Einloggen

Es bestehen drei verschiedene Möglichkeiten, sich auf LANCOM R&S®Unified Firewalls einzuloggen:

Login über Web-Browser

Wenn Benutzer als Desktop-Objekte eingerichtet wurden und Firewall-Regeln für diese Benutzer konfiguriert wurden, können sie mithilfe der sogenannten Landingpage den Regeln entsprechend agieren. Das Einloggen über einen Webbrowser ist mit jedem Browser möglich und erfolgt SSL-verschlüsselt.

Gehen Sie wie folgt vor, um sich über einen Webbrowser auf Ihrer LANCOM R&S®Unified Firewall einzuloggen:

  1. Starten Sie einen Webbrowser.
  2. Stellen Sie sicher, dass Cookies aktiviert sind.
  3. Geben Sie die IP-Adresse Ihrer LANCOM R&S®Unified Firewall, z. B. https://192.168.12.1 (Standardport 443), in die Adresszeile ein. Eine spezielle Webseite mit der LANCOM R&S®Unified Firewall Landingpage erscheint.
    Abbildung 1. Benutzerauthentifizierung über einen Webbrowser



  4. Geben Sie im Feld Name Ihren Benutzernamen ein.
    Wichtig: Wenn es sich um einen LDAP-Benutzer handelt, muss der Login-Name des Benutzers exakt mit dem Benutzernamen im sAMAccountName-Attribut des Benutzers übereinstimmen. Andernfalls entspricht der Name in den benutzerspezifischen Firewall-Regeln nicht dem Namen des sich am Client anmeldenden Benutzers und die Regeln stimmen nicht überein.
  5. Geben Sie das Kennwort ein.
  6. Klicken Sie auf Anmelden.

Die Authentifizierung wird ausgeführt.

VORSICHT

Das Browserfenster, das zum Einloggen genutzt wurde, muss aus Sicherheitsgründen während der gesamten Sitzung geöffnet bleiben. Andernfalls wird der Benutzer nach einer Minute automatisch ausgeloggt. Dies verhindert, dass Unbefugte Zugriff auf die Firewall erlangen können, falls ein Benutzer sich aus Versehen nicht ausgeloggt hat.

Login über den LANCOM R&S®Unified Firewall Benutzerauthentifizierungs-Client

Der auf Windows basierende LANCOM R&S®Unified Firewall Benutzerauthentifizierungs-Client befindet sich im Verzeichnis UA Client auf dem USB-Flash-Laufwerk.

Gehen Sie wie folgt vor, um sich über den LANCOM R&S®Unified Firewall Benutzerauthentifizierungs-Client auf Ihrer LANCOM R&S®Unified Firewall einzuloggen:

  1. Installieren Sie den LANCOM R&S®Unified Firewall Benutzerauthentifizierungs-Client.
  2. Starten Sie den LANCOM R&S®Unified Firewall Benutzerauthentifizierungs-Client.
    Abbildung 2. LANCOM R&S®Unified Firewall Benutzerauthentifizierungs-Client



  3. Geben Sie unter Server-Adresse die IP-Adresse Ihrer LANCOM R&S®Unified Firewall ein.
  4. Geben Sie im Feld Benutzername Ihren Benutzernamen ein.
    Wichtig: Wenn es sich um einen LDAP-Benutzer handelt, muss der Login-Name des Benutzers exakt mit dem Benutzernamen im sAMAccountName-Attribut des Benutzers übereinstimmen. Andernfalls entspricht der Name in den benutzerspezifischen Firewall-Regeln nicht dem Namen des sich am Client anmeldenden Benutzers und die Regeln stimmen nicht überein.
  5. Geben Sie das Kennwort ein.
  6. Optional: Setzen Sie den Haken im Kontrollkästchen Passwort speichern, um das Passwort für zukünftige Logins zu speichern.
  7. Optional: Passen Sie unter Einstellungen das Zeitfenster für die Neuverbindung an, indem Sie mit der rechten Maustaste auf das Symbol im Benachrichtigungsfeld der Windows-Taskleiste klicken.
    Abbildung 3. LANCOM R&S®Unified Firewall Benutzerauthentifizierungs-Client-Einstellungen



  8. Klicken Sie auf Anmelden. Die Authentifizierung wird ausgeführt.
VORSICHT

Aus Sicherheitsgründen wird empfohlen, den LANCOM R&S®Unified Firewall Benutzerauthentifizierungs-Client stets auf die neueste verfügbare Version zu aktualisieren. Es ist allerdings möglich, einen Kompatibilitätsmodus zu aktivieren, über den ältere Versionen des LANCOM R&S®Unified Firewall Benutzerauthentifizierungs-Clients ab Version 10 des LCOS FX arbeiten können. Weitere Informationen finden Sie unter Einstellungen.

Login über den LANCOM R&S®Unified Firewall Single Sign-On-Client

Bei Verwendung von Single-Sign-On (SSO) loggen sich Active Directory-Domänenbenutzer auf einem Windows-Client ein. Die auf Ihrer LANCOM R&S®Unified Firewall konfigurierten Regeln, die diese Benutzer betreffen, werden dann automatisch angewandt.

Um SSO mit LANCOM R&S®Unified Firewall in einer Active Directory-Umgebung zu verwenden, müssen folgende Voraussetzungen erfüllt werden:

  1. Da Kerberos zeitgebunden ist, stellen Sie sicher, dass für alle SSO-Komponenten (Domain Controller, Windows-Client und LANCOM R&S®Unified Firewall) die gleiche Uhrzeit und der gleiche NTP-Server eingestellt ist.
  2. Erstellen des Benutzers gpLogin Im Active Directory muss in der Benutzerverwaltung unter "CN=Users" ein normaler Domänenbenutzer erstellt werden. Diesem Benutzer wird dann ein sogenannter Service Principal Name (SPN) zugewiesen, der für die Authentifizierung Ihrer LANCOM R&S®Unified Firewall beim Server notwendig ist. Der Benutzer benötigt keine besonderen Rechte.
    1. Öffnen Sie den Domain Controller.
      Abbildung 4. Benutzer anlegen



    2. Geben Sie unter Vorname gpLogin ein. Mit diesem Namen ist es später einfacher, den Benutzer in der Benutzerübersicht zu finden.
    3. Geben Sie unter Benutzeranmeldename gpLogin/<firewall name> ein. Im oberen Beispiel lautet der Hostname (<firewall name>) Ihrer LANCOM R&S®Unified Firewall rsuf, folglich lautet der Login-Name des Benutzers gpLogin/rsuf.
    4. Geben Sie unter Benutzeranmeldename (Prä-Windows 2000) gpLogin ein.
    5. Klicken Sie auf Weiter.
    6. Geben Sie ein Passwort für den Benutzer ein und bestätigen Sie es.
      Abbildung 5. Benutzerpasswort eingeben



    7. Setzen Sie den Haken im Kontrollkästchen Passwort läuft nie ab.
    8. Klicken Sie auf Weiter.
    9. Um die Details zum neuen Benutzer zu überprüfen, klicken Sie auf Beenden.
    Der Benutzer gpLogin wird erstellt.
  3. Login mit dem Benutzer gpLogin zur Abfrage des Active Directory. Geben Sie im Eingabefeld Benutzername unter Authentifizierungs-Server gpLogin ein.
  4. Konfigurieren des Service Principal Name (SPN). Weisen Sie dem neu erstellten Benutzer einen SPN zu, sodass Ihre LANCOM R&S®Unified Firewall den Domain Controller als vertrauenswürdig erkennen kann. Führen Sie hierzu den folgenden Befehl im Domain Controller aus: setspn -A gpLogin/rsuf gpLogin
  5. Erzeugen eines Kerberos-Schlüssels Mithilfe des LANCOM R&S®Unified Firewall Single Sign-On-Client kann ein Benutzerlogin auf der Windows-Domäne an Ihre LANCOM R&S®Unified Firewall weitergeleitet werden. Mit dem Kerberos-Schlüssel kann Ihre LANCOM R&S®Unified Firewall die weitergeleiteten Informationen prüfen und die benutzerspezifischen Firewall-Regeln aktivieren. Gehen Sie wie folgt vor, um einen Kerberos-Schlüssel zu erzeugen:
    1. Loggen Sie sich auf Ihrer LANCOM R&S®Unified Firewall ein.
    2. Navigieren Sie zu Benutzerauthentifizierung > LDAP/AP.
    3. Klicken Sie im Tab Kerberos auf die Schaltfläche Kerberos-Schlüssel erstellen, um den Kerberos-Schlüssel zu erzeugen.
    Das Active Directory wird abgefragt, um den spezifizierten AD-Benutzer zu validieren und relevante Informationen wie beispielsweise die Versionsnummer des Kerberos-Schlüssels zu erhalten. Mit diesen Informationen kann Ihre LANCOM R&S®Unified Firewall lokal einen gültigen Kerberos-Schlüssel erzeugen.
  6. Aktivieren von SSO auf Ihrer LANCOM R&S®Unified Firewall Gehen Sie wie folgt vor, um SSO auf Ihrer LANCOM R&S®Unified Firewall zu aktivieren:
    1. Setzen Sie den Haken im Kontrollkästchen Aktiv im Tab Kerberos.
    2. Klicken Sie aufSpeichern, um Ihre Einstellungen zu speichern.
  7. Vorbereiten des Windows-Clients. Das ZIP-Archiv mit dem Windows Installer für den Single-Sign-On-Client finden Sie auf: https://www.lancom-systems.de/downloads/ Es gibt drei Möglichkeiten, den LANCOM R&S®Unified Firewall Single-Sign-On-Client zu installieren:
    • Kopieren Sie die eigenständige Anwendung UAClientSSO.exe an den gewünschten Zielort.
    • Führen Sie das Setupprogramm UAClientSSOSetup.exe aus und installieren Sie die eigenständige Anwendung UAClientSSO.exe im folgenden Pfad: C:\Program Files\R&S Cybersecurity\UA Client\3.0\
    • Installieren Sie den Client über die Domain und verwenden Sie dabei den Microsoft-Installer UAClientSSO.msi in einem Gruppenrichtlinienobjekt.
    Wichtig:

    In allen Fällen wird die eigenständige Anwendung UAClientSSO.exe auf dem Windows-PC installiert. Sie kann daraufhin ausgeführt werden, wenn die folgenden Parameter gegeben sind:

    • Hostname der LANCOM R&S®Unified Firewall (weitere Informationen finden Sie unter Einstellungen).
    • IP-Adresse der LANCOM R&S®Unified Firewall im Netzwerk des Client-Computers.

    Beispiel: Der Hostname Ihrer LANCOM R&S®Unified Firewall ist "rsuf". Die IP-Adresse im Netzwerk des Client-Computers ist 192.168.0.1. Der Zielpfad für die Installation des LANCOM R&S®Unified Firewall Single-Sign-On-Clients ist demnach:

    C:\Program Files\R&S Cybersecurity\UA Client\3.0\UAClientSSO.exe rsuf 192.168.0.1.

www.lancom-systems.de

LANCOM Systems GmbH | Adenauerstr. 20/B2 | 52146 Würselen | Deutschland | E-Mail info@lancom.de

LANCOM Logo