Navigation

Authentifizierung

Auf dieser Seite finden Sie:

Diese Seite enthält drei Registerkarten, welche die Verwaltung lokaler Benutzer, lokaler Gruppen und Einstellungen für die Remote-Authentifizierung verwalten.

Benutzer

Auf dieser Seite werden in der Tabelle alle Benutzer angezeigt, die ein Konto auf dem VPN-Server der Panda GateDefender-Appliance besitzen, wobei jeweils die folgenden Informationen angezeigt werden:

  • Name: Der Benutzername.
  • Anmerkung: Ein Kommentar.
  • Authentifizierungsserver: Der für die Authentifizierung verwendete Server. Dieser ist entweder lokal (die Panda GateDefender-Appliance selbst) oder ein Remote-Server, konfigurierbar auf der Registerkarte Einstellungen).
  • Aktionen: Die mit dem Konto ausführbare Operation. Im Fall von LDAP-Benutzern sind dies die Operationen Aktivieren/Deaktivieren und Bearbeiten, bei lokalen Benutzern außerdem die Operation Löschen. Das Bearbeiten eines LDAP-Benutzers ermöglicht nur das Ändern der lokalen Optionen, nicht jedoch anderer Daten wie Benutzername und Kennwort, die vollständig vom LDAP-Server verwaltet werden.

Klicken Sie oberhalb der Tabelle auf Neuen lokalen Benutzer hinzufügen, um ein neues lokales Konto hinzuzufügen. Es wird ein Formular geöffnet, in dem für jeden Benutzer folgende Optionen festgelegt werden können:

Neuen lokalen Benutzer hinzufügen

Benutzername
Anmeldename des Benutzers
Anmerkung
Ein zusätzlicher Kommentar
Mithilfe eines externen Authentifizierungsservers authentifizieren
Dieses Kontrollkästchen ist nur sichtbar, wenn mindestens ein externer Authentifizierungsserver konfiguriert wurde. Sobald das Kontrollkästchen aktiviert wurde, verschwinden die folgenden Kennworteingabefelder und der Benutzer wird mithilfe der externen Authentifizierungsserver authentifiziert.
Kennwort, Kennwort bestätigen
Kennwort für den Benutzer; wird zweimal eingegeben. Die Kennwörter werden momentan nicht angezeigt: Aktivieren Sie die beiden Kontrollkästchen rechts von den Kennwörtern, um sie anzuzeigen.
Einmalkennwort-Geheimnis
Dieses Feld enthält das Einmalkennwort-Geheimnis für den spezifischen Benutzer. Aufgrund der Beschränkungen bei der Erstellung dieser Geheimnisse ist es nicht möglich, sie manuell einzufügen. Stattdessen müssen sie durch Klicken auf die Schaltfläche Neues Geheimnis generieren erstellt werden. Eine QR-Codedarstellung des Geheimnisses kann angezeigt werden, indem auf die Schaltfläche QR-Code anzeigen geklickt wird.

Einmalkennwörter

Es gibt viele verschiedene Algorithmen für Einmalkennwörter. In Panda GateDefender Appliance-Systemen wurde der zeitbasierte Einmalkennwort-Algorithmus wie in RFC 6238 beschreiben implementiert. Da dies ein offener Standard ist, gibt es Anwendungen für fast alle Geräte (Android, iOS und Windows-Smartphones, PCs usw.). Zur Nutzung Ihres Geräts muss es mit dem Einmalkennwort-Geheimnis initiiert werden. Sie können dies entweder durch die manuelle Eingabe des Geheimnisses oder, noch einfacher, durch die Aufnahme des QR-Codes mit Ihrer Anwendung tun.

Zertifikatskonfiguration:
Wählen Sie den Modus aus, um dem Benutzer ein Zertifikat zuzuweisen. Die verfügbaren Modi können aus dem Dropdown-Menü ausgewählt werden. Erzeuge ein neues Zertifikat, Ein Zertifikat hochladen und Anfrage zum Signieren eines Zertifikats (CSR) hochladen. Nach Auswahl werden unter dem Dropdown-Menü die verfügbaren Optionen für jeden Modus angezeigt, die auf der Seite Zertifikate beschrieben werden.
Name der Organisational Unit
Die Organisationseinheit, zu welcher der Benutzer gehört, d. h. die Firma, das Unternehmen oder die Institutionsabteilung, die mit dem Zertifikat identifiziert wird.
Name des Unternehmens
Die Organisation, welcher der neue Benutzer angehört.
Stadt
Die Stadt (L), in der sich die Organisation befindet.
Land oder Provinz
Der Staat oder Gebiet (ST), in dem sich die Organisation befindet.
Land
Das Land (C), in dem sich die Organisation befindet. Es kann aus dem Menü ausgewählt werden. Geben Sie mindestens einen Buchstaben ein, um passende Vorschläge für das Land zu erhalten.
E-Mail-Adresse
Die E-Mail-Adresse des Benutzers
Gruppenmitgliedschaft
In diesem Bereich ist es möglich, dem Benutzer eine oder mehrere Gruppen zuzuweisen. Mithilfe des Such-Widgets ist es möglich, bestehende Gruppen zu filtern, um passende Gruppen zu finden. Die Gruppenmitgliedschaft wird durch Klicken auf das Symbol + rechts neben dem Gruppennamen hinzugefügt. Gruppen, denen der Benutzer angehört, werden im Textfeld darunter angezeigt. Außerdem gibt es zwei Verknüpfungen, um mit Alle hinzufügen alle auf einmal hinzuzufügen und mit Alle entfernen alle auf einmal zu löschen.
Überschreibe OpenVPN-Optionen
Aktivieren Sie dieses Kontrollkästchen, um das OpenVPN-Protokoll zu verwenden. Mit dieser Option wird ein Feld angezeigt, in dem benutzerdefinierte Optionen für das Konto angegeben werden können (siehe unten).
Überschreibe L2TP-Optionen

Durch Aktivieren dieses Kontrollkästchens wird ein Feld angezeigt, in dem der zu verwendende L2TP-Tunnel ausgewählt werden kann.

Hinweis

Diese Option steht nur zur Auswahl, wenn mindestens ein L2TP-Tunnel bereits konfiguriert wurde. In diesem Fall wird eine Meldung in Form eines Hyperlinks angezeigt. Durch Klicken darauf wird der Editor für die IPsec-Verbindung geöffnet. Nach diesem Schritt können VPN-Benutzer Verbindungen mithilfe des L2TP-Protokolls herstellen.

Tipp

Das Feld für L2TP-Optionen wird unterhalb des Feldes OpenVPN Optionen angezeigt, falls auch die OpenVPN-Optionen überschrieben werden sollen.

Aktiviert
Aktivieren Sie das Kontrollkästchen, um den Benutzer zu aktivieren, d. h. diesem zu ermöglichen, sich mit dem OpenVPN-Server auf der Panda GateDefender-Appliance zu verbinden.

OpenVPN-Optionen

Den gesamten Client-Datenverkehr über den VPN Server leiten
Wenn diese Option aktiviert ist, wird der gesamte Datenverkehr vom sich verbindenden Client unabhängig vom Ziel über den Uplink der Panda GateDefender Appliance geroutet. Standardmäßig wird der gesamte Datenverkehr, dessen Ziel außerhalb der internen Zonen liegt (beispielsweise Internethosts), durch den Uplink des Clients geleitet.
Schicke nur globale Optionen an den Client
Nur für fortgeschrittene Benutzer. Wenn der Client eine Verbindung herstellt, werden in der Regel Tunnelrouten zu Netzwerken, auf die per VPN zugegriffen werden kann, zur Routingtabelle des Clients hinzugefügt, um die Verbindung zu verschiedenen lokalen Netzwerken zu ermöglichen, die von der Panda GateDefender-Appliance erreichbar sind. Aktivieren Sie die Option, wenn dieses Verhalten nicht gewünscht ist. Die Routingtabellen (insbesondere die Tabellen für die internen Zonen) sollten allerdings manuell geändert werden.
Route zur GRÜNEN [BLAUEN, ORANGENEN] Zone eintragen:
Wenn diese Option aktiviert ist, hat der Client Zugriff auf die GRÜNE, BLAUE bzw. ORANGENE Zone. Diese Optionen haben keine Wirkung, wenn die entsprechenden Zonen nicht aktiviert sind.
Netzwerke hinter dem Client
Diese Option ist nur notwendig, wenn dieses Konto als Client in einem Gateway-zu-Gateway-Szenario verwendet wird. In diesem Feld sollten die Netzwerke eingetragen werden, die hinter diesem Client liegen und zu den anderen Clients gesendet werden sollen. Nach diesem Vorgang stehen die Netzwerke auch den anderen Clients zur Verfügung.
Statische IP Adressen

Clients werden in der Regel dynamische IP-Adressen zugewiesen. Bei dieser Option hingegen wird dem Client die hier bereitgestellte statische IP-Adresse bei jeder Verbindung zugewiesen.

Hinweis

Wenn sich der Client mit einem Multikern-VPN-Server auf der Panda GateDefender-Appliance verbindet, wird diese Zuweisung nicht berücksichtigt.

Diese Nameserver pushen
Zuweisung benutzerdefinierter Namenserver pro Client: Diese (wie auch die nächste) Einstellung kann definiert und nach Bedarf aktiviert bzw. deaktiviert werden.
Diese Domänen pushen
Zuweisung benutzerdefinierter Suchdomänen pro Client:

Hinweis

Wenn zwei oder mehr Zweigstellen über ein Gateway-to-Gateway-VPN verbunden werden sollen, empfiehlt es sich, unterschiedliche Subnetze für die lokalen Netzwerke der verschiedenen Zweigstellen auszuwählen. Sie können beispielsweise einer Zweigstelle in der GRÜNEN Zone das Subnetz 192.168.1.0/24 zuweisen und einer anderen Zweigstelle in derselben Zone das Subnetz 192.168.2.0/24. Auf diese Weise können verschiedene potenzielle Fehlerquellen und Konflikte vermieden werden. Diese Option bietet verschiedene Vorteile, z. B.: die automatische Zuweisung der richtigen Routen, ohne dass benutzerdefinierte Routen gesendet werden müssen; keine Warnmeldungen zu potenziell widersprüchlichen Routen; korrekte Auflösung des lokalen Namens; vereinfachte WAN-Netzwerkeinrichtung.

L2TP-Optionen

IPsec-Tunnel
Mithilfe dieses Dropdown-Menüs kann ausgewählt werden, welcher der bereits definierten Tunnel vom Benutzer verwendet werden soll.

Gruppen

Auf dieser Seite wird eine Tabelle mit allen Gruppen angezeigt, die entweder auf der Panda GateDefender-Appliance oder auf einem externen LDAP-Server definiert sind. Folgende Informationen werden für jede Gruppe angezeigt:

  • Gruppenname: Der Name der Gruppe
  • Anmerkung: Ein Kommentar.
  • Authentifizierungsserver: Der für die Authentifizierung verwendete Server. Dieser ist entweder lokal (die Panda GateDefender-Appliance selbst) oder LDAP (ein externer LDAP-Server, konfigurierbar auf der Registerkarte vpnauthsettings).
  • Aktionen: Die mit dem Konto ausführbare Operation. Bei LDAP-Servern ist die einzige Aktion das Bearbeiten der lokalen Eigenschaften, während bei lokalen Gruppen auch die Möglichkeit zum Löschen der Gruppe besteht.

Klicken Sie oberhalb der Tabelle auf Neue lokale Gruppen hinzufügen, um eine neue lokale Gruppe hinzuzufügen. Es wird ein Formular geöffnet, in dem für jede Gruppe folgende Optionen festgelegt werden können:

Gruppenname
Der Name der Gruppe
Anmerkung
Ein Kommentar.
Benutzer
In diesem Bereich ist es möglich, Benutzer der Gruppe zuzuweisen. Mithilfe der Such-Widgets können bestehende Gruppen gefiltert werden, um passende Gruppen zu finden. Benutzer werden durch Klicken auf das Symbol + rechts neben dem Benutzernamen hinzugefügt. Benutzer der Gruppe werden im Textfeld darunter angezeigt. Außerdem gibt es zwei Verknüpfungen, um mit Alle hinzufügen alle Benutzer einer Gruppe auf einmal hinzuzufügen und mit Alle entfernen alle auf einmal zu löschen.
Überschreibe OpenVPN-Optionen
Aktivieren Sie dieses Kontrollkästchen, um das OpenVPN-Protokoll zu verwenden. Mit dieser Option wird ein Feld angezeigt, in dem benutzerdefinierte Optionen für das Konto angegeben werden können, welche dieselben wie die für den lokalen Benutzer sind.
Überschreibe L2TP-Optionen

Durch Aktivieren dieses Kontrollkästchens wird ein Feld angezeigt, in dem der zu verwendende L2TP-Tunnel aus einem Dropdown-Menü ausgewählt werden kann.

Hinweis

Diese Option steht nur zur Auswahl, wenn mindestens ein L2TP-Tunnel bereits konfiguriert wurde. In diesem Fall wird eine Meldung in Form eines Hyperlinks angezeigt. Durch Klicken darauf wird der Editor für die IPsec-Verbindung geöffnet. Nach dem Erstellen eines neuen L2TP-Tunnels ist es möglich, diesen einem Benutzer zuzuweisen.

Tipp

Das Feld für L2TP-Optionen wird unterhalb des Feldes OpenVPN Optionen angezeigt, falls auch die OpenVPN-Optionen überschrieben werden sollen.

Aktiviert
Aktivieren Sie das Kontrollkästchen, um den Benutzer zu aktivieren, d. h. diesem zu ermöglichen, sich mit dem OpenVPN-Server auf der Panda GateDefender-Appliance zu verbinden.

Warnung

Ein Benutzer kann mehreren Gruppen angehören. Dabei muss beachtet werden, dass durch die Gruppen, denen der Benutzer angehört, keine widersprüchlichen Überschreibungsoptionen definiert werden. Betrachten Sie beispielsweise einen Benutzer, der Mitglied in zwei Gruppen ist, wobei die eine nur Zugriff auf die GRÜNE und die andere nur Zugriff auf die BLAUE Zone hat. In diesem Fall kann nicht ohne Weiteres vorhergesagt werden, ob der Benutzer Zugriff auf die GRÜNE oder BLAUE Zone erhält. Die Handhabung solcher Konflikte liegt in der Verantwortung des Verwalters des OpenVPN-Servers.

Einstellungen

Diese Seite enthält die aktuelle Konfiguration der Authentifizierungsserver, welche die Panda GateDefender-Appliance verwendet. Sie kann auf dieser Seite verwaltet werden. Derzeit werden nur lokale Server und LDAP/Active Directory unterstützt. In zukünftigen Versionen können jedoch zusätzliche Typen von Authentifizierungsservern hinzugefügt werden, z. B. RADIUS-Server.

Diese Seite enthält zwei Tabellen: Eine zeigt Informationen über die Authentifizierungsserver und die andere zeigt die Zuweisungen der Authentifizierungsserver. Im ersten Fall werden die folgenden Informationen angezeigt:

  • Name: Der Name des Servers
  • Typ: Ob der Server ein lokaler oder externer LDAP-Server ist.
  • Dienst: Die verfügbare Authentifizierung für diesen Server.
  • Aktionen: Im Fall der lokalen Authentifizierung ist es möglich, den Server zu aktivieren/deaktivieren, ihn zu bearbeiten oder ihn zu löschen. Für LDAP-Server gibt es außerdem die Möglichkeit, die Verbindung zu aktualisieren, um Benutzer und Gruppen zu synchronisieren.

Die Tabelle am unteren Rand zeigt die Zusammenhänge zwischen einem Dienst (IPsec, XAuth, OpenVPN und L2TP) und dem möglichen Authentifizierungstyp. Die einzige Aktion für die Zuweisungen ist deren Bearbeitung. Durch Klicken auf Bearbeiten wird ein Formular angezeigt, in dem ausgewählt werden kann, welche Authentifizierungsbackends für diesen Dienst verwendet werden.

Durch Klicken auf den Link Neuen Authentifizierungsserver hinzufügen wird ein Formular geöffnet, in dem alle Daten zur Einrichtung eines neuen Authentifizierungsservers angegeben werden können.

Dieses Formular ersetzt die Tabellen zur Anzeige der bereits definierten Authentifizierungsserver und ermöglicht die Konfiguration eines neuen Servers, indem passende Werte für die folgenden Konfigurationsoptionen angegeben werden.

Name
Der Name des Authentifizierungsservers
Aktiviert
Aktivieren Sie das Kontrollkästchen, um den Server zu aktivieren.
Typ
Wählen Sie den Servertyp aus dem Dropdown-Menü aus. Folgende Optionen stehen zur Verfügung:

  • LDAP / Active Directory

    Wählen Sie diese Option, wenn Sie einen LDAP-Server zur Authentifizierung Ihrer Benutzer verwenden möchten. Die folgenden Optionen werden für diesen Typ unterstützt:

    LDAP-Server-URI

    Die URI des LDAP-Servers

    LDAP-Servertyp

    Dieses Dropdown-Menü ermöglicht die Auswahl des Authentifizierungsservertyps aus Generisch, Active Directory oder Novell eDirectory. Je nach Auswahl werden zusätzliche Felder angezeigt oder ausgeblendet.

    Benutzername für LDAP-Bindungs-DN

    Der vollständige definierte Name des LDAP-Kontos, das zur Abfrage der Benutzerdaten vom LDAP-Server verwendet wird.

    Kennwort für LDAP-Bindungs-DN

    Das Kennwort des Bind-DN-Benutzers.

    Die folgenden Optionen hängen von der Konfiguration des Servers ab und werden verwendet, um die Benutzer und Gruppen zu identifizieren, die Zugriff auf den OpenVPN-Server der Panda GateDefender-Appliance erhalten sollen: LDAP-Benutzerbasis-DN, LDAP-Gruppenbasis-DN. Bei der Verwendung eines generischen LDAP-Servertyps müssen zusätzliche Parameter konfiguriert werden: LDAP-Benutzersuchfilter, Eindeutiges LDAP-Benutzer-ID-Attribut, Eindeutiges LDAP-Gruppen-ID-Attribut, LDAP-Gruppenmitgliedsattribut, LDAP-Gruppensuchfilter.

    Auf ausgewählte Gruppen einschränken – Mit dieser Option können Sie auswählen, welche Gruppen sich auf dem LDAP-Server mit dem OpenVPN-Server der Panda GateDefender-Appliance verbinden können.

  • Lokal

    Wählen Sie diese Option, wenn Sie Benutzer lokal erstellen und verwalten möchten. Die folgenden Optionen sind verfügbar:

    Auf ausgewählte Gruppen einschränken – Mit dieser Option können Sie auswählen, welche Gruppen sich auf dem LDAP-Server mit dem OpenVPN-Server der Panda GateDefender-Appliance verbinden können.

  • Einmalkennwort

    Durch Auswahl dieser Option wird die zweistufige Authentifizierung aktiviert. Wie beim Servertyp Daten aufteilen (Benutzerinformationen und Kennwort) funktioniert dies als ein Proxy für zwei verschiedene Anbieter. Zusätzlich wird die zweistufige Authentifizierung durch zeitbasierte Einmalkennwörter hinzugefügt. Durch die Auswahl dieses Typs können Sie die Quellen für die Benutzerinformations- und Kennwortanbieter ausgewählt werden. Die zu konfigurierenden Felder sind:

    Sie können sie in den folgenden Feldern konfigurieren:

    Benutzerinformationsanbieter – Mit dieser Option können Sie festlegen, von wo die benutzerspezifischen Informationen bezogen werden sollen.

    Kennwortanbieter – Mit dieser Option können Sie aus einer Liste von konfigurierten Authentifizierungsservern auswählen. Der ausgewählte Server wird daraufhin zur Authentifizierung der Benutzer verwendet.

  • RADIUS

    Wählen Sie diese Option, wenn Sie einen RADIUS-Server konfigurieren möchten. Beachten Sie, dass RADIUS-Server nur als Kennwortanbieter für Authentifizierungsservern mit Einmalkennwort und Daten aufteilen verwendet werden können. Zur Verwendung eines RADIUS-Servers müssen folgende Informationen definiert werden:

    RADIUS-Server – Die Adresse des RADIUS-Servers.

    Gemeinsamer RADIUS-Schlüssel – Der gemeinsame Schlüssel zwischen dem RADIUS-Server und der Panda GateDefender Appliance.

    RADIUS-Authentifizierungsport – Der TCP-Port für die RADIUS-Authentifizierung.

    RADIUS-Kontoführungsport – Der TCP-Port für die Kontoführung.

    RADIUS-Kennung – Die RADIUS-Kennung oder NAS-ID der Panda GateDefender Appliance.

  • Daten aufteilen (Benutzerinformationen und Kennwort)

    Wie beim Servertyp Einmalkennwort funktioniert dies als Proxy für zwei unterschiedliche Anbieter, die zweistufige Authentifizierung wird jedoch nicht hinzugefügt. Durch die Auswahl dieses Typs können Sie die Quellen für die Benutzerinformations- und Kennwortanbieter ausgewählt werden. Die zu konfigurierenden Felder sind:

    Benutzerinformationsanbieter – Mit dieser Option können Sie festlegen, von wo die benutzerspezifischen Informationen bezogen werden sollen.

    Kennwortanbieter – Mit dieser Option können Sie aus einer Liste von konfigurierten Authentifizierungsservern auswählen. Der ausgewählte Server wird daraufhin zur Authentifizierung der Benutzer verwendet.

Inhalt

Vorheriges Thema

Portal

Nächstes Thema

Zertifikate

Navigation

© Copyright 2012–2014, Panda Security SL. Zuletzt aktualisiert am 9. November 2015.