9 Den Zugriff auf die Web-Oberfläche verwalten

Bemerkung

Dieses Kapitel dokumentiert alle möglichen Menüoptionen.

Allerdings unterstützen nicht alle Appliance-Modelle alle Menüoptionen. Die Modellübersicht gibt Auskunft darüber, ob ein bestimmtes Feature auf dem verwendeten Appliance-Modell verfügbar ist.

9.1 Benutzer

Die Greenbone Enterprise Appliance ermöglicht die Erstellung und Verwaltung mehrerer Benutzer mit unterschiedlichen Rollen und Berechtigungen. Bei der Ersteinrichtung der Appliance wird der erste Benutzer – der Web-/Scanadministrator – im GOS-Administrationsmenü erstellt. Mit diesem Benutzer können weitere Benutzer erstellt und verwaltet werden.

Rollen

Die Benutzerverwaltung der Appliance unterstützt ein rollenbasiertes Konzept für Berechtigungen für den Zugriff auf die Web-Oberfläche. Die Rolle bestimmt, welche Optionen der Web-Oberfläche dem Benutzer angezeigt werden und vom Benutzer verwendet werden können. Lese- und Schreibzugriff können Rollen separat zugewiesen werden.

Verschiedene Rollen sind bereits standardmäßig eingerichtet. Weitere Rollen können von einem Administrator erstellt und verwendet werden.

Die Durchsetzung der Rolle wird nicht in der Web-Oberfläche implementiert, sondern im zugrunde liegenden Greenbone Management Protocol (GMP) und betrifft somit alle GMP-Clients.

Gruppen

Benutzer können in Gruppen organisiert werden. Dies dient hauptsächlich der logischen Gruppierung.

• Gruppen und Rollen können verwendet werden, um Berechtigungen gleichzeitig mehreren Benutzern zuzuweisen.

• Jedem Benutzer wird ein IP-Adressbereich zugewiesen, der die erlaubten oder verweigerten Ziele enthält. Die Appliance verweigert das Scannen aller anderen IP-Adressen als der angegebenen. Ebenso kann der Zugriff auf bestimmte Schnittstellen der Appliance erlaubt oder verweigert werden.

• Die Benutzerverwaltung erfolgt vollständig über die Appliance. Externe Quellen für die Benutzerverwaltung werden nicht unterstützt. Dennoch kann die Appliance in einen zentralen LDAPS- oder RADIUS-Server integriert werden, um eine zentrale Authentifizierung zu unterstützen und eine Passwortsynchronisierung zu ermöglichen (siehe Kapitel 9.5). Der Server wird nur zur Überprüfung des Passworts während des Anmeldevorgangs verwendet, alle anderen Einstellungen werden in der Benutzerverwaltung der Appliance vorgenommen.

9.1.1 Einen Benutzer erstellen

Bemerkung

Nur Administratoren dürfen zusätzliche Benutzer erstellen und verwalten.

Ein Benutzer kann wie folgt erstellt werden:

1. Als Administrator einloggen.

2. Administration > Benutzer in der Menüleiste wählen.

3. In der linken oberen Ecke auf klicken.

4. Die Eingabefelder ausfüllen (siehe Abb. 9.1):

   

   Abb. 9.1 Erstellen eines neuen Benutzers

   Loginname

   Name, der für den Login verwendet wird. Für den Loginnamen sind nur die folgenden Zeichen zulässig:

   • Alle alphanumerischen Zeichen

   • - (Bindestrich)

   • _ (Unterstrich)

   • . (Punkt)

   Dieses Eingabefeld ist erforderlich.

   Bemerkung

   Bei Verwendung einer zentralen Benutzerverwaltung (siehe Kapitel 9.5) können je nach LDAP- oder RADIUS-Server Einschränkungen hinsichtlich der Länge und der Zeichentypen gelten. Außerdem muss der Benutzer mit genau demselben Namen (rDN) erstellt werden, den der Server verwendet.

   Authentifizierung

   Methode, die für den Login genutzt wird.

   • Passwort

     Wenn diese Option ausgewählt ist, erfolgt die Authentifizierung lokal unter Verwendung des Loginnamens und des Passworts.

     • Das Passwort kann jede Art von Zeichen enthalten und hat praktisch keine Längenbegrenzung.

     • Wenn Sonderzeichen verwendet werden, ist zu beachten, dass diese auf allen verwendeten Tastaturen verfügbar sein und von allen Client-Softwareprogrammen und Betriebssystemen korrekt unterstützt werden müssen. Das Kopieren und Einfügen von Sonderzeichen für Passwörter kann je nach diesen externen Faktoren zu ungültigen Passwörtern führen.

     Falls der Radiobutton Passwort gewählt ist, ist dieses Eingabefeld erforderlich.

   • Nur LDAP-Authentifizierung

     Wenn diese Option ausgewählt ist, erfolgt die Authentifizierung über eine zentrale Benutzerverwaltung (siehe Kapitel 9.5).

   • Nur RADIUS-Authentifizierung

     Wenn diese Option ausgewählt ist, erfolgt die Authentifizierung über eine zentrale Benutzerverwaltung (siehe Kapitel 9.5).

   Rollen

   Die Rolle definiert die Berechtigungen eines Benutzers. Jeder Benutzer kann mehrere Rollen haben.

   Bemerkung

   Wenn keine Rolle ausgewählt wird, hat der Benutzer keine Berechtigungen und kann sich daher nicht auf der Web-Oberfläche anmelden.

   Die Rollen Admin, User, Info, Observer, Guest und Monitor sind verfügbar. Zusätzlich ist es möglich, benutzerdefinierte Rollen hinzuzufügen und zu konfigurieren (siehe Kapitel 9.2.2).

   Wenn ein Benutzer mit einer benutzerdefinierten Rolle die Web-Oberfläche verwenden können soll, sind für diese Rolle mindestens die folgenden Berechtigungen erforderlich:

   • authenticate

   • get_settings

   • help

   Für weitere Details siehe Kapitel 9.2.

   Gruppen

   Jeder Benutzer kann Mitglied mehrerer Gruppen sein. Berechtigungen können mithilfe von Gruppen verwaltet werden (siehe Kapitel 9.4).

   Host-Zugriff

   Hosts, auf denen der Benutzer Scans ausführen darf. Die Einschränkungen gelten auch für Administratoren, aber diese können sie selbst aufheben. Benutzer mit der Rolle User oder einer Rolle ohne Zugriff auf die Benutzerverwaltung können die Einschränkungen nicht umgehen. Grundsätzlich ist entweder eine Denylist (alle erlauben und einige verbieten) oder eine Allowlist (alle verbieten und einige erlauben) möglich.

   • Erlaube alle und verweigere

     Das Scannen aller Systeme wird grundsätzlich erlaubt. Nur explizit gelistete Systeme dürfen nicht gescannt werden.

   • Verweigere alle und erlaube

     Das Scannen aller Systeme wird grundsätzlich verweigert. Nur explizit gelistete Systeme dürfen gescannt werden.

   Tipp

   Allgemein wird die Allowlist-Methode empfohlen. Dies stellt sicher, dass Benutzer keine Systeme scannen, die außerhalb ihrer Verantwortung liegen, irgendwo im Internet lokalisiert sind oder versehentlich auf defekte Scans reagieren.

   Sowohl Systemnamen als auch IPv4-/IPv6-Adressen (einzelne IP-Adressen, IP-Adressenbereiche oder Netzwerksegmente) können eingegeben werden. Die folgende Liste zeigt einige Beispiele:

   • 192.168.15.5 (IPv4-Adresse)

   • 192.168.15.5-192.168.15.27 (IPv4-Adressbereich, lange Form)

   • 192.168.15.5-27 (IPv4-Adressbereich, kurze Form)

   • 192.168.15.128/25 (IPv4-Adressbereich, CIDR-Notation)

   • 2001:db8::1 (IPv6-Adresse)

   • 2001:db8::1-2001:db8::15 (IPv6-Adressbereich, lange Form)

   • 2001:db8::1-15 (IPv6-Adressbereich, kurze Form)

   • 2001:db8::/120 (IPv4-Adressbereich, CIDR-Notation)

   Alle Optionen können gemischt und angepasst und als kommagetrennte Liste eingegeben werden. Standardmäßig ist die Subnetzmaske in der CIDR-Schreibweise auf ein Maximum von 20 für IPv4 und 116 für IPv6 beschränkt. Der Grund dafür ist, dass die maximale Anzahl von IP-Adressen pro Ziel bei den meisten Appliances 4096 beträgt. Ist die maximale Anzahl der IP-Adressen höher, z. B. bei der Greenbone Enterprise 6500, können entsprechend größere Subnetzmasken konfiguriert werden.

5. Auf Speichern klicken.

   → Der Benutzer wird erstellt und auf der Seite Benutzer angezeigt.

9.1.2 Benutzer verwalten

Listenseite

Alle vorhandenen Benutzer können angezeigt werden, indem als Administrator Administration > Benutzer in der Menüleiste gewählt wird.

Für alle Benutzer werden die folgenden Informationen angezeigt:

Name

Name, der dem Benutzer bei der Erstellung des Accounts zugewiesen wurde.

Globale Benutzer sind Benutzer, die im GOS-Administrationsmenü erstellt werden (siehe Kapitel 7.2.1). Sie sind mit markiert.

Rollen

Rolle des Benutzers (siehe Kapitel 9.2).

Gruppen

Gruppen, zu denen der Benutzer gehört (siehe Kapitel 9.3).

Host-Zugriff

Hosts, auf denen der Benutzer Scans durchführen darf.

Authentifizierungstyp

Methode, die für den Login genutzt wird.

• Lokal: Authentifizierung erfolgt lokal mit dem Loginnamen und dem Passwort.

• RADIUS: Authentifizierung erfolgt über eine zentrale Benutzerverwaltung (siehe Kapitel 9.5).

• LDAP: Authentifizierung erfolgt über eine zentrale Benutzerverwaltung (siehe Kapitel 9.5).

Für alle Benutzer sind die folgenden Aktionen verfügbar:

• Den Benutzer löschen. Nur Benutzer, die aktuell nicht eingeloggt sind und die nicht Super-Administrator sind, können gelöscht werden.

• Den Benutzer bearbeiten.

• Den Benutzer klonen.

• Den Benutzer als XML-Datei exportieren.

Bemerkung

Durch Klicken auf oder unterhalb der Liste von Benutzern können mehrere Benutzer zur gleichen Zeit gelöscht oder exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche Benutzer gelöscht oder exportiert werden.

Detailseite

Durch Klicken auf den Namen eines Benutzers werden Details des Benutzers angezeigt. Durch Klicken auf wird die Detailseite des Benutzers geöffnet (siehe Abb. 9.2).

Die folgenden Register sind verfügbar:

Informationen

Allgemeine Informationen über den Benutzer.

Benutzer-Tags

Zugewiesene Tags (siehe Kapitel 8.4).

Berechtigungen

Berechtigungen des Benutzers oder anderer Benutzer/Rollen/Gruppen für Objekte des Benutzers (siehe Kapitel 9.4).

Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:

• Das entsprechende Kapitel im Anwenderhandbuch öffnen.

• Die Listenseite mit allen Benutzern anzeigen.

• Einen neuen Benutzer erstellen (siehe Kapitel 9.1.1).

• Den Benutzer klonen.

• Den Benutzer bearbeiten.

• Den Benutzer löschen. Nur Benutzer, die aktuell nicht eingeloggt sind und die nicht Super-Administrator sind, können gelöscht werden.

• Den Benutzer als XML-Datei exportieren.

Abb. 9.2 Details eines Benutzers

9.1.3 Zeitgleicher Login

Es können zwei Benutzer gleichzeitig eingeloggt sein.

Wenn sich derselbe Benutzer mehrmals gleichzeitig einloggen möchte, muss der Login von einem anderen PC oder mit einem anderen Browser durchgeführt werden. Ein erneuter Login im selben Browser macht den ersten Login ungültig.

9.1.4 Einen Gastlogin erstellen

Der Gast-Benutzer hat nur eingeschränkten Zugriff auf die Web-Oberfläche.

Um einem Gast den Zugriff zu ermöglichen, kann ein Benutzer mit der Rolle Guest erstellt werden (siehe Kapitel 9.1.1). Da der Gastbenutzer das Passwort kennt, kann er sich nun anmelden und sieht die Seite Dashboards.

Um einem Gast den Login ohne Passwort zu ermöglichen, muss diese Funktion im GOS-Administrationsmenü aktiviert sein (siehe Kapitel 7.2.1.4).

9.2 Rollen

Die Web-Oberfläche unterstützt das Erstellen und Konfigurieren eigener Benutzerrollen.

Die folgenden Rollen sind standardmäßig verfügbar:

• Admin

  Diese Rolle hat standardmäßig alle Berechtigungen. Sie ist insbesondere berechtigt, andere Benutzer, Rollen und Gruppen zu erstellen und zu verwalten.

• Benutzer

  Diese Rolle hat standardmäßig alle Berechtigungen, abgesehen von der Benutzer-, Rollen und Gruppenverwaltung. Diese Rolle kann den Feed nicht synchronisieren und verwalten. Auf der Web-Oberfläche besteht kein Zugang zur Seite Administration.

• Info

  Diese Rolle (Information Browser) hat nur Lesezugriff auf VTs und SCAP-Informationen. Alle anderen Informationen sind nicht zugänglich. Die Rolle kann die eigenen Einstellungen ändern, z. B. das Passwort ändern.

• Guest

  Diese Rolle ist mit der Rolle Info identisch, kann aber die eigenen Einstellungen nicht ändern.

• Monitor

  Diese Rolle hat Zugriff auf die Systemberichte der Appliance (siehe Kapitel 17.1).

• Observer

  Diese Rolle hat Lesezugriff auf das System, aber kann keine Scans starten oder erstellen. Sie hat nur Lesezugriff auf Scans, für die sie zugelassen wurde.

• Super Admin

  Diese Rolle hat Zugriff auf alle Objekte aller Benutzer. Es besteht keine Verbindung zum super user (su/root) im GOS-Administrationsmenü. Diese Rolle kann nicht über die Web-Oberfläche konfiguriert werden und Benutzer mit dieser Rolle können nicht über die Web-Oberfläche gelöscht werden. Benutzer mit dieser Rolle sollten über das GOS-Administrationsmenü verwaltet werden (siehe Kapitel 9.2.5).

Bemerkung

Nur Administratoren sind berechtigt, zusätzliche Rollen zu erstellen und zu verwalten.

Bemerkung

Das Verändern der voreingestellten Rollen ist nicht möglich. Allerdings kann eine Rolle kopiert (geklont) und anschließend die Kopie bearbeitet werden.

Dies stellt ein gleichbleibendes Verhalten nach einem Softwareupgrade sicher.

9.2.1 Eine vorhandene Rolle klonen

Wenn eine vorhandene Rolle genau die benötigten Anforderungen erfüllt, kann eine Rolle erstellt werden, indem eine vorhandene Rolle geklont wird:

1. Als Administrator einloggen.

2. Administration > Rollen in der Menüleiste wählen.

3. In der Zeile einer vorhandenen Rolle auf klicken.

4. In der Zeile des Klons auf klicken.

5. Namen der Rolle in das Eingabefeld Name eingeben (siehe Abb. 9.3).

6. Benutzer, die die Rolle haben sollen, in der Drop-down-Liste Benutzer wählen.

7. Berechtigung durch Wählen der Berechtigung in der Drop-down-Liste Name und Klicken auf Berechtigung erstellen hinzufügen.

8. Super-Berechtigung durch Wählen der entsprechenden Gruppe in der Drop-down-Liste Gruppe und Klicken auf Berechtigung erstellen hinzufügen.

   Berechtigung durch Klicken auf in der Liste Generelle Berechtigungen für Befehle löschen.

   

   Abb. 9.3 Bearbeiten einer geklonten Rolle

9. Auf Speichern klicken.

9.2.2 Eine Rolle erstellen

Wenn eine Rolle mit eingeschränkter Funktionalität erstellt werden soll, kann mit einer neuen, leeren Rolle begonnen werden:

1. Als Administrator einloggen.

2. Administration > Rollen in der Menüleiste wählen.

3. Neue Rolle durch Klicken auf erstellen.

4. Rolle definieren.

   Die folgenden Details der Rolle können festgelegt werden:

   Name

   Der Name der Rolle kann Buchstaben und Zahlen enthalten und darf maximal 80 Zeichen lang sein.

   Kommentar (optional)

   Ein Kommentar beschreibt die Rolle genauer.

   Benutzer

   Die Benutzer mit dieser Rolle können in der Drop-down-Liste Benutzer gewählt werden. Alternativ können die Rollen im Benutzerprofil verwaltet werden (siehe Kapitel 9.1.1).

5. Auf Speichern klicken.

   → Die Rolle wird erstellt und auf der Seite Rollen angezeigt.

6. In der Zeile der neu erstellen Rolle auf klicken.

7. Berechtigung durch Wählen der Berechtigung in der Drop-down-Liste Name und Klicken auf Berechtigung erstellen hinzufügen.

   Bemerkung

   Wenn Benutzer mit der Rolle in der Lage sein sollen, die Web-Oberfläche zu benutzen, sind mindestens die folgenden Berechtigungen erforderlich:

   • authenticate

   • get_settings

   • help

   Die Berechtigung write_settings erlaubt es Benutzern, ihr eigenes Passwort, ihre Zeitzone und andere persönliche Einstellungen zu ändern.

8. Super-Berechtigung durch Wählen der entsprechenden Gruppe in der Drop-down-Liste Gruppe und Klicken auf Berechtigung erstellen hinzufügen.

   Berechtigung durch Klicken auf in der Liste Generelle Berechtigungen für Befehle löschen.

9. Auf Speichern klicken.

9.2.3 Rollen verwalten

Listenseite

Alle vorhandenen Rollen können angezeigt werden, indem Administration > Rollen in der Menüleiste gewählt wird.

Für alle Rollen werden die folgenden Informationen angezeigt:

Name

Name der Rolle. Alle Standardrollen sind globale Rollen und mit markiert.

Für alle Rollen sind die folgenden Aktionen verfügbar:

• Die Rolle in den Papierkorb verschieben. Nur selbst erstellte Rollen können in den Papierkorb verschoben werden.

• Die Rolle bearbeiten. Nur selbst erstellte Rollen können bearbeitet werden.

• Die Rolle klonen.

• Die Rolle als XML-Datei exportieren.

Bemerkung

Durch Klicken auf oder unterhalb der Liste von Rollen können mehrere Rollen zur gleichen Zeit in den Papierkorb verschoben oder exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche Rollen in den Papierkorb verschoben oder exportiert werden.

Detailseite

Durch Klicken auf den Namen einer Rolle werden Details der Rolle angezeigt. Durch Klicken auf wird die Detailseite der Rolle geöffnet.

Die folgenden Register sind verfügbar:

Informationen

Allgemeine Informationen über die Rolle.

Generelle Berechtigungen für Befehle

GMP-Befehle, die von dieser Rolle ausgeführt werden können.

Benutzer-Tags

Zugewiesene Tags (siehe Kapitel 8.4).

Berechtigungen

Berechtigungen der Rolle oder anderer Benutzer/Rollen/Gruppen für Objekte der Rolle (siehe Kapitel 9.4).

Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:

• Das entsprechende Kapitel im Anwenderhandbuch öffnen.

• Die Listenseite mit allen Rollen anzeigen.

• Eine neue Rolle erstellen (siehe Kapitel 9.2.2).

• Die Rolle klonen.

• Die Rolle bearbeiten. Nur selbst erstellte Rollen können bearbeitet werden.

• Die Rolle in den Papierkorb verschieben. Nur selbst erstellte Rollen können in den Papierkorb verschoben werden.

• Die Rolle als XML-Datei exportieren.

9.2.4 Rollen einem Benutzer zuweisen

Um Berechtigungen zu gruppieren, kann ein Benutzer mehr als eine Rolle haben.

Die Rollen werden beim Erstellen eines neuen Benutzers zugewiesen (siehe Abb. 9.4, siehe Kapitel 9.1.1). Falls dem Benutzer mehr als eine Rolle zugewiesen wird, werden die Berechtigungen der Rollen addiert.

Abb. 9.4 Erstellen eines neuen Benutzers mit mehreren Rollen

9.2.5 Einen Super-Administrator erstellen

Die Rolle Super Admin stellt die höchste Zugriffsstufe dar.

Die Rolle Admin kann Benutzer erstellen, verändern und löschen. Zusätzlich kann sie Berechtigungen sehen, verändern und löschen. Allerdings ist sie diesen Berechtigungen ebenfalls untergeordnet. Falls ein Benutzer eine private Scan-Konfiguration erstellt, aber nicht teilt, kann der Administrator nicht auf diese zugreifen.

Die Rolle Super Admin ist für Diagnosezwecke geeigneter. Der Super-Administrator ist von Einschränkungen durch Berechtigungen ausgenommen und kann jede Konfiguration jedes Nutzers sehen und bearbeiten.

Der Super-Administrator muss im GOS-Administrationsmenü erstellt werden (siehe Kapitel 7.2.1.5).

Bemerkung

Der Super-Administrator kann nur durch den Super-Administrator selbst bearbeitet werden.

9.3 Gruppen

Gruppen werden genutzt, um Benutzer logisch zusammenzufassen. Es können beliebig viele Gruppen erstellt werden.

Berechtigungen können einer Gruppe zugewiesen werden (siehe Kapitel 9.4). Standardmäßig sind keine Gruppen vorhanden.

9.3.1 Eine Gruppe erstellen

Eine Gruppe kann wie folgt erstellt werden:

Bemerkung

Nur Administratoren dürfen Gruppen erstellen und verwalten.

1. Als Administrator einloggen.

2. Administration > Gruppen in der Menüleiste wählen.

3. Neue Gruppe durch Klicken auf erstellen.

4. Gruppe definieren (siehe Abb. 9.5).

   

   Abb. 9.5 Erstellen einer neuen Gruppe

5. Auf Speichern klicken.

   → Die Gruppe wird erstellt und auf der Seite Gruppen angezeigt.

Die folgenden Details der Gruppe können festgelegt werden:

Name

Der Name der Gruppe kann Buchstaben und Zahlen enthalten und darf maximal 80 Zeichen lang sein.

Kommentar (optional)

Ein Kommentar beschreibt die Gruppe näher.

Benutzer

Die Mitglieder der Gruppe können in der Drop-down-Liste Benutzer gewählt werden. Alternativ können die Gruppen im Benutzerprofil verwaltet werden (siehe Kapitel 9.1.1).

Spezielle Gruppen

Checkbox aktivieren, falls alle Gruppenmitglieder Lese- und Schreibrechte auf alle Objekte der Gruppe haben sollen.

9.3.2 Gruppen verwalten

Listenseite

Alle vorhandenen Gruppen können angezeigt werden, indem Administration > Gruppen in der Menüleiste gewählt wird.

Für alle Gruppen werden die folgenden Informationen angezeigt:

Name

Name der Gruppe.

Für alle Gruppen sind die folgenden Aktionen verfügbar:

• Die Gruppe in den Papierkorb verschieben.

• Die Gruppe bearbeiten.

• Die Gruppe klonen.

• Die Gruppe als XML-Datei exportieren.

Bemerkung

Durch Klicken auf oder unterhalb der Liste von Gruppen können mehrere Gruppen zur gleichen Zeit in den Papierkorb verschoben oder exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche Gruppen in den Papierkorb verschoben oder exportiert werden.

Detailseite

Durch Klicken auf den Namen einer Gruppe werden Details der Gruppe angezeigt. Durch Klicken auf wird die Detailseite der Gruppe geöffnet.

Die folgenden Register sind verfügbar:

Informationen

Allgemeine Informationen über die Gruppe.

Benutzer-Tags

Zugewiesene Tags (siehe Kapitel 8.4).

Berechtigungen

Berechtigungen der Gruppe oder anderer Benutzer/Rollen/Gruppen für Objekte der Gruppe (siehe Kapitel 9.4).

Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:

• Das entsprechende Kapitel im Anwenderhandbuch öffnen.

• Die Listenseite mit allen Gruppen anzeigen.

• Eine neue Gruppe erstellen (siehe Kapitel 9.3.1).

• Die Gruppe klonen.

• Die Gruppe bearbeiten.

• Die Gruppe in den Papierkorb verschieben.

• Die Gruppe als XML-Datei exportieren.

9.4 Berechtigungen

Durch Wählen von Administration > Berechtigungen in der Menüleiste, werden alle Berechtigungen angezeigt, die auf dem System vorhanden sind. Falls mehrere Rollen erstellt wurden, können leicht hunderte Berechtigungen vorhanden sein.

Jede Berechtigung betrifft genau ein Subjekt. Eine Berechtigung erlaubt es dem Subjekt, eine zugehörige Aktion durchzuführen.

Subjekte können vom folgenden Typ sein:

• Benutzer

• Rollen

• Gruppen

Es gibt zwei Arten von Berechtigungen:

• Berechtigungen für Befehle

  Berechtigungen für Befehle sind mit dem Greenbone Management Protocol (GMP) verknüpft. Jede Berechtigung gilt für einen bestimmten GMP-Befehl, wobei der Name der Berechtigung der entsprechende Befehl ist.

  Eine Berechtigung für Befehle ist entweder eine Berechtigung auf Befehlslevel oder auf Ressourcenlevel.

  • Befehlslevel

    Falls keine Ressource angegeben ist, wird eine Berechtigung auf Befehlslevel erstellt. Eine Berechtigung auf Befehlslevel ermöglicht es dem Subjekt, den vorgegebenen GMP-Befehl auszuführen.

  • Ressourcenlevel

    Falls eine Ressource angegeben ist, wird eine Berechtigung auf Ressourcenlevel erstellt. Eine Berechtigung auf Ressourcenlevel ermöglicht es dem Subjekt, den vorgegebenen GMP-Befehl auf eine bestimmte Ressource auszuführen.

• Super-Berechtigungen

  (siehe Kapitel (9.4.2)

9.4.1 Berechtigungen erstellen und verwalten

Bemerkung

Üblicherweise werden Berechtigungen auf der Web-Oberfläche mithilfe der Rollenverwaltung zugewiesen (siehe Kapitel 9.2).

Das Erstellen und Verwalten von Berechtigungen über die Seite Berechtigungen wird nur erfahrenen Benutzern empfohlen, die nach einer bestimmten Berechtigung suchen.

9.4.1.1 Eine Berechtigung erstellen

Eine neue Berechtigung kann wie folgt erstellt werden:

1. Administration > Berechtigungen in der Menüleiste wählen.

2. Neue Berechtigung durch Klicken auf erstellen.

3. Berechtigung definieren (siehe Abb. 9.6).

   

   Abb. 9.6 Erstellen einer neuen Berechtigung

4. Auf Speichern klicken.

   → Die Berechtigung wird erstellt und auf der Seite Berechtigungen angezeigt.

Die folgenden Details der Berechtigung können festgelegt werden:

Name

Berechtigung, die erteilt werden soll.

Kommentar (optional)

Ein Kommentar beschreibt die Berechtigung genauer.

Subjekt

Subjekt (Benutzer, Rolle oder Gruppe), das die Berechtigung erhalten soll.

Bemerkung

Die Subjekte, denen die Berechtigung zugewiesen werden kann, hängen von der Rolle des aktuell eingeloggten Benutzers ab. Normale Benutzer (User) können anderen Benutzern Berechtigungen erteilen, während Administratoren Benutzern, Rollen und Gruppen Berechtigungen erteilen können.

Ressourcen-Typ (nur für die Berechtigung Super (hat Super-Zugriff))

Ressourcentyp (Benutzer/Rolle/Gruppe), auf welchen der Benutzer/die Rolle/die Gruppe Super-Zugriff hat.

Benutzer-/Rollen-/Gruppen-ID (nur für die Berechtigung Super (hat Super-Zugriff))

ID der Ressource (Benutzer/Rolle/Gruppe), auf welche der Benutzer/die Rolle/die Gruppe Super-Zugriff hat.

Beschreibung

Textliche Beschreibung der Berechtigung.

9.4.1.2 Berechtigungen von der Detailseite einer Ressource aus erstellen

Berechtigungen können wie folgt direkt von der Detailseite einer Ressource, z. B. einer Aufgabe, aus erstellt werden:

1. Detailseite der Ressource öffnen.

   Beispiel: Scans > Aufgaben in der Menüleiste wählen.

2. Auf den Namen der Aufgabe klicken.

3. Auf klicken, um die Detailseite der Aufgabe zu öffnen.

4. Auf den Register Berechtigungen klicken.

5. Im geöffneten Abschnitt Berechtigungen auf klicken.

6. Berechtigung definieren (siehe Abb. 9.7).

   

   Abb. 9.7 Erstellen einer Berechtigung von der Detailseite einer Ressource aus

7. Auf Speichern klicken.

   → Die Berechtigung wird erstellt und im Abschnitt Berechtigungen auf der Detailseite der Ressource angezeigt.

Es gibt zwei Arten von Berechtigungen, die direkt auf der Detailseite der Ressource erteilt werden können:

• lesen

  Die Berechtigung lesen bedeutet, dass die Ressource auf Listenseiten sichtbar ist und ihre Detailseite geöffnet werden kann.

• schreiben

  Die Berechtigung schreiben bedeutet, dass die Ressource auf Listenseiten sichtbar ist, ihre Detailseite geöffnet werden kann und die Ressource bearbeitet (aber nicht gelöscht) werden kann.

Einige Ressourcen bringen zusätzliche Berechtigungen mit sich:

• Aufgaben

  Wenn die Berechtigung schreiben für eine Aufgabe erteilt wird, werden die Berechtigungen, die Aufgabe zu starten (start_task), zu stoppen (stop_task) und fortzusetzen (resume_task) automatisch hinzugefügt.

• Benachrichtigungen

  Wenn die Berechtigung schreiben für eine Benachrichtigung erteilt wird, wird die Berechtigungen, die Benachrichtigung zu testen (test_alert) automatisch hinzugefügt.

• Berichtformate und Scanner

  Wenn die Berechtigung schreiben für ein Berichtformat oder einen Scanner erteilt wird, wird die Berechtigung, das Berichtformat/den Scanner zu verifizieren (verify_report_format/verify_scanner) automatisch hinzugefügt.

Für einige Ressourcentypen kann gewählt werden, ob die Berechtigungen auch für verbundene Ressourcen erteilt werden sollen (siehe Abb. 9.7).

• Aufgaben

  Für Aufgaben schließt dies Benachrichtigungen und deren Filter, Ziele und deren verknüpfte Anmeldedaten und Portlisten, Zeitpläne, den Scanner und die Scan-Konfiguration mit ein.

• Ziele

  Für Ziele schließt dies Anmeldedaten und Portlisten mit ein.

• Benachrichtigungen

  Für Benachrichtigungen schließt dies den Filter, der auf den Bericht angewendet wird, mit ein.

Bemerkung

Berechtigungen können auch nur für die angegebene Ressource erstellt werden.

Die Details der zugehörigen Ressource werden unterhalb der Drop-down-Liste angezeigt.

9.4.1.3 Berechtigungen verwalten

Listenseite

Alle vorhandenen Berechtigungen können angezeigt werden, indem Administration > Berechtigungen in der Menüleiste gewählt wird.

Für alle Berechtigungen werden die folgenden Informationen angezeigt:

Name

Name der Berechtigung. Eine globale Berechtigung ist mit gekennzeichnet.

Beschreibung

Textliche Beschreibung der Berechtigung.

Ressourcen-Typ

Ressourcentyp, auf welchen der Benutzer/die Rolle/die Gruppe Zugriff hat.

Ressource

Name der Ressource, auf die der Benutzer/die Rolle/die Gruppe Zugriff hat.

Subjekttyp

Subjekttyp (Benutzer/Rolle/Gruppe), der die Berechtigung erhält.

Subjekt

Subjekt, das die Berechtigung erhält.

Für alle Berechtigungen sind die folgenden Aktionen verfügbar:

• Die Berechtigung in den Papierkorb verschieben. Nur selbst erstellte Berechtigungen können in den Papierkorb verschoben werden.

• Die Berechtigung bearbeiten. Nur selbst erstellte Berechtigungen können bearbeitet werden.

• Die Berechtigung klonen. Nur selbst erstellte Berechtigungen können geklont werden.

• Die Berechtigung als XML-Datei exportieren.

Bemerkung

Durch Klicken auf oder unterhalb der Liste von Berechtigungen können mehrere Berechtigungen zur gleichen Zeit in den Papierkorb verschoben oder exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche Berechtigungen in den Papierkorb verschoben oder exportiert werden.

Detailseite

Durch Klicken auf den Namen einer Berechtigung werden Details der Berechtigung angezeigt. Durch Klicken auf wird die Detailseite der Berechtigung geöffnet.

Die folgenden Register sind verfügbar:

Informationen

Allgemeine Informationen über die Berechtigung.

Benutzer-Tags

Zugewiesene Tags (siehe Kapitel 8.4).

Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:

• Das entsprechende Kapitel im Anwenderhandbuch öffnen.

• Die Listenseite mit allen Berechtigungen anzeigen.

• Eine neue Berechtigung erstellen (siehe Kapitel 9.4.1.1).

• Die Berechtigung klonen. Nur selbst erstellte Berechtigungen können geklont werden.

• Die Berechtigung bearbeiten. Nur selbst erstellte Berechtigungen können bearbeitet werden.

• Die Berechtigung in den Papierkorb verschieben. Nur selbst erstellte Berechtigungen können in den Papierkorb verschoben werden.

• Die Berechtigung als XML-Datei exportieren.

9.4.2 Super-Berechtigungen erteilen

Jede Ressource, die auf der Appliance erstellt wird (z. B. ein Benutzer, eine Aufgabe, ein Ziel) ist entweder global oder gehört einem bestimmten Benutzer. Globale Ressourcen sind mit gekennzeichnet.

Nicht-globale Ressourcen sind nur für ihren Eigentümer sicht- und nutzbar. Individuelle Berechtigungen sind nötig, um eine Ressource für andere Benutzer verfügbar zu machen, was sehr mühsam ist.

Um das zu vermeiden, können Benutzer, Rollen und Gruppen Super-Berechtigungen erhalten. Diese ermöglichen den Zugriff auf alle Objekte anderer Benutzer, Rollen oder Gruppen.

Ein Benutzer kann Super-Berechtigungen für Folgendes erhalten:

• Benutzer

• Rollen

• Gruppen

• Alles

Diese Super-Berechtigungen ermöglichen den Zugriff auf alle Ressourcen, die dem Benutzer/der Rolle/der Gruppe gehören oder auf im Grunde alle vorhandenen Ressourcen.

Bemerkung

Die Super-Berechtigung Alles kann nicht explizit vergeben werden. Sie ist auf den Super-Administrator (siehe Kapitel 9.2.5) beschränkt und kann nur beim Erstellen eines solchen erteilt werden.

Ein Benutzer kann Super-Berechtigungen nur für selbst erstellte Objekte erteilen. Nur der Super-Administrator kann allen anderen Benutzern, Rollen und Gruppen Super-Berechtigungen erteilen.

1. Auf den Namen des Benutzers/der Rolle/der Gruppe auf der Seite Benutzer/Rollen/Gruppen klicken, für den oder für die die Super-Berechtigungen erteilt werden sollen.

2. Detailseite durch Klicken auf öffnen.

   → Die ID der Ressource befindet sich in der rechten oberen Ecke (siehe Abb. 9.8).

   

   Abb. 9.8 ID einer Ressource

3. ID notieren oder kopieren.

4. Administration > Berechtigungen in der Menüleiste wählen.

5. Neue Berechtigung durch Klicken auf erstellen.

6. Super (hat Super-Zugriff) in der Drop-down-Liste Name wählen (siehe Abb. 9.9).

7. Radiobutton des Subjekttyps, der die Super-Berechtigungen erhalten soll, wählen.

8. Benutzer/Rolle/Gruppe, der oder die die Super-Berechtigungen erhalten soll, in der entsprechenden Drop-down-Liste wählen.

9. Ressourcentyp, für den die Super-Berechtigungen erteilt werden sollen, in der Drop-down-Liste Ressourcen-Typ wählen.

10. Zuvor ermittelte ID in das Eingabefeld Benutzer-ID/Rollen-ID/Gruppen-ID eingeben oder einfügen.

    

    Abb. 9.9 Erstellen einer neuen Super-Berechtigung

11. Auf Speichern klicken.

    → Die Super-Berechtigung wird erstellt und auf der Seite Berechtigungen angezeigt.

Tipp

Super-Berechtigungen vereinfachen die Berechtigungsverwaltung auf der Appliance. Sie können einfach an gesamte Gruppen vergeben werden. Dies ermöglicht allen Benutzern der Gruppen den Zugriff auf alle Ressourcen, die von anderen Mitgliedern der Gruppe erstellt wurden.

9.4.3 Anderen Benutzern Lesezugriff erteilen

9.4.3.1 Anforderungen, um Lesezugriff zu erteilen

Jeder Benutzer kann eine unbegrenzte Anzahl selbst erstellter Ressourcen teilen. Dazu benötigt der Nutzer sowohl die globale get_users-Berechtigung als auch die spezifische get_users-Berechtigung für den Nutzer, der Lesezugriff erhalten soll.

Bemerkung

Der einfachste und empfohlene Weg, selbst erstellte Ressourcen zu teilen, ist es, einen Administratoraccount zu nutzen und die Accounts, die Lesezugriff erhalten sollen, mit diesem Administratoraccount zu erstellen.

Alle anderen hier beschriebenen Wege sind umständlich und zeitaufwendig.

Anforderungen für Administratoren

Administratoren haben standardmäßig bereits die globale get_users-Berechtigung.

Der Administrator kann die spezifische get_users-Berechtigung für den Account, der Lesezugriff erhalten soll, auf zwei Arten bekommen:

• Den Account selbst erstellen, da Administratoren automatisch die spezifische get_users-Berechtigung für von ihnen erstellte Accounts haben.

• Mithilfe eines Super-Administrators.

Ein Super-Administrator kann einem Administrator spezifische get_users-Berechtigungen wie folgt erteilen:

1. Als Super-Administrator in die Web-Oberfläche einloggen (siehe Kapitel 7.2.1.5 und 9.2.5).

2. Administration > Benutzer in der Menüleiste wählen.

3. Auf den Namen des Accounts klicken, der Lesezugriff vom Administrator erhalten soll.

4. Auf klicken.

5. Auf den Register Berechtigungen klicken.

6. Neue Berechtigung durch Klicken auf im Abschnitt Berechtigungen erstellen.

7. lesen in der Drop-down-Liste Gewähre wählen (siehe Abb. 9.10).

   

   Abb. 9.10 Erteilen einer spezifischen get_users-Berechtigung an einen Administrator

8. Radiobutton Benutzer wählen.

9. Administrator, der in der Lage sein soll, Lesezugriff zu erteilen, in der Drop-down-Liste Benutzer wählen.

10. Auf Speichern klicken.

    → Die spezifische get_users-Berechtigung wird erstellt und in der Liste angezeigt (siehe Abb. 9.11).

    Der Administrator ist nun in der Lage, dem entsprechenden Nutzer Lesezugriff, wie in Kapitel 9.4.3.2 beschrieben, zu erteilen.

    

    Abb. 9.11 Spezifische get_users-Berechtigung für einen Administrator

Anforderungen für normale Nutzer

Normale Nutzer haben die globale get_users-Berechtigung nicht standardmäßig. Sie kann wie folgt hinzugefügt werden:

1. Als Administrator einloggen.

2. Administration > Rollen in der Menüleiste wählen.

3. Neue Rolle durch Klicken auf erstellen.

4. LeserechtGewähren in das Eingabefeld Name eingeben.

5. Auf Speichern klicken.

   → Die Rolle wird erstellt und auf der Seite Rollen angezeigt.

6. In der Zeile der neu erstellen Rolle auf klicken.

7. get_users in der Drop-down-Liste Name im Abschnitt Neue Berechtigung wählen (siehe Abb. 9.12).

   

   Abb. 9.12 Wählen der Berechtigungen für eine neue Rolle

8. Auf Berechtigung erstellen klicken.

   → Die Berechtigung wird im Abschnitt Generelle Berechtigungen für Befehle angezeigt (siehe Abb. 9.12).

9. Auf Speichern klicken.

10. Administration > Benutzer in der Menüleiste wählen.

11. In der Zeile des Benutzers, welchem die neu erstellte Rolle zugewiesen werden soll, auf klicken.

12. Rolle LeserechtGewähren in der Drop-down-Liste Rollen hinzufügen.

13. Auf Speichern klicken.

Ein Super-Administrator kann einem Nutzer spezifische get_users-Berechtigungen wie folgt erteilen:

1. Als Super-Administrator in die Web-Oberfläche einloggen (siehe Kapitel 7.2.1.5 und 9.2.5).

2. Administration > Benutzer in der Menüleiste wählen.

3. Auf den Namen des Accounts klicken, der Lesezugriff vom Nutzer erhalten soll.

4. Auf klicken.

5. Auf den Register Berechtigungen klicken.

6. Im Abschnitt Berechtigungen auf klicken.

7. lesen in der Drop-down-Liste Gewähre wählen (siehe Abb. 9.13).

   

   Abb. 9.13 Erteilen einer spezifischen get_users-Berechtigung an einen Nutzer

8. Radiobutton Benutzer wählen.

9. Nutzer, der in der Lage sein soll, Lesezugriff zu erteilen, in der Drop-down-Liste Benutzer wählen.

10. Auf Speichern klicken.

    → Die spezifische get_users-Berechtigung wird erstellt und in der Liste angezeigt (siehe Abb. 9.14).

    Der Nutzer ist nun in der Lage, dem entsprechenden Nutzer Lesezugriff, wie in Kapitel 9.4.3.2 beschrieben, zu erteilen.

    

    Abb. 9.14 Spezifische get_users-Berechtigung für einen Nutzer

9.4.3.2 Lesezugriff erteilen

Wenn ein Nutzer die globale und die spezifische get_users-Berechtigung hat (siehe Kapitel 9.4.3.1), kann der Nutzer Ressourcen wie folgt teilen:

1. Auf der entsprechenden Seite auf den Namen der Ressource klicken, die geteilt werden soll.

2. Detailseite durch Klicken auf öffnen.

   → Die ID der Ressource befindet sich in der rechten oberen Ecke (siehe Abb. 9.15).

   

   Abb. 9.15 ID einer Ressource

3. ID notieren oder kopieren.

4. Administration > Berechtigungen in der Menüleiste wählen.

5. Neue Berechtigung durch Klicken auf erstellen.

6. Die Berechtigung für das Objekt, das geteilt werden soll, in der Drop-down-Liste Name wählen.

   • Filter: get_filters

   • Scan-Konfiguration: get_configs

   • Benachrichtigung: get_alerts

   • Notiz: get_notes

   • Übersteuerung: get_overrides

   • Tag: get_tags

   • Ziel: get_targets

   • Aufgabe einschließlich Bericht: get_tasks

   • Zeitplan: get_schedules

7. Radiobutton Benutzer wählen (siehe Abb. 9.16).

8. Benutzer, mit dem das Objekt geteilt werden soll, in der entsprechenden Drop-down-Liste wählen.

9. Zuvor ermittelte ID in das Eingabefeld Ressourcen-ID eingeben oder einfügen.

   

   Abb. 9.16 Objekte mit anderen Benutzern teilen

10. Auf Speichern klicken.

    → Die Berechtigung wird erstellt und auf der Seite Berechtigungen angezeigt.

Bemerkung

Zusätzlich können Ressourcen mit Rollen oder Gruppen geteilt werden.

Dazu werden die globalen und spezifischen Berechtigungen get_groups – einer Gruppe Lesezugriff erteilen – oder get_roles – einer Rolle Lesezugriff erteilen – benötigt. Diese folgen dem gleichen Prinzip wie in Kapitel 9.4.3.1 beschrieben.

Ausnahme: Nutzer mit einer Standardrolle haben die spezifischen get_roles-Berechtigungen für alle Standardrollen.

9.5 Eine zentrale Benutzerverwaltung nutzen

Besonders in großen Umgebungen mit mehreren Benutzern ist es schwierig, eine Passwortsynchronisierung zu verwirklichen. Der Aufwand, um Passwörter zu erstellen oder zurückzusetzen ist oft sehr hoch. Um dies zu vermeiden, unterstützt die Appliance die Nutzung eines zentralen Passwortspeichers mit LDAPS oder RADIUS.

Die Appliance nutzt den Service für die Authentifizierung auf einer Pro-Benutzer-Basis, das heißt, jeder Benutzer, der sich mithilfe des Service authentifizieren soll, muss für die Authentifizierung konfiguriert und auch auf der Appliance vorhanden sein.

Bemerkung

Voraussetzung für die Nutzung der zentralen Authentifizierung ist die Benennung der Benutzer mit denselben Namen wie die Objekte im LDAPS-Baum oder dem RADIUS-Server.

9.5.1 LDAPS

Die Appliance unterstützt nur verschlüsselte Verbindungen über LDAP mit StartTLS (Port 389) oder LDAPS mit SSL/TLS (Port 636). Der LDAPS-Server muss seinen Service für SSL/TLS verfügbar machen.

Die folgenden Referenzen sind für die exakte Konfiguration aller verfügbaren LDAPS-Servern hilfreich:

• Microsoft: https://learn.microsoft.com/en-us/archive/technet-wiki/2980.ldap-over-ssl-ldaps-certificate

• OpenLDAP: https://www.openldap.org/doc/admin24/tls.html

9.5.1.1 Das Zertifikat des Servers auf der Appliance speichern

Zum Verifizieren der Identität des LDAPS-Servers, muss die Appliance dem Zertifikat des Servers vertrauen. Dafür muss das Zertifikat der herausgebenden Zertifizierungsstelle auf der Appliance gespeichert werden.

Dazu muss das Zertifikat der Zertifizierungsstelle als Base64-codierte Datei exportiert werden. Eine Base64-codierte Datei hat oft die Dateiendung .pem. Die Datei selbst beginnt mit ------BEGIN CERTIFICATE-------.

Falls die Zertifizierungsstelle eine zwischenliegende Zertifizierungsstelle ist, muss die komplette Zertifizierungskette importiert werden. Dies trifft oft zu, wenn eine offizielle Zertifizierungsstelle genutzt wird, da die ursprüngliche Zertifizierungsstelle von der ausgebenden Zertifizierungsstelle getrennt ist.

In diesen Fällen sieht der Inhalt der Datei wie folgt aus:

-----BEGIN CERTIFICATE-----
......
Issuing CA
......
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
......
Root CA
......
-----END CERTIFICATE-----

Der tatsächliche Speicherort, an der das Zertifikat gefunden werden kann, kann basierend auf der Umgebung variieren.

• Univention Corporate Server (UCS)

  Hier wird das Zertifikat von der Datei /etc/univention/ssl/ucsCA/CAcert.pem abgerufen. Diese Datei enthält bereits das Zertifikat im korrekten Format und muss beim Aktivieren von LDAPS hochgeladen werden.

• Active-Directory-LDAPS

  Falls der Service Active-Directory-LDAP noch nicht LDAPS nutzt, könnte der folgende Artikel hilfreich sein: https://learn.microsoft.com/en-us/archive/technet-wiki/2980.ldap-over-ssl-ldaps-certificate.

  Das Zertifikat der Zertifizierungsstelle, die das Active-Directory-LDAPS-Zertifikat ausstellt, kann dann wie folgt exportiert werden:

  Bemerkung

  Die Schritte müssen von einem Desktop-PC oder einem Server mit Zugang zur Zertifizierungsstellenkonsole ausgeführt werden.

  1. Zertifizierungsstellenkonsole von einem an eine Domäne angeschlossenen Computer oder Server aus öffnen.

  2. Auf den Namen der Zertifizierungsstelle rechtsklicken und Properties wählen.

  3. Im Zertifikat-Fenster den Tab General wählen.

  4. Zertifikat, auf das zugegriffen werden soll, für die Zertifizierungsstelle wählen.

  5. Auf View Certificate klicken.

  6. Im Fenster Certificate den Tab Certification Authority wählen.

  7. Namen der ursprünglichen Zertifizierungsstelle wählen und auf View Certificate klicken.

  8. Im Fenster Certificate den Tab Details wählen.

  9. Auf Copy to File klicken.

     → Der Wizard zum Exportieren des Zertifikats wird geöffnet.

  10. Auf Next klicken.

  11. Base-64 encoded X.509 (.CER) auf der Seite Export File Format wählen.

  12. Auf Next klicken.

  13. Pfad und Namen für das Zertifikat in das Eingabefeld File to Export eingeben.

  14. Auf Next klicken.

  15. Auf Finish klicken.

      → Die CER-Datei wird am angegebenen Speicherort erstellt. Das Fenster informiert den Benutzer darüber, dass der Export erfolgreich war.

  16. Auf OK klicken.

  Der Inhalt der Datei muss hochgeladen werden, wenn LDAPS aktiviert wird.

9.5.1.2 Mit dem LDAPS-Baum verbinden

Für die Verbindung mit einem LDAPS-Baum nutzt die Appliance eine einfache Schnittstelle und eine simple Bind-Operation mit einem fest codierten Objektpfad. Die LDAPS-Authentifizierung wird wie folgt durchgeführt:

1. Als Administrator einloggen.

2. Administration > LDAP in der Menüleiste wählen.

3. Auf klicken.

4. Checkbox Aktivieren aktivieren (siehe Abb. 9.17).

   

   Abb. 9.17 Konfigurieren einer LDAPS-Authentifizierung

5. LDAPS-Host in das Eingabefeld LDAP-Host eingeben.

   Bemerkung

   Nur ein System kann per IP-Adresse oder Name eingegeben werden.

   Die Appliance greift mithilfe von SSL/TLS auf den LDAPS-Host zu. Um den Host zu verifizieren, muss das Zertifikat des Hosts auf die Appliance hochgeladen werden (siehe Kapitel 9.5.1.1). Ohne SSL/TLS wird die LDAPS-Authentifizierung nicht akzeptiert.

6. Distinguished name (DN) des Objekts in das Eingabefeld Auth. DN eingeben.

   Bemerkung

   Der Platzhalter %s ersetzt den Benutzernamen.

   Beispiele für Auth. DN sind:

   • cn=%s,ou=people,dc=domain,dc=de

     Dieses Format funktioniert für jeden LDAPS-Server mit den korrekten Attributen. Das Attribut cn (common name) wird genutzt. Benutzer in anderen Teilbäumen oder anderen rekursiven Tiefen des LDAPS-Baums werden nicht unterstützt. Alle Benutzer, die sich in die Appliance einloggen, müssen sich im selben Zweig und auf dem gleichen Level des LDAPS-Baums befinden.

   • uid=%s,ou=people,dc=domain,dc=de

     Dieses Format funktioniert für jeden LDAPS-Server mit den korrekten Attributen. Das Attribut uid (user ID) wird als Filter genutzt. Es sollte an erster Stelle stehen. Die Attribute ou=people,dc=domain,dc=de werden als Basisobjekte für die Suche und für den Abruf des entsprechenden DN genutzt.

   • %s@domain.de

     Dieses Format wird typischerweise von Active Directory genutzt. Der exakte Speicherort eines Benutzerobjekts ist irrelevant.

   • domain.de\%s

     Dieses Format wird typischerweise von Active Directory genutzt. Der exakte Speicherort eines Benutzerobjekts ist irrelevant.

7. Zum Verifizieren des Hosts auf Browse… klicken, um das Zertifikat des Hosts hochzuladen.

8. Checkbox Ausschließlich LDAPS verwenden aktivieren, falls nur Verbindungen über LDAPS erlaubt sein sollen.

   Bemerkung

   Mit dieser Option werden StartTLS- und Klartextverbindungen zum LDAP-Server deaktiviert und nur Verbindungen über LDAPS zugelassen. Dies ist nützlich, wenn der LDAP-Port durch eine Firewall blockiert ist.

9. Auf OK klicken.

   → Wenn die LDAPS-Authentifizierung aktiviert ist (siehe Abb. 9.18), ist die Option Nur LDAP-Authentifizierung beim Erstellen oder Bearbeiten eines Benutzers verfügbar. Standardmäßig ist diese Option deaktiviert.

   

   Abb. 9.18 Aktivierte LDAPS-Authentifizierung

10. Neuen Benutzer erstellen oder vorhandenen Benutzer bearbeiten (siehe Kapitel 9.1).

11. Checkbox Nur LDAP-Authentifizierung aktivieren, falls der Benutzer die Möglichkeit haben soll, sich per LDAPS zu authentifizieren (siehe Abb. 9.19).

    

    Abb. 9.19 Aktivieren der Authentifizierung mit LDAPS

Bemerkung

Der Benutzer muss mit demselben Namen wie in LDAPS vorhanden sein, bevor LDAPS genutzt werden kann. Die Appliance kann keine Benutzer in LDAPS hinzufügen, bearbeiten oder entfernen und erteilt Benutzern von LDAPS keinen automatischen Zugriff auf die Appliance.

Falls die LDAPS-Authentifizierung nicht funktioniert, muss überprüft werden, ob der Eintrag im Eingabefeld LDAP-Host mit dem commonName des Zertifikats des LDAPS-Servers übereinstimmt. Falls es Abweichungen gibt, verweigert die Appliance die Nutzung des LDAPS-Servers.

9.5.2 RADIUS

Die RADIUS-Authentifizierung wird wie folgt durchgeführt:

1. Als Administrator einloggen.

2. Administration > Radius in der Menüleiste wählen.

3. Auf klicken.

4. Checkbox Aktivieren aktivieren (siehe Abb. 9.20).

5. Hostnamen oder IP-Adresse des RADIUS-Servers in das Eingabefeld RADIUS-Host eingeben.

6. Gemeinsamen geheimen Schlüssel in das Eingabefeld Geheimer Schlüssel eingeben.

   

   Abb. 9.20 Konfigurieren einer RADIUS-Authentifizierung

7. Auf OK klicken.

   → Wenn die RADIUS-Authentifizierung aktiviert ist, ist die Option Nur RADIUS-Authentifizierung beim Erstellen oder Bearbeiten eines Benutzers verfügbar. Standardmäßig ist diese Option deaktiviert.

8. Neuen Benutzer erstellen oder vorhandenen Benutzer bearbeiten (siehe Kapitel 9.1).

9. Checkbox Nur RADIUS-Authentifizierung aktivieren, falls der Benutzer die Möglichkeit haben soll, sich per RADIUS zu authentifizieren (siehe Abb. 9.21).

   

   Abb. 9.21 Aktivieren der Authentifizierung mit RADIUS