Wählen Sie die Authentifizierungsserver für die Firewall und andere Dienste wie VPN aus. Sie können auch globale Authentifizierungseinstellungen, NTLM-Einstellungen, Webclient-Einstellungen und RADIUS Single-Sign-On-Einstellungen konfigurieren. Maßnahmen für Internetrichtlinien erlauben Ihnen festzulegen, wohin unauthentifizierte Benutzer geleitet werden.
Firewall-Authentifizierungsmethoden
Authentifizierungsserver, der für Firewall-Verbindungen verwendet werden soll.
- Authentifizierungsserverliste
- Konfigurierte Authentifizierungsserver.
- Ausgewählter Authentifizierungsserver
- Server, der für die Authentifizierung verwendet werden soll. Um Benutzer für diesen Dienst zu authentifizieren, müssen Sie mindestens einen Server auswählen. Sie können einen externen Server oder die lokale Datenbank angeben, das heißt, die Benutzer und Gruppen, die Sie auf der Firewall konfiguriert haben. Wenn mehr als ein Server ausgewählt ist, wird die Authentifizierungsanfrage in der angegebenen Reihenfolge weitergeleitet.
- Standardgruppe
- Gruppe, die für Benutzer verwendet werden soll, die sich authentifizieren, aber nicht in der Firewall konfiguriert sind. Benutzer, die nicht Teil einer lokalen Gruppe sind, werden der Standardgruppe zugewiesen.
VPN-Authentifizierungsmethoden
Authentifizierungsserver, der für VPN-Verbindungen verwendet werden soll.
- Die gleichen Authentifizierungsmethoden verwenden wie für die Firewall
- Ziehen Sie alle Authentifizierungsserver, die für den Firewallverkehr eingerichtet sind, auch für die Authentifizierung von VPN-Datenverkehr heran.
- Authentifizierungsserverliste
- Konfigurierte Authentifizierungsserver.
- Ausgewählter Authentifizierungsserver
- Server, der für die Authentifizierung verwendet werden soll. Um Benutzer für diesen Dienst zu authentifizieren, müssen Sie mindestens einen Server auswählen. Sie können einen externen Server oder die lokale Datenbank angeben, das heißt, die Benutzer und Gruppen, die Sie auf der Firewall konfiguriert haben. Wenn mehr als ein Server ausgewählt ist, wird die Authentifizierungsanfrage in der angegebenen Reihenfolge weitergeleitet. Wenn Sie einen RADIUS-Server auswählen, können PPTP- und L2TP-Verbindungen, die mithilfe von MSCHAPv2- oder CHAP- aufgebaut wurden, über RADIUS authentifiziert werden.
Administrator-Authentifizierungsmethoden
Server, der für die Authentifizierung von Administrator-Benutzern verwendet werden soll.
Hinweis: Administrator-Authentifizierungseinstellungen betreffen nicht den Super-Administrator.
- Die gleichen Authentifizierungsmethoden verwenden wie für die Firewall
- Ziehen Sie alle Authentifizierungsserver, die für den Firewallverkehr eingerichtet sind, auch für die Authentifizierung von Administratoren heran.
- Authentifizierungsserverliste
- Konfigurierte Authentifizierungsserver.
- Ausgewählter Authentifizierungsserver
- Server, der für die Authentifizierung verwendet werden soll. Um Benutzer für diesen Dienst zu authentifizieren, müssen Sie mindestens einen Server auswählen. Sie können einen externen Server oder die lokale Datenbank angeben, das heißt, die Benutzer und Gruppen, die Sie auf der Firewall konfiguriert haben. Wenn mehr als ein Server ausgewählt ist, wird die Authentifizierungsanfrage in der angegebenen Reihenfolge weitergeleitet.
SSL-VPN-Authentifizierungsmethoden
Authentifizierungsserver, der für SSL-VPN-Verbindungen verwendet werden soll.
- Dieselbe wie für VPN
- Verwenden Sie dieselbe Authentifizierungsmethode wie für den VPN-Verkehr.
- Dieselbe wie für die Firewall
- Verwenden Sie dieselbe Authentifizierungsmethode wie für den Firewallverkehr.
- Authentifizierungsserverliste
- Konfigurierte Authentifizierungsserver.
- Ausgewählter Authentifizierungsserver
- Server, der für die Authentifizierung verwendet werden soll. Um Benutzer für diesen Dienst zu authentifizieren, müssen Sie mindestens einen Server auswählen. Sie können einen externen Server oder die lokale Datenbank angeben, das heißt, die Benutzer und Gruppen, die Sie auf der Firewall konfiguriert haben. Wenn mehr als ein Server ausgewählt ist, wird die Authentifizierungsanfrage in der angegebenen Reihenfolge weitergeleitet.
Allgemeine Einstellungen
- Maximale Sitzungszeitüberschreitung
- Maximale Sitzungsdauer für Benutzer, die sich erfolgreich an einem Dienst angemeldet haben. Sobald die Zeit abgelaufen ist, wird der Benutzer abgemeldet.
Die Firewall überprüft die Autorisierung alle drei Minuten. Mögliche Gründe, die die Sitzungsdauer begrenzen, sind Zugriffsrichtlinien, Surfkontingente, Datentransferbeschränkungen und die maximale Sitzungsdauer.
Diese Einstellung betrifft nur administrative Sitzungen.
- Gleichzeitige Anmeldungen
- Maximale Anzahl an gleichzeitigen Sitzungen, die Benutzern gestattet ist.
-
Hinweis: Diese Beschränkung betrifft nur Benutzer, die hinzugefügt wurden, nachdem Sie diesen Wert eingestellt haben.
NTLM-Einstellungen
Einstellungen für Windows Challenge/Response, die für Active-Directory-Authentifizierung verwendet wird.
- Inaktivitätsdauer
- Inaktivitätsdauer, nach der der Benutzer abgemeldet wird.
- Mindestdatendurchsatz
- Minimale Datenmenge, die während der Inaktivitätsdauer übertragen werden soll. Wird das Mindestdatenvolumen nicht innerhalb des festgelegten Zeitraums übertragen, wird der Benutzer als inaktiv markiert.
- HTTP-Challenge-Umleitung auf Intranetzone
- Wenn eine im Internet gehostete Seite die NTLM-Web-Proxy-Challenge zur Authentifizierung beginnt, leitet die Appliance die NTLM-Authentifizierungs-Challenge in die Intranetzone um. Der Client wird transparent über die lokale Schnittstellen-IP der Appliance authentifiziert und die Benutzerdaten werden nur im Intranet ausgetauscht. Die Benutzerdaten bleiben geschützt. Wenn diese Einstellung ausgeschaltet ist, wird der Client vom Browser über die Appliance transparent authentifiziert, indem die Benutzerdaten über das Internet gesendet werden.
Webclient-Einstellungen
Einstellungen für iOS, Android und API.
- Inaktivitätsdauer
- Inaktivitätsdauer, nach der der Benutzer abgemeldet wird.
- Mindestdatendurchsatz
- Minimale Datenmenge, die während der Inaktivitätsdauer übertragen werden soll. Wird das Mindestdatenvolumen nicht innerhalb des festgelegten Zeitraums übertragen, wird der Benutzer als inaktiv markiert.
SSO mit RADIUS-Accounting-Anfrage
Einstellungen für RADIUS Single Sign-On. Die Firewall kann Benutzer, die bereits an einem RADIUS-Server authentifiziert wurden, transparent authentifizieren.
- RADIUS-Client IPv4
- IPv4-Adresse des RADIUS-Clients. Für SSO werden nur Anfragen für die angegebene IP-Adresse berücksichtigt.
- Vereinbarter Schlüssel
- Textzeichenfolge, die als Kennwort zwischen dem Client und dem Server dient.
Chromebook SSO
Einstellungen für Chromebook Single Sign-On. Die Firewall kann Benutzer, die bereits an einem Chromebook wurden, transparent authentifizieren. Um Chromebook SSO-Authentifizierung einzurichten, folgen Sie den Anweisungen in Chromebook Single Sign-On konfigurieren.
- Domäne
- Der Domänenname, der bei G Suite registriert ist.
- Port
- Die Portnummer, mit der sich Chromebooks aus dem LAN or WLAN heraus verbinden.
- Zertifikat
- Das Zertifikat, das für die Kommunikation mit den Chromebooks verwendet wird. Der Zertifikat-CN muss mit der Zone oder dem Netzwerk übereinstimmen, wo sich die Chromebook-Benutzer befinden, z.B. gateway.example.com.
- Protokollierungsstufe
- Wählen Sie den Umfang der Protokollierung.
Internetrichtlinien-Maßnahmen für nicht authentifizierte Benutzer
Legen Sie Einstellungen für unauthentifizierte Benutzer im Benutzerportal fest.
- Nicht authentifizierte Benutzer zum Anmelden auffordern
- Leiten Sie die Zugriffsanfrage eines nicht authentifizierten Benutzers entweder auf das Captive-Portal um oder auf die Seite mit selbstdefinierter Nachricht. Wenn diese Einstellung ausgeschaltet ist, wird der Verkehr von unauthentifizierten Benutzern verworfen.
- Anmeldeaufforderungsmethode
- Methode, mit der unauthentifizierte Benutzer umgeleitet werden sollen.
- Captive-Portal verwendet HTTPS
- Sicheren Zugriff auf das Captive-Portal durch den Einsatz von HTTPS bieten.
- Link zum Benutzerportal zur Verfügung stellen
- Einen Link zum vollständigen Benutzerportal auf der Captive-Portal-Seite bereitstellen.
- Nach der Anmeldung zu einer URL weiterleiten
- Den Benutzer nach erfolgter Anmeldung auf die vom Benutzer angefragte Seite umleiten oder zu einer selbstdefinierten Seite.
- Nach Anmeldung Captive-Portal beibehalten
- Captive-Portal minimieren, sobald der Benutzer authentifiziert ist.
- Keep Alive verwenden, um die Sitzung des Benutzers aufrecht zu erhalten
- Keep-Alive-Nachrichten verwenden, um die Benutzerverbindung zum Captive-Portal zu erhalten. Wenn die Firewall keine Antwort erhält vom Benutzer erhält, wird der Benutzer automatisch abgemeldet.
Tipp: Diese Einstellung ausschalten, wenn mehrere gleichzeitige Benutzer vorhanden sind.
- Benutzerinaktivitätszeitüberschreitung
- Inaktivitätsdauer, nach der der Benutzer abgemeldet wird.
- Mindestdatendurchsatz
- Minimale Datenmenge, die während der Inaktivitätsdauer übertragen werden soll. Wird das Mindestdatenvolumen nicht innerhalb des festgelegten Zeitraums übertragen, wird der Benutzer als inaktiv markiert.
Selbstdefinierte Nachrichtenoptionen
- Bild Seitenkopf
- Bild, das in der Kopfzeile der selbstdefinierten Nachrichtenseite angezeigt werden soll. Unterstützte Formate:JPG, PNG und GIF.
- Bild Fußzeile
- Bild, das in der Fußzeile der eigenen Nachrichtenseite angezeigt werden soll. Unterstützte Formate:JPG, PNG und GIF.
- Eigene Nachricht
- Anzuzeigende Nachricht.
