Auf dieser Seite finden Sie:
Diese Seite enthält drei Registerkarten, welche die Verwaltung lokaler Benutzer, lokaler Gruppen und Einstellungen für die Remote-Authentifizierung verwalten.
Auf dieser Seite werden in der Tabelle alle Benutzer angezeigt, die ein Konto auf dem VPN-Server der Panda GateDefender-Appliance besitzen, wobei jeweils die folgenden Informationen angezeigt werden:
Klicken Sie oberhalb der Tabelle auf Neuen lokalen Benutzer hinzufügen, um ein neues lokales Konto hinzuzufügen. Es wird ein Formular geöffnet, in dem für jeden Benutzer folgende Optionen festgelegt werden können:
Einmalkennwörter
Es gibt viele verschiedene Algorithmen für Einmalkennwörter. In Panda GateDefender Appliance-Systemen wurde der zeitbasierte Einmalkennwort-Algorithmus wie in RFC 6238 beschreiben implementiert. Da dies ein offener Standard ist, gibt es Anwendungen für fast alle Geräte (Android, iOS und Windows-Smartphones, PCs usw.). Zur Nutzung Ihres Geräts muss es mit dem Einmalkennwort-Geheimnis initiiert werden. Sie können dies entweder durch die manuelle Eingabe des Geheimnisses oder, noch einfacher, durch die Aufnahme des QR-Codes mit Ihrer Anwendung tun.
Durch Aktivieren dieses Kontrollkästchens wird ein Feld angezeigt, in dem der zu verwendende L2TP-Tunnel ausgewählt werden kann.
Hinweis
Diese Option steht nur zur Auswahl, wenn mindestens ein L2TP-Tunnel bereits konfiguriert wurde. In diesem Fall wird eine Meldung in Form eines Hyperlinks angezeigt. Durch Klicken darauf wird der Editor für die IPsec-Verbindung geöffnet. Nach diesem Schritt können VPN-Benutzer Verbindungen mithilfe des L2TP-Protokolls herstellen.
Tipp
Das Feld für L2TP-Optionen wird unterhalb des Feldes OpenVPN Optionen angezeigt, falls auch die OpenVPN-Optionen überschrieben werden sollen.
Clients werden in der Regel dynamische IP-Adressen zugewiesen. Bei dieser Option hingegen wird dem Client die hier bereitgestellte statische IP-Adresse bei jeder Verbindung zugewiesen.
Hinweis
Wenn sich der Client mit einem Multikern-VPN-Server auf der Panda GateDefender-Appliance verbindet, wird diese Zuweisung nicht berücksichtigt.
Hinweis
Wenn zwei oder mehr Zweigstellen über ein Gateway-to-Gateway-VPN verbunden werden sollen, empfiehlt es sich, unterschiedliche Subnetze für die lokalen Netzwerke der verschiedenen Zweigstellen auszuwählen. Sie können beispielsweise einer Zweigstelle in der GRÜNEN Zone das Subnetz 192.168.1.0/24 zuweisen und einer anderen Zweigstelle in derselben Zone das Subnetz 192.168.2.0/24. Auf diese Weise können verschiedene potenzielle Fehlerquellen und Konflikte vermieden werden. Diese Option bietet verschiedene Vorteile, z. B.: die automatische Zuweisung der richtigen Routen, ohne dass benutzerdefinierte Routen gesendet werden müssen; keine Warnmeldungen zu potenziell widersprüchlichen Routen; korrekte Auflösung des lokalen Namens; vereinfachte WAN-Netzwerkeinrichtung.
Auf dieser Seite wird eine Tabelle mit allen Gruppen angezeigt, die entweder auf der Panda GateDefender-Appliance oder auf einem externen LDAP-Server definiert sind. Folgende Informationen werden für jede Gruppe angezeigt:
Klicken Sie oberhalb der Tabelle auf Neue lokale Gruppen hinzufügen, um eine neue lokale Gruppe hinzuzufügen. Es wird ein Formular geöffnet, in dem für jede Gruppe folgende Optionen festgelegt werden können:
Durch Aktivieren dieses Kontrollkästchens wird ein Feld angezeigt, in dem der zu verwendende L2TP-Tunnel aus einem Dropdown-Menü ausgewählt werden kann.
Hinweis
Diese Option steht nur zur Auswahl, wenn mindestens ein L2TP-Tunnel bereits konfiguriert wurde. In diesem Fall wird eine Meldung in Form eines Hyperlinks angezeigt. Durch Klicken darauf wird der Editor für die IPsec-Verbindung geöffnet. Nach dem Erstellen eines neuen L2TP-Tunnels ist es möglich, diesen einem Benutzer zuzuweisen.
Tipp
Das Feld für L2TP-Optionen wird unterhalb des Feldes OpenVPN Optionen angezeigt, falls auch die OpenVPN-Optionen überschrieben werden sollen.
Warnung
Ein Benutzer kann mehreren Gruppen angehören. Dabei muss beachtet werden, dass durch die Gruppen, denen der Benutzer angehört, keine widersprüchlichen Überschreibungsoptionen definiert werden. Betrachten Sie beispielsweise einen Benutzer, der Mitglied in zwei Gruppen ist, wobei die eine nur Zugriff auf die GRÜNE und die andere nur Zugriff auf die BLAUE Zone hat. In diesem Fall kann nicht ohne Weiteres vorhergesagt werden, ob der Benutzer Zugriff auf die GRÜNE oder BLAUE Zone erhält. Die Handhabung solcher Konflikte liegt in der Verantwortung des Verwalters des OpenVPN-Servers.
Diese Seite enthält die aktuelle Konfiguration der Authentifizierungsserver, welche die Panda GateDefender-Appliance verwendet. Sie kann auf dieser Seite verwaltet werden. Derzeit werden nur lokale Server und LDAP/Active Directory unterstützt. In zukünftigen Versionen können jedoch zusätzliche Typen von Authentifizierungsservern hinzugefügt werden, z. B. RADIUS-Server.
Diese Seite enthält zwei Tabellen: Eine zeigt Informationen über die Authentifizierungsserver und die andere zeigt die Zuweisungen der Authentifizierungsserver. Im ersten Fall werden die folgenden Informationen angezeigt:
Die Tabelle am unteren Rand zeigt die Zusammenhänge zwischen einem Dienst (IPsec, XAuth, OpenVPN und L2TP) und dem möglichen Authentifizierungstyp. Die einzige Aktion für die Zuweisungen ist deren Bearbeitung. Durch Klicken auf Bearbeiten wird ein Formular angezeigt, in dem ausgewählt werden kann, welche Authentifizierungsbackends für diesen Dienst verwendet werden.
Durch Klicken auf den Link Neuen Authentifizierungsserver hinzufügen wird ein Formular geöffnet, in dem alle Daten zur Einrichtung eines neuen Authentifizierungsservers angegeben werden können.
Dieses Formular ersetzt die Tabellen zur Anzeige der bereits definierten Authentifizierungsserver und ermöglicht die Konfiguration eines neuen Servers, indem passende Werte für die folgenden Konfigurationsoptionen angegeben werden.
LDAP / Active Directory
Wählen Sie diese Option, wenn Sie einen LDAP-Server zur Authentifizierung Ihrer Benutzer verwenden möchten. Die folgenden Optionen werden für diesen Typ unterstützt:
Die URI des LDAP-Servers
Dieses Dropdown-Menü ermöglicht die Auswahl des Authentifizierungsservertyps aus Generisch, Active Directory oder Novell eDirectory. Je nach Auswahl werden zusätzliche Felder angezeigt oder ausgeblendet.
Der vollständige definierte Name des LDAP-Kontos, das zur Abfrage der Benutzerdaten vom LDAP-Server verwendet wird.
Das Kennwort des Bind-DN-Benutzers.
Die folgenden Optionen hängen von der Konfiguration des Servers ab und werden verwendet, um die Benutzer und Gruppen zu identifizieren, die Zugriff auf den OpenVPN-Server der Panda GateDefender-Appliance erhalten sollen: LDAP-Benutzerbasis-DN, LDAP-Gruppenbasis-DN. Bei der Verwendung eines generischen LDAP-Servertyps müssen zusätzliche Parameter konfiguriert werden: LDAP-Benutzersuchfilter, Eindeutiges LDAP-Benutzer-ID-Attribut, Eindeutiges LDAP-Gruppen-ID-Attribut, LDAP-Gruppenmitgliedsattribut, LDAP-Gruppensuchfilter.
Auf ausgewählte Gruppen einschränken – Mit dieser Option können Sie auswählen, welche Gruppen sich auf dem LDAP-Server mit dem OpenVPN-Server der Panda GateDefender-Appliance verbinden können.
Lokal
Wählen Sie diese Option, wenn Sie Benutzer lokal erstellen und verwalten möchten. Die folgenden Optionen sind verfügbar:
Auf ausgewählte Gruppen einschränken – Mit dieser Option können Sie auswählen, welche Gruppen sich auf dem LDAP-Server mit dem OpenVPN-Server der Panda GateDefender-Appliance verbinden können.
Einmalkennwort
Durch Auswahl dieser Option wird die zweistufige Authentifizierung aktiviert. Wie beim Servertyp Daten aufteilen (Benutzerinformationen und Kennwort) funktioniert dies als ein Proxy für zwei verschiedene Anbieter. Zusätzlich wird die zweistufige Authentifizierung durch zeitbasierte Einmalkennwörter hinzugefügt. Durch die Auswahl dieses Typs können Sie die Quellen für die Benutzerinformations- und Kennwortanbieter ausgewählt werden. Die zu konfigurierenden Felder sind:
Sie können sie in den folgenden Feldern konfigurieren:
Benutzerinformationsanbieter – Mit dieser Option können Sie festlegen, von wo die benutzerspezifischen Informationen bezogen werden sollen.
Kennwortanbieter – Mit dieser Option können Sie aus einer Liste von konfigurierten Authentifizierungsservern auswählen. Der ausgewählte Server wird daraufhin zur Authentifizierung der Benutzer verwendet.
RADIUS
Wählen Sie diese Option, wenn Sie einen RADIUS-Server konfigurieren möchten. Beachten Sie, dass RADIUS-Server nur als Kennwortanbieter für Authentifizierungsservern mit Einmalkennwort und Daten aufteilen verwendet werden können. Zur Verwendung eines RADIUS-Servers müssen folgende Informationen definiert werden:
RADIUS-Server – Die Adresse des RADIUS-Servers.
Gemeinsamer RADIUS-Schlüssel – Der gemeinsame Schlüssel zwischen dem RADIUS-Server und der Panda GateDefender Appliance.
RADIUS-Authentifizierungsport – Der TCP-Port für die RADIUS-Authentifizierung.
RADIUS-Kontoführungsport – Der TCP-Port für die Kontoführung.
RADIUS-Kennung – Die RADIUS-Kennung oder NAS-ID der Panda GateDefender Appliance.
Daten aufteilen (Benutzerinformationen und Kennwort)
Wie beim Servertyp Einmalkennwort funktioniert dies als Proxy für zwei unterschiedliche Anbieter, die zweistufige Authentifizierung wird jedoch nicht hinzugefügt. Durch die Auswahl dieses Typs können Sie die Quellen für die Benutzerinformations- und Kennwortanbieter ausgewählt werden. Die zu konfigurierenden Felder sind:
Benutzerinformationsanbieter – Mit dieser Option können Sie festlegen, von wo die benutzerspezifischen Informationen bezogen werden sollen.
Kennwortanbieter – Mit dieser Option können Sie aus einer Liste von konfigurierten Authentifizierungsservern auswählen. Der ausgewählte Server wird daraufhin zur Authentifizierung der Benutzer verwendet.