Zweck der Benutzerauthentifizierung
Durch die Benutzerauthentifizierung können Benutzern Firewall-Regeln zugewiesen werden, wenn diese sich anmelden. Pro IP-Adresse darf nur ein Benutzer angemeldet sein.Wenn sich ein Benutzer von einer IP-Adresse aus anmeldet, die bereits für eine Sitzung verwendet wird, wird der zuvor angemeldete Benutzer ausgeloggt und der neue Benutzer angemeldet.
Einloggen auf der Firewall
Die LANCOM R&S®Unified Firewall betreibt einen gesonderten Webserver, der ausschließlich Benutzer-Logins verarbeitet. Dieser empfängt Benutzernamen und Passwort. Mithilfe einer Benutzerdatenbank, die lokal auf Ihrer LANCOM R&S®Unified Firewall erstellt wird, verifiziert ein Authentifizierungsdient zunächst, ob Benutzername und Passwort zulässig sind. Falls dieses Login fehlschlägt und ein Microsoft Active Directory Server oder ein openLDAP Server in der LANCOM R&S®Unified Firewall konfiguriert sind, ruft der Authentifizierungsdienst diese Directory-Server via Kerberos-Protokoll zusätzlich an, um zu überprüfen, ob der Benutzer authentifiziert werden kann. Ist die Authentifizierung erfolgt, werden die Firewall-Regeln dieses Benutzers den IP-Adressen zugewiesen, von denen die Anfrage geschickt wurde. Es ist außerdem möglich, Microsoft Azure oder Keycloak als separaten Identity Provider (IdP) anzubinden und damit Single Sign-On mittels SAML zu unterstützen.
Benutzer, die in der lokalen Datenbank Ihrer LANCOM R&S®Unified Firewall registriert sind, können ihre Passwörter über den Webserver ändern. Das Passwort kann aus bis zu 248 Zeichen bestehen. Längere Passwörter werden akzeptiert, jedoch automatisch verkürzt.
Einige Computer, wie z. B. Terminalserver, an denen viele Benutzer gleichzeitig arbeiten, oder Server, auf denen sich nur Administratoren einloggen können, können von der Benutzerauthentifizierung ausgeschlossen werden. In diesem Fall akzeptieren Webserver und Authentifizierungsdienst keine Benutzeranmeldungen von den IP-Addressen dieser Computer.
Da alle Benutzer eines Terminalservers die gleiche IP-Adresse haben, kann Ihre LANCOM R&S®Unified Firewall in diesem Fall nicht die einzelnen Benutzer im Netzwerk identifizieren. Um dies zu umgehen, bietet Microsoft die sogenannte Remotedesktop-IP-Virtualisierung für Server 2008 R2 und neuere Versionen an. Mit dieser Anwendung erhält jeder Benutzer seine eigene IP-Adresse aus einem Pool von IP-Adressen, ähnlich wie bei DHCP.
Authentifizierungsserver
Für kleine Unternehmen ohne zentrale Benutzerverwaltung bietet Ihre LANCOM R&S®Unified Firewall die Möglichkeit einer lokalen Benutzerverwaltung. Sie können jederzeit die lokale Benutzerdatenbank verwenden. Sie können allerdings auch einen externen Verzeichnisdienst wie etwa den Microsoft Active Directory-Server oder einen openLDAP-Server verwenden. Darüber hinaus können Microsoft Azure oder Keycloak als IdP mit Single Sign-On genutzt weden. Sowohl Microsoft Active Directory als auch openLDAP verwenden das Protokoll Kerberos für die Verifizierung aller Login-Daten, die von Benutzerauthentifizierungs-Clients bereitgestellt werden. Microsoft Azure und Keycloak verwenden SAML für die Authentifizierung, so dass die Authentifizierung direkt zwischen Client-Browser und IdP erfolgt. Die Firewall wird hier nur über das Ergebnis benachrichtigt.
Active Directory- oder IdP-Gruppen
Wenn Sie einen Microsoft Active Directory-Server für die Authentifizierung verwenden, werden die Active Directory-Gruppen auch in der Objektleiste unter Benutzerauthentifizierung geführt. Active Directory-Gruppen sind eine effektive Möglichkeit, Sicherheitseinstellungen für einzelne Benutzer einzurichten und aufrechtzuerhalten. Beispielsweise können Sie Active Directory-Benutzer zu bestimmten Active Directory-Gruppen hinzufügen und mit Ihrer LANCOM R&S®Unified Firewall Firewall-Regeln für diese bestimmten Gruppen einrichten. Gleiches gilt für aus einem IdP importierte Gruppen.
