Anstelle eines lokalen Benutzers können Sie einen externen Authentifizierungsserver (AD, LDAP, Radius oder RSA) hinzufügen, der an das SSL-Gateway gebunden ist. Alle Benutzer mit Konten auf dem gebundenen Authentifizierungsserver werden authentifiziert.

Warum und wann dieser Vorgang ausgeführt wird

Die maximale Zeit für die Authentifizierung über SSL VPN beträgt 3 Minuten. Der Grund dafür ist, dass die Zeitüberschreitung ohne Authentifizierung 3 Minuten beträgt und eine Eigenschaft ist, die nicht konfiguriert werden kann. Sie werden also in Szenarien, in denen die Zeitüberschreitung mit AD-Authentifizierung auf mehr als 3 Minuten festgelegt ist, oder wenn es mehrere Authentifizierungsserver in Ketten-Autorisierung gibt und die Zeit für eine Benutzerauthentifizierung mehr als 3 Minuten beträgt, nicht authentifiziert.

Prozedur

  1. Wählen Sie auf der Registerkarte SSL VPN-Plus die Option Authentifizierung (Authentication) aus dem linken Fensterbereich.
  2. Klicken Sie auf das Symbol Hinzufügen (Add) (Symbol „Hinzufügen“).
  3. Wählen Sie den Typ des Authentifizierungsservers.
  4. Füllen Sie je nach ausgewähltem Typ des Authentifizierungsservers die folgenden Felder aus.
    • AD-Authentifizierungsserver

      Tabelle 1. AD-Authentifizierungsserveroptionen

      Option

      Beschreibung

      SSL aktivieren (Enable SSL)

      Durch die Aktivierung von SSL wird ein verschlüsselter Link zwischen einem Webserver und einem Browser hergestellt.

      IP-Adresse (IP Address)

      IP-Adresse des Authentifizierungsservers.

      Port

      Zeigt den Standard-Portnamen an. Bearbeiten Sie den Eintrag, falls erforderlich.

      Zeitüberschreitung (Timeout)

      Zeitraum, innerhalb dessen der AD-Server antworten muss (in Sekunden).

      Status

      Wählen Sie Aktiviert (Enabled) bzw. Deaktiviert (Disabled), um anzugeben, ob der Server aktiviert ist.

      Suchdatenbank (Search base)

      Teil der zu durchsuchenden externen Verzeichnisstruktur. Die Suchbasis kann der Organisation, der Gruppe oder dem Domänennamen (AD) des externen Verzeichnisses entsprechen.

      Bind-DN (Bind DN)

      Benutzer auf dem externen AD-Server, der das AD-Verzeichnis innerhalb der definierten Suchdatenbank durchsuchen darf. Meistens darf der Bind-DN das gesamte Verzeichnis durchsuchen. Die Rolle des Bind-DN besteht darin, das Verzeichnis unter Verwendung des Abfragefilters und der Suchbasis für den DN (Distinguished Name) für authentifizierte AD-Benutzer abzufragen. Wenn der DN zurückgegeben wird, werden der DN und das Kennwort zum Authentifizieren des AD-Benutzers verwendet.

      Bind-Kennwort (Bind Password)

      Kennwort zum Authentifizieren des AD-Benutzers.

      Bind-Kennwort erneut eingeben (Retype Bind Password)

      Geben Sie das Kennwort erneut ein.

      Attributname für die Anmeldung (Login Attribute Name)

      Name, mit dem die vom Remotebenutzer eingegebene Benutzer-ID abgeglichen wird. Für Active Directory lautet der Attributname für die Anmeldung sAMAccountName.

      Suchfilter (Search Filter)

      Filterwerte, mit denen die Suche eingeschränkt werden soll. Das Format für Suchfilter lautet attribute operator value.

      Diesen Server für die sekundäre Authentifizierung verwenden (Use this server for secondary authentication)

      Bei Auswahl wird dieser AD-Server als zweite Authentifizierungsebene verwendet.

      Sitzung beenden, wenn Authentifizierung fehlschlägt (Terminate Session if authentication fails)

      Bei Auswahl wird die Sitzung beendet, falls die Authentifizierung fehlschlägt.

    • LDAP-Authentifizierungsserver

      Tabelle 2. LDAP-Authentifizierungsserveroptionen

      Option

      Beschreibung

      SSL aktivieren (Enable SSL)

      Durch die Aktivierung von SSL wird ein verschlüsselter Link zwischen einem Webserver und einem Browser hergestellt.

      IP-Adresse (IP Address)

      IP-Adresse des externen Servers.

      Port

      Zeigt den Standard-Portnamen an. Bearbeiten Sie den Eintrag, falls erforderlich.

      Zeitüberschreitung (Timeout)

      Zeitraum, innerhalb dessen der AD-Server antworten muss (in Sekunden).

      Status

      Wählen Sie Aktiviert (Enabled) bzw. Deaktiviert (Disabled), um anzugeben, ob der Server aktiviert ist.

      Suchdatenbank (Search base)

      Teil der zu durchsuchenden externen Verzeichnisstruktur. Die Suchbasis kann der Organisation, der Gruppe oder dem Domänennamen (AD) des externen Verzeichnisses entsprechen.

      Bind-DN (Bind DN)

      Benutzer auf dem externen Server, der das AD-Verzeichnis innerhalb der definierten Suchdatenbank durchsuchen darf. Meistens darf der Bind-DN das gesamte Verzeichnis durchsuchen. Die Rolle des Bind-DN besteht darin, das Verzeichnis unter Verwendung des Abfragefilters und der Suchbasis für den DN (Distinguished Name) für authentifizierte AD-Benutzer abzufragen. Wenn der DN zurückgegeben wird, werden der DN und das Kennwort zum Authentifizieren des AD-Benutzers verwendet.

      Bind-Kennwort (Bind Password)

      Kennwort zum Authentifizieren des AD-Benutzers.

      Bind-Kennwort erneut eingeben (Retype Bind Password)

      Geben Sie das Kennwort erneut ein.

      Attributname für die Anmeldung (Login Attribute Name)

      Name, mit dem die vom Remotebenutzer eingegebene Benutzer-ID abgeglichen wird. Für Active Directory lautet der Attributname für die Anmeldung sAMAccountName.

      Suchfilter (Search Filter)

      Filterwerte, mit denen die Suche eingeschränkt werden soll. Das Format für Suchfilter lautet attribute operator value.

      Diesen Server für die sekundäre Authentifizierung verwenden (Use this server for secondary authentication)

      Bei Auswahl wird dieser Server als zweite Authentifizierungsebene verwendet.

      Sitzung beenden, wenn Authentifizierung fehlschlägt (Terminate Session if authentication fails)

      Bei Auswahl wird die Sitzung beendet, falls die Authentifizierung fehlschlägt.

    • RADIUS-Authentifizierungsserver

      Tabelle 3. RADIUS-Authentifizierungsserveroptionen

      Option

      Beschreibung

      IP-Adresse (IP Address)

      IP-Adresse des externen Servers.

      Port

      Zeigt den Standard-Portnamen an. Bearbeiten Sie den Eintrag, falls erforderlich.

      Zeitüberschreitung (Timeout)

      Zeitraum, innerhalb dessen der AD-Server antworten muss (in Sekunden).

      Status

      Wählen Sie Aktiviert (Enabled) bzw. Deaktiviert (Disabled), um anzugeben, ob der Server aktiviert ist.

      Schlüssel (Secret)

      Gemeinsamer geheimer Schlüssel, den Sie beim Hinzufügen des Authentifizierungsagenten in der RSA-Sicherheitskonsole festgelegt haben.

      Schlüssel erneut eingeben (Retype secret)

      Geben Sie den gemeinsamen geheimen Schlüssel erneut ein.

      NAS-IP-Adresse (NAS IP Address)

      IP-Adresse, die als RADIUS-Attribut 4, NAS-IP-Adresse, konfiguriert und verwendet werden soll, ohne die Quell-IP-Adresse im IP-Header der RADIUS-Pakete zu ändern.

      Anzahl Wiederholungen (Retry Count)

      Anzahl der Verbindungsversuche, die durchgeführt werden sollen, wenn der RADIUS-Server nicht antwortet.

      Diesen Server für die sekundäre Authentifizierung verwenden (Use this server for secondary authentication)

      Bei Auswahl wird dieser Server als zweite Authentifizierungsebene verwendet.

      Sitzung beenden, wenn Authentifizierung fehlschlägt (Terminate Session if authentication fails)

      Bei Auswahl wird die Sitzung beendet, falls die Authentifizierung fehlschlägt.

    • RSA-ACE-Authentifizierungsserver

      Tabelle 4. RSA-ACE-Authentifizierungsserveroptionen

      Option

      Beschreibung

      Zeitüberschreitung (Timeout)

      Zeitraum, innerhalb dessen der AD-Server antworten muss (in Sekunden).

      Konfigurationsdatei (Configuration File)

      Klicken Sie auf Durchsuchen (Browse), um die Datei sdconf.rec auszuwählen, die Sie aus dem RSA Authentication Manager heruntergeladen haben.

      Status

      Wählen Sie Aktiviert (Enabled) bzw. Deaktiviert (Disabled), um anzugeben, ob der Server aktiviert ist.

      Quell-IP-Adresse (Source IP Address)

      IP-Adresse der NSX Edge-Schnittstelle, über die der RSA-Server verfügbar ist.

      Diesen Server für die sekundäre Authentifizierung verwenden (Use this server for secondary authentication)

      Bei Auswahl wird dieser Server als zweite Authentifizierungsebene verwendet.

      Sitzung beenden, wenn Authentifizierung fehlschlägt (Terminate Session if authentication fails)

      Bei Auswahl wird die Sitzung beendet, falls die Authentifizierung fehlschlägt.

    • Lokaler Authentifizierungsserver

      Tabelle 5. Lokale Authentifizierungsserveroptionen

      Option

      Beschreibung

      Kennwortrichtlinie aktivieren (Enable password policy)

      Ist diese Option aktiviert, wird eine Kennwortrichtlinie definiert. Geben Sie die erforderlichen Werte an.

      Kennwortrichtlinie aktivieren (Enable password policy)

      Ist diese Option aktiviert, wird eine Kontosperrrichtlinie definiert. Geben Sie die erforderlichen Werte an.

      1. Geben Sie unter „Anzahl Wiederholungen” die Anzahl der möglichen Wiederholungsversuche für den Remotebenutzer ein, falls dieser ein falsches Kennwort eingegeben hat.

      2. Geben Sie unter „Wiederholungszeitraum” das Zeitintervall ein, nach dessen Ablauf das Konto des Remotebenutzers bei fehlgeschlagenen Anmeldeversuchen gesperrt wird.

        Wenn Sie beispielsweise für „Anzahl Wiederholungen” den Wert 5 und für „Wiederholungszeitraum” 1 Minute festlegen, wird das Konto des Remotebenutzers nach fünf fehlgeschlagenen Anmeldeversuchen innerhalb einer Minute gesperrt.

      3. Geben Sie unter „Sperrzeitraum” die Dauer der Kontosperre ein. Nach Ablauf dieser Zeitspanne wird die Kontosperre automatisch aufgehoben.

      Status

      Wählen Sie Aktiviert (Enabled) bzw. Deaktiviert (Disabled), um anzugeben, ob der Server aktiviert ist.

      Diesen Server für die sekundäre Authentifizierung verwenden (Use this server for secondary authentication)

      Bei Auswahl wird dieser Server als zweite Authentifizierungsebene verwendet.

      Sitzung beenden, wenn Authentifizierung fehlschlägt (Terminate Session if authentication fails)

      Bei Auswahl wird die Sitzung beendet, falls die Authentifizierung fehlschlägt.