Beveiligingsproviders: Inloggen via LDAP, Active Directory, RADIUS en Kerberos activeren

Gebruikers en beveiliging > Beveiligingsproviders

Beveiligingsproviders

U kunt uw Bomgar Box configureren om gebruikers tegen bestaande LDAP, RADIUS of Kerberos servers te verifiëren en om machtigingen toe te kennen op basis van eerdere instellingen voor hiërarchie en groepen die al in uw servers zijn gespecificeerd. Kerberos ondersteunt eenmalige aanmelding, terwijl RSA en andere tweestapsverificatiemechanismes via RADIUS een extra beveiligingsniveau bieden.

Provider aanmaken

Maak een configuratie voor een nieuwe beveiligingsprovider aan. Selecteer uit de vervolgkeuzelijst om een LDAP-provider, een RADIUS-provider of een Kerberos-provider aan te maken.

Logboek bekijken

Bekijk de statushistorie voor een verbinding met een beveiligingsprovider.

Synchronisatie

Synchroniseer de gebruikers en groepen die met een externe beveiligingsprovider geassocieerd zijn. De synchronisatie wordt eenmaal per dag automatisch uitgevoerd. Als u op deze knop klikt, wordt de synchronisatie handmatig uitgevoerd.

Uitschakelen

Schakel de verbinding met deze beveiligingsprovider uit. Dit is nuttig voor gepland onderhoud, als u wilt dat een server offline is maar niet verwijderd is.

Bewerken, verwijderen

Wijzig een bestaand object of verwijder een bestaand object.

Kopie aanmaken

Maak een kopie van een bestaande configuratie van een beveiligingsprovider aan. Deze wordt als een beveiligingsprovider op het hoogste niveau toegevoegd en niet als onderdeel van een cluster.

Node dupliceren

Maak een kopie van een bestaande configuratie van een geclusterde beveiligingsprovider aan. Deze wordt als nieuwe node aan dezelfde cluster toegevoegd.

Tot cluster bijwerken

Upgrade een beveiligingsprovider tot een geclusterde beveiligingsprovider. Kopieer een bestaande node om meer beveiligingsproviders aan deze cluster toe te voegen.

Volgorde veranderen

Klik op deze knop om beveiligingsproviders te slepen en neer te zetten om de prioriteiten ervan in te stellen. U kunt servers binnen een cluster slepen en neerzetten en clusters kunnen als geheel worden gesleept en neergezet. Klik op Volgorde opslaan om de wijzigingen in de prioriteiten te effectueren.

Beveiligingsproviders :: Bewerken - LDAP

Algemene instellingen

Naam

Maak een unieke naam aan om deze provider te identificeren.

Ingeschakeld: Deze provider is ingeschakeld

Indien dit veld is aangevinkt, kan uw Bomgar Box naar deze beveiligingsprovider zoeken als een gebruiker probeert in te loggen. Als het niet is aangevinkt, wordt niet naar de provider gezocht.

Schermnamen van gebruikers: Houd de schermnaam gesynchroniseerd met het systeem op afstand

Met deze waarden wordt bepaald welke velden gebruikt moeten worden voor de privé- en publieke schermnamen van de gebruiker.

Synchronisatie: LDAP-objectcache inschakelen

Als deze optie is aangevinkt, dan worden LDAP-objecten die voor het apparaat zichtbaar zijn, elke nacht of, indien gewenst handmatig, gecachet en gesynchroniseerd. Bij gebruik van deze optie worden er minder verbindingen met de LDAP-server voor beheerdoeleinden gemaakt zodat potentieel de snelheid en efficiency omhoog gaan.

Als deze optie niet is aangevinkt, dan komen wijzigingen op de LDAP-server direct beschikbaar zonder de noodzaak tot synchronisatie. Maar als u via de beheerinterface wijzigingen maakt in gebruikersbeleidslijnen, dan worden, voor zover noodzakelijk, enkele kortstondige verbindingen met de LDAP-server gemaakt.

Bij providers die voorheen de synchronisatie in hadden geschakeld en de synchronisatie uitschakelen door het vinkje bij de synchronisatie-optie weg te halen, worden alle gecachete records verwijderd die op dat moment niet in gebruik zijn.

Autorisatie-instellingen

Groep opzoeken

U kunt ervoor kiezen deze beveiligingsprovider alleen voor gebruikersverificatie te gebruiken, alleen voor het opzoeken van groepen of voor beide doeleinden.

Standaard groepsbeleid (Alleen zichtbaar als gebruikersverificatie is toegestaan)

Elke gebruiker die tegen een externe server wordt geverifieerd, moet een lid van ten minste één groepsbeleid zijn om op uw Bomgar Box te kunnen worden geverifieerd en in te kunnen loggen op ofwel de /login interface ofwel de toegangsconsole. U kunt een standaard groepsbeleid selecteren om op alle gebruikers toe te passen die toestemming hebben om tegen de geconfigureerde server te worden geverifieerd.

Bedenk dat als er een standaard beleid is gedefinieerd, dat dan elke toegestane gebruiker die tegen deze server wordt geverifieerd, potentieel toegang heeft op het niveau van dit standaard beleid. Daarom wordt aanbevolen dat u een beleid met minimale machtigingen als standaard instelt om te voorkomen dat gebruikers machtigingen krijgen die u niet wilt.

Opmerking: Als voor een gebruiker een standaard groepsbeleid geldt en vervolgens speciaal aan een ander groepsbeleid wordt toegevoegd, dan hebben de instellingen voor het speciale beleid altijd voorrang boven de instellingen voor het standaard beleid, zelfs als het speciale beleid een lagere prioriteit heeft dan het standaard beleid en zelfs als de instellingen van het standaard beleid zijn ingesteld op overschrijven.

Instellingen voor verbinding

Hostnaam

Voer de hostnaam in van de server waar uw externe adreslijstarchief staat.

Opmerking: Als u LDAPS of LDAP met TLS gebruikt, dan moet de hostnaam overeenkomen met de in het publieke SSL-certificaat van uw LDAP-server gebruikte onderwerpnaam of met de DNS-component van de alternatieve onderwerpnaam.

Poort

Specificeer de poort voor uw LDAP-server. Dit is meestal poort 389 voor LDAP of poort 636 voor LDAPS. Bomgar ondersteunt ook een globale catalogus over poort 3268 voor LDAP of 3269 voor LDAPS.

Versleuteling

Selecteer het type versleuteling dat moet worden gebruikt voor communicatie met de LDAP-server. Om beveiligingsredenen wordt LDAPS of LDAP met TLS aanbevolen.

Opmerking: Standaard LDAP verzendt en ontvangt gegevens ongecodeerd van de LDAP-server en stelt zo mogelijk vertrouwelijke informatie over de gebruikersaccount aan packet sniffing bloot. Zowel LDAPS als LDAP met TLS versleutelen de verzonden gegevens waardoor deze methodes aanbevolen worden boven standaard LDAP. LDAP met TLS gebruikt de functie StartTLS om een verbinding met LDAP ongecodeerd op te zetten maar waardeert deze verbinding vervolgens op tot een versleutelde verbinding. LDAPS zet de verbinding over een versleutelde verbinding op zonder enige tekst ongecodeerd te verzenden.

Als u LDAPS of LDAP met TLS selecteert, dan moet u het door uw LDAP-server gebruikte SSL-basiscertificaat uploaden. Dit is nodig om de geldigheid van de server en de beveiliging van de gegevens zeker te stellen. Het basiscertificaat moet de PEM-opmaak hebben.

Opmerking: Als de onderwerpnaam van het publieke SSL-certificaat van de LDAP-server of de DNS-component van de alternatieve onderwerpnaam niet met de waarde in het veld Hostnaam overeenkomt, dan wordt de provider als onbereikbaar behandeld. U kunt echter een wildcardcertificaat opgeven om meerdere subdomeinen op dezelfde site te certificeren. Zo certificeert bijvoorbeeld een certificaat voor *.example.com zowel access.example.com als remote.example.com.

Verificatiegegevens binden

Specificeer een gebruikersnaam en wachtwoord waarmee uw Bomgar Box een binding kan maken met en kan zoeken in het LDAP-adreslijstarchief.

Als uw server anonieme binding ondersteunt, dan kunt u ervoor kiezen om een binding te maken zonder een gebruikersnaam en wachtwoord te specificeren. Anonieme binding wordt geacht onveilig te zijn en is op de meeste LDAP-servers standaard uitgeschakeld.

Verbindingsmethode

Als u een extern adreslijstarchief gebruikt in hetzelfde lokale netwerk als uw Bomgar Box, dan kunnen de twee systemen direct met elkaar communiceren. In dat geval hoeft u de optie Proxy van apparaat via de verbindingsagent niet aan te vinken en kunt u verder gaan.

Omdat uw externe adreslijstarchief zich niet op hetzelfde netwerk bevindt als uw Bomgar Cloud-apparaat, kunnen ze niet rechtstreeks met elkaar communiceren. Daarom is gebruik van een verbindingsagent vereist.

Als de twee systemen niet direct met elkaar kunnen communiceren, bijvoorbeeld als uw externe adreslijstserver achter een firewall staat, dan moet u een verbindingsagent gebruiken. Als u de Win32 verbindingsagent downloadt, dan kunnen uw adreslijstserver en uw Bomgar Box met elkaar communiceren via een uitgaande met SSL versleutelde verbinding zonder firewallconfiguratie. De verbindingsagent kan ofwel direct naar de adreslijstserver worden gedownload, ofwel naar een aparte server op hetzelfde netwerk als uw adreslijstserver (aanbevolen).

In het bovenstaande geval moet u Proxy van apparaat via de verbindingsagent aanvinken. Maak een Wachtwoord verbindingsagent aan om tijdens de installatie van de verbindingsagent te gebruiken. Klik vervolgens op Verbindingsagent downloaden, voer het installatieprogramma uit en volg de instructies van de installatiewizard op. Tijdens installatie wordt u gevraagd om de naam van de beveiligingsprovider in te voeren evenals het hier hierboven aangemaakte wachtwoord voor de verbindingsagent.

Opmerking: Bomgar Cloud-klanten moeten de verbindingsagent uitvoeren om een externe adreslijstarchief te gebruiken.

Type map

Om u te helpen de netwerkverbinding tussen uw Bomgar Box en uw beveiligingsprovider te configureren, kunt u een type map als sjabloon selecteren. Zo worden onderstaande te configureren velden vooraf met standaard gegevens ingevuld, maar die gegevens moeten worden gewijzigd om ze in overeenstemming te brengen met de specifieke configuratie van uw beveiligingsprovider. Active Directory LDAP is het meest gebruikte type server, maar u kunt Bomgar zo configureren dat met de meeste typen beveiligingsproviders kan worden gecommuniceerd.

Instellingen voor cluster (Alleen zichtbaar voor clusters)

Selectie-algoritme voor leden

Selecteer de methode waarmee in deze cluster naar nodes wordt gezocht.

Bij Van boven naar beneden wordt eerst op de server met de hoogste prioriteit gezocht. Als die server niet beschikbaar is of als de account niet is gevonden, dan wordt op de server met de daarop volgende prioriteit gezocht. Vervolgens wordt in volgorde van aflopende prioriteit op de servers uit de lijst geclusterde servers gezocht tot de account is gevonden of blijkt dat de account niet op een van de gespecificeerde en beschikbare servers bestaat.

Round-robin is bedoeld om de belasting van de verschillende servers in balans te houden. Bij dit algoritme wordt de eerste server waarop wordt gezocht willekeurig gekozen. Als die server niet beschikbaar is of als de account niet is gevonden, dan wordt op een willekeurige andere server gezocht. Vervolgens wordt in willekeurige volgorde op de overige servers uit de lijst geclusterde servers gezocht tot de account is gevonden of blijkt dat de account niet op een van de gespecificeerde en beschikbare servers bestaat.

Wachttijd voor opnieuw proberen

Stel in hoe lang moet worden gewacht nadat een lid van een cluster niet beschikbaar is geworden voordat een nieuwe poging wordt gedaan voor dat lid van die cluster.

Instellingen gebruikersschema

Clusterwaarden overschrijven (Alleen zichtbaar voor clusternodes)

Als deze optie niet is aangevinkt, dan worden voor deze clusternode dezelfde schema-instellingen gebruikt als voor de cluster. Als deze optie niet is aangevinkt, dan kunt u hieronder de schema-instellingen wijzigingen.

Basis DN opzoeken

Bepaal het niveau in uw mappenhiërarchie, gespecificeerd door een onderscheiden naam, waar de Bomgar Box moet beginnen naar gebruikers te zoeken. Afhankelijk van de grootte van uw adreslijstarchief en de gebruikers die Bomgar accounts nodig hebben, kunt u de prestaties verbeteren door de specifieke organisatorische eenheid in uw adreslijstarchief aan te wijzen waar toegang toe nodig is. Als u niet zeker weet of gebruikers binnen meerdere organisatorische eenheden actief zijn, kunt u mogelijk het beste de DN-naam (Distinguished Name) van uw adreslijstarchief op het hoogste niveau gebruiken.

Gebruikersvraag

Specificeer de query-informatie die de Bomgar Box moet gebruiken bij het vinden van een LDAP als de gebruiker probeert in te loggen. In het veld Gebruikersquery kunt u een standaard LDAP-query invoeren (RFC 2254: Representatie van de tekenreeks voor LDAP-zoekfilters). U kunt de voor de query te gebruiken tekenreeks aanpassen aan de manier waarop uw gebruikers inloggen en aan de methode waarop gebruikersnamen worden geaccepteerd. Om binnen de tekenreeks de waarde te specificeren die voor de gebruikersnaam wordt gebruikt, kunt u die waarde vervangen door een *.

Zoekvraag

De zoekvraag bepaalt hoe resultaten worden weergegeven als via groepsbeleidslijnen wordt gezocht. Hiermee worden de resultaten gefilterd zodat alleen bepaalde resultaten in de vervolgkeuzelijst om leden te kiezen worden weergegeven als leden aan een groepsbeleidslijn worden toegevoegd.

Objectklassen

Specificeer geldige objectklassen voor een gebruiker binnen uw adreslijstarchief. Alleen gebruikers die een of meer van deze objectklassen bezitten, mogen verifiëren. Deze objectklassen worden ook met de onderstaande attribuutnamen gebruikt om aan uw Bomgar Box het schema aan te geven dat de LDAP-server gebruikt om gebruikers te identificeren. U kunt meerdere gebruikersobjectklassen invoeren, één per regel.

Attribuutnamen

Specificeer welke velden moeten worden gebruikt als de unieke ID en schermnaam van een gebruiker.

Unieke id

In dit veld moet een unieke identificator voor het object worden ingevoerd. Hoewel de distinguised name (DN-naam) als deze identificator kan dienen, kan de distinguised name van een gebruiker gedurende de levensduur van de gebruiker vaak wijzigen, bijvoorbeeld bij een wijziging van de naam of van de locatie of als de naam van het LDAP-archief wordt gewijzigd. De meeste LDAP-servers beschikken daarom over een veld dat per object uniek is en gedurende de levensduur van de gebruiker niet wijzigt. Als u toch de distinguised name als de unieke identificator gebruikt en de distinguised name van een gebruiker wijzigt, dan wordt die gebruiker als een nieuwe gebruiker beschouwd en worden eventuele wijzigingen specifiek voor de Bomgar gebruikersaccount van die persoon niet naar de nieuwe gebruiker overgedragen. Als uw LDAP-server niet over een unieke identificator beschikt, dan kunt u een veld gebruiken waarvan de kans zo klein mogelijk is dat de waarde hiervan voor een andere gebruiker identiek is.

Gebruik hetzelfde attribuut voor publieke en privéschermnamen

Als deze optie is aangevinkt, dan kunt u aparte waarden specificeren voor de privé- en publieke schermnamen van de gebruiker.

Schermnamen

Met deze waarde wordt bepaald welke velden gebruikt moeten worden als de privé- en publieke schermnamen van de gebruiker.

Instellingen groepsschema (Alleen zichtbaar tijdens het opzoeken van groepen)

Basis DN opzoeken

Bepaal het niveau in uw adreslijst-hiërarchie, gespecificeerd door een DN-naam (Distinguished Name), waar de Bomgar Box moet beginnen naar groepen te zoeken. Afhankelijk van de grootte van uw adreslijstarchief en de groepen die toegang tot de Bomgar Box nodig hebben, kunt u de prestaties verbeteren door de specifieke organisatorische eenheid in uw adreslijstarchief aan te wijzen waar toegang toe nodig is. Als u niet zeker weet of groepen binnen meerdere organisatorische eenheden actief zijn, kunt u mogelijk het beste de DN-naam (Distinguished Name) van uw adreslijstarchief op het hoogste niveau gebruiken.

Zoekvraag

De zoekvraag bepaalt hoe resultaten worden weergegeven als via groepsbeleidslijnen wordt gezocht. Hiermee worden de resultaten gefilterd zodat alleen bepaalde resultaten in de vervolgkeuzelijst om leden te kiezen worden weergegeven als leden aan een groepsbeleidslijn worden toegevoegd.

Objectklassen

Specificeer geldige objectklassen voor een groep binnen uw map-archieven. Alleen groepen die een of meer van deze objectklassen bezitten, worden geretourneerd. Deze objectklassen worden ook met de onderstaande attribuutnamen gebruikt om aan uw Bomgar Box het schema aan te geven dat de LDAP-server gebruikt om groepen te identificeren. U kunt meerdere groepsobjectklassen invoeren, op elke regel één.

Attribuutnamen

Specificeer welke velden moeten worden gebruikt als de unieke ID en schermnaam van een groep.

Unieke id

In dit veld moet een unieke identificator voor het object worden ingevoerd. Hoewel de onderscheiden naam als deze identificator kan dienen, kan de onderscheiden naam van een groep gedurende de levensduur van een groep vaak wijzigen, bijvoorbeeld bij een locatiewijziging of als de naam van het LDAP-archief wordt gewijzigd. De meeste LDAP-servers beschikken daarom over een veld dat per object uniek is en gedurende de levensduur van de groep niet wijzigt. Als u toch de onderscheiden naam als de unieke identificator gebruikt en de onderscheiden naam van een groep wijzigt, dan wordt die groep als een nieuwe groep beschouwd en worden eventuele voor die groep gedefinieerde groepsbeleidslijnen niet naar de nieuwe groep overgedragen. Als uw LDAP-server niet over een unieke identificator beschikt, dan kunt u een veld gebruiken waarvan de kans zo klein mogelijk is dat de waarde hiervan voor een andere groep identiek is.

Schermnaam

Deze waarde bepaalt welk veld moet worden gebruikt als de schermnaam van de groep.

Gebruiker naar groep relaties

U moet in dit veld een vraag invoeren om te bepalen welke gebruikers tot welke groepen behoren of, andersom, welke groepen welke gebruikers bevatten.

Recursieve zoekopdracht uitvoeren voor groepen

U kunt recursief naar groepen zoeken. Er wordt dan een zoekopdracht naar een gebruiker uitgevoerd, vervolgens zoekopdrachten voor alle groepen waar die gebruiker toe behoort enzovoort totdat alle mogelijke groepen die met die gebruiker geassocieerd zijn, zijn gevonden.

Het uitvoeren van een recursieve zoekopdracht kan een grote invloed op de prestaties hebben, omdat de server voortdurend zoekopdrachten uitzet tot alle informatie over alle groepen gevonden is. Als dit te lang duurt, dan kan de gebruiker mogelijk niet inloggen.

Bij niet-recursief zoeken wordt er per gebruiker maar één zoekopdracht uitgevoerd. Als uw LDAP-server over een speciaal veld beschikt met alle groepen waar de gebruiker toe behoort, dan is recursief zoeken niet nodig. Recursief zoeken is ook niet nodig als het ontwerp van uw mapstructuur geen groepsleden van groepen ondersteunt.

Instellingen testen

Gebruikersnaam en wachtwoord

Voer een gebruikersnaam en wachtwoord in voor een account die op de door u te testen server bestaat. Deze account moet overeenkomen met de inlog-criteria die in bovenstaande configuratie zijn gespecificeerd.

Probeer de gebruikerskenmerken en groepslidmaatschappen te krijgen als de inloggegevens worden geaccepteerd

Als deze optie is aangevinkt en het testen van inloggegevens is geslaagd, dan wordt ook geprobeerd de gebruikersattributen te controleren en de groep op te zoeken. Let op: om de test van deze functies te laten slagen, moeten ze door uw beveiligingsprovider ondersteund worden en moeten ze daar geconfigureerd zijn.

Test starten

Als uw server juist is geconfigureerd en u voor de test een geldige gebruikersnaam en wachtwoord hebt ingevoerd, dan ontvangt u een bericht dat de test geslaagd is. Anders ziet u een foutmelding en een logboekvermelding waarmee u het probleem kunt onderzoeken.

Beveiligingsproviders :: Bewerken - RADIUS

Algemene instellingen

Naam

Maak een unieke naam aan om deze provider te identificeren.

Ingeschakeld: Deze provider is ingeschakeld

Indien dit veld is aangevinkt, kan uw Bomgar Box naar deze beveiligingsprovider zoeken als een gebruiker probeert in te loggen. Als het niet is aangevinkt, wordt niet naar de provider gezocht.

Schermnamen: Houd de schermnaam gesynchroniseerd met het systeem op afstand

Met deze waarden wordt bepaald welke velden gebruikt moeten worden voor de privé- en publieke schermnamen van de gebruiker.

Autorisatie-instellingen

Alleen de volgende gebruikers toelaten

U kunt ervoor kiezen alleen toegang toe te staan tot bepaalde gebruikers op uw RADIUS-server. Voer de gebruikersnamen op aparte regels in. Nadat de gebruikersnamen zijn toegevoegd, zijn de gebruikers beschikbaar vanaf de dialoog Beleidslid toevoegen wanneer u op de pagina /login > Gebruikers en beveiliging > Groepsbeleidslijnen groepsbeleidslijnen bewerkt.

Als u dit veld leeg laat, dan worden alle gebruikers toegestaan die tegen uw RADIUS-server worden geverifieerd. Als u iedereen toestaat, dan moet u ook een standaard groepsbeleid specificeren.

LDAP-groep opzoeken

Als u wilt dat gebruikers op deze beveiligingsprovider op een aparte LDAP-server met hun groepen worden geassocieerd, dan moet u een of meerdere LDAP-groepservers kiezen die bij het opzoeken van de groep moeten worden gebruikt.

Standaard groepsbeleid

Elke gebruiker die tegen een externe server wordt geverifieerd, moet een lid van ten minste één groepsbeleid zijn om op uw Bomgar Box te kunnen worden geverifieerd en in te kunnen loggen op ofwel de /login interface ofwel de toegangsconsole. U kunt een standaard groepsbeleid selecteren om op alle gebruikers toe te passen die toestemming hebben om tegen de geconfigureerde server te worden geverifieerd.

Instellingen voor verbinding

Hostnaam

Voer de hostnaam in van de server waar uw externe adreslijstarchief staat.

Poort

Specificeer de verificatiepoort voor uw RADIUS-server. Meestal is dit poort 1812.

Verbindingsmethode

Als u een extern adreslijstarchief gebruikt in hetzelfde lokale netwerk als uw Bomgar Box, dan kunnen de twee systemen direct met elkaar communiceren. In dat geval hoeft u de optie Proxy van apparaat via de verbindingsagent niet aan te vinken en kunt u verder gaan.

Omdat uw externe adreslijstarchief zich niet op hetzelfde netwerk bevindt als uw Bomgar Cloud-apparaat, kunnen ze niet rechtstreeks met elkaar communiceren. Daarom is gebruik van een verbindingsagent vereist.

Als de twee systemen niet direct met elkaar kunnen communiceren, bijvoorbeeld als uw externe adreslijstserver achter een firewall staat, dan moet u een verbindingsagent gebruiken. Als u de Win32 verbindingsagent downloadt, dan kunnen uw adreslijstserver en uw Bomgar Box met elkaar communiceren via een uitgaande met SSL versleutelde verbinding zonder firewallconfiguratie. De verbindingsagent kan ofwel direct naar de adreslijstserver worden gedownload, ofwel naar een aparte server op hetzelfde netwerk als uw adreslijstserver (aanbevolen).

In het bovenstaande geval moet u Proxy van apparaat via de verbindingsagent aanvinken. Maak een Wachtwoord verbindingsagent aan om tijdens de installatie van de verbindingsagent te gebruiken. Klik vervolgens op Verbindingsagent downloaden, voer het installatieprogramma uit en volg de instructies van de installatiewizard op. Tijdens installatie wordt u gevraagd om de naam van de beveiligingsprovider in te voeren evenals het hier hierboven aangemaakte wachtwoord voor de verbindingsagent.

Gedeeld geheim

Geef een nieuw gedeeld geheim op om uw Bomgar Box en uw RADIUS-server met elkaar te laten communiceren.

Time-out (seconden)

Stel in hoe lang op antwoord van de server moet worden gewacht. Denk eraan dat als het antwoord Antwoord-accepteren of Antwoord-uitdaging is, dan wacht RADIUS gedurende de totale hier gedefinieerde tijd voordat de account wordt geverifieerd. Aanbevolen wordt daarom om deze waarde zo laag mogelijk in te stellen als uw netwerkinstellingen toestaan. De beste waarde is 3-5 seconden, de maximale waarde is drie minuten.

Instellingen voor cluster (Alleen zichtbaar voor clusters)

Selectie-algoritme voor leden

Selecteer de methode waarmee in deze cluster naar nodes wordt gezocht.

Bij Van boven naar beneden wordt eerst op de server met de hoogste prioriteit gezocht. Als die server niet beschikbaar is of als de account niet is gevonden, dan wordt op de server met de daarop volgende prioriteit gezocht. Vervolgens wordt in volgorde van aflopende prioriteit op de servers uit de lijst geclusterde servers gezocht tot de account is gevonden of blijkt dat de account niet op een van de gespecificeerde en beschikbare servers bestaat.

Round-robin is bedoeld om de belasting van de verschillende servers in balans te houden. Bij dit algoritme wordt de eerste server waarop wordt gezocht willekeurig gekozen. Als die server niet beschikbaar is of als de account niet is gevonden, dan wordt op een willekeurige andere server gezocht. Vervolgens wordt in willekeurige volgorde op de overige servers uit de lijst geclusterde servers gezocht tot de account is gevonden of blijkt dat de account niet op een van de gespecificeerde en beschikbare servers bestaat.

Wachttijd voor opnieuw proberen

Stel in hoe lang moet worden gewacht nadat een lid van een cluster niet beschikbaar is geworden voordat een nieuwe poging wordt gedaan voor dat lid van die cluster.

Instellingen testen

Gebruikersnaam en wachtwoord

Voer een gebruikersnaam en wachtwoord in voor een account die op de door u te testen server bestaat. Deze account moet overeenkomen met de inlog-criteria die in bovenstaande configuratie zijn gespecificeerd.

Probeer de gebruikerskenmerken en groepslidmaatschappen te krijgen als de inloggegevens worden geaccepteerd

Als deze optie is aangevinkt en het testen van inloggegevens is geslaagd, dan wordt ook geprobeerd de gebruikersattributen te controleren en de groep op te zoeken. Let op: om de test van deze functies te laten slagen, moeten ze door uw beveiligingsprovider ondersteund worden en moeten ze daar geconfigureerd zijn.

Test starten

Als uw server juist is geconfigureerd en u voor de test een geldige gebruikersnaam en wachtwoord hebt ingevoerd, dan ontvangt u een bericht dat de test geslaagd is. Anders ziet u een foutmelding en een logboekvermelding waarmee u het probleem kunt onderzoeken.

Beveiligingsproviders :: Bewerken - Kerberos

Algemene instellingen

Naam

Maak een unieke naam aan om deze provider te identificeren.

Ingeschakeld: Deze provider is ingeschakeld

Indien dit veld is aangevinkt, kan uw Bomgar Box naar deze beveiligingsprovider zoeken als een gebruiker probeert in te loggen. Als het niet is aangevinkt, wordt niet naar de provider gezocht.

Gebruikers- en schermnamen: Houd de schermnaam gesynchroniseerd met het systeem op afstand

Met deze waarden wordt bepaald welke velden gebruikt moeten worden voor de privé- en publieke schermnamen van de gebruiker.

Realm verwijderen uit principal-namen

Selecteer deze optie om bij het samenstellen van de Bomgar gebruikersnaam het REALM-gedeelte van de Principal-naam van gebruiker te verwijderen.

Autorisatie-instellingen

Gebruikersafhandelingsmodus

Selecteer welke gebruikers op uw Bomgar Box kunnen worden geverifieerd. Alle gebruikers toestaan staat iedereen toe die momenteel via uw KDC wordt geverifieerd. Alleen gebruikers-principals toelaten die op de lijst zijn gespecificeerd staat alleen gebruikers-principals toe die expliciet zijn vermeld. Met Alleen gebruikers-principals toelaten die met de regex overeenkomen worden alleen gebruikers-principals toegelaten die met een Perl-compatibele reguliere expressie (PCRE) overeenkomen.

SPN-afhandelingsmodus: Laat alleen SPN's toe die op de lijst zijn gespecificeerd

Als dit veld niet is aangevinkt, dan worden alle service-principal-namen (SPN's) voor deze beveiligingsprovider toegelaten. Als dit veld is aangevinkt, dan moet u specifieke SPN's uit een lijst van momenteel geconfigureerde SPN's selecteren.

LDAP-groep opzoeken

Als u wilt dat gebruikers op deze beveiligingsprovider op een aparte LDAP-server met hun groepen worden geassocieerd, dan moet u een of meerdere LDAP-groepservers kiezen die bij het opzoeken van de groep moeten worden gebruikt.

Standaard groepsbeleid

Elke gebruiker die tegen een externe server wordt geverifieerd, moet een lid van ten minste één groepsbeleid zijn om op uw Bomgar Box te kunnen worden geverifieerd en in te kunnen loggen op ofwel de /login interface ofwel de toegangsconsole. U kunt een standaard groepsbeleid selecteren om op alle gebruikers toe te passen die toestemming hebben om tegen de geconfigureerde server te worden geverifieerd.