Benutzerverwaltung

Anlegen und konfigurieren von Benutzern und Gruppen (Berechtigungen)

Letzte Anpassung zur Version: 11.8.5

Neu:

• Ablaufdatum für Benutzerkonten
• Vorkonfigurierter Support-Benutzer lässt sich bei Bedarf anlegen
• Seperate Mail-Adresse für Spam-Report konfigurierbar
• Download für quarantänisierte Anhänge erlauben
• Bewertung der Kennwort-Qualität

Vorherige Versionen: 11.7

Einleitung

Aufruf der Benutzerkonfiguration in der Navigationsleiste unter → Authentifizierung →Benutzer

Die hier eingetragenen Benutzer werden in einer lokalen Datenbank auf der Appliance gespeichert.
Auch die an dieser Stelle konfigurierte Authentifizierung wird gegen die lokale Datenbank vorgenommen.
Es können zusätzlich lokale Benutzergruppen einer AD/LDAP - Gruppe zugeordnet werden.

Benutzer

Benutzerverwaltung

Support-Benutzer

Support-Benutzer anlegen

Neue Funktion ab 11.8.5

Der Support-Benutzer ist ein temporärer Administrator, der zum Beispiel zur Unterstützung für den Securepoint Support aktiviert werden kann.

Die Schaltfläche zum Anlegen eines Support-Benutzers befindet sich rechts oben im Dashboard. (Headset-Symbol)

Es lassen sich nicht mehrere Support-Benutzer gleichzeitig anlegen. Existiert bereits ein Support-Benutzer wird gefragt, ob der vorhandene Benutzer gelöscht werden soll!

Beschriftung	Wert	Beschreibung
Anmeldename:	support-N3e-oDt	Willkürlicher Name, der mit support- beginnt und nur durch geändert werden kann. Es ist keine manuelle Eingabe möglich.
Passwort:	red-SZZ-sIa-dCB	Willkürlicher Wert, der nur durch geändert werden kann. Es ist keine manuelle Eingabe möglich.
Ablaufdatum:	2019-08-20 11:11:11	Per Default läuft der Zugang für den Support-Benutzer nach 24 Stunden ab. Es ist möglich, diesen Wert auf bis zu 30 Tage zu verlängern. Es ist nicht möglich, diesen Wert nachträglich zu ändern.
Gruppen:	×administrator	Es ist per Default die erste Benutzer-Gruppe mit der Berechtigung Firewall Administrator eingetragen. Es lassen sich andere Gruppen, die ebenfalls über diese Berechtigung verfügen auswählen.
Root-Berechtigung:	Nein	Bei Ja Aktivierung erhält der Benutzer zusätzlich root-Berechtigung. Bei einer Verbindung mit SSH erfolgt die Anmeldung direkt auf der root-Konsole!

Vor dem Speichern sollte der Anmeldename und muss das Passwort notiert werden !
Das Passwort kann nach dem Speichern nicht mehr angezeigt werden. Beide Werte lassen sich jeweils über die Zwischenablage kopieren.

Abgelaufene Benutzer-Zugänge werden automatisch nach einer gewissen Zeit entfernt.

Benutzer hinzufügen

Es öffnet sich der Dialog Benutzer hinzufügen. Dieser Dialog beinhaltet mehrere Registerkarten.Es müssen nicht in allen Registerkarten Eintragungen gemacht werden. Mit Speichern werden die Eintragungen übernommen.

Benutzer Allgemein

Anmeldedaten des Benutzers eintragen

user attribute set name testnutzer attribute expirydate value 1576553166

VPN

IP-Tunnel Adressen festlegen

Hier können feste IP-Tunnel Adressen an die Benutzer vergeben werden

• L2TP IP-Adresse:

• SSL-VPN IPv4-Adresse:

• SSL-VPN IPv6-Adresse:

PPTP steht nicht mehr zur Verfügung, da es sich nachgewiesenermaßen um ein unsicheres Protokoll handelt.

SSL-VPN

Caption	Value	Description	Add User UTMuser@firewall.name.fqdnAuthenticationUser SSL-VPN settings for users
Use group settings:	No	If the user is a member of a group, the settings can be adopted from there. The following settings are then greyed out here and are to be configured in the Authentication Users  Area Groups menu.
Client downloadable in the user interface:	Yes	The Securepoint VPN Windows client can be downloaded from the user web interface (accessible via port 1443 by default). The port is configurable in the → Network →Server settingsTab Server settings Button Webserver / User Webinterface Port: : 1443.
SSL VPN connection:	RW-Securepoint	Selection of a connection created in the VPN SSL-VPN menu.
Client certificate:	cs-sslvpn-rw(1)	A certificate must be specified that the client uses to authenticate itself to the UTM. It is also possible to use ACME certificates.
Remote Gateway:	192.168.0.162 (Example-IP)	External IP address or DNS resolvable address of the gateway to which the connection is to be established.
Redirect Gateway:	On	When enabled, all client network traffic is sent through the selected gateway.

Passwort

Festlegen der Kennworteigenschaften

Auf der Registerkarte Passwort wird die Stärke des Kennwortes definiert und ob das Kennwort vom Benutzer selbst geändert werden darf.

Beschriftung	Default	Beschreibung
Passwortänderung erlaubt:	Aus	Legt fest, ob der Benutzer sein Kennwort im User-Interface selber ändern darf.
Mindest Kennwortlänge:	8	Die minimale Kennwortlänge kann auf mehr als 8 Zeichen gesetzt werden.
Passwords must meet the following criteria: at least 8 characters length at least 3 of the following categories: Upper case Lower case Special characters Digits

Mailfilter

WOL

Wake on Lan konfigurieren

WOL steht für Wake on LAN und schaltet einen Computer über die Netzwerkkarte ein. Um den Rechner per Datenpaket zu starten, muss der Rechner dies auch unterstützen. In der Regel wird dies im BIOS bzw. UEFI konfiguriert.

Damit ein Benutzer WOL nutzen darf, muss es hier konfiguriert werden!

 Ruft den Eintrag zum Bearbeiten auf.

 Löscht den Eintrag

Gruppen

Gruppen hinzufügen

Manche Einstellungen, die im Abschnitt Benutzer beschrieben worden sind, können auch für die gesamte Gruppe eingestellt werden. Die Einstellungen für den einzelnen Benutzer ersetzen allerdings die Gruppeneinstellungen.

Berechtigungen

Clientless VPN

Dieser Reiter wird nur angezeigt, wenn im Reiter Berechtigungen Clientless VPN aktiviert Ein wurde.

Unter→ VPN →Clientless VPN angelegte Verbindungen werden hier angezeigt.

Clientless VPN Verwaltung öffnen Hier lassen sich Verbindungen konfigurieren und hinzufügen.

Aufruf alternativ über → VPN →Clientless VPN

Weitere Hinweise im Artikel zu Clientless VPN.

SSL-VPN

Caption:	Value	Description:	Add Group UTMuser@firewall.name.fqdnAuthenticationUser SSL VPN group settings
Client downloadable in the user interface:	No	If enabled, the VPN client can be downloaded in the user interface
SSL VPN connection:	RW-Securepoint	Select the preferred connection (created under VPN SSL-VPN )
Client certificate:	cs-sslvpn-rw(1)	Select the certificate for this group (created under Authentication Certificates  Area Certificates) It is also possible to use ACME certificates.
Remote Gateway:	192.168.175.1	IP address of the gateway on which the SSL VPN clients dial in. Free input or selection via drop-down menu.
Redirect Gateway:	Off	Requests to destinations outside the local network (and thus also the VPN) are usually routed directly to the Internet by the VPN user's gateway. When the On button is activated, the local gateway is redirected to the UTM. This way, these packets also benefit from the protection of the UTM. This setting changes the configuration file for the VPN client.
Use in packet filter:	No	By enabling Yes this option, rules for this group can be created in the packet filter. This can be used to control access for users who are members of this group connected via SSL VPN.

Verzeichnis Dienst

AD/LDAP Gruppenzuordnung

Hier wird eingetagen, welcher Verzeichnis-Dienst-Gruppe die Mitglieder dieser Benutzergruppe angehören sollen.
Damit an dieser Stelle eine Gruppe ausgewählt werden kann, muss unter → Authentifizierung →AD/LDAP Authentifizierung eine entsprechende Verbindung konfiguriert worden sein.

Auswahl einer AD/LDAP - Gruppe

Mailfilter

Mailfilter für Gruppen konfigurieren

Die Berechtigung Userinterface Ein wird benötigt.

WOL

Wake on LAN konfigurieren

WOL steht für Wake on LAN und schaltet einen Computer über die Netzwerkkarte ein. Um den Rechner per Datenpaket zu starten, muss der Rechner dies auch unterstützen. In der Regel wird dies im BIOS bzw. UEFI konfiguriert.

Mitglieder dieser Gruppe dürfen hier eingetragene Hosts per WOL einschalten.

 Ruft den Eintrag zum Bearbeiten auf.

 Löscht den Eintrag