|
Datenquelle für Benutzerprüfung bearbeiten |
Scrollen Zurück Oberste Ebene Weiter Mehr |
Mithilfe des Dialogs Datenquellen für Benutzerprüfung bearbeiten können Sie bestehende Datenquellen für Benutzerprüfung bearbeiten und neue Datenquellen erstellen. Sie erreichen diesen Dialog, indem Sie auf der Seite Datenquellen für Benutzerprüfung auf Neu klicken, oder indem Sie einen Eintrag auswählen und Bearbeiten anklicken. In diesem Dialog bestimmen Sie den Typ der Datenquelle, ihren Standort, den Port, über den eine Verbindung zur Datenquelle hergestellt wird, die Anmeldedaten, falls solche benötigt werden, und die Domänen für die SecurityGateway diese Datenquelle nutzen soll.
Eigenschaften
Typ:
In diesem Auswahlfeld geben Sie an, welche Art der Benutzerprüfung die Datenquelle durchführt: SMTP-Prüfung (vorwärtsgerichtet), Active Directory/Exchange, MDaemon (Minger), LDAP oder Office 365. Die Optionen Beschreibung, Hostname oder IP und Port, die weiter unten beschrieben werden, betreffen alle vier Typen der Datenquellen für Benutzerprüfung gleichermaßen. Die anderen Optionen ändern sich in Abhängigkeit von dem ausgewählten Typ der Datenquelle. Allen Typen der Datenquellen ist gemeinsam, dass SecurityGateway nach erfolgreicher Prüfung eines noch unbekannten lokalen Benutzers ein Benutzerkonto anlegt, und dass dem Benutzer eine Begrüßungsnachricht übermittelt werden kann, die auch eine Verknüpfung für die Anmeldung an SecurityGateway enthält. Der Benutzer kann sich dann mithilfe seiner E-Mail-Adresse und seines Kennworts bei SecurityGateway anmelden und sein Nachrichten-Protokoll, seinen Quarantäne-Ordner und anderes einsehen. Da eine dynamische Echtheitsbestätigung über LDAP nicht möglich ist, muss den Benutzern bei Nutzung einer Datenquelle dieses Typs ein Kennwort für SecurityGateway zugewiesen werden, bevor sie sich an SecurityGateway anmelden können.
|
Alle Datenquellen außer LDAP unterstützen die dynamische Echtheitsbestätigung. Versuchen Benutzer, die Echtheitsbestätigung durchzuführen oder sich an SecurityGateway anzumelden, werden ihre Anmeldedaten zunächst lokal durch SecurityGateway geprüft; falls SecurityGateway keine Übereinstimmung feststellt, werden die Anmeldedaten zur Echtheitsbestätigung an die Datenquellen weitergeleitet. Die Benutzer können somit die Echtheitsbestätigung durchführen und sich an SecurityGateway anmelden, ohne dass sie sich gesonderte Anmeldedaten nur für SecurityGateway merken müssen. AUTH-Kennwörter können nicht dynamisch geprüft werden, falls das Verfahren CRAM-MD5 zur Echtheitsbestätigung eingesetzt wird. |
Beschreibung:
Tragen Sie in dieses Feld eine Beschreibung der Datenquelle ein (z.B. "Server X bei example.com"). Der Inhalt dieses Feldes entspricht der Spalte Beschreibung auf der Seite Datenquellen für Benutzerprüfung.
Hostname oder IP:
Tragen Sie in dieses Feld den Hostnamen oder die IP-Adresse der Datenquelle ein. SecurityGateway stellt die Verbindung zu dieser Datenquelle mithilfe der hier angegebenen Daten her. Die Option entspricht der Spalte Host auf der Seite Datenquellen für Benutzerprüfung.
Port:
SecurityGateway stellt die Verbindung zur Datenquelle über diesen Port her; die Option entspricht der Spalte Port auf der Seite Datenquellen für Benutzerprüfung.
SMTP-Prüfung (vorwärtsgerichtet)
Falls Sie unbekannte lokale Empfänger eingehender Nachrichten und unbekannte Absender abgehender Nachrichten über SMTP prüfen wollen, wählen Sie diesen Typ aus. SecurityGateway versucht dann, ähnlich wie bei der Prüfung durch Rückruf, den Benutzer über das SMTP-Protokoll zu prüfen. Versuchen unbekannte lokale Absender die Echtheitsbestätigung, so gibt SecurityGateway die Anmeldedaten des Benutzers an die SMTP-Datenquelle zur Echtheitsbestätigung weiter. Ist die Echtheitsbestätigung erfolgreich, so wird die Nachricht durch SecurityGateway zur Zustellung angenommen, und für den Benutzer wird ein Benutzerkonto erstellt. Besteht ein Benutzerkonto bereits, so prüft SecurityGateway die Anmeldedaten zunächst anhand der lokalen Benutzerdatenbank. Ergibt diese Prüfung keine Übereinstimmung, so wird die SMTP-Datenquelle abgefragt.
Erfordert Echtheitsbestätigung
Falls für den Zugang zur SMTP-Datenquelle eine Echtheitsbestätigung erforderlich ist, aktivieren Sie dieses Kontrollkästchen, und geben Sie Benutzernamen und Kennwort in die folgenden Felder ein.
Benutzername:
Falls für den Zugang zur SMTP-Datenquelle eine Echtheitsbestätigung erforderlich ist, geben Sie den Benutzernamen hier ein.
Kennwort:
Geben Sie hier das Kennwort für die SMTP-Datenquelle ein.
Falls Sie unbekannte lokale Benutzer anhand eines Active Directorys oder eines Exchange-Servers prüfen wollen, wählen Sie dieses Typ aus. Dieser Typ unterstützt, ebenso wie die oben beschriebene SMTP-Prüfung, die dynamische Echtheitsbestätigung. Versuchen unbekannte lokale Absender die Echtheitsbestätigung, so gibt SecurityGateway die Anmeldedaten des Benutzers an das Active Directory oder den Exchange-Server zur Echtheitsbestätigung weiter. Ist die Echtheitsbestätigung erfolgreich, so wird die Nachricht durch SecurityGateway zur Zustellung angenommen, und für den Benutzer wird ein Benutzerkonto erstellt. Besteht ein Benutzerkonto bereits, so prüft SecurityGateway die Anmeldedaten zunächst anhand der lokalen Benutzerdatenbank. Ergibt diese Prüfung keine Übereinstimmung, so werden das Active Directory oder der Exchange-Server abgefragt.
Benutzername:
In dieses Feld muss der Benutzername eingetragen werden, der für den Zugang zum Active Directory oder Exchange-Server erforderlich ist.
Kennwort:
In dieses Feld muss das Kennwort eingetragen werden, das zu dem eben angegebenen Benutzernamen gehört.
Suchfilter:
Bei der Abfrage des Active Directorys oder Exchange-Servers wird der hier angegebene Suchfilter genutzt. Der voreingestellte Suchfilter sollte in den meisten Fällen ausreichen.
Suchumfang:
Diese Option bestimmt den Umfang und den Bereich der Suche im Active Directory.
nur Base-DN
Um die Suche auf den Base-DN zu beschränken, wählen Sie diese Option. Die Suche erstreckt sich dann nicht auf dieser Ebene untergeordnete Ebenen im Verzeichnisbaum (Directory Information Tree, kurz DIT).
1 Ebene unter Base-DN
Um die Suche im Active Directory auf eine Ebene im DIT unterhalb des Base-DN zu erstrecken, wählen Sie diese Option.
Base-DN und alle untergeordneten Einträge
Diese Option erstreckt die Suche vom Base-DN auf alle untergeordneten Child-Einträge bis zur untersten Ebene des DIT. Diese Option ist per Voreinstellung aktiv.
Falls Sie einen MDaemon-Server mit Minger als Datenquelle für die Benutzerprüfung einsetzen wollen, wählen Sie diese Option aus. Es kommt eine erweiterte Version des Minger-Protokolls zum Einsatz, das nur MDaemon-Servern zur Verfügung steht; diese Option kann daher nicht mit anderen Server-Typen verwendet werden. Wie auch die beiden schon beschriebenen Verfahren, unterstützt auch dieses Verfahren die dynamische Echtheitsbestätigung. Ihre Benutzer können daher mithilfe ihrer Anmeldedaten für den Mailserver die Echtheitsbestätigung durchführen und sich an Ihren SecurityGateway-Benutzerkonten anmelden.
Erfordert Echtheitsbestätigung
Aktivieren Sie dieses Kontrollkästchen, falls der MDaemon-Server für die Nutzung von Minger eine Echtheitsbestätigung verlangt.
Kennwort:
Geben Sie hier das Minger-Kennwort für den verwendeten MDaemon-Server ein.
Falls Sie das XML-API von MDaemon als Datenquelle für die Benutzerprüfung einsetzen wollen, wählen Sie diese Option aus. Das XML-API von MDaemon ist eine bessere Alternative gegenüber Minger, da es die Überprüfung und Echtheitsbestätigung auch für solche Benutzerkonten durchführen kann, für die MDaemon das Kennwort nicht mit umkehrbarer Verschlüsselung gespeichert ist. Es kann außerdem alle Aliase für ein Benutzerkonto in einem einzigen Aufruf zurückmelden. Beachte: Für diese Option ist MDaemon ab Version 23.0.2 erforderlich.
URL für MDaemon-XML-API:
In MDaemon lautet die Voreinstellung für den URL zum XML-API "http://servername:RemoteAdminPort/MdMgmtWS/". Es wird jedoch dringend empfohlen, die HTTPS-Optionen in MDaemon zu konfigurieren und über HTTPS verschlüsselte Verbindungen zu nutzen (d.h. "https://servername:RemoteAdminPort/MdMgmtWS/") zu verwenden.
Dienstkonto für MDaemon-XML-API erstellen
Bei der Konfiguration dieser Datenquelle für die Benutzerprüfung in SecurityGateway wird ein "Dienstkonto für MDaemon-XML-API" erstellt. Das XML-API von MDaemon unterstützt Dienstkonten mit eingeschränkten Berechtigungen. Wird eine Datenquelle für die Benutzerprüfung für die Nutzung des XML-API von MDaemon konfiguriert, so erstellt SecurityGateway über einen entsprechenden Aufruf an das XML-API von MDaemon ein Dienstkonto, das nur die Berechtigung zum Ausführen des Vorgangs "XMINGER" hat. Dieser Vorgang ist zur Überprüfung und Echtheitsbestätigung von Benutzerkonten erforderlich. Für die Erstellung dieses Dienstkontos sind die Anmeldedaten eines globalen Administrators in MDaemon erforderlich. SecurityGateway speichert die Anmeldedaten dieses globalen Administrators in MDaemon nicht, nachdem das Dienstkonto erstellt wurde. MDaemon meldet die Anmeldedaten für das Dienstkonto zurück, und diese Anmeldedaten werden für die Datenquelle für Benutzerprüfung verwendet.
Falls Sie einen LDAP-Server als Datenquelle für die Benutzerprüfung einsetzen wollen, wählen Sie diese Option aus. Anders, als die anderen Prüfverfahren, unterstützt LDAP die Echtheitsbestätigung der Anmeldedaten des Benutzers nicht. Die dynamische Echtheitsbestätigung wird daher bei diesem Verfahren nicht unterstützt. Falls auf Ihrem System die Benutzer eine Echtheitsbestätigung durchführen müssen, können sie sich nur dann bei SecurityGateway anmelden und Nachrichten über SecurityGateway verwenden, wenn sie das Kennwort verwenden, das dem Benutzerkonto in SecurityGateway selbst zugeordnet ist.
Bind-DN:
Geben Sie hier den Distinguished Name (DN), der Zugang zum LDAP-Server hat. SecurityGateway nutzt diesen Namen im Rahmen der LDAP-Abfrage. Der DN wird im Rahmen des Bind-Vorgangs zur Echtheitsbestätigung verwendet.
Kennwort:
Dieses Kennwort wird zusammen mit dem Bind-DN zur Echtheitsbestätigung an den LDAP-Server übermittelt.
Base-DN:
Hier wird der Wurzel-DN eingetragen. Er dient als Ausgangspunkt im Verzeichnisbaum (Directory Information Tree, kurz DIT), von dem aus SecurityGateway das Active Directory nach Benutzern durchsucht.
Suchfilter:
Bei der Abfrage des LDAP-Servers wird der hier angegebene Suchfilter genutzt. Der voreingestellte Suchfilter sollte in den meisten Fällen ausreichen.
Suchumfang:
Diese Option bestimmt den Umfang und den Bereich der LDAP-Suche.
nur Base-DN
Um die Suche auf den oben angegebenen Base-DN zu beschränken, wählen Sie diese Option. Die Suche erstreckt sich dann nicht auf dieser Ebene untergeordnete Ebenen im Verzeichnisbaum (Directory Information Tree, kurz DIT).
1 Ebene unter Base-DN
Um die Suche auf eine Ebene im DIT unterhalb des Base-DN zu erstrecken, wählen Sie diese Option.
Base-DN und alle untergeordneten Einträge
Diese Option erstreckt die Suche vom Base-DN auf alle untergeordneten Child-Einträge bis zur untersten Ebene des DIT. Diese Option ist per Voreinstellung aktiv.
Um Office 365 als Datenquelle für die Benutzerprüfung zu verwenden, aktivieren Sie diese Option, und richten Sie die Datenquelle nach der folgenden Anleitung ein.
|
SecurityGateway kann nur dann auf den Office-365-Mandanten zugreifen, wenn für das Abonnement des Mandanten der Plan Exchange Online aktiv ist. Bitte stellen Sie sicher, dass dieser Plan in Ihrem Office-365-Mandanten enthalten ist, wenn Sie diese Datenquelle für Benutzerprüfung einsetzen wollen. |
Um Office 365 als Datenquelle für Benutzerprüfung verwenden zu können, benötigt SecurityGateway einen Dienstprinzipal mit Berechtigung zum Zugriff auf den Office-365-Mandanten. Office 365 setzt das Azure Active Directory als Verzeichnisdienst ein. Führen Sie die nachfolgend beschriebenen Schritte aus, um Office 365 als Datenquelle für Benutzerprüfung in SecurityGateway zu konfigurieren.
Im Azure Active Directory:
1.Rufen Sie im Abschnitt Azure Active Directory die Seite App-Registrierungen auf.
2.Klicken Sie auf Neue Registrierung.
3.Tragen Sie im Feld Name den Namen der App ein.
4.Klicken Sie auf Registrieren.
5.Notieren Sie sich die Anwendungs-ID.
6.Klicken Sie auf API-Berechtigungen.
7.Klicken Sie auf + Eine Berechtigung hinzufügen.
8.Wählen Sie Microsoft Graph.
9.Klicken Sie auf Anwendungs-Berechtigungen.
10.Wählen Sie Group.Read.All und User.Read.All
11.Klicken Sie auf Berechtigungen hinzufügen.
12.Klicken Sie auf Administratoreinwilligung erteilen für...
13.Klicken Sie auf Ja.
14.Klicken Sie auf Zertifikate & Geheimnisse.
15.Klicken Sie auf + Neues Anwendungsgeheimnis.
16.Tragen Sie eine Beschreibung in das Feld Beschreibung ein.
17.Wählen Sie aus, wie lange das Kennwort gültig sein soll.
18.Notieren Sie sich das erzeugte Kennwort.
In SecurityGateway:
1.Melden Sie sich als globaler Administrator an SecurityGateway an.
2.Klicken Sie auf Einstellungen / Benutzer.
3.Klicken Sie auf Select Benutzerkonten.
4.Klicken Sie auf Datenquellen für Benutzerprüfung.
5.Klicken Sie auf Neu.
6.Wählen Sie Office 365 aus.
7.Tragen Sie eine Beschreibung ein.
8.Tragen Sie den Domänennamen von Office 365 in das Feld Domänename ein.
9.Wählen Sie den Typ aus.
Die hier zutreffende Option wird in den meisten Fällen "Global" sein.
10.Tragen Sie die Anwendungs-ID aus dem Azure Active Directory in das Feld Dienstprinzipal ein.
Sie finden die Anwendungs-ID in der Übersichtsseite für die App-Registrierungen im Azure Active Directory.
11.Tragen Sie das im Azure Active Directory erstellte Kennwort in das Feld Kennwort ein.
Typ
Dieser Server ist eine Standard-Datenquelle für die Benutzerprüfung
Falls Sie diese Datenquelle als eine der Standard-Datenquellen für die Benutzerprüfung festlegen wollen, aktivieren Sie dieses Kontrollkästchen. Die Standard-Datenquellen werden für alle SecurityGateway-Domänen verwendet, denen nicht bestimmte Datenquellen zur Nutzung zugeordnet sind. Sie kommen auch für die Funktion Automatisches Anlegen von Domänen zum Einsatz.
Geben Sie im Folgenden an, welche Domänen diese Datenquelle für die Benutzerprüfung nutzen sollen...
Mithilfe der folgenden Optionen können Sie diese Datenquelle einer SecurityGateway-Domäne oder mehreren SecurityGateway-Domänen zuordnen. Sind einer Domäne mehrere Datenquellen zugeordnet, so können Sie die Reihenfolge, in der diese abgefragt werden, auf der Registerkarte Prüfung in Dialog Eigenschaften der Domäne festlegen.
Verfügbare Domänen:
In diesem Abschnitt sind alle in SecurityGateway angelegten Domänen aufgeführt. Um die Domänen festzulegen, denen diese Datenquelle zugeordnet werden soll, wählen Sie die Domänen aus der Liste aus, und klicken Sie auf den Pfeil "--->".
Ausgewählte Domänen:
In diesem Abschnitt sind alle in SecurityGateway angelegten Domänen aufgeführt, denen diese Datenquelle zugeordnet ist. Um eine Domäne aus dieser Liste zu entfernen, wählen Sie die Domäne aus der Liste aus, und klicken Sie auf den Pfeil "<---".
