NetScreen-RA 500. Administrationshandbuch. NetScreen Instant Virtual Extranet Platform

Transkript

1 NetScreen-RA 500 Administrationshandbuch, NetScreen Instant Virtual Extranet Platform

2

3 Juniper Networks NetScreen Secure Access 700 Administration Version 5.1 Juniper Networks, Inc North Mathilda Avenue Sunnyvale, CA USA Teilenummer: 42A112204

4 Juniper Networks, the Juniper Networks logo, NetScreen, NetScreen Technologies, the NetScreen logo, NetScreen-Global Pro, ScreenOS, and GigaScreen are registered trademarks of Juniper Networks, Inc. in the United States and other countries. Juniper Networks, the Juniper Networks logo, NetScreen, NetScreen Technologies, Neoteris, Neoteris-Secure Access, Neoteris-Secure Meeting, NetScreen-SA 1000, NetScreen-SA 3000, NetScreen-SA 5000, IVE, GigaScreen, and the NetScreen logo are registered trademarks of Juniper Networks, Inc. NetScreen-5GT, NetScreen-5XP, NetScreen-5XT, NetsukeTeilenummer: 42A112204en-25, NetScreen-50, NetScreen-100, NetScreen-204, NetScreen-208, NetScreen-500, NetScreen-5200, NetScreen-5400, NetScreen-Global PRO, NetScreen-Global PRO Express, NetScreen-Remote Security Client, NetScreen-Remote VPN Client, NetScreen-IDP 10, NetScreen-IDP 100, NetScreen-IDP 500, GigaScreen ASIC, GigaScreen-II ASIC, and NetScreen ScreenOS are trademarks of Juniper Networks, Inc. All other trademarks and registered trademarks are the property of their respective companies. Copyright 2001 D. J. Bernstein. Copyright by the Massachusetts Institute of Technology. All rights reserved. Copyright 2000 by Zero-Knowledge Systems, Inc. Copyright 2001, Dr. Brian Gladman Worcester, UK. All rights reserved. Copyright 1989, 1991 Free Software Foundation, Inc. Copyright 1989, 1991, 1992 by Carnegie Mellon University. Derivative Work , Copyright 1996, The Regents of the University of California. All Rights Reserved. Copyright The OpenLDAP Foundation, Redwood City, California, USA. All Rights Reserved. Permission to copy and distribute verbatim copies of this document is granted. Copyright 1995 Tatu Ylonen <ylo@cs.hut.fi>, Espoo, Finland. All rights reserved. Copyright 1986 Gary S. Brown. Copyright 1998 CORE SDI S.A., Buenos Aires, Argentina. Copyright 1995, 1996 by David Mazieres <dm@lcs.mit.edu>. Copyright The OpenSSL Project. All rights reserved. Copyright , Larry Wall. All rights reserved. Copyright 1989, 1991 Free Software Foundation, Inc. Copyright Andy Wardley. All Rights Reserved. Copyright Canon Research Centre Europe Ltd. Copyright Jean-loup Gailly and Mark Adler. Juniper Networks NetScreen Secure Access 700, Release 5.1 Copyright 2005, Juniper Networks, Inc. All rights reserved. Printed in USA. Writers: Editors: Juniper Networks assumes no responsibility for any inaccuracies in this document. Juniper Networks reserves the right to change, modify, transfer, or otherwise revise this publication without notice.

5 Inhalt Das Handbuch ix Teil 1 Erste Schritte 1 Kapitel 1 Erste Überprüfung und Schlüsselkonzepte 3 Überprüfen der Verfügbarkeit für die Benutzer...5 Anlegen eines Testszenarios, um die Grundlagen und empfohlenen Vorgehensweisen für das IVE kennen zu lernen...8 Definieren einer Benutzerrolle...8 Definieren einer Ressourcenrichtlinie...11 Definieren eines Authentifizierungsservers...14 Definieren eines Authentifizierungsbereichs...17 Definieren einer Anmelderichtlinie...20 Verwenden des Testszenarios...23 Standardeinstellungen für Administratoren...26 Teil 2 IVE Produkte und Funktionen 29 Kapitel 2 Die IVE-Reihe 31 Einführung in die NetScreen Instant Virtual Extranet-Plattform...33 Was ist die IVE-Plattform?...33 Wie bauen Produkte auf der Funktionsweise der IVE-Plattform auf?...34 Access Series Übersicht...37 Zugriffsverwaltung Übersicht...38 Richtlinien, Regeln und Einschränkungen sowie Bedingungen...38 Zugriff und Autorisierung Flussdiagramm...40 Dynamic Policy Evaluation (Dynamische Richtlinienauswertung)...44 Konfigurieren von Sicherheitsanforderungen...46 Authentifizierungsbereiche Übersicht...51 Authentifizierungsserver...51 Authentifizierungsrichtlinien...53 Verzeichnisserver...53 Rollenzuordnungsregeln...53 Anmelderichtlinien Übersicht...55 Anmeldeseiten...55 Benutzerrollen Übersicht...56 Rollenarten...56 Rollenkomponenten...56 Rollenauswertung...57 iii

6 Ressourcenrichtlinien Übersicht...59 Typen von Ressourcenrichtlinien...59 Bestandteile einer Ressourcenrichtlinie...59 Auswerten von Ressourcenrichtlinien...60 Ausführliche Regeln für Ressourcenrichtlinien...60 Kapitel 3 Authentifizierung und Autorisierung 63 Zertifikate Übersicht...65 IVE Serverzertifikate...66 CAs vertrauter Clients...67 CAs vertrauter Server...71 Codesignaturzertifikate...72 Endpoint Defense Übersicht...74 Host Checker Übersicht...75 Cache Cleaner Übersicht...87 Kapitel 4 Remotezugriff 93 Network Connect Übersicht...95 Automatische Network Connect-Anmeldung mit GINA...98 Bereitstellen Ihres Netzwerks für Network Connect Definieren von Zugriffsmethoden mit Hilfe von Network Connect-Ressourcenrichtlinien Clientseitige Protokollierung Network Connect Proxy-Unterstützung Client Übersicht Auswählen eines -Clients Arbeiten mit einem standardbasierten Mailserver Arbeiten mit Microsoft Exchange Server Arbeiten mit Lotus Notes und Lotus Notes Mail Server Hochladen eines Java-Applets - Übersicht Hochladen von Java-Applets in das IVE Signieren von hochgeladenen Java-Applets Erstellen von HTML-Seiten, die auf die hochgeladenen Java-Applets verweisen Zugreifen auf Lesezeichen für Java-Applets Verwendungsbeispiel: Erstellen eines Lesezeichens für ein Java-Applet mit Citrix JICA Version Durchgangsproxy Übersicht Kapitel 5 Systemverwaltung und Systemdienste 121 Netzwerkeinstellungen Übersicht Konfigurieren allgemeiner Netzwerkeinstellungen Konfigurieren interner und externer Ports Konfigurieren von statischen Routen für den Netzwerkverkehr Erstellen von ARP-Zwischenspeichern Angeben von Hostnamen zur lokalen Auflösung durch das IVE Angeben von IP-Filtern Protokollierung und Überwachung Übersicht Konfigurationsdateien Übersicht Archivieren von IVE-Konfigurationsdateien Importieren und Exportieren von IVE-Konfigurationsdateien Importieren und Exportieren von XML-Konfigurationsdateien Strategien für die Arbeit mit XML-Instanzen iv

7 Fehlerbehebung Übersicht Simulieren oder Verfolgen von Ereignissen Erstellen von Snapshots des IVE-Systemstatus Erstellen von TCP-Dumpdateien Testen der IVE-Netzwerkverbindung Remoteausführung von Debuggingtools Erstellen von Debuggingprotokollen Unterstützung mehrerer Sprachen Übersicht Teil 3 IVE Konfiguration 149 Aufgabenzusammenfassungen 151 Kapitel 6 Systemeinstellungen 153 Konfigurieren der Seite Status Registerkarte Overview Registerkarte Active Users Konfigurieren der Seite Configuration Registerkarte Licensing Seite Security Registerkarten Certificates Registerkarte NCP Registerkarte Client Types Konfigurieren der Seite Network Registerkarte Overview Registerkarten Internal Port Registerkarten External Port Registerkarte Routes Registerkarte Hosts Registerkarte Network Connect Konfigurieren der Seite Log Monitoring Registerkarten Events, User Access Admin Access und NC Packet Registerkarte SNMP Registerkarte Statistics Registerkarte Client-side Logs Kapitel 7 Anmeldeeinstellungen 201 Konfigurieren der Seite Sign-in Registerkarte Sign-in Policies Registerkarte Sign-in Pages Konfigurieren der Seite End Point Registerkarte Host Checker Registerkarte Cache Cleaner Konfigurieren der Seite AAA Servers Definieren einer Authentifizierungsserverinstanz Ändern einer Authentifizierungsserverinstanz Konfigurieren einer lokalen Authentifizierungsserverinstanz Konfigurieren einer LDAP-Serverinstanz Konfigurieren einer NIS-Serverinstanz Konfigurieren einer ACE/Serverinstanz v

8 Konfigurieren einer RADIUS-Serverinstanz Konfigurieren einer Active Directory- oder einer NT-Domäneninstanz..245 Konfigurieren einer Instanz eines anonymen Servers Konfigurieren einer Zertifikatserverinstanz Anzeigen und Löschen von Benutzersitzungen Kapitel 8 Administratoreinstellungen 255 Konfigurieren der Seite Authentication Registerkarte General Registerkarte Authentication Policy Registerkarte Role Mapping Konfigurieren der Seite Delegation Konfigurieren von Administratorrollen Registerkarten General Kapitel 9 Benutzereinstellungen 273 Konfigurieren der Seite Authentication Konfigurieren der Seite Roles Konfigurieren der Seite General Registerkarte Overview Registerkarte Restrictions Registerkarte Source IP Registerkarte Session Options Registerkarte UI Options Konfigurieren der Seite Web Registerkarte Bookmarks Registerkarte Options Konfigurieren der Seite Files Registerkarte Web Bookmarks Registerkarte UNIX Bookmarks Registerkarte Options Konfigurieren der Seite Telnet/SSH Registerkarte Sessions Registerkarte Options Konfigurieren der Seite Network Connect Konfigurieren der Seite New User Kapitel 10 Ressourcenrichtlinieneinstellungen 303 Angeben von Ressourcen für eine Ressourcenrichtlinie Allgemeine Anmerkungen zu kanonischen Formaten Angeben von Serverressourcen Schreiben einer detaillierten Regel Konfigurieren der Seite Web Registerkarte Access Registerkarten Caching Registerkarten Java Registerkarten Rewriting Registerkarten Web Proxy Registerkarte Compression Registerkarte Options Konfigurieren der Seite Files Windows-Registerkarten Registerkarte UNIX/NFS vi

9 Registerkarte Compression Registerkarte Encoding Registerkarte Options Konfigurieren der Seite Telnet/SSH Registerkarte Access Registerkarte Options Konfigurieren der Seite Network Connect Registerkarte Network Connect Access Control Registerkarte Network Connect Logging Registerkarte Network Connect Connection Profiles Registerkarte Network Connect Split Tunneling Verwendungsbeispiel: Konfiguration von Network Connect-Ressourcenrichtlinien Konfigurieren der Seite Client Kapitel 11 Wartungseinstellungen 357 Konfigurieren der Seite System Registerkarte Platform Registerkarte Upgrade/Downgrade Registerkarte Options Registerkarte Installers Konfigurieren der Seite Import/Export Registerkarte Configuration Registerkarte User Accounts Registerkarte XML Import/Export XML Import/Export Gebrauchsfälle Konfigurieren der Seite Archiving Registerkarte FTP Server Konfigurieren der Seite Troubleshooting User Sessions -Registerkarten Registerkarte Session Recording Registerkarte System Snapshot Registerkarte TCP Dump Registerkarte Commands Registerkarte Remote Debugging Registerkarte Debug Log Teil 4 Zusatzinformationen 387 Anhang A Verwenden der seriellen Konsole der IVE-Appliance 389 Herstellen einer Verbindung mit der seriellen Konsole der IVE-Appliance Rollback zu einem vorherigen Systemzustand Zurücksetzen einer IVE-Appliance auf die Werkseinstellungen Durchführen gängiger Wiederherstellungsvorgänge Anhang B Schreiben benutzerdefinierter Ausdrücke 397 Benutzerdefinierte Ausdrücke Systemvariablen und Beispiele vii

10 Anhang C Installation von clientseitigen Anwendungen 411 Erforderliche Berechtigungen zum Installieren und Ausführen von Anwendungen Anwendungsdateiverzeichnisse Anhang D Konfigurieren der Zugriffsverwaltungsbeschränkungen 417 IP-Quelladresseinschränkungen Browsereinschränkungen Zertifikateinschränkungen Kennworteinschränkung Host Checker-Einschränkungen Cache Cleaner-Einschränkungen Anhang E Benutzerfehlermeldungen 427 Fehlermeldungen in Network Connect Windows-Fehlermeldungen Macintosh-Fehlermeldungen Index viii

11 Das Handbuch In diesem Handbuch finden Sie die erforderlichen Informationen zum Konfigurieren und Verwalten der Secure Access 700-Appliance, unter anderem zu den folgenden Themen: Übersicht über die Secure Access 700-Appliance und das zugrunde liegende Zugriffsverwaltungssystem Übersicht über die Funktionen der Secure Access 700-Appliance Anweisungen für die Konfiguration und Verwaltung Ihrer Secure Access 700-Appliance Zielgruppe Dieses Handbuch wendet sich an Systemadministratoren, die für die Konfiguration von Secure Access 700-Appliances zuständig sind. Weiterführende Informationen Informationen zur Installation können Sie dem Leitfaden für die ersten Schritte entnehmen, der dem Produkt beiliegt. Den neuesten Build des Secure Access 700-Betriebssystems mit dem zugehörigen Administratorhandbuch im PDF-Format und den Versionshinweisen können Sie auf der Juniper Networks-Supportsite herunterladen. Konventionen Tabelle 1 definiert in diesem Handbuch verwendete Hinweissymbole, und Tabelle 2 erläutert die im Handbuch geltenden Textkonventionen. Tabelle 1: Hinweissymbole Symbol Bedeutung Beschreibung Informativer Hinweis Weist auf wichtige Funktionen oder Anweisungen hin. Vorsicht Warnung Weist auf die Möglichkeit von Datenverlusten oder Hardwarebeschädigung hin. Weist auf Verletzungsgefahr hin. ix

12 Tabelle 2: Textkonventionen (gilt nicht für Befehlssyntax) Konvention Beschreibung Beispiele Fett Plain Sans Serif Kursiv Wird für Schaltflächen, Feldnamen, Dialogfeldnamen und andere Benutzeroberflächenelemente verwendet. Stellt Folgendes dar: Code, Befehle und Schlüsselwörter URLs, Dateinamen und Verzeichnisse Stellt Folgendes dar: Im Text definierte Begriffe Variable Elemente Buchnamen Verwenden Sie zum Planen einer Konferenz die Registerkarten Scheduling und Appointment. Beispiele: Code: certattr.ou = 'Retail Products Group' URL: Laden Sie die JRE-Anwendung unter folgender Adresse herunter: Beispiele: Definierter Begriff: Ein RDP-Client ist eine Windows-Komponente, die eine Verbindung zwischen einem Windows-Server und dem Computer eines Benutzers ermöglicht. Variables Element : Verwenden Sie die Einstellungen auf der Seite Users > Roles > Ausgewählte Rolle > Terminal Services, um eine Terminalemulationssitzung zu erstellen. Buchname: Siehe das Dokument IVE Supported Platforms. Dokumentation Versionshinweise Versionshinweise sind in der Produktsoftware enthalten und im Internet verfügbar. In den Versionshinweisen finden Sie aktuellste Informationen zu Funktionen, Änderungen, bekannten und gelösten Problemen. Wenn die Informationen in den Versionshinweisen von den Angaben in der Dokumentation abweichen, haben die Versionshinweise Vorrang. Webzugriff Auf der folgenden Seite können Sie die Dokumentation im Internet anzeigen: Kundensupport Wenn Sie technischen Support benötigen, wenden Sie sich unter support@juniper.net oder JTAC (in den USA) oder (außerhalb der USA) an Juniper Networks. x

13 Teil 1 Erste Schritte In diesem Abschnitt werden zusätzliche IVE-Konfigurationsaufgaben beschrieben, mit deren Hilfe Sie sich mit den erforderlichen Konzepten für die Aktivierung und Steuerung des Benutzerzugriffs im Netzwerk vertraut machen können. Inhalt Erste Überprüfung und Schlüsselkonzepte auf Seite 3 1

14 2 NetScreen Secure Access und Secure Meeting-RA500 Administrationshandbuch

15 Kapitel 1 Erste Überprüfung und Schlüsselkonzepte In diesem Abschnitt werden die nach der Erstinstallation und -konfiguration des IVE durchzuführenden Aufgaben erläutert. Dieser Abschnitt setzt voraus, dass Sie die im Aufgabenhandbuch beschriebenen Schritte bereits auf der Administrator-Webkonsole ausgeführt haben, um Ihr Softwareabbild zu aktualisieren und Ihren Secure Access-Lizenzschlüssel zu generieren und anzuwenden. Inhalt Überprüfen der Verfügbarkeit für die Benutzer auf Seite 5 Anlegen eines Testszenarios, um die Grundlagen und empfohlenen Vorgehensweisen für das IVE kennen zu lernen auf Seite 8 Standardeinstellungen für Administratoren auf Seite 26 3

16 4 NetScreen Secure Access und Secure Meeting-RA500 Administrationshandbuch

17 Überprüfen der Verfügbarkeit für die Benutzer Sie können auf dem System-Authentifizierungsserver einfach ein Benutzerkonto anlegen, mit dem Sie die Verfügbarkeit des IVE für die Benutzer testen können. Legen Sie das Konto zunächst über die Administrator-Webkonsole an, und melden Sie sich dann auf der Benutzer-Anmeldeseite des IVE als dieser Benutzer an. So überprüfen Sie die Verfügbarkeit für die Benutzer: 1. Wählen Sie in der Administrator-Webkonsole Users > New User aus. 2. Geben Sie auf der Seite New Local User testbenutzer1 als Benutzernamen und ein Kennwort ein, und klicken Sie dann auf Save Changes. Das IVE legt das Konto testbenutzer1 an. 3. Geben Sie in einem anderen Browser den Geräte-URL ein, um zur Benutzer- Anmeldeseite zu navigieren. Der URL weist folgendes Format auf: wobei a.b.c.d die IP-Adresse des Geräts ist, die Sie während der Erstkonfiguration des IVE eingegeben haben. Wenn Sie in einer Sicherheitswarnung gefragt werden, ob Sie ohne signiertes Zertifikat fortfahren möchten, klicken Sie auf Yes. Wenn die Benutzer-Anmeldeseite angezeigt wird, haben Sie das IVE ordnungsgemäß mit dem Netzwerk verbunden. Abbildung 1: Benutzer-Anmeldeseite 4. Geben Sie auf der Anmeldeseite die Anmeldeinformationen (Benutzername und Kennwort) ein, die Sie für das Benutzerkonto angelegt haben, und klicken Sie dann auf Sign In, um auf die IVE-Startseite für Benutzer zu gelangen. 5

18 Abbildung 2: Benutzerstartseite (Standard) 5. Geben Sie im Feld Address des Browsers den URL zu einem internen Webserver ein, und klicken Sie auf Browse. Das IVE öffnet die Webseite in demselben Browserfenster. Kehren Sie daher zur IVE-Startseite zurück, und klicken Sie auf der Navigationssymbolleiste, die auf der Zielwebseite angezeigt wird, auf das Symbol in der Mitte. Abbildung 3: Beispiel für interne Webseite mit Navigationssymbolleiste 6

19 6. Geben Sie auf der IVE-Startseite den URL zur externen Firmensite ein, und klicken Sie auf Wechseln zu. Das IVE öffnet die Webseite in demselben Browserfenster. Kehren Sie daher über die Navigationssymbolleiste zur IVE- Startseite zurück. 7. Klicken Sie auf der IVE-Startseite auf Browsing > Windows Files, um zu verfügbaren Windows-Dateifreigaben zu navigieren, oder auf Browsing > UNIX/NFS Files, um zu verfügbaren UNIX/NFS-Dateifreigaben zu navigieren. Nachdem Sie die Verfügbarkeit für die Benutzer überprüft haben, kehren Sie zur Administrator-Webkonsole zurück, um wie unter Anlegen eines Testszenarios, um die Grundlagen und empfohlenen Vorgehensweisen für das IVE kennen zu lernen auf Seite 8 beschrieben an einer Einführung in die Schlüsselkonzepte teilzunehmen. 7

20 Anlegen eines Testszenarios, um die Grundlagen und empfohlenen Vorgehensweisen für das IVE kennen zu lernen Das IVE bietet ein flexibles Zugriffsverwaltungssystem, mit dem der Remotezugriff eines Benutzers problemlos anhand von Rollen, Ressourcenrichtlinien, Authentifizierungsservern, Authentifizierungsbereichen und Anmelderichtlinien individuell angepasst werden kann. Damit Sie zügig mit diesen Elementen arbeiten können, sind für diese im IVE werksseitig bereits Standardvorgaben eingestellt. In diesem Abschnitt werden die Systemstandardvorgaben erläutert, und es wird dargestellt, wie die einzelnen Einheiten anhand der folgenden Schritte eingerichtet werden: Definieren einer Benutzerrolle auf Seite 8 Definieren einer Ressourcenrichtlinie auf Seite 11 Definieren eines Authentifizierungsservers auf Seite 14 Definieren eines Authentifizierungsbereichs auf Seite 17 Definieren einer Anmelderichtlinie auf Seite 20 HINWEIS: Das IVE unterstützt zwei Arten von Benutzern: Administratoren Ein Administrator darf die Konfigurationseinstellungen des IVE anzeigen und ändern. Das erste Administratorenkonto wird über die serielle Konsole angelegt. Benutzer Ein Benutzer verwendet das IVE, um auf Firmenressourcen zuzugreifen, die vom Administrator konfiguriert wurden. Das erste Benutzerkonto (testbenutzer1) legen Sie in Überprüfen der Verfügbarkeit für die Benutzer auf Seite 5 an. Im folgenden Testszenario werden die Zugriffsverwaltungselemente des IVE in erste Linie für die Konfiguration von Zugriffsparametern für einen Benutzer verwendet. Informationen zu Systemstandardeinstellungen für Administratoren finden Sie unter Standardeinstellungen für Administratoren auf Seite 26. Definieren einer Benutzerrolle Eine Benutzerrolle ist eine Einheit, die Parameter für Benutzersitzungen, individuelle Einstellungen und aktivierte Zugriffsfunktionen 1 für Benutzer definiert. Die Appliance IVE ordnet einen authentifizierten Benutzer mindestens einer Rolle zu. Die für diese Rolle(n) eingestellten Optionen legen fest, auf welche Arten von Ressourcen der Benutzer bei der IVE-Sitzung zugreifen darf. 1. Zu den Zugriffsfunktionen zählen Webbrowsing, Dateinavigation, Telnet/SSH, Network Connect und Secure Client. 8

21 Das IVE ist mit einem Benutzerbereich namens Users vorkonfiguriert. Diese vordefinierte Rolle aktiviert die Zugriffsfunktionen für Webbrowsing und Dateinavigation, das jeder Benutzer, der der Rolle Users zugeordnet ist, auf das Internet, Firmenwebserver und alle verfügbaren Windows- und UNIX/NFS- Dateiserver zugreifen darf. Diese Rolle wird auf der Seite Users > Roles angezeigt. HINWEIS: Nachdem Sie eine Zugriffsfunktion für eine Rolle aktiviert haben (auf der Seite Users > Roles > Rollenname ), konfigurieren Sie die entsprechenden Optionen nach Bedarf. Hierzu verwenden Sie die Konfigurationsregisterkarte der jeweiligen Zugriffsfunktion. So definieren Sie eine Benutzerrolle: 1. Wählen Sie in der Administrator-Webkonsole Users > Roles aus. 2. Klicken Sie auf der Seite Roles auf New Policy. 3. Geben Sie auf der Seite New Role im Feld Name Testrolle ein, und klicken Sie dann auf Save Changes. Warten Sie, bis das IVE die Seite General > Overview für die Testrolle anzeigt. 4. Aktivieren Sie auf der Seite Overview unter Access Features das Kontrollkästchen Web, und klicken Sie dann auf Save Changes. 5. Wählen Sie Web>Options aus. 6. Aktivieren Sie unter Browsing das Kontrollkästchen User can type URLs in the IVE browser bar, und klicken Sie dann auf Save Changes. Nach Abschluss dieser Schritte haben Sie die Benutzerrolle definiert. Wenn Sie Ressourcenrichtlinien anlegen, können Sie sie dieser Rolle zuordnen. Sie können Benutzer dieser Rolle auch anhand von Rollenzuordnungsregeln, die für einen Authentifizierungsbereich definiert wurden, festlegen. HINWEIS: Sie können eine Benutzerrolle mit aktivierten Funktionen für Webbrowsing und Dateinavigation ganz einfach anlegen, indem Sie die Rolle Benutzer doppelt anlegen und dann nach Bedarf weitere Zugriffsfunktionen aktivieren. 9

22 Abbildung 4: Seite Users > Roles > New Role Abbildung 5: Users > Roles > Test Role > General > Overview 10

23 Definieren einer Ressourcenrichtlinie Eine Ressourcenrichtlinie ist eine Systemregel, die Folgendes angibt: Ressourcen, für die die Richtlinie gilt (z. B. URLs, Server und Dateien) Benutzer, für die die Richtlinie gilt (durch Rollen oder andere Sitzungsvariablen festgelegt) Ob das IVE Zugriff auf eine Ressource gewährt oder eine Aktion ausführt. Das IVE ist mit zwei Arten von Ressourcenrichtlinien vorkonfiguriert. Webzugriff Die vordefinierte Ressourcenrichtlinie für Webzugriff erlaubt allen Benutzern, über das IVE auf das Internet and sämtliche Firmenwebserver zuzugreifen. Diese Ressourcenrichtlinie gilt standardmäßig für die Rolle Users. Windows-Zugriff Die vordefinierte Ressourcenrichtlinie für Windows- Zugrifferlaubt allen Benutzern, die der Rolle Users zugeordnet sind, auf sämtliche Windows-Dateiserver der Firma zuzugreifen. Diese Ressourcenrichtlinie gilt standardmäßig für die Rolle Users. Sie können die Standardressourcenrichtlinien für Web- und Dateizugriff auf den Seiten Resource Policies > Web> Access und Resource Policies > Files> Windows >Access anzeigen. HINWEIS: Wenn Sie nicht möchten, dass Benutzer auf den gesamten Web- und Dateiinhalt zugreifen können, löschen Sie die Standardressourcenrichtlinien für Web- und Dateizugriff. So definieren Sie eine -Ressourcenrichtlinie: 1. Wählen Sie in der Administrator-Webkonsole Resource Policies > Web > Access Control aus. 2. Klicken Sie auf der Seite Web Access Policies auf New Policy. 3. Gehen Sie auf der Seite New Policy folgendermaßen vor: a. Geben Sie im Feld Name Folgendes ein: Test-Webzugriff b. Geben Sie im Feld Resources Folgendes ein: c. Wählen Sie unter Roles die Option Policy applies to SELECTED roles und dann im Feld Available Roles Testrolle aus. Klicken Sie anschließend auf Add, um sie in das Feld Selected Roles zu verschieben. d. Wählen Sie unter Action die Option Deny access aus. e. Klicken Sie auf Änderungen speichern. Das IVE fügt Test-Webzugriff auf der Seite Web Access Policies hinzu. 11

24 4. Klicken Sie auf der Seite Web Access Policies in der Liste Policies auf das Kontrollkästchen neben Test-Webzugriff. Das IVE markiert die Tabellenzeile in gelb. 5. Klicken Sie oben auf der Seite auf den Pfeil nach oben, um die Zeile Test- Webzugriff über der vorgegebenen Zeile Initial Open Policy, und klicken Sie dann auf Save Changes. HINWEIS: Das IVE verarbeitet Ressourcenrichtlinien der Reihe nach und beginnt dabei mit der ersten Richtlinie in der Liste. Damit das IVE die richtigen Ressourceneinschränkungen auf Benutzer anwendet, müssen die Richtlinien in einer Ressourcenrichtlinienliste von der restriktivsten zur offensten geordnet werden. Die restriktivste Richtlinie muss dabei als erste in der Liste angegeben werden. Nach Abschluss dieser Schritte haben Sie eine Webzugriffsressource konfiguriert. Hinweis: Auch wenn die nächste Richtlinie in der Liste der Webzugriffsrichtlinien Benutzern den Zugriff auf sämtliche Webressourcen erlaubt, ist Benutzern, die der Rolle Users zugeordnet sind, der Zugriff auf den URL verboten. Das liegt daran, dass sie die Bedingungen der ersten Richtlinie (Test- Webzugriff) erfüllen, dir Vorrang vor der nächsten hat. 12

25 Abbildung 6: Resource Policies > Web > Access > New Policy 13

26 Abbildung 7: Resource Policies > Web > Access Reihenfolge der Richtlinien ändern Definieren eines Authentifizierungsservers Ein Authentifizierungsserver ist eine Datenbank, in der Anmeldeinformationen für Benutzer (Benutzername und Kennwort) und normalerweise Gruppen- und Attributinformationen gespeichert werden. Wenn sich ein Benutzer an der IVE anmeldet, gibt er einen Authentifizierungsbereich an, der einem Authentifizierungsserver zugeordnet ist. Das IVE leitet die Anmeldeinformationen des Benutzers an diesen Authentifizierungsserver weiter, um die Identität des Benutzers zu überprüfen. Das IVE unterstützt die gängigen Authentifizierungsserver, z. B. Windows NT- Domäne, Active Directory, RADIUS, LDAP, NIS, RSA ACE/Server und Netegrity SiteMinder. Sie können eine oder mehrere lokale Datenbanken für Benutzer anlegen, die vom IVE authentifiziert werden. Das IVE ist mit einem lokalen Authentifizierungsserver für Benutzer namens System Local vorkonfiguriert. Dabei handelt es sich um eine IVE-Datenbank, mit der Sie schnell Benutzerkonten für die Benutzerauthentifizierung anlegen können. Diese Funktion gibt Ihnen Flexibilität beim Testen und beim Einrichten der Zugriffs für Dritte, da keine Benutzerkonten auf einem externen Authentifizierungsserver angelegt werden müssen. 14

27 Sie können den lokalen Authentifizierungsserver auf der Seite Signing In > AAA Servers anzeigen. HINWEIS: Das IVE unterstützt auch Autorisierungsserver. Ein Autorisierungsserver (oder Verzeichnisserver) ist eine Datenbank, in der Benutzerattribut- und - gruppeninformationen gespeichert werden. Sie können einen Authentifizierungsbereich so konfigurieren, dass ein Verzeichnisserver Benutzerattribut- oder -gruppeninformationen abruft, die in Rollenzuordnungsregeln und Ressourcenrichtlinien verwendet werden. So definieren Sie einen Authentifizierungsserver: 1. Wählen Sie in der Administrator-Webkonsole Signing In > AAA Servers aus. 2. Wählen Sie auf der Seite Authentication Servers in der Liste New die Option IVE Authentication aus, und klicken Sie dann auf New Server. 3. Geben Sie auf der Seite New IVE Authentication im Feld Name Testserver ein, und klicken Sie dann auf Save Changes. Warten Sie, bis das IVE Ihnen meldet, dass die Änderungen gespeichert wurden. Anschließend werden weitere Konfigurationsregisterkarten angezeigt. 4. Klicken Sie auf die Registerkarte Users und dann auf New. 5. Geben Sie auf der Seite New Local User im Feld Username testbenutzer2 ein, geben Sie ein Kennwort ein, und klicken Sie dann auf Save Changes, um das Benutzerkonto im Authentifizierungsserver Testserver anzulegen. Nach dem Abschluss dieser Schritte haben Sie einen Authentifizierungsserver mit einem Benutzerkonto angelegt. Dieser Benutzer kann sich an einem Authentifizierungsbereich anmelden, der den Authentifizierungsserver Testserver verwendet. 15

28 Abbildung 8: Signing In > AAA Servers > New Server Abbildung 9: Signing In > AAA Servers > Test Server > Users > New 16

29 Abbildung 10: Signing In > AAA Servers > Test Server > Users Definieren eines Authentifizierungsbereichs Als Authentifizierungsbereich wird eine Gruppierung von Authentifizierungsressourcen bezeichnet, einschließlich: Einen Authentifizierungsserver, der die Identität des Benutzers überprüft. Das IVE leitet die Anmeldeinformationen, die von einer Anmeldeseite abgesendet wurden, an einen Authentifizierungsserver weiter. Eine Authentifizierungsrichtlinie, die die Sicherheitsanforderungen des Bereichs angibt, die erfüllt sein müssen, damit das IVE die Anmeldeinformationen eines Benutzers zur Überprüfung an einen Authentifizierungsserver weiterleitet. Einen Verzeichnisserver, d. h. einen LDAP-Server, der dem IVE Benutzer- und Gruppenattributinformationen bereitstellt, die für Rollenzuordnungsregen und Ressourcenrichtlinien verwendet werden. 17