Sicherheitsanbieter: Aktivieren Sie LDAP, Active Directory, RADIUS, Kerberos, SAML für Support-Techniker und SAML für öffentliche Portale

Benutzer und Sicherheit

Sicherheitsanbieter

Sicherheitsanbieter

Sie können Ihr BeyondTrust Appliance B Series für die Authentifizierung von Benutzern anhand bestehender LDAP-, RADIUS-, Kerberos- oder SAML-Server konfigurieren und Berechtigungen anhand der bereits vorhandenen Hierarchie und Gruppeneinstellungen zuweisen, die bereits auf Ihren Servern angegeben wurden. Kerberos ermöglicht die Einzelanmeldung, während RSA und andere Zwei-Faktor-Authentifizierungsmechanismen über RADIUS eine zusätzliche Sicherheitsstufe bieten.

Hinzufügen

Erstellen Sie eine neue Sicherheitsanbieter-Konfiguration. Wählen Sie aus dem Dropdown-Menü LDAP, Active Directory, RADIUS, Kerberos, SAML für Support-Techniker oder SAML für öffentliche Portale.

Reihenfolge ändern

Klicken Sie auf diese Schaltfläche, um die Priorität von Sicherheitsanbietern per Drag and Drop festzulegen. Verschieben Sie Server innerhalb eines Clusters. Cluster können auch als Ganzes durch Ziehen verschoben werden. Klicken Sie auf Reihenfolge speichern. Dadurch treten die Priorisierungsänderungen in Kraft.

Synchronisieren

Synchronisieren Sie die Benutzer und Gruppen, die einem externen Sicherheitsanbieter zugewiesen wurden. Die Synchronisierung erfolgt automatisch einmal pro Tag. Mit Klick auf diese Schaltfläche erzwingen Sie eine manuelle Synchronisierung.

Deaktivieren

Diese Sicherheitsanbieter-Verbindung deaktivieren. Dies ist für Routinewartungen hilfreich, bei denen ein Server offline genommen, aber nicht gelöscht werden soll.

Protokoll anzeigen

Sehen Sie sich den Statusverlauf für die Verbindung zu einem Sicherheitsanbieter an.

Bearbeiten, löschen

Bearbeiten Sie einen bestehenden Anbieter oder entfernen Sie einen bestehenden Anbieter.

Wenn Sie den lokalen Sicherheitsanbieter bearbeiten und eine Standardrichtlinie auswählen, die nicht über Administratorberechtigungen verfügt, wird eine Warnmeldung angezeigt. Vergewissern Sie sich, dass andere Benutzer über Administratorrechte verfügen, ehe Sie fortfahren.

Knoten duplizieren

Erstellen Sie eine Kopie einer bestehenden, in einem Cluster befindlichen Sicherheitsanbieter-Konfiguration. Diese wird als neuer Knoten im gleichen Cluster hinzugefügt.

Auf Cluster upgraden

Stufen Sie einen Sicherheitsanbieter auf einen Sicherheitsanbieter-Cluster auf. Um diesem Cluster mehr Sicherheitsanbieter hinzuzufügen, kopieren Sie einen bestehenden Knoten.

Kopieren

Erstellen Sie eine Kopie einer bestehenden Sicherheitsanbieter-Konfiguration. Diese wird als Sicherheitsanbieter auf oberster Ebene und nicht als Teil eines Clusters hinzugefügt.

Sicherheitsanbieter hinzufügen oder bearbeiten: LDAP

Name

Erstellen Sie einen eindeutigen Namen, um diesen Anbieter leichter zu identifizieren.

Aktiviert

Falls aktiviert, kann Ihr BeyondTrust Appliance B Series diesen Sicherheitsanbieter durchsuchen, wenn ein Benutzer versucht, sich in der Konsole d. Support-Technikers oder in /login anzumelden. Falls nicht aktiviert, wird dieser Sicherheitsanbieter nicht durchsucht.

Benutzerauthentifizierung

Dadurch kann dieser Anbieter zur Authentifizierung von Benutzern verwendet werden. Wenn diese Option deaktiviert ist, kann dieser Anbieter nur zum Abrufen von Gruppen für Benutzerberechtigungen verwendet werden.

Benutzerinformationen mit LDAP-Server synchronisiert lassen

Die Anzeigenamen werden entsprechend der unten definierten Benutzerschemaeinstellungen festgelegt. Wenn Sie das Fotoattribut eines Benutzers synchronisieren möchten, muss diese Option aktiviert sein.

Autorisierungseinstellungen

Synchronisierung: LDAP-Objektzwischenspeicher aktivieren

Falls aktiviert, werden für das B Series Appliance sichtbare LDAP-Objekte nächtlich oder ggf. manuell synchronisiert. Bei der Verwendung dieser Option werden weniger Verbindungen zum LDAP-Server zu Verwaltungszwecken vorgenommen, was Geschwindigkeit und Effizienz zu Gute kommt.

Falls nicht aktiviert, sind Änderungen am LDAP-Server sofort verfügbar. Es ist keine Synchronisierung notwendig. Wenn Sie jedoch über die Verwaltungsschnittstelle Änderungen an Benutzerrichtlinien vornehmen, kann es zu kurzen LDAP-Verbindungen kommen.

Für Anbieter, die die Synchronisierungseinstellung zuvor aktiviert hatten, führt das Deaktivieren der Synchronisierungsoption zur Löschung aller zwischengespeicherter Einträge, die aktuell nicht verwendet werden.

Gruppen suchen

Wählen Sie, ob Sie diesen Sicherheitsanbieter nur für die Benutzerauthentifizierung, nur für Gruppensuchen oder für beides verwenden möchten. Die Benutzerauthentifizierung muss ausgewählt werden, wenn Sie die Gruppensuche deaktivieren möchten.

Standardmäßige Gruppenrichtlinie (Nur sichtbar, wenn die Benutzerauthentifizierung gestattet wurde)

Jeder Benutzer, der sich an einem externen Server authentifiziert, muss Mitglied mindestens einer Gruppenrichtlinie sein, damit er sich an Ihrem B Series Appliance authentifizieren, sich an der /login-Schnittstelle oder in der Konsole d. Support-Technikers anmelden kann. Sie können eine standardmäßige Gruppenrichtlinie wählen, die für alle Benutzer gelten soll, die sich am konfigurierten Server authentifizieren können.

Wird eine Standardrichtlinie definiert, hat potenziell jeder gestattete Benutzer, der sich an diesem Server authentifiziert, auf der Ebene dieser Standardrichtlinie Zugriff. Daher wird empfohlen, als Standardrichtlinie eine Richtlinie mit minimalen Berechtigungen festzulegen, damit Benutzer nicht Berechtigungen erhalten, die sie nicht besitzen sollen.

Wenn sich ein Benutzer in einer standardmäßigen Gruppenrichtlinie befindet und dann zu einer anderen, spezifischen Gruppenrichtlinie hinzugefügt wird, gelten die Einstellungen für die spezifische Gruppenrichtlinie stets vor den Einstellungen der standardmäßigen Gruppenrichtlinie, auch dann, wenn die spezifische Richtlinie eine geringere Priorität hat als die standardmäßige Richtlinie und auch wenn die Einstellungen der standardmäßigen Gruppenrichtlinie kein Überschreiben von Einstellungen gestatten.

Verbindungseinstellungen (Nicht sichtbar für Cluster)

Hostname

Geben Sie den Hostnamen des Servers ein, der Ihren externen Verzeichnisspeicher beinhaltet.

Wenn Sie LDAPS oder LDAP mit TLS verwenden, muss der Hostname mit dem Hostnamen im Betreffnamen des öffentlichen SSL-Zertifikats, das Ihr LDAP-Server verwendet, übereinstimmen, oder mit der DNS-Komponente des alternativen Betreffnamens.

Port

Geben Sie den Port für Ihren LDAP-Server an. Dabei handelt es sich in der Regel um Port 389 für LDAP oder Port 636 für LDAPS. BeyondTrust unterstützt zudem Global Catalog über Port 3268 für LDAP oder 3269 für LDAPS.

Verschlüsselung

Wählen Sie den Verschlüsselungstyp zur Kommunikation mit dem LDAP-Server aus. Aus Sicherheitsgründen wird LDAPS oder LDAP mit TLS empfohlen.

Reguläres LDAP sendet und empfängt Daten in Klartext zum und vom LDAP-Server. Damit werden möglicherweise empfindliche Benutzerkontoinformationen gegenüber Packet-Sniffern anfällig. Sowohl LDAPS und LDAP mit TLS verschlüsseln Benutzerdaten bei der Übertragung. Diese Methoden werden daher anstelle des regulären LDAP empfohlen. LDAP mit TLS verwendet die StartTLS-Funktion, um eine Verbindung über Klartext-LDAP zu initiieren, setzt diese Verbindung dann jedoch zu einer verschlüsselten Verbindung herauf. LDAPS initiiert die Verbindung verschlüsselt und sendet keinerlei Daten in Klartext.

Wenn Sie LDAPS oder LDAP mit TLS wählen, müssen Sie das oberste SSL-Zertifikat hochladen, das von Ihrem LDAP-Server verwendet wird. Dies ist nötig, um die Gültigkeit des Servers und die Sicherheit der Daten sicherzustellen. Das oberste Zertifikat muss im PEM-Format vorliegen.

Wenn der Betreffname oder die DNS-Komponente des alternativen Betreffnamens des öffentlichen SSL-Zertifikats für den LDAP-Server nicht mit dem Wert im Feld Hostname übereinstimmt, wird der Anbieter als unerreichbar behandelt. Sie können jedoch ein Wildcard-Zertifikat verwenden, um mehrere Subdomänen der gleichen Site zu zertifizieren. Zum Beispiel zertifiziert ein Zertifikat für *.example.com sowohl support.beispiel.com und remote.example.com.

Anmeldedaten binden

Geben Sie einen Benutzernamen und ein Passwort an, das Ihr B Series Appliance an den LDAP-Verzeichnisspeicher binden kann, um diesen zu durchsuchen.

Wenn Ihr Server anonyme Bindungen gestattet, können Sie die Bindung auch ohne Angabe von Benutzername und Passwort durchführen. Anonyme Bindungen gelten als unsicher und sind standardmäßig an den meisten LDAP-Servern deaktiviert.

Verbindungsmethode

Wenn Sie einen externen Verzeichnisspeicher im gleichen lokalen Netzwerk wie Ihr BeyondTrust Appliance B Series verwenden, können die beiden Systeme möglicherweise direkt kommunizieren. In diesem Fall können Sie die Option Proxy vom Gerät über den Connection Agent deaktiviert lassen und mit der Einrichtung fortfahren.

Wenn die beiden Systeme nicht direkt miteinander kommunizieren können, z. B. wenn sich Ihr externer Verzeichnisserver hinter einer Firewall befindet, müssen Sie einen Connection Agent verwenden. Mit dem Herunterladen des Win32 Connection Agent ermöglichen Sie Ihrem Verzeichnisserver und Ihrem B Series Appliance, über eine SSL-verschlüsselte, ausgehende Verbindung auch ohne Firewall-Konfiguration zu kommunizieren. Der Connection Agent kann entweder auf den Verzeichnisserver oder einen separaten Server im Netzwerk (empfohlen) heruntergeladen werden.

Aktivieren Sie im obigen Fall Proxy vom Gerät über den Connection Agent. Erstellen Sie ein Passwort für Connection Agent zur Verwendung im Installationsprozess für den Connection Agent. Klicken Sie dann auf Connection Agent herunterladen, führen Sie das Installationsprogramm aus und folgen Sie dem Installationsassistenten. Während der Installation werden Sie aufgefordert, den Namen des Sicherheitsanbieters und das Passwort für den Connection Agent einzugeben, das Sie oben erstellt haben.

BeyondTrust Cloud-Kunden müssen den Verbindungsagenten ausführen, um einen externen Verzeichnisspeicher nutzen zu können.

Verzeichnistyp (Nicht sichtbar für Cluster)

Um die Konfiguration der Netzwerkverbindung zwischen Ihrem B Series Appliance und Ihrem Sicherheitsanbieter zu vereinfachen, können Sie einen Verzeichnistyp als Vorlage auswählen. Damit werden die untenstehenden Konfigurationsfelder mit Standarddaten vorausgefüllt. Diese müssen jedoch angepasst werden, um der spezifischen Konfiguration Ihres Sicherheitsanbieters zu entsprechen. Active Directory LDAP ist der am weitesten verbreitete Servertyp, aber Sie können BeyondTrust auch auf die Kommunikation mit den meisten Sicherheitsanbietern konfigurieren.

Cluster-Einstellungen (nur für Cluster sichtbar)

Mitgliederauswahl-Algorithmus

Wählen Sie die Methode zum Suchen der Knoten in diesem Cluster.

Von oben nach unten versucht zunächst, eine Verbindung zum Server mit der höchsten Priorität im Cluster herzustellen. Wenn dieser Server nicht verfügbar ist oder das Konto nicht gefunden wird, wird die Verbindung zum Server mit der nächsthöheren Priorität aufgebaut. So läuft die Suche durch die Liste der Cluster-Server, bis das Konto entweder gefunden oder festgestellt wird, dass das Konto auf keinem der angegebenen und verfügbaren Server existiert.

Round-Robin ist darauf ausgelegt, die Arbeitslast zwischen mehreren Servern auszugleichen. Der Algorithmus wählt zufällig einen ersten Server zum Verbindungsaufbau aus. Ist dieser Server nicht verfügbar oder das Konto wird nicht gefunden, wird auf Zufallsbasis ein anderer Server ausgewählt. Die Suche wird so durch die weiteren Server im Cluster zufällig fortgesetzt, bis das Konto entweder gefunden oder festgestellt wird, dass das Konto auf keinem der angegebenen und verfügbaren Server existiert.

Verzögerung Wiederholter Versuch

Legen Sie fest, wie lange mit dem nächsten Versuch gewartet werden soll, nachdem ein Cluster-Mitglied nicht mehr verfügbar ist.

Benutzerschema-Einstellungen

Cluster-Werte überschreiben (nur für Cluster-Knoten sichtbar)

Wenn diese Option deaktiviert bleibt, verwendet dieser Cluster-Knoten die gleichen Schemaeinstellungen wie der Cluster. Wird die Option aktiviert, können Sie die untenstehenden Schemaeinstellungen ändern.

Basis-DN suchen

Legen Sie die Ebene in Ihrer Verzeichnishierarchie fest (angegeben durch einen repräsentativen Namen), auf der das B Series Appliance mit der Benutzersuche beginnen soll. Abhängig von der Größe Ihres Verzeichnisspeichers und der Benutzer, die BeyondTrust-Konten erfordern, können Sie die Leistung verbessern, indem Sie die genaue Geschäftseinheit innerhalb Ihres Verzeichnisspeichers angeben, die den Zugriff erfordert. Wenn Sie sich nicht sicher sind oder wenn Benutzer mehrere Geschäftseinheiten umspannen, können Sie auch den obersten repräsentativen Namen Ihres Verzeichnisspeichers angeben.

Benutzerabfrage

Geben Sie die Abfrageinformationen an, welche das B Series Appliance verwenden soll, um einen LDAP-Benutzer ausfindig zu machen, wenn dieser Benutzer versucht sich anzumelden. Das Feld Benutzerabfrage akzeptiert eine standardmäßige LDAP-Abfrage (RFC 2254 – „String Representation of LDAP Search Filters“). Sie können die Abfrage-Zeichenfolge ändern und so bestimmen, wie sich Ihre Benutzer anmelden und welche Arten von Benutzernamen akzeptiert werden. Um den Wert innerhalb der Zeichenfolge anzugeben, der als Benutzername dienen soll, ersetzen Sie diesen Wert mit *.

Navigationsanfrage
Beim Durchsuchen über Gruppenrichtlinien beeinflusst die Durchsuchen-Abfrage, wie Ergebnisse angezeigt werden. Damit werden Ergebnisse so gefiltert, dass nur bestimmte Ergebnisse im Dropdown-Menü der Mitgliedsauswahl angezeigt werden, wenn Sie Mitglieder zu einer Gruppenrichtlinie hinzufügen.
Objektklassen

Geben Sie gültige Objektklassen für einen Benutzer in Ihrem Verzeichnisspeicher an. Nur Benutzern mit mindestens einer dieser Objektklassen ist die Authentifizierung gestattet. Diese Objektklassen werden auch mit den untenstehenden Attributnamen verwendet, um für Ihr B Series Appliance das Schema zu kennzeichnen, das der LDAP-Server zur Identifizierung von Benutzern verwendet. Sie können mehrere Objektklassen eingeben, eine pro Zeile.

Attributnamen

Geben Sie an, welche Felder für die eindeutige ID und den Anzeigenamen eines Benutzers verwendet werden sollen.

Eindeutige ID

Dieses Feld benötigt eine eindeutige Kennung für das Objekt. Auch wenn der repräsentative Name als diese ID dienen kann, kann sich der repräsentative Name eines Benutzers im Laufe der Zeit häufig ändern, etwa aufgrund von Namens- oder Standortänderungen oder durch die Umbenennung des LDAP-Speichers. Daher verwenden die meisten LDAP-Server ein Feld, das pro Objekt einzigartig ist und sich für die gesamte Lebenszeit des Benutzers nicht ändert. Wenn Sie den repräsentativen Namen als einzigartige ID verwenden und sich der repräsentative Name eines Benutzers ändert, wird dieser Benutzer als neuer Benutzer angesehen und jegliche Änderungen, die am BeyondTrust-Benutzerkonto dieser Person vorgenommen werden, werden nicht auf den neuen Benutzer übernommen. Wenn Ihr LDAP-Server keine einzigartige Kennung verwendet, verwenden Sie ein Feld, das nicht zu einem identischen Eintrag bei einem anderen Benutzer führen wird.

E-Mail

Das E-Mail-Attribut synchronisiert die Benutzer-E-Mail-Adresse über LDAP. Bitte beachten Sie, dass die Sonderzeichen ? und ! nicht verwendet werden können.

Foto

Dieses Feld ermöglicht Ihnen die Konfiguration von LDAP-Anbietern zur Synchronisierung von Support-Techniker-Fotos über LDAP. Standardmäßig verwenden die Einstellungsvorlagen für Active Directory, Novell eDirectory und OpenLDAP alle das Attribut *:jpegPhoto. Administratoren können das Attribut bei Bedarf ändern. Wird kein Attribut angegeben, werden keine Fotos von LDAP abgerufen.

Fotos in LDAP müssen als JPEG-Bilder gespeichert werden, entweder als Rohbinär- oder Base64-enkodierte Daten. BeyondTrust Remote Support erkennt das Format der Verschlüsselung automatisch und entschlüsselt die Fotos nach Bedarf.

Verwenden des gleichen Attributs für öffentliche und private Anzeigenamen

Ist diese Option aktiviert, können Sie separate Werte für die privaten und öffentlichen Anzeigenamen des Benutzers angeben.

Anzeigename

Diese Felder legen fest, welche Felder als die privaten und öffentlichen Anzeigenamen des Benutzers verwendet werden.

Gruppenschemaeinstellungen (Nur bei der Durchführung von Gruppensuchen sichtbar)

Basis-DN suchen

Legen Sie die Ebene in Ihrer Verzeichnishierarchie fest (angegeben durch einen repräsentativen Namen), auf der das B Series Appliance mit der Gruppensuche beginnen soll. Abhängig von der Größe Ihres Verzeichnisspeichers und der Gruppen, welche Zugriff auf das B Series Appliance erfordern, können Sie die Leistung verbessern, indem Sie die genaue Geschäftseinheit innerhalb Ihres Verzeichnisspeichers angeben, welche den Zugriff erfordert. Wenn Sie sich nicht sicher sind oder wenn Gruppen mehrere Geschäftseinheiten beinhalten, können Sie auch den obersten repräsentativen Namen Ihres Verzeichnisspeichers angeben.

Navigationsanfrage
Beim Durchsuchen über Gruppenrichtlinien beeinflusst die Durchsuchen-Abfrage, wie Ergebnisse angezeigt werden. Damit werden Ergebnisse so gefiltert, dass nur bestimmte Ergebnisse im Dropdown-Menü der Mitgliedsauswahl angezeigt werden, wenn Sie Mitglieder zu einer Gruppenrichtlinie hinzufügen.
Objektklassen

Geben Sie gültige Objektklassen für eine Gruppe innerhalb Ihres Verzeichnisspeichers an. Nur Gruppen mit mindestens einer dieser Objektklassen werden zurückgegeben. Diese Objektklassen werden auch mit den untenstehenden Attributnamen verwendet, um für Ihr B Series Appliance zu kennzeichnen, welches Schema der LDAP-Server zum Identifizieren von Gruppen verwendet. Sie können mehrere Gruppenobjektklassen eingeben, eine pro Zeile.

Attributnamen

Geben Sie an, welche Felder für die eindeutige ID und den Anzeigenamen einer Gruppe verwendet werden sollten.

Eindeutige ID

Dieses Feld benötigt eine eindeutige Kennung für das Objekt. Auch wenn der repräsentative Name als diese ID dienen kann, kann sich der repräsentative Name einer Gruppe im Laufe der Zeit häufig ändern, etwa aufgrund von Standortänderungen oder durch die Umbenennung des LDAP-Speichers. Daher verwenden die meisten LDAP-Server ein Feld, das pro Objekt einzigartig ist und sich für die gesamte Lebenszeit der Gruppe nicht ändert. Wenn Sie den repräsentativen Namen als einzigartige ID verwenden und sich der repräsentative Name eine Gruppe ändert, wird diese Gruppe als neue Gruppe angesehen und jegliche Gruppenrichtlinien, die für diese Gruppe definiert wurden, werden nicht für die neue Gruppe übernommen. Wenn Ihr LDAP-Server keine einzigartige Kennung verwendet, verwenden Sie ein Feld, das nicht zu einem identischen Eintrag bei einer anderen Gruppe führen wird.

Anzeigename

Dieser Wert legt fest, welches Feld als Anzeigename der Gruppe verwendet werden soll.

Benutzer-zu-Gruppen-Beziehungen

Beziehungen

Dieses Feld fordert eine Abfrage an, um festzustellen, welche Benutzer welchen Gruppen zugehören oder welche Gruppen welche Benutzer enthalten.

Rekursive Gruppensuche durchführen

Sie können eine rekursive Suche für Gruppen durchführen. Damit wird eine Abfrage für einen Benutzer durchgeführt; daraufhin werden alle Gruppen abgefragt, zu denen dieser Benutzer gehört; daraufhin werden alle Gruppen abgefragt, zu denen diese Gruppen gehören und so weiter, bis alle möglichen mit diesem Benutzer assoziierten Gruppen gefunden wurden.

Die Ausführung einer rekursiven Suche kann sich beträchtlich auf die Leistung auswirken, da der Server weiter Abfragen durchführt, bis Informationen zu allen Gruppen gefunden wurden. Dauert dies zu lange, können sich Benutzer möglicherweise nicht anmelden.

Eine nichtrekursive Suche führt nur eine Abfrage pro Benutzer durch. Wenn Ihr LDAP-Server ein spezielles Feld besitzt, das alle Gruppen enthält, zu denen der Benutzer gehört, ist die rekursive Suche nicht nötig. Die rekursive Suche ist ebenfalls nicht nötig, wenn Ihr Verzeichnis-Design Gruppenmitglieder von Gruppen nicht berücksichtigt.

Einstellungen testen

Benutzername und Passwort

Geben Sie einen Benutzernamen und ein Passwort für ein Konto ein, das auf dem zu testenden Server existiert. Dieses Konto muss die in der obigen Konfiguration angegebenen Anmeldungskriterien erfüllen.

Es wird versucht, Benutzerattribute und Gruppenmitgliedschaften abzurufen, wenn die Anmeldedaten angenommen werden.

Wird diese Option aktiviert, versucht der erfolgreiche Anmeldedatentest auch, die Benutzerattribute und Gruppensuche zu prüfen.

Für den erfolgreichen Test dieser Funktionen müssen diese in Ihrem Sicherheitsanbieter unterstützt und konfiguriert sein.

Testen

Wenn Ihr Server ordnungsgemäß konfiguriert ist und Sie einen gültigen Benutzernamen und ein Passwort zum Testen eingegeben haben, erhalten Sie eine positive Meldung. Andernfalls sehen Sie eine Fehlermeldung und ein Protokoll, das bei der Fehlerbehebung helfen kann.

Weitere Informationen finden Sie in LDAP-Sicherheitsanbieter erstellen und konfigurieren.

Sicherheitsanbieter hinzufügen oder bearbeiten: RADIUS

Name

Erstellen Sie einen eindeutigen Namen, um diesen Anbieter leichter zu identifizieren.

Aktiviert

Falls aktiviert, kann Ihr BeyondTrust Appliance B Series diesen Sicherheitsanbieter durchsuchen, wenn ein Benutzer versucht, sich in der Konsole d. Support-Technikers oder in /login anzumelden. Falls nicht aktiviert, wird dieser Sicherheitsanbieter nicht durchsucht.

Anzeigenamen mit Remote-System synchronisiert lassen

Diese Felder legen fest, welche Felder als die privaten und öffentlichen Anzeigenamen des Benutzers verwendet werden.

Autorisierungseinstellungen

Nur die folgenden Benutzer zulassen

Sie können den Zugriff nur bestimmten Benutzern auf Ihrem RADIUS-Server gewähren. Jeder Benutzername sollte dabei durch einen Zeilenumbruch getrennt werden. Nach der Eingabe stehen diese Benutzer über das Dialogfeld Richtlinienmitglied hinzufügen bei der Bearbeitung von Gruppenrichtlinien auf der Seite /login > Benutzer und Sicherheit > Gruppenrichtlinien zur Verfügung.

Wenn Sie dieses Feld leer lassen, werden alle Benutzer zugelassen, die sich über Ihren RADIUS-Server authentifizieren. Wenn Sie alle Benutzer zulassen, müssen Sie außerdem eine standardmäßige Gruppenrichtlinie angeben.

Standardmäßige Gruppenrichtlinie

Jeder Benutzer, der sich an einem externen Server authentifiziert, muss Mitglied mindestens einer Gruppenrichtlinie sein, damit er sich an Ihrem B Series Appliance authentifizieren, sich an der /login-Schnittstelle oder in der Konsole d. Support-Technikers anmelden kann. Sie können eine standardmäßige Gruppenrichtlinie wählen, die für alle Benutzer gelten soll, die sich am konfigurierten Server authentifizieren können.

LDAP-Gruppensuche

Wenn Benutzer dieses Sicherheitsanbieters ihren Gruppen auf einem separaten LDAP-Server zugewiesen werden sollen, wählen Sie einen oder mehrere LDAP-Gruppenserver, die zur Gruppensuche verwendet werden sollen.

Verbindungseinstellungen

Hostname

Geben Sie den Hostnamen des Servers ein, der Ihren externen Verzeichnisspeicher beinhaltet.

Port

Geben Sie den Authentifizierungsport für Ihren RADIUS-Server an. Dies ist in der Regel 1812.

Zeitüberschreitung (Sekunden)

Maximale Wartezeit, für die auf eine Antwort vom Server gewartet werden soll. Beachten Sie: Bei einer Antwort vom Typ Response-Accept oder Response-Challenge wird RADIUS den gesamten hier angegebenen Zeitraum über warten, bevor das Konto authentifiziert wird. Daher empfehlen wir, diesen Wert abhängig von Ihren Netzwerkeinstellungen so gering wie möglich zu halten. Ein idealer Wert ist 3-5 Sekunden, mit einem Maximalwert von drei Minuten.

Verbindungsmethode

Wenn Sie einen externen Verzeichnisspeicher im gleichen lokalen Netzwerk wie Ihr BeyondTrust Appliance B Series verwenden, können die beiden Systeme möglicherweise direkt kommunizieren. In diesem Fall können Sie die Option Proxy vom Gerät über den Connection Agent deaktiviert lassen und mit der Einrichtung fortfahren.

Wenn die beiden Systeme nicht direkt miteinander kommunizieren können, z. B. wenn sich Ihr externer Verzeichnisserver hinter einer Firewall befindet, müssen Sie einen Connection Agent verwenden. Mit dem Herunterladen des Win32 Connection Agent ermöglichen Sie Ihrem Verzeichnisserver und Ihrem B Series Appliance, über eine SSL-verschlüsselte, ausgehende Verbindung auch ohne Firewall-Konfiguration zu kommunizieren. Der Connection Agent kann entweder auf den Verzeichnisserver oder einen separaten Server im Netzwerk (empfohlen) heruntergeladen werden.

Aktivieren Sie im obigen Fall Proxy vom Gerät über den Connection Agent. Erstellen Sie ein Passwort für Connection Agent zur Verwendung im Installationsprozess für den Connection Agent. Klicken Sie dann auf Connection Agent herunterladen, führen Sie das Installationsprogramm aus und folgen Sie dem Installationsassistenten. Während der Installation werden Sie aufgefordert, den Namen des Sicherheitsanbieters und das Passwort für den Connection Agent einzugeben, das Sie oben erstellt haben.

BeyondTrust Cloud-Kunden müssen den Verbindungsagenten ausführen, um einen externen Verzeichnisspeicher nutzen zu können.

Gemeinsamer geheimer Schlüssel

Geben Sie einen neuen gemeinsamen geheimen Schlüssel an, damit Ihr B Series Appliance mit Ihrem RADIUS-Server kommunizieren kann.

Cluster-Einstellungen (nur für Cluster sichtbar)

Mitgliederauswahl-Algorithmus

Wählen Sie die Methode zum Suchen der Knoten in diesem Cluster.

Von oben nach unten versucht zunächst, eine Verbindung zum Server mit der höchsten Priorität im Cluster herzustellen. Wenn dieser Server nicht verfügbar ist oder das Konto nicht gefunden wird, wird die Verbindung zum Server mit der nächsthöheren Priorität aufgebaut. So läuft die Suche durch die Liste der Cluster-Server, bis das Konto entweder gefunden oder festgestellt wird, dass das Konto auf keinem der angegebenen und verfügbaren Server existiert.

Round-Robin ist darauf ausgelegt, die Arbeitslast zwischen mehreren Servern auszugleichen. Der Algorithmus wählt zufällig einen ersten Server zum Verbindungsaufbau aus. Ist dieser Server nicht verfügbar oder das Konto wird nicht gefunden, wird auf Zufallsbasis ein anderer Server ausgewählt. Die Suche wird so durch die weiteren Server im Cluster zufällig fortgesetzt, bis das Konto entweder gefunden oder festgestellt wird, dass das Konto auf keinem der angegebenen und verfügbaren Server existiert.

Verzögerung Wiederholter Versuch

Legen Sie fest, wie lange mit dem nächsten Versuch gewartet werden soll, nachdem ein Cluster-Mitglied nicht mehr verfügbar ist.

Einstellungen testen

Benutzername und Passwort

Geben Sie einen Benutzernamen und ein Passwort für ein Konto ein, das auf dem zu testenden Server existiert. Dieses Konto muss die in der obigen Konfiguration angegebenen Anmeldungskriterien erfüllen.

Es wird versucht, Benutzerattribute und Gruppenmitgliedschaften abzurufen, wenn die Anmeldedaten angenommen werden.

Wird diese Option aktiviert, versucht der erfolgreiche Anmeldedatentest auch, die Benutzerattribute und Gruppensuche zu prüfen.

Für den erfolgreichen Test dieser Funktionen müssen diese in Ihrem Sicherheitsanbieter unterstützt und konfiguriert sein.

Testen

Wenn Ihr Server ordnungsgemäß konfiguriert ist und Sie einen gültigen Benutzernamen und ein Passwort zum Testen eingegeben haben, erhalten Sie eine positive Meldung. Andernfalls sehen Sie eine Fehlermeldung und ein Protokoll, das bei der Fehlerbehebung helfen kann.

Weitere Informationen finden Sie in Erstellen und Konfigurieren des RADIUS-Sicherheitsanbieters.

Sicherheitsanbieter hinzufügen oder bearbeiten: Kerberos

Name

Erstellen Sie einen eindeutigen Namen, um diesen Anbieter leichter zu identifizieren.

Aktiviert

Falls aktiviert, kann Ihr BeyondTrust Appliance B Series diesen Sicherheitsanbieter durchsuchen, wenn ein Benutzer versucht, sich in der Konsole d. Support-Technikers oder in /login anzumelden. Falls nicht aktiviert, wird dieser Sicherheitsanbieter nicht durchsucht.

Anzeigenamen mit Remote-System synchronisiert lassen

Diese Felder legen fest, welche Felder als die privaten und öffentlichen Anzeigenamen des Benutzers verwendet werden.

Realm aus Principal-Namen entfernen

Wählen Sie diese Option, um den REALM-Teil aus dem Benutzer-Principal-Namen zu entfernen, wenn Sie den BeyondTrust-Benutzernamen erstellen.

Autorisierungseinstellungen

Benutzer-Bearbeitungsmodus

Wählen Sie, welche Benutzer sich an Ihrem BeyondTrust Appliance B Series authentifizieren können. Alle Benutzer zulassen gestattet es allen, die sich aktuell über Ihr Key Distribution Center (KDC) authentifizieren. Nur in der Liste angegebene Benutzer-Principals zulassen gestattet nur ausdrücklich angegebene Benutzer-Principals. Nur Benutzer-Principals, die mit der Regex übereinstimmen, zulassen gestattet nur Benutzer-Principals, die mit einem Perl-kompatiblen regulären Ausdruck (PCRE) übereinstimmen.

Standardmäßige Gruppenrichtlinie

Jeder Benutzer, der sich an einem externen Server authentifiziert, muss Mitglied mindestens einer Gruppenrichtlinie sein, damit er sich an Ihrem B Series Appliance authentifizieren, sich an der /login-Schnittstelle oder in der Konsole d. Support-Technikers anmelden kann. Sie können eine standardmäßige Gruppenrichtlinie wählen, die für alle Benutzer gelten soll, die sich am konfigurierten Server authentifizieren können.

SPN-Bearbeitungsmodus

Nur in der Liste angegebene SPNs zulassen

Falls deaktiviert, sind alle konfigurierten Service Principal Names (SPNs) für diesen Sicherheitsanbieter gestattet. Falls aktiviert, wählen Sie bestimmte SPNs aus einer Liste aktuell konfigurierter SPNs.

LDAP-Gruppensuche

Wenn Benutzer dieses Sicherheitsanbieters ihren Gruppen auf einem separaten LDAP-Server zugewiesen werden sollen, wählen Sie einen oder mehrere LDAP-Gruppenserver, die zur Gruppensuche verwendet werden sollen.

Weitere Informationen finden Sie in Das BeyondTrust Appliance B Series für die Kerberos-Authentifizierung konfigurieren.

Sicherheitsanbieter hinzufügen oder bearbeiten: SAML für Support-Techniker

Name

Geben Sie einen eindeutigen Namen ein, um Ihren Anbieter leichter zu identifizieren.

Aktiviert

Falls aktiviert, kann Ihr BeyondTrust Appliance B Series diesen Sicherheitsanbieter durchsuchen, wenn ein Benutzer versucht, sich in der Konsole d. Support-Technikers oder in /login anzumelden. Falls nicht aktiviert, wird dieser Sicherheitsanbieter nicht durchsucht.

Verknüpfte E-Mail-Domänen

Diese Einstellung ist nur dann gültig, wenn Sie über mehr als einen aktiven SAML-Anbieter verfügen und wird andernfalls ignoriert.

Fügen Sie alle E-Mail-Domänen hinzu, die mit diesem SAML-Anbieter verknüpft werden sollen, eine pro Zeile. Bei der Authentifizierung werden die Benutzer aufgefordert, ihre E-Mail-Adresse einzugeben. Die Domäne ihrer E-Mail-Adresse wird mit dieser Liste abgeglichen, und sie werden zur Authentifizierung an den entsprechenden Identitätsanbieter weitergeleitet.

Sind mehrere SAML-Anbieter konfiguriert, und die E-Mail-Adresse des Benutzers stimmt nicht mit einer der bei einem Anbieter verknüpften Domänen überein, kann die Authentifizierung nicht durchgeführt werden.

Identitätsanbieter-Einstellungen

Metadaten

Die Metadatendatei enthält alle Informationen, die für die anfängliche Einrichtung Ihres SAML-Anbieters erforderlich sind, und muss von Ihrem Identitätsanbieter heruntergeladen werden. Speichern Sie die XML-Datei und klicken Sie dann auf Identitätsanbieter-Metadaten hochladen, um die ausgewählte Datei auszuwählen und hochzuladen.

Entitäts-ID

Eindeutige Kennung für den verwendeten Identitätsanbieter.

Server-Zertifikat

Dieses Zertifikat wird verwendet, um die Signatur der Nachricht zu verifizieren, die vom Identitätsanbieter gesendet wurde.

Die Felder für Entitäts-ID, Einzelanmeldungsdienst-URL und Zertifikat werden automatisch über die Metadatendatei des Identitätsanbieters ausgefüllt. Wenn Sie keine Metadaten-Datei von Ihrem Anbieter erhalten, können diese Angaben auch manuell gemacht werden.

Einzelanmeldungsdienst-URL

Wenn Sie sich mit SAML auf BeyondTrust anmelden möchten, werden Sie mit dieser URL automatisch weitergeleitet, damit Sie sich anmelden können.

SSO-URL-Protokoll-Bindung

Legt fest, ob ein Benutzer veröffentlicht oder zur Anmeldungs-URL weitergeleitet wird. Dies sollte standardmäßig auf „Weiterleiten“ belassen werden, soweit nicht anderweitig vom Identitätsanbieter gefordert.

Serviceanbieter-Einstellungen

Metadaten des Serviceanbieters herunterladen

Laden Sie die BeyondTrust-Metadaten herunter. Diese müssen dann bei Ihrem Identitätsanbieter hochgeladen werden.

Entitäts-ID

Dies ist Ihre BeyondTrust-URL. Sie identifiziert den Serviceanbieter eindeutig.

Privater Schlüssel

Falls nötig, können Sie vom Identitätsanbieter gesendete Nachrichten entschlüsseln, falls diese die Verschlüsselung unterstützen und erfordern. Klicken Sie auf Datei wählen, um den privaten Schlüssel hochzuladen, der für die Entschlüsselung der Nachrichten vom Identitätsanbieter erforderlich ist.

Benutzerattribut-Einstellungen

SAML-Attribute werden zur Bereitstellung von Benutzern in BeyondTrust verwendet. Die Standardwerte entsprechen von BeyondTrust zertifizierten Anwendungen mit verschiedenen Identitätsanbietern. Wenn Sie Ihren eigenen SAML-Connector erstellen, müssen Sie möglicherweise die Attribute an die Angaben Ihres Identitätsanbieters anpassen. Wenn Ihr Identitätsanbieter beim NameID-Attribut die Beachtung von Groß-/Kleinschreibung erfordert, wählen Sie Vergleich für NameIDs ohne Beachtung von Groß-/Kleinschreibung verwenden.

Autorisierungseinstellungen

Gruppen mit diesem Anbieter suchen

Die Aktivierung dieser Funktion ermöglicht eine schnellere Bereitstellung durch automatische Suche nach Gruppen für diesen Benutzer unter Verwendung von Gruppensuche nach Attributname und Trennzeichen.

Gruppensuche nach Attributname

Geben Sie den Namen des SAML-Attributs ein, das die Namen der Gruppen enthält, zu denen Benutzer gehören sollten. Wenn der Attributwert mehrere Gruppennamen enthält, geben Sie das Trennzeichen zur Trennung der Namen ein.

Falls leer gelassen, müssen SAML-Benutzer nach der ersten erfolgreichen Authentifizierung manuell zugewiesen werden.

Gruppensuch-Trennzeichen

Wenn das Trennzeichen leer gelassen wird, kann der Attributwert mehrere XML-Knoten mit jeweils unterschiedlichen Namen enthalten.

Verfügbare Gruppen

Hierbei handelt es sich um eine optionale Liste mit SAML-Gruppen, die immer für eine manuelle Zuweisung zu Gruppenrichtlinien verfügbar sind. Wird dieses Feld leer gelassen, wird eine SAML-Gruppe erst nach der ersten erfolgreichen Authentifizierung eines Benutzermitglieds einer solchen Gruppe verfügbar gemacht. Bitte geben Sie einen Gruppennamen pro Zeile ein.

Standardmäßige Gruppenrichtlinie

In der ausgewählten Gruppenrichtlinie werden die anfänglichen und standardmäßigen Berechtigungen, Mitgliedschaften und anderen Einstellungen für alle Benutzer definiert, die sich bei diesem Sicherheitsanbieter authentifizieren. Diese Einstellungen können individuell per Benutzer oder Benutzergruppe festgelegt werden, wenn die Benutzer anderen Gruppenrichtlinien angehören.

Weitere Informationen siehe SAML für die Einzelanmeldung.

Sicherheitsanbieter hinzufügen oder bearbeiten: SAML für öffentliche Portale

Name

Der Name Ihres SAML-Anbieters wird automatisch generiert und kann aktuell nicht bearbeitet werden.

Aktiviert

Falls aktiviert, kann Ihr BeyondTrust Appliance B Series diesen Sicherheitsanbieter durchsuchen, wenn ein Benutzer versucht, sich im öffentlichen Portal anzumelden. Falls nicht aktiviert, wird dieser Sicherheitsanbieter nicht durchsucht.

Identitätsanbieter-Einstellungen

Metadaten

Die Metadatendatei enthält alle Informationen, die für die anfängliche Einrichtung Ihres SAML-Anbieters erforderlich sind, und muss von Ihrem Identitätsanbieter heruntergeladen werden. Speichern Sie die XML-Datei und klicken Sie dann auf Identitätsanbieter-Metadaten hochladen, um die ausgewählte Datei auszuwählen und hochzuladen.

Entitäts-ID

Eindeutige Kennung für den verwendeten Identitätsanbieter.

Server-Zertifikat

Dieses Zertifikat wird verwendet, um die Signatur der Nachricht zu verifizieren, die vom Identitätsanbieter gesendet wurde.

Die Felder für Entitäts-ID, Einzelanmeldungsdienst-URL und Zertifikat werden automatisch über die Metadatendatei des Identitätsanbieters ausgefüllt. Wenn Sie keine Metadaten-Datei von Ihrem Anbieter erhalten, können diese Angaben auch manuell gemacht werden.

Einzelanmeldungsdienst-URL

Wenn Sie sich mit SAML auf BeyondTrust anmelden möchten, werden Sie mit dieser URL automatisch weitergeleitet, damit Sie sich anmelden können.

SSO-URL-Protokoll-Bindung

Legt fest, ob ein Benutzer veröffentlicht oder zur Anmeldungs-URL weitergeleitet wird. Dies sollte standardmäßig auf „Weiterleiten“ belassen werden, soweit nicht anderweitig vom Identitätsanbieter gefordert.

Serviceanbieter-Einstellungen

Metadaten des Serviceanbieters herunterladen

Laden Sie die BeyondTrust-Metadaten herunter. Diese müssen dann bei Ihrem Identitätsanbieter hochgeladen werden.

Entitäts-ID

Dies ist Ihre BeyondTrust-URL. Sie identifiziert den Serviceanbieter eindeutig.

Privater Schlüssel

Falls nötig, können Sie vom Identitätsanbieter gesendete Nachrichten entschlüsseln, falls diese die Verschlüsselung unterstützen und erfordern. Klicken Sie auf Datei wählen, um den privaten Schlüssel hochzuladen, der für die Entschlüsselung der Nachrichten vom Identitätsanbieter erforderlich ist.

Benutzerattribut-Einstellungen

SAML-Attribute werden zur Bereitstellung von Benutzern in BeyondTrust verwendet. Die Standardwerte entsprechen von BeyondTrust zertifizierten Anwendungen mit verschiedenen Identitätsanbietern. Wenn Sie Ihren eigenen SAML-Connector erstellen, müssen Sie möglicherweise die Attribute an die Angaben Ihres Identitätsanbieters anpassen. Die SAML-Attribute können außerdem mit Sitzungen von Kunden verknüpft werden, indem auf der Seite Benutzerdefinierte Felder in /login benutzerdefinierte Felder mit entsprechenden Codenamen hinzugefügt werden.

Weitere Informationen siehe SAML für die Einzelanmeldung.