Wechseln zu:Navigation, Suche
Wiki

UTM/AUTH/Benutzerverwaltung 11.8.5: Unterschied zwischen den Versionen

Aus Securepoint Wiki
KKeine Bearbeitungszusammenfassung
KKeine Bearbeitungszusammenfassung
Zeile 47: Zeile 47:
| style="min-width:150px;" | {{b|Passwort}} <br/>{{b|Passwort bestätigen}}
| style="min-width:150px;" | {{b|Passwort}} <br/>{{b|Passwort bestätigen}}
| {{ic|••••••••}}  
| {{ic|••••••••}}  
| {{Kasten|Stark|grün}} {{Hinweis | ! Neu ab 11.8|11.8.4}}Das Kennwort muss dabei folgende Kriterien erfüllen:
| {{Kasten|Stark|grün}} {{Hinweis | ! Neu ab 11.8|11.8.4}}{{:UTM/AUTH/Kennwortregeln}}
* mindestens 8 Zeichen Länge
* mindestens 3 der folgenden Kategorien:
** Großbuchstaben
** Kleinbuchstaben
** Sonderzeichen
** Ziffern
|-
|-
| {{b|Ablaufdatum}} <br/>{{Hinweis|! Neu ab 11.8.5|11.8.5}} || {{ic|2020-08-21 00:00:00}} || Nach Ablauf kann sich der Benutzer nicht mehr anmelden. Das Ablaufdatum kann aber wieder verlängert werden. (Es kann nicht in die Vergangenheit gesetzt werden!)
| {{b|Ablaufdatum}} <br/>{{Hinweis|! Neu ab 11.8.5|11.8.5}} || {{ic|2020-08-21 00:00:00}} || Nach Ablauf kann sich der Benutzer nicht mehr anmelden. Das Ablaufdatum kann aber wieder verlängert werden. (Es kann nicht in die Vergangenheit gesetzt werden!)
Zeile 64: Zeile 58:
==== {{Reiter |VPN }} ====
==== {{Reiter |VPN }} ====
{{pt2|UTM_v11.8.5_Authentifizierung_Benutzer_VPN.png |IP-Tunnel Adressen festlegen}}
{{pt2|UTM_v11.8.5_Authentifizierung_Benutzer_VPN.png |IP-Tunnel Adressen festlegen}}
Hier können feste IP-Tunnel Adressen an dien Benutzer vergeben werden {{f|<br/>was heißt das?}}
Hier können feste IP-Tunnel Adressen an die Benutzer vergeben werden {{f|<br/>was heißt das?}}
* <p>{{b| L2TP IP-Adresse:}} </p>
* <p>{{b| L2TP IP-Adresse:}} </p>
* <p>{{b| SSL-VPN IPv4-Adresse: }} </p>
* <p>{{b| SSL-VPN IPv4-Adresse: }} </p>
Zeile 71: Zeile 65:
<br clear=all>
<br clear=all>


====Registerkarte SSL-VPN====
==== {{Reiter|SSL-VPN}} ====
[[Datei:user_add_ssl_vpn.png|350px|thumb|right|SSL VPN Einstellungen]]
{{:UTM/AUTH/Benutzerverwaltung_SSL-VPN}}
Die Registerkarte '''SSL-VPN''' nimmt die Einstellungen für den SSL-VPN Client auf. Diese Einstellungen setzen voraus, dass vorher SSL-VPN Verbindungen erstellt wurden und somit auch Zertifikate für diese Verbindungen bestehen.
 
*Wenn der Benutzer den SSL-VPN Client mit Konfiguration und Zertifikaten vom User-Interface herunterladen darf, aktivieren Sie die Checkbox '''SL-VPN Client Download aktivieren'''.
<br clear=all>
*Wählen Sie im Feld '''SSL-VPN Verbindung''' eine der angelegten SSL-VPN Verbindungen aus.
 
*Wählen Sie im Feld '''Client-Zertifikat''' ein Zertifikat, welches der Benutzer zur Authentifizierung benutzen soll.
==== {{Reiter| Passwort}} ====
*Wählen Sie im Feld '''Remote Gateway''' eine der angebotenen IP-Adressen oder betätigen Sie die Schaltfläche mit dem '''Stiftsymbol''' und tragen eine IP-Adresse ein.
*Aktivieren Sie die Checkbox '''Redirect Gateway''', wenn der gesamte Internetverkehr des Clients über das gewählte Gateway gesendet werden soll.
*Mit den Schaltflächen in der letzten Zeile des Fensters können Sie den Installer des Clients, den portablen Client oder die Konfiguration herunterladen.
<br/>


====Registerkarte Passwort====
{{pt2|UTM_v11.8.5_Authentifizierung_Benutzer_Passwort.png| Festlegen der Kennworteigenschaften}}
[[Datei:user_add_password.png|350px|thumb|right|Festlegen der Kennworteigenschaften]]
Auf der Registerkarte '''Passwort''' wird die Stärke des Kennwortes definiert und ob das Kennwort vom Benutzer selbst geändert werden darf.
Auf der Registerkarte '''Passwort''' wird die Stärke des Kennwortes definiert und ob das Kennwort vom Benutzer selbst geändert werden darf.
*Entscheiden Sie im Feld '''Passwortänderung erlaubt''', ob der Benutzer sein Kennwort im User-Interface selber ändern darf.
{| class="sptable"
*Wählen Sie die minimale Kennwortlänge im Feld '''Mindest Kennwortlänge'''.
! Beschriftung !! Default !! Beschreibung
*Entscheiden Sie welche Zeichen das Kennwort enthalten muss:
|-
:::Ziffern
| {{b| Passwortänderung erlaubt: }} || {{ButtonAus|Aus}} || Legt fest, ob der Benutzer sein Kennwort im User-Interface selber ändern darf.
:::Sonderzeichen
|-
:::Groß- und Kleinbuchstaben
| {{b| Mindest Kennwortlänge: }} || style="min-width: 90px;" | {{ic | 8|c}} || Die minimale Kennwortlänge kann auf mehr als 8 Zeichen gesetzt werden.
<br/><br/><br/>
|-
| colspan="3" | {{Einblenden|Weitere, feste Kriterien für Kennwörter | ausblenden|true}}
{{:UTM/AUTH/Kennwortregeln}}
</div>
|}
<br clear=all>


====Registerkarte Mailfilter====
[[Datei:user_add_mailfilter.png|350px|thumb|right|zu verwaltende E-Mail-Adressen eingeben]]
Tragen Sie in der Registerkarte '''Mailfilter''' die Mailadressen und Domains ein, die der Benutzer im User-Interface verwalten darf. Diese Eintragungen sind nur wirksam, wenn der Benutzer über die Benutzergruppe die Berechtigung '''Mailfilter Administrator''' erhält.
*Tragen Sie im Feld unter der Liste die E-Mailadressen und E-Mail Domains ein, die der Benutzer verwalten darf.
*Klicken Sie dann auf die Schaltfläche mit dem '''Plussymbol'''.
<br/><br/><br/><br/>
<br/><br/><br/>


====Registerkarte WOL====
==== {{Reiter| Mailfilter}} ====
[[Datei:user_add_wol.png|350px|thumb|right|MAC Adressen für die WOL Funktion eintragen]]
{{pt2|UTM_v11.8.5_Authentifizierung_Benutzer_Mailfilter.png|zu verwaltende E-Mail-Adressen }}<br clear=all>
Auf der Registerkarte '''WOL''' tragen Sie Computer ein, die Sie über die Netzwerkschnittstelle starten möchten. WOL steht für Wake on LAN und schaltet einen Computer über die Netzwerkkarte ein. Um den Rechner per Datenpaket zu starten, muss der Rechner dies auch unterstützen.
{| class="sptable striped"
*Tragen Sie die MAC Adresse des gewünschten Computers ein und wählen Sie im rechten Feld das Interface, über welches der Computer mit der Appliance verbunden ist.
! Beschriftung !! Default !! Beschreibung
*Klicken Sie dann auf die Schaltfläche mit dem '''Pluszeichen''', damit die Eintragung übernommen wird.<br />
|-
<br/><br/>
| {{b| Einstellungen aus der Gruppe verwenden: }} || {{ButtonAus|Nein}} || Wenn der Benutzer Mitglied einer Gruppe ist, können die Einstellungen von dort übernommen werden. Die folgenden Einstellungen werden dann hier ausgeblendet und sind im Menü {{ Menu | Authentifizierung |  Benutzer }} / {{ Reiter | Gruppen}} zu konfigurieren.
<small><div align="right">[[#top|nach oben]]</div></small>
|-
<br/><br/>
| class="Leerzeile" | {{Kasten|E-Mail-Adresse|grau}}
|-
| {{ic|E-Mail-Adresse}} ||{{Button||+}} || Eintragen einer Mail-Adresse in die Liste
|-
| {{b|Herunterladen von gefilterten Anhängen erlauben:}} || {{ButtonAus|Nein}} || Bei {{ButtonAn|Ja}}Aktivierung kann der Benutzer im User-Interface Anhänge von Mails herunterladen, die durch den Mailfilter nicht zugestellt wurden
|-
| {{b|Herunterladen von quarantänisierten Anhängen erlauben:}}|| {{ButtonAus|Nein}} || Bei {{ButtonAn|Ja}}Aktivierung kann der Benutzer im User-Interface Anhänge von Mails herunterladen, die in Quarantäne verschoben wurden. {{Hinweis|! Diese Funktion sollte nur versierten Benutzern erlaubt werden!}}
|-
| {{b|Weiterleiten von quarantänisierten E-Mails erlauben:}}|| {{ButtonAn|Ja}} || Der Benutzer kann im User-Interface E-Mails weiterleiten, die in Quarantäne verschoben wurden.
|-
| {{b| Bericht E-Mail-Adresse: }} || {{ic | &emsp;&emsp;&emsp;}} || E-Mail-Adresse, an die ein Bericht versendet wird
|-
| {{b| Sprache der Berichte: }} || {{Button|Default|dr}} || Vorgabe unter {{Menu|Netzwerk|Servereinstellungen}} → {{Kasten|Firewall}} → {{b|Sprache der Berichte}}<br/>Es kann gezielt ausgewählt werden: {{Button|Deutsch|dr}} bzw. {{Button|Englisch|dr}}
|}
<br clear=all>
 
 
==== {{Reiter| WOL}} ====
{{pt2|UTM_v11.8.5_Authentifizierung_Benutzer_WOL.png|Wake on Lan konfigurieren}}
WOL steht für Wake on LAN und schaltet einen Computer über die Netzwerkkarte ein. Um den Rechner per Datenpaket zu starten, muss der Rechner dies auch unterstützen. In der Regel wird dies im BIOS bzw. UEFI konfiguriert
{| class="sptable striped"
! Beschriftung !! Default !! Beschreibung
|-
| {{b|Beschreibung:}} || {{ic|&emsp;&emsp;&emsp;}} || Freier Text
|-
| {{b|MAC Adresse:}} || {{ic| __:__:__:__:__:__|w=100px}} || MAC-Adresse des Rechners, der per '''Wake on Lan''' aktiviert werden soll
|-
| {{b|Schnittstelle:}} || {{Button| eth0 |dr}} || Schnittstelle der Appliance, über die das WOL-Paket gesendet werden muss
|}
<br/>
<p>{{Button| |w}} Ruft den Eintrag zum Bearbeiten auf.</p>
<p>{{Button| |trash}} Löscht den Eintrag</p>
 
=== {{Reiter| Gruppen}} ===
{{pt2 | UTM_v11-8_Authentifizierung_Benutzer_Gruppe-hinzufügen_Berechtigungen.png | Gruppen hinzufügen }}
Manche Einstellungen, die im Abschnitt {{Reiter|Benutzer}} beschrieben worden sind, können auch für die gesamte Gruppe eingestellt werden. Die Einstellungen für den einzelnen Benutzer ersetzen allerdings die Gruppeneinstellungen.
{| class="sptable striped"
! Beschriftung !! Beschreibung
|-
| {{b|Gruppenname}} || {{ic|Frei wählbarer Name|w=x}}
|-
| class="Leerzeile" | {{KastenGrau|Berechtigungen}}
|-
| {{b|Firewall Administrator}} || Darf alles
|-
| {{b|Spamreport}} || Mitglieder dieser Gruppe können einen Spamreport erhalten
|-
| {{b|VPN-L2TP}} ||
|-
| {{b|Mailrelay Benutzer}} ||  Mitglieder dieser Gruppe können das Mailrelay verwenden
|-
| {{b|HTTP-Proxy}} ||  Mitglieder dieser Gruppe können den HTTP-Proxy verwenden
|-
| {{b|IPSEC XAUTH}} ||  Mitglieder dieser Gruppe können sich mit IPSEC authentizieren
|-
| {{b|Userinterface}} ||  Mitglieder dieser Gruppe haben Zugriff auf das Userinterface
|-
| {{b|Clientless VPN}} ||  Mitglieder dieser Gruppe können Clientless VPN verwenden
|-
| {{b|Mailfilter Administrator}} ||  Mitglieder dieser Gruppe können einstellungen für den Mailfilter vornehmen
|-
| {{b|SSL-VPN}} ||  Mitglieder dieser Gruppe können eine SSL-VPN-Verbindung aufbauen
|}
 


==Die Registerkarte Gruppen==
[[Datei:user_tab_groups.png|400px|thumb|right|Auflistung der bestehenden Gruppen]]
Auf der zweiten Registerkarte im '''Benutzer''' Dialog, können übergreifende Einstellungen gesetzt werden. Manche Einstellungen, die im oberen Abschnitt beschrieben worden sind, können auch für die gesamte Gruppe eingestellt werden. Die Einstellungen für den einzelnen Benutzer ersetzen allerdings die Gruppeneinstellungen.<br/><br/>
Um eine neue Gruppe hinzuzufügen Klicken Sie auf die Schaltfläche<br/>
''' + Gruppe hinzufügen'''.<br/>
Es öffnet sich der Dialog '''Gruppe hinzufügen'''. Auch dieser ist mit mehreren Registerkarten gegliedert.
<br clear=all>
<br clear=all>


Version vom 22. August 2019, 17:26 Uhr

Letzte Anpassung zur Version: 11.8.5

Bemerkung:
  • Ablaufdatum für Benutzerkonten
  • Supportuser


Vorherige Versionen: 11.7

Einleitung

Aufruf der Benutzerkonfiguration in der Navigationsleiste unter → Authentifizierung →Benutzer

Die hier eingetragenen Benutzer werden in einer lokalen Datenbank auf der Appliance gespeichert. Auch die Authentifizierung wird gegen die lokale Datenbank vorgenommen.
Hier können Sie neue Nutzer angelegt, Eigenschaften von bestehenden Benutzern geändert oder Nutzer gelöscht werden. Ebenso können Gruppen verwaltet werden, in denen Benutzer organisiert sind.

Benutzer

Benutzerverwaltung
Beschriftung Wert Beschreibung
Name admin Login-Name der Benutzer
Gruppen administrator Gruppenzugehörigket des jeweiligen Users
Berechtigungen Firewall Adminstrator Berechtigungen, Konfiguration unter Gruppen
Hinweise
Neu ab 11.8.5 		Läuft in 8 Stunden ab Nach Ablauf kann sich der Benutzer nicht mehr anmelden.
Bearbeiten oder Löschen des Benutzers


Benutzer hinzufügen

+ Benutzer hinzufügen

Es öffnet sich der Dialog Benutzer hinzufügen. Dieser Dialog beinhaltet mehrere Registerkarten. Es müssen nicht in allen Registerkarten Eintragungen gemacht werden. Mit Speichern werden die Eintragungen übernommen.

Benutzer Allgemein

Allgemein

Anmeldedaten des Benutzers eintragen
Beschriftung Wert Beschreibung
Anmeldename admin-user Login-Name des Benutzers
Passwort
Passwort bestätigen 		•••••••• Stark Neu ab 11.8
































Kennwörter müssen folgende Kriterien erfüllen:
  • mindestens 8 Zeichen Länge
  • mindestens 3 der folgenden Kategorien:
    • Großbuchstaben
    • Kleinbuchstaben
    • Sonderzeichen
    • Ziffern
Ablaufdatum
Neu ab 11.8.5 		2020-08-21 00:00:00 Nach Ablauf kann sich der Benutzer nicht mehr anmelden. Das Ablaufdatum kann aber wieder verlängert werden. (Es kann nicht in die Vergangenheit gesetzt werden!)
Gruppen ×administrator Gruppenzugehörigkeit und damit Berechtigungen dieses Benutzers



VPN

IP-Tunnel Adressen festlegen

Hier können feste IP-Tunnel Adressen an die Benutzer vergeben werden Nur für interne Prüfzwecke

  • L2TP IP-Adresse:

  • SSL-VPN IPv4-Adresse:

  • SSL-VPN IPv6-Adresse:

PPTP steht nicht mehr zur Verfügung, da es sich nachgewiesenermaßen um ein unsicheres Protokoll handelt.


SSL-VPN














































Beschriftung Wert Beschreibung Benutzer hinzufügen UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer UTM v12.6 Authentifizierung Benutzer SSL-VPN.pngSSL-VPN Einstellungen für Benutzer
Einstellungen aus der Gruppe verwenden: Nein Wenn der Benutzer Mitglied einer Gruppe ist, können die Einstellungen von dort übernommen werden. Die folgenden Einstellungen werden dann hier ausgeblendet und sind im Menü Authentifizierung Benutzer  Bereich Gruppen zu konfigurieren.
Client im Userinterface herunterladbar: Ja Der Securepoint VPN-Windows-Client kann im User Webinterface (im Standard über Port 1443 erreichbar) heruntergeladen werden. Der Port ist konfigurierbar im Menü Netzwerk Servereinstellungen  Bereich Servereinstellungen Schaltfläche Webserver / User Webinterface Port: : 1443Link=.
SSL-VPN Verbindung: RW-Securepoint Auswahl einer Verbindung, die im Menü VPN SSL-VPN angelegt wurde.
Client-Zertifikat: cs-sslvpn-rw(1) Es muss ein Zertifikat angegeben werden, mit dem sich der Client gegenüber der UTM authentifiziert.
Es können auch ACME-Zertifikate genutzt werden.
Remote Gateway: 192.168.0.162 (Beispiel-IP) Externe IP-Adresse oder im DNS auflösbare Adresse des Gateways, zu dem die Verbindung hergestellt werden soll.
Redirect Gateway: Ein Bei Aktivierung wird der gesamte Netzwerkverkehr des Clients über das gewählte Gateway gesendet.


Passwort

Festlegen der Kennworteigenschaften

Auf der Registerkarte Passwort wird die Stärke des Kennwortes definiert und ob das Kennwort vom Benutzer selbst geändert werden darf.

Beschriftung Default Beschreibung
Passwortänderung erlaubt: Aus Legt fest, ob der Benutzer sein Kennwort im User-Interface selber ändern darf.
Mindest Kennwortlänge: 8Link= Die minimale Kennwortlänge kann auf mehr als 8 Zeichen gesetzt werden.
































Kennwörter müssen folgende Kriterien erfüllen:
  • mindestens 8 Zeichen Länge
  • mindestens 3 der folgenden Kategorien:
    • Großbuchstaben
    • Kleinbuchstaben
    • Sonderzeichen
    • Ziffern



Mailfilter

zu verwaltende E-Mail-Adressen


Beschriftung Default Beschreibung
Einstellungen aus der Gruppe verwenden: Nein Wenn der Benutzer Mitglied einer Gruppe ist, können die Einstellungen von dort übernommen werden. Die folgenden Einstellungen werden dann hier ausgeblendet und sind im Menü → Authentifizierung →Benutzer / Gruppen zu konfigurieren.
E-Mail-Adresse
E-Mail-Adresse Eintragen einer Mail-Adresse in die Liste
Herunterladen von gefilterten Anhängen erlauben: Nein Bei JaAktivierung kann der Benutzer im User-Interface Anhänge von Mails herunterladen, die durch den Mailfilter nicht zugestellt wurden
Herunterladen von quarantänisierten Anhängen erlauben: Nein Bei JaAktivierung kann der Benutzer im User-Interface Anhänge von Mails herunterladen, die in Quarantäne verschoben wurden. Diese Funktion sollte nur versierten Benutzern erlaubt werden!
Weiterleiten von quarantänisierten E-Mails erlauben: Ja Der Benutzer kann im User-Interface E-Mails weiterleiten, die in Quarantäne verschoben wurden.
Bericht E-Mail-Adresse:     E-Mail-Adresse, an die ein Bericht versendet wird
Sprache der Berichte: Default Vorgabe unter → Netzwerk →Servereinstellungen
Firewall
Sprache der Berichte
Es kann gezielt ausgewählt werden: Deutsch bzw. Englisch



WOL

Wake on Lan konfigurieren

WOL steht für Wake on LAN und schaltet einen Computer über die Netzwerkkarte ein. Um den Rechner per Datenpaket zu starten, muss der Rechner dies auch unterstützen. In der Regel wird dies im BIOS bzw. UEFI konfiguriert

Beschriftung Default Beschreibung
Beschreibung:     Freier Text
MAC Adresse: __:__:__:__:__:__ MAC-Adresse des Rechners, der per Wake on Lan aktiviert werden soll
Schnittstelle: eth0 Schnittstelle der Appliance, über die das WOL-Paket gesendet werden muss


Ruft den Eintrag zum Bearbeiten auf.

Löscht den Eintrag

Gruppen

Gruppen hinzufügen

Manche Einstellungen, die im Abschnitt Benutzer beschrieben worden sind, können auch für die gesamte Gruppe eingestellt werden. Die Einstellungen für den einzelnen Benutzer ersetzen allerdings die Gruppeneinstellungen.

Beschriftung Beschreibung
Gruppenname Frei wählbarer Name
 Berechtigungen 
Firewall Administrator Darf alles
Spamreport Mitglieder dieser Gruppe können einen Spamreport erhalten
VPN-L2TP
Mailrelay Benutzer Mitglieder dieser Gruppe können das Mailrelay verwenden
HTTP-Proxy Mitglieder dieser Gruppe können den HTTP-Proxy verwenden
IPSEC XAUTH Mitglieder dieser Gruppe können sich mit IPSEC authentizieren
Userinterface Mitglieder dieser Gruppe haben Zugriff auf das Userinterface
Clientless VPN Mitglieder dieser Gruppe können Clientless VPN verwenden
Mailfilter Administrator Mitglieder dieser Gruppe können einstellungen für den Mailfilter vornehmen
SSL-VPN Mitglieder dieser Gruppe können eine SSL-VPN-Verbindung aufbauen




Die Registerkarten Berechtigungen und SSL-VPN wurden stark überarbeitet.
 Aktuelle Konfigurationshinweise finden sich hier.

Registerkarte Berechtigungen

Namen und Berechtigungen vergeben

Im Dialog Gruppe hinzufügen öffnet sich zunächst die Registerkarte Berechtigungen.

  • Zunächst müssen Sie der neuen Gruppe einen aussagefähigen Namen geben. Geben Sie diesen in das Eingabefeld oberhalb der Berechtigungen ein.
  • Wählen Sie dann Berechtigungen für die Gruppe aus.
    • Firewall Administrator
    • Mailfilter Administrator
    • VPN-L2TP
    • VPN-PPTP
    • SSL-VPN
    • HTTP-Proxy
    • Userinterface
    • IPSEC XAUTH
    • Clientless VPN
    • SMTP-Relay Benutzer


Registerkarte SSL-VPN

SSL-VPN Einstellungen der Gruppe

Auf dieser Registerkarte können Sie für di gesamte Gruppe Einstellungen für das SSL-VPN vergeben.
Beachten Sie, dass dann alle Benutzer das gleiche Zertifikat benutzen. SSL-VPN Einstellungen einzelner Benutzer überschreiben die Gruppeneinstellungen.







Registerkarte Active Directory

AD Gruppenzuordnung

Hier tragen Sie ein, welcher Active Directory Gruppe die Mitglieder dieser Benutzergruppe angehören sollen.

  • Wählen Sie die Gruppe aus dem Dropdownfeld.






Registerkarte Mailfilter

Mailkonten auswählen

Setzen Sie hier die E-Mailkonten ein, die von der Gruppe eingesehen werden können, um den Mailfilter zu kontrollieren.
Die Berechtigung Userinterface wird benötigt.











Registerkarte WOL

MAC-Adressen eintragen

Auf der Registerkarte WOL tragen Sie Computer ein, die Sie über die Netzwerkschnittstelle starten möchten.

  • Tragen Sie die MAC Adresse des gewünschten Computers ein und wählen Sie im rechten Feld das Interface, über welches der Computer mit der Appliance verbunden ist.






Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/AUTH/Benutzerverwaltung_11.8.5&oldid=61299