Benutzerverwaltung

Aus Securepoint Wiki
Wechseln zu:Navigation, Suche
























































{Button|Quarantined but not filtered|dr}}} This function should only be allowed to experienced users!
Quarantised and/or filtered }} This function should only be allowed for experienced users!}}





































De.png
En.png
Fr.png


Anlegen und konfigurieren von Benutzern und Gruppen (Berechtigungen)

Letzte Anpassung zur Version: 11.8.6 (11.2019)


Neu:


Vorherige Versionen: 11.7 | 11.8.5


Einleitung

Aufruf der Benutzerkonfiguration in der Navigationsleiste unter → Authentifizierung →Benutzer

Die hier eingetragenen Benutzer werden in einer lokalen Datenbank auf der Appliance gespeichert.
Auch die an dieser Stelle konfigurierte Authentifizierung wird gegen die lokale Datenbank vorgenommen.
Es können zusätzlich lokale Benutzergruppen einer AD/LDAP - Gruppe zugeordnet werden.

Benutzer

Benutzerverwaltung
Beschriftung Wert Beschreibung
Name admin Login-Name der Benutzer
Gruppen administrator Gruppenzugehörigket des jeweiligen Users
Berechtigungen Firewall Administrator Berechtigungen, Konfiguration unter Gruppen
Hinweise
 
Läuft in 8 Stunden ab Nach Ablauf kann sich der Benutzer nicht mehr anmelden.
Link= Bearbeiten oder Löschen des Benutzers



Support-Benutzer

Support-Benutzer anlegen

 

Der Support-Benutzer ist ein temporärer Administrator, der zum Beispiel zur Unterstützung für den Securepoint Support aktiviert werden kann.

Die Schaltfläche zum Anlegen eines Support-Benutzers befindet sich rechts oben im Dashboard. (Headset-Symbol)

Es lassen sich nicht mehrere Support-Benutzer gleichzeitig anlegen. Existiert bereits ein Support-Benutzer wird gefragt, ob der vorhandene Benutzer gelöscht werden soll!


Beschriftung Wert Beschreibung
Anmeldename: support-N3e-oDt Willkürlicher Name, der mit support- beginnt und nur durch geändert werden kann. Es ist keine manuelle Eingabe möglich.
UTM v.11.8.6 Authentifizierung Benutzer Supportbenutzer.png
Passwort: red-SZZ-sIa-dCB Willkürlicher Wert, der nur durch geändert werden kann. Es ist keine manuelle Eingabe möglich.
Ablaufdatum: 2019-08-20 11:11:11 Per Default läuft der Zugang für den Support-Benutzer nach 24 Stunden ab. Es ist möglich, diesen Wert auf bis zu 30 Tage zu verlängern. Bei Support-Benutzern ist es nicht möglich, diesen Wert nachträglich zu ändern.
Gruppen: administrator Es ist per Default die erste Benutzer-Gruppe mit der Berechtigung Firewall Administrator eingetragen. Es lassen sich andere Gruppen, die ebenfalls über diese Berechtigung verfügen auswählen.
Root-Berechtigung: Nein Bei Ja Aktivierung erhält der Benutzer zusätzlich root-Berechtigung. Bei einer Verbindung mit SSH erfolgt die Anmeldung direkt auf der root-Konsole!
Neu Neu ab 11.8.6
 ╭╴ Administration╶╮
Zugriff für den Securepoint Support freigeben:   Ja
Um einen Zugriff auf das Admin-Interface über die externe Schnittstelle zu ermöglichen wird unter → Netzwerk →Servereinstellungen Reiter Administration der Eintrag support.de.securepoint.de hinzugefügt. Ist der Eintrag bereits vorhanden, ist die Schaltfläche aktiv, kann aber nicht deaktiviert werden.


 
Vor dem Speichern sollte der Anmeldename und muss das Passwort notiert werden !
Das Passwort kann nach dem Speichern nicht mehr angezeigt werden.
 

 

Beide Werte lassen sich jeweils über die Zwischenablage kopieren.

Abgelaufene Benutzer-Zugänge werden automatisch nach einer gewissen Zeit entfernt.




Benutzer hinzufügen

+ Benutzer hinzufügen

Es öffnet sich der Dialog Benutzer hinzufügen. Dieser Dialog beinhaltet mehrere Registerkarten.Es müssen nicht in allen Registerkarten Eintragungen gemacht werden. Mit Speichern werden die Eintragungen übernommen.

Benutzer Allgemein

Allgemein

Anmeldedaten des Benutzers eintragen
Beschriftung Wert Beschreibung
Anmeldename admin-user Login-Name des Benutzers

Passwort

Passwort bestätigen

•••••••• Stark  





Kennwörter müssen folgende Kriterien erfüllen:
  • mindestens 8 Zeichen Länge
  • mindestens 3 der folgenden Kategorien:
    • Großbuchstaben
    • Kleinbuchstaben
    • Sonderzeichen
    • Ziffern
Ablaufdatum
 
2020-08-21 00:00:00 Nach Ablauf kann sich der Benutzer nicht mehr anmelden. Das Ablaufdatum kann aber wieder verlängert werden. (Es kann im Web-Interface nicht in die Vergangenheit gesetzt werden!)

Das Ablaufdatum lässt sich ebenfalls per CLI ändern:
user attribute set name testnutzer attribute expirydate value 1576553166

Der Wert wird als Unixtime (Zeit in Sekunden seit dem 1.1.1970 00:00 Uhr) angegeben.
Gruppen administrator Gruppenzugehörigkeit und damit Berechtigungen dieses Benutzers



VPN

IP-Tunnel Adressen festlegen

Hier können feste IP-Tunnel Adressen an die Benutzer vergeben werden

  • L2TP IP-Adresse:

  • SSL-VPN IPv4-Adresse:

  • SSL-VPN IPv6-Adresse:

PPTP steht nicht mehr zur Verfügung, da es sich nachgewiesenermaßen um ein unsicheres Protokoll handelt.


SSL-VPN
















SSL-VPN Einstellungen für Benutzer


Beschriftung Wert Beschreibung
Einstellungen aus der Gruppe verwenden: Nein Wenn der Benutzer Mitglied einer Gruppe ist, können die Einstellungen von dort übernommen werden. Die folgenden Einstellungen werden dann hier ausgeblendet und sind im Menü → Authentifizierung →Benutzer / Gruppen zu konfigurieren.
Client im Userinterface herunterladbar: Ja Der Securepoint VPN-Windows-Client kann im User Webinterface (im Standard über Port 1443 erreichbar) herunter geladen werden. Der Port ist konfigurierbar im Menü → Netzwerk →Servereinstellungen / Servereinstellugnen / ╭╴ Webserver ╶╮ / User Webinterface Port: : 1443Link=.
SSL-VPN Verbindung: RW-SSL-VPN-Verbindung Auswahl einer Verbindung, die im Menü → VPN →SSL-VPN angelegt wurde.
Client-Zertifikat: RW-SSL-VPN Zertifikat Es muss ein Zertifikat angegeben werden, mit dem sich der Client gegenüber der UTM authentisiert.
Remote Gateway: 192.168.175.1 (Beispiel-IP) Externe IP-Adresse oder im DNS auflösbare Adresse des Gateways, zu dem die Verbindung hergestellt werden soll.
Redirect Gateway: Nein Bei Aktivierung wird der gesamte Netzwerkverkehr des Clients über das gewählte Gateway gesendet.

Nach Speichern und Bearbeiten steht außerdem zur Verfügung:
Installer Lädt den Securepoint VPN-Windows-Client herunter. Es wird eine Benutzer.zip-Datei erstellt mit dem Name des jeweiligen Benutzers. Die Datei enthält ein Installationsprogramm für den Securepoint VPN-Windows-Client und die dazugehörigen Konfigurationsdateien und Zertifikate.
Portable Client Lädt eine Portable Version des Securepoint VPN-Windows-Clients herunter. Es wird eine Benutzer.zip-Datei erstellt mit dem Name des jeweiligen Benutzers. Die Datei enthält die Start-SSL-VPN-Client.exe mit den dazugehörigen Konfigurationsdateien und Zertifikate.
Konfiguration Lädt die Konfigurationsdateien für beliebige VPN-Clients herunter. Es wird eine Benutzer.zip-Datei erstellt mit dem Name des jeweiligen Benutzers. Die Datei enthält im Ordner local_firewall.securepoint.local.tblk die dazu notwendigen Konfigurationsdateien und Zertifikate.


Passwort

Festlegen der Kennworteigenschaften

Auf der Registerkarte Passwort wird die Stärke des Kennwortes definiert und ob das Kennwort vom Benutzer selbst geändert werden darf.

Beschriftung Default Beschreibung
Passwortänderung erlaubt: Aus Legt fest, ob der Benutzer sein Kennwort im User-Interface selber ändern darf.
Mindest Kennwortlänge: 8Link= Die minimale Kennwortlänge kann auf mehr als 8 Zeichen gesetzt werden.





Kennwörter müssen folgende Kriterien erfüllen:
  • mindestens 8 Zeichen Länge
  • mindestens 3 der folgenden Kategorien:
    • Großbuchstaben
    • Kleinbuchstaben
    • Sonderzeichen
    • Ziffern


Mailfilter

UTM v11.8.7 Authentifizierung Benutzer Mailfilter.png


Beschriftung Default Beschreibung
Einstellungen aus der Gruppe verwenden: Nein Wenn der Benutzer Mitglied einer Gruppe ist, können die Einstellungen von dort übernommen werden. Die folgenden Einstellungen werden dann hier ausgeblendet und sind im Menü → Authentifizierung →Benutzer / Gruppen zu konfigurieren.
E-Mail-Adresse
user@ttt-point.de E-Mailkonten, die von diesem Benutzer eingesehen werden können, um den Mailfilter zu kontrollieren.
Löschen mit Link=
E-Mail-Adresse + Eintragen einer E-Mail-Adresse in die Liste
Herunterladen von folgenden Anhängen erlauben: Keine Neu   Neu ab 11.8.6  Der Benutzer kann im User-Interface Anhänge von Mails herunterladen, die bestimmte Kriterien erfüllen.
Mögliche Werte:
Keine 
(Default)
Gefiltert, aber nicht quarantänisiert 

Quarantänisiert, aber nicht gefiltert 
Diese Funktion sollte nur versierten Benutzern erlaubt werden!
Quarantänisiert und/oder gefiltert 
Diese Funktion sollte nur versierten Benutzern erlaubt werden!
Weiterleiten von folgenden E-Mails erlauben:
 
Quarantänisiert, aber nicht gefiltert  Neu   Neu ab 11.8.6  Der Benutzer kann im User-Interface E-Mails weiterleiten, die bestimmte Kriterien erfüllen
Mögliche Werte:
Keine  
Gefiltert, aber nicht quarantänisiert  (Default)
Quarantänisiert, aber nicht gefiltert   Diese Funktion sollte nur versierten Benutzern erlaubt werden!
Quarantänisiert und/oder gefiltert  Diese Funktion sollte nur versierten Benutzern erlaubt werden!
Bericht E-Mail-Adresse:
 
    E-Mail-Adresse, an die ein Spam-Report versendet wird.
Wenn hier kein Eintrag erfolgt, wird der Spam-Report an die erste E-Mail-Adresse der Liste gesendet.
Sprache der Berichte: Defaulta Vorgabe unter → Netzwerk →Servereinstellungen → ╭╴Firewall╶╮ → Sprache der Berichte
Es kann gezielt ausgewählt werden: Deutsch  bzw. Englisch 



WOL

Wake on Lan konfigurieren

WOL steht für Wake on LAN und schaltet einen Computer über die Netzwerkkarte ein. Um den Rechner per Datenpaket zu starten, muss der Rechner dies auch unterstützen. In der Regel wird dies im BIOS bzw. UEFI konfiguriert.

Damit ein Benutzer WOL nutzen darf, muss es hier konfiguriert werden!

Beschriftung Default Beschreibung
Beschreibung:     Freier Text
MAC Adresse: __:__:__:__:__: MAC-Adresse des Rechners, der per Wake on Lan aktiviert werden soll
Schnittstelle: eth0   Schnittstelle der Appliance, über die das WOL-Paket gesendet werden muss


 Ruft den Eintrag zum Bearbeiten auf.

Link=  Löscht den Eintrag


Gruppen

Gruppen hinzufügen

Manche Einstellungen, die im Abschnitt Benutzer beschrieben worden sind, können auch für die gesamte Gruppe eingestellt werden. Die Einstellungen für den einzelnen Benutzer ersetzen allerdings die Gruppeneinstellungen.

Berechtigungen

Beschriftung Beschreibung
Gruppenname Frei wählbarer Name
 Berechtigungen 
Firewall Administrator Mitglieder dieser Gruppe können das Admin-Interface aufrufen (per Default auf Port 11115 erreichbar.
Es muss immmer mindestens einen Firewall-Adminstrator geben.
Spamreport Mitglieder dieser Gruppe können einen Spamreport erhalten
VPN-L2TP Mitglieder dieser Gruppe können eine VPN-L2TP-Verbindung aufbauen
Mailrelay Benutzer Mitglieder dieser Gruppe können das Mailrelay verwenden
HTTP-Proxy Mitglieder dieser Gruppe können den HTTP-Proxy verwenden
IPSEC XAUTH Mitglieder dieser Gruppe können sich mit IPSEC authentizieren
Userinterface Mitglieder dieser Gruppe haben Zugriff auf das Userinterface (inkl. Mailfilter)
Clientless VPN Mitglieder dieser Gruppe können Clientless VPN verwenden
Mailfilter Administrator Mitglieder dieser Gruppe können einstellungen für den Mailfilter vornehmen
SSL-VPN Mitglieder dieser Gruppe können eine SSL-VPN-Verbindung aufbauen



Clientless VPN

UTM v11.8.5 Authentifizierung Benutzer Clientless-VPN.png

Dieser Reiter wird nur angezeigt, wenn im Reiter Berechtigungen Clientless VPN aktiviert Ein wurde.

Unter→ VPN →Clientless VPN angelegte Verbindungen werden hier angezeigt.

Clientless VPN
Name Name der Verbindung
Zugriff Nein Bei Ja Aktivierung können Mitglieder dieser Gruppe diese Verbindung nutzen

Clientless VPN Verwaltung öffnen Hier lassen sich Verbindungen konfigurieren und hinzufügen.

Aufruf alternativ über → VPN →Clientless VPN

Weitere Hinweise im Artikel zu Clientless VPN.

SSL-VPN












SSL-VPN Einstellungen der Gruppe

Hier können für die gesamte Gruppe Einstellungen für das SSL-VPN konfigueriert werden.
Alle Benutzer verwenden das gleiche Zertifikat, wenn die Gruppeneinstellungen verwendet werden!
SSL-VPN Einstellungen einzelner Benutzer überschreiben die Gruppeneinstellungen.

Beschriftung Default Beschreibung
Client im Userinterface herunterladbar: Nein
SSL-VPN Verbindung:     Auswahl der gewünschten Verbindung (Angelegt unter → VPN →SSL-VPN )
Client-Zertifikat:     Auswahl des Zertifikats für diese Gruppe (Angelegt unter → Authentifizierung →Zertifikate / Zertifikate)
Remote Gateway:     Externe IP-Adresse des Gateways, auf dem sich die SSL-VPN-Clients einwählen.
Freie Eingabe oder Auswahl per Dropdown-Menü
Redirect Gateway: Aus

Anfragen zu Zielen außerhalb des lokalen Netzwerks (und damit auch des VPNs) werden vom Gateway des VPN-Users in der Regel direkt ins Internet geleitet. Bei Aktivierung des Buttons Ein wird das lokale Gateway umgeleitet auf die UTM. Dadurch profitieren auch diese Pakete vom Schutz der UTM.

Diese Einstellung verändert die Konfigurationsdatei für den VPN-Client.

Im Portfilter verfügbar:
 
Nein Durch Aktivierung Ja dieser Option können im Portfilter Regeln für diese Gruppe erstellt werden.
Damit lässt sich der Zugriff für Benutzer, die Mitglied dieser, über SSL-VPN verbundenen Gruppe sind, steuern.
Weitere Hinweise im Artikel zu Identity Based Firewall (IBF)

Verzeichnis Dienst

AD/LDAP Gruppenzuordnung

Hier wird eingetagen, welcher Verzeichnis-Dienst-Gruppe die Mitglieder dieser Benutzergruppe angehören sollen.
Damit an dieser Stelle eine Gruppe ausgewählt werden kann, muss unter → Authentifizierung →AD/LDAP Authentifizierung eine entsprechende Verbindung konfiguriert worden sein.

Auswahl einer AD/LDAP - Gruppe


Mailfilter

Mailfilter für Gruppen konfigurieren

Die Berechtigung Userinterface Ein wird benötigt.








{Button|Quarantined but not filtered|dr}}} This function should only be allowed to experienced users!
Quarantised and/or filtered }} This function should only be allowed for experienced users!}}











Beschriftung Default Beschreibung
E-Mail-Adresse
support@ttt-point.de E-Mailkonten, die von Mitgliedern dieser Gruppe eingesehen werden können, um den Mailfilter zu kontrollieren.
Löschen mit Link=
E-Mail-Adresse + Eintragen einer Mail-Adresse in die Liste
Herunterladen von folgenden Anhängen erlauben: Keine  Mitglieder dieser Gruppe können im User-Interface Anhänge von Mails herunterladen, die bestimmte Kriterien erfüllen.
Mögliche Werte:
Keine  (Default)
Gefiltert, aber nicht quarantänisiert 
Quarantänisiert, aber nicht gefiltert Diese Funktion sollte nur versierten Benutzern erlaubt werden!
Quarantänisiert und/oder gefiltert  Diese Funktion sollte nur versierten Benutzern erlaubt werden!
Weiterleiten von folgenden E-Mails erlauben:
 
Quarantänisiert, aber nicht gefiltert  Mitglieder dieser Gruppe können im User-Interface E-Mails weiterleiten, die bestimmte Kriterien erfüllen
Mögliche Werte:
Keine  
Gefiltert, aber nicht quarantänisiert  (Default)
Quarantänisiert, aber nicht gefiltert   Diese Funktion sollte nur versierten Benutzern erlaubt werden!
Quarantänisiert und/oder gefiltert  Diese Funktion sollte nur versierten Benutzern erlaubt werden!
Bericht E-Mail-Adresse:
Neu   Neu ab 11.8.5  
    E-Mail-Adresse, an die ein Spam-Report versendet wird.
Wenn hier kein Eintrag erfolgt, wird der Spam-Report an die erste E-Mail-Adresse der Liste gesendet.
Sprache der Berichte: Default Vorgabe unter → Netzwerk →Servereinstellungen → ╭╴Firewall╶╮ → Sprache der Berichte
Es kann gezielt ausgewählt werden: Deutsch  bzw. Englisch 


WOL

Wake on LAN konfigurieren

WOL steht für Wake on LAN und schaltet einen Computer über die Netzwerkkarte ein. Um den Rechner per Datenpaket zu starten, muss der Rechner dies auch unterstützen. In der Regel wird dies im BIOS bzw. UEFI konfiguriert.

Mitglieder dieser Gruppe dürfen hier eingetragene Hosts per WOL einschalten.

Beschriftung Default Beschreibung
Beschreibung     Freier Text
MAC Adresse: __:__:__:__:__: MAC-Adresse des Rechners, der per Wake on Lan aktiviert werden soll
Schnittstelle: eth0   Schnittstelle der Appliance, über die das WOL-Paket gesendet werden muss


 Ruft den Eintrag zum Bearbeiten auf.

Link=  Löscht den Eintrag