Verwenden Sie den Bildschirm Authentifizierung auf der Registerkarte SSL VPN-Plus, um einen lokalen Authentifizierungsserver für den SSL VPN-Dienst des Edge-Gateways einzurichten und optional die Authentifizierung von Clientzertifikaten zu aktivieren. Dieser Authentifizierungsserver wird zur Authentifizierung der Benutzer, die eine Verbindung herstellen, verwendet. Alle Benutzer, die im lokalen Authentifizierungsserver konfiguriert sind, werden authentifiziert.
Es kann nur ein lokaler SSL-VPN-Plus-Authentifizierungsserver auf dem Edge-Gateway konfiguriert werden. Wenn Sie auf + Lokal klicken und weitere Authentifizierungsserver angeben, wird beim Versuch, die Konfiguration zu speichern, eine Fehlermeldung angezeigt.
Die maximale Zeit für die Authentifizierung über SSL-VPN beträgt drei (3) Minuten. Dieser Maximalwert wird durch die Nichtauthentifizierungs-Zeitüberschreitung festgelegt, die standardmäßig 3 Minuten beträgt und nicht konfigurierbar ist. Wenn mehrere Authentifizierungsserver in der Autorisierungskette vorhanden sind und die Benutzerauthentifizierung länger als 3 Minuten dauert, wird der Benutzer infolgedessen nicht authentifiziert.
Voraussetzungen
- Navigieren zum Bildschirm „SSL-VPN Plus“.
- Hinzufügen eines privaten Netzwerks für die Verwendung mit SSL VPN-Plus auf einem NSX Data Center for vSphere-Edge-Gateway.
- Wenn Sie die Clientzertifikatauthentifizierung aktivieren möchten, stellen Sie sicher, dass ein CA-Zertifikat zum Edge-Gateway hinzugefügt wurde. Weitere Informationen finden Sie unter Hinzufügen eines CA-Zertifikats zum Edge-Gateway für die Überprüfung der Vertrauenswürdigkeit von SSL-Zertifikaten.
Prozedur
- Klicken Sie auf die Registerkarte SSL VPN-Plus und anschließend auf Authentifizierung.
- Klicken Sie auf Lokal.
- Konfigurieren Sie die Einstellungen des Authentifizierungsservers.
- (Optional) Aktivieren und konfigurieren Sie die Kennwortrichtlinie.
Option Beschreibung Kennwortrichtlinie aktivieren Aktivieren Sie die Durchsetzung der Einstellungen für die Kennwortrichtlinie, die Sie hier konfigurieren. Kennwortlänge Geben Sie die zulässige minimale und maximale Zeichenanzahl für die Kennwortlänge ein. Mindestanzahl Buchstaben (Optional) Geben Sie die Mindestanzahl von Buchstabe ein, die für das Kennwort erforderlich sind. Mindestanzahl Ziffern (Optional) Geben Sie die Mindestanzahl von numerischen Zeichen ein, die für das Kennwort erforderlich sind. Mindestanzahl Sonderzeichen (Optional) Geben Sie die Mindestanzahl der Sonderzeichen ein, beispielsweise kaufmännisches Und-Zeichen (&), Hashtag (#), Prozentzeichen (%) usw., die für das Kennwort erforderlich sind. Kennwort darf keine Benutzer-ID enthalten (Optional) Aktivieren Sie diese Option, um durchzusetzen, dass das Kennwort nicht die Benutzer-ID enthalten darf. Kennwort läuft ab in (Optional) Geben Sie die maximale Gültigkeitsdauer in Tagen für ein Kennwort ein, bevor der Benutzer es ändern muss. Ablaufbenachrichtigung in (Optional) Geben Sie die Anzahl der Tage vor dem Wert Kennwort läuft ab in ein, bei dem der Benutzer benachrichtigt wird, dass das Kennwort in Kürze abläuft. - (Optional) Aktivieren und konfigurieren Sie die Kontosperrungsrichtlinie.
Option Beschreibung Kontosperrungsrichtlinie aktivieren Aktivieren Sie die Durchsetzung der Einstellungen für die Kontosperrungsrichtlinie, die Sie hier konfigurieren. Wiederholungsanzahl Geben Sie die Anzahl der Zugriffsversuche ein, die ein Benutzer auf sein Konto hat. Wiederholungsdauer Geben Sie das Zeitintervall in Minuten ein, nach dessen Ablauf das Konto des Benutzers bei fehlgeschlagenen Anmeldeversuchen gesperrt wird. Wenn Sie beispielsweise für Wiederholungsanzahl den Wert 5 und für Wiederholungsdauer 1 Minute festlegen, wird das Konto des Benutzers nach 5 fehlgeschlagenen Anmeldeversuchen innerhalb einer Minute gesperrt.
Sperrdauer Geben Sie den Zeitraum ein, für den das Benutzerkonto gesperrt bleibt. Nach Ablauf dieses Zeitraums wird die Kontosperre automatisch aufgehoben.
- Aktivieren Sie im Abschnitt „Status“ diesen Authentifizierungsserver.
- (Optional) Konfigurieren Sie die sekundäre Authentifizierung.
Optionen Beschreibung Diesen Server für die sekundäre Authentifizierung verwenden (Optional) Geben Sie an, ob der Server als zweite Authentifizierungsebene verwendet werden soll. Sitzung bei Fehlschlag der Authentifizierung beenden (Optional) Geben Sie an, ob die VPN-Sitzung beendet werden soll, wenn die Authentifizierung fehlschlägt. - Klicken Sie auf Behalten.
- (Optional) Aktivieren und konfigurieren Sie die Kennwortrichtlinie.
- (Optional) Um die Clientzertifikatauthentifizierung zu aktivieren, klicken Sie auf Zertifikat ändern, aktivieren Sie die Umschaltoption für die Aktivierung und wählen Sie das zu verwendende CA-Zertifikat aus. Klicken Sie anschließend auf OK.
Nächste Maßnahme
Fügen Sie dem lokalen Authentifizierungsserver lokale Benutzer hinzu, damit diese eine Verbindung mit SSL VPN-Plus herstellen können. Weitere Informationen finden Sie unter Hinzufügen von SSL VPN-Plus-Benutzern zum lokalen SSL VPN-Plus-Authentifizierungsserver.
Erstellen Sie ein Installationspaket, das den SSL-Client enthält, damit Remotebenutzer ihn auf ihren lokalen Systemen installieren können. Weitere Informationen finden Sie unter Hinzufügen eines Installationspakets des SSL VPN-Plus-Clients.