Technischer Hintergrund und Vorbereitungen

Zweck der Benutzerauthentifizierung

Durch die Benutzerauthentifizierung können Benutzern Firewall-Regeln zugewiesen werden, wenn diese sich anmelden. Pro IP-Adresse darf nur ein Benutzer angemeldet sein.Wenn sich ein Benutzer von einer IP-Adresse aus anmeldet, die bereits für eine Sitzung verwendet wird, wird der zuvor angemeldete Benutzer ausgeloggt und der neue Benutzer angemeldet.

Einloggen auf der Firewall

Die LANCOM R&S®Unified Firewall betreibt einen gesonderten Webserver, der ausschließlich Benutzer-Logins verarbeitet. Dieser empfängt Benutzernamen und Passwort. Mithilfe einer Benutzerdatenbank, die lokal auf Ihrer LANCOM R&S®Unified Firewall erstellt wird, verifiziert ein Authentifizierungsdient zunächst, ob Benutzername und Passwort zulässig sind. Falls dieses Login fehlschlägt und ein Microsoft Active Directory Server oder ein openLDAP Server in der LANCOM R&S®Unified Firewall konfiguriert sind, ruft der Authentifizierungsdienst diese Directory-Server via Kerberos-Protokoll zusätzlich an, um zu überprüfen, ob der Benutzer authentifiziert werden kann. Ist die Authentifizierung erfolgt, werden die Firewall-Regeln dieses Benutzers den IP-Adressen zugewiesen, von denen die Anfrage geschickt wurde.

Benutzer, die in der lokalen Datenbank Ihrer LANCOM R&S®Unified Firewall registriert sind, können ihre Passwörter über den Webserver ändern. Das Passwort kann aus bis zu 248 Zeichen bestehen. Längere Passwörter werden akzeptiert, jedoch automatisch verkürzt.

Einige Computer, wie z. B. Terminalserver, an denen viele Benutzer gleichzeitig arbeiten, oder Server, auf denen sich nur Administratoren einloggen können, können von der Benutzerauthentifizierung ausgeschlossen werden. In diesem Fall akzeptieren Webserver und Authentifizierungsdienst keine Benutzeranmeldungen von den IP-Addressen dieser Computer.

Da alle Benutzer eines Terminalservers die gleiche IP-Adresse haben, kann Ihre LANCOM R&S®Unified Firewall in diesem Fall nicht die einzelnen Benutzer im Netzwerk identifizieren. Um dies zu umgehen, bietet Microsoft die sogenannte Remotedesktop-IP-Virtualisierung für Server 2008 R2 und neuere Versionen an. Mit dieser Anwendung erhält jeder Benutzer seine eigene IP-Adresse aus einem Pool von IP-Adressen, ähnlich wie bei DHCP.

Authentifizierungsserver

Für kleine Unternehmen ohne zentrale Benutzerverwaltung bietet Ihre LANCOM R&S®Unified Firewall die Möglichkeit einer lokalen Benutzerverwaltung. Sie können jederzeit die lokale Benutzerdatenbank verwenden. Sie können allerdings auch einen externen Verzeichnisdienst wie etwa den Microsoft Active Directory-Server oder einen openLDAP-Server verwenden. Sowohl Microsoft Active Directory als auch openLDAP verwenden das Protokoll Kerberos für die Verifizierung aller Login-Daten, die von Benutzerauthentifizierungs-Clients bereitgestellt werden.

Active Directory-Gruppen

Wenn Sie einen Microsoft Active Directory-Server für die Authentifizierung verwenden, werden die Active Directory-Gruppen auch in der Objektleiste unter Benutzerauthentifizierung geführt. Active Directory-Gruppen sind eine effektive Möglichkeit, Sicherheitseinstellungen für einzelne Benutzer einzurichten und aufrechtzuerhalten. Beispielsweise können Sie Active Directory-Benutzer zu bestimmten Active Directory-Gruppen hinzufügen und mit Ihrer LANCOM R&S®Unified Firewall Firewall-Regeln für diese bestimmten Gruppen einrichten.

www.lancom-systems.de

LANCOM Systems GmbH | Adenauerstr. 20/B2 | 52146 Würselen | Deutschland | E-Mail info@lancom.de

LANCOM Logo