keyboard_arrow_right
keyboard_arrow_left
Auf dieser Seite können Sie die Authentifizierung für Firewall-, VPN- und Admin-Datenverkehr konfigurieren.
Sie können außerdem die globalen Einstellungen, die NTLM-Einstellungen, die Webclient-Einstellungen, die Captive-Portal-Einstellungen und die RADIUS-Client-Einstellungen für Single Sign-On-Server konfigurieren.
Außerdem können Sie den Authentifizierungsstatus auf der Seite > > einsehen und verwalten.
Sobald Sie die Appliance in Betrieb nehmen, wird automatisch die Standardzugriffsrichtlinie angewendet, die das Passieren des gesamten Netzwerkverkehrs über die Appliance zulässt. Dadurch können Sie die Benutzeraktivität in Ihrem Netzwerk basierend auf der Standardrichtlinie überwachen.
Da die Appliance die Benutzeraktivität auf Grundlage der IP-Adresse überwacht und protokolliert, werden auch alle Berichte basierend auf der IP-Adresse erstellt. Um die Benutzeraktivitäten auf Basis von Benutzer- oder Anmeldenamen zu überwachen und zu protokollieren, müssen Sie die Appliance so konfigurieren, dass Benutzerinformationen und der Authentifizierungsprozess mit einbezogen werden. Dadurch sind dann Zugriffsanfragen und Erstellung von Berichten basierend auf Benutzernamen möglich.
Wenn der Benutzer versucht zuzugreifen, fordert die Appliance einen Benutzernamen und ein Kennwort an und authentifiziert die Zugangsdaten des Benutzers, bevor sie Zugriff gewährt. Die Authentifizierung auf Benutzerebene kann über die lokale Benutzerdatenbank auf der Appliance, den externen ADS-Server, LDAP-, RADIUS- oder TACACS+ Server erfolgen.
Einrichten einer Benutzerdatenbank
1. Binden Sie ADS, LDAP, RADIUS oder TACACS+ ein, wenn eine externe Authentifizierung erforderlich ist.
2. Einrichten einer lokalen Authentifizierung
3. Benutzer registrieren
Die Appliance stellt einen richtlinienbasierten Filter bereit, der die Festlegung individueller Filterpläne für verschiedene Benutzer Ihres Unternehmens ermöglicht. Sie können einzelne Richtlinien Benutzern oder eine einzelne Richtlinie mehreren Benutzern (Gruppe) zuweisen.
Die Appliance erkennt Benutzer, wenn diese sich bei einer Windows-Domäne in Ihrem Netzwerk über Client-Rechner anmelden. Den Benutzern wird der Zugriff basierend auf Benutzername und Kennwort erlaubt oder verweigert. Um einen Benutzer zu authentifizieren, müssen Sie mindestens eine Datenbank auswählen, über die die Appliance Benutzer authentifizieren soll.
Um die Internetanfragen basierend auf zugewiesenen Richtlinien zu filtern, muss die Appliance einen Benutzer, der eine Anfrage stellt, identifizieren können.
Sie können Authentifizierung für Administrator, Firewall, VPN und SSL-VPN über einen oder mehrere Server konfigurieren.
Dieser Abschnitt behandelt folgende Themen:
Firewallauthentifizierungsmethoden
Authentifizierungsserver-Liste
Wählen Sie einen Authentifizierungsserver aus.
In der Authentifizierungsserver-Liste werden alle konfigurierten Server angezeigt und in der Liste Ausgewählter Authentifizierungsserver die Server, die beim Anmeldeversuch des Benutzers für die Authentifizierung genutzt werden.
Sind mehrere Server vorhanden, wird die Authentifizierungsanfrage in der in der Liste Ausgewählter Authentifizierungsserver festgelegten Reihenfolge weitergeleitet.
Standardgruppe
Wählen Sie die Standardgruppe für die Firewallauthentifizierung aus.
Authentifizierungsmethoden für VPN (IPsec/L2TP/PPTP)
Die gleichen Authentifizierungsmethoden verwenden wie für die Firewall
Aktivieren Sie diese Option, um dieselbe Authentifizierungsmethode zu verwenden wie für den Firewalldatenverkehr. Ist diese Option aktiviert, stehen alle Authentifizierungsserver, die für den Firewalldatenverkehr eingerichtet wurden, für die Konfiguration der Authentifizierung des VPN-Datenverkehrs zur Verfügung.
In der Authentifizierungsserver-Liste werden alle konfigurierten Server angezeigt und in der Liste Ausgewählter Authentifizierungsserver die Server, die beim Anmeldeversuch des Benutzers für die Authentifizierung genutzt werden.
Überschreiben Sie die Authentifizierungsmethode für VPN-Datenverkehr, indem Sie einen beliebigen Authentifizierungsserver aus- oder abwählen.
Sind mehrere Server vorhanden, wird die Authentifizierungsanfrage in der in der Liste Ausgewählter Authentifizierungsserver festgelegten Reihenfolge weitergeleitet.
Wenn der RADIUS-Server Benutzer authentifiziert, können PPTP- und L2TP-Verbindungen, die mithilfe des MSCHAPv2- oder CHAP-Protokolls aufgebaut wurden, über RADIUS authentifiziert werden.
Authentifizierungsmethoden für den Administrator
Sie können die Authentifizierungseinstellungen für alle Administrator-Benutzer (außer für den Superadministrator) konfigurieren und verwalten.
Die gleichen Authentifizierungsmethoden verwenden wie für die Firewall
Wählen Sie diese Option, um dieselbe Authentifizierungsmethode zu verwenden wie für den Firewalldatenverkehr eingerichtet. Ist diese Option aktiviert, stehen alle Authentifizierungsserver, die für den Firewalldatenverkehr eingerichtet wurden, für die Konfiguration der Authentifizierung des Administrator-Datenverkehrs zur Verfügung.
In der Authentifizierungsserver-Liste werden alle konfigurierten Server angezeigt und in der Liste Ausgewählter Authentifizierungsserver die Server, die beim Anmeldeversuch des Benutzers für die Authentifizierung genutzt werden.
Überschreiben Sie die Authentifizierungsmethode für den Administrator-Datenverkehr, indem Sie einen beliebigen Authentifizierungsserver aus- oder abwählen.
Sind mehrere Server vorhanden, wird die Authentifizierungsanfrage in der in der Liste Ausgewählter Authentifizierungsserver festgelegten Reihenfolge weitergeleitet.
SSL-VPN-Authentifizierungsmethoden
Dieselbe wie für VPN
Wählen Sie diese Option, um dieselbe Authentifizierungsmethode zu verwenden wie für den VPN-Datenverkehr.
Dieselbe wie für die Firewall
Aktivieren Sie diese Option, um dieselbe Authentifizierungsmethode zu verwenden wie für den Firewalldatenverkehr.
Authentifizierungsmethoden für SSL-VPN wählen
Aktivieren, um den Authentifizierungsserver für SSL-VPN zu konfigurieren.
In der Authentifizierungsserver-Liste werden alle konfigurierten Server angezeigt und in der Liste Ausgewählter Authentifizierungsserver die Server, die beim Anmeldeversuch des Benutzers für die Authentifizierung genutzt werden.
Überschreiben Sie die Authentifizierungsmethode für SSL-VPN-Datenverkehr, indem Sie einen beliebigen Authentifizierungsserver aus- oder abwählen.
Sind mehrere Server vorhanden, wird die Authentifizierungsanfrage in der in der Liste Ausgewählter Authentifizierungsserver festgelegten Reihenfolge weitergeleitet.
Globale Einstellungen
Maximale Zeitüberschreitung
Legen Sie die Timeout-Dauer in Minuten fest.
Die Maximale Sitzungsdauer ist die Zeit in Minuten, die ein Benutzer an der Appliance angemeldet ist. Wird diese Zeitspanne überschritten, wird der Benutzer automatisch abgemeldet und muss sich neu authentifizieren. Dies betrifft nur administrative Sitzungen.
Zulässiger Bereich: 3-1440 Minuten
Aktivieren Sie Unbegrenzt, damit die Benutzer angemeldet bleiben können.
Gleichzeitige Anmeldungen
Legen Sie fest, wie viele gleichzeitige Anmeldungen für den Benutzer erlaubt sind.
Zulässiger Bereich: 1-99 gleichzeitige Anmeldungen
Aktivieren Sie Unbegrenzt, um unbegrenzte gleichzeitige Anmeldungen für den Benutzer zu erlauben.
Die Anmeldebeschränkung betrifft nur diejenigen Benutzer, die nach dieser Konfiguration hinzugefügt werden.
NTLM-Einstellungen
Inaktivitätsdauer
Legen Sie die Inaktivitätsdauer in Minuten fest.
Die Zeitüberschreitung für die Benutzerinaktivität ist die inaktive/Idle-Zeit in Minuten, nach der ein Benutzer abgemeldet wird und sich neu authentifizieren muss.
Zulässiger Bereich: 6-1440 Minuten
Standard: 6 Minuten
Mindestdatendurchsatz
Legen Sie das Datenvolumen fest, das mindestens übertragen werden muss.
Wird das Mindestdatenvolumen nicht innerhalb des festgelegten Zeitraums übertragen, wird der Benutzer als inaktiv markiert.
Standard: 1024 Byte
HTTP Challenge-Umleitung auf Intranetzone
Aktiviert: Wenn eine im Internet befindliche Instanz die NTLM-Web-Proxy-Challenge zur Authentifizierung beginnt, leitet die Appliance die NTLM-Authentifizierungs-Challenge in die Intranetzone um. Der Client wird transparent über die lokale Schnittstellen-IP der Appliance authentifiziert und die Benutzerdaten werden nur im Intranet ausgetauscht. Die Benutzerdaten bleiben geschützt.
Deaktiviert: Der Client wird vom Browser über die Appliance transparent authentifiziert, indem die Benutzerdaten über das Internet gesendet werden.
Standard: Aktiviert:
Webclient-Einstellungen (iOS und Android und API)
Inaktivitätsdauer
Legen Sie die Inaktivitätsdauer in Minuten fest.
Die Zeitüberschreitung für die Benutzerinaktivität ist die inaktive/Idle-Zeit in Minuten, nach der ein Benutzer abgemeldet wird und sich neu authentifizieren muss.
Zulässiger Bereich: 6-1440 Minuten
Standard: 6 Minuten
Mindestdatendurchsatz
Legen Sie das Datenvolumen fest, das mindestens übertragen werden muss.
Wird das Mindestdatenvolumen nicht innerhalb des festgelegten Zeitraums übertragen, wird der Benutzer als inaktiv markiert.
Standard: 1024 Byte
SSO mit RADIUS-Datenerfassungsanfrage
Die Appliance kann Benutzer, die bereits auf einem externen RADIUS-Server authentifiziert wurden, transparent authentifizieren.
RADIUS-Client IPv4
Geben Sie die IPv4-Adresse des RADIUS-Clients an.
Für SSO werden nur Anfragen für die angegebene IP-Adresse berücksichtigt.
Vereinbarter Schlüssel
Geben Sie einen vereinbarten Schlüssel für die Authentifizierung ein.
vereinbarten Schlüssel anzeigen
Klicken Sie auf Anzeigen, um den konfigurierten vereinbarten Schlüssel anzuzeigen.
Webrichtlinien-Maßnahmen für nicht authentifizierte Benutzer (Captive Portal)
Nicht authentifizierte Benutzer zum Anmelden auffordern
Wählen Sie Ja, um die Zugriffsanfrage eines nicht authentifizierten Benutzers entweder auf das Captive-Portal umzuleiten oder auf eine Seite mit eigener Meldung.
Wählen Sie Nein aus, um Verkehr von nicht authentifizierten Benutzern zu verwerfen. Nicht authentifizierte Benutzer werden nicht zum Captive-Portal oder zur Seite mit eigener Meldung weitergeleitet.
Anmeldeaufforderungsmethode
Legen Sie fest, wohin die Zugriffsanfragen nicht authentifizierter Benutzer umgeleitet werden sollen.
Verfügbare Optionen:
◦ Link zum Captive Portal in die Benutzerbenachrichtigung integrieren
◦ Eigene Nachricht anzeigen
Wählen Sie Link zum Captive-Portal in die Benutzerbenachrichtigung integrieren, wenn die Zugriffsanfrage eines nicht authentifizierten Benutzers an das Captive-Portal weitergeleitet werden soll.
Das Captive Portal verwendet HTTPS
Aktivieren Sie diese Option, um den Zugriff auf die Captive-Portal-Seite über einen sicheren Kanal zu gewähren.
Standard: Aktiviert:
Link zum User Portal zur Verfügung stellen
Aktivieren Sie diese Option, um den Benutzerportal-Link auf der Captive-Portal-Seite anzuzeigen.
Standard: Aktiviert:
Nach der Anmeldung zu einer URL weiterleiten
Aktivieren Sie diese Option, um den Benutzer auf die von ihm angeforderte Seite oder eine eigene Seite umzuleiten.
Umzuleitende URL
Wenn die Anfrage auf die eigene Seite umgeleitet werden soll, klicken Sie auf Eigene URL und geben Sie eine URL an. Klicken Sie andernfalls auf Von Benutzer angefragte URL.
Nach Anmeldung Captive Portal erhalten
Wählen Sie Ja, um das Captive-Portal-Popupfenster zu minimieren, sobald sich der Benutzer erfolgreich authentifiziert hat.
Wenn Sie Nein auswählen, wird nach der erfolgreichen Authentifizierung das Captive-Portal auf dem Systembildschirm angezeigt.
Keep Alive verwenden, um die Sitzung des Benutzers aufrecht zu erhalten
Deaktivieren Sie die Option, um den Benutzer nach der konfigurierten inaktiven Zeit abzumelden. Falls deaktiviert, geben Sie ein Zeitlimit bei Benutzerinaktivität und einen Mindestdatendurchsatz an.
Die Keep-Alive-Anfrage wird ständig zwischen der Appliance und dem Benutzer ausgetauscht, um zu prüfen, ob sich der Benutzer abgemeldet hat oder inaktiv ist. Wenn die Appliance keine Antwort erhält, wird der Benutzer automatisch abgemeldet.
Je mehr gleichzeitige Benutzer des HTTP-Captive-Portal es gibt, desto mehr Keep-Alive-Anfragen werden ausgetauscht. Bei mehreren gleichzeitigen HTTP-Captive-Portal-Benutzern empfehlen wir, diese Option zu deaktivieren.
Standard: Aktiviert:
▪ Benutzerinaktivität-Zeitüberschreitung
Das Zeitlimit bei Benutzerinaktivität ist die inaktive/Idle-Zeit in Minuten, nach der ein Benutzer abgemeldet wird und sich neu authentifizieren muss. Legen Sie die Timeout-Dauer in Minuten fest.
Zulässiger Bereich: 3-1440 Minuten
Alternativ aktivieren Sie das Auswahlkästchen Unbegrenzt, um den Benutzer angemeldet zu lassen.
Standard: Deaktiviert
▪ Mindestdatendurchsatz
Legen Sie den Schwellenwert in Bytes für den Datentransfer fest. Wird das Mindestdatenvolumen nicht innerhalb des festgelegten Zeitraums übertragen, wird der Benutzer als inaktiv markiert.
Wählen Sie Eigene Meldung anzeigen, wenn dem nicht authentifizierten Benutzer eine eigene Meldung angezeigt werden soll.
Bild Kopfzeile
Wählen Sie Standard, um das im Lieferumfang der Appliance enthaltene Standardbild oben auf der Seite für die eigene Meldung anzuzeigen, oder wählen Sie Eigenes, um ein eigenes Bild zu suchen und hochzuladen.
Unterstütztes Bildformat: JPG, PNG oder GIF
Größe: 700 x 80 Pixel
Bild Fußzeile
Wählen Sie Standard, um das im Lieferumfang der Appliance enthaltene Standardbild unten auf der Seite für die eigene Meldung anzuzeigen, oder wählen Sie Eigenes, um ein eigenes Bild zu suchen und hochzuladen.
Unterstütztes Bildformat: JPG, PNG oder GIF
Größe: 700 x 80 Pixel
Eigene Meldung
Legen Sie eine Meldung fest. Sie können die Meldung individualisieren und die Client-IP-Adresse, Kategorie und URL einbeziehen.
Eigene Blink-Meldung
Aktivieren Sie diese Option, um eine blinkende Meldung anzuzeigen.
Preview
Prüfen Sie die Meldung vor dem Speichern der Konfiguration in der Vorschau.
