E-Mail-Konfiguration: Konfiguration des B Series Appliances für das Senden von E-Mail-Benachrichtigungen

Sicherheit :: E-Mail-Konfiguration

Ihr B Series Appliance kann Ihnen automatische E-Mail-Benachrichtigungen senden. E-Mails werden für folgende Ereignisse versendet:

  • Syslog-Server wurde geändert: Ein Benutzer auf /appliance hat den Syslog-Server-Parameter geändert.
  • RAID-Ereignis: Eines oder mehrere logische RAID-Laufwerke sind nicht in optimalem Zustand (heruntergestuft oder teilweise heruntergestuft).
  • Ablaufhinweis für ein SSL-Zertifikat: Ein verwendetes SSL-Zertifikat (schließt entweder End-Entity-Zertifikate oder jegliche CA-Zertifikate in der Kette ein) läuft in 90 Tagen oder weniger ab.

Konfigurieren über SMTP

Bei einigen E-Mail-Diensten funktioniert diese Methode nicht. Siehe Konfigurieren über OAuth2 für Microsoft Azure AD oder Konfigurieren über OAuth2 für Google für alternative Konfigurationen.

E-Mail-Konfiguration

Speichern Sie nach der Eingabe der E-Mail-Adressen für die Administratorenkontakte Ihre Einstellungen und senden Sie eine Test-E-Mail, um sicherzustellen, dass alles richtig funktioniert.

E-Mail-Konfiguration für Administratorkontakte

Konfigurieren über OAuth2 für Microsoft Azure AD

Die Konfiguration erfordert eine Änderung der Einstellungen auf der BeyondTrust Anwendung und dem Microsoft 365-Abonnement mit Azure AD.

Ändern Sie zunächst die Einstellungen des BeyondTrust Geräts:

  1. Gehen Sie zu Gerät, klicken Sie auf die Registerkarte Sicherheit und dann auf E-Mail-Konfiguration.
  2. Ändern Sie die Authentifizierungsmethode in OAuth2
  3. Beachten Sie den Authorization Redirect URI. Er wird später benötigt.

Bevor Sie mit der Konfiguration auf Azure Active Directory beginnen, muss ein Azure/Office 365-Administrator-authentifiziertes SMTP für jedes Konto auf Exchange online aktivieren. Gehen Sie dazu zu Office 365 Admin Portal (admin.microsoft.com) > Aktive Benutzer > Mail > E-Mail-Anwendungen verwalten und aktivieren Sie Authentifiziertes SMTP.

Sobald Authentifiziertes SMTP aktiviert ist, führen Sie die folgenden Schritte in der Azure-Konsole durch:

  1. Melden Sie sich bei Ihrer Azure-Konsole an (portal.Azure.com).

Bildschirm des Azure-Portals, mit gesuchtem und ausgewähltem Azure Active Directory.

  1. Gehen Sie zu Azure Active Directory.

 

Azure-App-Registrierungsbildschirm mit den eigenen Anwendungen und der Möglichkeit, eine neue Registrierung hinzuzufügen.

  1. Gehen Sie zu App-Registrierungen und wählen Sie Neue Registrierung.
  2. Geben Sie einen Namen ein, z. B. Gerät-OAuth2.
  3. Wählen Sie die Kontotypen aus, mit denen Sie sich über OAuth2 bei der Anwendung anmelden können möchten. Wählen Sie Single Tenant für nur intern.
  4. Geben Sie den URI Weiterleitung ein. Dies ist der Autorisierungsumleitungs-URI, der zu Beginn dieses Prozesses von der BeyondTrust Gerätesoftware erhalten wurde.
  5. Klicken Sie auf Registrieren.
  6. Auf der Übersichtsseite (ausgewählt aus dem linken Menü) die Anwendungs-(Client-)ID. Er wird später benötigt.

 

Azure-App-Registrierungsbildschirm mit den eigenen Anwendungen und der Möglichkeit, eine neue Registrierung hinzuzufügen.

  1. Klicken Sie auf Endpunkte (oberhalb der Anwendungs-(Client-)ID).
  2. Beachten Sie den OAuth2.0 Autorisierungsendpunkt (v2) URI und den OAuth-Token-Endpunkt (v2) URI. Diese werden später benötigt.

 

Azure-App-Registrierungsbildschirm mit den eigenen Anwendungen und der Möglichkeit, eine neue Registrierung hinzuzufügen.

  1. Beachten Sie auf der Seite Zertifikate & Secrets (aus dem linken Menü ausgewählt) das Client-Secret. Er wird später benötigt. Wenn Sie kein Client-Secret haben, klicken Sie auf New Client-Secret, um eines zu erstellen.

 

Die übrigen Schritte werden auf der BeyondTrust-Anwendung durchgeführt.

  1. Gehen Sie zu Gerät, klicken Sie auf die Registerkarte Sicherheit und dann auf E-Mail-Konfiguration.
  2. Geben Sie die folgenden, bereits erwähnten Informationen ein:
    • Autorisierungsendpunkt
    • Token-Endpunkt
    • Client-ID
    • Client-Secret
  3. Geben Sie die E-Mail-Adresse für diesen Dienst als Sende von E-Mail-Adresse und die Benutzer-E-Mail ein.

Diese Adressen müssen übereinstimmen und ein gültiges Konto für Azure sein. Wenn Sie für den Azure-Tenant die Option Anonyme E-Mail (E-Mail als Jeder senden) aktiviert haben, können Sie in das Feld E-Mail senden alles eingeben. Ist dies nicht der Fall, verwenden Sie den Benutzernamen des Anwendungseigentümers und die zulässigen Benutzer.

  1. Geben Sie Daten für die Felder Host, Verschlüsselung und Port ein.
    • Host: smtp.office365.com
    • Verschlüsselung: STARTTLS
    • Port: 587

Es werden Standarddaten für Azure angezeigt, aber Ihre Installation verwendet möglicherweise einen anderen Host oder eine andere Verschlüsselungsmethode. Der Port gilt für STARTTLS, aber andere Verschlüsselungsmethoden können einen anderen Port verwenden.

  1. Geben Sie Ihr TLS-Zertifikat ein, wenn Sie eines haben. Wenn nicht, markieren Sie TLS-Zertifikatsfehler ignorieren.
  2. Geben Sie für Scopes Folgendes ein: https://outlook.office.com/SMTP.Send offline_access
  3. Klicken Sie auf Änderungen speichern.
  4. Klicken Sie auf Autorisieren. Akzeptieren Sie auf der daraufhin angezeigten Anmeldeseite die Berechtigungsanfrage. Die Seite mit den E-Mail-Einstellungen wird neu geladen, und die Schaltfläche zur Autorisierung wird durch eine autorisierte Nachricht ersetzt.
  5. Zum Testen der Konfiguration:
    • Fügen Sie eine Admin-Kontakt-E-Mail hinzu.
    • Markieren Sie Eine Test-E-Mail senden.
    • Klicken Sie auf Änderungen speichern.

Konfigurieren über OAuth2 für Google

Die Konfiguration erfordert die Änderung von Einstellungen auf dem BeyondTrust Gerät und der Google Cloud Platform.

Ändern Sie zunächst die Einstellungen des BeyondTrust Geräts:

  1. Gehen Sie zu Gerät, klicken Sie auf die Registerkarte Sicherheit und dann auf E-Mail-Konfiguration.
  2. Ändern Sie die Authentifizierungsmethode in OAuth2
  3. Beachten Sie den Authorization Redirect URI. Er wird später benötigt.

Melden Sie sich nun bei Ihrer Google Cloud Platform-Konsole (Google Dev Console) an (console.cloud.google.com). Verwenden Sie das richtige Gmail-Konto, da nur der Eigentümer des Projekts mit dem Projekt arbeiten kann. Wenn Sie noch kein bezahltes Konto haben, können Sie ein Konto erwerben, indem Sie auf Aktivieren im oberen Banner klicken. BeyondTrust kann Ihnen beim Kauf eines Kontos nicht behilflich sein. Klicken Sie auf Mehr erfahren im oberen Banner, um Informationen über die Einschränkungen der kostenlosen Konten zu erhalten.

Wählen Sie „Projekt erstellen“ in der Google Cloud Platform.

  1. Klicken Sie auf PROJEKT ERSTELLEN. Sie können auch ein bestehendes Projekt verwenden.

 

Geben Sie den Namen und die Organisation für das Projekt ein.

  1. Akzeptieren Sie den Standard Projektname oder geben Sie einen Namen ein.
  2. Akzeptieren Sie die Standardeinstellung Speicherort oder wählen Sie einen der für Ihr Unternehmen verfügbaren Ordner.
  3. Klicken Sie auf ERSTELLEN.

 

Wählen Sie auf der Seite APIs und Dienste die Option „Bibliothek“.

  1. Die Seite APIs und Dienste wird angezeigt. Klicken Sie im linken Menü auf Bibliothek.

 

Suchen Sie in der Bibliothek nach der Gmail-API oder durchsuchen Sie sie.

  1. Suchen Sie in der Bibliothek nach der Gmail-API und klicken Sie darauf.

 

Klicken Sie auf der Seite Gmail API auf Aktivieren.

  1. Die Gmail API erscheint auf einer eigenen Seite. Klicken Sie auf AKTIVIEREN.

 

Die Gmail-API-Seite, mit der Option, zur API-Verwaltung zurückzukehren.

  1. Die Seite Gmail API-Übersicht wird angezeigt. Klicken Sie oben links auf APIs & Dienste.
  2. Die Seite APIs und Dienste wird wieder angezeigt. Klicken Sie im linken Menü auf OAuth-Zustimmungsbildschirm.

 

Der OAuth-Zustimmungsbildschirm mit den Optionen für den Benutzertyp.

  1. Wählen Sie den Benutzertyp. Intern erlaubt nur Benutzern innerhalb der Organisation, erfordert aber ein Google Workspace-Konto.
  2. Klicken Sie auf ERSTELLEN.

 

Der OAuth-Zustimmungsbildschirm mit den auszufüllenden Feldern für die App-Informationen.

  1. Geben Sie den App-Namen ein.
  2. Geben Sie eine Benutzer-Support-E-Mail-Adresse ein. Dies kann standardmäßig die Adresse sein, die Sie zum Erstellen des Projekts verwenden.
  3. Geben Sie, falls gewünscht, ein Logo für die App ein. Der Abschnitt Anwendungsbereich ist ebenfalls optional.
  4. Fügen Sie Zugelassene Domains hinzu. Für BeyondTrust Testgeräte sind das:
    • qabeyondtrustcloud.com
    • bomgar.com
  5. Geben Sie die Kontaktinformationen des Entwicklers ein. Dies ist die E-Mail-Adresse, die Sie zur Erstellung des Projekts verwenden.
  6. Klicken Sie auf SPEICHERN UND WEITER.

 

Der Bildschirm für die OAuth-Zustimmungsbereiche mit der Option Bereiche hinzufügen oder entfernen und einem großen neuen Fenster zum Aktualisieren von Bereichen.

  1. Klicken Sie auf der Registerkarte Bereiche auf Bereiche hinzufügen oder entfernen. Dies öffnet das Fenster Ausgewählte Bereiche aktualisieren.
  2. Suchen Sie den Bereich https://mail.google.com/ für die Gmail-API und überprüfen Sie ihn.

Die API wird nicht angezeigt, wenn sie nicht aktiviert wurde.

  1. Klicken Sie UPDATE. Das Fenster Ausgewählte Bereiche aktualisieren wird geschlossen.
  2. Klicken Sie auf SPEICHERN UND WEITER.

 

Der Bildschirm mit den Testbenutzern für die OAuth-Zustimmung, zu denen einige Benutzer hinzugefügt wurden.

  1. Klicken Sie auf der Registerkarte Testbenutzer auf BENUTZER HINZUFÜGEN. Dies öffnet das Fenster Benutzer hinzufügen. Fügen Sie die Benutzer hinzu, die Zugriff auf die Anwendung haben, und klicken Sie auf ZUFÜGEN. Beachten Sie die Zugriffsbeschränkungen für Testbenutzer und die damit verbundenen Einschränkungen.
  2. Klicken Sie auf SPEICHERN UND WEITER.
  3. Überprüfen Sie die Zusammenfassung und nehmen Sie gegebenenfalls Änderungen oder Korrekturen vor.
  4. Klicken Sie auf ZURÜCK ZUM DASHBOARD.

 

Der Bildschirm „APIs und Dienste“ mit der Auswahl „Anmeldedaten“ und „Anmeldedaten erstellen“.

  1. Klicken Sie im linken Menü auf Anmeldedaten.
  2. Klicken Sie auf ANMELDEDATEN ERSTELLEN im oberen Banner und wählen Sie OAuth-Client-ID.

 

Der Google-Bildschirm zum Erstellen von Anmeldedaten mit Beispieldaten in den Feldern.

  1. Wählen Sie auf der Seite zum Erstellen von Anmeldedaten Webanwendung für den Anwendungstyp. Wenn diese Option ausgewählt ist, erscheinen zusätzliche Felder.
  2. Geben Sie einen Namen für die Anwendung ein.
  3. Scrollen Sie nach unten zu Zugelassene Umleitungs-URIs und klicken Sie auf URI hinzufügen.
  4. Dies ist der Autorisierungsumleitungs-URI, der zu Beginn dieses Prozesses von der BeyondTrust Gerätesoftware erhalten wurde.
  5. Klicken Sie auf ERSTELLEN.

 

OAuth-Client erstellt Bestätigungsbildschirm, der die Client-ID und das Secret anzeigt.

  1. Ein Fenster bestätigt die Erstellung des OAuth-Clients und zeigt die Client ID und Client-Secret an. Klicken Sie hier, um eine JSON-Datei herunterzuladen. Die Datei enthält Informationen, die für die nächsten Schritte benötigt werden.
  2. Klicken Sie auf OK, um zur Seite "APIs und Dienste" zurückzukehren.

 

Die übrigen Schritte werden auf der BeyondTrust-Anwendung durchgeführt.

  1. Gehen Sie zu Gerät, klicken Sie auf die Registerkarte Sicherheit und dann auf E-Mail-Konfiguration.
  2. Geben Sie die folgenden Informationen ein, die Sie in der heruntergeladenen JSON-Datei finden:
    • Autorisierungsendpunkt
    • Token-Endpunkt
    • Client-ID
    • Client-Secret
  3. Geben Sie eine beliebige E-Mail-Adresse für diesen Dienst als Senden von E-Mail-Adresse ein.
  4. Geben Sie die Benutzer-E-Mail ein. Dies muss eine E-Mail-Adresse sein, die als Testbenutzer mit Zugriff auf die Anwendung eingegeben wurde, als Sie die OAuth-Zustimmungsbildschirme ausgefüllt haben.
  5. Geben Sie Daten für die Felder Host, Verschlüsselung und Port ein.
    • Host: smtp.gmail.com
    • Verschlüsselung: TLS
    • Port: 465

Es werden Standarddaten für Google angezeigt, aber Ihre Installation verwendet möglicherweise einen anderen Host oder eine andere Verschlüsselungsmethode. Der Port gilt für TLS, aber andere Verschlüsselungsmethoden können einen anderen Port verwenden.

  1. Geben Sie Ihr TLS-Zertifikat ein, wenn es von Google angegeben wird. Wenn nicht, markieren Sie TLS-Zertifikatsfehler ignorieren.
  2. Geben Sie für Bereiche Folgendes ein: https://mail.google.com
  3. Klicken Sie auf Änderungen speichern.
  4. Klicken Sie auf Autorisieren. Nach der Anmeldeseite, die angezeigt wird, erhalten Sie möglicherweise die Warnung Google hat diese Nachricht nicht überprüft, wenn Sie die Anwendung nicht veröffentlicht haben. Die Einwilligungsseite wird neu geladen, und die Schaltfläche zur Autorisierung wird durch eine autorisierte Nachricht ersetzt.
  5. Zum Testen der Konfiguration:
    • Fügen Sie eine Admin-Kontakt-E-Mail hinzu.
    • Markieren Sie Eine Test-E-Mail senden.
    • Klicken Sie auf Änderungen speichern.