Beveiligingsproviders: Inloggen via LDAP, Active Directory, RADIUS en Kerberos activeren

Gebruikers en beveiliging

Beveiligingsproviders

Beveiligingsproviders

U kunt uw BeyondTrust Appliance B Series configureren om gebruikers tegen bestaande LDAP-, RADIUS- of Kerberos-servers te verifiëren en om machtigingen toe te kennen op basis van eerdere instellingen voor hiërarchie en groepen die al in uw servers zijn gespecificeerd. Kerberos ondersteunt eenmalige aanmelding, terwijl RSA en andere tweestapsverificatiemechanismes via RADIUS een extra beveiligingsniveau bieden.

Provider toevoegen

Selecteer in het vervolgkeuzemenu Toevoegen LDAP, RADIUS, Kerberos, SAML of SCIM om een nieuwe configuratie voor een beveiligingsprovider toe te voegen.

Volgorde veranderen

Klik op deze knop om beveiligingsproviders te slepen en neer te zetten om de prioriteiten ervan in te stellen. U kunt servers binnen een cluster slepen en neerzetten en clusters kunnen als geheel worden gesleept en neergezet. Klik op Volgorde opslaan om de wijzigingen in de prioriteiten te effectueren.

Uitschakelen

Schakel de verbinding met deze beveiligingsprovider uit. Dit is nuttig voor gepland onderhoud, als u wilt dat een server offline is maar niet verwijderd is.

Synchronisatie

Synchroniseer de gebruikers en groepen die met een externe beveiligingsprovider geassocieerd zijn. De synchronisatie wordt eenmaal per dag automatisch uitgevoerd. Als u op deze knop klikt, wordt de synchronisatie handmatig uitgevoerd.

Logboek bekijken

Bekijk de statushistorie voor een verbinding met een beveiligingsprovider.

Node dupliceren

Maak een kopie van een bestaande configuratie van een geclusterde beveiligingsprovider aan. Deze wordt als nieuwe node aan dezelfde cluster toegevoegd.

Tot cluster upgraden

Upgrade een beveiligingsprovider tot een geclusterde beveiligingsprovider. Kopieer een bestaande node om meer beveiligingsproviders aan deze cluster toe te voegen.

Kopiëren

Maak een kopie van een bestaande configuratie van een beveiligingsprovider aan. Deze wordt als een beveiligingsprovider op het hoogste niveau toegevoegd en niet als onderdeel van een cluster.

Bewerken, verwijderen

Wijzig een bestaand object of verwijder een bestaand object.

Als u de lokale beveiligingsprovider bewerkt en een standaard beleid selecteert dat geen beheerdersmachtigingen heeft, verschijnt er een waarschuwing. Zorg ervoor dat andere gebruikers beheerdersmachtigingen hebben voordat u verder gaat.

Beveiligingsprovider bewerken - LDAP

Naam

Maak een unieke naam aan om deze provider te identificeren.

Ingeschakeld

Als deze optie is ingeschakeld, kan uw B Series Appliance naar deze beveiligingsprovider zoeken als een gebruiker zich probeert aan te melden. Als het niet is aangevinkt, wordt niet naar de provider gezocht.

Verificatie gebruiker

Kiezen of deze provider gebruikt moet worden voor gebruikersverificatie. Wanneer dit is gedeselecteerd, zijn opties specifiek voor gebruikersverificatie uitgeschakeld.

Gebruikersprovisioning

Standaard vindt gebruikersprovisionering plaats op deze provider. Als u een SCIM-provider heeft ingesteld, kunt u kiezen om gebruikers te provisioneren via die provider. Als deze provider niet wordt gebruikt voor gebruikersverificatie, is Gebruikers niet provisioneren geselecteerd.

Deze instelling kan niet worden aangepast nadat deze beveiligingsprovider de eerste keer wordt opgeslagen.

De gebruikersinformatie met de LDAP-server gesynchroniseerd houden

Met het aanvinken van deze optie blijft de schermnaam van een gebruiker ingesteld op de naam die is toegewezen op de beveiligingsprovider in plaats van toe te staan dat de schermnaam in BeyondTrust kan worden aangepast.

Autorisatie-instellingen

Synchronisatie: LDAP-objectcache inschakelen

Als deze optie is aangevinkt, dan worden LDAP-objecten die voor het B Series Appliance zichtbaar zijn, elke nacht of, indien gewenst handmatig, in de cache opgeslagen en gesynchroniseerd. Bij gebruik van deze optie worden er minder verbindingen met de LDAP-server voor beheerdoeleinden gemaakt zodat potentieel de snelheid en efficiency omhoog gaan.

Als deze optie niet is aangevinkt, dan komen wijzigingen op de LDAP-server direct beschikbaar zonder de noodzaak tot synchronisatie. Maar als u via de beheerinterface wijzigingen maakt in gebruikersbeleidslijnen, dan worden, voor zover noodzakelijk, enkele kortstondige verbindingen met de LDAP-server gemaakt.

Bij providers die voorheen de synchronisatie in hadden geschakeld en de synchronisatie uitschakelen door het vinkje bij de synchronisatie-optie weg te halen, worden alle gecachete records verwijderd die op dat moment niet in gebruik zijn.

Groep opzoeken

U kunt ervoor kiezen deze beveiligingsprovider alleen voor gebruikersverificatie te gebruiken, alleen voor het opzoeken van groepen of voor beide doeleinden. Als de optie Gebruikersverificatie hierboven niet is aangevinkt is Groepen opzoeken met deze provider geselecteerd. De optie om groepen op te zoeken met gebruik van een andere provider is alleen beschikbaar wanneer een andere provider die groepen kan opzoeken al is aangemaakt.

Standaard groepsbeleid (Alleen zichtbaar als gebruikersverificatie is toegestaan)

Elke gebruiker die tegen een externe server wordt geverifieerd, moet lid van ten minste één groepsbeleid zijn om op uw B Series Appliance te kunnen worden geverifieerd en in te kunnen loggen op ofwel de /login-interface ofwel de access console. U kunt een standaard groepsbeleid selecteren om op alle gebruikers toe te passen die toestemming hebben om tegen de geconfigureerde server te worden geverifieerd.

Bedenk dat als er een standaard beleid is gedefinieerd, dat dan elke toegestane gebruiker die tegen deze server wordt geverifieerd, potentieel toegang heeft op het niveau van dit standaard beleid. Daarom wordt aanbevolen dat u een beleid met minimale machtigingen als standaard instelt om te voorkomen dat gebruikers machtigingen krijgen die u niet wilt.

Als voor een gebruiker een standaard groepsbeleid geldt en vervolgens speciaal aan een ander groepsbeleid wordt toegevoegd, dan hebben de instellingen voor het speciale beleid altijd voorrang boven de instellingen voor het standaard beleid, zelfs als het speciale beleid een lagere prioriteit heeft dan het standaard beleid en zelfs als de instellingen van het standaard beleid zijn ingesteld op overschrijven.

Instellingen voor verbinding

Hostnaam

Voer de hostnaam in van de server waar uw externe adreslijstarchief staat.

Als u LDAPS of LDAP met TLS gebruikt, dan moet de hostnaam overeenkomen met de in het publieke SSL-certificaat van uw LDAP-server gebruikte onderwerpnaam of met de DNS-component van de alternatieve onderwerpnaam.

Poort

Specificeer de poort voor uw LDAP-server. Dit is meestal poort 389 voor LDAP of poort 636 voor LDAPS. BeyondTrust ondersteunt ook een globale catalogus via poort 3268 voor LDAP of 3269 voor LDAPS.

Versleuteling

Selecteer het type versleuteling dat moet worden gebruikt voor communicatie met de LDAP-server. Om beveiligingsredenen wordt LDAPS of LDAP met TLS aanbevolen.

Standaard LDAP verzendt en ontvangt gegevens ongecodeerd van de LDAP-server en stelt zo mogelijk vertrouwelijke informatie over de gebruikersaccount aan packet sniffing bloot. Zowel LDAPS als LDAP met TLS versleutelen de verzonden gegevens waardoor deze methodes aanbevolen worden boven standaard LDAP. LDAP met TLS gebruikt de functie StartTLS om een verbinding met LDAP ongecodeerd op te zetten maar waardeert deze verbinding vervolgens op tot een versleutelde verbinding. LDAPS zet de verbinding over een versleutelde verbinding op zonder enige tekst ongecodeerd te verzenden.

Als u LDAPS of LDAP met TLS selecteert, dan moet u het door uw LDAP-server gebruikte SSL-basiscertificaat uploaden. Dit is nodig om de geldigheid van de server en de beveiliging van de gegevens zeker te stellen. Het basiscertificaat moet de PEM-opmaak hebben.

Als de onderwerpnaam van het openbare SSL-certificaat van de LDAP-server of de DNS-component van de alternatieve onderwerpnaam niet met de waarde in het veld Hostnaam overeenkomt, dan wordt de provider als onbereikbaar behandeld. U kunt echter een wildcardcertificaat opgeven om meerdere subdomeinen op dezelfde site te certificeren. Zo certificeert bijvoorbeeld een certificaat voor *.voorbeeld.nl zowel toegang.voorbeeld.nl als extern.voorbeeld.nl.

Verificatiegegevens binden

Specificeer een gebruikersnaam en wachtwoord waarmee uw B Series Appliance kan binden met en kan zoeken in het LDAP-adreslijstarchief.

Als uw server anonieme binding ondersteunt, dan kunt u ervoor kiezen om een binding te maken zonder een gebruikersnaam en wachtwoord te specificeren. Anonieme binding wordt geacht onveilig te zijn en is op de meeste LDAP-servers standaard uitgeschakeld.

Verbindingsmethode

Als u een extern adreslijstarchief gebruikt in hetzelfde lokale netwerk als uw B Series Appliance, dan kunnen de twee systemen direct met elkaar communiceren. In dat geval hoeft u de optie Proxy van apparaat via de verbindingsagent niet aan te vinken en kunt u verder gaan.

Als de twee systemen niet direct met elkaar kunnen communiceren, bijvoorbeeld als uw externe adreslijstserver achter een firewall staat of als u een klant van BeyondTrust Cloud bent, moet u een verbindingsagent gebruiken. Als u de Win32-verbindingsagent downloadt, dan kunnen uw adreslijstserver en uw B Series Appliance met elkaar communiceren via een uitgaande met SSL versleutelde verbinding zonder firewallconfiguratie. De verbindingsagent kan ofwel direct naar de adreslijstserver worden gedownload, ofwel naar een aparte server op hetzelfde netwerk als uw adreslijstserver (aanbevolen).

In het bovenstaande geval moet u Proxy van apparaat via de verbindingsagent aanvinken. (niet van toepassing op klanten van BeyondTrust Cloud). Maak een Wachtwoord verbindingsagent aan om tijdens de installatie van de verbindingsagent te gebruiken. Klik vervolgens op Verbindingsagent downloaden, voer het installatieprogramma uit en volg de instructies van de installatiewizard op. Tijdens installatie wordt u gevraagd om de naam van de beveiligingsprovider in te voeren evenals het hier hierboven aangemaakte wachtwoord voor de verbindingsagent.

BeyondTrust Cloud-klanten moeten de verbindingsagent uitvoeren om een extern adreslijstarchief te gebruiken.

Gebruikersnaam

Voer een gebruikersnaam in voor verificatiegegevens binden.

Wachtwoord en Wachtwoord bevestigen

Voer een wachtwoord voor verificatiegegevens binden in en bevestigen dit.

Type adressenlijst

Om u te helpen de netwerkverbinding tussen uw B Series Appliance en uw beveiligingsprovider te configureren, kunt u een type map als sjabloon selecteren. Zo worden onderstaande te configureren velden vooraf met standaard gegevens ingevuld, maar die gegevens moeten worden gewijzigd om ze in overeenstemming te brengen met de specifieke configuratie van uw beveiligingsprovider. Active Directory LDAP is het meest gebruikte type server, maar u kunt BeyondTrust zo configureren dat met de meeste typen beveiligingsproviders kan worden gecommuniceerd.

Instellingen voor cluster (Alleen zichtbaar voor clusters)

Selectie-algoritme voor leden

Selecteer de methode waarmee in deze cluster naar nodes wordt gezocht.

Bij Van boven naar beneden wordt eerst op de server met de hoogste prioriteit gezocht. Als die server niet beschikbaar is of als de account niet is gevonden, dan wordt op de server met de daarop volgende prioriteit gezocht. Vervolgens wordt in volgorde van aflopende prioriteit op de servers uit de lijst geclusterde servers gezocht tot de account is gevonden of blijkt dat de account niet op een van de gespecificeerde en beschikbare servers bestaat.

Round-robin is bedoeld om de belasting van de verschillende servers in balans te houden. Bij dit algoritme wordt de eerste server waarop wordt gezocht willekeurig gekozen. Als die server niet beschikbaar is of als de account niet is gevonden, dan wordt op een willekeurige andere server gezocht. Vervolgens wordt in willekeurige volgorde op de overige servers uit de lijst geclusterde servers gezocht tot de account is gevonden of blijkt dat de account niet op een van de gespecificeerde en beschikbare servers bestaat.

Wachttijd voor opnieuw proberen

Stel in hoe lang moet worden gewacht nadat een lid van een cluster niet beschikbaar is geworden voordat een nieuwe poging wordt gedaan voor dat lid van die cluster.

Clusterwaarden overschrijven (Alleen zichtbaar voor clusternodes)

Als deze optie niet is aangevinkt, dan worden voor deze clusternode dezelfde schema-instellingen gebruikt als voor de cluster. Als deze optie niet is aangevinkt, dan kunt u hieronder de schema-instellingen wijzigingen.

Basis DN opzoeken

Bepaal het niveau in uw mappenhiërarchie, gespecificeerd door een onderscheiden naam, waar het B Series Appliance moet beginnen naar gebruikers te zoeken. Afhankelijk van de grootte van uw adreslijstarchief en de gebruikers die BeyondTrust-accounts nodig hebben, kunt u de prestaties verbeteren door de specifieke organisatorische eenheid in uw adreslijstarchief aan te wijzen waar toegang toe nodig is. Als u niet zeker weet of gebruikers binnen meerdere organisatorische eenheden actief zijn, kunt u mogelijk het beste de DN-naam (Distinguished Name) van uw adreslijstarchief op het hoogste niveau gebruiken.

Gebruikersquery

Specificeer de query-informatie die het B Series Appliance moet gebruiken bij het vinden van een LDAP-gebruiker wanneer de gebruiker probeert in te loggen. In het veld Gebruikersquery kunt u een standaard LDAP-query invoeren (RFC 2254: Representatie van de tekenreeks voor LDAP-zoekfilters). U kunt de voor de query te gebruiken tekenreeks aanpassen aan de manier waarop uw gebruikers inloggen en aan de methode waarop gebruikersnamen worden geaccepteerd. Om binnen de tekenreeks de waarde te specificeren die voor de gebruikersnaam wordt gebruikt, kunt u die waarde vervangen door een *.

Query bladeren

De zoekvraag bepaalt hoe resultaten worden weergegeven als via groepsbeleidslijnen wordt gezocht. Hiermee worden de resultaten gefilterd zodat alleen bepaalde resultaten in de vervolgkeuzelijst om leden te kiezen worden weergegeven als leden aan een groepsbeleidslijn worden toegevoegd.

Objectklassen

Specificeer geldige objectklassen voor een gebruiker binnen uw adreslijstarchief. Alleen gebruikers die een of meer van deze objectklassen bezitten, mogen verifiëren. Deze objectklassen worden ook met de onderstaande attribuutnamen gebruikt om aan uw B Series Appliance het schema aan te geven dat de LDAP-server gebruikt om gebruikers te identificeren. U kunt meerdere gebruikersobjectklassen invoeren, één per regel.

Attribuutnamen

Specificeer welke velden moeten worden gebruikt als de unieke ID, schermnaam en e-mailadres van een gebruiker.

Unieke ID

In dit veld moet een unieke identificator voor het object worden ingevoerd. Hoewel de distinguished name (DN-naam) als deze identificator kan dienen, kan de distinguished name van een gebruiker gedurende de levensduur van de gebruiker vaak wijzigen, bijvoorbeeld bij een wijziging van de naam of van de locatie of als de naam van het LDAP-archief wordt gewijzigd. De meeste LDAP-servers beschikken daarom over een veld dat per object uniek is en gedurende de levensduur van de gebruiker niet wijzigt. Als u toch de onderscheiden naam als de unieke ID gebruikt en de onderscheiden naam van een gebruiker wijzigt, dan wordt die gebruiker als een nieuwe gebruiker beschouwd en worden eventuele wijzigingen specifiek voor de BeyondTrust-gebruikersaccount van die persoon niet naar de nieuwe gebruiker overgedragen. Als uw LDAP-server niet over een unieke identificator beschikt, dan kunt u een veld gebruiken waarvan de kans zo klein mogelijk is dat de waarde hiervan voor een andere gebruiker identiek is.

E-mailadres

Deze waarde bepaalt welk veld moet worden gebruikt als het e-mailadres van de gebruiker.

Schermnaam

Deze waarde bepaalt welk veld moet worden gebruikt als de schermnaam van de gebruiker.

Instellingen groepsschema (Alleen zichtbaar tijdens het opzoeken van groepen)

Type adressenlijst

Om u te helpen de netwerkverbinding tussen uw B Series Appliance en uw beveiligingsprovider te configureren, kunt u een type map als sjabloon selecteren. Zo worden onderstaande te configureren velden vooraf met standaard gegevens ingevuld, maar die gegevens moeten worden gewijzigd om ze in overeenstemming te brengen met de specifieke configuratie van uw beveiligingsprovider. Active Directory LDAP is het meest gebruikte type server, maar u kunt BeyondTrust zo configureren dat met de meeste typen beveiligingsproviders kan worden gecommuniceerd.

Basis DN opzoeken

Bepaal het niveau in uw mappenhiërarchie, gespecificeerd door een onderscheiden naam, waar het B Series Appliance moet beginnen naar groepen te zoeken. Afhankelijk van de grootte van het adreslijstarchief en de groepen die toegang tot het B Series Appliance nodig hebben, kunt u de prestaties verbeteren door de specifieke organisatorische eenheid in uw adreslijstarchief aan te wijzen waarvoor toegang nodig is. Als u niet zeker weet of groepen binnen meerdere organisatorische eenheden actief zijn, kunt u mogelijk het beste de DN-naam (Distinguished Name) van uw adreslijstarchief op het hoogste niveau gebruiken.

Query bladeren

De zoekvraag bepaalt hoe resultaten worden weergegeven als via groepsbeleidslijnen wordt gezocht. Hiermee worden de resultaten gefilterd zodat alleen bepaalde resultaten in de vervolgkeuzelijst om leden te kiezen worden weergegeven als leden aan een groepsbeleidslijn worden toegevoegd.

Objectklassen

Specificeer geldige objectklassen voor een groep binnen uw map-archieven. Alleen groepen die een of meer van deze objectklassen bezitten, worden geretourneerd. Deze objectklassen worden ook met de onderstaande attribuutnamen gebruikt om aan uw B Series Appliance het schema aan te geven dat de LDAP-server gebruikt om groepen te identificeren. U kunt meerdere groepsobjectklassen invoeren, op elke regel één.

Attribuutnamen

Specificeer welke velden moeten worden gebruikt als de unieke ID en schermnaam van een groep.

Unieke ID

In dit veld moet een unieke identificator voor het object worden ingevoerd. Hoewel de onderscheiden naam als deze identificator kan dienen, kan de onderscheiden naam van een groep gedurende de levensduur van een groep vaak wijzigen, bijvoorbeeld bij een locatiewijziging of als de naam van het LDAP-archief wordt gewijzigd. De meeste LDAP-servers beschikken daarom over een veld dat per object uniek is en gedurende de levensduur van de groep niet wijzigt. Als u toch de onderscheiden naam als de unieke identificator gebruikt en de onderscheiden naam van een groep wijzigt, dan wordt die groep als een nieuwe groep beschouwd en worden eventuele voor die groep gedefinieerde groepsbeleidslijnen niet naar de nieuwe groep overgedragen. Als uw LDAP-server niet over een unieke identificator beschikt, dan kunt u een veld gebruiken waarvan de kans zo klein mogelijk is dat de waarde hiervan voor een andere groep identiek is.

Schermnaam

Deze waarde bepaalt welk veld moet worden gebruikt als de schermnaam van de groep.

Gebruiker naar groep relaties

U moet in dit veld een query invoeren om te bepalen welke gebruikers tot welke groepen behoren of, andersom, welke groepen welke gebruikers bevatten.

Recursieve zoekopdracht uitvoeren voor groepen

U kunt recursief naar groepen zoeken. Er wordt dan een query naar een gebruiker uitgevoerd, vervolgens queries voor alle groepen waar die gebruiker toe behoort enzovoort totdat alle mogelijke groepen die met die gebruiker geassocieerd zijn, zijn gevonden.

Het uitvoeren van een recursieve zoekopdracht kan een grote invloed op de prestaties hebben, omdat de server voortdurend zoekopdrachten uitzet tot alle informatie over alle groepen gevonden is. Als dit te lang duurt, dan kan de gebruiker mogelijk niet inloggen.

Bij niet-recursief zoeken wordt er per gebruiker maar één query uitgevoerd. Als uw LDAP-server over een speciaal veld beschikt met alle groepen waar de gebruiker toe behoort, dan is recursief zoeken niet nodig. Recursief zoeken is ook niet nodig als het ontwerp van uw mapstructuur geen groepsleden van groepen ondersteunt.

Instellingen testen

Gebruikersnaam en wachtwoord

Voer een gebruikersnaam en wachtwoord in voor een account die op de door u te testen server bestaat. Deze account moet overeenkomen met de inlog-criteria die in bovenstaande configuratie zijn gespecificeerd.

Probeer de gebruikerskenmerken en groepslidmaatschappen te krijgen als de inloggegevens worden geaccepteerd

Als deze optie is aangevinkt en het testen van inloggegevens is geslaagd, dan wordt ook geprobeerd de gebruikersattributen te controleren en de groep op te zoeken. Let op: om de test van deze functies te laten slagen, moeten ze door uw beveiligingsprovider worden ondersteund en moeten ze daar geconfigureerd zijn.

Test starten

Als uw server juist is geconfigureerd en u voor de test een geldige gebruikersnaam en wachtwoord hebt ingevoerd, dan ontvangt u een bericht dat de test geslaagd is. Anders ziet u een foutmelding en een logboekvermelding waarmee u het probleem kunt onderzoeken.

Beveiligingsprovider bewerken - RADIUS

Naam

Maak een unieke naam aan om deze provider te identificeren.

Ingeschakeld

Als deze optie is ingeschakeld, kan uw B Series Appliance naar deze beveiligingsprovider zoeken als een gebruiker zich probeert aan te melden. Als het niet is aangevinkt, wordt niet naar de provider gezocht.

Houd de schermnaam gesynchroniseerd met het systeem op afstand

Met het aanvinken van deze optie blijft de schermnaam van een gebruiker ingesteld op de naam die is toegewezen op de beveiligingsprovider in plaats van toe te staan dat de schermnaam in BeyondTrust kan worden aangepast.

Autorisatie-instellingen

Alleen de volgende gebruikers toelaten

U kunt ervoor kiezen alleen toegang toe te staan tot bepaalde gebruikers op uw RADIUS-server. Voer de gebruikersnamen op aparte regels in. Nadat de gebruikersnamen zijn toegevoegd, zijn de gebruikers beschikbaar vanaf de dialoog Beleidslid toevoegen wanneer u op de pagina /login > Gebruikers en beveiliging > Groepsbeleidslijnen groepsbeleidslijnen bewerkt.

Als u dit veld leeg laat, dan worden alle gebruikers toegestaan die tegen uw RADIUS-server worden geverifieerd. Als u iedereen toestaat, dan moet u ook een standaard groepsbeleid specificeren.

LDAP-groep opzoeken

Als u wilt dat gebruikers op deze beveiligingsprovider op een aparte LDAP-server met hun groepen worden geassocieerd, dan moet u een of meerdere LDAP-groepservers kiezen die bij het opzoeken van de groep moeten worden gebruikt.

Standaard groepsbeleid

Elke gebruiker die tegen een externe server wordt geverifieerd, moet lid van ten minste één groepsbeleid zijn om op uw B Series Appliance te kunnen worden geverifieerd en in te kunnen loggen op ofwel de /login-interface ofwel de access console. U kunt een standaard groepsbeleid selecteren om op alle gebruikers toe te passen die toestemming hebben om tegen de geconfigureerde server te worden geverifieerd.

Bedenk dat als er een standaard beleid is gedefinieerd, dat dan elke toegestane gebruiker die tegen deze server wordt geverifieerd, potentieel toegang heeft op het niveau van dit standaard beleid. Daarom wordt aanbevolen dat u een beleid met minimale machtigingen als standaard instelt om te voorkomen dat gebruikers machtigingen krijgen die u niet wilt.

Als voor een gebruiker een standaard groepsbeleid geldt en vervolgens speciaal aan een ander groepsbeleid wordt toegevoegd, dan hebben de instellingen voor het speciale beleid altijd voorrang boven de instellingen voor het standaard beleid, zelfs als het speciale beleid een lagere prioriteit heeft dan het standaard beleid en zelfs als de instellingen van het standaard beleid zijn ingesteld op overschrijven.

Instellingen voor verbinding

Hostnaam

Voer de hostnaam in van de server waar uw externe adreslijstarchief staat.

Poort

Specificeer de verificatiepoort voor uw RADIUS-server. Meestal is dit poort 1812.

Verbindingsmethode

Als u een extern adreslijstarchief gebruikt in hetzelfde lokale netwerk als uw B Series Appliance, dan kunnen de twee systemen direct met elkaar communiceren. In dat geval hoeft u de optie Proxy van apparaat via de verbindingsagent niet aan te vinken en kunt u verder gaan.

Als de twee systemen niet direct met elkaar kunnen communiceren, bijvoorbeeld als uw externe adreslijstserver achter een firewall staat of als u een klant van BeyondTrust Cloud bent, moet u een verbindingsagent gebruiken. Als u de Win32-verbindingsagent downloadt, dan kunnen uw adreslijstserver en uw B Series Appliance met elkaar communiceren via een uitgaande met SSL versleutelde verbinding zonder firewallconfiguratie. De verbindingsagent kan ofwel direct naar de adreslijstserver worden gedownload, ofwel naar een aparte server op hetzelfde netwerk als uw adreslijstserver (aanbevolen).

In het bovenstaande geval moet u Proxy van apparaat via de verbindingsagent aanvinken. (niet van toepassing op klanten van BeyondTrust Cloud). Maak een Wachtwoord verbindingsagent aan om tijdens de installatie van de verbindingsagent te gebruiken. Klik vervolgens op Verbindingsagent downloaden, voer het installatieprogramma uit en volg de instructies van de installatiewizard op. Tijdens installatie wordt u gevraagd om de naam van de beveiligingsprovider in te voeren evenals het hier hierboven aangemaakte wachtwoord voor de verbindingsagent.

Gedeeld geheim

Geef een nieuw gedeeld geheim op om uw B Series Appliance en uw RADIUS-server met elkaar te laten communiceren.

Time-out (seconden)

Stel in hoe lang op antwoord van de server moet worden gewacht. Denk eraan dat als het antwoord Antwoord-accepteren of Antwoord-uitdaging is, dan wacht RADIUS gedurende de totale hier gedefinieerde tijd voordat de account wordt geverifieerd. Aanbevolen wordt daarom om deze waarde zo laag mogelijk in te stellen als uw netwerkinstellingen toestaan. De beste waarde is 3-5 seconden, de maximale waarde is drie minuten.

Instellingen voor cluster (Alleen zichtbaar voor clusters)

Selectie-algoritme voor leden

Selecteer de methode waarmee in deze cluster naar nodes wordt gezocht.

Bij Van boven naar beneden wordt eerst op de server met de hoogste prioriteit gezocht. Als die server niet beschikbaar is of als de account niet is gevonden, dan wordt op de server met de daarop volgende prioriteit gezocht. Vervolgens wordt in volgorde van aflopende prioriteit op de servers uit de lijst geclusterde servers gezocht tot de account is gevonden of blijkt dat de account niet op een van de gespecificeerde en beschikbare servers bestaat.

Round-robin is bedoeld om de belasting van de verschillende servers in balans te houden. Bij dit algoritme wordt de eerste server waarop wordt gezocht willekeurig gekozen. Als die server niet beschikbaar is of als de account niet is gevonden, dan wordt op een willekeurige andere server gezocht. Vervolgens wordt in willekeurige volgorde op de overige servers uit de lijst geclusterde servers gezocht tot de account is gevonden of blijkt dat de account niet op een van de gespecificeerde en beschikbare servers bestaat.

Wachttijd voor opnieuw proberen

Stel in hoe lang moet worden gewacht nadat een lid van een cluster niet beschikbaar is geworden voordat een nieuwe poging wordt gedaan voor dat lid van die cluster.

Instellingen testen

Gebruikersnaam en wachtwoord

Voer een gebruikersnaam en wachtwoord in voor een account die op de door u te testen server bestaat. Deze account moet overeenkomen met de inlog-criteria die in bovenstaande configuratie zijn gespecificeerd.

Probeer de gebruikerskenmerken en groepslidmaatschappen te krijgen als de inloggegevens worden geaccepteerd

Als deze optie is aangevinkt en het testen van inloggegevens is geslaagd, dan wordt ook geprobeerd de gebruikersattributen te controleren en de groep op te zoeken. Let op: om de test van deze functies te laten slagen, moeten ze door uw beveiligingsprovider worden ondersteund en moeten ze daar geconfigureerd zijn.

Test starten

Als uw server juist is geconfigureerd en u voor de test een geldige gebruikersnaam en wachtwoord hebt ingevoerd, dan ontvangt u een bericht dat de test geslaagd is. Anders ziet u een foutmelding en een logboekvermelding waarmee u het probleem kunt onderzoeken.

Beveiligingsprovider bewerken - Kerberos

Naam

Maak een unieke naam aan om deze provider te identificeren.

Ingeschakeld

Als deze optie is ingeschakeld, kan uw B Series Appliance naar deze beveiligingsprovider zoeken als een gebruiker zich probeert aan te melden. Als het niet is aangevinkt, wordt niet naar de provider gezocht.

Houd de schermnaam gesynchroniseerd met het systeem op afstand

Met het aanvinken van deze optie blijft de schermnaam van een gebruiker ingesteld op de naam die is toegewezen op de beveiligingsprovider in plaats van toe te staan dat de schermnaam in BeyondTrust kan worden aangepast.

Ontdoe realm van principal-namen

Selecteer deze optie om bij het samenstellen van de BeyondTrust-gebruikersnaam het REALM-gedeelte van de Principal-naam van gebruiker te verwijderen.

Autorisatie-instellingen

Gebruikersafhandelingsmodus

Selecteer welke gebruikers op uw B Series Appliance kunnen worden geverifieerd. Alle gebruikers toestaan staat iedereen toe die momenteel via uw KDC wordt geverifieerd. Alleen gebruikers-principals toelaten die op de lijst zijn gespecificeerd staat alleen gebruikers-principals toe die expliciet zijn vermeld. Met Alleen gebruikers-principals toelaten die met de regex overeenkomen worden alleen gebruikers-principals toegelaten die met een Perl-compatibele reguliere expressie (PCRE) overeenkomen.

SPN-afhandelingsmodus: Alleen SPN's toelaten die op de lijst zijn gespecificeerd

Als dit veld niet is aangevinkt, dan worden alle service-principal-namen (SPN's) voor deze beveiligingsprovider toegelaten. Als dit veld is aangevinkt, dan moet u specifieke SPN's uit een lijst van momenteel geconfigureerde SPN's selecteren.

LDAP-groep opzoeken

Als u wilt dat gebruikers op deze beveiligingsprovider op een aparte LDAP-server met hun groepen worden geassocieerd, dan moet u een of meerdere LDAP-groepservers kiezen die bij het opzoeken van de groep moeten worden gebruikt.

Standaard groepsbeleid

Elke gebruiker die tegen een externe server wordt geverifieerd, moet lid van ten minste één groepsbeleid zijn om op uw B Series Appliance te kunnen worden geverifieerd en in te kunnen loggen op ofwel de /login-interface ofwel de access console. U kunt een standaard groepsbeleid selecteren om op alle gebruikers toe te passen die toestemming hebben om tegen de geconfigureerde server te worden geverifieerd.

Bedenk dat als er een standaard beleid is gedefinieerd, dat dan elke toegestane gebruiker die tegen deze server wordt geverifieerd, potentieel toegang heeft op het niveau van dit standaard beleid. Daarom wordt aanbevolen dat u een beleid met minimale machtigingen als standaard instelt om te voorkomen dat gebruikers machtigingen krijgen die u niet wilt.

Als voor een gebruiker een standaard groepsbeleid geldt en vervolgens speciaal aan een ander groepsbeleid wordt toegevoegd, dan hebben de instellingen voor het speciale beleid altijd voorrang boven de instellingen voor het standaard beleid, zelfs als het speciale beleid een lagere prioriteit heeft dan het standaard beleid en zelfs als de instellingen van het standaard beleid zijn ingesteld op overschrijven.

Beveiligingsprovider bewerken - SAML

Naam

Deze unieke naam helpt bij het identificeren van uw provider. De naam van uw SAML-provider wordt automatisch gegenereerd en kan nu niet worden bewerkt.

Ingeschakeld

Als deze optie is ingeschakeld, kan uw B Series Appliance naar deze beveiligingsprovider zoeken als een gebruiker zich probeert aan te melden. Als het niet is aangevinkt, wordt niet naar de provider gezocht.

Gebruikersprovisioning

Standaard vindt gebruikersprovisionering plaats op deze provider. Als u een SCIM-provider heeft ingesteld, kunt u kiezen om gebruikers te provisioneren via die provider.

Deze instelling kan niet worden aangepast nadat deze beveiligingsprovider de eerste keer wordt opgeslagen.

Instellingen identiteitsprovider

Metagegevens van identiteitsprovider

Het metagegevensbestand bevat alle informatie die nodig is voor de eerste instelling van uw SAML-provider en moet worden gedownload bij uw identiteitsprovider. Selecteer het XML-bestand en klik daarna op Bestand kiezen om te selecteren het geselecteerde bestand te uploaden.

De velden voor Entiteit-ID, URL voor service met eenmalige aanmelding, en Certificaat worden automatisch ingevuld uit het metagegevensbestand van de identiteitsprovider. Als u geen metagegevensbestand van uw provider kunt krijgen kan deze informatie handmatig worden ingevoerd.

Entiteit-ID

Dit is de unieke identificator voor de identiteitsprovider die u gebruikt.

URL voor service voor eenmalige aanmelding

Wanneer u bij BeyondTrust wilt inloggen met gebruik van SAML is dit de URL waar u automatisch naar wordt doorgestuurd zodat u kunt inloggen.

Protocolbinding SSO URL

Dit bepaalt of er een HTTP POST plaatsvindt of dat de gebruiker wordt doorgestuurd naar de aanmeld-URL. Dit moet 'redirect' (doorsturen) zijn tenzij anders vereist door de identiteitsprovider.

Servercertificaat

Dit certificaat wordt gebruikt om de handtekening van de assertie die gestuurd is vanaf de identiteitsprovider te verifiëren.

Instellingen serviceprovider

Metagegevens van serviceprovider

Download de metagegevens van BeyondTrust, die u vervolgens moet uploaden naar uw identiteitsprovider.

Entiteit-ID

Dit is uw BeyondTrust-URL. Het identificeert uw site bij de identiteitsprovider.

Privécode

Indien nodig kunt u berichten die gestuurd zijn door de identiteitsprovider ontsleutelen, wanneer deze versleuteling ondersteunen en vereisen. Klik op Bestand kiezen om de privésleutel die nodig is voor het ontsleutelen van de berichten die gestuurd zijn door de identiteitsprovider te uploaden.

Instellingen voor gebruikersprovisionering (Alleen zichtbaar als deze provider wordt gebruikt voor gebruikersprovisionering)

SAML-attribuut van gebruiker

Deze kenmerken worden gebruikt om gebruikers in BeyondTrust in te richten. De standaardwaarden komen overeen met door BeyondTrust gecertificeerde toepassingen met verschillende identiteitsproviders. Als u uw eigen SAML-connector aanmaakt, moet u mogelijk de attributen aanpassen om deze overeen te laten komen met wat er wordt verstuurd door uw identiteitsprovider.

Instellingen voor verificatie (Alleen zichtbaar als deze provider wordt gebruikt voor gebruikersprovisionering)

Groep opzoeken

Dit is het SAML-attribuut dat de namen van de groepen bevat waar de gebruikers toe moeten behoren. De standaardnaam voor de BeyondTrust-toepassingen is 'Groepen'.

Als de attribuutwaarde meerdere groepsnamen bevat, specificeer dan het scheidingsteken dat u gebruikt om de namen te scheiden. Als u het scheidingsteken leeg laat, dan kan de attribuutwaarde meerdere XML-nodes bevatten die elk een andere naam bevatten.

Beschikbare groepen

Staat een voorgedefinieerde lijst van groepen toe die bij de beveiligingsprovider horen. Deze lijst kan vervolgens worden gebruikt om een groep te koppelen aan het juiste groepsbeleid.

Standaard groepsbeleid

Elke gebruiker die tegen een externe server wordt geverifieerd, moet lid van ten minste één groepsbeleid zijn om op uw B Series Appliance te kunnen worden geverifieerd en in te kunnen loggen op ofwel de /login-interface ofwel de access console. U kunt een standaard groepsbeleid selecteren om op alle gebruikers toe te passen die toestemming hebben om tegen de geconfigureerde server te worden geverifieerd.

Bedenk dat als er een standaard beleid is gedefinieerd, dat dan elke toegestane gebruiker die tegen deze server wordt geverifieerd, potentieel toegang heeft op het niveau van dit standaard beleid. Daarom wordt aanbevolen dat u een beleid met minimale machtigingen als standaard instelt om te voorkomen dat gebruikers machtigingen krijgen die u niet wilt.

Als voor een gebruiker een standaard groepsbeleid geldt en vervolgens speciaal aan een ander groepsbeleid wordt toegevoegd, dan hebben de instellingen voor het speciale beleid altijd voorrang boven de instellingen voor het standaard beleid, zelfs als het speciale beleid een lagere prioriteit heeft dan het standaard beleid en zelfs als de instellingen van het standaard beleid zijn ingesteld op overschrijven.

Raadpleeg SAML voor verificatie met eenmalige aanmelding voor meer informatie.

Beveiligingsprovider bewerken - SCIM

Om SCIM te laten functioneren moet de SCIM-API ingeschakeld zijn op een API-account en moet de API geconfigureerd zijn op uw SCIM-provider. API-accounts worden beheerd op /login > Beheer > API-configuratie. Op dit moment kan er slechts één SCIM-provider worden aangemaakt. Nadat een SCIM-provider is aangemaakt is de optie SCIM niet langer beschikbaar in het vervolgkeuzemenu Provider aanmaken. SCIM gebruikersprovisionering gebruikt SCIM 2.0 gebruikers en groepsobjecten. Zie voor meer informatie over de SCIM 2.0-standaard http://www.simplecloud.info/.

Privileged Remote Access ondersteunt nu SCIM-API's voor groepen gebruikers. Nadat u een SCIM-provider hebt geconfigureerd in /login en gebruikers en groepen hebt geconfigureerd in uw SCIM-oplossing, geeft PRA dezelfde groepen weer als de groepen die aanwezig zijn in uw SCIM-oplossing, zodat u per SCIM-groep groepsbeleidslijnen kunt selecteren.

Naam

Maak een unieke naam aan om deze provider te identificeren.

Ingeschakeld

Als deze optie is ingeschakeld, kan uw B Series Appliance naar deze beveiligingsprovider zoeken als een gebruiker zich probeert aan te melden. Als het niet is aangevinkt, wordt niet naar de provider gezocht.

SCIM-gebruikersquery-ID

Selecteer in het vervolgkeuzemenu het unieke ID dat de SCIM moet gebruiken voor uw queries.

SCIM-groepsquery-ID

Selecteer in het vervolgkeuzemenu het unieke ID dat de SCIM moet gebruiken voor uw groepsqueries.

Instellingen voor gebruikersprovisionering

Gebruikersattribuut

Deze kenmerken worden gebruikt om gebruikers in BeyondTrust in te richten. De standaardwaarden komen overeen met door BeyondTrust gecertificeerde toepassingen met verschillende identiteitsproviders.

Autorisatie-instellingen

Unieke ID

Voer het SCIM-attribuut in dat gebruikt moet worden als de unieke ID voor de gebruiker binnen BeyondTrust.

Standaard groepsbeleid

Elke gebruiker die tegen een externe server wordt geverifieerd, moet lid van ten minste één groepsbeleid zijn om op uw B Series Appliance te kunnen worden geverifieerd en in te kunnen loggen op ofwel de /login-interface ofwel de access console. U kunt een standaard groepsbeleid selecteren om op alle gebruikers toe te passen die toestemming hebben om tegen de geconfigureerde server te worden geverifieerd.

Bedenk dat als er een standaard beleid is gedefinieerd, dat dan elke toegestane gebruiker die tegen deze server wordt geverifieerd, potentieel toegang heeft op het niveau van dit standaard beleid. Daarom wordt aanbevolen dat u een beleid met minimale machtigingen als standaard instelt om te voorkomen dat gebruikers machtigingen krijgen die u niet wilt.

Als voor een gebruiker een standaard groepsbeleid geldt en vervolgens speciaal aan een ander groepsbeleid wordt toegevoegd, dan hebben de instellingen voor het speciale beleid altijd voorrang boven de instellingen voor het standaard beleid, zelfs als het speciale beleid een lagere prioriteit heeft dan het standaard beleid en zelfs als de instellingen van het standaard beleid zijn ingesteld op overschrijven.

Attribuutnaam

Voer de naam van het SCIM-attribuut in dat de gebruikers uniek identificeert.

Met SCIM geprovisioneerde groepen worden altijd voor het opzoeken van groepen via hun naam uniek geïdentificeerd. Deze identificatie is niet hoofdlettergevoelig.