mail-Adresse, an die ein Spam-Report versendet wird. Wenn hier kein Eintrag erfolgt, wird der Spam-Report an die erste E-Mail-Adresse der Liste gesendet. | |
| Sprache der Berichte: | Vorgabe unter → Firewall → Sprache der BerichteEs kann gezielt ausgewählt werden: bzw. |
WOL
WOL steht für Wake on LAN und schaltet einen Computer über die Netzwerkkarte ein. Um den Rechner per Datenpaket zu starten, muss der Rechner dies auch unterstützen. In der Regel wird dies im BIOS bzw. UEFI konfiguriert.
Mitglieder dieser Gruppe dürfen hier eingetragene Hosts per WOL einschalten.
| Beschriftung | Default | Beschreibung |
|---|---|---|
| Beschreibung | Freier Text | |
| MAC Adresse: | __:__:__:__:__: | MAC-Adresse des Rechners, der per Wake on Lan aktiviert werden soll |
| Schnittstelle: | Schnittstelle der Appliance, über die das WOL-Paket gesendet werden muss |
Ruft den Eintrag zum Bearbeiten auf.
Löscht den Eintrag