Sicherheitsanbieter: Aktivieren der Anmeldung über LDAP, Active Directory, RADIUS, SAML und Kerberos

Benutzer und Sicherheit > Sicherheitsanbieter

Sicherheitsanbieter

Sie können Ihr Bomgar-Gerät für die Authentifizierung von Benutzern anhand bestehender LDAP-, RADIUS- oder Kerberos-Server konfigurieren und Berechtigungen anhand der bereits vorhandenen Hierarchie und Gruppeneinstellungen zuweisen, die bereits auf Ihren Servern angegeben wurden. Sie können Ihr Bomgar-Gerät für die Authentifizierung von Benutzern anhand bestehender LDAP-, RADIUS-, SAML- oder Kerberos-Server konfigurieren und Berechtigungen anhand der bereits vorhandenen Hierarchie und Gruppeneinstellungen zuweisen, die bereits auf Ihren Servern angegeben wurden. Kerberos ermöglicht die Einzelanmeldung, während RSA und andere Zwei-Faktor-Authentifizierungsmechanismen über RADIUS eine zusätzliche Sicherheitsstufe bieten.

Anbieter erstellen

Erstellen Sie eine neue Sicherheitsanbieter-Konfiguration. Wählen Sie aus dem Dropdown-Menü die Option zur Erstellung eines LDAP-Anbieters, RADIUS-Anbieters, Kerberos-Anbieters oder SAML-Anbieters.

Reihenfolge ändern

Klicken Sie auf diese Schaltfläche, um die Priorität von Sicherheitsanbietern per Drag and Drop festzulegen. Ziehen Sie Server in einem Cluster. Cluster können auch als Ganzes durch Ziehen verschoben werden. Klicken Sie auf Reihenfolge speichern. Dadurch treten die Priorisierungsänderungen in Kraft.

Synchronisieren

Synchronisieren Sie die Benutzer und Gruppen, die einem externen Sicherheitsanbieter zugewiesen wurden. Die Synchronisierung erfolgt automatisch einmal pro Tag. Mit Klick auf diese Schaltfläche erzwingen Sie eine manuelle Synchronisierung.

Protokoll anzeigen

Sehen Sie sich den Statusverlauf für die Verbindung zu einem Sicherheitsanbieter an.

Deaktivieren

Diese Sicherheitsanbieter-Verbindung deaktivieren. Dies ist für Routinewartungen hilfreich, bei denen ein Server offline genommen, aber nicht gelöscht werden soll.

Bearbeiten, löschen

Bearbeiten oder entfernen Sie ein bestehendes Objekt.

Knoten duplizieren

Erstellen Sie eine Kopie einer bestehenden, in einem Cluster befindlichen Sicherheitsanbieter-Konfiguration. Diese wird als neuer Knoten im gleichen Cluster hinzugefügt.

Auf Cluster upgraden

Stufen Sie einen Sicherheitsanbieter auf einen Sicherheitsanbieter-Cluster auf. Um diesem Cluster mehr Sicherheitsanbieter hinzuzufügen, kopieren Sie einen bestehenden Knoten.

Kopie erstellen

Erstellen Sie eine Kopie einer bestehenden Sicherheitsanbieter-Konfiguration. Diese wird als Sicherheitsanbieter auf oberster Ebene und nicht als Teil eines Clusters hinzugefügt.

Sicherheitsanbieter :: Bearbeiten - LDAP

Allgemeine Einstellungen

Name

Erstellen Sie einen eindeutigen Namen, um diesen Anbieter leichter zu identifizieren.

Aktiviert: Dieser Anbieter ist aktiviert

Falls aktiviert, kann Ihr Bomgar-Gerät diesen Sicherheitsanbieter durchsuchen, wenn sich ein Benutzer anmeldet. Falls nicht aktiviert, wird dieser Sicherheitsanbieter nicht durchsucht.

Benutzerattribute: Benutzerinformationen mit LDAP-Server synchronisiert lassen

Die Anzeigenamen werden entsprechend der unten definierten Benutzerschemaeinstellungen festgelegt. Wenn Sie das Fotoattribut eines Benutzers synchronisieren möchten, muss diese Option aktiviert sein.

Synchronisierung: LDAP-Objektzwischenspeicher aktivieren

Falls aktiviert, werden dem Gerät sichtbare LDAP-Objekte nächtlich oder falls gewünscht manuell synchronisiert. Bei der Verwendung dieser Option werden weniger Verbindungen zum LDAP-Server zu Verwaltungszwecken vorgenommen, was Geschwindigkeit und Effizienz zu Gute kommt.

Falls nicht aktiviert, sind Änderungen am LDAP-Server sofort verfügbar. Es ist keine Synchronisierung notwendig. Wenn Sie jedoch über die Verwaltungsschnittstelle Änderungen an Benutzerrichtlinien vornehmen, kann es zu kurzen LDAP-Verbindungen kommen.

Für Anbieter, die die Synchronisierungseinstellung zuvor aktiviert hatten, führt das Deaktivieren der Synchronisierungsoption zur Löschung aller zwischengespeicherter Einträge, die aktuell nicht verwendet werden.

Autorisierungseinstellungen

Benutzerauthentifizierung

Gestattet bei Aktivierung die Definition von Gruppen suchen.

Gruppen suchen

Wählen Sie, ob dieser Sicherheitsanbieter nur zur Benutzerauthentifizierung, nur für Gruppensuchen oder für beides verwendet werden soll. Benutzerauthentifizierung muss gewählt werden, damit diese Option verfügbar wird.

Standardmäßige Gruppenrichtlinie (Nur sichtbar, wenn die Benutzerauthentifizierung gestattet wurde)

Jeder Benutzer, der sich an einem externen Server authentifiziert, muss Mitglied mindestens einer Gruppenrichtlinie sein, damit er sich an Ihrem Bomgar-Gerät authentifizieren, sich an der /login-Schnittstelle oder in der Konsole des Support-Technikers anmelden kann. Sie können eine standardmäßige Gruppenrichtlinie wählen, die für alle Benutzer gelten soll, die sich am konfigurierten Server authentifizieren können.

Beachten Sie: Wird eine Standardrichtlinie definiert, hat potenziell jeder gestattete Benutzer, der sich an diesem Server authentifiziert, auf der Ebene dieser Standardrichtlinie Zugriff. Daher wird empfohlen, als Standardrichtlinie eine Richtlinie mit minimalen Berechtigungen festzulegen, damit Benutzer nicht Berechtigungen erhalten, die sie nicht besitzen sollen.

Hinweis: Wenn sich ein Benutzer in einer standardmäßigen Gruppenrichtlinie befindet und dann zu einer anderen, spezifischen Gruppenrichtlinie hinzugefügt wird, gelten die Einstellungen für die spezifische Gruppenrichtlinie stets vor den Einstellungen der standardmäßigen Gruppenrichtlinie, auch dann, wenn die spezifische Richtlinie eine geringere Priorität hat als die standardmäßige Richtlinie und auch wenn die Einstellungen der standardmäßigen Gruppenrichtlinie kein Überschreiben von Einstellungen gestatten.

Verbindungseinstellungen

Hostname

Geben Sie den Hostnamen des Servers ein, der Ihren externen Verzeichnisspeicher beinhaltet.

Hinweis: Wenn Sie LDAPS oder LDAP mit TLS verwenden, muss der Hostname mit dem Hostnamen im Subject-Namen des öffentlichen SSL-Zertifikats, das Ihr LDAP-Server verwendet, übereinstimmen, oder mit der DNS-Komponente des alternativen Subject-Namens.

Port

Geben Sie den Port für Ihren LDAP-Server an. Dies ist in der Regel Port 389 für LDAP oder Port 636 für LDAPS. Bomgar unterstützt ebenfalls Global Catalog über den Port 3268 für LDAP oder 3269 für LDAPS.

Verschlüsselung

Wählen Sie den Verschlüsselungstyp zur Kommunikation mit dem LDAP-Server aus. Aus Sicherheitsgründen wird LDAPS oder LDAP mit TLS empfohlen.

Hinweis: Reguläres LDAP sendet und empfängt Daten in Klartext zum und vom LDAP-Server. Damit werden möglicherweise empfindliche Benutzerkontoinformationen gegenüber Packet-Sniffern anfällig. Sowohl LDAPS und LDAP mit TLS verschlüsseln Benutzerdaten bei der Übertragung. Diese Methoden werden daher anstelle des regulären LDAP empfohlen. LDAP mit TLS verwendet die StartTLS-Funktion, um eine Verbindung über Klartext-LDAP zu initiieren, setzt diese Verbindung dann jedoch zu einer verschlüsselten Verbindung herauf. LDAPS initiiert die Verbindung verschlüsselt und sendet keinerlei Daten in Klartext.

Wenn Sie LDAPS oder LDAP mit TLS wählen, müssen Sie das oberste SSL-Zertifikat hochladen, das von Ihrem LDAP-Server verwendet wird. Dies ist nötig, um die Gültigkeit des Servers und die Sicherheit der Daten sicherzustellen. Das oberste Zertifikat muss im PEM-Format vorliegen.

Hinweis: Wenn der Betreffname oder die DNS-Komponente des alternativen Betreffnamens des öffentlichen SSL-Zertifikats für den LDAP-Server nicht mit dem Wert im Feld Hostname übereinstimmt, wird der Anbieter als unerreichbar behandelt. Sie können jedoch ein Wildcard-Zertifikat verwenden, um mehrere Subdomänen der gleichen Site zu zertifizieren. Zum Beispiel zertifiziert ein Zertifikat für *.example.com sowohl support.example.com als auch remote.example.com.

Anmeldedaten binden

Geben Sie einen Benutzernamen und ein Kennwort an, das Ihr Bomgar-Gerät an den LDAP-Verzeichnisspeicher binden kann, um diesen zu durchsuchen.

Wenn Ihr Server anonyme Bindungen gestattet, können Sie die Bindung auch ohne Angabe von Benutzername und Kennwort durchführen. Anonyme Bindungen gelten als unsicher und sind standardmäßig an den meisten LDAP-Servern deaktiviert.

Verbindungsmethode

Wenn Sie einen externen Verzeichnisspeicher im gleichen lokalen Netzwerk wie Ihr Bomgar-Gerät verwenden, können die beiden Systeme möglicherweise direkt kommunizieren. In diesem Fall können Sie die Option Proxy vom Gerät über den Connection Agent deaktiviert belassen und mit der Einrichtung fortfahren.

Da Ihr externer Verzeichnisspeicher sich nicht am selben Netzwerk wie Ihr Bomgar Cloud-Gerät befindet, ist eine direkte Kommunikation nicht möglich. Daher ist ein Verbindungsagent erforderlich.

Wenn die beiden Systeme nicht direkt miteinander kommunizieren können, z. B. wenn sich Ihr externer Verzeichnisserver hinter einer Firewall befindet, müssen Sie einen Connection Agent verwenden. Mit dem Herunterladen des Win32 Connection Agent ermöglichen Sie Ihrem Verzeichnisserver und Ihrem Bomgar-Gerät, über eine SSL-verschlüsselte, ausgehende Verbindung auch ohne Firewall-Konfiguration zu kommunizieren. Der Connection Agent kann entweder auf den Verzeichnisserver oder einen separaten Server im Netzwerk (empfohlen) heruntergeladen werden.

Aktivieren Sie im obigen Fall Proxy vom Gerät über den Connection Agent. Erstellen Sie ein Kennwort für Connection Agent zur Verwendung im Installationsprozess für den Connection Agent. Klicken Sie dann auf Connection Agent herunterladen, führen Sie das Installationsprogramm aus und folgen Sie dem Installationsassistenten. Während der Installation werden Sie aufgefordert, den Namen des Sicherheitsanbieters und das Kennwort für den Connection Agent einzugeben, das Sie oben erstellt haben.

Hinweis: Bomgar Cloud-Kunden müssen den Verbindungsagenten ausführen, um einen externen Verzeichnisspeicher nutzen zu können.

Verzeichnistyp

Um die Konfiguration der Netzwerkverbindung zwischen Ihrem Bomgar-Gerät und Ihrem Sicherheitsanbieter zu vereinfachen, können Sie einen Verzeichnistyp als Vorlage auswählen. Damit werden die untenstehenden Konfigurationsfelder mit Standarddaten vorausgefüllt. Diese müssen jedoch angepasst werden, um der spezifischen Konfiguration Ihres Sicherheitsanbieters zu entsprechen. Active Directory LDAP ist der am weitesten verbreitete Servertyp, aber Sie können Bomgar auch auf die Kommunikation mit den meisten Sicherheitsanbietern konfigurieren.

Cluster-Einstellungen (nur für Cluster sichtbar)

Mitgliederauswahlalgorithmus

Wählen Sie die Methode zum Suchen der Knoten in diesem Cluster.

Von oben nach unten versucht zunächst, eine Verbindung zum Server mit der höchsten Priorität im Cluster herzustellen. Wenn dieser Server nicht verfügbar ist oder das Konto nicht gefunden wird, wird die Verbindung zum Server mit der nächsthöheren Priorität aufgebaut. So läuft die Suche durch die Liste der Cluster-Server, bis das Konto entweder gefunden oder festgestellt wird, dass das Konto auf keinem der angegebenen und verfügbaren Server existiert.

Round-Robin ist darauf ausgelegt, die Arbeitslast zwischen mehreren Servern auszugleichen. Der Algorithmus wählt zufällig einen ersten Server zum Verbindungsaufbau aus. Ist dieser Server nicht verfügbar oder das Konto wird nicht gefunden, wird auf Zufallsbasis ein anderer Server ausgewählt. Die Suche wird so durch die weiteren Server im Cluster zufällig fortgesetzt, bis das Konto entweder gefunden oder festgestellt wird, dass das Konto auf keinem der angegebenen und verfügbaren Server existiert.

Verzögerung Wiederholter Versuch

Legen Sie fest, wie lange mit dem nächsten Versuch gewartet werden soll, nachdem ein Cluster-Mitglied nicht mehr verfügbar ist.

Benutzerschemaeinstellungen

Cluster-Werte überschreiben (nur für Cluster-Knoten sichtbar)

Wenn diese Option deaktiviert bleibt, verwendet dieser Cluster-Knoten die gleichen Schemaeinstellungen wie der Cluster. Wird die Option nicht aktiviert, können Sie die untenstehenden Schemaeinstellungen ändern.

Basis-DN suchen

Legen Sie die Ebene in Ihrer Verzeichnishierarchie fest (angegeben durch einen repräsentativen Namen), auf der das Bomgar-Gerät mit der Benutzersuche beginnen soll. Abhängig von der Größe Ihres Verzeichnisspeichers und der Benutzer, die Bomgar-Konten erfordern, können Sie die Leistung verbessern, indem Sie die genaue Geschäftseinheit innerhalb Ihres Verzeichnisspeichers angeben, die den Zugriff erfordert. Wenn Sie sich nicht sicher sind oder wenn Benutzer mehrere Geschäftseinheiten umspannen, können Sie auch den obersten repräsentativen Namen Ihres Verzeichnisspeichers angeben.

Benutzerabfrage

Geben Sie die Abfrageinformationen an, welche das Bomgar-Gerät verwenden soll, um einen LDAP-Benutzer ausfindig zu machen, wenn dieser Benutzer versucht sich anzumelden. Das Feld Benutzerabfrage akzeptiert eine standardmäßige LDAP-Abfrage (RFC 2254 – „String Representation of LDAP Search Filters“). Sie können die Abfrage-Zeichenfolge ändern und so bestimmen, wie sich Ihre Benutzer anmelden und welche Arten von Benutzernamen akzeptiert werden. Um den Wert innerhalb der Zeichenfolge anzugeben, der als Benutzername dienen soll, ersetzen Sie diesen Wert mit *.

Navigationsanfrage

Beim Durchsuchen über Gruppenrichtlinien oder Embassies beeinflusst die Durchsuchen-Abfrage, wie Ergebnisse angezeigt werden. Damit werden Ergebnisse so gefiltert, dass nur bestimmte Ergebnisse im Dropdown-Menü der Mitgliedsauswahl angezeigt werden, wenn Sie Mitglieder zu einer Gruppenrichtlinie oder Embassy hinzufügen.

Objektklassen

Geben Sie gültige Objektklassen für einen Benutzer in Ihrem Verzeichnisspeicher an. Nur Benutzern mit mindestens einer dieser Objektklassen ist die Authentifizierung gestattet. Diese Objektklassen werden auch mit den untenstehenden Attributnamen verwendet, um für Ihr Bomgar-Gerät das Schema zu kennzeichnen, das der LDAP-Server zur Identifizierung von Benutzern verwendet. Sie können mehrere Objektklassen eingeben, eine pro Zeile.

Attributnamen

Geben Sie an, welche Felder für die eindeutige ID und den Anzeigenamen eines Benutzers verwendet werden sollen.

Eindeutige ID

Dieses Feld benötigt eine eindeutige Kennung für das Objekt. Auch wenn der repräsentative Name als diese ID dienen kann, kann sich der repräsentative Name eines Benutzers im Laufe der Zeit häufig ändern, etwa aufgrund von Namens- oder Standortänderungen oder durch die Umbenennung des LDAP-Speichers. Daher verwenden die meisten LDAP-Server ein Feld, das pro Objekt einzigartig ist und sich für die gesamte Lebenszeit des Benutzers nicht ändert. Wenn Sie den repräsentativen Namen als einzigartige ID verwenden und sich der repräsentative Name eines Benutzers ändert, wird dieser Benutzer als neuer Benutzer angesehen und jegliche Änderungen, die am Bomgar-Benutzerkonto dieser Person vorgenommen werden, werden nicht für den neuen Benutzer übernommen. Wenn Ihr LDAP-Server keine einzigartige Kennung verwendet, verwenden Sie ein Feld, das nicht zu einem identischen Eintrag bei einem anderen Benutzer führen wird.

Verwenden des gleichen Attributs für öffentliche und private Anzeigenamen

Ist diese Option aktiviert, können Sie separate Werte für die privaten und öffentlichen Anzeigenamen des Benutzers angeben.

Anzeigenamen

Diese Felder legen fest, welche Felder als die privaten und öffentlichen Anzeigenamen des Benutzers verwendet werden.

E-Mail

Das E-Mail-Attribut synchronisiert die Benutzer-E-Mail-Adresse über LDAP. Bitte beachten Sie, dass die Sonderzeichen ? und ! nicht verwendet werden können.

 

Foto

Dieses Feld ermöglicht Ihnen die Konfiguration von LDAP-Anbietern zur Synchronisierung von Support-Techniker-Fotos über LDAP. Standardmäßig verwenden die Einstellungsvorlagen für Active Directory, Novell eDirectory und OpenLDAP alle das Attribut *:jpegPhoto. Administratoren können das Attribut bei Bedarf ändern. Wird kein Attribut angegeben, werden keine Fotos von LDAP abgerufen.

Fotos in LDAP müssen als JPEG-Bilder und entweder als Rohbinär- oder Base64-enkodierte Daten gespeichert werden. Der Bomgar Remote Support erkennt automatisch die Enkodierung und dekodiert diese wie erforderlich.

Gruppenschemaeinstellungen (Nur bei der Durchführung von Gruppensuchen sichtbar)

Basis-DN suchen

 

Legen Sie die Ebene in Ihrer Verzeichnishierarchie fest (angegeben durch einen repräsentativen Namen), auf der das Bomgar-Gerät mit der Gruppensuche beginnen soll. Abhängig von der Größe Ihres Verzeichnisspeichers und der Gruppen, welche Zugriff auf das Bomgar-Gerät erfordern, können Sie die Leistung verbessern, indem Sie die genaue Geschäftseinheit innerhalb Ihres Verzeichnisspeichers angeben, welche den Zugriff erfordert. Wenn Sie sich nicht sicher sind oder wenn Gruppen mehrere Geschäftseinheiten beinhalten, können Sie auch den obersten repräsentativen Namen Ihres Verzeichnisspeichers angeben.

Navigationsanfrage

Beim Durchsuchen über Gruppenrichtlinien oder Embassies beeinflusst die Durchsuchen-Abfrage, wie Ergebnisse angezeigt werden. Damit werden Ergebnisse so gefiltert, dass nur bestimmte Ergebnisse im Dropdown-Menü der Mitgliedsauswahl angezeigt werden, wenn Sie Mitglieder zu einer Gruppenrichtlinie oder Embassy hinzufügen.

Objektklassen

Geben Sie gültige Objektklassen für eine Gruppe innerhalb Ihres Verzeichnisspeichers an. Nur Gruppen mit mindestens einer dieser Objektklassen werden zurückgegeben. Diese Objektklassen werden auch mit den untenstehenden Attributnamen verwendet, um für Ihr Bomgar-Gerät zu kennzeichnen, welches Schema der LDAP-Server zum Identifizieren von Gruppen verwendet. Sie können mehrere Gruppenobjektklassen eingeben, eine pro Zeile.

Attributnamen

Geben Sie an, welche Felder für die eindeutige ID und den Anzeigenamen einer Gruppe verwendet werden sollten.

Eindeutige ID

Dieses Feld benötigt eine eindeutige Kennung für das Objekt. Auch wenn der repräsentative Name als diese ID dienen kann, kann sich der repräsentative Name einer Gruppe im Laufe der Zeit häufig ändern, etwa aufgrund von Standortänderungen oder durch die Umbenennung des LDAP-Speichers. Daher verwenden die meisten LDAP-Server ein Feld, das pro Objekt einzigartig ist und sich für die gesamte Lebenszeit der Gruppe nicht ändert. Wenn Sie den repräsentativen Namen als einzigartige ID verwenden und sich der repräsentative Name eine Gruppe ändert, wird diese Gruppe als neue Gruppe angesehen und jegliche Gruppenrichtlinien, die für diese Gruppe definiert wurden, werden nicht für die neue Gruppe übernommen. Wenn Ihr LDAP-Server keine einzigartige Kennung verwendet, verwenden Sie ein Feld, das nicht zu einem identischen Eintrag bei einer anderen Gruppe führen wird.

Anzeigename

Dieser Wert legt fest, welches Feld als Anzeigename der Gruppe verwendet werden soll.

Benutzer-zu-Gruppen-Beziehungen

Dieses Feld fordert eine Abfrage an, um festzustellen, welche Benutzer welchen Gruppen zugehören oder welche Gruppen welche Benutzer enthalten.

Rekursive Gruppensuche durchführen

Sie können eine rekursive Suche für Gruppen durchführen. Damit wird eine Abfrage für einen Benutzer durchgeführt; daraufhin werden alle Gruppen abgefragt, zu denen dieser Benutzer gehört; daraufhin werden alle Gruppen abgefragt, zu denen diese Gruppen gehören und so weiter, bis alle möglichen mit diesem Benutzer assoziierten Gruppen gefunden wurden.

Die Ausführung einer rekursiven Suche kann sich beträchtlich auf die Leistung auswirken, da der Server weiter Abfragen durchführt, bis Informationen zu allen Gruppen gefunden wurden. Dauert dies zu lange, können sich Benutzer möglicherweise nicht anmelden.

Eine nichtrekursive Suche führt nur eine Abfrage pro Benutzer durch. Wenn Ihr LDAP-Server ein spezielles Feld besitzt, das alle Gruppen enthält, zu denen der Benutzer gehört, ist die rekursive Suche nicht nötig. Die rekursive Suche ist ebenfalls nicht nötig, wenn Ihr Verzeichnis-Design Gruppenmitglieder von Gruppen nicht berücksichtigt.

Einstellungen testen

Benutzername und Kennwort

Geben Sie einen Benutzernamen und ein Kennwort für ein Konto ein, das auf dem zu testenden Server existiert. Dieses Konto muss die in der obigen Konfiguration angegebenen Anmeldungskriterien erfüllen.

Es wird versucht, Benutzerattribute und Gruppenmitgliedschaften abzurufen, wenn die Anmeldedaten angenommen werden

Wird diese Option aktiviert, versucht der erfolgreiche Anmeldedatentest auch, die Benutzerattribute und Gruppensuche zu prüfen. Beachten Sie, dass für den erfolgreichen Test dieser Funktionen diese in Ihrem Sicherheitsanbieter unterstützt und konfiguriert sein müssen.

Test starten

Wenn Ihr Server ordnungsgemäß konfiguriert ist und Sie einen gültigen Benutzernamen und ein Kennwort zum Testen eingegeben haben, erhalten Sie eine positive Meldung. Andernfalls sehen Sie eine Fehlermeldung und ein Protokoll, das bei der Fehlerbehebung helfen kann.

Sicherheitsanbieter :: Bearbeiten - RADIUS

Allgemeine Einstellungen

Name

Erstellen Sie einen eindeutigen Namen, um diesen Anbieter leichter zu identifizieren.

Aktiviert: Dieser Anbieter ist aktiviert

Falls aktiviert, kann Ihr Bomgar-Gerät diesen Sicherheitsanbieter durchsuchen, wenn sich ein Benutzer anmeldet. Falls nicht aktiviert, wird dieser Sicherheitsanbieter nicht durchsucht.

Anzeigenamen: Anzeigenamen mit Remote-System synchronisiert lassen

Diese Felder legen fest, welche Felder als die privaten und öffentlichen Anzeigenamen des Benutzers verwendet werden.

Autorisierungseinstellungen

Nur die folgenden Benutzer zulassen

Sie können den Zugriff nur bestimmten Benutzern auf Ihrem RADIUS-Server gewähren. Jeder Benutzername sollte dabei durch einen Zeilenumbruch getrennt werden. Nach der Eingabe stehen diese Benutzer über das Dialogfeld Richtlinienmitglied hinzufügen bei der Bearbeitung von Gruppenrichtlinien auf der Seite /login > Benutzer und Sicherheit > Gruppenrichtlinien zur Verfügung.

Wenn Sie dieses Feld leer lassen, werden alle Benutzer zugelassen, die sich über Ihren RADIUS-Server authentifizieren. Wenn Sie alle Benutzer zulassen, müssen Sie außerdem eine standardmäßige Gruppenrichtlinie angeben.

LDAP-Gruppensuche

Wenn Benutzer dieses Sicherheitsanbieters ihren Gruppen auf einem separaten LDAP-Server zugewiesen werden sollen, wählen Sie einen oder mehrere LDAP-Gruppenserver, die zur Gruppensuche verwendet werden sollen.

Standardmäßige Gruppenrichtlinie

Jeder Benutzer, der sich an einem externen Server authentifiziert, muss Mitglied mindestens einer Gruppenrichtlinie sein, damit er sich an Ihrem Bomgar-Gerät authentifizieren, sich an der /login-Schnittstelle oder in der Konsole des Support-Technikers anmelden kann. Sie können eine standardmäßige Gruppenrichtlinie wählen, die für alle Benutzer gelten soll, die sich am konfigurierten Server authentifizieren können.

Verbindungseinstellungen

Hostname

Geben Sie den Hostnamen des Servers ein, der Ihren externen Verzeichnisspeicher beinhaltet.

Port

Geben Sie den Authentifizierungsport für Ihren RADIUS-Server an. Dies ist in der Regel 1812.

Verbindungsmethode

Wenn Sie einen externen Verzeichnisspeicher im gleichen lokalen Netzwerk wie Ihr Bomgar-Gerät verwenden, können die beiden Systeme möglicherweise direkt kommunizieren. In diesem Fall können Sie die Option Proxy vom Gerät über den Connection Agent deaktiviert belassen und mit der Einrichtung fortfahren.

Da Ihr externer Verzeichnisspeicher sich nicht am selben Netzwerk wie Ihr Bomgar Cloud-Gerät befindet, ist eine direkte Kommunikation nicht möglich. Daher ist ein Verbindungsagent erforderlich.

Wenn die beiden Systeme nicht direkt miteinander kommunizieren können, z. B. wenn sich Ihr externer Verzeichnisserver hinter einer Firewall befindet, müssen Sie einen Connection Agent verwenden. Mit dem Herunterladen des Win32 Connection Agent ermöglichen Sie Ihrem Verzeichnisserver und Ihrem Bomgar-Gerät, über eine SSL-verschlüsselte, ausgehende Verbindung auch ohne Firewall-Konfiguration zu kommunizieren. Der Connection Agent kann entweder auf den Verzeichnisserver oder einen separaten Server im Netzwerk (empfohlen) heruntergeladen werden.

Aktivieren Sie im obigen Fall Proxy vom Gerät über den Connection Agent. Erstellen Sie ein Kennwort für Connection Agent zur Verwendung im Installationsprozess für den Connection Agent. Klicken Sie dann auf Connection Agent herunterladen, führen Sie das Installationsprogramm aus und folgen Sie dem Installationsassistenten. Während der Installation werden Sie aufgefordert, den Namen des Sicherheitsanbieters und das Kennwort für den Connection Agent einzugeben, das Sie oben erstellt haben.

Hinweis: Bomgar Cloud-Kunden müssen den Verbindungsagenten ausführen, um einen externen Verzeichnisspeicher nutzen zu können.

Gemeinsamer geheimer Schlüssel

Geben Sie einen neuen gemeinsamen geheimen Schlüssel an, damit Ihr Bomgar-Gerät mit Ihrem RADIUS-Server kommunizieren kann.

Zeitüberschreitung (Sekunden)

Maximale Wartezeit, für die auf eine Antwort vom Server gewartet werden soll. Beachten Sie: Bei einer Antwort vom Typ Response-Accept oder Response-Challenge wird RADIUS den gesamten hier angegebenen Zeitraum über warten, bevor das Konto authentifiziert wird. Daher empfehlen wir, diesen Wert abhängig von Ihren Netzwerkeinstellungen so gering wie möglich zu halten. Ein idealer Wert ist 3-5 Sekunden, mit einem Maximalwert von drei Minuten.

Cluster-Einstellungen (nur für Cluster sichtbar)

Mitgliederauswahlalgorithmus

Wählen Sie die Methode zum Suchen der Knoten in diesem Cluster.

Von oben nach unten versucht zunächst, eine Verbindung zum Server mit der höchsten Priorität im Cluster herzustellen. Wenn dieser Server nicht verfügbar ist oder das Konto nicht gefunden wird, wird die Verbindung zum Server mit der nächsthöheren Priorität aufgebaut. So läuft die Suche durch die Liste der Cluster-Server, bis das Konto entweder gefunden oder festgestellt wird, dass das Konto auf keinem der angegebenen und verfügbaren Server existiert.

Round-Robin ist darauf ausgelegt, die Arbeitslast zwischen mehreren Servern auszugleichen. Der Algorithmus wählt zufällig einen ersten Server zum Verbindungsaufbau aus. Ist dieser Server nicht verfügbar oder das Konto wird nicht gefunden, wird auf Zufallsbasis ein anderer Server ausgewählt. Die Suche wird so durch die weiteren Server im Cluster zufällig fortgesetzt, bis das Konto entweder gefunden oder festgestellt wird, dass das Konto auf keinem der angegebenen und verfügbaren Server existiert.

Verzögerung Wiederholter Versuch

Legen Sie fest, wie lange mit dem nächsten Versuch gewartet werden soll, nachdem ein Cluster-Mitglied nicht mehr verfügbar ist.

Einstellungen testen

Benutzername und Kennwort

Geben Sie einen Benutzernamen und ein Kennwort für ein Konto ein, das auf dem zu testenden Server existiert. Dieses Konto muss die in der obigen Konfiguration angegebenen Anmeldungskriterien erfüllen.

Es wird versucht, Benutzerattribute und Gruppenmitgliedschaften abzurufen, wenn die Anmeldedaten angenommen werden

Wird diese Option aktiviert, versucht der erfolgreiche Anmeldedatentest auch, die Benutzerattribute und Gruppensuche zu prüfen. Beachten Sie, dass für den erfolgreichen Test dieser Funktionen diese in Ihrem Sicherheitsanbieter unterstützt und konfiguriert sein müssen.

Test starten

Wenn Ihr Server ordnungsgemäß konfiguriert ist und Sie einen gültigen Benutzernamen und ein Kennwort zum Testen eingegeben haben, erhalten Sie eine positive Meldung. Andernfalls sehen Sie eine Fehlermeldung und ein Protokoll, das bei der Fehlerbehebung helfen kann.

Sicherheitsanbieter :: Bearbeiten - Kerberos

Allgemeine Einstellungen

Name

Erstellen Sie einen eindeutigen Namen, um diesen Anbieter leichter zu identifizieren.

Aktiviert: Dieser Anbieter ist aktiviert

Falls aktiviert, kann Ihr Bomgar-Gerät diesen Sicherheitsanbieter durchsuchen, wenn sich ein Benutzer anmeldet. Falls nicht aktiviert, wird dieser Sicherheitsanbieter nicht durchsucht.

Benutzer- und Anzeigenamen: Anzeigenamen mit Remote-System synchronisiert lassen

Diese Felder legen fest, welche Felder als die privaten und öffentlichen Anzeigenamen des Benutzers verwendet werden.

Realm aus Principal-Namen entfernen

Wählen Sie diese Option, um den REALM-Teil aus dem Benutzer-Principal-Namen zu entfernen, wenn Sie den Bomgar-Benutzernamen erstellen.

Autorisierungseinstellungen

Benutzer-Bearbeitungsmodus

Wählen Sie, welche Benutzer sich an Ihrem Bomgar-Gerät authentifizieren können. Alle Benutzer zulassen gestattet es allen, die sich aktuell über Ihr KDC authentifizieren. Nur in der Liste angegebene Benutzer-Principals zulassen gestattet nur ausdrücklich angegebene Benutzer-Principals. Nur Benutzer-Principals, die mit der Regex übereinstimmen, zulassen gestattet nur Benutzer-Principals, die mit einem Perl-kompatiblen regulären Ausdruck (PCRE) übereinstimmen.

SPN-Bearbeitungsmodus: Nur in der Liste angegebene SPNs zulassen

Falls deaktiviert, sind alle konfigurierten Service Principal Names (SPNs) für diesen Sicherheitsanbieter gestattet. Falls aktiviert, wählen Sie bestimmte SPNs aus einer Liste aktuell konfigurierter SPNs.

LDAP-Gruppensuche

Wenn Benutzer dieses Sicherheitsanbieters ihren Gruppen auf einem separaten LDAP-Server zugewiesen werden sollen, wählen Sie einen oder mehrere LDAP-Gruppenserver, die zur Gruppensuche verwendet werden sollen.

Standardmäßige Gruppenrichtlinie

Jeder Benutzer, der sich an einem externen Server authentifiziert, muss Mitglied mindestens einer Gruppenrichtlinie sein, damit er sich an Ihrem Bomgar-Gerät authentifizieren, sich an der /login-Schnittstelle oder in der Konsole des Support-Technikers anmelden kann. Sie können eine standardmäßige Gruppenrichtlinie wählen, die für alle Benutzer gelten soll, die sich am konfigurierten Server authentifizieren können.

Sicherheitsanbieter :: Bearbeiten - SAML

Allgemeine Einstellungen

Name

Der Name Ihres SAML-Anbieters wird automatisch generiert und kann aktuell nicht bearbeitet werden.

Aktiviert: Dieser Anbieter ist aktiviert

Falls aktiviert, kann Ihr Bomgar-Gerät diesen Sicherheitsanbieter durchsuchen, wenn sich ein Benutzer anmeldet. Falls nicht aktiviert, wird dieser Sicherheitsanbieter nicht durchsucht.

Identitätsanbietereinstellungen

Metadaten

Die Metadatendatei enthält alle Informationen, die für die anfängliche Einrichtung Ihres SAML-Anbieters erforderlich sind, und muss von Ihrem Identitätsanbieter heruntergeladen werden. Speichern Sie die XML-Datei und klicken Sie dann auf Datei wählen, um die ausgewählte Datei zu wählen und hochzuladen.

Entitäts-ID

Eindeutige Kennung für den verwendeten Identitätsanbieter.

Einzelanmeldungsdienst-URL

Wenn Sie sich mithilfe von SAML in Bomgar anmelden möchten, ist dies die URL, auf die Sie zur Anmeldung automatisch weitergeleitet werden.

Protokoll-Bindung

Legt fest, ob ein Benutzer veröffentlicht oder zur Anmeldungs-URL weitergeleitet wird. Dies sollte standardmäßig auf „Weiterleiten“ belassen werden, soweit nicht anderweitig vom Identitätsanbieter gefordert.

Zertifikat

Dieses Zertifikat wird verwendet, um die Signatur der Nachricht zu verifizieren, die vom Identitätsanbieter gesendet wurde.

Hinweis: Die Felder für Entitäts-ID, Einzelanmeldungsdienst-URL und Zertifikat werden automatisch über die Metadatendatei des Identitätsanbieters ausgefüllt. Wenn Sie keine Metadatendatei von Ihrem Anbieter abrufen können, können die Informationen auch manuell eingegeben werden.

Serviceanbietereinstellungen

Metadaten

Laden Sie die Bomgar-Metadaten herunter, die Sie dann bei Ihrem Identitätsanbieter hochladen müssen.

Entitäts-ID

Dies ist Ihre Bomgar-URL. Sie identifiziert den Serviceanbieter eindeutig.

Privater Schlüssel

Falls nötig, können Sie vom Identitätsanbieter gesendete Nachrichten entschlüsseln, falls diese die Verschlüsselung unterstützen und erfordern. Klicken Sie auf Datei wählen, um den privaten Schlüssel hochzuladen, der für die Entschlüsselung der vom Identitätsanbieter gesendeten Nachrichten notwendig ist.

Benutzerbereitstellungseinstellungen

Benutzerattribut

SAML-Attribute werden zur Bereitstellung von Benutzern in Bomgar verwendet. Die Standardwerte gleichen Bomgar-zertifizierte Anwendungen mit bestimmten Identitätsanbietern ab. Wenn Sie Ihren eigenen SAML-Connector erstellen, müssen Sie möglicherweise die Attribute an die Angaben Ihres Identitätsanbieters anpassen.

Autorisierungseinstellungen

Gruppensuchen

Dies ist das SAML-Attribut, das die Namen der Gruppen enthält, zu denen Benutzer gehören sollten. Der Standardname für die Bomgar-Anwendungen lautet „Gruppen“.

Hinweis: Wenn der Attributwert mehrere Gruppennamen enthält, geben Sie das Trennzeichen zur Trennung der Namen ein. Wenn das Trennzeichen leer gelassen wird, kann der Attributwert mehrere XML-Knoten mit jeweils unterschiedlichen Namen enthalten.

Verfügbare Gruppen

Gestattet eine vordefinierte Liste von Gruppen, die dem Sicherheitsanbieter zugeordnet werden soll. Diese Liste kann dann verwendet werden, um eine Gruppe der entsprechenden Gruppenrichtlinie zuzuordnen.

Standardmäßige Gruppenrichtlinie

Wählen Sie die Gruppe, der Benutzer standardmäßig zugeordnet werden. Benutzern werden Einstellungen, die in der standardmäßigen Gruppenrichtlinie definiert wurden, nur zugewiesen, wenn sie keiner anderen Gruppenrichtlinie angehören, die diese Einstellungen definiert.