docSecure Access Administrationshandbuch
download 
Report Transcription
Secure Access Administrationshandbuch
Secure Access
Administrationshandbuch
Instant Virtual Extranet Platform
Juniper Networks Secure Access
Administrationshandbuch
Version 5.4
Juniper Networks, Inc.
1194 North Mathilda Avenue
Sunnyvale, CA 94089
USA
408-745-2000
www.juniper.net
Teilenummer: 54A081806-DE
This product includes the Envoy SNMP Engine, developed by Epilogue Technology, an Integrated Systems Company. Copyright © 1986–1997, Epilogue
Technology Corporation. All rights reserved. This program and its documentation were developed at private expense, and no part of them is in the public
domain.
This product includes memory allocation software developed by Mark Moraes, copyright © 1988, 1989, 1993, University of Toronto.
This product includes FreeBSD software developed by the University of California, Berkeley, and its contributors. All of the documentation and software
included in the 4.4BSD and 4.4BSD-Lite Releases is copyrighted by The Regents of the University of California. Copyright © 1979, 1980, 1983, 1986, 1988,
1989, 1991, 1992, 1993, 1994. The Regents of the University of California. All rights reserved.
GateD software copyright © 1995, The Regents of the University. All rights reserved. Gate Daemon was originated and developed through release 3.0 by
Cornell University and its collaborators. Gated is based on Kirton’s EGP, UC Berkeley’s routing daemon (routed), and DCN’s HELLO routing protocol.
Development of Gated has been supported in part by the National Science Foundation. Portions of the GateD software copyright © 1988, Regents of the
University of California. All rights reserved. Portions of the GateD software copyright © 1991, D. L. S. Associates.
Juniper Networks, the Juniper Networks logo, NetScreen, NetScreen Technologies, the NetScreen logo, NetScreen-Global Pro, ScreenOS, and GigaScreen are
registered trademarks of Juniper Networks, Inc. in the United States and other countries.
The following are trademarks of Juniper Networks, Inc.: ERX, E-series, ESP, Instant Virtual Extranet, Internet Processor, J2300, J4300, J6300, J-Protect,
J-series, J-Web, JUNOS, JUNOScope, JUNOScript, JUNOSe, M5, M7i, M10, M10i, M20, M40, M40e, M160, M320, M-series, MMD, NetScreen-5GT,
NetScreen-5XP, NetScreen-5XT, NetScreen-25, NetScreen-50, NetScreen-204, NetScreen-208, NetScreen-500, NetScreen-5200, NetScreen-5400,
NetScreen-IDP 10, NetScreen-IDP 100, NetScreen-IDP 500, NetScreen-Remote Security Client, NetScreen-Remote VPN Client, NetScreen-SA 1000 Series,
NetScreen-SA 3000 Series, NetScreen-SA 5000 Series, NetScreen-SA Central Manager, NetScreen Secure Access, NetScreen-SM 3000, NetScreen-Security
Manager, NMC-RX, SDX, Stateful Signature, T320, T640, T-series, and TX Matrix. All other trademarks, service marks, registered trademarks, or registered
service marks are the property of their respective owners. All specifications are subject to change without notice.
Products made or sold by Juniper Networks or components thereof might be covered by one or more of the following patents that are owned by or licensed
to Juniper Networks: U.S. Patent Nos. 5,473,599, 5,905,725, 5,909,440, 6,192,051, 6,333,650, 6,359,479, 6,406,312, 6,429,706, 6,459,579, 6,493,347,
6,538,518, 6,538,899, 6,552,918, 6,567,902, 6,578,186, and 6,590,785.
Copyright © 2006, Juniper Networks, Inc.
All rights reserved. Printed in USA.
Juniper Networks Secure Access – Administratorhandbuch, Version 5.4
Writers: Paul Battaglia, Gary Beichler, Claudette Hobbart, Mark Smallwood
Editor: Claudette Hobbart
Juniper Networks assumes no responsibility for any inaccuracies in this document. Juniper Networks reserves the right to change, modify, transfer, or
otherwise revise this publication without notice.
Year 2000 Notice
Juniper Networks hardware and software products are Year 2000 compliant. The JUNOS software has no known time-related limitations through the year
2038. However, the NTP application is known to have some difficulty in the year 2036.
Software License
The terms and conditions for using this software are described in the software license contained in the acknowledgment to your purchase order or, to the
extent applicable, to any reseller agreement or end-user purchase agreement executed between you and Juniper Networks. By using this software, you
indicate that you understand and agree to be bound by those terms and conditions.
Generally speaking, the software license restricts the manner in which you are permitted to use the software and may contain prohibitions against certain
uses. The software license may state conditions under which the license is automatically terminated. You should consult the license for further details.
For complete product documentation, please see the Juniper Networks Web site at www.juniper.net/techpubs.
End User License Agreement
READ THIS END USER LICENSE AGREEMENT ("AGREEMENT") BEFORE DOWNLOADING, INSTALLING, OR USING THE SOFTWARE. BY
DOWNLOADING, INSTALLING, OR USING THE SOFTWARE OR OTHERWISE EXPRESSING YOUR AGREEMENT TO THE TERMS CONTAINED HEREIN, YOU
(AS CUSTOMER OR IF YOU ARE NOT THE CUSTOMER, AS A REPRESENTATIVE/AGENT AUTHORIZED TO BIND THE CUSTOMER) CONSENT TO BE BOUND
BY THIS AGREEMENT. IF YOU DO NOT OR CANNOT AGREE TO THE TERMS CONTAINED HEREIN, THEN (A) DO NOT DOWNLOAD, INSTALL, OR USE THE
SOFTWARE, AND (B) YOU MAY CONTACT JUNIPER NETWORKS REGARDING LICENSE TERMS.
1. The Parties. The parties to this Agreement are Juniper Networks, Inc. and its subsidiaries (collectively “Juniper”), and the person or organization that
originally purchased from Juniper or an authorized Juniper reseller the applicable license(s) for use of the Software (“Customer”) (collectively, the “Parties”).
2. The Software. In this Agreement, “Software” means the program modules and features of the Juniper or Juniper-supplied software, and updates and
releases of such software, for which Customer has paid the applicable license or support fees to Juniper or an authorized Juniper reseller.
3. License Grant. Subject to payment of the applicable fees and the limitations and restrictions set forth herein, Juniper grants to Customer a non-exclusive
and non-transferable license, without right to sublicense, to use the Software, in executable form only, subject to the following use restrictions:
a. Customer shall use the Software solely as embedded in, and for execution on, Juniper equipment originally purchased by Customer from Juniper or an
authorized Juniper reseller, unless the applicable Juniper documentation expressly permits installation on non-Juniper equipment.
b. Customer shall use the Software on a single hardware chassis having a single processing unit, or as many chassis or processing units for which Customer
has paid the applicable license fees.
c. Product purchase documents, paper or electronic user documentation, and/or the particular licenses purchased by Customer may specify limits to
Customer’s use of the Software. Such limits may restrict use to a maximum number of seats, registered endpoints, concurrent users, sessions, calls,
connections, subscribers, clusters, nodes, or transactions, or require the purchase of separate licenses to use particular features, functionalities, services,
applications, operations, or capabilities, or provide throughput, performance, configuration, bandwidth, interface, processing, temporal, or geographical
limits. Customer’s use of the Software shall be subject to all such limitations and purchase of all applicable licenses.
The foregoing license is not transferable or assignable by Customer. No license is granted herein to any user who did not originally purchase the applicable
license(s) for the Software from Juniper or an authorized Juniper reseller.
4. Use Prohibitions. Notwithstanding the foregoing, the license provided herein does not permit the Customer to, and Customer agrees not to and shall not:
(a) modify, unbundle, reverse engineer, or create derivative works based on the Software; (b) make unauthorized copies of the Software (except as necessary
for backup purposes); (c) rent, sell, transfer, or grant any rights in and to any copy of the Software, in any form, to any third party; (d) remove any
proprietary notices, labels, or marks on or in any copy of the Software or any product in which the Software is embedded; (e) distribute any copy of the
Software to any third party, including as may be embedded in Juniper equipment sold in the secondhand market; (f) use any ‘locked’ or key-restricted
feature, function, service, application, operation, or capability without first purchasing the applicable license(s) and obtaining a valid key from Juniper, even
if such feature, function, service, application, operation, or capability is enabled without a key; (g) distribute any key for the Software provided by Juniper to
any third party; (h) use the Software in any manner that extends or is broader than the uses purchased by Customer from Juniper or an authorized Juniper
reseller; (i) use the Software on non-Juniper equipment where the Juniper documentation does not expressly permit installation on non-Juniper equipment;
(j) use the Software (or make it available for use) on Juniper equipment that the Customer did not originally purchase from Juniper or an authorized Juniper
reseller; or (k) use the Software in any manner other than as expressly provided herein.
5. Audit. Customer shall maintain accurate records as necessary to verify compliance with this Agreement. Upon request by Juniper, Customer shall furnish
such records to Juniper and certify its compliance with this Agreement.
6. Confidentiality. The Parties agree that aspects of the Software and associated documentation are the confidential property of Juniper. As such, Customer
shall exercise all reasonable commercial efforts to maintain the Software and associated documentation in confidence, which at a minimum includes
restricting access to the Software to Customer employees and contractors having a need to use the Software for Customer’s internal business purposes.
7. Ownership. Juniper and Juniper’s licensors, respectively, retain ownership of all right, title, and interest (including copyright) in and to the Software,
associated documentation, and all copies of the Software. Nothing in this Agreement constitutes a transfer or conveyance of any right, title, or interest in the
Software or associated documentation, or a sale of the Software, associated documentation, or copies of the Software.
8. Warranty, Limitation of Liability, Disclaimer of Warranty. The warranty applicable to the Software shall be as set forth in the warranty statement that
accompanies the Software (the “Warranty Statement”). Nothing in this Agreement shall give rise to any obligation to support the Software. Support services
may be purchased separately. Any such support shall be governed by a separate, written support services agreement. TO THE MAXIMUM EXTENT
PERMITTED BY LAW, JUNIPER SHALL NOT BE LIABLE FOR ANY LOST PROFITS, LOSS OF DATA, OR COSTS OR PROCUREMENT OF SUBSTITUTE GOODS
OR SERVICES, OR FOR ANY SPECIAL, INDIRECT, OR CONSEQUENTIAL DAMAGES ARISING OUT OF THIS AGREEMENT, THE SOFTWARE, OR ANY JUNIPER
OR JUNIPER-SUPPLIED SOFTWARE. IN NO EVENT SHALL JUNIPER BE LIABLE FOR DAMAGES ARISING FROM UNAUTHORIZED OR IMPROPER USE OF
ANY JUNIPER OR JUNIPER-SUPPLIED SOFTWARE. EXCEPT AS EXPRESSLY PROVIDED IN THE WARRANTY STATEMENT TO THE EXTENT PERMITTED BY
LAW, JUNIPER DISCLAIMS ANY AND ALL WARRANTIES IN AND TO THE SOFTWARE (WHETHER EXPRESS, IMPLIED, STATUTORY, OR OTHERWISE),
INCLUDING ANY IMPLIED WARRANTY OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE, OR NONINFRINGEMENT. IN NO EVENT DOES
JUNIPER WARRANT THAT THE SOFTWARE, OR ANY EQUIPMENT OR NETWORK RUNNING THE SOFTWARE, WILL OPERATE WITHOUT ERROR OR
INTERRUPTION, OR WILL BE FREE OF VULNERABILITY TO INTRUSION OR ATTACK. In no event shall Juniper’s or its suppliers’ or licensors’ liability to
Customer, whether in contract, tort (including negligence), breach of warranty, or otherwise, exceed the price paid by Customer for the Software that gave
rise to the claim, or if the Software is embedded in another Juniper product, the price paid by Customer for such other product. Customer acknowledges and
agrees that Juniper has set its prices and entered into this Agreement in reliance upon the disclaimers of warranty and the limitations of liability set forth
herein, that the same reflect an allocation of risk between the Parties (including the risk that a contract remedy may fail of its essential purpose and cause
consequential loss), and that the same form an essential basis of the bargain between the Parties.
9. Termination. Any breach of this Agreement or failure by Customer to pay any applicable fees due shall result in automatic termination of the license
granted herein. Upon such termination, Customer shall destroy or return to Juniper all copies of the Software and related documentation in Customer’s
possession or control.
10. Taxes. All license fees for the Software are exclusive of taxes, withholdings, duties, or levies (collectively “Taxes”). Customer shall be responsible for
paying Taxes arising from the purchase of the license, or importation or use of the Software.
11. Export. Customer agrees to comply with all applicable export laws and restrictions and regulations of any United States and any applicable foreign
agency or authority, and not to export or re-export the Software or any direct product thereof in violation of any such restrictions, laws or regulations, or
without all necessary approvals. Customer shall be liable for any such violations. The version of the Software supplied to Customer may contain encryption
or other capabilities restricting Customer’s ability to export the Software without an export license.
12. Commercial Computer Software. The Software is “commercial computer software” and is provided with restricted rights. Use, duplication, or
disclosure by the United States government is subject to restrictions set forth in this Agreement and as provided in DFARS 227.7201 through 227.7202-4,
FAR 12.212, FAR 27.405(b)(2), FAR 52.227-19, or FAR 52.227-14(ALT III) as applicable.
13. Interface Information. To the extent required by applicable law, and at Customer's written request, Juniper shall provide Customer with the interface
information needed to achieve interoperability between the Software and another independently created program, on payment of applicable fee, if any.
Customer shall observe strict obligations of confidentiality with respect to such information and shall use such information in compliance with any
applicable terms and conditions upon which Juniper makes such information available.
14. Third Party Software. Any licensor of Juniper whose software is embedded in the Software and any supplier of Juniper whose products or technology
are embedded in (or services are accessed by) the Software shall be a third party beneficiary with respect to this Agreement, and such licensor or vendor
shall have the right to enforce this Agreement in its own name as if it were Juniper. In addition, certain third party software may be provided with the
Software and is subject to the accompanying license(s), if any, of its respective owner(s). To the extent portions of the Software are distributed under and
subject to open source licenses obligating Juniper to make the source code for such portions publicly available (such as the GNU General Public License
(“GPL”) or the GNU Library General Public License (“LGPL”)), Juniper will make such source code portions (including Juniper modifications, as appropriate)
available upon request for a period of up to three years from the date of distribution. Such request can be made in writing to Juniper Networks, Inc., 1194 N.
Mathilda Ave., Sunnyvale, CA 94089, ATTN: General Counsel. You may obtain a copy of the GPL at http://www.gnu.org/licenses/gpl.html, and a copy of the
LGPL at http://www.gnu.org/licenses/lgpl.html.
15. Miscellaneous. This Agreement shall be governed by the laws of the State of California without reference to its conflicts of laws principles. The
provisions of the U.N. Convention for the International Sale of Goods shall not apply to this Agreement. For any disputes arising under this Agreement, the
Parties hereby consent to the personal and exclusive jurisdiction of, and venue in, the state and federal courts within Santa Clara County, California. This
Agreement constitutes the entire and sole agreement between Juniper and the Customer with respect to the Software, and supersedes all prior and
contemporaneous agreements relating to the Software, whether oral or written (including any inconsistent terms contained in a purchase order), except that
the terms of a separate written agreement executed by an authorized Juniper representative and Customer shall govern to the extent such terms are
inconsistent or conflict with terms contained herein. No modification to this Agreement nor any waiver of any rights hereunder shall be effective unless
expressly assented to in writing by the party to be charged. If any portion of this Agreement is held invalid, the Parties agree that such invalidity shall not
affect the validity of the remainder of this Agreement. This Agreement and associated documentation has been written in the English language, and the
Parties agree that the English version will govern. (For Canada: Les parties aux présentés confirment leur volonté que cette convention de même que tous
les documents y compris tout avis qui s'y rattaché, soient redigés en langue anglaise. (Translation: The parties confirm that this Agreement and all related
documentation is and will be in the English language)).
Inhaltsverzeichnis
Das Handbuch
xxiii
Zielgruppe................................................................................................... xxiii
Weiterführende Informationen ................................................................... xxiii
Administrator- und Entwicklerdokumentation ...................................... xxiii
Dokumentation zur Fehlermeldung ...................................................... xxiv
Hardwaredokumentation...................................................................... xxiv
Produktdownloads................................................................................ xxiv
Konventionen ............................................................................................. xxiv
Dokumentation ............................................................................................ xxv
Versionshinweise................................................................................... xxv
Webzugriff............................................................................................. xxv
Kundensupport ............................................................................................ xxv
Teil 1
Erste Schritte
Kapitel 1
Erste Überprüfung und Schlüsselkonzepte
3
Überprüfen der Verfügbarkeit für die Benutzer ................................................ 3
Anlegen eines Testszenarios, um die Grundlagen und empfohlenen
Vorgehensweisen für das IVE kennen zu lernen ........................................ 5
Definieren einer Benutzerrolle...................................................................6
Definieren eines Ressourcenprofils............................................................ 8
Definieren eines Authentifizierungsservers.............................................. 10
Definieren eines Authentifizierungsbereichs............................................ 13
Definieren einer Anmelderichtlinie.......................................................... 16
Verwenden des Testszenarios.................................................................. 19
Konfigurieren der Standardeinstellungen für Administratoren .......................22
Kapitel 2
Einführung in das IVE
23
Was ist das IVE?............................................................................................. 23
Welchen Leistungsumfang bietet das IVE? ..................................................... 25
Kann ich das IVE zum Sichern des Datenverkehrs zu allen Anwendungen,
Servern und Webseiten des Unternehmens verwenden? .................. 25
Kann ich zum Authentifizieren von IVE-Benutzern bereits bestehende
Server verwenden?............................................................................ 27
Kann ich den Zugriff auf das IVE und die von ihm vermittelten Ressourcen
eingrenzen?....................................................................................... 27
Kann ich eine nahtlose Integration zwischen IVE und den von ihm
vermittelten Ressourcen erstellten?................................................... 29
Kann ich das IVE zum Schutz vor infizierten Computern und bei anderen
Sicherheitsbedenken verwenden? ..................................................... 29
Inhaltsverzeichnis
vii
Juniper Networks Secure Access – Administratorhandbuch
Kann ich die Redundanz in meiner IVE-Umgebung sicherstellen? ........... 30
Kann ich die IVE-Schnittstelle an die Darstellung des Unternehmens
anpassen? ......................................................................................... 30
Können Benutzer auf mehreren Computern und Geräten das IVE
verwenden? ...................................................................................... 31
Verfügen die internationalen Benutzer über sicheren Zugriff?.................. 31
Wie konfiguriere ich das IVE?......................................................................... 31
Teil 2
Zugriffsverwaltung – Umgebung
Kapitel 3
Allgemeine Zugriffsverwaltung
35
Lizenzierung: Verfügbarkeit der Zugriffsverwaltung ....................................... 36
Richtlinien, Regeln und Einschränkungen sowie Bedingungen – Übersicht .... 36
Zugreifen auf Authentifizierungsbereiche ................................................ 36
Zugreifen auf Benutzerrollen ................................................................... 37
Zugreifen auf Ressourcenrichtlinien......................................................... 38
Richtlinien, Regeln und Einschränkungen sowie
Bedingungen – Auswertung ..................................................................... 39
Dynamische Richtlinienauswertung ............................................................... 41
Informationen zur dynamischen Richtlinienauswertung.......................... 42
Informationen zur standardmäßigen Richtlinienauswertung ................... 42
Aktivieren der dynamischen Richtlinienauswertung ................................ 43
Konfigurieren von Sicherheitsanforderungen ................................................. 44
Angeben von Quell-IP-Zugriffseinschränkungen ...................................... 45
Angeben von Browserzugriffseinschränkungen ....................................... 47
Angeben von Zertifikatzugriffseinschränkungen ...................................... 49
Angeben von Kennwortzugriffseinschränkungen..................................... 51
Angeben von Host Checker-Zugriffseinschränkungen .............................. 52
Angeben von Cache Cleaner-Zugriffseinschränkungen ............................ 52
Angeben von Begrenzungsbeschränkungen............................................. 52
Kapitel 4
Benutzerrollen
53
Lizenzierung: Verfügbarkeit von Benutzerrollen ............................................. 54
Benutzerrollenbewertung ............................................................................... 54
Richtlinien für permissive Zusammenführungen ..................................... 55
Konfigurieren von Benutzerrollen .................................................................. 56
Konfigurieren allgemeiner Rollenoptionen .............................................. 57
Konfigurieren von Rolleneinschränkungen .............................................. 58
Festlegen von rollenbasierten Quell-IP-Aliasen ........................................ 59
Festlegen von Sitzungsoptionen .............................................................. 60
Festlegen von benutzerdefinierten Benutzeroberflächeneinstellungen..... 63
Festlegen von Standardoptionen für Benutzerrollen ................................ 68
Benutzeroberflächen zur Anpassung der Benutzerrollen ................................ 70
Kapitel 5
Ressourcenprofile
75
Lizenzierung: Verfügbarkeit von Ressourcenprofilen...................................... 76
Aufgabenzusammenfassung: Konfigurieren von Ressourcenprofilen ............. 76
Komponenten eines Ressourcenprofils .......................................................... 76
Definieren von Ressourcen...................................................................... 79
Definieren von Auto-Richtlinien............................................................... 80
viii
Inhaltsverzeichnis
Inhaltsverzeichnis
Definieren von Rollen.............................................................................. 81
Definieren von Lesezeichen..................................................................... 82
Ressourcenprofilvorlagen............................................................................... 83
Kapitel 6
Ressourcenrichtlinien
85
Lizenzierung: Verfügbarkeit der Ressourcenrichtlinien................................... 86
Bestandteile einer Ressourcenrichtlinie.......................................................... 87
Angeben von Ressourcen für eine Ressourcenrichtlinie........................... 87
Auswerten von Ressourcenrichtlinien ............................................................ 90
Erstellen detaillierter Regeln für Ressourcenrichtlinien................................... 92
Schreiben einer detaillierten Regel .......................................................... 93
Benutzeroberflächen zur Anpassung der Ressourcenrichtlinien ..................... 94
Kapitel 7
Authentifizierungs- und Verzeichnisserver
95
Lizenzierung: Verfügbarkeit von Authentifizierungsservern............................ 96
Aufgabenzusammenfassung: Konfigurieren von Authentifizierungsservern ... 97
Definieren einer Authentifizierungsserverinstanz........................................... 98
Definieren einer Authentifizierungsserverinstanz .................................... 98
Ändern einer bestehenden Authentifizierungsserverinstanz .................... 99
Konfigurieren einer Instanz eines anonymen Servers .................................... 99
Beschränkungen von anonymen Servern ..............................................100
Definieren einer Instanz eines anonymen Servers.................................100
Konfigurieren einer ACE-/Serverinstanz .......................................................101
Festlegen einer ACE/Serverinstanz ........................................................102
Generieren einer ACE/Agent-Konfigurationsdatei...................................103
Konfigurieren einer Active Directory- oder einer NT-Domäneninstanz.........104
Definieren einer Active Directory- oder Windows
NT-Domänenserverinstanz..............................................................105
Domänenübergreifende Benutzerauthentifizierung ...............................108
Unterstützung der Gruppensuche für Active Directory und NT ..............110
Konfigurieren einer Zertifikatserverinstanz ..................................................111
Konfigurieren einer LDAP-Serverinstanz ......................................................113
Festlegen einer LDAP-Serverinstanz ......................................................113
Konfigurieren von LDAP-Suchattributen für Konferenzersteller .............116
Anzeigen und Löschen von aktiven Benutzersitzungen..........................117
Aktivieren der LDAP-Kennwortverwaltung ............................................117
Konfigurieren einer lokalen Authentifizierungsserverinstanz........................121
Definieren einer lokalen Authentifizierungsserverinstanz ......................122
Erstellen von Benutzerkonten auf einem lokalen
Authentifizierungsserver .................................................................124
Verwalten von Benutzerkonten..............................................................125
Delegieren von Benutzerverwaltungsrechten an Endbenutzer ...............126
Konfigurieren einer NIS-Serverinstanz .........................................................127
Konfigurieren einer RADIUS-Serverinstanz ..................................................128
Optionen für RADIUS-Benutzer..............................................................129
Konfigurieren des IVE für die Zusammenarbeit mit einem
RADIUS-Server ................................................................................130
Aktivieren der RADIUS-Kontoverwaltung...............................................132
Konfigurieren einer Netegrity SiteMinder-Instanz.........................................142
Netegrity SiteMinder – Übersicht ...........................................................143
Konfigurieren von SiteMinder für die Zusammenarbeit mit dem IVE.....147
Konfigurieren des IVE für die Zusammenarbeit mit SiteMinder .............153
Debuggen von SiteMinder- und IVE-Problemen .....................................167
Inhaltsverzeichnis
ix
Juniper Networks Secure Access – Administratorhandbuch
Konfigurieren einer SAML-Serverinstanz ......................................................168
Verwenden des Artifact- und des POST-Profils.......................................168
Konfigurieren einer SAML-Serverinstanz ...............................................173
Kapitel 8
Authentifizierungsbereiche
177
Lizenzierung: Verfügbarkeit von Authentifizierungsbereichen......................178
Erstellen eines Authentifizierungsbereichs ...................................................178
Definieren von Authentifizierungsrichtlinien ................................................180
Erstellen von Rollenzuordnungsregeln .........................................................181
Angeben von Rollenzuordnungsregeln für einen
Authentifizierungsbereich ...............................................................182
Anpassen von Benutzeroberflächenansichten für Benutzerbereiche.............190
Kapitel 9
Anmelderichtlinien
193
Lizenzierung: Verfügbarkeit der Anmelderichtlinien und -seiten ..................195
Aufgabenzusammenfassung: Konfigurieren von Anmelderichtlinien............195
Konfigurieren von Anmelderichtlinien .........................................................195
Definieren von Benutzeranmelderichtlinien ..........................................196
Definieren von Konferenzanmelderichtlinien ........................................197
Aktivieren und Deaktivieren von Anmelderichtlinien.............................199
Festlegen der Reihenfolge, in der die Anmelderichtlinien ausgewertet
werden............................................................................................199
Konfigurieren von Anmeldeseiten................................................................200
Konfigurieren von Standardanmeldeseiten............................................200
Kapitel 10
Einzelanmeldung
203
Lizenzierung: Verfügbarkeit der Einzelanmeldung .......................................203
Einzelanmeldung – Übersicht.......................................................................204
Anmeldedaten für mehrfaches Anmelden – Übersicht .................................205
Aufgabenzusammenfassung: Konfigurieren mehrerer
Authentifizierungsserver .................................................................206
Aufgabenzusammenfassung: Aktivieren von SSO für Ressourcen mit
Schutz durch Standardauthentifizierung..........................................206
Aufgabenzusammenfassung: Aktivieren von SSO für NTLM-geschützte
Ressourcen .....................................................................................207
Anmeldedaten für mehrfaches Anmelden – Ausführung .......................208
Konfigurieren von SAML ..............................................................................214
Konfigurieren von SAML-SSO-Profilen..........................................................217
Erstellen eines Artifact-Profils ................................................................217
Erstellen eines POST-Profils...................................................................222
Erstellen einer Zugriffssteuerungsrichtlinie ............................................225
Herstellen einer Vertrauensstellung zwischen SAML-fähigen
Systemen ........................................................................................229
Teil 3
Endpoint Defense
Kapitel 11
Host Checker
237
Lizenzierung: Verfügbarkeit von Host Checker.............................................238
Aufgabenzusammenfassung: Konfigurieren von Host Checker.....................238
x
Inhaltsverzeichnis
Inhaltsverzeichnis
Erstellen globaler Richtlinien für Host Checker.............................................240
Aktivieren vordefinierter clientseitiger Richtlinien (nur Windows) .........241
Erstellen und Konfigurieren neuer clientseitiger Richtlinien...................245
Aktivieren angepasster serverseitiger Richtlinien...................................258
Aktivieren von Secure Virtual Workspace (sicherer virtueller
Arbeitsbereich) ......................................................................................260
Secure Virtual Workspace – Funktionen ................................................260
Secure Virtual Workspace – Einschränkungen und
Standardeinstellungen.....................................................................261
Konfigurieren von Secure Virtual Workspace.........................................262
Implementieren von Host Checker-Richtlinien .............................................267
Ausführen von Host Checker-Richtlinien................................................268
Konfigurieren von Host Checker-Einschränkungen................................270
Korrigieren von Host Checker-Richtlinien ....................................................272
Host Checker-Hilfsoptionen für Benutzer...............................................273
Konfigurieren der Host Checker-Hilfsoption ..........................................274
Definieren von Host Checker-Zugriffstunnel für die
Vorauthentifizierungen ..........................................................................276
Festlegen von Host Checker-Zugriffstunneldefinitionen für die
Vorauthentifizierungen....................................................................277
Festlegen von allgemeinen Host Checker-Optionen .....................................280
Angeben von Installationsoptionen für Host Checker ...................................282
Verwendung von Host Checker mit der automatischen
GINA-Anmeldefunktion ...................................................................283
Automatische Installation von Host Checker..........................................284
Manuelle Installation von Host Checker .................................................284
Verwenden der Host Checker-Protokolle......................................................284
Kapitel 12
Cache Cleaner
287
Lizenzierung: Verfügbarkeit von Cache Cleaner ...........................................287
Festlegen globaler Optionen für Cache Cleaner............................................288
Implementieren der Cache Cleaner-Optionen ..............................................291
Cache Cleaner ausführen .......................................................................292
Angeben von Cache Cleaner-Einschränkungen ......................................294
Festlegen von Installationsoptionen für Cache Cleaner ................................295
Verwenden von Cache Cleaner-Protokollen..................................................296
Teil 4
Remotezugriff
Kapitel 13
Neuschreiben von Webinhalt
299
Lizenzierung: Neuschreiben von Webinhalt – Verfügbarkeit ........................300
Aufgabenzusammenfassung: Konfigurieren der Funktion zum
Neuschreiben von Webinhalt.................................................................300
Neuschreiben von Web-URLs – Überblick ....................................................302
Remote-SSO – Übersicht .......................................................................304
Durchgangsproxy – Überblick ...............................................................305
Definieren von Ressourcenprofilen: Benutzerdefinierte
Webanwendungen ................................................................................308
Definieren von Basis-URLs.....................................................................310
Inhaltsverzeichnis
xi
Juniper Networks Secure Access – Administratorhandbuch
Definieren einer automatischen Richtlinie für die
Webzugriffssteuerung .....................................................................310
Definieren von Webressourcen .............................................................311
Definieren einer automatischen Richtlinie für Single Sign-On
(Einzelanmeldung) ..........................................................................313
Definieren einer automatischen Richtlinie für Zwischenspeicherung .....317
Definieren einer automatischen Richtlinie für die
Java-Zugriffssteuerung.....................................................................319
Definieren einer automatischen Richtlinie für Neuschreibevorgänge .....321
Definieren einer automatischen Richtlinie für Webkomprimierung .......326
Definieren eines Weblesezeichens.........................................................327
Definieren von Ressourcenprofilen: Citrix-Webanwendungen .....................329
Definieren von Ressourcenprofilen: Microsoft OWA ....................................333
Definieren von Ressourcenprofilen: Lotus iNotes .........................................336
Definieren von Ressourcenprofilen: Microsoft Sharepoint............................338
Definieren von Rolleneinstellungen: Web-URLs ...........................................340
Erstellen von Lesezeichen mit vorhandenen Ressourcenprofilen...........340
Erstellen von standardmäßigen Weblesezeichen ...................................341
Angeben von allgemeinen Webbrowsingoptionen.................................343
Definieren von Ressourcenrichtlinien: Übersicht..........................................347
Definieren von Ressourcenrichtlinien: Webzugriff .......................................349
Definieren von Ressourcenrichtlinien: Single Sign-On (Einzelanmeldung)....350
Schreiben einer Ressourcenrichtlinie zur Standardauthentifizierung
bzw. NTLM-Vermittlung ..................................................................351
Schreiben einer Ressourcenrichtlinie für Remote-SSO-Form-POSTs ......353
Schreiben einer Ressourcenrichtlinie für Remote-SSO-Header
und -Cookies ...................................................................................356
Definieren von Ressourcenrichtlinien: Caching ............................................358
Schreiben einer Ressourcenrichtlinie für die Zwischenspeicherung .......358
Erstellen von OWA- und Lotus Notes-Ressourcenrichtlinien für die
Zwischenspeicherung......................................................................361
Angeben von allgemeinen Zwischenspeicherungsoptionen ...................362
Definieren von Ressourcenrichtlinien: Externe Java-Applets ........................362
Schreiben einer Ressourcenrichtlinie für die Java-Zugriffssteuerung ......362
Schreiben einer Ressourcenrichtlinie für die Java-Codesignatur.............364
Definieren von Ressourcenrichtlinien: Neuschreiben ...................................366
Erstellen einer Ressourcenrichtlinie für selektives Neuschreiben ...........366
Erstellen einer Ressourcenrichtlinie für Durchgangsproxys ...................369
Erstellen einer Ressourcenrichtlinie für benutzerdefinierte Header........372
Erstellen einer Ressourcenrichtlinie für ActiveX-Parameter ...................373
Wiederherstellen von standardmäßigen IVE
ActiveX-Ressourcenrichtlinien.........................................................375
Erstellen von Filtern für Neuschreibevorgänge ......................................377
Definieren von Ressourcenrichtlinien: Webkomprimierung .........................377
Schreiben einer Ressourcenrichtlinie für Webkomprimierung ...............377
Definieren einer Ressourcenrichtlinie für eine OWA-Komprimierung ....378
Definieren von Ressourcenrichtlinien: Webproxy ........................................379
Schreiben einer Ressourcenrichtlinie für Webproxys.............................379
Angeben von Webproxyservern ............................................................380
Definieren von Ressourcenrichtlinien: HTTP 1.1-Protokoll ...........................382
Definieren von Ressourcenrichtlinien: Allgemeine Optionen........................384
Verwalten von Ressourcenrichtlinien: Anpassen von
Benutzeroberflächenansichten...............................................................385
xii
Inhaltsverzeichnis
Inhaltsverzeichnis
Kapitel 14
Gehostete Java-Applets
387
Lizenzierung: Verfügbarkeit der gehosteten Java-Applets .............................387
Aufgabenzusammenfassung: Hosten von Java-Applets.................................387
Übersicht über gehostete Java-Applets .........................................................388
Hochladen von Java-Applets in das IVE..................................................389
Signieren von hochgeladenen Java-Applets............................................390
Erstellen von HTML-Seiten, die auf die hochgeladenen Java-Applets
verweisen .......................................................................................391
Zugreifen auf Lesezeichen für Java-Applets............................................391
Definieren von Ressourcenprofilen: Gehostete Java-Applets.........................392
Definieren eines Lesezeichens für gehostete Java-Applets .....................393
Verwendungsbeispiel: Erstellen eines Lesezeichens für ein Java-Applet mit
Citrix JICA Version 8.0 ...........................................................................398
Kapitel 15
Neuschreiben von Dateien
401
Lizenzierung: Verfügbarkeit der Funktion zum Neuschreiben von Dateien ..401
Definieren von Ressourcenprofilen: Neuschreiben von Dateien ...................401
Definieren von Dateiressourcen ............................................................403
Definieren einer Auto-Richtlinie für die Dateizugriffssteuerung..............404
Definieren einer Auto-Richtlinie für die Dateikomprimierung ................405
Definieren einer Auto-Richtlinie für die Einzelanmeldung
(nur Windows) ................................................................................405
Definieren eines Dateilesezeichens........................................................407
Definieren von Rolleneinstellungen: Windows-Ressourcen ..........................409
Erstellen von erweiterten Lesezeichen für Windows-Ressourcen ...........410
Erstellen von Windows-Lesezeichen für die Zuordnung zu
LDAP-Servern..................................................................................411
Definieren von allgemeinen Optionen zum Navigieren durch Dateien...412
Definieren von Ressourcenrichtlinien: Windows-Dateiressourcen................412
Kanonisches Format: Windows-Dateiressourcen ...................................413
Schreiben einer Ressourcenrichtlinie für Windows-Zugriff.....................414
Schreiben einer Ressourcenrichtlinie für die
Windows-Einzelanmeldung.............................................................416
Schreiben einer Ressourcenrichtlinie für die
Windows-Komprimierung ...............................................................417
Definieren von allgemeinen Optionen zum Schreiben von Dateien .......418
Definieren von Rolleneinstellungen: UNIX/NFS-Dateiressourcen ..................419
Erstellen von erweiterten Lesezeichen für Unix-Ressourcen ..................420
Definieren von allgemeinen Optionen zum Navigieren durch Dateien...421
Definieren von Ressourcenrichtlinien: UNIX/NFS-Dateiressourcen ...............421
Kanonisches Format: UNIX/NFS-Dateiressourcen ..................................422
Schreiben von UNIX/NFS-Ressourcenrichtlinien ....................................423
Schreiben einer Ressourcenrichtlinie für die
Unix/NFS-Komprimierung ...............................................................424
Definieren von allgemeinen Optionen zum Schreiben von Dateien .......425
Kapitel 16
Secure Application Manager
427
Lizenzierung: Secure Application Manager-Verfügbarkeit .............................428
Aufgabenzusammenfassung: Konfigurieren von WSAM...............................428
W-SAM – Übersicht ......................................................................................429
Sichern von Client-/Serverdatenverkehr mit WSAM ...............................430
Kompatibilität mit Antiviren- und VPN-Clientanwendungen ..................432
Starten von Network Connect während einer WSAM-Sitzung ................433
Inhaltsverzeichnis
xiii
Juniper Networks Secure Access – Administratorhandbuch
Debuggen von WSAM-Problemen..........................................................433
Definieren von Ressourcenprofilen: WSAM..................................................433
Erstellen von WSAM-Clientanwendungs-Ressourcenprofilen .................434
Erstellen von WSAM-Zielnetzwerkressourcenprofilen ............................436
Definieren von Rolleneinstellungen: WSAM .................................................436
Angeben von Anwendungen und Servern, die mit WSAM gesichert
werden sollen .................................................................................437
Festlegen von Anwendungen, die WSAM umgehen müssen..................439
Festlegen von WSAM-Optionen auf Rollenebene ...................................441
Herunterladen von WSAM-Anwendungen .............................................442
Definieren von Ressourcenrichtlinien: WSAM ..............................................443
Festlegen von Anwendungsservern, auf die Benutzer Zugriff erhalten...443
Festlegen von WSAM-Optionen auf Ressourcenebene ...........................445
Verwenden des W-SAM-Startprogramms .....................................................445
Manuelles Ausführen von Skripts...........................................................447
Automatisches Ausführen von Skripts ...................................................448
Aufgabenzusammenfassung: Konfigurieren von JSAM .................................449
J-SAM Übersicht ...........................................................................................451
Verwenden von JSAM für die Client-/Serverkommunikation ..................451
Linux- und Macintosh-Unterstützung .....................................................460
Standardmäßige Anwendungsunterstützung: MS Outlook .....................460
Standardmäßige Anwendungsunterstützung: Lotus Notes .....................462
Standardmäßige Anwendungsunterstützung: Citrix Web Interface for
MetaFrame (NFuse Classic) .............................................................464
Benutzerdefinierte Anwendungsunterstützung: Von Citrix veröffentlichte
mit einem systemeigenen Client konfigurierte Anwendungen ........465
Benutzerdefinierte Anwendungsunterstützung: Citrix Secure
Gateways ........................................................................................467
Definieren von Ressourcenprofilen: JSAM ....................................................468
Definieren von Rolleneinstellungen: JSAM ...................................................474
Angeben von Anwendungen, die mit JSAM gesichert werden sollen......474
Festlegen von JSAM-Optionen auf Rollenebene .....................................477
Definieren von Ressourcenrichtlinien: JSAM ................................................478
Automatisches Starten von JSAM ...........................................................479
Festlegen von Anwendungsservern, auf die Benutzer Zugriff erhalten...481
Festlegen von JSAM-Optionen auf Ressourcenebene .............................482
Kapitel 17
Telnet/SSH
485
Lizenzierung: Telnet/SSH – Verfügbarkeit ....................................................486
Aufgabenzusammenfassung: Konfigurieren der Funktion „Telnet/SSH“ .......486
Definieren von Ressourcenprofilen: Telnet/SSH ...........................................487
Definieren eines Lesezeichens für ein Telnet/SSH-Ressourcenprofil.......488
Definieren von Rolleneinstellungen: Telnet/SSH...........................................490
Erstellen von erweiterten Sitzungslesezeichen.......................................491
Konfigurieren allgemeiner Optionen für Telnet/SSH ..............................492
Definieren von Ressourcenrichtlinien: Telnet/SSH........................................493
Schreiben von Telnet/SSH-Ressourcenrichtlinien ...................................494
Abgleichen von IP-Adressen mit Hostnamen .........................................495
Kapitel 18
Terminal Services
497
Lizenzierung: Terminal Services – Verfügbarkeit..........................................497
Aufgabenzusammenfassung: Konfigurieren von Terminal Services..............497
Terminal Services – Übersicht......................................................................499
xiv
Inhaltsverzeichnis
Inhaltsverzeichnis
Funktion „Terminal Services“ ...............................................................499
Ausführung von Terminal Services ........................................................501
Konfigurieren von Citrix für die Unterstützung von
ICA-Lastenausgleich ........................................................................505
Vergleichen von IVE-Zugriffsmechanismen für die Konfiguration
von Citrix ........................................................................................507
Definieren von Ressourcenprofilen: Terminal Services ................................508
Definieren eines Windows- oder Citrix-Profils mit den
standardmäßigen ICA-Einstellungen................................................508
Definieren eines Citrix-Profils mit einer benutzerdefinierten
ICA-Einstellung................................................................................514
Definieren von Rolleneinstellungen: Terminal Services ................................518
Erstellen von erweiterten Terminal Services-Sitzungslesezeichen ..........520
Erstellen von Links von einer externen Site zu einem
Sitzungslesezeichen für Terminal Services ......................................524
Angeben von allgemeinen Terminal Services-Optionen .........................526
Definieren von Ressourcenrichtlinien: Terminal Services.............................528
Konfigurieren von Terminal Services-Ressourcenrichtlinien ..................528
Angeben der Ressourcenoption für Terminal Services ...........................530
Kapitel 19
Secure Meeting
531
Lizenzierung: Verfügbarkeit von Secure Meeting..........................................531
Aufgabenzusammenfassung: Konfigurieren von Secure Meeting .................532
Secure Meeting – Übersicht..........................................................................534
Konferenzplanung .................................................................................534
Benachrichtigungs-E-Mails .....................................................................536
Teilnahme an Konferenzen ...................................................................537
Konferenzteilnahme ..............................................................................538
Leiten von Konferenzen ........................................................................539
Präsentation von Konferenzen ..............................................................540
Erstellen von Sofortkonferenzen und Supportkonferenzen ....................541
Definieren von Rolleneinstellungen: Secure Meeting....................................542
Aktivieren und Konfigurieren von Secure Meeting.................................542
Richtlinien für permissive Zusammenführungen für Secure Meeting .....546
Festlegen von Authentifizierungsservern, auf die Konferenzersteller
zugreifen können ............................................................................546
Definieren von Ressourcenrichtlinien: Secure Meeting.................................548
Fehlerbehebung bei Secure Meeting.............................................................550
Überwachung bei Secure Meeting ................................................................552
Kapitel 20
E-Mail-Client
553
Lizenzierung: Verfügbarkeit des E-Mail-Clients .............................................554
E-Mail-Client – Übersicht ..............................................................................554
Auswählen eines E-Mail-Clients..............................................................554
Arbeiten mit einem standardbasierten Mailserver .................................554
Arbeiten mit Microsoft Exchange Server................................................555
Arbeiten mit Lotus Notes und Lotus Notes Mail Server ..........................557
Definieren von Rolleneinstellungen: E-Mail-Client ........................................558
Definieren von Ressourcenrichtlinien: E-Mail-Client .....................................558
Kapitel 21
Network Connect
561
Lizenzierung: Verfügbarkeit von Network Connect.......................................563
Aufgabenzusammenfassung: Konfigurieren von Network Connect ..............563
Inhaltsverzeichnis
xv
Juniper Networks Secure Access – Administratorhandbuch
Network Connect – Übersicht ......................................................................565
Network Connect – Ausführung.............................................................565
Network Connect-Verbindungsprofile mit Unterstützung für mehrere
DNS-Einstellungen...........................................................................569
Bereitstellen Ihres Netzwerks für Network Connect ...............................570
Clientseitige Protokollierung ..................................................................571
Network Connect Proxy-Unterstützung..................................................571
Network Connect-Dienstgüte .................................................................572
Network Connect-Multicast-Unterstützung.............................................573
Definieren von Rolleneinstellungen: Network Connect.................................573
Definieren von Ressourcenrichtlinien: Network Connect .............................576
Definieren von Network Connect-Zugriffssteuerungsrichtlinien .............576
Definieren von Network Connect-Protokollierungsrichtlinien ................577
Erstellen von Network Connect-Verbindungsprofilen.............................578
Definieren von Network Connect-Richtlinien für geteilte Tunnel ...........584
Verwendungsbeispiel: Konfiguration von Network
Connect-Ressourcenrichtlinien ........................................................586
Definieren von Systemeinstellungen: Network Connect ...............................587
Angeben von IP-Filtern ..........................................................................587
Herunterladen des Network Connect-Installationsprogramms ...............588
Abhängigkeiten des Network Connect-Installationsvorgangs .................589
Abhängigkeiten des Network Connect-Deinstallationsvorgangs .............591
Verwenden des Network Connect Launcher (NC Launcher) .........................592
Beheben von Fehlern bei Network Connect .................................................594
nc.windows.app.23792 .........................................................................594
Versionskonflikte durch Herunterstufen ................................................594
Teil 5
Systemverwaltung
Kapitel 22
Allgemeine Systemverwaltung
599
Lizenzierung: Verfügbarkeit der Systemverwaltung......................................599
Aufgabenzusammenfassung: Konfigurieren von Verwaltungsfunktionen .....600
Konfigurieren von Netzwerkeinstellungen....................................................600
Bondingports .........................................................................................601
Konfigurieren allgemeiner Netzwerkeinstellungen.................................601
Konfigurieren interner und externer Ports.............................................603
Konfigurieren von SFP-Ports..................................................................605
Konfigurieren des Verwaltungsports ......................................................606
Konfigurieren von VLANs ......................................................................607
Konfigurieren virtueller Ports.................................................................609
Aufgabenzusammenfassung: Definieren von Subnetzzielen basierend auf
Rollen .............................................................................................611
Konfigurieren von statischen Routen für den Netzwerkverkehr .............612
Erstellen von ARP-Caches ......................................................................613
Angeben von Hostnamen zur lokalen Auflösung durch das IVE .............614
Angeben von IP-Filtern ..........................................................................614
Verwenden von zentralen Verwaltungsfunktionen .......................................614
Ändern von Dashboarddiagrammen der Zentralverwaltung ..................615
Konfigurieren von Systemprogrammen .......................................................617
Überprüfen von Systemdaten ................................................................617
Aktualisieren oder Herunterstufen des IVE ...........................................618
xvi
Inhaltsverzeichnis
Inhaltsverzeichnis
Festlegen der Systemoptionen...............................................................619
Herunterladen von Anwendungsinstallationsprogrammen ....................621
Lizenzierung, Sicherheit und NCP konfigurieren ..........................................624
Eingeben oder Aktualisieren von Lizenzen ...........................................624
Festlegen von Sicherheitsoptionen ........................................................632
Konfigurieren von NCP und JCP.............................................................634
Installieren eines Juniper-Softwaredienstpakets .....................................635
Konfigurieren und Verwenden des Verwaltungsports...................................636
Konfigurieren von Netzwerkeinstellungen für den Verwaltungsport ......637
Hinzufügen von statischen Routen zur Verwaltungsroutentabelle..........639
Zuordnen eines Zertifikats zum Verwaltungsport...................................639
Steuern des Administratoranmeldezugriffs ............................................639
Über den Verwaltungsport anmelden ....................................................640
Festlegen von Rollenzuordungsregeln mit benutzerdefinierten
Ausdrücken .....................................................................................640
Probleme mit dem Verwaltungsport beheben .......................................641
Verwenden des Verwaltungsports in einem Cluster ...............................642
Importieren von Konfigurationen in ein System mit aktiviertem
Verwaltungsport..............................................................................643
Kapitel 23
Zertifikate
645
Lizenzierung: Verfügbarkeit von Zertifikaten................................................646
Verwenden von Gerätezertifikaten ...............................................................646
Importieren von Zertifikaten in das IVE.................................................647
Herunterladen eines Gerätezertifikats vom IVE......................................650
Erstellen einer Zertifikatssignaturanforderung für ein neues Zertifikat...650
Verwenden von Serverzwischenzertifikaten ..........................................651
Verwenden mehrerer IVE-Gerätezertifikate ...........................................652
Verwenden von vertrauten Clientzertifizierungsstellen.................................654
Verwenden von vertrauten Clientzertifizierungsstellen ..........................655
Aktivieren der Hierarchien von Clientzertifizierungsstellen....................662
Aktivieren von CRLs ..............................................................................663
Aktivieren von OCSP .............................................................................667
Verwenden von vertrauten Serverzertifizierungsstellen................................669
Hochladen von CA-Zertifikaten vertrauenswürdiger Server....................670
Erneuern eines CA-Zertifikats vertrauenswürdiger Server ......................670
Löschen eines CA-Zertifikats des vertrauenswürdigen Servers ...............671
Anzeigen von Details des CA-Zertifikats des vertrauenswürdigen
Servers............................................................................................671
Verwenden von Codesignaturzertifikaten.....................................................672
Weitere Hinweise für Benutzer der SUN JVM: ........................................673
Aufgabenzusammenfassung: Konfiguration des IVE zum Signieren
oder Neusignieren von Java-Applets ................................................674
Importieren eines Codesignaturzertifikats .............................................674
Kapitel 24
Systemarchivierung
677
Lizenzierung: Verfügbarkeit der Systemarchivierung....................................677
Archivieren von binären IVE-Konfigurationsdateien .....................................678
Erstellen lokaler Sicherungskopien von IVE-Konfigurationsdateien ..............680
Importieren und Exportieren von IVE-Konfigurationsdateien .......................682
Exportieren einer Systemkonfigurationsdatei ........................................683
Importieren einer Systemkonfigurationsdatei........................................684
Exportieren von lokalen Benutzerkonten oder Ressourcenrichtlinien ....685
Inhaltsverzeichnis
xvii
Juniper Networks Secure Access – Administratorhandbuch
Importieren von lokalen Benutzerkonten oder Ressourcenrichtlinien ....685
Importieren und Exportieren von XML-Konfigurationsdateien .....................686
Erstellen und Ändern von XML-Instanzen..............................................688
Einschränkungen der referenziellen Integrität .......................................692
Zuordnen der XML-Instanz zu Benutzeroberflächenkomponenten ........693
XML-Importmodi ...................................................................................694
Herunterladen der Schemadatei ............................................................696
Strategien für die Arbeit mit XML-Instanzen ..........................................697
XML Import/Export – Gebrauchsfälle .....................................................702
Importieren in ein System mit dem Verwaltungsport ............................708
Übertragen von Konfigurationen zwischen IVEs...........................................708
Definieren des Ziel-IVE ..........................................................................710
Übertragen der Konfigurationseinstellungen..........................................711
Kapitel 25
Protokollierung und Überwachung
715
Lizenzierung: Verfügbarkeit der Protokollierung und Überwachung .............715
Protokollierung und Überwachung – Übersicht ............................................716
Schweregrade der Protokolldatei ...........................................................717
Benutzerdefinierte Filterung von Protokolldateien .................................718
Dynamische Protokollfilter ....................................................................718
Anzeigen und Löschen von Benutzersitzungen ......................................718
Konfigurieren der Protokollierungs- und Überwachungsfunktion .................720
Konfigurieren von Ereignissen, Benutzerzugriffen, Administratorzugriffen,
IDP-Sensoren und NC-Paketprotokollen.................................................720
Erstellen, Zurücksetzen oder Speichern einer dynamischen
Protokollabfrage..............................................................................721
Angeben der in der Protokolldatei zu speichernden Ereignisse..............722
Erstellen, Bearbeiten oder Löschen von Protokollfiltern.........................724
Erstellen von benutzerdefinierten Filtern und Formaten für
Protokolldateien..............................................................................724
Überwachen des IVE als SNMP-Agent ..........................................................725
Anzeigen der Systemstatistik .......................................................................731
Aktivieren von clientseitigen Protokollen .....................................................731
Aktivieren von clientseitiger Protokollierung und globalen Optionen.....732
Aktivieren des Hochladens von clientseitigen Protokollen .....................733
Anzeigen von hochgeladenen clientseitigen Protokollen........................734
Anzeigen des allgemeinen Status .................................................................735
Anzeigen der Auslastung der Systemkapazität.......................................735
Angeben des Zeitraums und der Daten, die in Diagrammen
dargestellt werden sollen ................................................................736
Konfigurieren der Diagrammanzeige.....................................................736
Anzeigen kritischer Systemereignisse ....................................................737
Herunterladen des aktuellen Dienstpakets.............................................737
Bearbeiten von Systemdatum und -zeit .................................................737
Überwachen von aktiven Benutzern.............................................................738
Anzeigen und Absagen geplanter Konferenzen ............................................739
Kapitel 26
Fehlerbehebung
741
Lizenzierung: Verfügbarkeit der Fehlerbehebung .........................................741
Simulieren oder Verfolgen von Ereignissen ..................................................742
Simulieren von problemverursachenden Ereignissen ............................742
Verfolgen von Ereignissen mithilfe der Richtlinienverfolgung ................744
Aufzeichnen von Sitzungen ..........................................................................747
xviii
Inhaltsverzeichnis
Inhaltsverzeichnis
Erstellen von Snapshots des IVE-Systemstatus .............................................748
Erstellen von TCP-Dumpdateien...................................................................749
Testen der IVE-Netzwerkverbindung ............................................................750
Address Resolution Protocol (ARP) ........................................................751
Ping .......................................................................................................751
Traceroute .............................................................................................751
NSlookup ...............................................................................................752
Remoteausführung von Debuggingtools.......................................................752
Erstellen von Debuggingprotokollen.............................................................753
Überwachen von Clusterknoten ...................................................................754
Konfigurieren der Gruppenkommunikationsüberwachung in
einem Cluster ........................................................................................754
Konfigurieren der Netzwerkverbindungsüberwachung in einem Cluster ......756
Kapitel 27
Clustering
759
Lizenzierung: Verfügbarkeit von Clustering ..................................................760
Aufgabenzusammenfassung: Bereitstellen eines Clusters.............................760
Erstellen und Konfigurieren eines Clusters ...................................................762
Definieren und Initialisieren eines Clusters............................................763
Beitreten zu einem bestehenden Cluster ...............................................764
Konfigurieren von Clustereigenschaften.......................................................766
Bereitstellen von zwei Knoten in einem Aktiv/Passiv-Cluster .................767
Bereitstellen von zwei oder mehreren Einheiten in einem
Aktiv/Aktiv-Cluster ..........................................................................768
Synchronisieren des Clusterstatus .........................................................770
Konfigurieren von Clustereigenschaften ................................................772
Verwalten und Konfigurieren von Clustern ..................................................775
Hinzufügen mehrerer Clusterknoten......................................................775
Verwalten von Netzwerkeinstellungen für Clusterknoten.......................776
Aktualisieren von Knoten im Cluster .....................................................776
Aktualisieren des Clusterdienstpakets....................................................777
Löschen eines Clusters...........................................................................778
Neustarten oder Neubooten von Knoten in einem Cluster .....................778
Verfahren für die Administratorkonsole.................................................779
Überwachen von Clustern......................................................................780
Fehlerbehebung bei Clustern .................................................................781
Verfahren für die serielle Konsole ................................................................783
Kapitel 28
Delegieren von Administratorrollen
789
Lizenzierung: Verfügbarkeit der delegierten Administrationsrolle ................790
Erstellen und Konfigurieren von Administratorrollen ...................................790
Erstellen von Administratorrollen ..........................................................791
Ändern von Administratorrollen ............................................................792
Löschen von Administratorrollen...........................................................792
Festlegen von zu löschenden Verwaltungsaufgaben .....................................792
Delegieren von Systemverwaltungsaufgaben.........................................793
Delegieren der Benutzer- und Rollenverwaltung ....................................793
Delegieren der Benutzerbereichsverwaltung..........................................794
Delegieren der Administratorverwaltung ...............................................795
Delegieren der Ressourcenrichtlinienverwaltung ...................................797
Delegieren der Ressourcenprofilverwaltung...........................................798
Definieren allgemeiner Einstellungen für Systemadministratorrollen ...........799
Definieren von Standardoptionen für Administratorenrollen .................799
Inhaltsverzeichnis
xix
Juniper Networks Secure Access – Administratorhandbuch
Verwalten allgemeiner Einstellungen und Optionen für Rollen ..............800
Festlegen von Zugriffsverwaltungsoptionen für die Rolle .......................800
Festlegen allgemeiner Sitzungsoptionen ................................................801
Festlegen von Benutzeroberflächenoptionen .........................................802
Delegieren von Zugriff auf IVS-Systeme.................................................803
Kapitel 29
Instant Virtual System (IVS)
805
Lizenzierung: Verfügbarkeit des IVS .............................................................806
Bereitstellen eines IVS..................................................................................806
Architektur des virtuellen IVE ................................................................808
Anmelden am Stammsystem oder IVS.........................................................809
Anmelden mit dem Anmelde-URL-Präfix...............................................809
Anmelden über virtuelle Ports ...............................................................811
Anmeldung über eine VLAN-Schnittstelle...............................................812
Navigation zum IVS ...............................................................................812
Festlegen des Abonnentenprofils .................................................................812
IVS-Konfigurationsarbeitsblatt ...............................................................813
Verwalten des Stammsystems ...............................................................814
Konfigurieren des Stammadministrators ...............................................815
Bereitstellung eines IVS ................................................................................815
Informationen zum Bereitstellungsprozess...................................................816
Konfigurieren von Anmeldeports .................................................................818
Konfigurieren des externen Ports ..........................................................818
Konfigurieren eines virtuellen Ports für die Anmeldung über den
externen Port ..................................................................................819
Konfigurieren eines virtuellen Ports für die Anmeldung über den
internen Port...................................................................................819
Konfigurieren eines virtuellen LAN (VLAN)...................................................820
Konfigurieren von VLANs im virtuellen IVE ...........................................821
Hinzufügen von statischen Routen zur VLAN-Routentabelle ..................822
Löschen eines VLAN ..............................................................................823
Laden des Zertifikatservers ..........................................................................824
Erstellen eines virtuellen Systems (IVS-Profil)...............................................824
Erstellen eines neuen IVS-Profils............................................................824
Direkte Anmeldung am IVS als IVS-Administrator........................................826
Konfigurieren von rollenbasierten Quell-IP-Aliasen ......................................827
Zuordnen von Rollen zu VLANs und Quell-IP-Adressen..........................828
Konfigurieren von virtuellen Ports für ein VLAN ....................................828
Zuordnen von Rollen zu Quell-IP-Adressen in einem IVS .......................828
Konfigurieren von Richtlinien-Routingregeln im IVS ....................................829
Routingregeln ........................................................................................830
Überlappende IP-Adressbereiche ...........................................................831
Definieren von Ressourcenrichtlinien ....................................................831
Gruppieren eines virtuellen IVE....................................................................831
Konfigurieren des DNS für das IVS...............................................................832
Zugriff auf einen DNS-Server im MSP-Netzwerk ....................................833
Zugriff auf einen DNS-Server im Intranet einer Abonnentenfirma .........833
Konfigurieren von Network Connect für ein virtuelles IVE ...........................835
Konfigurieren des Network Connect-Verbindungsprofils........................835
Konfigurieren von Network Connect auf Back-End-Routern...................835
Konfigurieren eines zentralen DHCP-Servers ...............................................838
Konfigurieren von Authentifizierungsservern ...............................................840
Regeln für den Zugriff auf Authentifizierungsserver...............................840
Konfigurieren der Authentifizierung auf einem RADIUS-Server .............841
xx
Inhaltsverzeichnis
Inhaltsverzeichnis
Konfigurieren der Authentifizierung in Active Directory ........................841
Delegieren von Verwaltungszugriff auf IVS-Systeme ....................................842
Zugriff auf eigenständige Installationsprogramme........................................842
Exportieren und Importieren von IVS-Konfigurationsdateien .......................843
Exportieren und Importieren der Stammsystemkonfiguration...............843
Überwachen von Abonnenten......................................................................845
Sperren des Abonnentenzugriffs auf das IVS .........................................845
Fehlerbehebung in VLANs............................................................................846
Ausführen von „TCPDump“ für ein VLAN ..............................................846
Verwenden von Befehlen in einem VLAN
(Ping, traceroute, NSLookup, ARP) ..................................................847
IVS-Verwendungsbeispiele ...........................................................................847
Auflösung von Richtlinien-Routingregeln – Verwendungsbeispiel für
IVS ..................................................................................................848
Konfigurieren eines globalen Authentifizierungsservers für mehrere
Abonnenten ....................................................................................853
Konfigurieren einer DNS/WINS-Server-IP-Adresse für jeden
Abonnenten ....................................................................................853
Konfigurieren des Webanwendungs- und Webbrowsing-Zugriffs
für jeden Abonnenten .....................................................................854
Konfigurieren des Dateinavigationszugriffs für jeden Abonnenten.........855
Einrichten mehrerer Subnetz-IP-Adressen für Endbenutzer eines
Abonnenten ....................................................................................857
Konfigurieren mehrerer IVS-Systeme für den Zugriff auf einen
gemeinsam genutzten Server ..........................................................857
Kapitel 30
IVE und IDP-Interoperabilität
859
Lizenzierung: Verfügbarkeit von IDP ............................................................860
Bereitstellungsszenarios ...............................................................................860
Konfigurieren des IVE für die Zusammenarbeit mit einem IDP-Sensor ........861
Konfigurieren von IDP-Verbindungen ....................................................861
Manuelles Identifizieren und Verwalten von gesperrten Benutzern........866
Teil 6
Systemdienste
Kapitel 31
IVE Serielle Konsole
871
Lizenzierung: Verfügbarkeit der seriellen Konsole........................................871
Herstellen einer Verbindung mit der seriellen Konsole der IVE-Appliance....871
Rollback zu einem vorherigen Systemzustand .............................................872
Rollback zu einem vorherigen Systemstatus über die
Administratorkonsole......................................................................873
Rollback zu einem vorherigen Systemstatus über die serielle Konsole...873
Zurücksetzen einer IVE-Appliance auf die Werkseinstellungen.....................874
Durchführen gängiger Wiederherstellungsvorgänge .....................................877
Kapitel 32
Anpassbare Administrator- und Endbenutzeroberflächen
879
Lizenzierung: Verfügbarkeit der Funktionen zur Anpassung der
Benutzeroberfläche................................................................................879
Benutzerdefinierte Elemente der Administratorkonsole – Übersicht ............880
Übersicht über die anpassbaren Elemente der Endbenutzeroberfläche ........881
Inhaltsverzeichnis
xxi
Juniper Networks Secure Access – Administratorhandbuch
Kapitel 33
Secure Access 6000
883
Standardhardware .......................................................................................883
Austauschbare Einheiten des Secure Access 6000........................................884
Kapitel 34
Secure Access FIPS
887
Lizenzierung: Secure Access FIPS – Verfügbarkeit........................................887
Secure Access FIPS – Ausführung.................................................................888
Erstellen von Administratorkarten ...............................................................889
Administratorkarte – Sicherheitsmaßnahmen .......................................890
Bereitstellen eines Clusters in einer Secure Access FIPS-Umgebung .............891
Erstellen einer neuen Security World ...........................................................893
Erstellen einer Security World auf einem eigenständigen IVE................894
Erstellen einer Security World in einer Clusterumgebung ......................895
Ersetzen von Administratorkarten .........................................................895
Wiederherstellen einer archivierten Security World .....................................896
Importieren einer Security World in ein eigenständiges IVE ..................897
Importieren einer Security World in einen Cluster.................................898
Kapitel 35
Komprimierung
899
Lizenzierung: Verfügbarkeit der Kompression..............................................899
Ausführen der Komprimierung ....................................................................899
Unterstützte Datentypen ..............................................................................900
Aktivieren der Komprimierung auf Systemebene.........................................901
Erstellen von Komprimierungsressourcenprofilen und -richtlinien ...............902
Kapitel 36
Unterstützung mehrerer Sprachen
903
Lizenzierung: Verfügbarkeit der Unterstützung mehrerer Sprachen .............904
Codieren von Dateien ..................................................................................904
Lokalisierung der Benutzeroberfläche ..........................................................904
Lokalisierung benutzerdefinierter Anmelde- und Systemseiten ....................905
Kapitel 37
Handheldgeräte und PDAs
907
Lizenzierung: Verfügbarkeit der Unterstützung von Handheldgeräten
und PDAs ..............................................................................................908
Aufgabenzusammenfassung: Konfigurieren des IVE für PDAs und
Handhelds .............................................................................................908
Definieren von Clienttypen ..........................................................................910
Aktivieren von WSAM auf PDAs...................................................................912
Teil 7
Zusatzinformationen
Anhang A
Schreiben benutzerdefinierter Ausdrücke
915
Lizenzierung: Verfügbarkeit benutzerdefinierter Ausdrücke .........................915
Benutzerdefinierte Ausdrücke ......................................................................915
Platzhalterabgleich ................................................................................919
DN-Variablen und Funktionen ...............................................................920
Systemvariablen und Beispiele.....................................................................920
xxii
Inhaltsverzeichnis
Inhaltsverzeichnis
Verwendung von Systemvariablen in Bereichen, Rollen und
Ressourcenrichtlinien ............................................................................929
Verwendung von Attributen mit mehreren Werten ...............................930
Festlegen des fetch-Attributs in einem Bereich ......................................931
Angeben des homeDirectory-Attributs für LDAP....................................932
Inhaltsverzeichnis
xxiii
Juniper Networks Secure Access – Administratorhandbuch
xxiv
Inhaltsverzeichnis
Das Handbuch
In diesem Handbuch finden Sie die erforderlichen Informationen zum
Konfigurieren und Verwalten eines Juniper Networks Instant Virtual Extranet (IVE).
Folgende Themen werden behandelt:
Übersicht über die Secure Access-Produkte und das zugrunde liegende
Zugriffsverwaltungssystem
Übersicht über Basis- und erweiterte Funktionen sowie über
Aktualisierungsoptionen
Anweisungen für die Konfiguration und Verwaltung der IVE-Appliance oder des
IVE-Clusters
Zielgruppe
Dieses Handbuch wendet sich an Systemadministratoren, die für die Konfiguration
von Secure Access und Secure Access FIPS-Produkten zuständig sind.
Weiterführende Informationen
Administrator- und Entwicklerdokumentation
Besuchen Sie zum Herunterladen einer PDF-Version dieses
Administratorhandbuchs die Seite für die IVE-BS-Produktdokumentation des
Juniper Networks Customer Support Center.
Informationen zu den Änderungen, die Secure Access-Clients an
Clientcomputern vornehmen, darunter auch installierte Dateien und
Registrierungsänderungen, sowie Hinweise zu den für die Installation und
Ausführung von Secure Access-Clients erforderlichen Rechten finden Sie im
Client-side Changes Guide.
Informationen zur Entwicklung von Webanwendungen, die in Einklang mit
dem IVE-Modul für die Inhaltsvermittlung stehen, finden Sie im Content
Intermediation Engine Best Practices Guide.
Informationen zur Anpassung der Darstellung der Vorauthentifizierungen, der
Kennwortverwaltung und von Secure Meeting-Seiten, die das IVE Endbenutzern
und Administratoren anzeigt, finden Sie im Custom Sign-In Pages Solution Guide.
Zielgruppe
xxv
Juniper Networks Secure Access – Administratorhandbuch
Informationen zum Schreiben und Durchführen von Lösungen mithilfe des
Host Checker-Clients und der Server-APIs sowie Informationen zum Suchen
nach bestimmten Drittanbieterlösungen über Host Checker finden Sie im
J.E.D.I. Solution Guide.
Dokumentation zur Fehlermeldung
Informationen zu Fehlermeldungen, die Network Connect und WSAM Endbenutzern
anzeigen, erhalten Sie unter Network Connect and WSAM Error Messages.
Informationen zu Fehlermeldungen, die Secure Meeting Endbenutzern mit
Administratorberechtigungen anzeigt, erhalten Sie unter Secure Meeting Error
Messages.
Hardwaredokumentation
Informationen zur Installation können Sie dem Handbuch für den Schnellstart
entnehmen, der dem Produkt beiliegt.
Informationen zur Sicherheit von Secure Access und Secure Access FIPS
erhalten Sie im Juniper Networks Security Products Safety Guide.
Informationen zum Einbau von Festplatten, Netzteilen und Lüftern in Secure
Access 6000-Appliances erhalten Sie im Secure Access 6000 Field Replaceable
Units Guide.
Besuchen Sie zum Herunterladen der neuesten Version des Secure Access- und
Secure Access FIPS-Betriebssystems und der Versionshinweise die Seite für die
IVE-Betriebssystemsoftware des Juniper Networks Customer Support Center.
Produktdownloads
Konventionen
Tabelle 1 definiert in diesem Handbuch verwendete Hinweissymbole, und Tabelle 2
erläutert die im Handbuch geltenden Textkonventionen.
Tabelle 1: Hinweissymbole
Symbol
xxvi
Konventionen
Bedeutung
Beschreibung
Informativer Hinweis
Weist auf wichtige Funktionen oder Anweisungen hin.
Vorsicht
Weist auf die Möglichkeit von Datenverlusten oder
Hardwarebeschädigung hin.
Warnung
Weist auf Verletzungsgefahr hin.
:
Tabelle 2: Textkonventionen (gilt nicht für Befehlssyntax)
Konvention
Beschreibung
Beispiele
Fett
Wird für Schaltflächen, Feldnamen,
Dialogfeldnamen und andere
Benutzeroberflächenelemente
verwendet.
Verwenden Sie zum Planen einer Konferenz die
Registerkarten Scheduling und Appointment.
Plain sans serif typeface
Stellt Folgendes dar:
Beispiele:
Code, Befehle und Schlüsselwörter
Code:
URLs, Dateinamen und Verzeichnisse
certAttr.OU = 'Retail Products Group'
URL:
Laden Sie die JRE-Anwendung unter folgender
Adresse herunter: http://java.sun.com/j2se/
Kursiv
Stellt Folgendes dar:
Beispiele:
Im Text definierte Begriffe
Definierter Begriff:
Variable Elemente
Buchnamen
Ein RDP-Client ist eine Windows-Komponente,
die eine Verbindung zwischen einem WindowsServer und dem Computer eines Benutzers
ermöglicht.
Variables Element :
Verwenden Sie die Einstellungen auf der Seite
Users > User Roles > Rolle auswählen >
Terminal Services, um eine
Terminalemulationssitzung zu erstellen.
Buchname:
Siehe das Dokument IVE Supported Platforms.
Dokumentation
Versionshinweise
Versionshinweise sind in der Produktsoftware enthalten und im Internet verfügbar.
In den Versionshinweisen finden Sie aktuellste Informationen zu Funktionen,
Änderungen, bekannten und gelösten Problemen. Wenn die Informationen in den
Versionshinweisen von den Angaben in der Dokumentation abweichen, haben die
Versionshinweise Vorrang.
Webzugriff
Auf der folgenden Seite können Sie die Dokumentation im Internet anzeigen:
http://www.juniper.net/techpubs/
Kundensupport
Wenn Sie technischen Support benötigen, wenden Sie sich unter
[email protected] oder 1-888-314-JTAC (in den USA) oder 408-745-9500
(außerhalb der USA) an Juniper Networks.
Dokumentation
xxvii
Juniper Networks Secure Access – Administratorhandbuch
xxviii
Kundensupport
Teil 1
Erste Schritte
Die IVE ist eine so genannte Netzwerkappliance, die stabile Sicherheit bietet, indem
sie als Zwischenglied für die Datenströme fungiert, die zwischen externen
Benutzern und internen Ressourcen übertragen werden. Dieser Abschnitt enthält
die folgenden Informationen über die ersten Schritte im Umgang mit dem IVE:
„Erste Überprüfung und Schlüsselkonzepte“ auf Seite 3
„Einführung in das IVE“ auf Seite 23
1
Juniper Networks Secure Access – Administratorhandbuch
2
Kapitel 1
Erste Überprüfung und Schlüsselkonzepte
In diesem Abschnitt werden die nach der Erstinstallation und -konfiguration des IVE
durchzuführenden Aufgaben erläutert. Dieser Abschnitt setzt voraus, dass Sie die im
Task Guide beschriebenen Schritte bereits auf der Administratorkonsole ausgeführt
haben, um Ihr Softwareabbild zu aktualisieren und Ihren Secure Access-Lizenzschlüssel
zu generieren und anzuwenden.
Überprüfen der Verfügbarkeit für die Benutzer
Sie können auf dem System-Authentifizierungsserver einfach ein Benutzerkonto
anlegen, mit dem Sie die Verfügbarkeit des IVE für die Benutzer testen können.
Legen Sie das Konto zunächst über die Administratorkonsole an, und melden Sie
sich dann auf der Benutzeranmeldeseite des IVE als dieser Benutzer an.
So überprüfen Sie die Verfügbarkeit für die Benutzer:
1. Wählen Sie in der Administratorkonsole Authentication > Auth. Servers.
2. Wählen Sie System Local.
3. Wählen Sie die Registerkarte Users.
4. Klicken Sie auf New.
5. Geben Sie auf der Seite New Local User „testbenutzer1“ als Benutzername
sowie ein Kennwort ein, und klicken Sie anschließend auf Save Changes. Das
IVE legt das Konto „testbenutzer1“ an.
6. Geben Sie in einem anderen Browser die Geräte-URL ein, um zur
Benutzeranmeldeseite zu navigieren. Die URL weist folgendes Format auf:
https://a.b.c.d, wobei a.b.c.d die IP-Adresse des Geräts ist, die Sie während der
Erstkonfiguration des IVE eingegeben haben. Wenn Sie in einer
Sicherheitswarnung gefragt werden, ob Sie ohne signiertes Zertifikat fortfahren
möchten, klicken Sie auf Yes. Wenn die Benutzeranmeldeseite angezeigt wird,
haben Sie das IVE ordnungsgemäß mit dem Netzwerk verbunden.
Überprüfen der Verfügbarkeit für die Benutzer
3
Juniper Networks Secure Access – Administratorhandbuch
Abbildung 1: Benutzeranmeldeseite
7. Geben Sie auf der Anmeldeseite die für das Benutzerkonto angelegten
Anmeldedaten (Benutzername und Kennwort) ein, und klicken Sie dann auf
Sign In, um auf die IVE-Startseite für Benutzer zu wechseln.
Abbildung 2: Benutzerstartseite (Standard)
4
Überprüfen der Verfügbarkeit für die Benutzer
Kapitel 1: Erste Überprüfung und Schlüsselkonzepte
8. Geben Sie im Feld Address des Browsers die URL zu einem internen Webserver
ein, und klicken Sie auf Browse. Das IVE öffnet die Webseite in demselben
Browserfenster. Kehren Sie daher zur IVE-Startseite zurück, und klicken Sie auf
der Navigationssymbolleiste, die auf der Zielwebseite angezeigt wird, auf das
Symbol in der Mitte.
Abbildung 3: Beispiel für interne Webseite mit Navigationssymbolleiste
9. Geben Sie auf der IVE-Startseite die URL zur externen Firmensite ein, und klicken
Sie auf Browse. Das IVE öffnet die Webseite in demselben Browserfenster. Kehren
Sie daher über die Navigationssymbolleiste zur IVE-Startseite zurück.
10. Klicken Sie auf der IVE-Startseite auf Browsing > Windows Files, um
verfügbare Windows-Dateifreigaben zu suchen, oder auf Browsing >
UNIX/NFS Files, um verfügbare UNIX/NFS-Dateifreigaben zu suchen.
Nachdem Sie die Verfügbarkeit für die Benutzer überprüft haben, kehren Sie zur
Administratorkonsole zurück, um wie unter „Anlegen eines Testszenarios, um die
Grundlagen und empfohlenen Vorgehensweisen für das IVE kennen zu lernen“ auf
Seite 5 beschrieben an einer Einführung in die Schlüsselkonzepte teilzunehmen.
Anlegen eines Testszenarios, um die Grundlagen und empfohlenen
Vorgehensweisen für das IVE kennen zu lernen
Das IVE bietet ein flexibles Zugriffsverwaltungssystem, mit dem der Remotezugriff eines
Benutzers problemlos anhand von Rollen, Ressourcenrichtlinien,
Authentifizierungsservern, Authentifizierungsbereichen und Anmelderichtlinien
individuell angepasst werden kann. Damit Sie zügig mit diesen Elementen arbeiten
können, sind für diese im IVE werksseitig bereits Standardvorgaben eingestellt. In diesem
Abschnitt werden die Systemstandardvorgaben erläutert, und es wird dargestellt, wie die
einzelnen Einheiten anhand der folgenden Schritte eingerichtet werden:
Anlegen eines Testszenarios, um die Grundlagen und empfohlenen Vorgehensweisen für das IVE kennen zu lernen
5
Juniper Networks Secure Access – Administratorhandbuch
„Definieren einer Benutzerrolle“ auf Seite 6
„Definieren eines Ressourcenprofils“ auf Seite 8
„Definieren eines Authentifizierungsservers“ auf Seite 10
„Definieren eines Authentifizierungsbereichs“ auf Seite 13
„Definieren einer Anmelderichtlinie“ auf Seite 16
„Verwenden des Testszenarios“ auf Seite 19
HINWEIS: Das IVE unterstützt zwei Arten von Benutzern:
Administratoren – Ein Administrator darf die Konfigurationseinstellungen des
IVE anzeigen und ändern. Das erste Administratorenkonto wird über die serielle
Konsole angelegt.
Benutzer – Ein Benutzer verwendet das IVE, um auf Firmenressourcen
zuzugreifen, die vom Administrator konfiguriert wurden. Das erste
Benutzerkonto (testbenutzer1) legen Sie in „Überprüfen der Verfügbarkeit für
die Benutzer“ auf Seite 3 an.
Im folgenden Testszenario werden die Zugriffsverwaltungselemente des IVE in erste
Linie für die Konfiguration von Zugriffsparametern für einen Benutzer verwendet.
Informationen zu Systemstandardeinstellungen für Administratoren finden Sie unter
„Konfigurieren der Standardeinstellungen für Administratoren“ auf Seite 22.
Definieren einer Benutzerrolle
Das IVE ist mit einem Benutzerbereich namens „Users“ vorkonfiguriert. Diese
vordefinierte Rolle aktiviert die Zugriffsfunktionen für Webbrowsing und
Dateinavigation, sodass jeder Benutzer, der der Rolle „Users“ zugeordnet ist, auf das
Internet, Firmenwebserver und alle verfügbaren Windows- und UNIX/NFS-Dateiserver
zugreifen darf. Diese Rolle wird auf der Seite Users > User Roles angezeigt.
HINWEIS: Nachdem Sie eine Zugriffsfunkion für eine Rolle aktiviert haben (auf der
Seite Users > User Roles > Rollenname), konfigurieren Sie die entsprechenden
Optionen nach Bedarf. Dies erfolgt über die Konfigurationsregisterkarte der
jeweiligen Zugriffsfunktion.
So definieren Sie eine Benutzerrolle:
1. Wählen Sie in der Administratorkonsole Users > User Roles.
2. Klicken Sie auf der Seite Roles auf New Role.
3. Geben Sie auf der Seite New Role im Feld Name „Test Role“ ein, und klicken Sie
anschließend auf Save Changes. Warten Sie, bis das IVE die Seite General >
Overview für die Testrolle anzeigt.
6
Anlegen eines Testszenarios, um die Grundlagen und empfohlenen Vorgehensweisen für das IVE kennen zu lernen
Kapitel 1: Erste Überprüfung und Schlüsselkonzepte
4. Aktivieren Sie auf der Seite Overview unter Access features das
Kontrollkästchen Web, und klicken Sie anschließend auf Save Changes.
5. Wählen Sie Web > Options.
6. Aktivieren Sie das Kontrollkästchen User can type URLs in the IVE browser
bar, und klicken Sie anschließend auf Save Changes.
Nach Abschluss dieser Schritte haben Sie die Benutzerrolle definiert. Wenn Sie
Ressourcenprofile anlegen, können Sie sie dieser Rolle zuordnen. Sie können
Benutzer dieser Rolle auch anhand von Rollenzuordnungsregeln, die für einen
Authentifizierungsbereich definiert wurden, festlegen.
HINWEIS: Sie können eine Benutzerrolle mit aktivierten Funktionen für Webbrowsing
und Dateinavigation ganz einfach anlegen, indem Sie die Rolle „Users“ doppelt
anlegen und dann nach Bedarf weitere Zugriffsfunktionen aktivieren.
Abbildung 4: Seite „Users > User Roles > New Role“
Anlegen eines Testszenarios, um die Grundlagen und empfohlenen Vorgehensweisen für das IVE kennen zu lernen
7
Juniper Networks Secure Access – Administratorhandbuch
Abbildung 5: Users > User Roles > Test Role > General > Overview
Definieren eines Ressourcenprofils
Bei einem Ressourcenprofil handelt es sich um einen Satz von Konfigurationsoptionen,
die alle Ressourcenrichtlinien, Rollenzuordnungen und Endbenutzerlesezeichen
enthalten, die für den Zugriff auf eine einzelne Ressource notwendig sind.
Innerhalb eines Ressourcenprofils gibt eine Ressourcenrichtlinie die Ressourcen an,
auf die die Richtlinie angewendet wird (z.B. URLs, Server und Dateien). Des Weiteren
wird angegeben, ob das IVE Zugriff auf eine Ressource gewährt oder eine Aktion
ausführt. Das IVE ist mit zwei Arten von Ressourcenrichtlinien vorkonfiguriert:
8
Webzugriff – Die vordefinierte Ressourcenrichtlinie für Webzugriff erlaubt allen
Benutzern, über das IVE auf das Internet und sämtliche Firmenwebserver
zuzugreifen. Diese Ressourcenrichtlinie gilt standardmäßig für die Rolle „Users“.
Windows-Zugriff – Die vordefinierte Ressourcenrichtlinie für Windows-Zugriff
erlaubt allen Benutzern, die der Rolle „Users“ zugeordnet sind, auf sämtliche
Windows-Dateiserver der Firma zuzugreifen. Diese Ressourcenrichtlinie gilt
standardmäßig für die Rolle „Users“.
Anlegen eines Testszenarios, um die Grundlagen und empfohlenen Vorgehensweisen für das IVE kennen zu lernen
Kapitel 1: Erste Überprüfung und Schlüsselkonzepte
HINWEIS: Wenn Sie nicht möchten, dass Benutzer auf den gesamten Web- und
Dateiinhalt zugreifen können, löschen Sie die Standardressourcenrichtlinien für
Web- und Dateizugriff. Sie können auf die standardmäßigen Web- und
Dateiressourcenrichtlinien auf den Seiten Users > Resource Policies > Web >
Access und Users > Resource Policies > Files > Access > Windows zugreifen.
So definieren Sie ein Ressourcenprofil:
1. Wählen Sie in der Administratorkonsole Users > Resource Profiles > Web >
Web Applications/Pages.
2. Klicken Sie auf der Seite Web Applications Resource Profile auf New Profile.
3. Gehen Sie auf der Seite New Web Applications Resource Profile
folgendermaßen vor:
a.
Behalten Sie im Feld Type die Standardoption (Custom) bei.
b.
Geben Sie ins Feld Name „Test Web Access“ ein.
c.
Geben Sie ins Feld Base URL „http://www.google.com“ ein.
d. Aktivieren Sie im Abschnitt Autopolicy: Web Access Control das
Kontrollkästchen neben der vom IVE erstellten Standardrichtlinie
(http://www.google.com:80/*), und wählen Sie Delete.
e.
Geben Sie im Abschnitt Autopolicy: Web Access Control
„http://www.google.com“ ins Feld Resource ein, wählen Sie Deny aus der
Liste Action, und klicken Sie auf Add.
f.
Klicken Sie auf Save and Continue.
4. Gehen Sie auf der Registerkarte Roles folgendermaßen vor:
a.
Wählen Sie im Feld Available Roles „Test Role“, und klicken Sie zum
Verschieben ins Feld Selected Roles auf Add.
b.
Klicken Sie auf Save Changes.
Das IVE fügt „Test Web Access“ zur Seite Web Application Resource Policies hinzu
und erstellt automatisch ein entsprechendes Lesezeichen mit einer Verknüpfung zu
google.com.
Nach Abschluss dieser Schritte haben Sie ein Ressourcenprofil für den Webzugriff
konfiguriert. Das IVE wird zwar mit einer Ressourcenrichtlinie geliefert, die den
Zugriff auf alle Webressourcen ermöglicht, die „Test Role“ zugeordneten Benutzer
können jedoch trotzdem nicht auf http://www.google.com zugreifen. Diesen
Benutzern wird der Zugriff verweigert, da die während der Konfiguration des
Ressourcenprofils erstellte automatische Richtlinie Vorrang vor der mit dem IVE
mitgelieferten standardmäßigen Webzugriffsrichtlinie hat.
Anlegen eines Testszenarios, um die Grundlagen und empfohlenen Vorgehensweisen für das IVE kennen zu lernen
9
Juniper Networks Secure Access – Administratorhandbuch
Abbildung 6: Users > Resource Profiles > Web > Web Applications/Pages > New Profile
Definieren eines Authentifizierungsservers
Ein Authentifizierungsserver ist eine Datenbank, in der Anmeldeinformationen für
Benutzer (Benutzername und Kennwort) und normalerweise Gruppen- und
Attributinformationen gespeichert werden. Wenn sich ein Benutzer an der IVE anmeldet,
gibt er einen Authentifizierungsbereich an, der einem Authentifizierungsserver
zugeordnet ist. Das IVE leitet die Anmeldedaten des Benutzers an diesen
Authentifizierungsserver weiter, um die Identität des Benutzers zu überprüfen.
Das IVE unterstützt die gängigsten Authentifizierungsserver, z.B. Windows NTDomäne, Active Directory, RADIUS, LDAP, NIS, RSA ACE/Server, SAML Server und
Netegrity SiteMinder. Sie können eine oder mehrere lokale Datenbanken für Benutzer
anlegen, die vom IVE authentifiziert werden. Das IVE ist mit einem lokalen
Authentifizierungsserver für Benutzer namens „System Local“ vorkonfiguriert. Dabei
handelt es sich um eine IVE-Datenbank, mit der Sie schnell Benutzerkonten für die
Benutzerauthentifizierung anlegen können. Diese Funktion gibt Ihnen Flexibilität
beim Testen und beim Einrichten des Zugriffs für Dritte, da keine Benutzerkonten auf
einem externen Authentifizierungsserver angelegt werden müssen.
10
Anlegen eines Testszenarios, um die Grundlagen und empfohlenen Vorgehensweisen für das IVE kennen zu lernen
Kapitel 1: Erste Überprüfung und Schlüsselkonzepte
Der lokale Standardauthentifizierungsserver kann auf der Seite Authentication >
Auth. Servers angezeigt werden.
HINWEIS: Das IVE unterstützt auch Autorisierungsserver. Ein Autorisierungsserver
(oder Verzeichnisserver) ist eine Datenbank, in der Benutzerattribut- und
Benutzergruppeninformationen gespeichert werden. Sie können einen
Authentifizierungsbereich so konfigurieren, dass ein Verzeichnisserver
Benutzerattribut- oder Benutzergruppeninformationen abruft, die in
Rollenzuordnungsregeln und Ressourcenrichtlinien verwendet werden.
So definieren Sie einen Authentifizierungsserver:
1. Wählen Sie in der Administratorkonsole Authentication > Auth. Servers.
2. Wählen Sie auf der Seite Authentication Servers aus der Liste New Local
Authentication, und klicken Sie dann auf New Server.
3. Geben Sie auf der Seite New Local Authentication ins Feld Name „Test Server“
ein, und klicken Sie anschließend auf Save Changes. Warten Sie, bis das IVE
meldet, dass die Änderungen gespeichert wurden. Anschließend werden
weitere Konfigurationsregisterkarten angezeigt.
4. Klicken Sie auf die Registerkarte Users und anschließend auf New.
5. Geben Sie auf der Seite New Local User im Feld Username „testuser2“ ein,
geben Sie ein Kennwort ein, und klicken Sie anschließend auf Save Changes,
um das Benutzerkonto im Authentifizierungsserver „Test Server“ anzulegen.
Nach dem Abschluss dieser Schritte haben Sie einen Authentifizierungsserver mit
einem Benutzerkonto angelegt. Dieser Benutzer kann sich an einem
Authentifizierungsbereich anmelden, der den Authentifizierungsserver „Test
Server“ verwendet.
HINWEIS: In der Administratorkonsole wird die aktuelle Zugriffsstatistik für jedes
Benutzerkonto auf den entsprechenden Authentifizierungsserverseiten auf der
Registerkarte Users unter mehreren Spalten mit der Bezeichnung Last Sign-in
Statistic angezeigt. Die Statistik enthält unter anderem Datum und Zeit der letzten
erfolgreichen Anmeldung für jeden Benutzer, die IP-Adresse des Benutzers sowie
Typ und Version des Agenten bzw. Browsers.
Anlegen eines Testszenarios, um die Grundlagen und empfohlenen Vorgehensweisen für das IVE kennen zu lernen
11
Juniper Networks Secure Access – Administratorhandbuch
Abbildung 7: Authentication > Auth. Servers > New Server
Abbildung 8: Authentication > Auth. Servers > Test Server > Users > New
12
Anlegen eines Testszenarios, um die Grundlagen und empfohlenen Vorgehensweisen für das IVE kennen zu lernen
Kapitel 1: Erste Überprüfung und Schlüsselkonzepte
Abbildung 9: Authentication > Auth. Servers > Test Server > Users
Definieren eines Authentifizierungsbereichs
Als Authentifizierungsbereich wird eine Gruppierung von
Authentifizierungsressourcen bezeichnet, einschließlich:
Eines Authentifizierungsserver, der die Identität des Benutzers überprüft. Das
IVE leitet die Anmeldedaten, die von einer Anmeldeseite abgesendet wurden,
an einen Authentifizierungsserver weiter.
Eine Authentifizierungsrichtlinie, die die Sicherheitsanforderungen des Bereichs
angibt, die erfüllt sein müssen, damit das IVE die Anmeldedaten eines
Benutzers zur Überprüfung an einen Authentifizierungsserver weiterleitet.
Einen Verzeichnisserver, d.h. einen LDAP-Server, der dem IVE Benutzer- und
Gruppenattributinformationen bereitstellt, die für Rollenzuordnungsregen und
Ressourcenrichtlinien verwendet werden.
Rollenzuordnungsregeln, die die Bedingungen angeben, die ein Benutzer erfüllen
muss, damit ihn das IVE einer oder mehreren Rollen zuweist. Diese Bedingungen
beruhen auf Informationen, die der Verzeichnisserver des Bereichs zurückgibt,
dem Benutzernamen des Benutzers oder Zertifikatattributen.
Anlegen eines Testszenarios, um die Grundlagen und empfohlenen Vorgehensweisen für das IVE kennen zu lernen
13
Juniper Networks Secure Access – Administratorhandbuch
Das IVE ist mit einem Benutzerbereich namens „Users“ vorkonfiguriert. Dieser
vordefinierte Bereich verwendet den Authentifizierungsserver „System Local“, eine
Authentifizierungsrichtlinie, bei der eine Mindestkennwortlänge von vier Zeichen und
kein Verzeichnisserver gegeben sein müssen. Sie enthält eine Rollenzuordnungsregel,
die alle Benutzer, die sich am Bereich „Users“ anmelden, der Rolle „Users“ zuordnet.
Das Konto „testbenutzer1“, das Sie in „Überprüfen der Verfügbarkeit für die
Benutzer“ auf Seite 3 anlegen, gehört zum Bereich „Users“, da dieses Konto auf dem
Authentifizierungsserver „System Local“ angelegt wird. Das Konto „testbenutzer2“,
das Sie in „Definieren eines Authentifizierungsservers“ auf Seite 10 anlegen, gehört
nicht zum Bereich „Users“, da dieses Konto auf dem neuen Authentifizierungsserver
„Test Server“ angelegt wird, der vom Bereich „Users“ nicht verwendet wird.
Der standardmäßige Benutzerauthentifizierungsbereich kann auf der Seite Users >
User Realms angezeigt werden.
So definieren Sie einen Authentifizierungsbereich:
1. Wählen Sie in der Administratorkonsole User Realms.
2. Klicken Sie auf der Seite User Authentication Realms auf New.
3. Gehen Sie auf der Seite New Authentication Realm folgendermaßen vor:
a.
Geben Sie ins Feld Name Folgendes ein: Testbereich
b.
Wählen Sie unter Servers in der Liste Authentication den Eintrag „Test
Server“ aus.
c.
Klicken Sie auf Save Changes. Warten Sie, bis das IVE meldet, dass die
Änderungen gespeichert wurden. Anschließend werden die
Konfigurationsregisterkarten für den Bereich angezeigt.
4. Klicken Sie auf der Registerkarte Role Mapping auf New Rule.
5. Gehen Sie auf der Seite Role Mapping Rule folgendermaßen vor:
a.
Geben Sie unter Rule: If username... „testbenutzer2“ in das Wertfeld ein.
b.
Wählen Sie im Feld Available Roles unter ...then assign these roles „Test
Role“, und klicken Sie zum Verschieben ins Feld Selected Roles auf Add.
c.
Klicken Sie auf Save Changes.
Nach Abschluss dieser Schritte haben Sie einen Authentifizierungsbereich definiert.
Dieser Bereich verwendet „Test Server“ für die Benutzerauthentifizierung und eine
Rollenzuordnungsregel, um „testbenutzer2“ zu „Test Role“ zuzuordnen. Da für
„Test Role“ die Ressourcenrichtlinie „Test Web Access“ gilt, können die Benutzer,
die dieser Rolle zugeordnet sind, nicht auf „http://www.google.com“ zugreifen.
14
Anlegen eines Testszenarios, um die Grundlagen und empfohlenen Vorgehensweisen für das IVE kennen zu lernen
Kapitel 1: Erste Überprüfung und Schlüsselkonzepte
Abbildung 10: Users > User Realms > New Realm
Anlegen eines Testszenarios, um die Grundlagen und empfohlenen Vorgehensweisen für das IVE kennen zu lernen
15
Juniper Networks Secure Access – Administratorhandbuch
Abbildung 11: Users > User Realms > Test Server > New Rule
Definieren einer Anmelderichtlinie
Eine Anmelderichtlinie ist eine Systemregel, die Folgendes angibt:
eine URL, unter dem sich ein Benutzer am IVE anmelden kann
eine Anmeldeseite, die für den Benutzer angezeigt wird
ob der Benutzer einen Authentifizierungsbereich eingeben oder auswählen
muss, an den das IVE die Anmeldedaten sendet
die Authentifizierungsbereiche, für die die Anmelderichtlinie gilt
Alle Secure Access und Secure Series FIPS IVEs sind mit einer Anmelderichtlinie
vorkonfiguriert, die für Benutzer gilt: */. Diese Standardanmelderichtlinie für
Benutzer (*/) legt Folgendes fest: Wenn ein Benutzer die URL für das IVE eingibt,
zeigt das IVE die Standardanmeldeseite für Benutzer an und fordert den Benutzer
auf, einen Authentifizierungsbereich auszuwählen (sofern mehrere Bereiche
vorhanden sind). Die Anmelderichtlinie */ gilt für den Authentifizierungsbereich
„Users“ und gilt daher nicht für den Authentifizierungsbereich, den Sie im Schritt
„Definieren eines Authentifizierungsbereichs“ auf Seite 13 erstellen.
16
Anlegen eines Testszenarios, um die Grundlagen und empfohlenen Vorgehensweisen für das IVE kennen zu lernen
Kapitel 1: Erste Überprüfung und Schlüsselkonzepte
Die Standardanmelderichtlinie für Benutzer kann auf der Seite Authentication >
Authentication > Signing In Policies angezeigt werden. Wenn das IVE über die
Secure Meeting Upgrade-Lizenz verfügt, wird auf dieser Seite auch die
Anmelderichtlinie */meeting aufgeführt. Mit dieser Richtlinie können Sie die
Anmeldeseite für sichere Konferenzen individuell anpassen.
Die Standardanmelderichtlinie gilt für alle Benutzer. Sie können die URL der IVEAnmeldeseite für Benutzer ändern, indem Sie zum Pfad beispielsweise
„*/mitarbeiter“ hinzufügen, Sie können jedoch keine weiteren Anmelderichtlinien
hinzufügen. Hierfür müssen Sie die Lizenz „Advanced“ für das IVE erwerben.
So definieren Sie eine Anmelderichtlinie:
1.
Wählen Sie in der Administratorkonsole Authentication > Signing in > Sign-in
Policies.
2. Klicken Sie auf der Seite Sign-in Policies auf */.
3. Gehen Sie auf der Seite */ folgendermaßen vor:
a.
Geben Sie im Feld Sign-in URL nach „*/“ den Eintrag „Test“ ein:
b.
Wählen Sie unter Authentication realm User picks from a list of
authentication realms, und wählen Sie im Feld Available Roles „Test
Realm“ aus. Klicken Sie zum Verschieben ins Feld Selected Realms auf
Add. (Wiederholen Sie diesen Vorgang für die Rolle „Users“, sofern sich
diese nicht bereits im Feld Selected Realms befindet.)
c.
Klicken Sie auf Save Changes.
Nach Abschluss dieser Schritte haben Sie die Bearbeitung der Standardanmelderichtlinie
für Benutzer beendet.
Optional:
1. Wählen Sie Authentication > Authentication > Signing In Pages, und
klicken Sie anschließend auf New Page.
2. Geben Sie auf der Seite New Sign-In Page ins Feld Name „Test Sign-in Page“ und
ins Feld Background color „#FF0000“ (rot) ein, und klicken Sie anschließend auf
Save Changes.
3. Wählen Sie Authentication > Authentication > Signing In Policies, und
klicken Sie anschließend auf New URL.
4. Geben Sie auf der Seite New Sign-in Policy ins Feld Name „*/test/“ ein, wählen
Sie im Feld Sign-in Page Default Sign-in Page aus, und klicken Sie danach auf
Save Changes.
5. Wählen Sie Authentication > Authentication > Signing In Policies, und
klicken Sie anschließend unter User URLs auf */test/.
6. Wählen Sie auf der Seite */test/ aus der Liste Sign-in page „Test Sign-in Page“,
und klicken Sie anschließend auf Save Changes.
Anlegen eines Testszenarios, um die Grundlagen und empfohlenen Vorgehensweisen für das IVE kennen zu lernen
17
Juniper Networks Secure Access – Administratorhandbuch
Nach Abschluss dieser optionalen Schritte haben Sie eine neue Anmeldeseite
definiert, die der Anmelderichtlinie „*/test/“ zugeordnet ist.
Abbildung 12: Authentication > Authentication > Signing In Policies > */
18
Anlegen eines Testszenarios, um die Grundlagen und empfohlenen Vorgehensweisen für das IVE kennen zu lernen
Kapitel 1: Erste Überprüfung und Schlüsselkonzepte
Abbildung 13: Authentication > Authentication > Signing In Policies > */test/ –
Verwenden der Seite „New Sign-in“
Verwenden des Testszenarios
Dieses Testszenario gibt Ihnen folgende Möglichkeiten:
Zugriff auf die Benutzerkonsole über die geänderte Standardanmelderichtlinie
Anmeldung am Testbereich als der Benutzer, der in „Test Server“ erstellt wurde
Testen der Webbrowsingfunktionen, die von der ordnungsgemäßen Konfiguration
von der Testrolle und dem Testwebzugriff abhängen
So verwenden Sie das Testszenario:
1. Öffnen Sie die Benutzeranmeldeseite, indem Sie in einem Browser die GeräteURL, gefolgt von „/test“ eingeben. Die URL weist folgendes Format auf:
https://a.b.c.d/test, wobei a.b.c.d die IP-Adresse des Geräts ist, die Sie während
der Erstkonfiguration in die serielle Konsole eingegeben haben. Wenn Sie in einer
Sicherheitswarnung gefragt werden, ob Sie ohne signiertes Zertifikat fortfahren
möchten, klicken Sie auf Yes. Wenn die Benutzeranmeldeseite angezeigt wird,
haben Sie das IVE ordnungsgemäß mit dem Netzwerk verbunden.
Anlegen eines Testszenarios, um die Grundlagen und empfohlenen Vorgehensweisen für das IVE kennen zu lernen
19
Juniper Networks Secure Access – Administratorhandbuch
Abbildung 14: Benutzeranmeldeseite
HINWEIS: Wenn Sie in „Definieren einer Anmelderichtlinie“ auf Seite 16 die optionalen
Konfigurationsschritte durchgeführt haben, wird der Header in rot angezeigt.
2. Geben Sie auf der Anmeldeseite die Anmeldedaten (Benutzername und Kennwort)
ein, die Sie für das Benutzerkonto in „Test Server“ angelegt haben, wählen Sie im
Feld Realm „Test Realm“ aus, und klicken Sie danach auf Sign In, um die IVEBenutzerstartseite zu öffnen.
Das IVE leitet die Anmeldedaten an „Test Realm“ weiter, der für die Verwendung
von „Test Server“ konfiguriert ist. Nach der erfolgreichen Überprüfung durch
diesen Authentifizierungsserver verarbeitet das IVE die Rollenzuordnungsregel,
die für „Test Realm“ definiert ist. Dieser ordnet „testbenutzer2“ der „Test Role“
zu. Die Testrolle erlaubt Benutzern das Webbrowsing.
Abbildung 15: Benutzerstartseite
20
Anlegen eines Testszenarios, um die Grundlagen und empfohlenen Vorgehensweisen für das IVE kennen zu lernen
Kapitel 1: Erste Überprüfung und Schlüsselkonzepte
3.
Geben Sie im Feld Address des Browsers die URL zur Firmenwebsite ein, und klicken
Sie auf Browse. Das IVE öffnet die Webseite in demselben Browserfenster. Kehren
Sie daher zur IVE-Startseite zurück, und klicken Sie auf der Navigationssymbolleiste,
die auf der Zielwebseite angezeigt wird, auf das Symbol in der Mitte.
4. Geben Sie auf der IVE-Startseite „www.google.com“ ein, und klicken Sie auf
Browse. Das IVE zeigt eine Fehlermeldung an, da die Ressourcenrichtlinie „Test
Web Access“ Benutzern, die der Testrolle zugeordnet sind, den Zugriff auf diese
Site verweigert.
Abbildung 16: Beispiel für eine Fehlermeldung bei Zugriffsverweigerung
5. Kehren Sie auf die IVE-Startseite zurück, klicken Sie auf Sign Out, und kehren
Sie dann auf die Benutzeranmeldeseite zurück.
6. Geben Sie die Anmeldedaten für „testbenutzer1“ ein, wählen Sie den Bereich
Users aus, und klicken Sie anschließend auf Sign In.
7. Geben Sie auf der IVE-Startseite „www.google.com“ ein, und klicken Sie auf
Browse. Das IVE öffnet die Webseite in demselben Browserfenster.
Das Testszenario veranschaulicht die grundlegenden IVE-Mechanismen der
Zugriffsverwaltung. Sie können ausgefeilte Rollenzuordnungsregeln und
Ressourcenrichtlinien anlegen, mit denen der Benutzerzugriff anhand von Elementen
wie der Authentifizierungsrichtlinie eines Bereichs, der Gruppenmitgliedschaft eines
Benutzers und anderen Variablen gesteuert werden kann. Wenn Sie sich intensiver
mit der IVE-Zugriffsverwaltung befassen möchten, sollten Sie sich etwas Zeit nehmen
und sich mit den Themen der Onlinehilfe vertraut machen.
HINWEIS:
Wenn Sie das IVE für Ihr Unternehmen konfigurieren, empfehlen wir Ihnen,
bei der Konfiguration des Benutzerzugriffs die in diesem Abschnitt
dargestellte Reihenfolge einzuhalten.
Ausführliche Informationen zur Konfiguration finden Sie in den Anweisungen in
den anderen Abschnitten dieses Handbuchs.
Bevor Sie den Zugriff auf Ihr IVE von externen Standorten freigeben, empfehlen
wir Ihnen, ein signiertes digitales Zertifikat von einer vertrauenswürdigen
Zertifizierungsstelle zu importieren.
Anlegen eines Testszenarios, um die Grundlagen und empfohlenen Vorgehensweisen für das IVE kennen zu lernen
21
Juniper Networks Secure Access – Administratorhandbuch
Konfigurieren der Standardeinstellungen für Administratoren
Das IVE bietet Ihnen, genau wie den Benutzern, Standardeinstellungen, mit denen
Sie schnell Administratorkonten konfigurieren können. In dieser Liste werden die
Systemstandardeinstellungen für Administratoren aufgeführt:
Administratorrollen
.Administrators – Diese vorkonfigurierte Rolle erlaubt Administratoren die
Verwaltung sämtlicher Aspekte des IVE. Der Administrator-Benutzer, den
Sie über die serielle Konsole anlegen, wird dieser Rolle zugeordnet.
.Read-Only Administrators – Diese vorkonfigurierte Rolle erlaubt es den
zugeordneten Benutzern, sämtliche Einstellungen des IVE anzuzeigen,
jedoch nicht zu konfigurieren. Wenn Sie den Zugriff von Administratoren
einschränken möchten, müssen Sie sie dieser Rolle zuordnen.
HINWEIS: Zum Anlegen weiterer Administratorrollen benötigen Sie die Lizenz
„Advanced“.
22
Lokaler Authentifizierungsserver „Administrators“ – Der AdministratorAuthentifizierungsserver ist eine IVE-Datenbank, in der die
Administratorkonten gespeichert werden. Das erste Administratorenkonto in
diesem Server wird über die serielle Konsole angelegt. (Das IVEfür alle
Administratorenkonten, die über die serielle Konsole angelegt wurden, zu
diesem Server hinzu.) Dieser lokale Server kann nicht gelöscht werden.
Authentifizierungsbereich „Admin Users“ – Der Authentifizierungsbereich
„Admin Users“ verwendet den Standard-Authentifizierungsserver „Administrators“,
eine Authentifizierungsrichtlinie mit einer Mindestkennwortlänge von vier Zeichen
und keinen Verzeichnisserver. Er enthält eine Rollenzuordnungsregel, die alle
Benutzer, die sich am Bereich „Admin Users“ anmelden, der Rolle
„.Administrators“ zuordnet. Das Administratorkonto, das Sie über die serielle
Konsole anlegen, gehört zum Bereich „Admin Users“.
Anmelderichtlinie „*/“ – Die Standardanmelderichtlinie für Administratoren
(*/admin) legt Folgendes fest: Wenn ein Benutzer die URL zum IVE, gefolgt von
„/admin“ eingibt, zeigt das IVE die Standardanmeldeseite für Administratoren
an. Außerdem muss der Administrator einen Authentifizierungsbereich
auswählen (sofern mehrere Bereiche vorhanden sind). Die Anmelderichtlinie
„*/“ gilt für den Authentifizierungsbereich „Admin Users“ und gilt daher für das
Administratorkonto, das Sie über die serielle Konsole anlegen.
Konfigurieren der Standardeinstellungen für Administratoren
Kapitel 2
Einführung in das IVE
Die Juniper Networks Instant Virtual Extranet (IVE)-Plattform liegt den Juniper
Networks SSL VPN-Appliances als Hard- und Software zugrunde. Mit diesen
Produkten können Sie Mitarbeitern, Partnern und Kunden über einen beliebigen
Webbrowser überall sicheren und kontrollierten Zugriff auf Unternehmensdaten
und -anwendungen (einschließlich Datei- und Webserver des Unternehmens,
systemeigener Nachrichten- und E-Mail-Clients, gehosteter Server und weiterer
Anwendungen von außerhalb des vertrauenswürdigen Netzwerks) gewähren.
Dieser Abschnitt enthält die folgenden Informationen über das IVE:
„Was ist das IVE?“ auf Seite 23
„Welchen Leistungsumfang bietet das IVE?“ auf Seite 25
„Wie konfiguriere ich das IVE?“ auf Seite 31
Was ist das IVE?
Das IVE ist ein Netzwerkbetriebssystem, das als Plattform für alle Juniper Networks
Secure Access-Produkte fungiert. Diese Appliances bieten ein hohes Maß an
Skalierbarkeit für Unternehmen, hohe Verfügbarkeit sowie Sicherheitsfunktionen,
um den sicheren Zugriff auf Netzwerkressourcen zu erweitern.
Das IVE bietet stabile Sicherheit, indem es als Zwischenglied für die Daten fungiert,
die zwischen externen Benutzern und internen Unternehmensressourcen
übertragen werden. Die Benutzer erhalten über eine durch die Appliance gehostete
Extranetsitzung einen authentifizierten Zugriff auf autorisierte Ressourcen.
Während der Vermittlung empfängt das IVE sichere Anforderungen von externen,
authentifizierten Benutzern und stellt dann im Auftrag dieser Benutzer
Anforderungen an die internen Ressourcen. Bei der Vermittlung auf diese Art wird
es mithilfe des IVE überflüssig, in einer herkömmlichen DMZ Toolkits für Extranets
bereitzustellen oder den Mitarbeitern ein VPN (Virtual Private Network) für
Remotezugriffe zur Verfügung zu stellen.
Ihre Mitarbeiter, Partner und Kunden benötigen zum Zugreifen auf die IVE-Startseite
lediglich einen Webbrowser mit SSL-Unterstützung und eine Internetverbindung.
Diese Seite enthält das Fenster, über das die Benutzer Web- oder Dateiserver
sicher durchsuchen, HTML-fähige Unternehmensanwendungen verwenden, den
Client-/Serveranwendungsproxy starten, eine Windows-, Citrix- oder Telnet/SSHTerminalsitzung beginnen, auf E-Mail-Server des Unternehmens zugreifen, einen
gesicherten Tunnel auf Layer 3 (Ebene 3) starten oder ein sicheres Online-Meeting
planen bzw. daran teilnehmen können.1
1. Die verfügbaren Funktionen hängen von dem erworbenen Juniper Networks Secure Access-Produkt und den
erworbenen Aktualisierungsoptionen ab.
Was ist das IVE? 23
Juniper Networks Secure Access – Administratorhandbuch
Abbildung 17: Das IVE innerhalb eines LAN
Sie können eine Juniper Networks Secure Access-Appliance für Folgendes konfigurieren:
Benutzern sicheren Zugriff auf eine Vielzahl von Ressourcen zur Verfügung
stellen. Das IVE vermittelt den Zugriff auf verschiedenste Arten von
Anwendungen und Ressourcen, z.B. webbasierte
Unternehmensanwendungen, Java-Anwendungen, Dateifreigaben,
Terminalhosts und andere Client-/Serveranwendungen wie Microsoft Outlook,
Lotus Notes, den Citrix ICA-Client und pcAnywhere. Des Weiteren können
Administratoren eine Zugriffsmethode einrichten, die vollständige Layer 3
(Ebene 3)-Verbindung gewährleistet und dieselbe Zugriffsebene bietet, die ein
Benutzer im Unternehmens-LAN erhält.
Grenzen Sie den Benutzerzugriff auf die Appliance, Ressourcentypen oder einzelne
Ressourcen anhand von Faktoren wie Gruppenmitgliedschaft, IP-Quelladresse,
Zertifikatattribute und Endpunktsicherheitsstatus ein. Verwenden Sie
beispielsweise die 2-Faktor-Authentifizierung und clientseitige digitale Zertifikate,
um Benutzer für das IVE zu authentifizieren, und die LDAP-Gruppenmitgliedschaft,
um Benutzer für den Zugriff auf einzelne Anwendungen zu autorisieren.
Überprüfen Sie den Sicherheitsstatus der Benutzercomputer, indem Sie nach
Endpoint Defense-Tools suchen wie z.B. nach aktueller Antivirensoftware,
Firewalls und Sicherheitspatches. Gewähren oder verweigern Sie anschließend
basierend auf dem Sicherheitsstatus des Computers den Benutzerzugriff auf die
Appliance, die Ressourcentypen oder einzelne Ressourcen.
Die IVE arbeitet als sicheres Gateway auf Anwendungsebene, das sämtliche
Anforderungen zwischen dem öffentlichen Internet und internen
Unternehmensressourcen vermittelt. Auf sämtliche Anforderungen, die das IVE
erhält, wurde bereits durch den Browser des Endbenutzers eine 128-Bit- oder 168Bit-SSL/HTTPS-Verschlüsselung angewendet. Unverschlüsselte Anforderungen
werden verworfen. Da das IVE eine stabile Sicherheitsschicht zwischen dem
öffentlichen Internet und den internen Ressourcen zur Verfügung stellt, müssen
Administratoren nicht fortwährend Sicherheitsrichtlinien verwalten und
Sicherheitslücken für zahlreiche verschiedene Anwendungen und Webserver
beheben, die in dem öffentlichen DMZ bereitgestellt werden.
24
Was ist das IVE?
Kapitel 2: Einführung in das IVE
Welchen Leistungsumfang bietet das IVE?
Das IVE bietet eine Vielzahl an Funktionen, die zum Sichern der Unternehmensressourcen
und zur einfachen Verwaltung der Umgebung verwendet werden können. Die folgenden
Abschnitte enthalten Antworten auf Fragen, die möglicherweise zur Sicherheit des IVE und
zu Verwaltungsfunktionen auftreten:
„Kann ich das IVE zum Sichern des Datenverkehrs zu allen Anwendungen,
Servern und Webseiten des Unternehmens verwenden?“ auf Seite 25
„Kann ich zum Authentifizieren von IVE-Benutzern bereits bestehende Server
verwenden?“ auf Seite 27
„Kann ich den Zugriff auf das IVE und die von ihm vermittelten Ressourcen
eingrenzen?“ auf Seite 27
„Kann ich eine nahtlose Integration zwischen IVE und den von ihm
vermittelten Ressourcen erstellten?“ auf Seite 29
„Kann ich das IVE zum Schutz vor infizierten Computern und bei anderen
Sicherheitsbedenken verwenden?“ auf Seite 29
„Kann ich die Redundanz in meiner IVE-Umgebung sicherstellen?“ auf Seite 30
„Kann ich die IVE-Schnittstelle an die Darstellung des Unternehmens
anpassen?“ auf Seite 30
„Können Benutzer auf mehreren Computern und Geräten das IVE verwenden?“
auf Seite 31
„Verfügen die internationalen Benutzer über sicheren Zugriff?“ auf Seite 31
Kann ich das IVE zum Sichern des Datenverkehrs zu allen Anwendungen, Servern und
Webseiten des Unternehmens verwenden?
Mit den Remotezugriffsfunktionen des IVE besitzen Sie sicheren Zugriff auf
zahlreiche Anwendungen, Server und andere Ressourcen. Nach Auswahl der zu
sichernden Ressource kann anschließend der geeignete Zugriffsmechanismus
bestimmt werden.
Möchten Sie z.B. den Zugriff auf Microsoft Outlook sichern, verwenden Sie den
Secure Application Manager (SAM). Der Secure Application Manager vermittelt den
Datenverkehr zwischen Client-, bzw. Serveranwendungen einschließlich Microsoft
Outlook, Lotus Notes und Citrix. Der Zugriff auf das firmeninterne Intranet kann
mit der Funktion für das Neuschreiben von Webinhalt gesichert werden. Diese
Funktion vermittelt Datenverkehr zwischen webbasierten Anwendungen und
Webseiten mithilfe des IVE-Moduls für Inhaltsvermittlung.
Welchen Leistungsumfang bietet das IVE?
25
Juniper Networks Secure Access – Administratorhandbuch
Das IVE enthält Remotezugriffsmechanismen, die die folgenden
Datenverkehrsarten vermitteln:
26
Webbasierter Datenverkehr, einschließlich Webseiten und webbasierten
Anwendungen: Verwenden Sie die Funktion zum Neuschreiben von Webinhalt,
um diese Art von Inhalt zu vermitteln. Die Funktion zum Neuschreiben von
Webinhalt beinhaltet Vorlagen, die die Zugriffskonfiguration auf Anwendungen
wie Citrix, OWA, Lotus iNotes und Sharepoint erleichtert. Sie können außerdem
die benutzerdefinierte Konfigurationsoption für das Neuschreiben von
Webinhalt verwenden, um Datenverkehr von vielen zusätzlichen webbasierten
Anwendungen und Webseiten, einschließlich benutzerdefinierter
Webanwendungen, zu vermitteln.
Java-Applets, einschließlich Webanwendungen, die Java-Applets
verwenden: Verwenden Sie die Funktion für gehostete Java-Applets, um diese
Art von Inhalt zu vermitteln. Diese Funktion ermöglicht anstelle der Verwaltung
eines separaten Java-Servers das Hosten von Java-Applets und den HTMLSeiten, auf die sie direkt im IVE verweisen.
Dateiverkehr, einschließlich Dateiserver und -verzeichnisse: Verwenden Sie
die Funktion zum Neuschreiben von Dateien, um den Zugriff auf
Dateifreigaben zu vermitteln und diesen dynamisch über das Internet zu
ermöglichen. Die Funktion zum Neuschreiben von Dateien ermöglicht den
sicheren Datenverkehr zu einer Vielzahl von Windows- und Unix-basierten
Servern, Verzeichnissen und Dateifreigaben.
Client-/Server-Anwendungen: Verwenden Sie die Funktion „Secure
Application Manager“, um diese Art von Inhalt zu vermitteln. Secure
Application Manager steht in zwei Varianten (Windows- und Java-Versionen
oder WSAM und JSAM) zur Verfügung. Die WSAM- und JSAM-Funktionen
umfassen Vorlagen, die die einfache Konfiguration des Zugriffs auf
Anwendungen wie Lotus Notes, Microsoft Outlook, NetBIOS-Dateinavigation
und Citrix ermöglichen. Sie können außerdem die Optionen für die
benutzerdefinierte WSAM- und JSAM-Konfiguration verwenden, um
Datenverkehr von zahlreichen zusätzlichen Client-/Serveranwendungen und
Zielnetzwerke zu vermitteln.
Telnet/SSH-Terminalemulationssitzungen: Verwenden Sie die Telnet/SSHFunktion, um diese Art von Inhalt zu vermitteln. Diese Funktion ermöglicht die
einfache Konfiguration des Zugriffs auf eine Reihe von vernetzten Geräten,
beispielsweise UNIX-Server, im Netzwerk betriebene Geräte und
Legacyanwendungen, die Terminalsitzungen verwenden.
Windows Terminal Servers und Citrix-Server –
Terminalemulationssitzungen: Verwenden Sie die Funktion „Terminal
Services“, um diese Art von Inhalt zu vermitteln. Diese Funktion ermöglicht die
einfache Konfiguration des Zugriffs auf Windows Terminal Servers, Citrix
MetaFrame-Server und Citrix Presentation Servers (früher als Nfuse-Server
bezeichnet). Diese Funktion kann auch zum Bereitstellen von Clients für
Terminal Services direkt über das IVE verwendet werden. Dadurch ist zum
Hosten der Clients kein weiterer Webserver erforderlich.
Welchen Leistungsumfang bietet das IVE?
Kapitel 2: Einführung in das IVE
E-Mail-Clients auf Basis von IMAP4-, POP3- und SMTP-Protokollen:
Verwenden Sie die E-Mail-Client-Funktion, um diese Art von Inhalt zu
vermitteln. Diese Funktion ermöglicht die einfache Konfiguration des Zugriffs
auf Firmenmailserver mit IMAP4-, POP3- und SMTP-Protokollen, wie z.B.
Microsoft Exchange Server und Lotus Notes Mail-Server.
Gesamter Netzwerkverkehr: Verwenden Sie die Funktion Network Connect zur
Erstellung eines sicheren Layer 3 (Ebene 3)-Tunnels über die SSL-Verbindung.
Dadurch wird der Zugriff auf alle im Firmennetzwerk verfügbaren
Anwendungstypen ermöglicht. Diese Funktion ermöglicht die einfache
Verbindung von Remotebenutzern mit dem Netzwerk durch
Tunnelnetzwerkverkehr über Port 443. Benutzer haben dadurch vollen Zugriff
auf alle Netzwerkressourcen, ohne dass der Zugriff auf einzelne Server,
Anwendungen und Ressourcen konfiguriert werden muss.
Weitere Informationen zum sicheren Datenverkehr über IVERemotezugriffsmechanismen finden Sie unter „Remotezugriff“ auf Seite 297.
Kann ich zum Authentifizieren von IVE-Benutzern bereits bestehende Server verwenden?
Sie können das IVE einfach so konfigurieren, dass bereits vorhandene Server zur
Authentifizierung von Endbenutzern verwendet werden. Benutzer benötigen zum
Zugreifen aufs IVE keinen neuen Benutzernamen und kein neues Kennwort. Das
IVE unterstützt die Integration mit LDAP, RADIUS, NIS, Windows NT Domain, Active
Directory, Netegrity SiteMinder, SAML und RSA ACE/Server.
Möchten Sie keinen dieser Standardserver verwenden, können Sie Benutzernamen
und Anmeldedaten direkt im IVE speichern und das IVE selbst als
Authentifizierungsserver einsetzen. Des Weiteren können Sie Benutzer anhand von
in Authentifizierungsassertionen enthaltenen Attributen authentifizieren, die von
SAML-Autoritäten oder clientseitigen Zertifikaten erstellt wurden. Wenn die
Anmeldung der Benutzer am IVE nicht erforderlich sein soll, können Sie den
anonymen IVE-Authentifizierungsserver verwenden, der den Zugriff der Benutzer
auf das IVE ohne Angabe eines Benutzernamens oder Kennworts ermöglicht.
Weitere Informationen zur Sicherung des Zugriffs auf das IVE mithilfe von
Authentifizierungsservern finden Sie unter „Authentifizierungs- und
Verzeichnisserver“ auf Seite 95.
Kann ich den Zugriff auf das IVE und die von ihm vermittelten Ressourcen eingrenzen?
Der Zugriff auf das IVE erfolgt nicht nur mithilfe von Authentifizierungsservern,
sondern der Zugriff auf das IVE und die von ihm vermittelten Ressourcen wird auch
mithilfe einer Reihe von zusätzlichen clientseitigen Prüfungen gesteuert. Das IVE
ermöglicht die Erstellung eines vielschichtigen Ansatzes zum Sichern des IVE und
der Ressourcen:
1. Führen Sie zunächst Vorauthentifizierungen durch, die den Benutzerzugriff auf
die IVE-Anmeldeseite steuern. Konfigurieren Sie beispielsweise das IVE so, dass
überprüft wird, ob auf dem Computer des Benutzers eine bestimmte Version
von Norton Antivirus ausgeführt wird. Wird diese Version nicht ausgeführt,
können Sie festlegen, dass der Computer des Benutzers nicht sicher ist, und
den Zugriff auf die IVE-Anmeldeseite verweigern, bis der Benutzer die
Antivirensoftware aktualisiert hat.
Welchen Leistungsumfang bietet das IVE?
27
Juniper Networks Secure Access – Administratorhandbuch
2. Hat der Benutzer auf die IVE-Anmeldeseite zugegriffen, können Prüfungen auf
Bereichsebene durchgeführt werden, um zu ermitteln, ob der Zugriff auf die
IVE-Endbenutzerstartseite zugelassen ist. Die am weitesten verbreitete Prüfung
auf Bereichsebene wird mithilfe eines Authentifizierungsservers durchgeführt.
(Der Server ermittelt, ob der Benutzer einen gültigen Benutzernamen und ein
gültiges Kennwort eingibt.) Sie können andere Arten von Prüfungen auf
Bereichsebene durchführen; so können Sie z.B. prüfen, ob sich die IP-Adresse
des Benutzers im Netzwerk befindet oder ob der Benutzer den angegebenen
Webbrowser verwendet.
Besteht der Benutzer die angegebenen Prüfungen auf Bereichsebene, kann er
auf die IVE-Endbenutzerstartseite zugreifen. Andernfalls verweigert ihm das IVE
die Anmeldung oder zeigt eine vereinfachte Version der von Ihnen erstellten
IVE-Startseite an. Den Benutzern stehen mit dieser vereinfachten Version
bedeutend weniger Funktionen zur Verfügung als den Standardbenutzern, da
sie nicht alle Authentifizierungskriterien bestanden haben. Das IVE bietet
außerordentlich flexible Richtliniendefinitionen und ermöglicht Ihnen die
dynamische Änderung des Endbenutzerzugriffs auf Ressourcen basierend auf
Firmensicherheitsrichtlinien.
3. Nach dem Zuordnen eines Benutzers zu einem Bereich durch das IVE weist die
Appliance den Benutzer basierend auf Ihren Auswahlkriterien einer Rolle zu.
Eine Rolle gibt an, auf welche Zugriffsmechanismen eine ausgewählte Gruppe
von Benutzern zugreifen kann. Die Rolle steuert auch die Sitzungs- und UIOptionen für diese Gruppe von Benutzern. Ihnen steht eine Reihe von Kriterien
zum Zuweisen von Benutzern zu Rollen zur Verfügung. Sie können
beispielsweise Benutzer verschiedenen Rollen basierend auf
Endpunktsicherheitsprüfungen oder Attributen von LDAP-Servern oder
clientseitigen Zertifikaten zuweisen.
4. In den meisten Fällen steuern die Rollenzuweisungen eines Benutzers seinen
Zugriff auf die einzelnen Ressourcen. Konfigurieren Sie beispielsweise den
Zugriff auf die Firmenintranetseite mithilfe eines Webressourcenprofils, und
legen Sie anschließend fest, dass alle Mitglieder der Rolle „Employees“ auf
diese Ressource zugreifen können.
Der Zugriff auf einzelne Ressourcen kann jedoch noch feiner abgestimmt
werden. Sie können Mitgliedern der Rolle „Employees“ beispielsweise den
Zugriff auf das Firmenintranet ermöglichen (siehe weiter oben), fügen jedoch
eine detaillierte Regel für eine Ressourcenrichtlinie hinzu, die von Benutzern
die Erfüllung zusätzlicher Kriterien zum Zugreifen auf die Ressource verlangt.
Sie können beispielsweise festlegen, dass Benutzer Mitglieder der Rolle
„Employees“ sein und sich während der Geschäftszeiten am IVE anmelden
müssen, um auf das Firmenintranet zuzugreifen.
Weitere Informationen zum Eingrenzen des Zugriffs auf das IVE und die von ihm
vermittelten Ressourcen finden Sie unter „Zugriffsverwaltung – Umgebung“ auf
Seite 33.
28
Welchen Leistungsumfang bietet das IVE?
Kapitel 2: Einführung in das IVE
Kann ich eine nahtlose Integration zwischen IVE und den von ihm vermittelten
Ressourcen erstellten?
In einer typischen IVE-Konfiguration können Sie Lesezeichen direkt der IVEEndbenutzerstartseite hinzufügen. Diese Lesezeichen stellen Links zu den
Ressourcen dar, die vom IVE vermittelt werden sollen. Das Hinzufügen dieser
Lesezeichen ermöglicht Benutzern die Anmeldung an einem Standort (dem IVE)
und das Suchen einer vollständigen Liste aller für sie verfügbaren Ressourcen.
In dieser typischen Konfiguration können Sie durch das Aktivieren von Single SignOn (SSO) die Integration zwischen dem IVE und den vermittelten Ressourcen
optimieren. SSO ist ein Vorgang, der es vorauthentifizierten IVE-Benutzern
ermöglicht, auf von einem anderen Zugriffsverwaltungssystem geschützte
Ressourcen oder andere Anwendungen zuzugreifen, ohne die jeweiligen
Anmeldedaten erneut eingeben zu müssen. Sie können während der IVEKonfiguration SSO aktivieren, indem Sie Benutzeranmeldedaten angeben, die das
IVE an die vermittelten Ressourcen weiterleiten soll. Weitere Informationen finden
Sie unter „Einzelanmeldung“ auf Seite 203.
Wenn Sie die Benutzerressourcen auf der IVE-Endbenutzerstartseite nicht
zentralisieren möchten, können Sie Links von einer anderen Webseite zu den vom
IVE vermittelten Ressourcen erstellen. Sie können beispielsweise Lesezeichen im
IVE konfigurieren und diesen Lesezeichen anschließend Links aus dem
Firmenintranet hinzufügen. Die Benutzer melden sich am Firmenintranet an und
klicken zum Zugreifen auf vermittelte Ressourcen auf die Links, ohne zuerst auf die
IVE-Startseite zuzugreifen. Bei IVE-Standardlesezeichen können Sie für diese
externen Links SSO aktivieren.
Kann ich das IVE zum Schutz vor infizierten Computern und bei anderen
Sicherheitsbedenken verwenden?
Das IVE ermöglicht mithilfe der Host Checker-Funktion den Schutz vor Viren,
Angriffen und anderen Sicherheitsrisiken. Mit Host Checker werden auf Clients, die
mit dem IVE eine Verbindung herstellen, Sicherheitsprüfungen durchgeführt.
Verwenden Sie Host Checker beispielsweise, um zu überprüfen, ob auf den Systemen
von Endbenutzern aktuelle Antivirensoftware, Firewalls, wichtige Softwarepatches
und andere Anwendungen installiert sind, die den Computer des Benutzers schützen.
Gewähren oder verweigern Sie basierend auf den von Host Checker zurückgegebenen
Ergebnissen Benutzern den Zugriff auf die IVE-Anmeldeseiten, -Bereiche, -Rollen und
-Ressourcen. Sie können auch Hilfsanweisungen für Benutzer anzeigen, um die
Computer mit den Sicherheitsanforderungen in Einklang zu bringen.
Verwenden Sie Host Checker auch zum Erstellen eines geschützten Arbeitsbereichs
auf Clients mit Windows 2000 oder Windows XP. Sie können über Host Checker die
Funktion für Secure Virtual Workspace (SVW) aktivieren, mit der ein geschützter
Arbeitsbereich auf dem Clientdesktop erstellt wird. Somit wird sichergestellt, dass alle
Endbenutzer, die sich am Intranet anmelden, alle Interaktionen in einer vollkommen
sicheren Umgebung ausführen. Secure Virtual Workspace verschlüsselt die
Informationen, die die Anwendungen auf die Festplatte oder in die Registrierung
schreiben, und vernichtet nach der Sitzung alle eigenen oder zur IVE-Sitzung
gehörenden Dateien.
Welchen Leistungsumfang bietet das IVE?
29
Juniper Networks Secure Access – Administratorhandbuch
Schützen Sie das Netzwerk vor feindlichen Eindringungsversuchen auch durch die
Integration eines Juniper Networks Intrusion Detection and Prevention (IDP)Sensors in das IVE. Verwenden Sie IDP-Geräte, um die meisten auf Softwarelücken
basierenden Netzwerkwürmer, nicht auf Dateien basierenden trojanischen Pferde,
die Auswirkungen von Spyware, Adware und Keylogger-Software, viele Arten von
Malware und Zero-Day-Angriffe durch die Funktion zum Erkennen von
Unregelmäßigkeiten zu identifizieren und zu blockieren.
Weitere Informationen zu Host Checker und anderen systemeigenen Endpoint
Defense-Mechanismen des IVE finden Sie unter „Endpoint Defense“ auf Seite 235.
Weitere Informationen über die Integration des IVE in IDP finden Sie unter „IVE
und IDP-Interoperabilität“ auf Seite 859.
Kann ich die Redundanz in meiner IVE-Umgebung sicherstellen?
Stellen Sie die Redundanz in der IVE-Umgebung mithilfe der IVE-Clusteringfunktion
sicher. Mithilfe dieser Funktion können Sie mindestens zwei Appliances als Cluster
bereitstellen. Dadurch wird keine Ausfallzeit für die Benutzer im seltenen Fall eines
Systemausfalls und „Stateful Peering“ sichergestellt, durch das die Benutzereinstellungen,
die Systemeinstellungen und die Sitzungsdaten der Benutzer synchronisiert werden.
Diese Appliances unterstützen Aktiv/Passiv- oder Aktiv/Aktiv-Konfigurationen in einem
LAN oder einem WAN. Im Aktiv/Passiv-Modus bearbeitet ein IVE aktiv
Benutzeranforderungen, während das andere IVE passiv im Hintergrund ausgeführt
wird, um Statusdaten zu synchronisieren. Wird das aktive IVE offline geschaltet,
beginnt das Standby-IVE automatisch mit der Bearbeitung der Benutzeranforderungen.
Im Aktiv/Aktiv-Modus verarbeiten alle IVEs im Cluster aktiv die Benutzeranforderungen,
die von einem externen Load-Balancer oder nach dem Rotationsprinzip über DNS
gesendet wurden. Der Load-Balancer hostet die Cluster-VIP und leitet
Benutzeranforderungen auf der Grundlage von SIP-Weiterleitung (Source-IP) an ein in
seiner Clustergruppe definiertes IVE weiter. Wenn ein IVE offline geschaltet wird, passt
der Load-Balancer die Datenlast auf den aktiven IVEs an.
Kann ich die IVE-Schnittstelle an die Darstellung des Unternehmens anpassen?
Das IVE ermöglicht das Anpassen verschiedener Elemente auf der
Endbenutzeroberfläche. Mithilfe der Funktionen für die benutzerdefinierte Einrichtung
kann die Darstellung der IVE-Endbenutzerkonsole aktualisiert werden, sodass sie wie
eine der standardmäßigen Firmenwebseiten oder -anwendungen aussieht.
Passen Sie beispielsweise die vom IVE auf der IVE-Anmeldeseite und der Endbenutzerkonsole angezeigten Kopfzeilen, Hintergrundfarben und Logos an,
sodass sie dem Stil Ihres Unternehmens entsprechen. Sie können außerdem die
Reihenfolge der vom IVE angezeigten Lesezeichen sowie das dem Benutzer vom
IVE angezeigte Hilfesystem anpassen.
Soll die IVE-Endbenutzerstartseite den Benutzern nicht angezeigt werden (in
Standardansicht oder benutzerdefinierter Ansicht), können Benutzer bei ihrer
ersten Anmeldung an der IVE-Konsole auf eine andere Seite umgeleitet werden (z.B.
in das Firmenintranet). Wenn Sie diese Option verwenden, möchten Sie u. U. auf
der neuen Seite Links zu den IVE-Lesezeichen hinzufügen, wie in „Kann ich eine
nahtlose Integration zwischen IVE und den von ihm vermittelten Ressourcen
erstellten?“ auf Seite 29 beschrieben.
30
Welchen Leistungsumfang bietet das IVE?
Kapitel 2: Einführung in das IVE
Möchten Sie die IVE-Anmeldeseite weiter anpassen, verwenden Sie die Funktion für
benutzerdefinierte IVE-Anmeldeseiten. Im Gegensatz zu den Standardoptionen zur
Anpassung, die über die IVE-Verwaltungskonsole konfiguriert werden, können mithilfe
der Funktion für benutzerdefinierte Anmeldeseiten die Seiten beliebig oft angepasst
werden. Sie können mithilfe dieser Funktion einen HTML-Editor zur Erstellung einer
Anmeldeseite verwenden, die genau Ihren Anforderungen entspricht.
Weitere Informationen zum Anpassen der Darstellung des IVE finden Sie unter
„Anpassbare Administrator- und Endbenutzeroberflächen“ auf Seite 879.
Können Benutzer auf mehreren Computern und Geräten das IVE verwenden?
Zusätzlich zur Zugriffsmöglichkeit für Benutzer auf das IVE über Standardarbeitsstationen
und Kioske mit Windows-, Macintosh- und Linux-Betriebssystemen ermöglicht das IVE
den Endbenutzern, auf das IVE über verbundene PDAs, Handhelds und Smart Phones
zuzugreifen, z.B. i-Mode und Pocket PC. Wenn von einem Benutzer über ein PDA- oder
Handheld-Gerät eine Verbindung hergestellt wird, ermittelt das IVE, welche IVE-Seiten
und -Funktionen anzuzeigen sind. Dies erfolgt entsprechend den von Ihnen
konfigurierten Einstellungen.
Weitere Informationen dazu, welche Seiten das IVE auf verschiedenen Geräten
anzeigt, finden Sie im Dokument „IVE Supported Platforms“ auf der Seite für die
IVE-Betriebssystemsoftware des Juniper Networks Customer Support Center.
Weitere Informationen zu den vom IVE unterstützten Betriebssystemen, PDAs und
Handheldgeräten finden Sie unter „Handheldgeräte und PDAs“ auf Seite 907.
Verfügen die internationalen Benutzer über sicheren Zugriff?
Das IVE unterstützt Englisch (USA), Französisch, Deutsch, Spanisch, Chinesisch
(vereinfacht und traditionell), Japanisch und Koreanisch. Das IVE erkennt bei der
Anmeldung der Benutzer am IVE anhand der Webbrowsereinstellung des Benutzers
automatisch die anzuzeigende Sprache. Verwenden Sie alternativ
Endbenutzerlokalisierungsoptionen sowie Optionen für benutzerdefinierte
Anmeldeseiten, um die den Benutzern anzuzeigende Sprache manuell festzulegen.
Weitere Informationen zur Lokalisierung finden Sie unter „Unterstützung mehrerer
Sprachen“ auf Seite 903.
Wie konfiguriere ich das IVE?
Führen Sie die folgenden grundlegenden Schritte aus, um Benutzern die
Verwendung der Secure Access-Appliance zu ermöglichen:
1. Stecken Sie die Appliance ein, schließen Sie sie ans Netzwerk an, und
konfigurieren Sie die System- und Netzwerkeinstellungen. Dieser einfache und
schnelle Vorgang ist im Secure Access Quick Start Guide genauer erläutert.
2. Nach dem Anschließen des IVE ans Netzwerk müssen Sie Systemdatum und -zeit
angeben und das aktuelle Service Pack sowie die Produktlizenzen installieren. Bei
der ersten Anmeldung an der Verwaltungskonsole zeigt das IVE einen Task Guide
für die Erstkonfiguration an, der Sie durch diesen Vorgang führt.
Wie konfiguriere ich das IVE?
31
Juniper Networks Secure Access – Administratorhandbuch
3. Nach der Installation der Produktlizenzen muss die Zugriffsverwaltungsumgebung
eingerichtet werden, damit die Benutzer authentifiziert werden und auf Ressourcen
zugreifen können. Konfigurationsschritte:
a.
Definieren eines Authentifizierungsservers, der Namen und Kennwörter
der Benutzer überprüft.
b.
Erstellen von Benutzerrollen, die Zugriffsmechanismen sowie Sitzungs- und
UI-Optionen für Benutzergruppen ermöglichen.
c.
Erstellen eines Authentifizierungsbereichs, der die Bedingungen festlegt,
die Benutzer für die Anmeldung am IVE erfüllen müssen.
d. Definieren einer Anmelderichtlinie, die die URL enthält, auf die Benutzer
zum Anmelden am IVE zugreifen müssen, sowie die Seite, die bei der
Anmeldung angezeigt wird.
e.
Erstellen eines Ressourcenprofils, das den Zugriff auf Ressourcen steuert,
angibt, welche Benutzerrollen darauf zugreifen dürfen und Lesezeichen
enthält, die auf die Ressourcen verweisen.
Das IVE enthält einen Task Guide in der Verwaltungskonsole, der Sie durch
diesen Vorgang führt. Klicken Sie zum Aufrufen des Task Guide auf den Link
Guidance. Wählen Sie unter Recommended Task Guides Base Configuration
aus: Sie können alternativ die Anleitung in diesem Handbuch verwenden.
Weitere Informationen finden Sie unter „Erste Überprüfung und
Schlüsselkonzepte“ auf Seite 3.
Nach dem Ausführen der grundlegenden Schritte kann die Secure Access-Appliance
verwendet werden. Verwenden Sie diese unverändert, oder konfigurieren Sie zusätzliche
erweiterte Funktionen wie Endpoint Defense und Clustering.
32
Wie konfiguriere ich das IVE?
Teil 2
Zugriffsverwaltung – Umgebung
Das IVE schützt Ressourcen mit den folgenden Zugriffsverwaltungsmechanismen:
Authentication realm – Der Zugriff auf Ressourcen beginnt im
Authentifizierungsbereich. Ein Authentifizierungsbereich gibt Bedingungen an,
denen Benutzer entsprechen müssen, um sich am IVE anzumelden. Eine
Spezifikation für einen Authentifizierungsbereich umfasst mehrere Komponenten,
darunter einen Authentifizierungsserver, der die Identität des Benutzers überprüft.
Der Benutzer muss die für die Authentifizierungsrichtlinien des Bereichs
angegebenen Sicherheitsanforderungen erfüllen, andernfalls leitet das IVE die
Anmeldedaten des Benutzers nicht an den Authentifizierungsserver weiter.
User roles – Die Rollenkonfiguration bildet die zweite Ebene der
Ressourcenzugriffssteuerung. Eine Rolle ist eine definierte Einheit, die IVESitzungseigenschaften für die Benutzer angibt, die der Rolle zugeordnet sind.
Eine Rolle gibt nicht nur die Zugriffsmechanismen an, die einem Benutzer zur
Verfügung stehen, sondern auch Beschränkungen, denen Benutzer entsprechen
müssen, um einer Rolle zugeordnet werden zu können.
Resource policies – Eine Ressourcenrichtlinie bildet die dritte Ebene der
Ressourcenzugriffssteuerung. Eine Ressourcenrichtlinie stellt eine Reihe von
Ressourcennamen (wie URLs, Hostnamen und Kombinationen aus IP-Adresse
und Netzmaske) dar, denen der Zugriff oder die Ausführung anderer
ressourcenspezifischer Aktionen wie Neuschreiben oder Zwischenspeicherung
gewährt oder verweigert wird. Eine Rolle gewährt den Zugriff auf bestimmte
Zugriffsfunktionen und Ressourcen (wie Lesezeichen und Anwendungen),
wohingegen eine Ressourcenrichtlinie den Benutzerzugriff auf eine bestimmte
Ressource steuert. Beachten Sie, dass Sie während der Konfiguration des
Ressourcenprofils separate oder automatische Ressourcenrichtlinien (AutoRichtlinien) erstellen können (empfohlen).
Dieser Abschnitt enthält folgende Informationen über die
Zugriffsverwaltungsumgebung des IVE:
„Allgemeine Zugriffsverwaltung“ auf Seite 35
„Benutzerrollen“ auf Seite 53
„Ressourcenprofile“ auf Seite 75
„Ressourcenrichtlinien“ auf Seite 85
„Authentifizierungs- und Verzeichnisserver“ auf Seite 95
33
Juniper Networks Secure Access – Administratorhandbuch
34
„Authentifizierungsbereiche“ auf Seite 177
„Anmelderichtlinien“ auf Seite 193
„Einzelanmeldung“ auf Seite 203
Kapitel 3
Allgemeine Zugriffsverwaltung
Das IVE ermöglicht es Ihnen, die Ressourcen Ihres Unternehmens mithilfe von
Authentifizierungsrichtlinien, Benutzerprofilen und Ressourcenrichtlinien zu sichern.
Mit diesen drei Zugriffsstufen können Sie den Zugriff von einer weit gefassten Ebene
(z.B. wer sich am IVE anmelden kann) bis hinunter auf einer sehr eng gefassten
Ebene steuern (z.B. welche authentifizierten Benutzer auf eine bestimmte URL oder
eine bestimmte Datei zugreifen können). Sie können Sicherheitsanforderungen
angeben, die Benutzer erfüllen müssen, um sich beim IVE anzumelden und auf IVEFunktionen oder bestimmte URLs, Dateien und weitere Serverressourcen zugreifen
zu können. Das IVE setzt die konfigurierten Richtlinien, Regeln und Einschränkungen
sowie die Bedingungen durch, mit deren Hilfe die Benutzer daran gehindert werden,
Verbindungen mit nicht autorisierten Ressourcen und Inhalten herzustellen oder
diese herunterzuladen.
Dieser Abschnitt enthält folgende Informationen über die Zugriffsverwaltungsumgebung:
„Lizenzierung: Verfügbarkeit der Zugriffsverwaltung“ auf Seite 36
„Richtlinien, Regeln und Einschränkungen sowie Bedingungen – Übersicht“
auf Seite 36
„Richtlinien, Regeln und Einschränkungen sowie Bedingungen – Auswertung“
auf Seite 39
„Dynamische Richtlinienauswertung“ auf Seite 41
„Konfigurieren von Sicherheitsanforderungen“ auf Seite 44
35
Juniper Networks Secure Access – Administratorhandbuch
Lizenzierung: Verfügbarkeit der Zugriffsverwaltung
Die IVE Zugriffsverwaltungsumgebung ist in allen Secure Access-Produkten
verfügbar. Die Zugriffsverwaltungsfunktionen, einschließlich der Bereiche, Rollen,
Ressourcenrichtlinien und Server, sind die Grundlage der IVE-Plattform, auf der
alle Secure Access-Produkte aufgebaut sind.
Richtlinien, Regeln und Einschränkungen sowie Bedingungen – Übersicht
Das IVE ermöglicht es Ihnen, die Ressourcen Ihres Unternehmens mithilfe von
Authentifizierungsrichtlinien, Benutzerprofilen und Ressourcenrichtlinien zu sichern.
Mit diesen drei Zugriffsstufen können Sie den Zugriff von einer weit gefassten Ebene
(z.B. wer sich am IVE anmelden kann) bis hinunter auf einer sehr eng gefassten Ebene
steuern (z.B. welche authentifizierten Benutzer auf eine bestimmte URL oder eine
bestimmte Datei zugreifen können).
Dieser Abschnitt enthält folgende Informationen über Zugriffsverwaltungsrichtlinien,
Regeln, Einschränkungen und Bedingungen:
„Zugreifen auf Authentifizierungsbereiche“ auf Seite 36
„Zugreifen auf Benutzerrollen“ auf Seite 37
„Zugreifen auf Ressourcenrichtlinien“ auf Seite 38
Zugreifen auf Authentifizierungsbereiche
Der Zugriff auf Ressourcen beginnt im Authentifizierungsbereich. Als
Authentifizierungsbereich wird eine Gruppierung von Authentifizierungsressourcen
bezeichnet, einschließlich:
36
Ein Authentifizierungsserver, durch den die Identität des Benutzers überprüft
wird. Das IVE leitet die Anmeldedaten eines Benutzers von der Anmeldeseite an
einen Authentifizierungsserver weiter. Weitere Informationen finden Sie unter
„Authentifizierungs- und Verzeichnisserver“ auf Seite 95.
Einer Authentifizierungsrichtlinie, die die Sicherheitsanforderungen des
Bereichs angibt, die erfüllt sein müssen, damit das IVE die Anmeldedaten eines
Benutzers zur Überprüfung an einen Authentifizierungsserver weiterleitet. Weitere
Informationen finden Sie unter „Definieren von Authentifizierungsrichtlinien“ auf
Seite 180.
Ein Verzeichnisserver ist ein LDAP-Server, der dem IVE Benutzer- und
Gruppeninformationen bereitstellt, mit denen das IVE Benutzer einer oder
mehreren Benutzerrollen zuordnet. Weitere Informationen finden Sie unter
„Authentifizierungs- und Verzeichnisserver“ auf Seite 95.
Lizenzierung: Verfügbarkeit der Zugriffsverwaltung
Kapitel 3: Allgemeine Zugriffsverwaltung
Rollenzuordnungsregeln geben die Bedingungen an, die ein Benutzer erfüllen
muss, damit er vom IVE Rollen zugewiesen wird. Diese Bedingungen beruhen
entweder auf den Benutzerinformationen, die der Verzeichnisserver des Bereichs
zurückgibt, oder auf dem Benutzernamen des Benutzers. Weitere Informationen
finden Sie unter „Erstellen von Rollenzuordnungsregeln“ auf Seite 181.
Ordnen Sie einer IVE-Anmeldeseite mehrere Authentifizierungsbereiche zu. Wenn
mehrere Bereiche für eine Anmeldeseite vorhanden sind, muss der Benutzer vor der
Übermittlung der Anmeldedaten einen Bereich angeben. Wenn der Benutzer die
Anmeldedaten übermittelt hat, überprüft das IVE die Authentifizierungsrichtlinie des
gewählten Bereichs. Der Benutzer muss die für die Authentifizierungsrichtlinien des
Bereichs angegebenen Sicherheitsanforderungen erfüllen, andernfalls leitet das IVE die
Anmeldedaten des Benutzers nicht an den Authentifizierungsserver weiter.
Auf Bereichsebene können Sie Sicherheitsanforderungen angeben, die auf
verschiedenen Elementen basieren, wie z.B. auf der IP-Quelladresse des Benutzers oder
dem Besitz eines clientseitigen Zertifikats. Wenn der Benutzer die Anforderungen der
Authentifizierungsrichtlinie für den Bereich erfüllt, leitet das IVE die Anmeldedaten des
Benutzers an den entsprechenden Authentifizierungsserver weiter. Wenn der Benutzer
durch den Server authentifiziert wurde, wertet das IVE die Rollenzuordnungsregeln für
den Bereich aus und ermittelt, welche Rollen dem Benutzer zugeordnet werden.
Weitere Informationen finden Sie unter „Authentifizierungsbereiche“ auf Seite 177.
Zugreifen auf Benutzerrollen
Eine Rolle ist eine definierte Einheit, die die IVE-Sitzungseigenschaften für die
Benutzer angibt, die der Rolle zugeordnet sind. Zu diesen Sitzungseigenschaften
gehören Informationen wie beispielsweise Sitzungszeitbegrenzungen und
aktivierte Zugriffsfunktionen. Die Rollenkonfiguration bildet die zweite Ebene der
Ressourcenzugriffssteuerung. Eine Rolle gibt nicht nur die Zugriffsmechanismen
an, die einem Benutzer zur Verfügung stehen, sondern auch Beschränkungen,
denen Benutzer entsprechen müssen, um einer Rolle zugeordnet werden zu
können. Der Benutzer muss diese Sicherheitsanforderungen erfüllen, andernfalls
ordnet ihn das IVE keiner Rolle zu.
Auf Bereichsebene können Sie Sicherheitsanforderungen auf der Grundlage von
Elementen angeben, z.B. basierend auf der IP-Quelladresse des Benutzers oder auf
dem Besitz eines clientseitigen Zertifikats. Wenn der Benutzer die Anforderungen
erfüllt, die von einer Rollenzuordnungsregel oder den Einschränkungen einer Rolle
angegeben sind, ordnet das IVE den Benutzer der Rolle zu. Wenn ein Benutzer eine
Anforderung an die für die Rolle verfügbaren Back-End-Ressourcen sendet, wertet
das IVE die entsprechenden Ressourcenrichtlinien für die Zugriffsfunktion aus.
Beachten Sie, dass Sicherheitsanforderungen für eine Rolle an zwei Stellen angegeben
werden können: in den Rollenzuordnungsregeln eines Authentifizierungsbereichs (mit
benutzerdefinierten Ausdrücken) oder durch die Angabe von Einschränkungen in der
Rollendefinition. Das IVE wertet die angegebenen Anforderungen an beiden Positionen
aus. Dies gewährleistet, dass nur Benutzer einer Rolle zugeordnet werden, die die
Anforderungen erfüllen.
Weitere Informationen finden Sie unter „Benutzerrollen“ auf Seite 53.
Richtlinien, Regeln und Einschränkungen sowie Bedingungen – Übersicht
37
Juniper Networks Secure Access – Administratorhandbuch
Zugreifen auf Ressourcenrichtlinien
Eine Ressourcenrichtlinie stellt eine Reihe von Ressourcennamen (wie URLs,
Hostnamen und Kombinationen aus IP-Adresse und Netzmaske) dar, denen der
Zugriff oder die Ausführung anderer ressourcenspezifischer Aktionen wie
Neuschreiben oder Zwischenspeicherung gewährt oder verweigert wird. Eine
Ressourcenrichtlinie bildet die dritte Ebene der Ressourcenzugriffssteuerung. Eine
Rolle gewährt den Zugriff auf bestimmte Zugriffsfunktionen und Ressourcen (wie
Lesezeichen und Anwendungen), wohingegen eine Ressourcenrichtlinie den
Benutzerzugriff auf eine bestimmte Ressource steuert. Mithilfe dieser Richtlinien
können sogar Bedingungen angegeben werden, die, sofern erfüllt, den
Benutzerzugriff auf eine Serverfreigabe oder Datei verweigern oder gewähren.
Derartige Bedingungen können auf den von Ihnen angegebenen
Sicherheitsanforderungen basieren. Der Benutzer muss diese
Sicherheitsanforderungen erfüllen, andernfalls wird die Benutzeranforderung vom
IVE nicht verarbeitet.
Auf Ressourcenebene können Sie Sicherheitsanforderungen auf der Grundlage von
Elementen angeben, wie z.B. auf der Grundlage der IP-Quelladresse des Benutzers
oder auf der Grundlage des Besitzes eines clientseitigen Zertifikats. Wenn der
Benutzer die Anforderungen erfüllt, die in den Bedingungen einer
Ressourcenrichtlinie angegeben sind, verweigert oder gewährt das IVE den Zugriff
auf die angeforderte Ressource. Sie können z.B. Webzugriff auf Rollenebene
aktivieren, sodass ein der Rolle zugewiesener Benutzer eine Webanforderung
ausführen kann. Sie können auch eine Webressourcenrichtlinie so konfigurieren,
dass Anforderungen an eine bestimmte URL oder Pfad verweigert werden, wenn
Host Checker auf dem Benutzercomputer eine inakzeptable Datei findet. In diesem
Szenario überprüft das IVE, ob Host Checker ausgeführt wird, und gibt dann an,
dass der Benutzercomputer der erforderlichen Host Checker-Richtlinie entspricht.
Wenn dies der Fall ist, d. h. die inakzeptable Datei nicht gefunden wurde, gewährt
das IVE dem Benutzer Zugriff auf die angeforderte Webressource.
Beachten Sie, dass Sie während der Konfiguration des Ressourcenprofils separate
oder automatische Ressourcenrichtlinien (Auto-Richtlinien) erstellen können
(empfohlen). Weitere Informationen finden Sie unter:
38
„Ressourcenprofile“ auf Seite 75
„Komponenten eines Ressourcenprofils“ auf Seite 76
Richtlinien, Regeln und Einschränkungen sowie Bedingungen – Übersicht
Kapitel 3: Allgemeine Zugriffsverwaltung
Richtlinien, Regeln und Einschränkungen sowie Bedingungen –
Auswertung
Die folgende Abbildung zeigt die Sicherheitsprüfungen für die Zugriffsverwaltung, die
beim Zugreifen eines Benutzers auf Ressourcen über das IVE vom IVE ausgeführt
werden. Eine genaue Beschreibung der Schritte finden Sie unter der Abbildung.
Abbildung 18 : Vom IVE während einer Benutzersitzung ausgeführte Sicherheitsprüfungen
1. Der Benutzer gibt die URL der IVE-Endbenutzerkonsole (z.B.
http://employees.yourcompany.com/marketing) in einen Webbrowser ein.
2. Das IVE wertet die Anmelderichtlinien (beginnend bei den Administrator-URLs
bis hin zu den Benutzer-URLs) aus, bis sie dem vom Benutzer eingegebenen
Hostname entsprechen.
Richtlinien, Regeln und Einschränkungen sowie Bedingungen – Auswertung
39
Juniper Networks Secure Access – Administratorhandbuch
3. Das IVE wertet die Einschränkungen der Vorauthentifizierung aus und ermittelt, ob
das System des Benutzers Hostprüfungen besteht und weitere Anforderungen
erfüllt. Schlagen die Vorauthentifizierungsprüfungen fehl, verweigert das IVE dem
Benutzer den Zugriff. Werden die Prüfungen bestanden, wird der Benutzer vom IVE
zur Eingabe von Benutzername und Kennwort für die Bereiche aufgefordert, deren
Vorauthentifizierungsprüfungen erfolgreich waren. (Der Benutzer wird zur Eingabe
zweier Sets von Anmeldedaten aufgefordert, falls dies für den Bereich erforderlich
ist.) Sind mehrere Bereiche vorhanden, muss der Benutzer einen Bereich eingeben
oder einen Bereich aus einer Liste auswählen.
4.
Das IVE wertet die Einschränkungen für die Prüfungen nach der Authentifizierung
aus und ermittelt, ob das Benutzerkennwort den festgelegten Einschränkungen und
Anforderungen entspricht. Schlagen die Prüfungen nach der Authentifizierung fehl,
verweigert das IVE dem Benutzer den Zugriff. Werden die Prüfungen bestanden,
leitet das IVE die Anmeldedaten des Benutzers an den Authentifizierungsserver des
Bereichs weiter.
5. Das IVE leitet den Benutzernamen und das Kennwort des Benutzers an den
Authentifizierungsserver weiter. Diese Daten werden entweder angenommen oder
abgelehnt. (Ein RADIUS- oder SiteMinder-Authentifizierungsserver gibt auch
Attribute zurück, die vom IVE bei der Rollenzuordnung verwendet werden.) Lehnt
der Authentifizierungsserver die Daten ab, verweigert das IVE dem Benutzer den
Zugriff. Nimmt der Server die Daten an, speichert das IVE die Anmeldedaten des
Benutzers. Besitzt der Bereich einen separaten LDAP-Autorisierungsserver fordert
das IVE beim LDAP-Server Attribut- und Gruppeninformationen an und speichert
diese. Verfügt der Bereich über einen zweiten Authentifizierungsserver, wiederholt
das IVE diesen Vorgang beim zweiten Server.
6. Das IVE wertet die Rollenzuordnungsregeln des Bereichs aus und ermittelt die
für den Benutzer zulässigen Rollen. Das IVE ermittelt die Zulässigkeit mithilfe
der Informationen vom LDAP- oder RADIUS-Server oder des Benutzernamens.
7. Das IVE wertet die Einschränkungen der zulässigen Rollen aus und ermöglicht
dem Benutzer den Zugriff auf die Rollen, deren Einschränkungen vom Computer
des Benutzers erfüllt werden. Zu den Einschränkungen gehören Quell-IP,
Browsertyp, clientseitiges Zertifikat, Host Checker und Cache Cleaner.
8. Das IVE erstellt eine Sitzungsrolle und ermittelt die Sitzungsberechtigungen des
Benutzers. Bei aktivierter permissiver Zusammenführung ermittelt das IVE die
Sitzungsberechtigungen, indem es alle gültigen Rollen zusammenführt und die
zulässigen Ressourcen aller gültigen Rollen gewährt. Wird die Zusammenführung
deaktiviert, weist das IVE den Benutzer der ersten Rolle zu, der er zugeordnet ist.
Weitere Informationen finden Sie unter „Benutzerrollenbewertung“ auf Seite 54.
9. Wenn ein Benutzer eine Ressource anfordert, überprüft das IVE, ob die
entsprechende Zugriffsfunktion für die Benutzerrolle der Sitzung aktiviert
ist. Andernfalls verweigert das IVE dem Benutzer den Zugriff. Bei aktivierter
Zugriffsfunktion werden die Ressourcenrichtlinien ausgewertet.
40
Richtlinien, Regeln und Einschränkungen sowie Bedingungen – Auswertung
Kapitel 3: Allgemeine Zugriffsverwaltung
10. Das IVE wertet die mit der Benutzeranforderung zusammenhängenden
Ressourcenprofile und -richtlinien aus. Dabei werden alle Profile und Richtlinien
nacheinander verarbeitet, bis das Profil oder die Richtlinie gefunden wird, dessen
bzw. deren Ressourcenliste und designierte Rollen der Anforderung des Benutzers
entsprechen. Das IVE verweigert dem Benutzer den Zugriff auf die Ressource, wenn
dies vom Profil oder von der Richtlinie so angegeben wird. Das IVE vermittelt die
Benutzeranfrage, wenn das Profil oder die Richtlinie den Zugriff zulässt. Weitere
Informationen finden Sie unter „Auswerten von Ressourcenrichtlinien“ auf Seite 90.
11. Das IVE vermittelt die Benutzeranfrage und leitet diese sowie ggf. die Anmeldedaten
des Benutzers an den entsprechenden Server weiter. Das IVE leitet anschließend die
Antwort vom Server an den Benutzer weiter.
12. Der Benutzer greift auf die angeforderte Ressource oder den angeforderten
Anwendungsserver zu. Die Benutzersitzung wird bei Abmeldung des Benutzers
oder bei Zeitüberschreitung der Sitzung aufgrund von Zeitbegrenzungen oder
Inaktivität beendet. Das IVE zwingt den Benutzer auch möglicherweise zum
Beenden der Sitzung, wenn die dynamische Richtlinienauswertung aktiviert ist und
der Benutzer eine Richtlinie nicht erfüllt. Weitere Informationen finden Sie unter
„Dynamische Richtlinienauswertung“ auf Seite 41.
HINWEIS: Bei aktivierter dynamischer Richtlinienauswertung führt das IVE neben
den hier aufgeführten Prüfungen weitere Prüfungen aus. Weitere Informationen
finden Sie unter „Dynamische Richtlinienauswertung“ auf Seite 41.
Dynamische Richtlinienauswertung
Die dynamische Richtlinienauswertung ermöglicht die automatische oder manuelle
Aktualisierung der zugewiesenen Rollen von Benutzern durch Auswertung der
Authentifizierungsrichtlinie, der Rollenzuordnungen, Rolleneinschränkungen und
Ressourcenrichtlinien eines Bereichs. Beim Ausführen einer dynamischen
Auswertung überprüft das IVE, ob sich der Clientstatus geändert hat. (Der Host
Checker-Status des Client hat sich z.B. möglicherweise geändert. Bei Roaming des
Benutzers hat sich die IP-Adresse des Computers u. U. geändert.) Hat sich der Status
geändert, ermöglicht oder verweigert das IVE dem Benutzer dementsprechend den
Zugriff auf die abhängigen Bereiche, Rollen oder Ressourcenrichtlinien.
HINWEIS: Das IVE prüft bei der Ausführung einer dynamischen Richtlinienauswertung
nicht auf Änderungen der Benutzerattribute von einem RADIUS-, LDAP- oder
SiteMinder-Server. Stattdessen wertet das IVE Regeln und Richtlinien neu aus,
ausgehend von den ursprünglichen, bei der Anmeldung des Benutzers am IVE
übermittelten Benutzerattributen.
Dieser Abschnitt enthält die folgenden Informationen zur dynamischen
Richtlinienauswertung:
„Informationen zur dynamischen Richtlinienauswertung“ auf Seite 42
„Informationen zur standardmäßigen Richtlinienauswertung“ auf Seite 42
„Aktivieren der dynamischen Richtlinienauswertung“ auf Seite 43
Dynamische Richtlinienauswertung
41
Juniper Networks Secure Access – Administratorhandbuch
Informationen zur dynamischen Richtlinienauswertung
Während der dynamischen Richtlinienauswertung wertet das IVE die folgenden
Typen von Ressourcenrichtlinien aus:
Windows Secure Application Manager
Java Secure Application Manager
Network Connect
Telnet/SSH
Terminal Services (Windows und Citrix)
Java Access
Codesignatur (für Java-Applet)
HINWEIS: Das IVE wertet Web- und Files-Ressourcenrichtlinien immer aus, wenn
der Benutzer eine Ressource anfordert. Eine dynamische Auswertung ist für diese
Richtlinien daher nicht erforderlich. Das IVE verwendet die dynamische
Richtlinienauswertung nicht für Meetings- und E-Mail Client-Ressourcenrichtlinien.
Stellt das IVE nach einer dynamischen Richtlinienauswertung fest, dass ein Benutzer
die Sicherheitsanforderungen einer Richtlinie oder Rolle nicht mehr erfüllt, beendet das
IVE unverzüglich die Verbindung zum Benutzer. Das Schließen einer TCP-Verbindung
oder Anwendungsverbindung oder das Beenden einer Benutzersitzung für Network
Connect, Secure Application Manager, Terminal oder Telnet/SSH wird möglicherweise
angezeigt. Der Benutzer muss die erforderlichen Schritte unternehmen, um die
Sicherheitsanforderungen der Richtlinie oder Rolle zu erfüllen, und sich dann erneut am
IVE anmelden.
Das IVE protokolliert Informationen über die Richtlinienauswertung und Rollenoder Zugriffsänderungen im Ereignisprotokoll.
Informationen zur standardmäßigen Richtlinienauswertung
Wenn Sie die dynamische Richtlinienauswertung nicht verwenden, wertet das IVE
Richtlinien und Rollen nur bei den folgenden Ereignissen aus:
42
Wenn der Benutzer das erste Mal auf die IVE-Anmeldeseite zugreifen möchte, wertet
das IVE die Host Checker- und Cache Cleaner-Richtlinien (falls vorhanden) für einen
Bereich aus.
Unmittelbar nach der erstmaligen Authentifizierung des Benutzers wertet das IVE die
Bereichseinschränkungen des Benutzers in der Authentifizierungsrichtlinie, in den
Rollenzuordnungsregeln und Rolleneinschränkungen aus.
Jedes Mal, wenn der Benutzer eine Ressource anfordert, wertet der IVE
Ressourcenrichtlinien aus.
Dynamische Richtlinienauswertung
Kapitel 3: Allgemeine Zugriffsverwaltung
Jedes Mal, wenn sich der Host Checker- und Cache Cleaner-Status des Computers
ändert, wertet das IVE die Host Checker- und Cache Cleaner-Richtlinien (falls
vorhanden) für eine Rolle aus.
Wenn Sie die dynamische Richtlinienauswertung nicht verwenden und Änderungen an
einer Authentifizierungsrichtlinie, an Rollenzuordnungsregeln, Rolleneinschränkungen
oder Ressourcenrichtlinien vornehmen, setzt das IVE diese Änderungen nur durch, wenn
die oben beschriebenen Ereignisse auftreten. (Weitere Informationen hierzu finden Sie
unter „Richtlinien, Regeln und Einschränkungen sowie Bedingungen – Auswertung“ auf
Seite 39.)
Wenn Sie die dynamische Richtlinienauswertung verwenden, setzt das IVE Änderungen
beim Eintreten der oben beschriebenen Ereignisse und zu den angegebenen Zeiten
durch. Weitere Informationen finden Sie unter „Aktivieren der dynamischen
Richtlinienauswertung“ auf Seite 43.
Aktivieren der dynamischen Richtlinienauswertung
Sie können die dynamische Richtlinienauswertung folgendermaßen verwenden:
Alle angemeldeten Benutzer in einem Bereich auswerten – Sie können die
Rollen aller derzeit angemeldeten Benutzer eines Bereichs automatisch oder manuell
mithilfe der Registerkarte General auf der Seite Administrators > Admin Realms
> Bereich auswählen or Users > User Realms > Bereich auswählen
aktualisieren. Sie können das IVE eine dynamische Richtlinienauswertung auf
Bereichsebene folgendermaßen ausführen lassen:
Mit einem automatischen Timer – Legen Sie durch ein
Aktualisierungsintervall fest, wie oft das IVE eine automatische
Richtlinienauswertung aller derzeit angemeldeten Bereichsbenutzer ausführt
(z.B. alle 30 Minuten). Bei Verwendung des Aktualisierungsintervalls können
Sie auch die IVE-Leistung feiner abstimmen, indem Sie angeben, ob Rollen
und Ressourcenrichtlinien sowie die Authentifizierungsrichtlinie, die
Rollenzuordnungsregeln und Rolleneinschränkungen aktualisiert werden
sollen oder nicht.
Nach Bedarf – Sie können die Authentifizierungsrichtlinie, die
Rollenzuordnungsregeln, Rolleneinschränkungen und Ressourcenrichtlinien
aller derzeit angemeldeten Bereichsbenutzer jederzeit manuell auswerten.
Diese Vorgehensweise ist besonders dann von Vorteil, wenn Sie Änderungen
an einer Authentifizierungsrichtlinie, an Rollenzuordnungsregeln,
Rolleneinschränkungen oder Ressourcenrichtlinien vornehmen möchten, und
die Rollen der Benutzer dieses Bereichs sofort aktualisiert werden sollen.
Alle angemeldeten Benutzer in allen Bereichen auswerten – Die Rollen aller
derzeit angemeldeten Benutzer in allen Bereichen können mithilfe der Einstellungen
auf der Seite System > Status >Active Users manuell aktualisiert werden.
Informationen hierzu finden Sie unter „Überwachen von aktiven Benutzern“ auf
Seite 738.
Dynamische Richtlinienauswertung
43
Juniper Networks Secure Access – Administratorhandbuch
Einzelne Benutzer auswerten – Sie können die Rollen einzelner Benutzer
automatisch aktualisieren, indem Sie auf der Seite Authentication > Endpoint
Security > Host Checker die dynamische Richtlinienauswertung für Host Checker
aktivieren. Host Checker kann das IVE veranlassen, bei jeder Änderung des Host
Checker-Status eines Benutzers Ressourcenrichtlinien auszuwerten. (Wenn die
dynamische Richtlinienauswertung für Host Checker nicht aktiviert ist, wertet das
IVE zwar keine Ressourcenrichtlinien aus, die Authentifizierungsrichtlinie,
Rollenzuordnungsregeln und Rolleneinschränkungen werden dennoch bei jeder
Änderung des Host Checker-Status eines Benutzers ausgewertet.) Weitere
Informationen finden Sie unter „Festlegen von allgemeinen Host Checker-Optionen“
auf Seite 280.
Konfigurieren von Sicherheitsanforderungen
Mit dem IVE können Sicherheitsanforderungen für Administratoren und Benutzer
ganz einfach über die in den folgenden Abschnitten beschriebenen Optionen und
Funktionen angegeben werden:
44
„Angeben von Quell-IP-Zugriffseinschränkungen“ auf Seite 45
„Angeben von Browserzugriffseinschränkungen“ auf Seite 47
„Angeben von Zertifikatzugriffseinschränkungen“ auf Seite 49
„Angeben von Kennwortzugriffseinschränkungen“ auf Seite 51
„Angeben von Host Checker-Zugriffseinschränkungen“ auf Seite 52
„Angeben von Cache Cleaner-Zugriffseinschränkungen“ auf Seite 52
Konfigurieren von Sicherheitsanforderungen
Kapitel 3: Allgemeine Zugriffsverwaltung
Angeben von Quell-IP-Zugriffseinschränkungen
Mit einer Quell-IP-Einschränkung kann gesteuert werden, von welcher IP-Adresse
aus Benutzer auf eine IVE-Anmeldeseite oder eine Ressource zugreifen oder einer
Rolle zugeordnet werden können.
Sie können den Zugriff auf die Ressourcen anhand der Quell-IP einschränken.
Wenn sich Administratoren oder Benutzer am IVE anmelden möchten – Der
Benutzer muss sich an einem Computer anmelden, dessen Kombination aus IPAdresse und Netzmaske die angegebenen IP-Quelladressanforderungen für den
ausgewählten Authentifizierungsbereich erfüllt. Verfügt der Benutzercomputer nicht
über eine für den Bereich erforderliche Kombination aus IP-Adresse und Netzmaske,
leitet das IVE die Anmeldedaten des Benutzers nicht an den Authentifizierungsserver
weiter, und dem Benutzer wird der Zugriff auf das IVE verweigert. Sie können den
Zugriff auf das IVE für alle Kombinationen von IP-Adresse und Netzmaske gewähren
oder verweigern. So können Sie beispielsweise den Zugriff auf das IVE für alle
Benutzer eines drahtlosen Netzwerkes (10.64.4.100) verweigern, und allen anderen
Netzwerkbenutzern (0.0.0.0) den Zugriff gewähren.
Wenn Administratoren oder Benutzer einer Rolle zugeordnet werden – Der
authentifizierte Benutzer muss sich von einem Computer aus anmelden,
dessen Kombination aus IP-Adresse und Netzmaske den angegebenen IPQuelladressanforderungen für alle Rollen entspricht, denen das IVE den
Benutzer zuordnet. Verfügt der Benutzercomputer nicht über eine
Kombination aus IP-Adresse und Netzmaske, die für eine Rolle erforderlich
ist, ordnet das IVE den Benutzer dieser Rolle nicht zu.
Wenn Benutzer eine Ressource anfordern – Der authentifizierte, autorisierte
Benutzer kann eine Ressourcenanforderung nur von einem Computer
durchführen, dessen Kombination aus IP-Adresse und Netzmaske den im
Zusammenhang mit der Benutzeranforderung angegebenen IPQuelladressanforderungen für die Ressourcenrichtlinie entspricht. Verfügt
der Benutzercomputer nicht über die für eine Ressource erforderliche
Kombination aus IP-Adresse und Netzmaske, gewährt das IVE dem Benutzer
keinen Zugriff auf die Ressource.
So geben Sie IP-Quelladresseinschränkungen an:
1. Wählen Sie die Ebene aus, auf der die IP-Einschränkungen implementiert
werden sollen:
Bereichsebene – Wählen Sie:
Administrators > Admin Realms > BereichAuswählen >
Authentication Policy > Source IP
Users > User Realms > BereichAuswählen > Authentication Policy >
Source IP
Rollenebene – Wählen Sie:
Administrators > Admin Roles > Rolle auswählen > General >
Restrictions > Source IP
Konfigurieren von Sicherheitsanforderungen
45
Juniper Networks Secure Access – Administratorhandbuch
Users > User Roles > Rolle auswählen > General > Restrictions >
Source IP
Ressourcenrichtlinienebene – Wählen Sie: Users > Resource Policies >
Ressource auswählen > Richtlinie auswählen > Detailed Rules > Regel
auswählen|erstellen > Bedingungsfeld
2. Wählen Sie eine der folgenden Optionen aus:
Benutzern die Anmeldung von einer beliebigen IP-Adresse aus
gewähren – Hiermit können sich Benutzer von einer beliebigen IP-Adresse
aus beim IVE anmelden, um die Anforderungen für die Zugriffsverwaltung
zu erfüllen.
Benutzern Zugriff von folgenden IP-Adressen gewähren oder verweigern
– Gibt an, ob Benutzern auf Grundlage ihrer Einstellungen der Zugriff auf
das IVE von allen aufgeführten IP-Adressen gewährt oder verweigert wird.
So legen Sie den Zugriff von einer IP-Adresse fest:
i.
Geben Sie die IP-Adresse und Netzmaske ein.
ii.
Wählen Sie eine der folgenden Optionen aus:
Allow, um Benutzern die Anmeldung von der angegebenen IP-Adresse
aus zu gewähren.
Deny, um Benutzern die Anmeldung von der angegebenen IP-Adresse
aus zu verweigern.
iii. Klicken Sie auf Add.
iv. Wenn Sie mehrere IP-Adressen hinzufügen, verschieben Sie die
Einschränkungen mit der höchsten Priorität an den Anfang der
Liste. Aktivieren Sie dazu das Kontrollkästchen neben der
entsprechenden IP-Adresse, und klicken Sie dann auf den Pfeil
nach oben. Wenn Sie beispielsweise den Zugriff für alle Benutzer
eines drahtlosen Netzwerkes (10.64.4.100) verweigern und allen
anderen Netzwerkbenutzern (0.0.0.0) den Zugriff gewähren
möchten, verschieben Sie die IP-Adresse des drahtlosen
Netzwerkes (10.64.4.100) an den Anfang der Liste und das
Netzwerk (0.0.0.0) unter das drahtlose Netzwerk.
Enable administrators to sign in on the external port – Ermöglicht es
Administratoren, sich über die externe Schnittstelle am IVE anzumelden.
Der externe Port muss vor der Auswahl dieser Option aktiviert werden.
3. Klicken Sie zum Speichern der Einstellungen auf Save Changes.
46
Konfigurieren von Sicherheitsanforderungen
Kapitel 3: Allgemeine Zugriffsverwaltung
Angeben von Browserzugriffseinschränkungen
Mit einer Browsereinschränkung kann gesteuert werden, von welchen
Webbrowsern aus Benutzer auf eine IVE-Anmeldeseite oder eine Ressource
zugreifen oder einer Rolle zugeordnet werden können. Wenn ein Benutzer
versucht, sich am IVE über einen nicht unterstützten Browser anzumelden,
schlägt der Anmeldeversuch fehl, und es wird in einer Meldung angezeigt,
dass ein nicht unterstützter Browser verwendet wird. Mit dieser Funktion
können Sie auch sicherstellen, dass sich Benutzer am IVE über Browser
anmelden, die mit Firmenanwendungen kompatibel oder von
Firmensicherheitsrichtlinien zugelassen sind.
Sie können den Zugriff auf das IVE und auf Ressourcen anhand des Browsertyps
einschränken:
Wenn sich Administratoren oder Benutzer am IVE anmelden möchten – Der
Benutzer muss sich über einen Browser anmelden, dessen Benutzer-AgentZeichenfolge dem für den ausgewählten Authentifizierungsbereich
angegebenen Zeichenfolgenmuster entspricht. Wenn die Benutzer-AgentZeichenfolge des Browsers für den Bereich zulässig ist, leitet das IVE die
Anmeldedaten an den Authentifizierungsserver weiter. Wenn die BenutzerAgent-Zeichenfolge des Browsers für den Bereich nicht zulässig ist, leitet das
IVE die Anmeldedaten nicht an den Authentifizierungsserver weiter.
Wenn Administratoren oder Benutzer einer Rolle zugeordnet werden – Der
authentifizierte Benutzer muss sich über einen Browser anmelden, dessen
Benutzer-Agent-Zeichenfolge den jeweils angegebenen Zeichenfolgenmustern
für die einzelnen Rollen entspricht, denen der Benutzer durch das IVE
zugeordnet werden kann. Wenn die Benutzer-Agent-Zeichenfolge nicht den
Zulassungsanforderungen für eine Rolle entspricht, ordnet das IVE den
Benutzer dieser Rolle nicht zu.
Wenn Benutzer eine Ressource anfordern – Der authentifizierte, autorisierte
Benutzer kann eine Ressourcenanforderung nur über einen Browser
durchführen, dessen Benutzer-Agent-Zeichenfolge den im Zusammenhang
mit der Benutzeranforderung angegebenen Zulassungsanforderungen für die
Ressourcenrichtlinie entspricht. Wenn die Benutzer-Agent-Zeichenfolge nicht
den Zulassungsanforderungen für eine Ressource entspricht, verweigert das
IVE dem Benutzer den Zugriff auf die Ressource.
HINWEIS: Die Funktion zur Browsereinschränkung dient nicht als strikte
Zugriffssteuerung, da die Zeichenfolgen für Benutzer-Agenten des Browsers
von einem technischen Benutzer geändert werden können. Sie dient als
beratende Zugriffssteuerung für normale Nutzungsszenarien.
Konfigurieren von Sicherheitsanforderungen
47
Juniper Networks Secure Access – Administratorhandbuch
Angeben von Browsereinschränkungen
So geben Sie Browsereinschränkungen an:
1. Wählen Sie die Ebene aus, auf der die Browsereinschränkungen implementiert
werden sollen:
Bereichsebene – Wählen Sie:
Administrators > Admin Realms > Bereich auswählen >
Authentication Policy > Browser
Users > User Realms > Bereich auswählen > Authentication Policy >
Browser
Rollenebene – Wählen Sie:
Administrators > Admin Realms > Bereich auswählen > Role
Mapping > Rolle auswählen/erstellen > Benutzerdefinierte Ausdrücke
Administrators > Admin Roles > Rolle auswählen > General >
Restrictions > Browser
Users > User Realms > Bereich auswählen > Role Mapping > Regel
auswählen/erstellen > Benutzerdefinierter Ausdruck
Users > User Roles > Rolle auswählen > General > Restrictions >
Browser
Ressourcenrichtlinienebene – Wählen Sie: Users > Resource Policies >
Ressource auswählen > Richtlinie auswählen > Detailed Rules > Regel
auswählen|erstellen > Bedingungsfeld
2. Wählen Sie eine der folgenden Optionen aus:
Allow all users matching any user-agent string sent by the browser –
Ermöglicht Benutzern den Zugriff auf das IVE oder auf Ressourcen mit
einem beliebigen unterstützten Webbrowser.
Nur Benutzer zulassen, die die folgende Benutzer-Agent-Richtlinie
erfüllen – Ermöglicht Ihnen die Definition von Regeln für die
Browserzugriffssteuerung. So erstellen Sie eine Regel:
i.
Geben Sie für User-agent string pattern eine Zeichenfolge in
folgendem Format an:
*<browser_zeichenfolge>*
wobei Start (*) ein optionales Zeichen ist, das für ein beliebiges
Zeichen steht, und <browser_zeichenfolge> ein Muster darstellt
(Groß-/Kleinschreibung wird berücksichtigt), das mit einer
Teilzeichenfolge in dem vom Browser gesendeten „user-agent“-Header
übereinstimmen muss. Hinweis: Escape-Zeichen (\) können in
Browsereinschränkungen nicht hinzugefügt werden.
ii.
48
Konfigurieren von Sicherheitsanforderungen
Wählen Sie eine der folgenden Optionen aus:
Kapitel 3: Allgemeine Zugriffsverwaltung
Allow, um Benutzern die Verwendung eines Browsers mit einem
„user-agent“-Header zu ermöglichen, der die Teilzeichenfolge
<browser_string> enthält.
Deny, um Benutzern die Verwendung eines Browsers mit einem
„user-agent“-Header zu verweigern, der die Teilzeichenfolge
<browser_string> enthält.
iii. Klicken Sie auf Add.
3. Klicken Sie zum Speichern der Einstellungen auf Save Changes.
HINWEIS:
Regeln werden der Reihenfolge nach angewendet, d.h., die erste
übereinstimmende Regel wird angewendet.
Bei Literalzeichen in Regeln wird die Groß- und Kleinschreibung beachtet,
Leerzeichen sind dabei zulässig.
Die Zeichenfolge *Netscape* findet z.B. alle Benutzer-Agent-Zeichenfolgen mit der
Teilzeichenfolge Netscape.
Der folgende Regelsatz ermöglicht Ressourcenzugriff nur dann, wenn Benutzer über
Internet Explorer 5.5x oder Internet Explorer 6.x angemeldet sind. In diesem Beispiel
werden einige wichtige andere Browser als Internet Explorer berücksichtigt, die die
Teilzeichenfolge „MSIE“ im „user-agent“-Header senden:
*Opera*Deny
*AOL*Deny
*MSIE 5.5*Allow
*MSIE 6.*Allow
* Deny
Angeben von Zertifikatzugriffseinschränkungen
Bei der Installation eines clientseitigen Zertifikats im IVE über die Seite System >
Configuration > Certificates > Trusted Client CAs der Administratorkonsole
können Sie den Zugriff auf das IVE und die Ressource durch die Anforderung
clientseitiger Zertifikate einschränken:
Wenn sich Administratoren oder Benutzer am IVE anmelden möchten – Der
Benutzer kann sich nur an einem Computer anmelden, der das angegebene
clientseitige Zertifikat besitzt (von der richtigen Zertifizierungsstelle
ausgestellt und mit optional angegebenen Anforderungen für Feld-WertPaare). Wenn der Benutzercomputer nicht über die für den Bereich
erforderlichen Zertifikatinformationen verfügt, kann der Benutzer auf die
Anmeldeseite zugreifen, doch sobald vom IVE festgestellt wird, dass der
Benutzerbrowser das Zertifikat nicht besitzt, werden die Anmeldedaten des
Benutzers vom IVE nicht an den Authentifizierungsserver übermittelt, sodass
der Benutzer nicht auf die Funktionen des IVE zugreifen kann.
Konfigurieren von Sicherheitsanforderungen
49
Juniper Networks Secure Access – Administratorhandbuch
Um Zertifikateinschränkungen auf Bereichsebene zu implementieren,
navigieren Sie zu:
Administrators > Admin Realms > BereichAuswählen > Authentication
Policy > Certificate
Users > User Realms > BereichAuswählen > Authentication Policy >
Certificate
Wenn Administratoren oder Benutzer einer Rolle zugeordnet werden – Der
authentifizierte Benutzer muss sich an einem Computer anmelden, der die
angegebenen Anforderungen des clientseitigen Zertifikats (von der richtigen
Zertifizierungsstelle ausgestellt und mit optional angegebenen Anforderungen für
Feld-Wert-Paare) für alle Rollen erfüllt, denen das IVE den Benutzer zuordnet.
Besitzt der Benutzercomputer nicht die Zertifikatinformationen, die für eine Rolle
erforderlich sind, ordnet das IVE den Benutzer dieser Rolle nicht zu.
Um Zertifikateinschränkungen auf Rollenebene zu implementieren, navigieren
Sie zu:
Administrators > Admin Roles > RolleAuswählen > General >
Restrictions > Certificate
Users > User Realms > BereichAuswählen > Role Mapping > Regel
auswählen|erstellen > BenutzerdefinierterAusdruck
Users > User Roles > RolleAuswählen > General > Restrictions >
Certificate
Wenn Benutzer eine Ressource anfordern – Der authentifizierte, autorisierte
Benutzer muss eine Ressourcenanforderung von einem Computer ausführen, der die
angegebenen Anforderungen des clientseitigen Zertifikats (von der richtigen
Zertifizierungsstelle ausgestellt und mit optional angegebenen Anforderungen für
Feld-Wert-Paare) für die Ressourcenrichtlinie erfüllt, die für die Benutzeranforderung
angegeben wurde. Besitzt der Benutzercomputer nicht die Zertifikatinformationen,
die für eine Ressource erforderlich sind, verweigert das IVE dem Benutzer den Zugriff
auf die Ressource.
Um Zertifikateinschränkungen auf Ressourcenrichtlinienebene zu implementieren,
navigieren Sie zu: Users > Resource Policies > RessourceAuswählen >
RichtlinieAuswählen > Detailed Rules > Regel auswählen|erstellen >
Bedingungsfeld
50
Konfigurieren von Sicherheitsanforderungen
Kapitel 3: Allgemeine Zugriffsverwaltung
Angeben von Kennwortzugriffseinschränkungen
Sie können den Zugriff auf das IVE und auf Ressourcen anhand der Kennwortlänge
einschränken, wenn sich Administratoren oder Benutzer am IVE anmelden möchten.
Der Benutzer muss ein Kennwort eingeben, das der Mindestkennwortlänge entspricht,
die für den Bereich angegeben wurde. Beachten Sie, dass die Datensätze für lokale
Benutzer und Administratoren auf dem IVE-Authentifizierungsserver gespeichert
werden. Auf diesem Server müssen Kennwörter mindestens 6 Zeichen lang sein,
unabhängig von dem Wert, der für die Authentifizierungsrichtlinie des Bereichs
angegeben wurde.
So geben Sie Kennworteinschränkungen an:
1. Wählen Sie einen Administrator- oder Benutzerbereich aus, für den Sie die
Kennworteinschränkungen implementieren wollen.
Wählen Sie:
Administrators > Admin Realms >Bereich auswählen > Authentication
Policy > Password
Users > User Realms > Bereich auswählen > Authentication Policy >
Password
2. Wählen Sie eine der folgenden Optionen aus:
Allow all users (passwords of any length) – Für die Benutzer, die sich am
IVE anmelden, werden keine Beschränkungen für die Kennwortlänge
angewendet.
Only allow users that have passwords of a minimum length – Bei dieser
Option muss das einzugebende Kennwort eine festgelegte Anzahl von
Zeichen lang sein.
3. Aktivieren Sie das Kontrollkästchen Enable Password Management, wenn Sie die
Kennwortverwaltung aktivieren möchten. Zusätzlich müssen Sie die
Kennwortverwaltung auf der Konfigurationsseite des IVE-Authentifizierungsservers
(lokaler Authentifizierungsserver) oder über einen LDAP-Server konfigurieren.
Weitere Informationen zur Kennwortverwaltung finden Sie unter „Aktivieren der
LDAP-Kennwortverwaltung“ auf Seite 117.
4. Wenn Sie einen sekundären Authentifizierungsserver aktiviert haben, legen Sie
mithilfe der oben angegebenen Einschränkungen Beschränkungen für die
Kennwortlänge fest.
5. Klicken Sie zum Speichern der Einstellungen auf Save Changes.
HINWEIS: Für das IVE müssen die auf der Anmeldeseite eingegebenen
Benutzerkennwörter standardmäßig mindestens vier Zeichen lang sein. Für
den zur Überprüfung der Anmeldedaten eines Benutzers verwendeten
Authentifizierungsserver ist unter Umständen eine andere Mindestlänge
erforderlich. Für die lokale Authentifizierungsdatenbank von IVE müssen die
Benutzerkennwörter beispielsweise mindestens sechs Zeichen lang sein.
Konfigurieren von Sicherheitsanforderungen
51
Juniper Networks Secure Access – Administratorhandbuch
Angeben von Host Checker-Zugriffseinschränkungen
Weitere Informationen über die auf dem Host Checker-Status basierende
Einschränkung des Benutzerzugriffs auf das IVE, eine Rolle oder eine Ressource
finden Sie unter „Implementieren von Host Checker-Richtlinien“ auf Seite 267.
Angeben von Cache Cleaner-Zugriffseinschränkungen
Weitere Informationen zur auf dem Cache Cleaner-Status basierenden
Einschränkung des Benutzerzugriffs auf das IVE, eine Rolle oder eine Ressource
finden Sie unter „Implementieren der Cache Cleaner-Optionen“ auf Seite 291.
Angeben von Begrenzungsbeschränkungen
Neben den Zugriffsverwaltungsoptionen, die Sie für eine Authentifizierungsrichtlinie
festlegen können, können Sie auch die Höchstanzahl gleichzeitig angemeldeter Benutzer
festlegen. Nur wenn ein Benutzer, der auf einer der Anmeldeseiten dieses Bereichs eine
URL eingibt, alle für die Authentifizierungsrichtlinie festgelegten Benutzeranforderungen
hinsichtlich Zugriffsverwaltung und gleichzeitig angemeldeter Benutzer erfüllt, öffnet das
IVE die Anmeldeseite.
Legen Sie mithilfe von Begrenzungsbeschränkungen die Mindestanzahl und
maximale Anzahl für gleichzeitig angemeldete Benutzer im Bereich fest.
So geben Sie Begrenzungsbeschränkungen an:
1. Wählen Sie einen Administrator- oder Benutzerbereich aus, für den Sie die
Begrenzungseinschränkungen implementieren wollen.
Wählen Sie:
Administrators > Admin Realms >BereichAuswählen > Authentication
Policy > Limits
Users > User Realms > BereichAuswählen > Authentication Policy >
Limits
2. Wenn Sie die Anzahl gleichzeitig angemeldeter Benutzer im Bereich begrenzen
möchten, aktivieren Sie Limit the number of concurrent users, und geben Sie
die Begrenzungswerte für die folgenden Optionen an:
a.
Guaranteed minimum – Sie können eine beliebige Anzahl an Benutzern
zwischen null (0) und der für den Bereich definierten maximalen Anzahl
gleichzeitig angemeldeter Benutzer angeben oder die Anzahl auf das laut
Ihrer Lizenz zulässige Maximum setzen, falls für den Bereich kein
Maximum existiert.
b.
Maximum (optional) – Sie können eine beliebige Anzahl gleichzeitig
angemeldeter Benutzern zwischen der angegebenen Mindestanzahl und
der maximalen Anzahl lizenzierter Benutzer angeben. Wenn Sie im Feld
Maximum eine Null (0) eingeben, kann sich kein Benutzer am Bereich
anmelden.
3. Klicken Sie auf Save Changes.
52
Konfigurieren von Sicherheitsanforderungen
Kapitel 4
Benutzerrollen
Eine Benutzerrolle ist eine Einheit, die die folgenden Einstellungen festlegt:
Parameter für Benutzersitzungen (Sitzungseinstellungen und -optionen), individuelle
Einstellungen (benutzerdefinierte Einrichtung der Oberfläche und Lesezeichen) und
aktivierte Zugriffsfunktionen (Web-, Datei-, Anwendungs-, Telnet/SSH-, Terminal-,
Dienst-, Netzwerk-, Konferenz- und E-Mail-Zugriff). Eine Benutzerrolle steuert weder
den Ressourcenzugriff noch gibt sie andere ressourcenbasierte Optionen für
einzelne Anforderungen an. Mithilfe einer Benutzerrolle kann z.B. definiert werden,
ob ein Benutzer über die Berechtigung zum Webbrowsing verfügt. Die einzelnen
Webressourcen, auf die ein Benutzer zugreifen darf, werden jedoch durch
Webressourcenrichtlinien definiert, die separat konfiguriert werden.
Das IVE unterstützt zwei Arten von Benutzerrollen:
Administrators – Eine Administratorrolle ist eine Einheit, die die IVEVerwaltungsfunktionen und -Sitzungseigenschaften für Administratoren angibt,
die der Rolle zugeordnet sind. Sie können eine Administratorrolle anpassen,
indem Sie Gruppen von IVE-Funktionen und Benutzerrollen auswählen, die
Mitglieder der Administratorrolle anzeigen und verwalten dürfen. Sie erstellen
und konfigurieren Administratorrollen auf der Seite Administrators > Admin
Roles der Administratorkonsole.
Users – Eine Benutzerrolle ist eine Einheit, die Parameter für
Benutzersitzungen, individuelle Einstellungen und aktivierte Zugriffsfunktionen
definiert. Sie können eine Benutzerrolle anpassen, indem Sie bestimmte IVEZugriffsfunktionen aktivieren, Web-, Anwendungs- und Sitzungs-Lesezeichen
definieren und Sitzungseinstellungen für die aktivierten Zugriffsfunktionen
konfigurieren. Sie erstellen und konfigurieren Benutzerrollen auf der Seite
Users > User Roles der Administratorkonsole.
Dieser Abschnitt enthält die folgenden Informationen über Rollen
„Lizenzierung: Verfügbarkeit von Benutzerrollen“ auf Seite 54
„Benutzerrollenbewertung“ auf Seite 54
„Konfigurieren von Benutzerrollen“ auf Seite 56
„Benutzeroberflächen zur Anpassung der Benutzerrollen“ auf Seite 70
53
Juniper Networks Secure Access – Administratorhandbuch
Lizenzierung: Verfügbarkeit von Benutzerrollen
Benutzerrollen sind ein integraler Bestandteil der IVE-Zugriffsverwaltungsumgebung
und daher in allen Secure Access-Produkten verfügbar. Sie können jedoch nur auf
Funktionen über eine Benutzerrolle zugreifen, wenn Sie für diese Funktion über
eine Lizenz verfügen. Wenn Sie beispielsweise eine SA-700-Appliance verwenden
und keinen Aktualisierungslizenzschlüssel für den clientlosen Kernzugriff erworben
haben, können Sie Web Rewriting für eine Benutzerrolle nicht aktivieren.
Benutzerrollenbewertung
Das IVE-Rollenzuordnungsmodul bestimmt die Sitzungsrolle eines Benutzers bzw.
kombinierte Berechtigungen, die für eine Benutzersitzung gültig sind (siehe
Abbildung im folgenden Diagramm): Eine genaue Beschreibung der Schritte finden
Sie unter der Abbildung.
Abbildung 19: Vom IVE ausgeführte Sicherheitsprüfungen zur Erstellung einer Sitzungsrolle
1.
Das IVE beginnt die Regelbewertung mit der ersten Regel auf der Registerkarte Role
Mapping des Authentifizierungsbereichs, in dem sich der Benutzer erfolgreich
anmeldet. Bei der Bewertung ermittelt das IVE, ob der Benutzer die
Regelbedingungen erfüllt. Wenn dies der Fall ist, werden folgende Schritte ausgeführt:
a.
54
Das IVE fügt die entsprechenden Rollen einer Liste von „zulässigen Rollen“
hinzu, die dem Benutzer zur Verfügung stehen.
Lizenzierung: Verfügbarkeit von Benutzerrollen
Kapitel 4: Benutzerrollen
b.
2.
Das IVE berücksichtigt dabei, ob konfiguriert wurde, dass die Verarbeitung
bei einem Treffer beendet werden soll (Option „Stop on Match“). Wenn dies
der Fall ist, fährt das Modul mit Schritt 5 fort.
Das IVE wertet die nächste Regel auf der Registerkarte Role Mapping des
Authentifizierungsbereichs gemäß des Vorgangs im vorigen Schritt aus und
wiederholt diesen Vorgang für jede weitere Regel. Wenn das IVE alle
Rollenzuordnungsregeln auswertet, entsteht eine umfassende Liste möglicher Rollen.
3. Das IVE wertet die Definitionen aller Rollen in der Liste der zulässigen Rollen
aus und überprüft, ob der Benutzer Rolleneinschränkungen unterliegt. Das IVE
verwendet diese Informationen zum Erstellen einer Liste mit gültigen Rollen,
deren Anforderungen vom Benutzer ebenfalls erfüllt werden.
Wenn die Liste gültiger Rollen nur eine Rolle enthält, ordnet das IVE den
Benutzer dieser Rolle zu. Andernfalls setzt das IVE die Auswertung fort.
4. Für Benutzer, die mehreren Rollen zugeordnet sind, wertet das IVE die
Einstellung aus, die auf der Registerkarte Role Mapping angegeben ist.
Merge settings for all assigned roles – Wenn Sie diese Option auswählen,
führt das IVE eine permissive Zusammenführung aller gültigen
Benutzerrollen durch, um die Gesamtrolle (Netzrolle) für eine
Benutzersitzung zu ermitteln.
User must select from among assigned roles – Wenn Sie diese Option
auswählen, gibt das IVE einem authentifizierten Benutzer eine Liste
zulässiger Rollen aus. Der Benutzer muss eine Rolle aus der Liste
auswählen, und das IVE weist den Benutzer dann für die Dauer der
Benutzersitzung dieser Rolle zu.
User must select the sets of merged roles assigned by each rule – Bei
Auswahl dieser Option präsentiert das IVE einem authentifizierten
Benutzer eine Liste gültiger Regeln (d.h. Regeln, deren Bedingungen der
Benutzer erfüllt hat). Der Benutzer muss in der Liste eine Regel auswählen,
und das IVE führt eine permissive Zusammenführung aller Rollen aus, die
dieser Regel zugewiesen sind.
HINWEIS: Bei Verwendung der automatischen (zeitgesteuerten) dynamischen oder
der manuellen Richtlinienauswertung wiederholt das IVE die in diesem Abschnitt
beschriebene Rollenauswertung. Weitere Informationen finden Sie unter
„Dynamische Richtlinienauswertung“ auf Seite 41.
Richtlinien für permissive Zusammenführungen
Eine permissive Zusammenführung ist eine Zusammenführung mehrerer Rollen, die
aktivierte Funktionen und Einstellungen anhand der folgenden Richtlinien kombiniert:
Die Aktivierung einer Zugriffsfunktion in einer Rolle hat Vorrang vor der
Deaktivierung der gleichen Funktion in einer anderen Rolle. Beispiel: Ist ein
Benutzer zwei Rollen zugewiesen, und zwar einer Rolle, die Secure Meeting
deaktiviert, und einer weiteren Rolle, die Secure Meeting aktiviert, erlaubt das
IVE dem Benutzer die Verwendung von Secure Meeting für diese Sitzung.
Benutzerrollenbewertung
55
Juniper Networks Secure Access – Administratorhandbuch
Bei Secure Application Manager aktiviert das IVE die Version, die der ersten Rolle
entspricht, für die diese Funktion aktiviert ist. Außerdem führt das IVE die
Einstellungen aller Rollen zusammen, die der ausgewählten Version entsprechen.
Im Fall von Benutzeroberflächenoptionen wendet das IVE die Einstellungen an,
die mit der ersten Rolle des Benutzers übereinstimmen.
Bei Überschreitungen der Sitzungsdauer wendet das IVE den höchsten Wert
aller Rollen auf die Benutzersitzung an.
Ist die Funktion Roaming Session für mehrere Rollen aktiviert, führt das IVE
die Netzmasken zusammen, um die Netzmaske für die Sitzung zu erweitern.
Beim Zusammenführen von zwei Rollen, denen der Benutzer zugeordnet ist
(einer, bei der Lesezeichen in einem neuen Fenster geöffnet werden, und einer
anderen, durch die Lesezeichen in demselben Fenster geöffnet werden), öffnet
die kombinierte Rolle Lesezeichen in demselben Fenster.
Wenn Sie zwei Rollen zusammenführen, von denen die erste die
Browsersymbolleiste deaktiviert und die zweite die gerahmte oder StandardSymbolleiste aktiviert, werden von der kombinierten Rolle die Einstellungen der
zweiten Rolle übernommen und die festgelegte Browsersymbolleiste angezeigt.
Die zusammengeführte Rolle verwendet den höchsten für HTTP Connection
Timeout auf der Seite Users > User Roles > Rolle auswählen > Web >
Options angegebenen Wert.
Konfigurieren von Benutzerrollen
So erstellen Sie eine Benutzerrolle:
1. Wählen Sie in der Administratorkonsole Users > User Roles.
2.
Klicken Sie auf New Role, und geben Sie einen Namen und optional eine
Beschreibung ein. Dieser Name wird auf der Seite Roles in der Liste Roles angezeigt.
Nachdem Sie eine Rolle erstellt haben, können Sie auf den Namen der Rolle klicken
und mit ihrer Konfiguration beginnen. Verwenden Sie dazu die Anweisungen in den
folgenden Abschnitten:
56
„Konfigurieren allgemeiner Rollenoptionen“ auf Seite 57
„Konfigurieren von Rolleneinschränkungen“ auf Seite 58
„Festlegen von rollenbasierten Quell-IP-Aliasen“ auf Seite 59
„Festlegen von Sitzungsoptionen“ auf Seite 60
„Festlegen von benutzerdefinierten Benutzeroberflächeneinstellungen“ auf
Seite 63
„Festlegen von Standardoptionen für Benutzerrollen“ auf Seite 68
Konfigurieren von Benutzerrollen
Kapitel 4: Benutzerrollen
HINWEIS:
Beim Löschen einer Rolle können die persönlichen Lesezeichen, SAMEinstellungen und andere Einstellungen unter Umständen nicht entfernt
werden. Daher können, wenn Sie eine neue Rolle mit dem gleichen Namen
hinzufügen, der neuen Rolle hinzugefügte Benutzer eventuell die alten
Lesezeichen und Einstellungen erlangen. Im Allgemeinen erzwingt das IVE
Regeln zur referenziellen Integrität und gestattet das Löschen von Objekten,
auf die an anderer Stelle verwiesen wird, nicht. Wenn beispielsweise eine
Rolle in einer der Rollenzuordnungsregeln des Bereichs verwendet wird,
verweigert das IVE das Löschen der Rolle, wenn Sie die
Rollenzuordnungsregeln nicht ändern oder löschen.
Zur Erstellung einzelner Benutzerkonten müssen Sie die Benutzer über den
entsprechenden Authentifizierungsserver (nicht die Rolle) hinzufügen.
Anweisungen erhalten Sie unter „Erstellen von Benutzerkonten auf einem
lokalen Authentifizierungsserver“ auf Seite 124 für lokale
Authentifizierungsserver. Anweisungen zur Erstellung von Benutzern auf
Servern von Drittanbietern finden Sie auch in der mit dem Produkt
mitgelieferten Dokumentation.
Konfigurieren allgemeiner Rollenoptionen
Auf der Registerkarte Overview können Sie den Namen und die Beschreibung von
Rollen bearbeiten, Sitzungs- und Benutzeroberflächenoptionen an- und ausschalten
sowie Zugriffsfunktionen aktivieren. Wenn Sie eine Zugriffsfunktion aktivieren,
müssen Sie auch entsprechende Ressourcenrichtlinien erstellen.
So verwalten Sie allgemeine Einstellungen und Optionen für Rollen:
1. Wählen Sie in der Administratorkonsole Users > User Roles > Rollenname >
General > Overview.
2. Überprüfen Sie den Namen und die Beschreibung, und klicken Sie
anschließend auf Save Changes. (Dies ist optional.)
3. Aktivieren Sie unter Options die rollenspezifischen Optionen, die Sie für die
Rolle verwenden möchten. Werden keine rollenspezifischen Optionen
ausgewählt, verwendet das IVE die Standardeinstellungen (siehe „Festlegen von
Standardoptionen für Benutzerrollen“ auf Seite 68). Rollenspezifische Optionen
umfassen Folgendes:
VLAN/Source IP – Wählen Sie diese Option aus, um die auf der
Registerkarte General > VLAN/Source IP konfigurierten Einstellungen auf
die Rolle anzuwenden. Weitere Informationen finden Sie unter „Festlegen
von rollenbasierten Quell-IP-Aliasen“ auf Seite 59.
Session Options – Wählen Sie diese Option aus, um die Einstellungen auf
der Registerkarte General > Session Options auf die Rolle anzuwenden.
Weitere Informationen finden Sie unter „Festlegen von Sitzungsoptionen“
auf Seite 60.
Konfigurieren von Benutzerrollen
57
Juniper Networks Secure Access – Administratorhandbuch
UI Options – Wählen Sie diese Option aus, um die Einstellungen auf der
Registerkarte General > UI Options auf die Rolle anzuwenden. Weitere
Informationen finden Sie unter „Festlegen von benutzerdefinierten
Benutzeroberflächeneinstellungen“ auf Seite 63.
4. Aktivieren Sie unter Access features die für die Rolle vorgesehenen
Funktionen. Folgende Optionen stehen zur Verfügung:
Web – Weitere Informationen hierzu finden Sie unter „Neuschreiben von
Webinhalt“ auf Seite 299.
Files (Windows- oder UNIX/NFS-Version) – Weitere Informationen finden
Sie unter „Neuschreiben von Dateien“ auf Seite 401
Secure Application Manager (Windows- oder Java-Version) – Weitere
Informationen finden Sie unter „Secure Application Manager“ auf Seite 427
Telnet/SSH – Weitere Informationen hierzu finden Sie unter „Telnet/SSH“
auf Seite 485.
Terminal Services – Weitere Informationen hierzu finden Sie unter
„Terminal Services“ auf Seite 497.
Meetings – Weitere Informationen hierzu finden Sie unter „Secure
Meeting“ auf Seite 531.
Email Client – Weitere Informationen hierzu finden Sie unter „E-MailClient“ auf Seite 553.
Network Connect – Weitere Informationen hierzu finden Sie unter
„Network Connect“ auf Seite 561.
5. Klicken Sie auf Save Changes, um die Einstellungen auf die Rolle anzuwenden.
Konfigurieren von Rolleneinschränkungen
Auf der Registerkarte Restrictions können Sie Zugriffsverwaltungsoptionen für die
Rolle festlegen. Das IVE berücksichtigt diese Beschränkungen, wenn es ermittelt, ob
ein Benutzer einer Rolle zugeordnet wird. Benutzer werden der Rolle vom IVE nur
dann zugeordnet, wenn Sie die angegebenen Beschränkungen erfüllen. Weitere
Informationen finden Sie unter „Allgemeine Zugriffsverwaltung“ auf Seite 35.
Für die Rolle kann eine beliebige Anzahl von Zugriffsverwaltungsoptionen
konfiguriert werden. Wenn ein Benutzer nicht alle Beschränkungen erfüllt, ordnet
das IVE ihn der Rolle nicht zu.
So legen Sie Zugriffsverwaltungsoptionen für die Rolle fest:
1. Wählen Sie in der Administratorkonsole Users > User Roles > Rollenname >
General > Restrictions.
58
Konfigurieren von Benutzerrollen
Kapitel 4: Benutzerrollen
2. Klicken Sie auf die Registerkarte der Option, die Sie für die Rolle
konfigurieren möchten, und konfigurieren Sie sie gemäß den Anweisungen in
den folgenden Abschnitten:
„Angeben von Quell-IP-Zugriffseinschränkungen“ auf Seite 45
„Angeben von Browserzugriffseinschränkungen“ auf Seite 47
„Angeben von Zertifikatzugriffseinschränkungen“ auf Seite 49
„Angeben von Kennwortzugriffseinschränkungen“ auf Seite 51
„Angeben von Host Checker-Zugriffseinschränkungen“ auf Seite 52
„Angeben von Cache Cleaner-Zugriffseinschränkungen“ auf Seite 52
Festlegen von rollenbasierten Quell-IP-Aliasen
Auf der Registerkarte VLAN/Source IP können Sie rollenbasierte Quell-IPAliasnamen festlegen. Wenn Sie den Verkehr basierend auf Rollen an bestimmte
Sites senden möchten, können Sie für jede Rolle einen Quell-IP-Alias definieren. Sie
verwenden diese Aliase zum Konfigurieren virtueller Ports, die Sie für die IPQuelladresse der internen Schnittstelle definieren. Ein Back-End-Gerät kann den
Endbenutzerverkehr basierend auf diesen Aliasen senden, solange Sie das BackEnd-Gerät (z.B. eine Firewall) so konfigurieren, dass anstatt der IP-Quelladresse der
internen Schnittstelle die Aliase erwartet werden. Diese Funktion ermöglicht Ihnen
das Zuweisen verschiedener Endbenutzer zu definierten Sites basierend auf ihren
Rollen, auch wenn der gesamte Endbenutzerverkehr dieselbe IP-Quelladresse der
internen Schnittstelle besitzt.
HINWEIS: Für die Verwendung von rollenbasierten Quell-IP-Aliasen müssen Sie
virtuelle Ports definieren. Weitere Informationen zu virtuellen Ports finden Sie
unter „Konfigurieren interner und externer Ports“ auf Seite 603 und
„Konfigurieren virtueller Ports“ auf Seite 609.
So legen Sie einen Quell-IP-Alias für die Rolle fest:
1. Wählen Sie in der Administratorkonsole Users > User Roles > Rollenname >
General > VLAN/Source IP.
2. Sind auf dem System VLAN-Ports festgelegt, wählen Sie das gewünschte VLAN
im Dropdownmenü VLAN aus.
Wurden keine VLAN-Ports festgelegt, wird für die Option standardmäßig die IPAdresse für den internen Port verwendet. Verfügen Sie über bereitgestellte IVSSysteme, wurden VLAN-Ports festgelegt und sollen alle VLAN-Ports in diesem
Dropdownmenü angezeigt werden, müssen die VLAN-Ports auf der Stamm-IVSKonfigurationsseite im Textfeld Selected VLANs eingetragen werden.
3. Wählen Sie im Dropdownmenü eine Quell-IP-Adresse aus.
Konfigurieren von Benutzerrollen
59
Juniper Networks Secure Access – Administratorhandbuch
4. Klicken Sie auf Save Changes, um die Einstellungen auf die Rolle anzuwenden.
HINWEIS:
Wenn ein Endbenutzer mehreren Rollen zugeordnet ist und das IVE Rollen
zusammenführt, ordnet das IVE die für die erste Rolle konfigurierte Quell-IPAdresse in der Liste der zusammengeführten Rolle zu.
Eine Quell-IP-Adresse kann für mehrere Rollen angegeben werden. Es ist
jedoch nicht möglich, mehrere Quell-IP-Adressen für eine Rolle anzugeben.
Festlegen von Sitzungsoptionen
Auf der Registerkarte Session können Sie Sitzungszeitbegrenzungen,
Roamingfunktionen, die Sitzungs- und Kennwortbeständigkeit, Optionen zur
Anforderungsverfolgung sowie Anwendungsaktivitäten bei
Leerlaufzeitüberschreitungen festlegen. Aktivieren Sie auf der Registerkarte
Overview das Kontrollkästchen Session Options, um diese Einstellungen für die
Rolle zu aktivieren.
So legen Sie allgemeine Sitzungsoptionen fest:
1. Wählen Sie in der Administratorkonsole Users > User Roles > Rollenname >
General > Session Options.
2. Geben Sie unter Session Lifetime Werte für folgende Optionen an:
60
Konfigurieren von Benutzerrollen
Idle Timeout – Geben Sie die Anzahl der Minuten an, die sich eine nicht
administrative Benutzersitzung im Leerlauf befinden kann, bevor sie
beendet wird. Die Mindestzeit beträgt drei Minuten. Die
Leerlaufzeitbegrenzung für Sitzungen beträgt in der Standardeinstellung
zehn Minuten, d. h., eine Benutzersitzung, die zehn Minuten lang inaktiv
ist, wird vom IVE beendet, und das Ereignis wird im Systemprotokoll
protokolliert (sofern Sie nicht die unten beschriebenen Warnungen bei
Sitzungszeitüberschreitung aktivieren).
Max. Session Length – Geben Sie die Anzahl der Minuten an, die eine aktive
nicht administrative Benutzersitzung geöffnet bleiben kann, bevor sie beendet
wird. Die Mindestzeit beträgt drei Minuten. Die Standardzeitbegrenzung für
eine Benutzersitzung beträgt sechzig Minuten. Nach dieser Zeitspanne beendet
das IVE die Benutzersitzung und protokolliert das Ereignis im Systemprotokoll.
Während einer Endbenutzersitzung fordert das IVE den Benutzer vor dem
Ablauf der maximalen Sitzungsdauer auf, die Authentifizierungsanmeldedaten
erneut einzugeben. Auf diese Weise wird die Benutzersitzung nicht einfach
ohne Warnung beendet.
Kapitel 4: Benutzerrollen
Reminder Time – Geben Sie den Zeitpunkt an, zu dem das IVE Benutzer
(außer Administratoren) wegen einer bevorstehenden Sitzungs- oder
Leerlaufzeitüberschreitung warnen soll. Geben Sie die Anzahl von Minuten
vor Erreichen der Überschreitung an.
HINWEIS: Bei der Verwendung von Secure Meeting können Sie auf der Seite Users >
Resource Policies > Meetings der Administratorkonsole
Konferenzsitzungsbegrenzungen konfigurieren. Weitere Informationen finden Sie
unter „Definieren von Ressourcenrichtlinien: Secure Meeting“ auf Seite 548.
3. Gehen Sie unter Enable session timeout warning folgendermaßen vor:
a.
Wählen Sie die Option Enabled aus, um Benutzer ohne
Administratorberechtigungen über das Erreichen eines Sitzungs- oder
Leerlaufzeitlimits zu benachrichtigen.
In diesen Warnungen werden Benutzer aufgefordert, kurz vor Erreichen der
Sitzungsbegrenzung oder des Leerlaufzeitlimits eine geeignete Aktion
durchzuführen, um gerade in Verarbeitung befindliche Formulardaten
speichern zu können, die andernfalls verloren gehen würden. Benutzer, die
sich dem Leerlaufzeitlimit nähern, werden zum Reaktivieren der Sitzung
aufgefordert. Benutzer, die sich der Sitzungszeitbegrenzung nähern,
werden zum Speichern der Daten aufgefordert.
Ein IVE-Benutzer kann z.B. bei der Arbeit mit einem für die Zusammenarbeit
mit dem IVE konfigurierten E-Mail-Client unwissentlich das Leerlaufzeitlimit
für seine Rolle erreichen, da das IVE während des Verfassens der E-Mail
keine Daten empfängt. Wenn Warnungen bei Sitzungszeitüberschreitung
aktiviert sind, fordert das IVE den Benutzer jedoch auf, die IVE-Sitzung vor
Ablauf der Zeitbegrenzung zu reaktivieren und erzwingt das Beenden der
IVE-Sitzung des Benutzers. Diese Warnung gibt dem Benutzer die
Möglichkeit, die teilweise verfasste E-Mail zu speichern.
b.
Aktivieren Sie das Kontrollkästchen Display sign-in page on max session
time out, um dem Endbenutzer bei Ablauf der Sitzungszeit eine neue
Browseranmeldeseite anzuzeigen. Diese Option wird nur dann angezeigt,
wenn Sie die Warnung bei Sitzungszeitüberschreitung aktivieren.
HINWEIS:
Wenn Sie diese Option nicht auswählen, zeigt das IVE die Ablaufmeldungen
den Benutzern nur an, und gibt Ihnen keine Möglichkeit, ihre Sitzungen zu
verlängern. Stattdessen müssen die Benutzer die IVE-Anmeldeseite aufrufen
und eine neue Sitzung authentifizieren.
Diese Option gilt nur für vom Browser des Endbenutzers, nicht von anderen
Clients wie WSAM oder Network Connect, angezeigte Ablaufmeldungen.
Konfigurieren von Benutzerrollen
61
Juniper Networks Secure Access – Administratorhandbuch
4. Geben Sie unter Roaming session Folgendes an:
Enabled – Ermöglicht Roamingbenutzersitzungen für Benutzer, die dieser
Rolle zugeordnet sind. Eine Roamingbenutzersitzung funktioniert über
Quell-IP-Adressen, wodurch sich mobile Benutzer (Benutzer von Laptops)
mit dynamischen IP-Adressen von einem Standort aus beim IVE anmelden
können und ihre Arbeit von einem anderen Standort fortsetzen können.
Einige Browser weisen jedoch eventuell Schwachstellen auf, über die durch
bösartigen Code Benutzercookies gestohlen werden können. Ein
böswilliger Benutzer kann dann ein gestohlenes IVE-Sitzungscookie
verwenden, um sich beim IVE anzumelden.
Limit to subnet – Beschränkt die Roamingsitzung auf das lokale Subnetz,
das im Feld Netmask angegeben ist. Benutzer können sich von einer IPAdresse aus anmelden und ihre Sitzungen mit einer anderen IP-Adresse
fortsetzen, sofern sich die neue IP-Adresse in demselben Subnetz befindet.
Disabled – Mit dieser Option werden Roamingbenutzersitzungen für
Benutzer, die dieser Rolle zugeordnet sind, deaktiviert. Benutzer, die sich
von einer IP-Adresse aus anmelden, können eine aktive IVE-Sitzung nicht
von einer anderen IP-Adresse aus fortsetzen. Benutzersitzungen sind an die
ursprüngliche Quell-IP-Adresse gebunden.
5. Wählen Sie unter Persistent session die Option Enabled aus, um das IVESitzungscookie auf die Festplatte des Clients zu schreiben, sodass die
Anmeldeinformationen des IVE-Benutzers für die Dauer der IVE-Sitzung
gespeichert werden.
Standardmäßig wird das IVE-Sitzungscookie aus dem Speicher des Browsers
gelöscht, wenn der Browser geschlossen wird. Die IVE-Sitzungsdauer wird
sowohl vom Wert des Leerlaufzeitlimits als auch dem Wert der
Höchstsitzungsdauer bestimmt, die Sie für die Rolle angeben. Die IVE-Sitzung
wird nicht beendet, wenn ein Benutzer den Browser schließt. Eine IVE-Sitzung
wird erst dann beendet, wenn sich ein Benutzer vom IVE abmeldet.
HINWEIS: Wird die Option Persistent session ausgewählt und schließt ein Benutzer
das Browserfenster, ohne sich abzumelden, kann jeder beliebige Benutzer eine
andere Instanz desselben Browsers öffnen, um auf das IVE zuzugreifen, ohne
gültige Anmeldedaten zu senden, wodurch ein potentielles Sicherheitsrisiko
entsteht. Wir empfehlen, diese Funktion nur für Rollen zu aktivieren, deren
Mitglieder den Zugriff auf Anwendungen benötigen, für die IVE-Anmeldedaten
erforderlich sind. Zudem sollten Sie dafür sorgen, dass sich diese Benutzer der
Bedeutung der Abmeldung vom IVE nach Abschluss der Sitzung bewusst sind.
6. Aktivieren Sie unter Persistent password caching die Option Enabled, damit
zwischengespeicherte Kennwörter über mehrere Sitzungen für eine Rolle
erhalten bleiben können.
62
Konfigurieren von Benutzerrollen
Kapitel 4: Benutzerrollen
Das IVE unterstützt die NTLM- und HTTP-Standardauthentifizierung sowie
Server, die sowohl für NTLM-Anmeldungen als auch für anonyme Anmeldungen
eingerichtet sind. Das IVE speichert von Benutzern eingegebene Kennwörter
für die NTLM- und HTTP-Standardauthentifizierung im Cache, sodass die
Benutzer nicht wiederholt aufgefordert werden, die Anmeldedaten einzugeben,
die bereits bei der Anmeldung am IVE-Server oder einer anderen Ressource in
der NT-Domäne verwendet wurden. Standardmäßig leert der IVE-Server
zwischengespeicherte Kennwörter aus dem Cache, wenn sich ein Benutzer
abmeldet. Ein Benutzer kann zwischengespeicherte Kennwörter über die Seite
Advanced Preferences löschen.
7. Wählen Sie unter Browser request follow-through die Option Enabled aus,
sodass vom IVE Benutzeranforderungen verarbeitet werden können, die nach
Ablauf einer Benutzersitzung und erneuter Authentifizierung des Benutzers
vorgenommen wurden.
8. Wählen Sie unter Idle timeout application activity die Option Enabled, damit
durch Webanwendungen initiierte Aktivitäten (wie E-Mail-Abfragen) ignoriert
werden, wenn ermittelt werden soll, ob eine Sitzung aktiv ist. Wenn Sie diese
Option deaktivieren, kann durch regelmäßiges Ausführen von Ping-Befehlen
oder durch andere Anwendungsaktivitäten das Überschreiten eines
Leerlaufzeitlimits verhindert werden.
9. Wählen Sie unter Upload Logs die Option Enable Upload Logs aus, um Benutzern
das Übertragen (Hochladen) von Clientprotokollen auf das IVE zu ermöglichen.
HINWEIS: Aktivieren Sie zudem auf der Seite System > Log/Monitoring > Client
Logs > Settings clientseitige Protokolle, um diese Option den Benutzern
vollständig zur Verfügung zu stellen. Weitere Informationen finden Sie unter
„Aktivieren von clientseitigen Protokollen“ auf Seite 731.
10. Klicken Sie auf Save Changes, um die Einstellungen auf die Rolle anzuwenden.
Festlegen von benutzerdefinierten Benutzeroberflächeneinstellungen
Auf der Registerkarte UI Options können Sie benutzerdefinierte Einstellungen für die
IVE-Willkommensseite von Benutzern angeben, die dieser Rolle zugeordnet sind. Die
IVE-Willkommensseite (oder Startseite) ist die Weboberfläche, die authentifizierten
IVE-Benutzern angezeigt wird. Aktivieren Sie auf der Registerkarte Overview das
Kontrollkästchen UI Options, um benutzerdefinierte Einstellungen für die Rolle zu
aktivieren. Andernfalls verwendet das IVE die Standardeinstellungen.
Individuelle Einstellungen, einschließlich Anmeldeseite, Kopf- und Fußzeile der
Seiten sowie Anzeige der Browsing-Symbolleiste. Wenn der Benutzer mehreren
Rollen zugeordnet ist, zeigt das IVE die Benutzeroberfläche entsprechend der ersten
Rolle an, der der Benutzer zugeordnet wurde.
So passen Sie die IVE-Willkommensseite für Benutzer mit Rollen an:
1. Wählen Sie Users > User Roles > RollenName > General > UI Options aus.
Konfigurieren von Benutzerrollen
63
Juniper Networks Secure Access – Administratorhandbuch
2. Legen Sie unter Header ein benutzerdefiniertes Logo und eine alternative
Hintergrundfarbe für den Kopfbereich der IVE-Willkommensseite fest (optional):
Klicken Sie auf die Schaltfläche Browse, und machen Sie die
benutzerdefinierte Bilddatei ausfindig. Im Fenster Current appearance
wird das neue Logo erst nach Speichern der Änderungen angezeigt.
HINWEIS: Für ein benutzerdefiniertes Logo kann nur eine JPEG- oder GIF-Datei
angegeben werden. Andere Grafikformate werden auf einigen
Betriebssystemplattformen im JSAM-Statusfenster nicht korrekt dargestellt.
Geben Sie die Hexadezimalzahl für die Hintergrundfarbe ein, oder klicken
Sie auf das Symbol Color Palette, und wählen Sie die gewünschte Farbe
aus. Das Fenster Current appearance wird umgehend aktualisiert.
3. Wählen Sie unter Sub-headers neue Hintergrund- und Textfarben aus (optional):
Geben Sie die Hexadezimalzahl für Background color ein, oder klicken Sie
auf das Symbol Color Palette, und wählen Sie die gewünschte Farbe aus.
Das Fenster Current appearance wird umgehend aktualisiert.
Geben Sie die Hexadezimalzahl für Text color ein, oder klicken Sie auf das
Symbol Color Palette, und wählen Sie die gewünschte Farbe aus. Das
Fenster Current appearance wird umgehend aktualisiert.
4. Geben Sie unter Start page die Startseite an, die Benutzern angezeigt werden
soll, wenn sie nach der Anmeldung auf der Symbolleiste auf Home klicken:
Bookmarks page – Bei Auswahl dieser Option wird die standardmäßige
IVE-Lesezeichenseite angezeigt.
Custom page – Wählen Sie diese Option, wenn eine benutzerdefinierte
Startseite angezeigt werden soll, und legen Sie dann die URL der Seite fest.
Das IVE schreibt die URL neu und erstellt eine Zugriffssteuerungsregel, um
Benutzern den Zugriff auf die URL zu gewähren. (Benutzer können die
benutzerdefinierte URL auch in das IVE-Navigationsfeld auf der Symbolleiste
eingeben.) Das IVE wertet die Zugriffssteuerungsregel nach allen anderen
Regeln aus, d. h., eine andere Richtlinie kann den Zugriff auf die URL
verweigern.
Also allow access to directories below this url – Wählen Sie diese Option
aus, um Benutzern den Zugriff auf die Unterverzeichnisse der
benutzerdefinierten -Seiten-URL zu ermöglichen. Bei Angabe von
http://www.domain.com/ können Benutzer auch auf
http://www.domain.com/dept/ zugreifen.
5. Ordnen Sie unter Bookmarks Panel Arrangement die Fenster so an, wie sie
auf der Lesezeichenseite des Benutzers angezeigt werden sollen:
a.
64
Konfigurieren von Benutzerrollen
Wählen Sie in der Liste Left Column oder Right Column den Namen eines
Fensters aus.
Kapitel 4: Benutzerrollen
b.
Klicken Sie zum Anordnen eines Fensters über oder unter den anderen
Fenstern auf Move Up oder Move Down.
c.
Wenn Sie das Fenster auf die andere Seite der Lesezeichenseite des
Benutzers verschieben möchten, klicken Sie auf Move > oder < Move.
HINWEIS: Das IVE zeigt unter Bookmarks Panel Arrangement die Fenster für alle
lizenzierten Funktionen an, unabhängig davon, ob Sie die entsprechende Funktion
oder Rolle aktivieren.
6. Wählen Sie unter Help page Optionen zum Steuern der über die Schaltfläche
„Help“ auf der Symbolleiste aufgerufenen Hilfeseite auf:
Disable help link – Wählen Sie diese Option, um zu verhindern, dass
Benutzer die Hilfe anzeigen, indem Sie die Hilfeschaltfläche von der
Symbolleiste entfernen.
Standard help page – Bei Auswahl dieser Option wird die standardmäßige
IVE-Endbenutzerhilfe angezeigt.
Custom help page – Wählen Sie diese Option, wenn eine
benutzerdefinierte Hilfeseite angezeigt werden soll. Geben Sie die URL der
benutzerdefinierten Hilfeseite an, und legen Sie dann ggf. die Breite und
Höhe für das Fenster der Hilfeseite fest. Das IVE schreibt die URL neu und
erstellt eine Zugriffssteuerungsregel, um Benutzern den Zugriff auf die URL
zu gewähren. (Benutzer können die benutzerdefinierte URL auch in das
IVE-Navigationsfeld auf der Symbolleiste eingeben.) Das IVE wertet die
Zugriffssteuerungsregel nach allen anderen Regeln aus, d. h., eine andere
Richtlinie kann den Zugriff auf die URL verweigern. (Wenn Sie diese Option
auswählen, deaktiviert das IVE den Link Tips neben dem Feld „Browse“.)
Also allow access to directories below this url – Wählen Sie diese Option
aus, um Benutzern den Zugriff auf die Unterverzeichnisse der URL der
benutzerdefinierten -Hilfeseite zu ermöglichen. Bei Angabe von
http://www.domain.com/help können Benutzer auch auf
http://www.domain.com/help/pdf/ zugreifen.
7. Wählen Sie unter User toolbar Optionen für die Symbolleiste auf der IVELesezeichenseite und anderen sicheren Gatewayseiten auf dem IVE aus:
Home – Wählen Sie diese Option aus, um das Startsymbol auf der IVELesezeichenseite und anderen sicheren Gatewayseiten auf dem IVE
anzuzeigen:
Preferences – Bei Auswahl dieser Option wird die Schaltfläche Preferences
angezeigt.
Session Counter – Bei Auswahl dieser Option wird ein Zeitwert auf der
Benutzersymbolleiste angezeigt, der die maximal verbleibende Zeit in der
aktuellen Sitzung des Benutzers angibt. Beachten Sie, dass eine
Benutzerinaktivität die aktuelle Sitzung auch beenden kann, bevor diese
maximal verbleibende Zeit abläuft.
Konfigurieren von Benutzerrollen
65
Juniper Networks Secure Access – Administratorhandbuch
Client Application Sessions – Bei Auswahl dieser Option wird die
Schaltfläche Client Apps auf der Symbolleiste des Benutzers angezeigt.
Über diese Schaltfläche können Benutzer die Seite Client Application
Sessions aufrufen, auf der Sie Clientanwendungen wie Network Connect
oder Secure Application Manager starten können. Wenn Sie diese Option
nicht auswählen, zeigt das IVE das Fenster Client Application Sessions auf
der IVE-Lesezeichenseite an.
8. Wählen Sie unter Browsing toolbar Optionen für die Symbolleiste aus, die
angezeigt wird, wenn Benutzer Seiten außerhalb des IVE durchsuchen, z.B.
externe Websites:
66
Konfigurieren von Benutzerrollen
Show the browsing toolbar – Bei Auswahl dieser Option wird die
Navigationssymbolleiste Show the browsing toolbar angezeigt.
Toolbar type – Wählen Sie den gewünschten Navigationssymbolleistentyp aus:
Standard – Benutzer können diese Symbolleiste an die obere linke
oder rechte Seite des Browserfensters verschieben. Zudem können
Benutzer die Symbolleiste reduzieren und erweitern. Wenn die
Symbolleiste reduziert ist, wird nur das benutzerdefinierte Logo
angezeigt. Standardmäßig wird die Symbolleiste erweitert oben rechts
im Browserfenster angezeigt.
Framed – Diese Symbolleiste wird in einem gerahmten Abschnitt oben
auf der Seite fixiert.
Toolbar logo und Toolbar logo (mobile) – Geben Sie ein benutzerdefiniertes
Logo an (z.B. das Logo Ihrer Firma), das auf der Standardsymbolleiste und der
fixierten Symbolleiste angezeigt werden soll. Wählen Sie hierzu die Bilddatei aus
(optional). Wenn der Benutzer auf das Logo klickt, wird die für Logo links to
angegebene Seite angezeigt. Das aktuelle Logo für die Navigationssymbolleiste
wird neben diesen Optionen angezeigt.
Logo links to – Wählen Sie eine Option aus, um das Logo der
Navigationssymbolleiste mit einer beim Klicken auf das Logo angezeigten
Seite zu verknüpfen:
Bookmarks page – Verknüpft das Logo mit der IVE-Lesezeichenseite.
„Start Page“ settings – Stellt für das Logo eine Verknüpfung zur im
Abschnitt Start Page angegebenen benutzerdefinierten Startseite her.
Custom URL – Verknüpft das Logo mit der im zugehörigen Textfeld
eingegebenen URL (optional). Diese Ressource muss für das IVE
zugänglich sein. Das IVE schreibt die URL neu und erstellt eine
Zugriffssteuerungsregel, um Benutzern den Zugriff auf die URL zu
gewähren. (Benutzer können die benutzerdefinierte URL auch in das
IVE-Navigationsfeld auf der Symbolleiste eingeben.) Das IVE wertet die
Zugriffssteuerungsregel nach allen anderen Regeln aus, d. h., eine
andere Richtlinie kann den Zugriff auf die URL verweigern.
Also allow access to directories below this url – Wählen Sie diese
Option aus, um Benutzern den Zugriff auf die Unterverzeichnisse der
benutzerdefinierten URL zu ermöglichen.
Kapitel 4: Benutzerrollen
Legen Sie die auf der Navigationssymbolleiste anzuzeigenden Elemente fest:
Enable „Home“ link – Wählen Sie diese Option zum Anzeigen der mit
der IVE-Lesezeichenseite verknüpften Schaltfläche Home Page aus.
Enable „Add Bookmark“ link – Bei Auswahl dieser Option wird die
Schaltfläche Bookmark this Page angezeigt.
Enable „Bookmark Favorites“ link – Bei Auswahl dieser Option wird
die Schaltfläche Bookmark Favorites angezeigt. Wenn der Benutzer
auf diese Schaltfläche klickt, zeigt das IVE eine Dropdownliste der
Lesezeichen an, die der Benutzer auf der Seite Add Web Bookmark
des sicheren Gateways als Favoriten festgelegt hat.
Display Session Counter – Bei Auswahl dieser Option wird ein
Zeitwert auf der Navigationssymbolleiste angezeigt, der die maximal
verbleibende Zeit in der aktuellen Sitzung des Benutzers angibt.
Beachten Sie, dass eine Benutzerinaktivität die aktuelle Sitzung auch
beenden kann, bevor diese maximal verbleibende Zeit abläuft.
Enable „Help“ link – Wählen Sie diese Option zum Anzeigen der
Schaltfläche Help aus, die mit der unter Help page angegebenen
Hilfeseite verknüpft ist.
HINWEIS: Wird die Auswahl der Option User can add bookmarks auf der Seite
Users > User Roles > RollenName > Web > Options aufgehoben, zeigt das IVE
auf der Navigationssymbolleiste nicht die Schaltflächen Bookmark this Page und
Bookmark Favorites an, und zwar unabhängig davon, ob die Optionen Enable
„Add Bookmark“ link und Enable „Bookmark Favorites“ link ausgewählt
wurden oder nicht.)
9. Legen Sie unter Personalized greeting eine Begrüßungs- und
Benachrichtigungsmeldung für die IVE-Lesezeichenseite fest (optional):
Wählen Sie Enabled aus, um die persönliche Begrüßung anzuzeigen. Das
IVE zeigt den Benutzernamen an, wenn der vollständige Name nicht
konfiguriert wurde.
Konfigurieren von Benutzerrollen
67
Juniper Networks Secure Access – Administratorhandbuch
Wählen Sie Show notification message, und geben Sie einen Meldungstext
in das entsprechende Textfeld ein (optional). Die Meldung wird oben auf
der IVE-Lesezeichenseite angezeigt, nachdem Sie die Änderungen
gespeichert haben und der Benutzer diese Seite aktualisiert. Sie können die
folgenden HTML-Tags verwenden, um den Text zu formatieren und Links
hinzuzufügen: <i>, <b>, <br>, <font> und <a href>. Allerdings schreibt das
IVE Links auf der Anmeldeseite (aufgrund der noch nicht erfolgten
Benutzerauthentifizierung) nicht neu. Folglich sollten Sie nur Verweise auf
externe Sites erstellen. Links zu Sites hinter einer Firewall funktionieren
nicht. Sie können auch die IVE-Systemvariablen und -attribute in diesem
Feld verwenden (siehe „Verwendung von Systemvariablen in Bereichen,
Rollen und Ressourcenrichtlinien“ auf Seite 929).
HINWEIS:
Die Länge der persönlichen Begrüßung darf nicht 12.000 bzw. 12.288 Zeichen
überschreiten.
Wenn Sie in der benutzerdefinierten Meldung nicht unterstützte HTML-Tags
verwenden, zeigt das IVE die IVE-Startseite des Benutzers möglicherweise
nicht korrekt an.
10. Legen Sie fest, ob der Copyright-Hinweis in der Fußzeile angezeigt wird
(optional). Diese Einstellung betrifft nur Benutzer, deren Lizenz das Ausblenden
des Copyright-Hinweises zulässt. Weitere Informationen über diese Funktion
erhalten Sie vom Juniper Networks-Support.
11. Klicken Sie auf Save Changes. Die Änderungen werden sofort wirksam, doch
möglicherweise muss bei den aktuellen Browsersitzungen von Benutzern eine
Aktualisierung durchgeführt werden, damit die Änderungen angezeigt werden.
12. Klicken Sie auf Restore Factory Defaults, um alle Optionen für die
Benutzeroberfläche auf die Standardeinstellungen zurückzusetzen (optional).
Festlegen von Standardoptionen für Benutzerrollen
Sie können Standardoptionen für alle Benutzerrollen genau so wie für delegierte
Administratorrollen festlegen. Die Optionen umfassen unter anderem die folgenden:
68
Konfigurieren von Benutzerrollen
Sitzungsoptionen
Session lifetime – Diese Option legt das Leerlaufzeitlimit und die
Höchstsitzungsdauer in Minuten fest.
Session timeout warning – Diese Option überprüft, ob die Warnmeldung
und die Anmeldeseite angezeigt werden.
Roaming session – Diese Option legt die Ebene des Mobilitätszugriffs fest.
Persistent session – Diese Option legt den Status für Browserinstanzen fest.
Cookie state at session termination – Diese Option definiert den
Cookiestatus.
Kapitel 4: Benutzerrollen
Persistent password caching – Diese Option definiert sitzungsübergreifend
den Kennwortstatus.
Browser request follow-through – Diese Option definiert die Reaktion auf
das Ablaufen der Browsersitzung.
Basic authentication intermediation – Diese Option definiert die
Vermittlung der Authentifizierung.
Idle timeout application activity – Diese Option definiert die IVE-Antwort
auf Aktivitäten bei Anwendungssitzungen.
Cache Cleaner frequency – Diese Option definiert die Frequenz der Cache
Cleaner-Überprüfung.
Optionen der Benutzeroberfläche
Header
Sub-headers
Start page
Bookmarks panel arrangement
Help page
User toolbar
Browsing toolbar
Personalized greeting
Festlegen von Standardoptionen für Benutzerrollen
So legen Sie die Standardoptionen für alle Benutzerrollen fest:
1. Wählen Sie Users > User Roles.
2. Klicken Sie auf Default Options.
3. Ändern Sie anhand der Anweisungen unter „Konfigurieren allgemeiner
Rollenoptionen“ auf Seite 57 und „Anpassen von Meldungen“ auf Seite 70 die
Einstellungen auf den Registerkarten Session Options, UI Options und
Custom Messages.
4. Klicken Sie auf Save Changes. Diese Einstellungen werden die neuen
Standardeinstellungen für alle neuen Benutzerrollen.
HINWEIS: Wenn der Copyright-Hinweis für Benutzerrollen ausgeblendet werden
soll, können Sie die Option auch allgemein in den Default Settings für
Benutzerrollen deaktivieren. Damit wird das Anzeigen des Hinweises auf der
Endbenutzeroberfläche in allen nachfolgend erstellten Rollen unterdrückt.
Konfigurieren von Benutzerrollen
69
Juniper Networks Secure Access – Administratorhandbuch
Anpassen von Meldungen
Sie können drei Grundmeldungen anpassen, die den Endbenutzern bei der
Anmeldung am IVE angezeigt werden können. Ändern Sie bei Bedarf den Text der
Meldung und fügen Sie zusätzlich zur englischen Version internationalisierte
Versionen von Meldungen in den Sprachen Chinesisch (Vereinfacht), Chinesisch
(Traditionell), Französisch, Deutsch, Japanisch, Koreanisch und Spanisch hinzu.
So passen Sie Meldungen an:
1. Wählen Sie Users > User Roles.
2. Klicken Sie auf der Seite Roles auf Default Options.
3. Wählen Sie die Registerkarte Custom Messages.
4. Wählen Sie die zu verwendende Sprache aus dem Dropdownmenü aus.
5. Geben Sie Ihren Text in das Feld Custom Message unter der Standardmeldung
ein, die Sie überschreiben möchten.
6. Klicken Sie auf Save Changes.
7. Wiederholen Sie die Schritte, um Meldungen in zusätzlichen Sprachen zu erstellen.
Benutzeroberflächen zur Anpassung der Benutzerrollen
Verwenden Sie die Anpassungsoptionen auf der Seite Roles, um einen schnellen
Überblick über die Einstellungen zu erhalten, die einer bestimmten Rolle oder
einem Satz von Rollen zugeordnet sind. Sie können beispielsweise alle
Benutzerrollen und alle Web-Lesezeichen anzeigen, die Sie diesen Benutzerrollen
zugeordnet haben. Darüber hinaus können Sie diese angepassten Ansichten
verwenden, um die Lesezeichen und andere einer Rolle zugeordnete
Konfigurationseinstellungen schnell aufzurufen.
So zeigen Sie einen Teil der Daten auf der Seite Roles an:
1. Navigieren Sie zu Users > User Roles.
2. Wählen Sie oben auf der Seite im Menü View eine Option aus. Weitere
Informationen zu diesen Optionen finden Sie unter Tabelle 3.
3. Wählen Sie aus der Liste for eine der folgenden Optionen aus:
70
All roles – Zeigt die ausgewählten Lesezeichen für alle Benutzerrollen an.
Selected roles – Zeigt die ausgewählten Lesezeichen für ausgewählte
Benutzerrollen an. Aktivieren Sie bei Auswahl dieser Option mindestens ein
Kontrollkästchen in der Liste Role.
Benutzeroberflächen zur Anpassung der Benutzerrollen
Kapitel 4: Benutzerrollen
4. Klicken Sie auf Update.
Tabelle 3: Anzeigen von Menüoptionen
Option
Beschreibung
Enabled Settings
Zeigt ein Diagramm mit den Remotezugriffsmechanismen und
allgemeinen Optionen an, die Sie für bestimmte Rolle aktiviert
haben. Zeigt auch Links an, (die Häkchen) mit denen auf die
entsprechenden Konfigurationsseiten für Remotezugriff und
allgemeine Optionen zugegriffen werden kann.
Restrictions
Zeigt Host Checker- und Cache Cleaner-Einschränkungen an, die Sie für
die angegebenen Rollen aktiviert haben. Darüber hinaus werden Links
angezeigt, über die Sie auf die entsprechenden Konfigurationsseiten für
Host Checker und Cache Cleaner zugreifen können.
Meetings
Zeigt Secure Meeting-Einstellungen an, die für die angegebenen
Rollen konfiguriert wurden. Darüber hinaus werden Links
angezeigt, über die Sie auf die entsprechenden Secure MeetingKonfigurationsseiten zugreifen können.
Network Connect
Zeigt Secure Meeting-Einstellungen an, die für die angegebenen
Rollen konfiguriert wurden. Darüber hinaus werden Links
angezeigt, über die Sie auf die entsprechenden Network ConnectKonfigurationsseiten zugreifen können.
Role Mapping Rule &
Realms
Zeigt die zugewiesenen Authentifizierungsbereiche,
Rollenzuordnungsbedingungen und permissiven
Zusammenführungseinstellungen für die angegebenen Rollen an. Zeigt
zudem Links an, über die auf die entsprechenden Konfigurationsseiten
für Bereichs- und Rollenzuordnung zugegriffen wird.
Bookmarks: All
Zeigt die Namen und Typen aller Lesezeichen an, die Sie für die
angegebenen Rollen aktiviert haben. Darüber hinaus werden Links
angezeigt, über die Sie auf die entsprechenden
Konfigurationsseiten für das Lesezeichen zugreifen können.
(Beachten Sie, dass der Link in der Spalte Resource angezeigt wird,
wenn das Lesezeichen über ein Ressourcenprofil erstellt wurde.
Andernfalls erscheint der Link in der Spalte Bookmark.)
Bookmarks: Web
Zeigt die Weblesezeichen an, die Sie für die angegebenen Rollen
aktiviert haben. Darüber hinaus werden Links angezeigt, über die
Sie auf die entsprechenden Konfigurationsseiten für das
Lesezeichen zugreifen können. (Beachten Sie, dass der Link in der
Spalte Resource angezeigt wird, wenn das Lesezeichen über ein
Ressourcenprofil erstellt wurde. Andernfalls erscheint der Link in
der Spalte Web Bookmark.)
Bookmarks: Files
(Windows)
Zeigt die Lesezeichen für Windows-Dateien an, die Sie für die
angegebenen Rollen aktiviert haben. Darüber hinaus werden Links
angezeigt, über die Sie auf die entsprechenden Konfigurationsseiten
für das Lesezeichen zugreifen können. (Beachten Sie, dass der Link
in der Spalte Resource angezeigt wird, wenn das Lesezeichen über
ein Ressourcenprofil erstellt wurde. Andernfalls erscheint der Link in
der Spalte Windows File Bookmark.)
Bookmarks: Files (UNIX)
Zeigt die Lesezeichen für UNIX-/NFS-Dateien an, die Sie für die
angegebenen Rollen aktiviert haben. Darüber hinaus werden Links
angezeigt, über die Sie auf die entsprechenden
Konfigurationsseiten für das Lesezeichen zugreifen können.
(Beachten Sie, dass der Link in der Spalte Resource angezeigt wird,
wenn das Lesezeichen über ein Ressourcenprofil erstellt wurde.
Andernfalls erscheint der Link in der Spalte UNIX File Bookmark.)
Benutzeroberflächen zur Anpassung der Benutzerrollen 71
Juniper Networks Secure Access – Administratorhandbuch
Tabelle 3: Anzeigen von Menüoptionen
72
Option
Beschreibung
Bookmarks: Telnet
Zeigt die Telnet/SSH-Lesezeichen an, die Sie für die angegebenen
Rollen aktiviert haben. Darüber hinaus werden Links angezeigt,
über die Sie auf die entsprechenden Konfigurationsseiten für das
Lesezeichen zugreifen können. (Beachten Sie, dass der Link in der
Spalte Resource angezeigt wird, wenn das Lesezeichen über ein
Ressourcenprofil erstellt wurde. Andernfalls erscheint der Link in
der Spalte Telnet/SSH Session.)
Bookmarks: Terminal
Services
Zeigt die Terminal Services-Lesezeichen an, die Sie für die
angegebenen Rollen aktiviert haben. Darüber hinaus werden Links
angezeigt, über die Sie auf die entsprechenden Konfigurationsseiten
für das Lesezeichen zugreifen können. (Beachten Sie, dass der Link
in der Spalte Resource angezeigt wird, wenn das Lesezeichen über
ein Ressourcenprofil erstellt wurde. Andernfalls erscheint der Link
in der Spalte Terminal Services Session.)
ACL Resource Policies: All
Zeigt die Ressourcenrichtlinien an, die den angegebenen Rollen
zugeordnet sind. Beinhaltet Typ, Name, Beschreibung, Aktion und
Ressourcen für jede Richtlinie. Darüber hinaus werden Links
angezeigt, über die Sie auf die entsprechenden
Konfigurationsseiten für Richtlinien zugreifen können.
ACL Resource Policies:
Web
Zeigt die Webressourcenrichtlinien an, die den angegebenen Rollen
zugeordnet sind. Beinhaltet Typ, Name, Beschreibung, Aktion und
Ressourcen für jede Richtlinie. Darüber hinaus werden Links
angezeigt, über die Sie auf die entsprechenden
Konfigurationsseiten für Richtlinien zugreifen können.
ACL Resource Policies:
Files (Windows)
Zeigt die Ressourcenrichtlinien für Windows-Dateien an, die den
angegebenen Rollen zugeordnet sind. Beinhaltet Typ, Name,
Beschreibung, Aktion und Ressourcen für jede Richtlinie. Darüber
hinaus werden Links angezeigt, über die Sie auf die entsprechenden
Konfigurationsseiten für Richtlinien zugreifen können.
ACL Resource Policies:
Files (UNIX)
Zeigt die Ressourcenrichtlinien für UNIX-Dateien an, die den
angegebenen Rollen zugeordnet sind. Beinhaltet Typ, Name,
Beschreibung, Aktion und Ressourcen für jede Richtlinie. Darüber
hinaus werden Links angezeigt, über die Sie auf die entsprechenden
Konfigurationsseiten für Richtlinien zugreifen können.
ACL Resource Policies:
SAM
Zeigt die JSAM- und WSAM-Ressourcenrichtlinien an, die den
angegebenen Rollen zugeordnet sind. Beinhaltet Typ, Name,
Beschreibung, Aktion und Ressourcen für jede Richtlinie. Darüber
hinaus werden Links angezeigt, über die Sie auf die entsprechenden
Konfigurationsseiten für Richtlinien zugreifen können.
ACL Resource Policies:
Telnet
Zeigt die Telnet-/SSH-Ressourcenrichtlinien an, die den
angegebenen Rollen zugeordnet sind. Beinhaltet Typ, Name,
Beschreibung, Aktion und Ressourcen für jede Richtlinie. Darüber
hinaus werden Links angezeigt, über die Sie auf die entsprechenden
Konfigurationsseiten für Richtlinien zugreifen können.
ACL Resource Policies:
Terminal Services
Zeigt die Terminal Services-Ressourcenrichtlinien an, die den
angegebenen Rollen zugeordnet sind. Beinhaltet Typ, Name,
Beschreibung, Aktion und Ressourcen für jede Richtlinie. Darüber
hinaus werden Links angezeigt, über die Sie auf die entsprechenden
Konfigurationsseiten für Richtlinien zugreifen können.
ACL Resource Policies:
Network Connect
Zeigt die Network Connect-Ressourcenrichtlinien an, die den
angegebenen Rollen zugeordnet sind. Beinhaltet Typ, Name,
Beschreibung, Aktion und Ressourcen für jede Richtlinie. Darüber
hinaus werden Links angezeigt, über die Sie auf die entsprechenden
Konfigurationsseiten für Richtlinien zugreifen können.
Benutzeroberflächen zur Anpassung der Benutzerrollen
Kapitel 4: Benutzerrollen
Tabelle 3: Anzeigen von Menüoptionen
Option
Beschreibung
Resource Profiles: All
Zeigt die Ressourcenprofile an, die den angegebenen Rollen
zugeordnet sind. Beinhaltet Typ, Name, Lesezeichen und
unterstützende Richtlinien für jedes Profil. Darüber hinaus werden
Links angezeigt, über die Sie auf die entsprechenden
Konfigurationsseiten für Ressourcenprofile zugreifen können.
Resource Profiles: Web
Applications
Zeigt die Ressourcenprofile für Webanwendungen an, die den
angegebenen Rollen zugeordnet sind. Beinhaltet Name,
Lesezeichen und unterstützende Richtlinien für jedes Profil. Darüber
hinaus werden Links angezeigt, über die Sie auf die entsprechenden
Konfigurationsseiten für Ressourcenprofile zugreifen können.
Resource Profiles: Web
Hosted Java Applets
Zeigt die gehosteten Ressourcenprofile für Java-Applets an, die den
angegebenen Rollen zugeordnet sind. Beinhaltet Name,
Lesezeichen und unterstützende Richtlinien für jedes Profil. Darüber
hinaus werden Links angezeigt, über die Sie auf die entsprechenden
Konfigurationsseiten für Ressourcenprofile zugreifen können.
Resource Profiles: Files
(Windows)
Zeigt die Ressourcenprofile für Windows-Dateien an, die den
angegebenen Rollen zugeordnet sind. Beinhaltet Name,
Lesezeichen und unterstützende Richtlinien für jedes Profil. Darüber
hinaus werden Links angezeigt, über die Sie auf die entsprechenden
Konfigurationsseiten für Ressourcenprofile zugreifen können.
Resource Profiles: Files
(UNIX)
Zeigt die Ressourcenprofile für UNIX-Dateien an, die den
angegebenen Rollen zugeordnet sind. Beinhaltet Name,
Lesezeichen und unterstützende Richtlinien für jedes Profil. Darüber
hinaus werden Links angezeigt, über die Sie auf die entsprechenden
Konfigurationsseiten für Ressourcenprofile zugreifen können.
Resource Profiles: SAM
Client Applications
Zeigt die JSAM- und WSAM-Ressourcenprofile an, die den
angegebenen Rollen zugeordnet sind. Beinhaltet Name,
Lesezeichen und unterstützende Richtlinien für jedes Profil. Darüber
hinaus werden Links angezeigt, über die Sie auf die entsprechenden
Konfigurationsseiten für Ressourcenprofile zugreifen können.
Resource Profiles: SAM
WSAM destinations
Zeigt die Ressourcenprofile für WSAM-Ziele an, die den
angegebenen Rollen zugeordnet sind. Beinhaltet Name,
Lesezeichen und unterstützende Richtlinien für jedes Profil. Darüber
hinaus werden Links angezeigt, über die Sie auf die entsprechenden
Konfigurationsseiten für Ressourcenprofile zugreifen können.
Resource Profiles:
Telnet/SSH
Zeigt die Telnet/SSH-Ressourcenprofile an, die den angegebenen
Rollen zugeordnet sind. Beinhaltet Name, Lesezeichen und
unterstützende Richtlinien für jedes Profil. Darüber hinaus werden
Links angezeigt, über die Sie auf die entsprechenden
Konfigurationsseiten für Ressourcenprofile zugreifen können.
Resource Profiles:
Terminal Services
Zeigt die Terminal Services-Ressourcenprofile an, die den
angegebenen Rollen zugeordnet sind. Beinhaltet Name,
Lesezeichen und unterstützende Richtlinien für jedes Profil. Darüber
hinaus werden Links angezeigt, über die Sie auf die entsprechenden
Konfigurationsseiten für Ressourcenprofile zugreifen können.
Benutzeroberflächen zur Anpassung der Benutzerrollen 73
Juniper Networks Secure Access – Administratorhandbuch
74
Benutzeroberflächen zur Anpassung der Benutzerrollen
Kapitel 5
Ressourcenprofile
Ein Ressourcenprofil enthält alle Ressourcenrichtlinien, Rollenzuordnungen und
Endbenutzerlesezeichen, die für den Zugriff auf eine einzelne Ressource notwendig
sind. Die Ressourcenprofile vereinfachen die Ressourcenkonfiguration, indem sie
die für eine einzelne Ressource relevanten Einstellungen auf einer einzelnen Seite
in der Administratorkonsole zusammenfassen.
Das IVE verfügt über zwei Typen von Ressourcenprofilen:
Standardressourcenprofile ermöglichen das Konfigurieren der Einstellungen für
eine Vielzahl von Ressourcentypen, wie z.B. Websites, Client/Server-Anwendungen,
Verzeichnisserver und Terminalserver. Bei dieser Methode wählen Sie ein Profil, das
Ihrer einzelnen Ressource entspricht, und geben dann Informationen über die
Ressource an.
Ressourcenprofilvorlagen ermöglichen das Konfigurieren der Einstellungen für
bestimmte Anwendungen. Bei dieser Methode wählen Sie ein bestimmte
Anwendung (z.B. Citrix NFuse Version 4.0). Anschließend füllt das IVE eine Reihe
von Werten vorab für Sie aus. Diese basieren auf der ausgewählten Anwendung.
Bei Bedarf werden Sie aufgefordert, zusätzliche Einstellungen zu konfigurieren.
HINWEIS: Administratoren, die an frühere Versionen des IVE-Produkts (vor Version
5.3) gewöhnt sind, sollten wissen, dass die Verwendung der IVE-Umgebung für
Rollen- und Ressourcenrichtlinien zum Erstellen von Lesezeichen und
zugewiesenen Richtlinien weiterhin möglich ist. Wir empfehlen jedoch stattdessen
die Verwendung von Ressourcenprofilen, da sie eine einfachere und einheitlichere
Konfigurationsstruktur bieten.
Dieser Abschnitt enthält die folgenden Informationen über Ressourcenprofile:
„Lizenzierung: Verfügbarkeit von Ressourcenprofilen“ auf Seite 76
„Aufgabenzusammenfassung: Konfigurieren von Ressourcenprofilen“ auf
Seite 76
„Komponenten eines Ressourcenprofils“ auf Seite 76
„Ressourcenprofilvorlagen“ auf Seite 83
75
Juniper Networks Secure Access – Administratorhandbuch
Lizenzierung: Verfügbarkeit von Ressourcenprofilen
Ressourcenprofile sind ein integraler Bestandteil der IVE-Zugriffsverwaltungsumgebung
und daher in allen Secure Access-Produkten verfügbar. Sie können jedoch nur auf
Ressourcenprofiltypen zugreifen, die Ihren lizenzierten Funktionen entsprechen. Wenn
Sie beispielsweise eine SA-700-Appliance verwenden und keinen
Aktualisierungslizenzschlüssel für den clientlosen Kernzugriff erworben haben, können
Sie keine Webressourcenprofile erstellen.
Aufgabenzusammenfassung: Konfigurieren von Ressourcenprofilen
So erstellen Sie Ressourcenprofile:
1. Erstellen Sie Benutzerrollen über die Seite Users > User Roles der
Administratorkonsole. Anweisungen hierfür finden Sie unter „Konfigurieren von
Benutzerrollen“ auf Seite 56.
2. Erstellen Sie Ressourcenprofile über die Seite Users > Resource Profiles der
Administratorkonsole. Geben Sie beim Erstellen des Ressourcenprofils die
Ressource an, erstellen Sie Auto-Richtlinien, ordnen Sie das Profil den
Benutzerrollen zu und erstellen bei Sie Bedarf Lesezeichen. Weitere Informationen
finden Sie unter „Komponenten eines Ressourcenprofils“ auf Seite 76.
Komponenten eines Ressourcenprofils
Ressourcenprofile enthalten die folgenden Komponenten:
76
Ressourcen – Sie müssen beim Definieren eines Ressourcenprofils exakt die
Ressource angeben, die Sie konfigurieren möchten (z.B. die Intranetsite Ihrer
Firma oder eine Lotus Notes-Anwendung). Alle weiteren wichtigen
Einstellungen in dem Profil verzweigen sich von dieser Ressource. Sie können
eine Vielzahl von Ressourcentypen konfigurieren, wie z.B. Websites,
Client/Server-Anwendungen, Verzeichnisserver und Terminalserver. Weitere
Informationen finden Sie unter „Definieren von Ressourcen“ auf Seite 79.
Auto-Richtlinien – Beim Definieren eines Ressourcenprofils erstellen Sie in der
Regel Auto-Richtlinien, die die Zugriffsvoraussetzungen und weitere
Einstellungen für die angegebene Ressource festlegen. Der häufigste Typ von
Auto-Richtlinien ermöglicht den Zugriff auf die primäre Ressource, die im Profil
definiert ist. Andere Richtlinientypen (wie Richtlinien für die Komprimierung
und Zwischenspeicherung) präzisieren die Datenübermittlung des IVE zu und
von der angegebenen Ressource. Weitere Informationen finden Sie unter
„Definieren von Auto-Richtlinien“ auf Seite 80.
Rollen – Beim Definieren eines Ressourcenprofils ordnen Sie das Profil in der
Regel Benutzerrollen zu. Die ausgewählten Rollen übernehmen dann die im
Ressourcenprofil definierten Auto-Richtlinien und (optional) Lesezeichen.
Weitere Informationen finden Sie unter „Definieren von Rollen“ auf Seite 81.
Lizenzierung: Verfügbarkeit von Ressourcenprofilen
Kapitel 5: Ressourcenprofile
Lesezeichen – Sie können beim Definieren eines Ressourcenprofils optional
ein Lesezeichen für die primäre Ressource des Profils erstellen (z.B. die
Hauptseite Ihres Firmenintranets). Darüber hinaus können Sie zusätzliche
Lesezeichen für verschiedene Sites in der Domäne der Ressource erstellen (z.B.
den Intranetseiten von Vertrieb und Marketing). Diese Lesezeichen werden
dann durch das IVE den Benutzern angezeigt, die Sie den angegebenen
Benutzerrollen zugeordnet haben. Weitere Informationen finden Sie unter
„Definieren von Lesezeichen“ auf Seite 82.
In den folgenden Diagrammen wird dargestellt, wie Ressourcenprofile die
Konfiguration einzelner Ressourcen vereinfachen.
Das erste Diagramm zeigt, wie Ressourcen mithilfe von Rollen und
Ressourcenrichtlinien konfiguriert werden. Zum Aktivieren eines Lesezeichens für
mehrere Benutzerrollen muss das Lesezeichen manuell neu erstellt und der
geeignete Zugriffsmechanismus für jede Rolle aktiviert werden. Verwenden Sie
zudem eine Reihe von Seiten in der Administratorkonsole, um zugeordnete
Ressourcenrichtlinien erstellen, mit denen der Zugriff auf die Ressource und andere
Konfigurationsoptionen ermöglicht wird.
Das zweite Diagramm zeigt, wie die Ressourcen mithilfe von Ressourcenprofilen
konfiguriert werden. Sie können ein Lesezeichen erstellen, dieses mehreren
Benutzerrollen zuordnen und die zugeordneten Auto-Richtlinien erstellen, um somit
über nur einen Abschnitt in der Administratorkonsole den Zugriff auf die Ressource
und andere Konfigurationsoptionen zu ermöglichen. Das IVE aktiviert im Übrigen
auch automatisch den geeigneten Zugriffsmechanismus für die Rollen, denen das
Lesezeichen zugewiesen wird.
Komponenten eines Ressourcenprofils
77
Juniper Networks Secure Access – Administratorhandbuch
Abbildung 20: Verwenden von Rollen und Ressourcenrichtlinien zum Konfigurieren von
Ressourcen
78
Komponenten eines Ressourcenprofils
Kapitel 5: Ressourcenprofile
Abbildung 21: Verwenden von Ressourcenprofilen zum Konfigurieren von Ressourcen
Definieren von Ressourcen
Beim Definieren eines Ressourcenprofils müssen Sie exakt die Ressource angeben,
die Sie konfigurieren möchten. Der Typ des ausgewählten Profils hängt vom Typ der
Ressource ab, die Sie konfigurieren möchten. Dies ist in der folgenden Tabelle
beschrieben:
Tabelle 4: Ressourcenprofiltypen und Konfigurationsinformationen
Verwenden Sie diesen
Ressourcenprofiltyp:
Um diesen
Ressourcentyp zu
konfigurieren:
Konfigurationsanweisungen finden
Sie unter:
Webanwendung/Webseiten URLs zu
Webanwendungen,
Webservern und
Webseiten; Java-Applets,
die auf Servern Dritter
gespeichert sind
„Definieren von Ressourcenprofilen:
Benutzerdefinierte
Webanwendungen“ auf Seite 308
Gehostetes Java-Applet
Java-Applets, die Sie direkt
in das IVE laden
„Definieren von Ressourcenprofilen:
Gehostete Java-Applets“ auf Seite 392
Dateinavigation
Windows- und UNIX/NFSServer, -Freigaben und Dateipfade
„Definieren von Ressourcenprofilen:
Neuschreiben von Dateien“ auf
Seite 401
SAM-Clientanwendung
Client/ServerAnwendungen
„Definieren von Ressourcenprofilen:
WSAM“ auf Seite 433 und
„Definieren von Ressourcenprofilen:
JSAM“ auf Seite 468
Komponenten eines Ressourcenprofils
79
Juniper Networks Secure Access – Administratorhandbuch
Tabelle 4: Ressourcenprofiltypen und Konfigurationsinformationen
Verwenden Sie diesen
Ressourcenprofiltyp:
Um diesen
Ressourcentyp zu
konfigurieren:
WSAM-Ziel
Zielnetzwerke oder -server
„Definieren von Ressourcenprofilen:
WSAM“ auf Seite 433
Telnet/SSH
Telnet oder SSH-Server
„Definieren von Ressourcenprofilen:
Telnet/SSH“ auf Seite 487
Terminal Services
Windows- und CitrixTerminalserver
„Definieren von Ressourcenprofilen:
Terminal Services“ auf Seite 508
Konfigurationsanweisungen finden
Sie unter:
HINWEIS: Sie können mithilfe von Ressourcenprofilen keine Anwendungen über Network
Connect konfigurieren. Stattdessen müssen Rollen und Ressourcenrichtlinien verwenden.
Weitere Informationen finden Sie unter „Network Connect“ auf Seite 561.
Beim Definieren von Ressourcen können Sie IVE-Variablen (z.B. <user>)
verwenden, um Benutzer dynamisch mit der korrekten Ressource zu verknüpfen.
Sie können beispielsweise die folgende Webressource angeben, um Benutzer zu
ihren einzelnen Intranetseiten zu leiten:
http://yourcompany.intranet/<user>
Definieren von Auto-Richtlinien
Beim Definieren eines Ressourcenprofils erstellen Sie in der Regel Auto-Richtlinien,
die die Zugriffsvoraussetzungen und weitere Einstellungen für die angegebene
Ressource festlegen. Der häufigste Typ von Auto-Richtlinien ermöglicht den Zugriff
auf die primäre Ressource, die im Profil definiert ist. Andere Richtlinientypen (wie
Richtlinien für die Komprimierung und Zwischenspeicherung) präzisieren die
Datenübermittlung des IVE zu und von der angegebenen Ressource.
Beim Erstellen von Ressourcenprofilen zeigt das IVE nur die Auto-Richtlinien an, die
für den Ressourcenprofiltyp relevant sind. Nehmen wir an, Sie gewähren den
Zugriff auf eine Client-/Server-Anwendung über ein WSAM-Ressourcenprofil. Das
IVE zeigt dann die Auto-Richtlinien an, die Sie für das Gewähren des Zugriffs auf
den angegebenen Server der Anwendung verwenden können. Andererseits zeigt
das IVE keine Auto-Richtlinien für die Java-Zugriffssteuerung an, da JavaEinstellungen für WSAM nicht gelten.
80
Komponenten eines Ressourcenprofils
Kapitel 5: Ressourcenprofile
Zusätzlich fasst das IVE alle relevanten Optionen für Auto-Richtlinien auf einer
einzelnen Seite der Benutzeroberfläche zusammen, sodass Sie alle
Konfigurationsmöglichkeiten und -anforderungen für einen bestimmten
Ressourcentyp leicht erkennen können.
HINWEIS:
Die Auto-Richtlinien für die Zugriffssteuerung basieren in der Regel auf der
primären Ressource, die Sie im Ressourcenprofil definieren. Wenn Sie die primäre
Ressource des Profils ändern, werden die entsprechenden Auto-Richtlinien jedoch
nicht unbedingt durch das IVE aktualisiert. Sie sollten die Auto-Richtlinien nach
Ändern der primären Ressource des Profils erneut auswerten.
Administratoren, die an frühere Versionen des IVE-Produkts (vor Version 5.3)
gewöhnt sind, sollten beachten, dass es sich bei Auto-Richtlinien um
Ressourcenrichtlinien handelt. Das IVE ermöglicht das Sortieren und
Anordnen von Auto-Richtlinien zusammen mit den
Standardressourcenrichtlinien auf den Seiten Users > Resource Policies der
Administratorkonsole. Allerdings ermöglicht das IVE nicht den Zugriff auf
detaillierte Konfigurationsoptionen für Auto-Richtlinien über diesen Abschnitt
der Administratorkonsole. Wenn Sie die Konfiguration einer Auto-Richtlinie
ändern möchten, müssen stattdessen über das entsprechende
Ressourcenprofil auf diese zugreifen.
Administratoren, die an frühere Versionen des IVE-Produkts (vor Version 5.3)
gewöhnt sind, sollten wissen, dass durch die Aktivierung der Option Autoallow auch ein automatisches Erstellen von Ressourcenrichtlinien auf der
Rollenebene möglich ist. Beachten Sie jedoch, dass wir stattdessen die
Verwendung von Auto-Richtlinien empfehlen, da diese sich im Gegensatz zu
allen anderen Ressourcen eines bestimmten Typs direkt auf die Ressource
beziehen, die Sie konfigurieren. (Sie können ebenfalls die Option Auto-allow
für eine Funktion auf Rollenebene aktivieren und Auto-Richtlinien für
Ressourcen des gleichen Typs erstellen. Dabei erstellt das IVE Richtlinien für
beide und zeigt diese auf der entsprechenden Seite für Ressourcenrichtlinien
der Administratorkonsole an.)
Definieren von Rollen
In einem Ressourcenprofil können Sie dem Profil Benutzerrollen zuweisen. Sie
erstellen beispielsweise ein Ressourcenprofil, das angibt, dass Mitglieder der Rolle
„Customers“ auf das Supportcenter Ihrer Firma zugreifen können und Mitglieder
der Rolle „Evaluators“ nicht. Beim Zuweisen von Benutzerrollen zu einem
Ressourcenprofil, übernehmen die Rollen alle im Ressourcenprofil definierten AutoRichtlinien und Lesezeichen.
Komponenten eines Ressourcenprofils
81
Juniper Networks Secure Access – Administratorhandbuch
Da die Ressourcenprofilumgebung keine Optionen für das Erstellen von Rollen
enthält, müssen Sie Benutzerrollen vor dem Zuweisen zu Ressourceprofilen
erstellen. Die Ressourcenprofilumgebung enthält jedoch einige
Konfigurationsoptionen für Benutzerrollen. Wenn Sie beispielsweise eine
Benutzerrolle einem Webressourcenprofil zuweisen, aber das Web Rewriting für die
Rolle nicht aktiviert haben, nimmt das IVE diese Aktivierung automatisch vor.
HINWEIS: Beachten Sie, dass Sie Rollen einem Ressourcenprofil über die IVE-
Rollenumgebung und über die Ressourcenprofilumgebung zuweisen können.
Definieren von Lesezeichen
Beim Definieren eines Ressourcenprofils erstellt das IVE in der Regel ein
Lesezeichen für die primäre Ressource des Profils1 (z.B. die Hauptseite Ihres
Firmenintranets). Darüber hinaus können Sie optional zusätzliche Lesezeichen für
verschiedene Sites in der Domäne der primären Ressource erstellen (z.B. den
Intranetseiten von Sales und Marketing). Beim Erstellen dieser Lesezeichen können
Sie diese Lesezeichen Benutzerrollen zuweisen und dabei steuern, welche
Lesezeichen den Benutzern angezeigt werden, wenn sie sich bei der IVEEndbenutzerkonsole anmelden.
Sie erstellen beispielsweise ein Ressourcenprofil, dass den Zugriff auf Ihr
Firmenintranet steuert. In dem Profil geben Sie Folgendes an:
Ressourcenprofilname: Ihr Intranet
Primäre Ressource: http://intranet.com
Auto-Richtlinie für die Webzugriffssteuerung: Zugriff gewähren auf
http://intranet.com:80/*
Rollen: Sales, Engineering
Beim Erstellen dieser Richtlinie erstellt das IVE automatisch ein Lesezeichen mit
dem Namen „Ihr Intranet“, gewährt Zugriff auf http://intranet.com und zeigt das
Lesezeichen allen Mitgliedern der Rollen „Sales“ und „Engineering“ an.
Sie können dann die folgenden zusätzlichen Lesezeichen erstellen, die dem
Ressourcenprofil verknüpft sind:
Lesezeichen „Sales Intranet“: Erstellt einen Link zur Seite
http://intranet.com/sales und zeigt den Link den Mitgliedern der Rolle „Sales“ an.
1. WSAM- und JSAM-Ressourcenprofile enthalten keine Lesezeichen, da das IVE die in den Ressourcenprofilen
angegebenen Anwendungen nicht starten kann.
82
Komponenten eines Ressourcenprofils
Kapitel 5: Ressourcenprofile
Lesezeichen „Engineering Intranet“: Erstellt einen Link zur Seite
http://intranet.com/engineering und zeigt den Link den Mitgliedern der Rolle
„Engineering“ an.
HINWEIS: Beachten Sie beim Konfigurieren von Lesezeichen Folgendes:
Sie können Lesezeichen nur Rollen zuweisen, die Sie bereits dem
Ressourcenprofil zugeordnet haben. Sie können sie nicht allen Rollen im IVE
zuweisen. Um die Liste der dem Ressourcenprofil zugeordneten Rollen zu
ändern, verwenden Sie die Einstellungen auf der Registerkarte Roles des Profils.
Die Lesezeichen legen im Grunde genommen nur fest, welche Links das IVE
den Benutzern anzeigt. Sie legen nicht die Ressourcen fest, auf die der
Benutzer zugreifen kann. In dem Beispiel oben würde einem Mitglied der
Rolle „Sales“ beispielsweise kein Link zur Seite „Engineering Intranet“
angezeigt. Das Mitglied könnte aber durch Eingabe von
http://intranet.com/engineering in der Adressleiste des Webbrowsers auf die
Seite zugreifen. Gleiches gilt beim Löschen eines Lesezeichens; die Benutzer
können weiterhin auf die im Profil definierte Ressource zugreifen.
Sie können im IVE mehrere Lesezeichen für die gleiche Ressource erstellen.
Wenn Sie jedoch der gleichen Benutzerrolle doppelte Lesezeichen zuweisen,
zeigt das IVE den Benutzern nur ein Lesezeichen an.
Die Lesezeichen sind mit der primären Ressource verknüpft, die Sie im
Ressourcenprofil definiert haben (oder mit einem Unterverzeichnis der
primären Ressource). Wenn Sie die primäre Ressource des Profils ändern,
werden die entsprechenden Lesezeichen durch das IVE aktualisiert.
Ressourcenprofilvorlagen
Ressourcenprofilvorlagen ermöglichen das Konfigurieren der Einstellungen für
bestimmte Anwendungen. Bei dieser Methode wählen Sie ein bestimmte
Anwendung (z.B. Citrix NFuse Version 4.0). Anschließend füllt das IVE eine Reihe
von Werten vorab für Sie aus. Diese basieren auf der ausgewählten Anwendung. Bei
Bedarf werden Sie aufgefordert, zusätzliche Einstellungen zu konfigurieren.
Zurzeit enthält das IVE Vorlagen für die folgenden Drittanbieteranwendungen:
Citrix – Weitere Informationen finden Sie unter „Definieren von
Ressourcenprofilen: Citrix-Webanwendungen“ auf Seite 329.
Lotus Notes – Weitere Informationen finden Sie unter „Definieren von
Ressourcenprofilen: WSAM“ auf Seite 433 und „Definieren von
Ressourcenprofilen: JSAM“ auf Seite 468.
Microsoft Outlook – Weitere Informationen finden Sie unter „Definieren von
Ressourcenprofilen: WSAM“ auf Seite 433 und „Definieren von
Ressourcenprofilen: JSAM“ auf Seite 468.
Ressourcenprofilvorlagen
83
Juniper Networks Secure Access – Administratorhandbuch
84
Ressourcenprofilvorlagen
NetBIOS-Dateinavigation – Weitere Informationen finden Sie unter
„Definieren von Ressourcenprofilen: WSAM“ auf Seite 433 und „Definieren von
Ressourcenprofilen: JSAM“ auf Seite 468.
Kapitel 6
Ressourcenrichtlinien
Eine Ressourcenrichtlinie ist eine Systemregel, die Ressourcen und Aktionen für
eine bestimmte Zugriffsfunktion angibt. Eine Ressource kann entweder ein Server
oder eine Datei sein, auf die über eine IVE-Appliance zugegriffen werden kann.
Mithilfe einer Aktion wird einer Ressource „erlaubt“ oder „verboten“, eine Funktion
durchzuführen. Jede Zugriffsfunktion verfügt über mindestens einen Richtlinientyp,
der die Antwort der IVE-Appliance auf eine Benutzeranfrage oder die Art bestimmt,
wie eine Zugriffsfunktion aktiviert wird (im Fall von Secure Meeting and Email
Client). Sie können auch detaillierte Regeln für eine Ressourcenrichtlinie definieren,
mit denen Sie zusätzliche Anforderungen für bestimmte Benutzeranforderungen
auswerten können.
Sie können mit den Resource Policies -Seiten des IVE die folgenden Arten von
Ressourcenrichtlinien erstellen:
Webressourcenrichtlinien – Die Webressourcenrichtlinien legen die
Webressourcen fest, die Benutzer durchsuchen dürfen bzw. nicht durchsuchen
dürfen. Sie enthalten auch zusätzliche Spezifikationen, wie z.B. Anforderungen
der Cacheheader, Server, auf die Java-Applets zugreifen können,
Codesignaturzertifikate, die das IVE zum Signieren von Java-Applets verwenden
soll, Ressourcen, die das IVE überschreiben bzw. nicht überschreiben soll,
Anwendungen, für die das IVE eine minimale Vermittlung durchführt und
Optionen für die Einzelanmeldung.
Dateiressourcenrichtlinien – Die Dateiressourcenrichtlinien legen die
Windows-, UNIX- und NFS-Dateiressourcen fest, die Benutzer durchsuchen
dürfen bzw. nicht durchsuchen dürfen. Sie enthalten auch zusätzliche
Spezifikationen, wie z.B. Dateiressourcen, für die Benutzer zusätzliche
Anmeldedaten angeben müssen.
Secure Application Manager-Ressourcenrichtlinien – Die Secure Application
Manager-Ressourcenrichtlinien gewähren oder verweigern den Zugriff auf
Anwendungen, die zum Verwenden von JSAM oder WSAM für die Herstellung
von Socketverbindungen konfiguriert sind.
Telnet/SSH-Ressourcenrichtlinien – Die Telnet/SSH-Ressourcenrichtlinien
gewähren oder verweigern den Zugriff auf angegebene Server.
Terminal Services-Richtlinien – Die Terminal Services-Richtlinien gewähren
oder verweigern den Zugriff auf angegebene Windows-Server oder Citrix
Metaframe-Server.
85
Juniper Networks Secure Access – Administratorhandbuch
Network Connect-Ressourcenrichtlinien – Die Network ConnectRessourcenrichtlinien gewähren oder verweigern den Zugriff auf die
angegebenen Server und legen IP-Adressenpools fest.
Secure Meeting-Ressourcenrichtlinien – Die Secure MeetingRessourcenrichtlinien ermöglichen das Aktivieren verschiedener Funktionen
wie E-Mail-Benachrichtigungen, Sitzungslimits, Umstellung der Uhrzeit und
Einstellen der Farbtiefe.
Secure Email Client-Ressourcenrichtlinien – Die Secure Email ClientRessourcenrichtlinien ermöglichen das Aktivieren oder Deaktivieren der E-MailClient-Unterstützung.
HINWEIS: Sie können auch Ressourcenrichtlinien als Teil des
Konfigurationsvorgangs für Ressourcenprofile erstellen. In diesem Fall werden die
Ressourcenrichtlinien als „erweiterte Richtlinien“ bezeichnet. Weitere
Informationen finden Sie unter „Ressourcenprofile“ auf Seite 75.
Dieser Abschnitt beinhaltet folgende Informationen:
„Lizenzierung: Verfügbarkeit der Ressourcenrichtlinien“ auf Seite 86
„Bestandteile einer Ressourcenrichtlinie“ auf Seite 87
„Auswerten von Ressourcenrichtlinien“ auf Seite 90
„Erstellen detaillierter Regeln für Ressourcenrichtlinien“ auf Seite 92
„Benutzeroberflächen zur Anpassung der Ressourcenrichtlinien“ auf Seite 94
Lizenzierung: Verfügbarkeit der Ressourcenrichtlinien
Ressourcenrichtlinien sind ein integraler Bestandteil der IVEZugriffsverwaltungsumgebung und daher in allen Secure Access-Produkten
verfügbar. Sie können jedoch nur auf Ressourcenrichtlinientypen zugreifen, die
Ihren lizenzierten Funktionen entsprechen. Wenn Sie beispielsweise eine SA-700Appliance verwenden und keinen Aktualisierungslizenzschlüssel für den clientlosen
Kernzugriff erworben haben, können Sie keine Webressourcenrichtlinien erstellen.
86
Lizenzierung: Verfügbarkeit der Ressourcenrichtlinien
Kapitel 6: Ressourcenrichtlinien
Bestandteile einer Ressourcenrichtlinie
Eine Ressourcenrichtlinie enthält die folgenden Informationen:
Ressourcen: Eine Reihe von Ressourcennamen (URLs, Hostnamen oder
Kombinationen aus IP-Adresse/Netzmaske), die die Ressourcen angeben, für
die die Richtlinie gilt. Sie können eine Ressource mit einem Platzhalterpräfix
angeben, das für einen Hostnamen steht. Die Standardressource für eine
Richtlinie wird durch ein Sternchen (*) angegeben, d. h., die Richtlinie gilt für
alle entsprechenden Ressourcen. Weitere Informationen finden Sie unter
„Angeben von Ressourcen für eine Ressourcenrichtlinie“ auf Seite 87.
Rollen: Eine optionale Liste von Benutzerrollen, für die diese Richtlinie gilt.
Standardmäßig gilt die Richtlinie für alle Rollen.
Aktion: Die Aktion, die von einem IVE durchgeführt wird, wenn ein Benutzer
die Ressource entsprechend der Liste Resource anfordert. Eine Aktion kann
angeben, ob der Zugriff auf eine Ressource erlaubt oder verboten ist oder ob
eine Aktion durchgeführt wird (z.B. das Neuschreiben von Webinhalt oder das
Zulassen von Java-Socketverbindungen).
Detaillierte Regeln: Eine optionale Liste von Elementen, die Ressourcendetails
angibt (z.B. bestimmte URLs, Verzeichnispfade, Dateien oder Dateitypen), auf
die eine andere Aktion angewendet werden soll oder für die vor der
Anwendung der Aktion Bedingungen ausgewertet werden sollen. Sie können
eine oder mehrere Regeln definieren und die Reihenfolge angeben, in der das
IVE diese auswertet. Weitere Informationen finden Sie unter „Erstellen
detaillierter Regeln für Ressourcenrichtlinien“ auf Seite 92.
Angeben von Ressourcen für eine Ressourcenrichtlinie
Für das IVE-Plattformmodul, das Ressourcenrichtlinien auswertet, müssen die in
der Liste Resources einer Richtlinie aufgelisteten Ressourcen im kanonischen
Format aufgeführt sein. In diesem Abschnitt werden die kanonischen Formate
beschrieben, die zum Angeben von Web-, Datei- und Serverressourcen verfügbar
sind. Wenn ein Benutzer versucht, auf eine bestimmte Ressource zuzugreifen,
vergleicht eine IVE-Appliance die angeforderte Ressource mit den in den
entsprechenden Richtlinien angegebenen Ressourcen. Es beginnt dabei mit der
ersten Richtlinie in der Richtlinienliste. Wenn das Modul eine angeforderte
Ressource mit einer in der Liste Resources einer Richtlinie angegebenen Ressource
abgleicht, wertet es weitere Richtlinieneinschränkungen aus und gibt die
entsprechende Aktion an die Appliance zurück (es werden keine weiteren
Richtlinien ausgewertet). Wenn keine Richtlinie zutrifft, wertet die Appliance
Lesezeichen für automatische Erlaubnis (sofern definiert) aus, andernfalls wird die
Standardaktion für die Richtlinie zurückgegeben.
HINWEIS: Die Auto-allow-Option wird u. U. nicht angezeigt, wenn Sie eine neue
Installation verwenden, Ressourcenprofile anstatt Ressourcenrichtlinien
verwenden oder ein Administrator diese Option ausgeblendet hat. Weitere
Informationen zu dieser Option finden Sie unter „Festlegen der Systemoptionen“
auf Seite 619.
Bestandteile einer Ressourcenrichtlinie
87
Juniper Networks Secure Access – Administratorhandbuch
Allgemeine Anmerkungen zu kanonischen Formaten
Wenn eine Pfadkomponente mit einem Schrägstrich und einem Sternchen
endet (/*), entspricht dies dem untergeordneten Knoten und allen weiteren
Unterverzeichnissen. Wenn eine Pfadkomponente mit einem Schrägstrich und
einem Prozentzeichen endet (/%), entspricht dies dem untergeordneten Knoten
und allen Elementen, die sich genau eine Ebene darunter befinden. Beispiel:
/intranet/* entspricht:
/intranet
/intranet/home.html
/intranet/elee/public/index.html
/intranet/% entspricht:
/intranet
/intranet/home.html
but NOT /intranet/elee/public/index.html
Der Hostname und die IP-Adresse einer Ressource werden gleichzeitig an das
Richtlinienmodul weitergegeben. Wenn ein Server in der Liste Resources einer
Richtlinie als IP-Adresse angegeben ist, erfolgt die Auswertung anhand der IPAdresse. Andernfalls versucht das Modul, die beiden Hostnamen abzugleichen.
Es führt kein Reverse-DNS-Lookup zur Ermittlung der IP-Adresse durch.
Wenn ein Hostname in der Liste Resources einer Richtlinie nicht vollständig
qualifiziert ist, wenn z.B. „juniper“ anstelle von „intranet.juniper.net“
angegeben ist, führt das Modul die Auswertung anhand der vorliegenden
Angaben durch. Der Hostname wird nicht weiter qualifiziert.
Angeben von Serverressourcen
Beachten Sie bei der Angabe von Serverressourcen für Telnet/SSH-, Terminal
Services- oder Network Connect-Ressourcenrichtlinien Folgendes.
Kanonisches Format: [protocol://] host [:ports]
Die Bestandteile sind:
Protokoll (optional) – Mögliche Werte (Groß- oder Kleinschreibung wird nicht
berücksichtigt):
tcp
udp
icmp
Wenn kein Protokoll angegeben ist, werden alle Protokolle angenommen. Bei
der Angabe eines Protokolls muss das Trennzeichen „://“ eingegeben werden.
Sonderzeichen sind nicht zulässig.
88
Bestandteile einer Ressourcenrichtlinie
Kapitel 6: Ressourcenrichtlinien
HINWEIS: Nur für Network Connect-Richtlinien verfügbar. Für weitere
Ressourcenrichtlinien für Zugriffsfunktionen wie Secure Application Manager oder
Telnet/SSH ist die Angabe dieser Bestandteile ungültig.
Host (erforderlich) – Mögliche Werte:
IP-Adresse/Netzmaske – Die IP-Adresse muss in folgendem Format
angegeben werden: a.b.c.d
Die Netzmaske kann eines der folgenden beiden Formate aufweisen:
Präfix: Obere Bits
IP: a.b.c.d
Beispiel: 10.11.149.2/24 oder 10.11.149.2/255.255.255.0
Sonderzeichen sind nicht zulässig.
DNS-Hostname – Beispiel: www.juniper.com
Sonderzeichen sind zulässig, einschließlich:
Tabelle 5: Sonderzeichen für DNS-Hostname
*
Entspricht ALLEN Zeichen
%
Entspricht einem beliebigen Zeichen außer dem Punkt (.)
?
Entspricht genau einem Zeichen
HINWEIS: Für eine Network Connect-Ressourcenrichtlinie kann kein Hostname
angegeben werden. Es kann lediglich eine IP-Adresse angegeben werden.
Ports (optional) – Mögliche Werte:
Tabelle 6: Mögliche Werte für Port
*
Entspricht ALLEN Ports, andere Sonderzeichen sind nicht zulässig.
Port[,Port]*
Eine durch Kommata getrennte Liste einzelner Ports. Gültige
Portnummern sind [1-65535].
[Port 1]-[Port 2]
Ein Portbereich, von Port 1 bis einschließlich Port 2.
HINWEIS: Sie können Portlisten und Portbereiche mischen. Beispiel: 80,443,80808090
Bestandteile einer Ressourcenrichtlinie
89
Juniper Networks Secure Access – Administratorhandbuch
Wenn kein Port angegeben ist, wird der Standardport 80 für http und 443 für
https zugewiesen. Bei der Angabe eines Ports muss das Trennzeichen „:“
eingegeben werden. Beispiel:
<username>.danastreet.net:5901-5910
10.10.149.149:22,23
tcp://10.11.0.10:80
udp://10.11.0.10:*
Auswerten von Ressourcenrichtlinien
Wenn eine IVE-Appliance eine Benutzeranforderung erhält, wertet sie die dem
Anforderungstyp entsprechenden Ressourcenrichtlinien aus. Beim Verarbeiten der
Richtlinie, die der angeforderten Ressource entspricht, führt sie die angegebene
Aktion für die Anforderung aus. Diese Aktion ist auf der Registerkarte General oder
Detailed Rules der Richtlinie festgelegt. Wenn ein Benutzer beispielsweise eine
Webseite anfordert, „weiß“ das IVE, wie die Webressourcenrichtlinien zu
verwenden sind. Im Fall von Webanforderungen startet das IVE immer mit den
Richtlinien für „Web Rewriting“ (Neuschreiben von Webinhalt), „Selective
Rewriting“ (selektives Neuschreiben) und „Pass Through Proxy“ (Durchgangsproxy),
um zu bestimmen, ob die Anforderung verarbeitet werden soll. Wenn keine dieser
Richtlinien angewendet werden kann (oder keine definiert ist), wertet das IVE die
Richtlinien für „Web Access“ (Webzugriff) aus, bis es eine findet, die zur
angefragten Ressource gehört.
Eine IVE-Appliance wertet eine Gruppe von Ressourcenrichtlinien für eine
Zugriffsfunktion von oben nach unten aus, d. h., sie startet mit der ersten Richtlinie
und durchläuft dann die Liste, bis eine passende Richtlinie gefunden wird. Wenn Sie
detaillierte Regeln für die passende Richtlinie definiert haben, wertet das IVE die
Regeln von oben nach unten aus und stoppt, wenn es in der Liste Resource der
Regel eine passende Ressource findet. In der folgenden Abbildung werden die
allgemeinen Schritte der Richtlinienauswertung dargestellt:
Abbildung 22: Schritte bei der Auswertung von Ressourcenrichtlinien
90
Auswerten von Ressourcenrichtlinien
Kapitel 6: Ressourcenrichtlinien
Details der einzelnen Auswertungsschritte:
1. Das IVE empfängt eine Benutzeranforderung und bewertet die Sitzungsrolle des
Benutzers, um festzustellen, ob die entsprechende Zugriffsfunktion aktiviert ist. Die
„Sitzungsrolle“ eines Benutzers beruht auf der Rolle bzw. den Rollen, der bzw.
denen er während des Authentifizierungsvorgangs zugewiesen wird. Die für einen
Benutzer aktivierten Zugriffsfunktionen werden durch eine
Rollenzuordnungskonfiguration des Authentifizierungsbereichs bestimmt. (Weitere
Informationen hierzu finden Sie unter „Benutzerrollenbewertung“ auf Seite 54.)
2. Das IVE bestimmt, welche Richtlinien der Anforderung entsprechen. Das IVE
bewertet die mit der Benutzeranforderung in Zusammenhang stehenden
Ressourcenrichtlinien und verarbeitet aufeinanderfolgend jede Richtlinie, bis
eine Richtlinie gefunden wird, deren Ressourcenliste und designierte Rollen der
Anforderung entsprechen. (Wird das IVE mit den Ressourcenprofilen
konfiguriert, bewertet das IVE die als Teil des Ressourcenprofils konfigurierten
erweiterten Richtlinien.)
Die Funktionen für Web- und Dateizugriff verfügen über mehrere Typen von
Richtlinien. Das IVE ermittelt daher zunächst den Anforderungstyp (z.B. auf
eine Webseite, ein Java-Applet oder eine UNIX-Datei) und wertet anschließend
die der Anforderung entsprechenden Richtlinien aus. Für die
Webzugriffsfunktion werden z.B. für jede Webanforderung zuerst die
Richtlinien zum Neuschreiben ausgewertet. Die verbleibenden fünf
Zugriffsfunktionen Secure Application Manager, Secure Terminal Access, Secure
Meeting und Secure Email Client verfügen über nur eine Ressourcenrichtlinie.
3. Das IVE bewertet die in den Abgleichrichtlinien angegebenen Regeln und führt
diese aus. Richtlinienregeln können für zwei Vorgänge konfiguriert werden:
Ressourcen, für die eine Aktion gilt, können auf einer genaueren Ebene
angegeben werden. Wenn Sie z.B. in den Hauptrichtlinien-Einstellungen
einer Webzugriffs-Ressourcenrichtlinie einen Webserver angeben, können
Sie eine detaillierte Regel definieren, die einen bestimmte Pfad auf diesem
Server angibt, und dann die Aktion für diesen Pfad ändern.
Es kann vom Benutzer verlangt werden, dass er zum Anwenden der Aktion
bestimmte Bedingungen erfüllt, die in Form boolescher Ausdrücke oder
benutzerdefinierter Ausdrücke geschrieben wurden. Weitere Informationen
finden Sie unter „Erstellen detaillierter Regeln für Ressourcenrichtlinien“
auf Seite 92).
4. Das IVE beendet die Verarbeitung von Ressourcenrichtlinien, sobald die
angeforderte Ressource in der Liste Resource einer Richtlinie oder in einer
detaillierten Regel gefunden wird.
HINWEIS: Bei Verwendung der automatischen (zeitgesteuerten) dynamischen oder
der manuellen Richtlinienauswertung wiederholt das IVE den in diesem Abschnitt
beschriebenen Ressourcenauswertungsvorgang. Weitere Informationen finden Sie
unter „Dynamische Richtlinienauswertung“ auf Seite 41.
Auswerten von Ressourcenrichtlinien
91
Juniper Networks Secure Access – Administratorhandbuch
Erstellen detaillierter Regeln für Ressourcenrichtlinien
Mit den Zugriffsfunktionen für Web, Dateien, Secure Application Manager, Telnet/SSH
und Network Connect können Sie Ressourcenrichtlinien für einzelne Web-, Datei-,
Anwendungs- und Telnet-Server angeben. Die Zugriffsfunktionen für Secure Meeting
and Email Client verfügen jeweils über eine global anwendbare Richtlinie. Für diese
beiden Richtlinien geben Sie Servereinstellungen an, die für alle Rollen verwendet
werden, durch die diese Zugriffsfunktionen ermöglicht werden. Für alle anderen
Zugriffsfunktionen können Sie eine beliebige Anzahl von Ressourcenrichtlinien
angeben und für jede eine oder mehrere detaillierte Regeln definieren.
Eine detaillierte Regel ist eine Erweiterung einer Ressourcenrichtlinie, die Folgendes
angeben kann:
Zusätzliche1 Ressourceninformationen (wie bestimmte Pfade, Dateien oder
Dateitypen) für Ressourcen, die auf der Registerkarte General aufgelistet sind.
Eine Aktion, die von der auf der Registerkarte General angegebenen Aktion
abweicht (obwohl die Optionen übereinstimmen).
Bedingungen, die erfüllt sein müssen, damit die detaillierte Regel angewendet
werden kann.
In vielen Fällen ermöglicht die Basisressourcenrichtlinie, d. h. die auf der
Registerkarte General einer Ressourcenrichtlinie angegebenen Informationen,
ausreichende Zugriffssteuerung für eine Ressource:
Wenn ein Benutzer, der (definierte_Rollen) angehört, versucht, auf
(definierte_Ressourcen) zuzugreifen, FÜHRE die angegebene
(Ressourcen_Aktion) aus.
Sie können eine oder mehrere detaillierte Rollen für eine Richtlinie definieren,
wenn Sie eine Aktion durchführen möchten, die auf einer Kombination anderer
Informationen basiert, zu denen die folgenden gehören können:
Die Eigenschaften einer Ressource, beispielsweise Header, Inhaltstyp oder Dateityp
Die Eigenschaften eines Benutzers, beispielsweise der Benutzername und die
Rollen, denen er zugeordnet ist
Die Eigenschaften einer Sitzung, beispielsweise die Quell-IP oder der
Browsertyp eines Benutzers, ob der Benutzer die Hostprüfung oder
Cachebereinigung ausführt, die Uhrzeit oder Zertifikatattribute
Mit detaillierten Regeln kann die Ressourcenzugriffssteuerung flexibler gestaltet
werden, sodass bestehende Ressourcen- oder Berechtigungsinformationen zum
Angeben anderer Anforderungen für andere Benutzer verwendet können, auf die
die Basisressourcenrichtlinie angewendet wird.
1. Beachten Sie, dass Sie die gleiche Ressourcenliste (wie auf der Registerkarte „General“) auch als detaillierte Regel
angeben können, wenn deren einziger Zweck die Anwendung von Bedingungen auf eine Benutzeranforderung ist.
92
Erstellen detaillierter Regeln für Ressourcenrichtlinien
Kapitel 6: Ressourcenrichtlinien
Schreiben einer detaillierten Regel
Mit detaillierten Regeln kann die Ressourcenzugriffssteuerung flexibler gestaltet
werden, sodass bestehende Ressourcen- oder Berechtigungsinformationen zum
Angeben anderer Anforderungen für andere Benutzer verwendet können, auf die
die Basisressourcenrichtlinie angewendet wird.
So schreiben Sie eine detaillierte Regel für eine Ressourcenrichtlinie:
1. Geben Sie auf der Seite New Policy für eine Ressourcenrichtlinie die
erforderlichen Ressourcen- und Rolleninformationen ein.
2. Wählen Sie im Abschnitt Action Use Detailed Rules aus, und klicken Sie
anschließend auf Save Changes.
3. Klicken Sie auf der Registerkarte Detailed Rules auf New Rule.
4. Gehen Sie auf der Seite Detailed Rule folgendermaßen vor:
a.
Konfigurieren Sie im Abschnitt Action die auszuführende Aktion, wenn die
Benutzeranforderung einer Ressource in der Liste Resource entspricht
(optional). Beachten Sie, dass die auf der Registerkarte General
angegebene Aktion standardmäßig übertragen wird.
b.
Geben Sie im Bereich Resources eine der folgenden Optionen an (erforderlich):
c.
Die vollständige oder einen Teil der Ressourcenliste, die auf der
Registerkarte General angegeben ist.
Einen bestimmten Pfad oder eine bestimmte Datei auf den Servern,
die auf der Registerkarte General angegeben sind. Gegebenenfalls
können Platzhalter verwendet werden. Informationen zum Verwenden
von Platzhaltern in einer Resources-Liste finden Sie in der
Dokumentation der entsprechenden Ressourcenrichtlinie.
Einen Dateityp, dem gegebenenfalls ein Pfad vorangestellt ist, oder
geben Sie einfach */*.file_extension an, um Dateien mit der
angegebenen Erweiterung innerhalb aller Pfade auf den Servern
anzuzeigen, die auf der Registerkarte General angegeben sind.
Geben Sie im Abschnitt Conditions mindestens einen Ausdruck an, der für
die Ausführung der Aktion ausgewertet wird (optional):
Boolesche Ausdrücke: Schreiben Sie unter Verwendung von
Systemvariablen mindestens einen booleschen Ausdruck mit den
Operatoren NOT, OR oder AND. Eine Liste der in Ressourcenrichtlinien
verfügbaren Variablen finden Sie unter „Systemvariablen und
Beispiele“ auf Seite 920.
Benutzerdefinierte Ausdrücke: Schreiben Sie unter Einhaltung der
entsprechenden Syntax mindestens einen benutzerdefinierten
Ausdruck. Informationen zur Syntax und zu Variablen finden Sie
unter „Benutzerdefinierte Ausdrücke“ auf Seite 915. Beachten Sie,
dass benutzerdefinierte Ausdrücke nur mit der erweiterten Lizenz
verfügbar sind.
Erstellen detaillierter Regeln für Ressourcenrichtlinien 93
Juniper Networks Secure Access – Administratorhandbuch
HINWEIS: Sie können die Ersatzvariable <USER> in ACLs für Webseiten, Telnet,
Dateien und SAM verwenden. In Network Connect-ACLs kann die Variable nicht
verwendet werden.
d. Klicken Sie auf Save Changes.
5. Ordnen Sie die Regeln auf der Registerkarte Detailed Rules in der Reihenfolge
an, in der sie vom IVE ausgewertet werden sollen. Sobald das IVE für die vom
Benutzer angeforderte Ressource eine entsprechende Ressource in der Liste
Resource für eine Regel findet, wird die angegebene Aktion durchgeführt und
die Verarbeitung der Regeln (und weiterer Ressourcenrichtlinien) beendet.
Benutzeroberflächen zur Anpassung der Ressourcenrichtlinien
Sie können die Ressourcenrichtlinien begrenzen, die das IVE auf einer bestimmten
Ressourcenrichtlinienseite basierend auf Benutzerrollen anzeigt. Sie können
beispielsweise die Seite Users > Resource Policies > Web der Administratorkonsole
so konfigurieren, dass auf dieser Seite nur die Ressourcenrichtlinien angezeigt werden,
die der Benutzerrolle „Sales“ zugeordnet sind.
So steuern Sie, welche Ressourcenrichtlinien das IVE anzeigt:
1. Navigieren Sie zu Users > Resource Policies > Richtlinientyp.
2. Wählen Sie in der Liste Show all policies that apply to All Roles oder eine
einzelne Rolle aus.
3. Klicken Sie auf Update. Das IVE zeigt die Ressourcenrichtlinien an, die den
ausgewählten Rollen zugeordnet sind.
94
Benutzeroberflächen zur Anpassung der Ressourcenrichtlinien
Kapitel 7
Authentifizierungs- und Verzeichnisserver
Bei einem Authentifizierungsserver handelt es sich um eine Datenbank, in der
Anmeldedaten für Benutzer (Benutzername und Kennwort) und normalerweise
Gruppeninformationen gespeichert werden. Wenn sich ein Benutzer am IVE
anmeldet, gibt er einen Authentifizierungsbereich an, der einem
Authentifizierungsserver zugeordnet ist. Wenn der Benutzer die Anforderungen der
Authentifizierungsrichtlinie erfüllt, leitet das IVE die Anmeldedaten des Benutzers
an den zugeordneten Authentifizierungsserver weiter. Der Authentifizierungsserver
überprüft die Existenz und Identität der Benutzer. Anschließend sendet der
Authentifizierungsserver die Bestätigung und, wenn der Server in dem Bereich auch
als Verzeichnis-/Attributserver verwendet wird, auch die Gruppeninformationen des
Benutzers oder andere Benutzerattributinformationen an das IVE. Das IVE ermittelt
die Rollenzuordnungsregeln für den Bereich und die Benutzerrollen, denen ein
Benutzer zugeordnet werden kann.
Die Juniper Networks Instant Virtual Extranet-Plattform unterstützt die gängigsten
Authentifizierungsserver, z.B. Windows NT-Domäne, Active Directory, RADIUS,
LDAP, NIS, RSA ACE/Server und Netegrity SiteMinder. Sie können eine oder mehrere
lokale Datenbanken für vom IVE authentifizierte Benutzer erstellen. Eine Übersicht
über Server und Informationen zur Konfiguration finden Sie unter
„Authentifizierungs- und Verzeichnisserver“ auf Seite 95.
Ein Verzeichnisserver ist eine Datenbank, in der Benutzer- und meistens
Gruppeninformationen gespeichert werden. Sie können einen Authentifizierungsbereich
so konfigurieren, dass ein Verzeichnisserver Benutzer- oder Gruppeninformationen
abruft, die in Rollenzuordnungsregeln und Ressourcenrichtlinien verwendet werden.
Gegenwärtig unterstützt das IVE hierfür LDAP-Server; ein LDAP-Server kann daher zur
Authentifizierung und Autorisierung verwendet werden. Sie müssen nur eine
Serverinstanz definieren, dann wird der Name der LDAP-Serverinstanz in den
Dropdownlisten Authentication und Directory/Attribute auf der Registerkarte
General des Bereichs angezeigt. Sie können denselben Server für eine unbeschränkte
Anzahl von Bereichen verwenden.
95
Juniper Networks Secure Access – Administratorhandbuch
Neben einem LDAP-Server können Benutzerattribute auch mit einem RADIUS- oder
SiteMinder-Server abgerufen werden, um sie in Rollenzuordnungsregeln zu verwenden.
Ein RADIUS- oder SiteMinder-Serverinstanzenname wird jedoch im Gegensatz zu einer
LDAP-Serverinstanz nicht in der Dropdownliste Directory/Attribute des Bereichs
angezeigt. Um einen RADIUS- oder Siteminder-Server zum Abrufen von
Benutzerinformationen zu verwenden, müssen Sie nur seinen Instanzennamen in der
Liste Authentication auswählen. Wählen Sie anschließend in der Liste
Directory/Attribute die Option Same as Above aus. Anschließend konfigurieren Sie
Rollenzuordnungsregeln, um Attribute des RADIUS- oder SiteMinder-Servers zu
verwenden, die in einer Attributliste auf der Seite Role Mapping Rule verfügbar sind,
nachdem Rule based on User attribute ausgewählt wurde.
Dieser Abschnitt enthält die folgenden Informationen über Authentifizierungs- und
Verzeichnisserver:
„Lizenzierung: Verfügbarkeit von Authentifizierungsservern“ auf Seite 96
„Aufgabenzusammenfassung: Konfigurieren von Authentifizierungsservern“ auf
Seite 97
„Definieren einer Authentifizierungsserverinstanz“ auf Seite 98
„Konfigurieren einer Instanz eines anonymen Servers“ auf Seite 99
„Konfigurieren einer ACE-/Serverinstanz“ auf Seite 101
„Konfigurieren einer Active Directory- oder einer NT-Domäneninstanz“ auf
Seite 104
„Konfigurieren einer Zertifikatserverinstanz“ auf Seite 111
„Konfigurieren einer LDAP-Serverinstanz“ auf Seite 113
„Konfigurieren einer lokalen Authentifizierungsserverinstanz“ auf Seite 121
„Konfigurieren einer NIS-Serverinstanz“ auf Seite 127
„Konfigurieren einer RADIUS-Serverinstanz“ auf Seite 128
„Konfigurieren einer Netegrity SiteMinder-Instanz“ auf Seite 142
„Konfigurieren einer SAML-Serverinstanz“ auf Seite 168
Lizenzierung: Verfügbarkeit von Authentifizierungsservern
Authentifizierungsserver sind ein wesentlicher Bestandteil der IVEZugriffsverwaltungsumgebung und daher in allen Secure Access-Produkten
verfügbar. Beachten Sie jedoch, dass der Netegrity Siteminder-Server in der SA 700Appliance nicht verfügbar ist. In den anderen Secure Access-Appliances steht er nur
mit einer speziellen Lizenz zur Verfügung.
96
Lizenzierung: Verfügbarkeit von Authentifizierungsservern
Kapitel 7: Authentifizierungs- und Verzeichnisserver
Aufgabenzusammenfassung: Konfigurieren von Authentifizierungsservern
Zum Angeben eines Authentifizierungsservers, der für einen Bereich verwendet werden
kann, müssen Sie zunächst auf der Seite Authentication > Auth. Servers eine
Serverinstanz konfigurieren. Wenn Sie die Servereinstellungen speichern, wird der
Servername (der der Instanz zugewiesene Name) auf der Registerkarte General des
Bereichs in der Dropdownliste Authentication angezeigt. Es gibt zwei Möglichkeiten:
LDAP- oder Active Directory-Server – Der Instanzenname wird auch in der
Dropdownliste Directory/Attribute auf der Registerkarte General des Bereichs
angezeigt. Sie können den gleichen LDAP- oder Active Directory-Server sowohl
für die Authentifizierung als auch für die Autorisierung des Bereichs verwenden.
Außerdem können Sie diese Server für die Autorisierung einer beliebigen
Anzahl von Bereichen verwenden, die unterschiedliche
Authentifizierungsserver verwenden.
RADIUS -Server – Der Instanzenname wird auch in der Dropdownliste
Accounting auf der Registerkarte General des Bereichs angezeigt. Sie können
den gleichen RADIUS-Server sowohl für die Authentifizierung als auch für die
Kontoverwaltung des Bereichs verwenden. Außerdem können Sie diese Server
für die Verwaltung einer beliebigen Anzahl von Bereichen verwenden, die
unterschiedliche Authentifizierungsserver verwenden.
So konfigurieren Sie Authentifizierungsserver:
1. Richten Sie den Authentifizierungs-/Autorisierungsserver entsprechend der
Anweisungen des Anbieters ein.
2. Erstellen Sie eine Instanz für den Server; beginnen Sie mit der Erstellung auf
der Seite Authentication > Authentication > Auth. Servers in der
Administratorkonsole.
3. Erstellen Sie mit den Einstellungen auf der Seite Users > User Realms oder
Administrators > Admin Realms der Administratorkonsole einen
Authentifizierungsbereich. Anweisungen hierfür finden Sie unter „Erstellen
eines Authentifizierungsbereichs“ auf Seite 178.
4. Nur für lokale Authentifizierungsserver: Fügen Sie mit den Einstellungen auf der
Seite Authentication > Auth. Servers > Lokalen Server auswählen> Users der
Administratorkonsole dem Server Benutzer hinzu. Anweisungen hierfür finden
Sie unter „Erstellen von Benutzerkonten auf einem lokalen
Authentifizierungsserver“ auf Seite 124.
5. Nur für die Kennwortverwaltung: Richten Sie Kennwortverwaltungsoptionen
mithilfe der Anweisungen unter „Aktivieren der LDAP-Kennwortverwaltung“
auf Seite 117 ein.
HINWEIS: Ein Authentifizierungsserver muss eine Verbindung mit dem IVE
herstellen können. Wenn ein Authentifizierungsserver wie RSA ACE/Server keine
IP-Adressen für die Agentenhosts verwendet, muss er den IVE-Hostnamen über
einen DNS-Eintrag oder einen Eintrag in der eigenen Hostdatei auflösen können.
Aufgabenzusammenfassung: Konfigurieren von Authentifizierungsservern
97
Juniper Networks Secure Access – Administratorhandbuch
HINWEIS: Beachten Sie bei der Auswahl des Servertyps Folgendes:
Sie können nur eine Netegrity Siteminder-Serverinstanz pro IVE erstellen.
Sie können den Active Directory-Server mit folgenden Protokollen authentifizieren:
NTLM-Protokoll – Wählen Sie Active Directory/Windows NT Domain
aus. Weitere Informationen finden Sie unter „Konfigurieren einer ACE/Serverinstanz“ auf Seite 101.
LDAP-Protokoll – Wählen Sie LDAP Server aus. Weitere Informationen
finden Sie unter „Konfigurieren einer LDAP-Serverinstanz“ auf Seite 113.
Wenn Sie eine lokale Authentifizierungsserverinstanz zum Authentifizieren
von Benutzeradministratoren erstellen, müssen Sie Local Authentication
auswählen. Weitere Informationen finden Sie unter „Konfigurieren einer
lokalen Authentifizierungsserverinstanz“ auf Seite 121.
Definieren einer Authentifizierungsserverinstanz
Die Seite Auth. Servers dient zum Definieren von Authentifizierungsserverinstanzen.
Authentifizierungsserver authentifizieren Anmeldedaten der Benutzer, während
Autorisierungsserver Benutzerinformationen bereitstellen, die das IVE zur Ermittlung
von Benutzerberechtigungen im System verwendet. Sie können z.B. eine
Zertifikatserverinstanz angeben, die Benutzer anhand ihrer clientseitigen
Zertifikatsattribute authentifiziert, und dann eine LDAP-Serverinstanz erstellen, die
Benutzer anhand der Werte autorisiert, die in einer Zertifikatsperrliste (Certificate
Revocation List, CRL) aufgeführt sind. Weitere Informationen zu
Authentifizierungsservern finden Sie unter „Authentifizierungs- und
Verzeichnisserver“ auf Seite 95.
Dieser Abschnitt enthält die folgenden Informationen über Authentifizierungsserver:
„Definieren einer Authentifizierungsserverinstanz“ auf Seite 98
„Ändern einer bestehenden Authentifizierungsserverinstanz“ auf Seite 99
Definieren einer Authentifizierungsserverinstanz
So definieren Sie eine Authentifizierungsserverinstanz:
1. Wählen Sie in der Administratorkonsole Authentication > Auth. Servers.
2. Wählen Sie im Dropdownmenü New einen Servertyp aus.
3. Klicken Sie auf New Server.
4. Legen Sie entsprechend dem ausgewählten Server Einstellungen für die
Serverinstanz fest.
98
Definieren einer Authentifizierungsserverinstanz
Kapitel 7: Authentifizierungs- und Verzeichnisserver
5. Geben Sie die Bereiche an, die der Server für die Authentifizierung und
Autorisierung von Administratoren und Benutzern verwenden soll. Weitere
Informationen finden Sie unter „Definieren von Authentifizierungsrichtlinien“
auf Seite 180.
6. Wenn Sie den lokalen IVE-Authentifizierungsserver konfigurieren, müssen Sie
lokale Benutzerkonten festlegen. Anweisungen hierfür finden Sie unter
„Konfigurieren einer lokalen Authentifizierungsserverinstanz“ auf Seite 121.
Ändern einer bestehenden Authentifizierungsserverinstanz
So ändern Sie eine Authentifizierungsserverinstanz:
1. Wählen Sie in der Administratorkonsole Authentication > Auth. Servers.
2. Klicken Sie auf den Link für den zu ändernden Server.
3. Nehmen Sie Ihre Änderungen auf der entsprechenden Serverseite vor.
4. Klicken Sie auf Save Changes.
Konfigurieren einer Instanz eines anonymen Servers
Ein anonymer Server ermöglicht Benutzern den Zugriff auf das IVE ohne Angabe
von Benutzername oder Kennwort. Wenn ein Benutzer die URL einer Anmeldeseite
eingibt, für die die Authentifizierung durch einen anonymen Server konfiguriert ist,
umgeht das IVE die IVE-Standardanmeldeseite und zeigt dem Benutzer sofort die
IVE-Willkommensseite an.
Sie können anonyme Authentifizierung auswählen, wenn Sie es nicht für notwendig
halten, dass die Ressourcen auf dem IVE sehr hohen Sicherheitsanforderungen
unterliegen oder wenn Sie die anderen Sicherheitsmaßnahmen auf dem IVE für
ausreichend halten. Sie können z.B. eine Benutzerrolle mit beschränktem Zugriff auf
interne Ressourcen erstellen und diese Rolle dann mithilfe einer Richtlinie
authentifizieren, die nur verlangt, dass sich Benutzer von einer IP-Adresse aus Ihrem
internen Netzwerk anmelden. Bei dieser Methode wird davon ausgegangen, dass ein
Benutzer, der zum Zugriff auf das interne Netzwerk berechtigt ist, auch die
Ressourcen anzeigen darf, die im Rahmen dieser Benutzerrolle bereitgestellt werden.
Dieser Abschnitt enthält die folgenden Informationen über anonyme Server:
„Beschränkungen von anonymen Servern“ auf Seite 100
„Definieren einer Instanz eines anonymen Servers“ auf Seite 100
Konfigurieren einer Instanz eines anonymen Servers
99
Juniper Networks Secure Access – Administratorhandbuch
Beschränkungen von anonymen Servern
Beachten Sie bei der Definition und Überwachung einer Instanz eines anonymen
Servers Folgendes:
Sie können nur eine Konfiguration für anonyme Server hinzufügen.
Administratoren können nicht mithilfe eines anonymen Servers
authentifiziert werden.
Bei der Konfiguration müssen Sie auf der Registerkarte Users > User
Realms > General den anonymen Server als Authentifizierungsserver und
als Verzeichnis-/Attributserver auswählen. Weitere Informationen finden Sie
unter „Erstellen eines Authentifizierungsbereichs“ auf Seite 178.
Beim Erstellen von Rollenzuordnungsregeln auf der Registerkarte Users > User
Realms > Role Mapping gestattet das IVE keine Erstellung von
Zuordnungsregeln, die für bestimmte Benutzer gelten (z.B. „Joe“), da auf einem
anonymen Server keine Informationen zu Benutzernamen gespeichert werden. Sie
können Rollenzuordnungsregeln erstellen, die auf einem Standardbenutzernamen
(*), Zertifikatattributen oder benutzerdefinierten Ausdrücken basieren.
Aus Sicherheitsgründen können Sie ggf. die Anzahl der Benutzer beschränken,
die sich gleichzeitig über einen anonymen Server anmelden. Verwenden Sie
dazu die Option auf der Registerkarte Users > User Realms > [Bereich] >
Authentication Policy > Limits (dabei ist [Bereich] der Bereich, der für die
Benutzerauthentifizierung durch den anonymen Server konfiguriert ist).
Weitere Informationen finden Sie unter „Angeben von
Begrenzungsbeschränkungen“ auf Seite 52.
Sie können die Sitzungen von anonymen Benutzern (im Gegensatz zu anderen
Authentifizierungsservern) nicht löschen und nicht über die Registerkarte Users
anzeigen, da keine Benutzernamen eingegeben wurden und das IVE daher
keine individuellen Sitzungsdaten anzeigen kann.
Definieren einer Instanz eines anonymen Servers
So definieren Sie einen anonymen Server:
1. Wählen Sie in der Administratorkonsole Authentication > Auth. Servers.
2. Führen Sie einen der folgenden Vorgänge aus:
Um eine neue Serverinstanz auf dem IVE zu erstellen, wählen Sie in der
Liste New den Eintrag Anonymous Server aus, und klicken Sie
anschließend auf New Server.
Klicken Sie zum Aktualisieren einer vorhandenen Serverinstanz auf den
entsprechenden Link in der Liste Authentication/Authorization Servers.
3. Geben Sie einen Namen ein, um die Serverinstanz zu bezeichnen.
4. Klicken Sie auf Save Changes.
100
Konfigurieren einer Instanz eines anonymen Servers
Kapitel 7: Authentifizierungs- und Verzeichnisserver
5. Geben Sie die Bereiche an, die der Server für die Autorisierung von Benutzern
verwenden soll. Weitere Informationen finden Sie unter „Definieren von
Authentifizierungsrichtlinien“ auf Seite 180.
Konfigurieren einer ACE-/Serverinstanz
Wenn die Benutzerauthentifizierung über einen RSA ACE/Server erfolgt, können
sich Benutzer mit zwei Methoden anmelden:
Verwenden eines Hardwaretokens und der standardmäßigen IVEAnmeldeseite – Der Benutzer ruft die IVE-Standardanmeldeseite auf und gibt
dann den Benutzernamen und das Kennwort ein (bestehend aus der
Kombination von PIN und dem aktuellen Wert des RSA SecurIDHardwaretokens). Das IVE leitet diese Anmeldedaten des Benutzers dann an
ACE/Server weiter.
Verwenden eines Softwaretokens und der benutzerdefinierten SoftIDAnmeldeseite für IVE – Der Benutzer ruft die benutzerdefinierte SoftIDAnmeldeseite auf. Unter Verwendung des SoftID-Plug-Ins gibt er seinen
Benutzernamen und die PIN ein. Das SoftID-Plug-In erstellt ein Kennwort durch
Verketten der Benutzer-PIN und des Tokens und leitet das Kennwort weiter an
das IVE. Weitere Informationen zum Aktivieren der benutzerdefinierten SoftIDAnmeldeseiten finden Sie im Custom Sign-In Pages Solution Guide.
Wenn ACE/Server den Benutzer authentifiziert hat, wird der Zugriff auf die IVE
gewährt. Andernfalls führt der ACE/Server folgende Aktionen aus:
Der Benutzerzugriff auf das System wird verweigert, wenn die Anmeldedaten
des Benutzers nicht erkannt werden.
Der Benutzer wird aufgefordert, eine neue PIN zu generieren (New PIN-Modus),
wenn er sich erstmals am IVE anmeldet. (Dem Benutzer werden je nach
verwendetem Anmeldeverfahren unterschiedliche Aufforderungen angezeigt.
Bei Anmeldung mit dem SoftID-Plug-In werden die RSA-Aufforderungen zum
Erstellen einer neuen PIN angezeigt. Andernfalls werden die IVEAufforderungen angezeigt.)
Der Benutzer wird aufgefordert, das nächste Token einzugeben (Next TokenModus), wenn das vom Benutzer eingegebene Token nicht mit dem vom
ACE/Server erwarteten Token übereinstimmt. (Der Next Token-Modus ist für
Benutzer transparent, die sich mit dem SoftID-Token anmelden. Die RSA
SecurID-Software übergibt das Token über das IVE und ohne
Benutzerinteraktion an ACE/Server.)
Der Benutzer wird an die IVE-Standardanmeldeseite umgeleitet (nur SoftID),
wenn er versucht, sich auf einem Computer ohne installierte SecurID-Software
an der Seite RSA SecurID Authentication anzumelden.
Wenn der Benutzer die neue PIN oder das nächste Token eingibt (je nach Modus),
bleiben drei Minuten für die Eingabe der erforderlichen Informationen. Danach
bricht das IVE die Transaktion ab und fordert den Benutzer zur erneuten Eingabe
der Anmeldedaten auf.
Konfigurieren einer ACE-/Serverinstanz
101
Juniper Networks Secure Access – Administratorhandbuch
Das IVE kann bis zu 200 ACE/Server-Transaktionen gleichzeitig verarbeiten. Eine
Transaktion dauert nur so lange wie die Authentifizierung bei ACE/Server. Wenn sich
ein Benutzer z.B. am IVE anmeldet, wird die ACE/Server-Transaktion beim Senden
der Anforderung durch den Benutzer initiiert. Die Transaktion wird beendet, sobald
ACE/Server die Verarbeitung der Anforderung beendet hat. Der Benutzer kann mit
der IVE-Sitzung fortfahren, obwohl die ACE/Server-Transaktion beendet wurde.
Das IVE unterstützt die folgenden ACE/Server-Funktionen: New PIN-Modus, Next
Token-Modus, DES/SDI-Verschlüsselung, AES-Verschlüsselung, Unterstützung
untergeordneter ACE/Server, Namenssperrungen und Clustering. Das IVE
unterstützt über das RADIUS-Protokoll auch die New PIN- und Next Token-Modi von
RSA SecurID.
HINWEIS: Wegen der Einschränkungen der ACE/Server-Bibliothek unter UNIX
können Sie u. U. nur eine ACE/Server-Konfiguration festlegen. Informationen zum
Erzeugen einer ACE/Agent-Konfigurationsdatei für das IVE auf dem ACE-Server
finden Sie unter „Generieren einer ACE/Agent-Konfigurationsdatei“ auf Seite 103.
Dieser Abschnitt enthält die folgenden Informationen über ACE/Server:
„Festlegen einer ACE/Serverinstanz“ auf Seite 102
„Generieren einer ACE/Agent-Konfigurationsdatei“ auf Seite 103
Festlegen einer ACE/Serverinstanz
HINWEIS: Sie können nur eine ACE/Serverinstanz hinzufügen.
So definieren Sie einen ACE/Server:
1. Erzeugen Sie eine ACE/Agent-Konfigurationsdatei (sdconf.rec) für das IVE auf
dem ACE-Server. Weitere Informationen finden Sie unter „Generieren einer
ACE/Agent-Konfigurationsdatei“ auf Seite 103.
2. Wählen Sie in der Administratorkonsole Authentication > Auth. Servers.
3. Führen Sie einen der folgenden Vorgänge aus:
Um eine neue Serverinstanz auf dem IVE zu erstellen, wählen Sie in der
Liste New den Eintrag ACE Server aus, und klicken Sie anschließend auf
New Server.
Klicken Sie zum Aktualisieren einer vorhandenen Serverinstanz auf den
entsprechenden Link in der Liste Authentication/Authorization Servers.
4. Geben Sie einen Namen ein, um die Serverinstanz zu bezeichnen.
5. Geben Sie im Feld ACE Port einen Standardport an. Das IVE verwendet diese
Einstellung nur, wenn in der Datei sdconf.rec kein Port angegeben ist.
102
Konfigurieren einer ACE-/Serverinstanz
Kapitel 7: Authentifizierungs- und Verzeichnisserver
6. Importieren Sie die RSA ACE/Agent-Konfigurationsdatei. Aktualisieren Sie
diese Datei im IVE unbedingt bei jeder Änderung an der Quelldatei. Wenn Sie
die Instanzdatei aus dem IVE löschen, müssen Sie ebenfalls zur
Konfigurationsverwaltungsanwendung für ACE-Server wechseln, wie unter
„Generieren einer ACE/Agent-Konfigurationsdatei“ auf Seite 103 beschrieben,
und das Kontrollkästchen Sent Node Secret deaktivieren.
7. Klicken Sie auf Save Changes. Wenn Sie zum ersten Mal eine Serverinstanz
erstellen, werden die Registerkarten Settings und Users angezeigt.
8. Geben Sie die Bereiche an, die der Server für die Authentifizierung und
Autorisierung von Administratoren und Benutzern verwenden soll. Weitere
Informationen finden Sie unter „Definieren von Authentifizierungsrichtlinien“
auf Seite 180.
HINWEIS: Informationen zum Überwachen und Löschen von Sitzungen von
Benutzern, die gegenwärtig über den Server angemeldet sind, finden Sie unter
„Überwachen von aktiven Benutzern“ auf Seite 738.
Generieren einer ACE/Agent-Konfigurationsdatei
Wenn Sie ACE/Server für die Authentifizierung verwenden, müssen Sie auf dem
ACE-Server eine ACE/Agent-Konfigurationsdatei (sdconf.rec) für das IVE generieren.
So generieren Sie eine ACE/Agent-Konfigurationsdatei
1. Starten Sie die Konfigurationsverwaltungsanwendung für ACE/Server, und
klicken Sie auf Agent Host.
2. Klicken Sie auf Add Agent Host.
3. Geben Sie unter Name einen Namen für den IVE-Agenten ein.
4. Geben Sie unter Network Address die IP-Adresse des IVE ein.
5. Geben Sie eine auf dem ACE-Server konfigurierte Site ein.
6. Wählen Sie für Agent Type Communication Server aus.
7. Wählen Sie für Encryption Type DES aus.
8. Vergewissern Sie sich, ob Sent Node Secret (beim Erstellen eines neuen
Agenten) deaktiviert ist.
Wenn der ACE-Server eine vom IVE gesendete Anforderung erfolgreich
authentifiziert, wählt der ACE-Server Sent Node Secret aus. Wenn der ACEServer später einen neuen Knotenschlüssel an das IVE senden soll, gehen Sie
bei der nächsten Authentifizierungsanforderung folgendermaßen vor:
a.
Klicken Sie auf das Kontrollkästchen Sent Node Secret, um dieses zu
deaktivieren.
b.
Melden Sie sich an der Administratorkonsole an, und wählen Sie
Authentication > Auth. Servers aus.
Konfigurieren einer ACE-/Serverinstanz
103
Juniper Networks Secure Access – Administratorhandbuch
c.
Klicken Sie in der Liste Authentication/Authorization Servers auf den
Namen des entsprechenden ACE-Servers.
d. Aktivieren Sie unter Node Verification File das entsprechende
Kontrollkästchen, und klicken Sie auf Delete. Durch diese Schritte wird
sichergestellt, dass der IVE-Server und der ACE-Server synchronisiert sind.
Entsprechend sollten Sie auf dem ACE-Server das Kontrollkästchen Sent Node
Secret deaktivieren, wenn Sie die Überprüfungsdatei aus dem IVE löschen.
9. Klicken Sie auf Assign Acting Servers, und wählen Sie den ACE-Server aus.
10. Klicken Sie auf Generate Config File. Wenn Sie den ACE-Server zum IVE
hinzufügen, wird diese Konfigurationsdatei importiert.
Konfigurieren einer Active Directory- oder einer NT-Domäneninstanz
Wenn die Benutzerauthentifizierung über einen primären NT-Domänencontroller
(PDC) oder Active Directory erfolgt, melden sich Benutzer mit dem für den Zugriff
auf den eigenen Windows-Desktop verwendeten Benutzernamen und Kennwort am
IVE an. Das IVE unterstützt die Windows NT-Authentifizierung und Active Directory
mit NTLM- oder Kerberos-Authentifizierung.
Wenn Sie einen systemeigenen Active Directory-Server konfigurieren, können Sie
Gruppeninformationen vom Server für die Verwendung in den
Rollenzuordnungsregeln eines Bereichs abrufen. In diesem Fall legen Sie den Active
Directory-Server als den Authentifizierungsserver des Bereichs fest, und
anschließend erstellen Sie eine Rollenzuordnungsregel auf Grundlage der
Gruppenmitgliedschaft. Das IVE zeigt alle Gruppen des konfigurierten
Domänencontrollers und dessen vertrauter Domänen an.
Das IVE enthält ein separates Kontrollkästchen für jedes der primären
Authentifizierungprotokolle: Kerberos, NTLMv2 und NTLMv1. Dadurch können
diese Protokolle unabhängig von einander aktivieren oder deaktivieren. Diese
genauere Steuerung der Authentifizierungsprozesses verhindert ein unnötiges
Erhöhen der Zählrichtlinie für fehlgeschlagene Anmeldungen in Active Directory
und ermöglicht ein präzises Anpassen der Protokolle an Ihre Systemanforderungen.
104
Konfigurieren einer Active Directory- oder einer NT-Domäneninstanz
Kapitel 7: Authentifizierungs- und Verzeichnisserver
Weitere Informationen finden Sie unter „Erstellen von Rollenzuordnungsregeln“ auf
Seite 181.
HINWEIS:
Das IVE berücksichtigt Vertrauensstellungen in Active Directory und Windows
NT-Umgebungen.
Beim Senden von Benutzeranmeldedaten an einen Active DirectoryAuthentifzierungsserver verwendet das IVE die auf der Seite „New Active
Directory/Windows NT“ festgelegte Authentifizierungsmethode. Das IVE geht
die Authentifizierungsserver der Reihe nach durch. Das bedeutet, wenn Sie die
Kontrollkästchen für Kerberos und NTLMv2 aktiviert haben, sendet das IVE die
Anmeldedaten an Kerberos. Falls dies nicht unterstützt wird, verwendet das IVE
NTLMv2, das nächste Protokoll in der Reihenfolge. Wenn Kerberos funktioniert,
sendet das IVE die Anmeldedaten nicht an NTLMv2. Die Konfiguration richtet
eine Abstufung ein, wenn Sie die mehrere Kontrollkästchen aktivieren. Weitere
Informationen finden Sie unter „Definieren von Ressourcenrichtlinien:
UNIX/NFS-Dateiressourcen“ auf Seite 421.
Das IVE unterstützt lokale und globale Gruppen in der Domäne sowie universelle
Gruppen, die in der Active Directory-Gesamtstruktur definiert sind. Unterstützt
werden auch lokale und globale Gruppen der Domäne für NT4-Server.
Das IVE lässt nur Active Directory-Sicherheitsgruppen zu, keine Verteilergruppen.
Mit Sicherheitsgruppen können Sie einen Gruppentyp sowohl für das Zuweisen
von Berechtigungen als auch für E-Mail-Verteilerlisten verwenden.
Dieser Abschnitt enthält die folgenden Informationen über Active Directory- and
NT-Domänenserver:
„Definieren einer Active Directory- oder Windows NT-Domänenserverinstanz“
auf Seite 105
„Domänenübergreifende Benutzerauthentifizierung“ auf Seite 108
„Unterstützung der Gruppensuche für Active Directory und NT“ auf Seite 110
Definieren einer Active Directory- oder Windows NT-Domänenserverinstanz
So legen Sie einen Active Directory-Server oder einen Windows NT-Domänenserver fest:
1. Wählen Sie in der Administratorkonsole Authentication > Auth. Servers.
2. Führen Sie einen der folgenden Vorgänge aus:
Um eine neue Serverinstanz auf dem IVE zu erstellen, wählen Sie in der
Liste New den Eintrag Active Directory/Windows NT aus, und klicken Sie
anschließend auf New Server.
Klicken Sie zum Aktualisieren einer vorhandenen Serverinstanz auf den
entsprechenden Link in der Liste Authentication/Authorization Servers.
3. Geben Sie einen Namen ein, um die Serverinstanz zu bezeichnen.
Konfigurieren einer Active Directory- oder einer NT-Domäneninstanz
105
Juniper Networks Secure Access – Administratorhandbuch
4. Geben Sie den Namen oder die IP-Adresse des primären Domänencontrollers
oder von Active Directory an.
5. Geben Sie die IP-Adresse des Sicherungsdomänencontrollers oder von Active
Directory an. (Dies ist optional.)
6. Geben Sie den Domänennamen für die Benutzer ein, denen Sie den Zugriff
gewähren möchten.
7. Wenn Sie einen Computernamen angeben möchten, geben Sie diesen in das
Feld Computer Name ein. Anderenfalls behalten Sie die Standard-ID bei, die
das System eindeutig identifiziert.
HINWEIS: Sie haben wahrscheinlich bemerkt, dass der Computername vorab mit
einem Eintrag im Format vcNNNNHHHHHHHH ausgefüllt wurde, wobei NNNN in
einem IVS-System die IVS-ID darstellt (vorausgesetzt, Sie verfügen über eine IVSLizenz) und HHHHHHHH die hexadezimale Darstellung der IP-Adresse. Durch einen
eindeutigen Namen (entweder die Standard-ID oder ein eigener Name) können
Sie Ihre Systeme einfacher in Active Directory identifizieren. Wenn es sich nicht
um ein IVS-System handelt, werden die ersten sechs Zeichen des Namens als
vc0000 angezeigt, weil keine anzeigbare IVS-ID vorhanden ist. In diesem Fall
könnte der Name etwa folgendermaßen angezeigt werden: „vc0000a1018dF2“.
In einer Clusterumgebung mit dem gleichen AD-Authentifizierungsserver ist dieser
Name ebenfalls eindeutig in allen Clusterknoten, und das IVE zeigt alle IDs für alle
hinzugefügten Clusterknoten an.
8. Aktivieren Sie das Kontrollkästchen Allow domain to be specified as part of
username, um Benutzern die Eingabe eines Domänennamens im Feld
Username auf der IVE-Anmeldeseite in folgendem Format zu ermöglichen:
domaene\benutzername.
9. Aktivieren Sie das Kontrollkästchen Allow trusted domains, um
Gruppeninformationen von allen vertrauten Domänen innerhalb einer
Gesamtstruktur abzurufen.
10. Geben Sie für Admin Username und Admin Password einen
Administratorbenutzernamen und ein -kennwort für den AD- oder NT-Server ein.
HINWEIS:
106
Stellen Sie sicher, dass es sich beim angegebenen Administrator um einen
Domänenadministrator handelt, der sich in derselben Domäne befindet wie
der AD- oder NT-Server.
Geben Sie im Feld Admin Username keinen Domänennamen mit dem
Serveradministrator-Benutzernamen Admin Username ein.
Nach dem Speichern von Änderungen wird das Administratorkennwort
unabhängig von der Kennwortlänge vom IVE mit fünf Sternchen maskiert.
Konfigurieren einer Active Directory- oder einer NT-Domäneninstanz
Kapitel 7: Authentifizierungs- und Verzeichnisserver
11. Legen Sie unter Authentication Protocol das Protokoll fest, das das IVE
während der Authentifizierung verwenden soll.
12. Gehen Sie unter Kerberos Realm Name folgendermaßen vor:
Wählen Sie Use LDAP to get Kerberos realm name aus, wenn das IVE mit
den angegebenen Administratoranmeldedaten den KerberosBereichsnamen vom Active Directory-Server abrufen soll.
Wenn Ihnen der Bereichsname bekannt ist, geben Sie den KerberosBereichsnamen im Feld Specify Kerberos realm name ein.
13. Aktivieren Sie das Kontrollkästchen Advanced Settings, um vertrauenswürdige
Domänen und geschachtelte Gruppen zu suchen und so die
Gruppenmitgliedschaft eines Benutzers zu bestimmen.
HINWEIS: Wählen Sie diese Optionen nur aus, wenn die Rollenzuordnungsregel
für Authentifizierungen auf Gruppenmitgliedschaften basiert. Weitere
Informationen finden Sie unter „Angeben von Rollenzuordnungsregeln für einen
Authentifizierungsbereich“ auf Seite 182. Das Auswählen dieser Optionen hat u.U.
Auswirkungen auf den Anmeldevorgang – muss das IVE eine umfangreiche Active
Directory-Bereitstellung abfragen, führt dies ggf. zu längeren Anmeldezeiten.
Aktivieren Sie das Kontrollkästchen User may belong to trusted domains’
groups, um beim Suchen nach Benutzergruppen alle vertrauenswürdigen
Domänen zu berücksichtigen.
Aktivieren Sie das Kontrollkästchen User’s group(s) may contain (nested)
groups, um in einer Gruppe eine hierarchische Suche durchzuführen.
Legen Sie im Feld Nested Group Level fest, wie viele Ebenen innerhalb
einer Gruppe nach Benutzern durchsucht werden sollen. Je höher die Zahl
ist, desto mehr Zeit nimmt die Abfrage in Anspruch. Durchsuchen Sie nicht
mehr als zwei Ebenen (empfohlen).
14. Klicken Sie auf Test Configuration, um die Konfigurationseinstellungen für den
Active Directory-Server zu überprüfen. Dabei wird geprüft, ob die angegebene
Domäne vorhanden ist, ob es sich bei den angegebenen Controllern um Active
Directory-Domänencontroller handelt, ob das ausgewählte
Authentifizierungsprotokoll funktioniert usw. (Dies ist optional.)
15. Klicken Sie auf Save Changes. Wenn Sie zum ersten Mal eine Serverinstanz
erstellen, werden die Registerkarten Settings und Users angezeigt.
Konfigurieren einer Active Directory- oder einer NT-Domäneninstanz
107
Juniper Networks Secure Access – Administratorhandbuch
16. Geben Sie die Bereiche an, die der Server für die Authentifizierung und
Autorisierung von Administratoren und Benutzern verwenden soll. Weitere
Informationen finden Sie unter „Erstellen eines Authentifizierungsbereichs“ auf
Seite 178.
HINWEIS:
Informationen zum Überwachen und Löschen von Sitzungen von Benutzern,
die gegenwärtig über den Server angemeldet sind, finden Sie unter
„Überwachen von aktiven Benutzern“ auf Seite 738.
In der Administratorkonsole wird die aktuelle Zugriffsstatistik für jedes
Benutzerkonto auf verschiedenen Users-Registerkarten der Konsole unter
mehreren Spalten mit der Bezeichnung Last Sign-in Statistic angezeigt. Die
Statistik enthält unter anderem Datum und Zeit der letzten erfolgreichen
Anmeldung für jeden Benutzer, die IP-Adresse des Benutzers sowie Typ und
Version des Agenten bzw. Browsers.
Domänenübergreifende Benutzerauthentifizierung
Das IVE ermöglicht die domänenübergreifende Authentifizierung für Active
Directory und Windows NT. Das IVE authentifiziert in der auf der Seite
Authentication > Auth. Servers > New Active Directory / Windows NT
konfigurierten Domäne Benutzer, Benutzer in untergeordneten Domänen und
Benutzer in allen Domänen, die von der konfigurierten Domäne als
vertrauenswürdig eingestuft wurden.
Nachdem Sie die Adresse eines Domänencontrollers und eine Standarddomäne in
der Active Directory-Serverkonfiguration des IVE festgelegt haben, verwenden
Benutzer in der Standarddomäne für die Authentifizierung beim IVE entweder nur
ihren Benutzernamen oder den Standarddomänen- und den Benutzernamen im
folgenden Format: standarddomaene\benutzername.
Wenn Sie die Authentifizierung für vertrauenswürdige Domänen aktivieren, können
Benutzer in vertrauenswürdigen oder untergeordneten Domänen für die
Authentifizierung beim IVE den Namen der vertrauenswürdigen bzw.
untergeordneten Domäne und den Benutzernamen im folgenden Format verwenden:
vertrauensürdigedomaene\benutzername. Durch das Aktivieren der Authentifizierung
für vertrauenswürdige Domänen verlängert sich die Antwortzeit des Servers.
Domänenübergreifende Authentifizierung für Windows 2000 und Windows
2003
Das IVE unterstützt die Kerberos-basierte Active Directory-Authentifizierung mit
Windows 2000- und Windows 2003-Domänencontrollern. Wenn sich ein Benutzer
am IVE anmeldet, erfolgt die Kerberos-Authentifizierung. Dabei versucht das IVE, den
Kerberos-Bereichsnamen für den Domänencontroller sowie alle untergeordneten und
vertrauenswürdigen Bereiche mithilfe von LDAP-Aufrufen abzurufen.
108
Konfigurieren einer Active Directory- oder einer NT-Domäneninstanz
Kapitel 7: Authentifizierungs- und Verzeichnisserver
Als Alternative könnten Sie den Kerberos-Bereichsnamen beim Konfigurieren eines
Active Directory-Authentifizierungsservers festlegen, aber diese Methode wird aus
folgenden zwei Gründen nicht empfohlen:
Sie können nur einen Bereichsnamen festlegen. Das IVE kann deshalb keine
Authentifizierung durch die untergeordneten oder vertrauenswürdigen Bereiche
des von Ihnen festgelegten Bereichs ausführen.
Wenn Sie den Bereichsnamen falsch eingeben, kann das IVE Benutzer nicht für
den korrekten Bereich authentifizieren.
Domänenübergreifende Authentifizierung für Windows NT4
Das IVE unterstützt nicht die Kerberos-basierte Authentifizierung in Windows NT4Domänencontrollern. Anstelle von Kerberos wird die NTLM-Authentifizierung verwendet.
HINWEIS: Für die Benutzerauthentifizierung stellt das IVE eine Verbindung mit
dem Standard-Domänencontrollerserver her, wobei für den Computernamen das
Format <IVEIVE-IPaddress> verwendet wird.
HINWEIS: Stellen Sie bei Änderungen der DNS-Konfiguration auf dem Windows
NT4-Domänencontroller sicher, dass das IVE weiterhin Namen (untergeordnete
und vertraute Domänen) mittels WINS, DNS oder der Hostdateien, die die Namen
vor der Konfigurationsänderung auflösen konnten, auflösen kann.
Benutzernormalisierung für NT
Zur Unterstützung der domänenübergreifenden Authentifizierung verwendet das
IVE „normalisierte“ NT-Anmeldedaten für die Authentifizierung über einen Active
Directory- oder NT4-Domänencontroller. Zu den normalisierten NT-Anmeldedaten
gehören der Domänenname und der Benutzername: domaene\benutzername.
Unabhängig davon, wie sich der Benutzer am IVE anmeldet – mit dem
Benutzernamen oder dem Format domaene\benutzername –, das IVE verarbeitet
den Benutzernamen immer im Format domaene\benutzername.
Wenn ein Benutzer versucht, sich nur mit dem Benutzernamen zu authentifizieren,
normalisiert das IVE die NT-Anmeldedaten immer im Format
standarddomaene\benutzername. Die Authentifizierung ist nur erfolgreich, wenn der
Benutzer Mitglied in der Standarddomäne ist.
Für einen Benutzer, der sich mit dem Format domaene\benutzername am IVE
anmeldet, versucht das IVE immer, den Benutzer als Mitglied der von ihm
angegebenen Domäne zu authentifizieren. Die Authentifizierung ist nur erfolgreich,
wenn die vom Benutzer angegebene Domäne eine vertrauenswürdige oder
untergeordnete Domäne der Standarddomäne ist. Gibt der Benutzer eine ungültige
oder nicht vertrauenswürdige Domäne an, schlägt die Authentifizierung fehl.
Konfigurieren einer Active Directory- oder einer NT-Domäneninstanz
109
Juniper Networks Secure Access – Administratorhandbuch
Zwei Variablen, <NTUser> und <NTDomain>, ermöglichen Ihnen die individuelle
Bezugnahme auf Domänen- und NT-Benutzernamenwerte. Das IVE gibt in diese
beiden Variablen die Domäne und den NT-Benutzernamen ein.
HINWEIS: Wenn Sie vorhandene Rollenzuordnungsreglen verwenden oder eine neue
Rollenzuordnungsregel für die Active Directory-Authentifizierung mittels USER =
beliebigerbenutzername schreiben, behandelt das IVE diese Regel semantisch als
NTUser = beliebigerbenutzername AND NTDomain = standarddomaene. Dadurch
kann das IVE vorhandene Rollenzuordnungsregeln nahtlos einsetzen.
Unterstützung der Gruppensuche für Active Directory und NT
Das IVE unterstützt die Benutzergruppensuche in lokalen und globalen Gruppen der
Domäne sowie in universellen Gruppen in der Active Directory-Gesamtstruktur als
auch in lokalen und globalen Gruppen in der Domäne für NT4-Server.
HINWEIS: Damit die Gruppensuche für NT/AD funktioniert, versucht das IVE
zuerst, den Domänencontroller dem Computernamen neoterisive$ hinzuzufügen.
Damit dieser Vorgang erfolgreich ausgeführt werden kann, müssen Sie in der
Konfiguration des Active Directory-Servers auf dem IVE gültige Anmeldedaten für
den Domänenadministrator angeben.
Active Directory-Suche – Anforderungen
Das IVE unterstützt die Benutzergruppensuche in lokalen, globalen und universellen
Gruppen in der Standarddomäne sowie in untergeordneten und in allen
vertrauenswürdigen Domänen. Das IVE erhält die Gruppenmitgliedschaft über eine
von drei Methoden, die unterschiedliche Merkmale aufweisen:
Gruppeninformationen im Sicherheitskontext des Benutzers – Gibt
Informationen über die globalen Gruppen in der Domäne des Benutzers zurück.
Gruppeninformationen durch LDAP-Suchaufrufe – Gibt Informationen über
die globalen Gruppen in der Domäne und die universellen Gruppen des
Benutzers zurück, wenn das IVE den globalen Katalogserver abfragt.
Gruppeninformationen durch native RPC-Aufrufe – Gibt Informationen über
die lokale Gruppe in der Domäne des Benutzers zurück.
Hinsichtlich der Rollenzuordnungsregeln versucht das IVE die Gruppensuche in der
folgenden Reihenfolge:
110
Das IVE sucht unter Verwendung des Sicherheitskontexts des Benutzers nach
allen globalen Gruppen in der Domäne.
Wenn das IVE nicht feststellen kann, dass der Benutzer ein Mitglied in den
Gruppen ist, auf die sich die Rollenzuordnungsregeln beziehen, stellt das IVE über
eine LDAP-Abfrage den Status der Gruppenmitgliedschaft des Benutzers fest.
Wenn das IVE nicht feststellen kann, dass der Benutzer ein Mitglied in den
Gruppen ist, auf die sich die Rollenzuordnungsregeln beziehen, stellt das IVE
über eine RPC-Suche den Status der Mitgliedschaft des Benutzers in der lokalen
Domäne fest.
Konfigurieren einer Active Directory- oder einer NT-Domäneninstanz
Kapitel 7: Authentifizierungs- und Verzeichnisserver
NT4-Gruppensuche – Anforderungen
Das IVE unterstützt die Gruppensuche in lokalen und globalen Gruppen, die in der
Standarddomäne erstellt wurden, sowie in allen untergeordneten und in anderen
vertrauenswürdigen Domänen. Das IVE ermittelt die Informationen der globalen
Gruppe über den Sicherheitskontext des Benutzers und die lokalen
Domäneninformationen über RPC-Aufrufe. In der NT4-Umgebung verwendet das
IVE keine LDAP-basierten Suchaufrufe.
Konfigurieren einer Zertifikatserverinstanz
Der Zertifikatserver ermöglicht die Authentifizierung von Benutzern anhand von
Attributen in clientseitigen Zertifikaten. Sie können den Zertifikatserver allein oder
in Verbindung mit einem anderen Server verwenden, um Benutzer zu
authentifizieren und sie Rollen zuzuordnen.
Sie könnten Benutzer z.B. allein anhand ihrer Zertifikatattribute authentifizieren.
Wenn das IVE ermittelt, dass das Benutzerzertifikat gültig ist, wird der Benutzer
anhand der von Ihnen festgelegten Zertifikatattribute angemeldet, ohne
aufgefordert zu werden, einen Benutzernamen oder ein Kennwort einzugeben.
Sie können Benutzer auch authentifizieren, indem Sie ihre Clientzertifikatattribute
an einen zweiten Authentifizierungsserver (wie LDAP) weiterleiten. In diesem
Szenario ermittelt der Zertifikatserver zunächst, ob das Benutzerzertifikat gültig ist.
Anschließend kann das IVE Zuordnungsregeln der Bereichsebene verwenden, um
die Zertifikatattribute mit den LDAP-Attributen des Benutzers zu vergleichen. Wenn
keine entsprechende Übereinstimmung gefunden wird, kann der Benutzerzugriff
entsprechend Ihren Angaben vom IVE verweigert oder eingeschränkt werden.
HINWEIS: Bei Verwendung clientseitiger Zertifikate ist dringend zu empfehlen, die
Endbenutzer anzuweisen, ihre Webbrowser nach dem Abmelden vom IVE zu
schließen. Andernfalls können andere Benutzer über deren geöffnete
Browsersitzungen auf durch Zertifikate geschützte Ressourcen auf dem IVE ohne
erneute Authentifizierung zugreifen. (Nach dem Laden eines clientseitigen
Zertifikats werden die Anmeldedaten und der private Schlüssel des Zertifikats von
Internet Explorer und Netscape zwischengespeichert. Diese Informationen bleiben
in den Browsern zwischengespeichert, bis der Browser vom Benutzer geschlossen
wird (in manchen Fällen, bis die Arbeitsstation neu gestartet wird). Ausführliche
Informationen finden Sie unter: http://support.microsoft.com/?kbid=290345.) Sie
können die Benutzer daran erinnern, ihren Browser zu schließen, indem Sie die
Meldung für die Abmeldung auf der Registerkarte Authentication >
Authentication > Signing In Pages ändern.
Gehen Sie zum Festlegen eines Zertifikatservers auf dem IVE folgendermaßen vor:
1. Importieren Sie mit den Einstellungen auf der Registerkarte System >
Configuration > Certificates > CA Certificates das
Zertifizierungsstellenzertifikat, mit dem clientseitige Zertifikate signiert werden.
2. Konfigurieren Sie eine Zertifikatserverinstanz:
a.
Navigieren Sie zu Authentication > Auth. Servers.
Konfigurieren einer Zertifikatserverinstanz
111
Juniper Networks Secure Access – Administratorhandbuch
b.
Wählen Sie aus der Liste New Certificate Server aus, und klicken Sie
anschließend auf New Server.
c.
Geben Sie einen Namen ein, um die Serverinstanz zu bezeichnen.
d. Geben Sie im Feld User Name Template an, wie das IVE einen
Benutzernamen erstellen soll. Sie können jede beliebige Kombination von
Zertifikatsvariablen in spitzen Klammern und Klartext verwenden. Eine
Liste von Zertifikatsvariablen finden Sie unter „Systemvariablen und
Beispiele“ auf Seite 920.
HINWEIS: Wenn Sie ein Zertifikatattribut mit mehr als einem Wert auswählen,
verwendet das IVE den ersten übereinstimmenden Wert. Wenn Sie z.B. <certDN.OU>
eingeben und dem Benutzer zwei Werte für das Attribut vorliegen (ou=management,
ou=sales), verwendet das IVE den Wert „management“. Wenn alle Werte verwendet
werden sollen, fügen Sie der Variable das Attribut SEP hinzu. Wenn Sie z.B.
<certDN.OU SEP=“:“> eingeben, verwendet das IVE „management:sales“.
e.
Klicken Sie auf Save Changes. Wenn Sie zum ersten Mal eine Serverinstanz
erstellen, werden die Registerkarten Settings und Users angezeigt.
HINWEIS: Informationen zum Überwachen und Löschen von Sitzungen von
Benutzern, die gegenwärtig über den Server angemeldet sind, finden Sie unter
„Überwachen von aktiven Benutzern“ auf Seite 738.
3. Wenn Zertifikatattribute mithilfe eines LDAP-Servers überprüft werden sollen,
erstellen Sie anhand der Einstellungen auf der Seite Authentication > Auth.
Servers eine LDAP-Serverinstanz. Beachten Sie, dass Sie zum Abrufen der
benutzerspezifischen Attribute, die über das Zertifikat überprüft werden sollen,
den Abschnitt Finding user entries auf der LDAP-Konfigurationsseite
verwenden müssen.
4. Geben Sie mit den Einstellungen auf der Registerkarte Users > User Realms >
BereichsName > General oder Administrators > Admin Realms >
BereichsName > General an, welche Bereiche den Zertifikatserver zur
Authentifizierung von Benutzern verwenden sollen. (Anhand der Einstellungen
dieser Registerkarten können Sie auch Bereiche angeben, die einen LDAPServer zum Überprüfen von Zertifikatattributen verwenden sollen.)
5. Ordnen Sie anhand der Einstellungen auf der Seite Authentication >
Authentication > Signing In Policies die im vorherigen Schritt konfigurierten
Bereiche einzelnen Anmelde-URLs zu.
6. Wenn der Benutzerzugriff auf Bereiche, Rollen oder Ressourcenrichtlinien auf
Grundlage einzelner Zertifikatattribute eingeschränkt werden soll, verwenden
Sie die unter „Angeben von Zertifikatzugriffseinschränkungen“ auf Seite 49
beschriebenen Einstellungen.
112
Konfigurieren einer Zertifikatserverinstanz
Kapitel 7: Authentifizierungs- und Verzeichnisserver
Konfigurieren einer LDAP-Serverinstanz
Das IVE unterstützt zwei LDAP-spezifische Authentifizierungsoptionen:
Unencrypted – Das IVE sendet den Benutzernamen und das Kennwort in
einfachem Klartext an den LDAP-Verzeichnisdienst.
LDAPS – Das IVE verschlüsselt die Daten in der LDAP-Authentifizierungssitzung
mit dem SSL-Protokoll (Secure Socket Layer), bevor sie an den LDAPVerzeichnisdienst gesendet werden.
Das IVE führt umfangreiche Eingabeüberprüfungen für die folgenden Elemente durch:
LDAP-Server – Das IVE gibt eine Warnung aus, wenn der Server nicht erreichbar ist.
LDAP-Port – Das IVE gibt eine Warnung aus, wenn der LDAP-Server nicht
erreichbar ist.
Administratoranmeldedaten – Das IVE gibt eine Fehlermeldung aus, wenn die
Überprüfung der Administratoranmeldedaten fehlschlägt.
Basis-DN für Benutzer – Das IVE gibt eine Fehlermeldung aus, wenn die Suche
auf Basisebene nach dem Basis-DN-Wert fehlschlägt.
Basis-DN für Gruppen – Das IVE gibt eine Fehlermeldung aus, wenn die Suche
auf Basisebene nach dem Basis-DN-Wert fehlschlägt.
Dieser Abschnitt enthält die folgenden Informationen über LDAP-Server:
„Festlegen einer LDAP-Serverinstanz“ auf Seite 113
„Konfigurieren von LDAP-Suchattributen für Konferenzersteller“ auf Seite 116
„Anzeigen und Löschen von aktiven Benutzersitzungen“ auf Seite 117
„Aktivieren der LDAP-Kennwortverwaltung“ auf Seite 117
Festlegen einer LDAP-Serverinstanz
So definieren Sie eine LDAP-Serverinstanz:
1. Wählen Sie in der Administratorkonsole Authentication > Auth. Servers.
2. Führen Sie einen der folgenden Vorgänge aus:
Um eine neue Serverinstanz auf dem IVE zu erstellen, wählen Sie in der
Liste New den Eintrag LDAP Server aus, und klicken Sie anschließend auf
New Server.
Klicken Sie zum Aktualisieren einer vorhandenen Serverinstanz auf den
entsprechenden Link in der Liste Authentication/Authorization Servers.
3. Geben Sie einen Namen ein, um die Serverinstanz zu bezeichnen.
Konfigurieren einer LDAP-Serverinstanz 113
Juniper Networks Secure Access – Administratorhandbuch
4. Geben Sie den Namen oder die IP-Adresse des LDAP-Servers an, der vom IVE
zur Überprüfung von Benutzern verwendet wird.
5. Geben Sie den Port an, den der LDAP-Server überwacht. Dies ist bei
Verwendung einer unverschlüsselten Verbindung normalerweise Port 389 und
bei Verwendung von SSL Port 636.
6. Geben Sie Parameter für LDAP-Sicherungsserver an (optional). Das IVE
verwendet die angegebenen Server für die Failover-Verarbeitung. Jede
Authentifizierungsanforderung wird zuerst an den primären LDAP-Server und
dann an den oder die angegebenen Sicherungsserver weitergeleitet, falls der
primäre Server nicht erreichbar ist.
HINWEIS: LDAP-Sicherungsserver müssen dieselbe Version wie der primäre LDAP-
Server aufweisen. Darüber hinaus empfiehlt es sich, nicht den Hostnamen,
sondern die IP-Adresse eines LDAP-Sicherungsservers anzugeben, denn dadurch
kann die Failover-Verarbeitung beschleunigt werden, da der Hostname nicht in
eine IP-Adresse aufgelöst werden muss.
7. Geben Sie den Typ des LDAP-Servers an, über den Sie Benutzer authentifizieren
möchten.
8. Geben Sie an, ob die Verbindung zwischen dem IVE und dem LDAPVerzeichnisdienst unverschlüsselt sein soll oder ob SSL (LDAPs) oder TLS
verwendet werden soll.
9. Legen Sie fest, wie lange das IVE auf eine Verbindung mit dem primären LDAPServer warten soll, und geben Sie dann nacheinander die Wartezeit für jeden
Backup-LDAP-Server an.
10. Legen Sie fest, wie lange das IVE auf Suchergebnisse von einem verbundenen
LDAP-Server warten soll.
11. Klicken Sie auf Test Connection, um die Verbindung zwischen der IVEAppliance und den angegebenen LDAP-Servern zu überprüfen. (Dies ist
optional.)
12. Aktivieren Sie das Kontrollkästchen Authentication required to search LDAP,
wenn das IVE über das LDAP-Verzeichnis authentifiziert werden soll, um eine
Suche durchzuführen oder Kennwörter mithilfe der Kennwortverwaltungsfunktion
zu ändern. Geben Sie anschließend einen Administrator-DN und ein Kennwort ein.
Weitere Informationen zur Kennwortverwaltung finden Sie unter „Aktivieren der
LDAP-Kennwortverwaltung“ auf Seite 117. Beispiel:
CN=Administrator,CN=Users,DC=eng,DC=Juniper,DC=com
13. Geben Sie unter Finding user entries Folgendes an:
Base DN, von dem an nach Benutzereinträgen gesucht werden soll. Beispiel:
DC=eng,DC=Juniper,DC=com
114
Konfigurieren einer LDAP-Serverinstanz
Kapitel 7: Authentifizierungs- und Verzeichnisserver
Filter, wenn die Suche eingegrenzt werden soll. Beispiel:
samAccountname=<username> oder cn=<username>
Fügen Sie zur Verwendung des Benutzernamens, der auf der
Anmeldeseite für die Suche eingegeben wurde, im Filter die
Zeichenfolge <username> ein.
Geben Sie einen Filter an, der keinen (0) oder einen (1) Benutzer-DN
pro Benutzer zurückgibt. Falls mehrere DNs zurückgegeben werden,
verwendet das IVE den ersten zurückgegebenen DN.
14. Das IVE unterstützt sowohl statische als auch dynamische Gruppen. (Das IVE
unterstützt nur dynamische Gruppen mit LDAP-Servern.) Zum Aktivieren der
Gruppensuche müssen Sie angeben, wie das IVE den LDAP-Server nach einer
Gruppe durchsuchen soll. Geben Sie unter Determining group membership
Folgendes an:
Base DN, von dem an nach Benutzergruppen gesucht werden soll.
Filter, wenn die Suche nach einer Benutzergruppe optimiert werden soll.
Member Attribute, um alle Mitglieder einer statischen Gruppe zu
identifizieren. Beispiel:
member
uniquemember (iPlanet-spezifisch)
Query Attribute, um eine LDAP-Abfrage anzugeben, die die Mitglieder
einer dynamischen Gruppe zurückgibt. Beispiel:
memberURL
Nested Group Level, um anzugeben, wie viele Ebenen innerhalb einer
Gruppe nach dem Benutzer durchsucht werden sollen. Beachten Sie
Folgendes: Je höher die Anzahl, desto länger die Abfragezeit. Daher wird
empfohlen, für die Suche nicht mehr als zwei Ebenen anzugeben.
Nested Group Search, um nach folgenden Optionen zu suchen:
Nested groups in the LDAP Server Catalog. Diese Option ist schneller,
da die Suche innerhalb impliziter Grenzen der geschachtelten Gruppe
erfolgen kann.
Search all nested groups. Mit dieser Option durchsucht das IVE zuerst
den Server Catalog. Falls das IVE im Katalog keinen Treffer findet, fragt
es LDAP ab, um festzustellen, ob ein Gruppenmitglied eine
Untergruppe ist.
HINWEIS: Da das IVE im Server Catalog sucht, um festzustellen, ob ein Mitglied
einer übergeordneten Gruppe ein Benutzer- oder Gruppenobjekt ist, müssen Sie
dem Server Catalog die übergeordnete und alle untergeordneten (geschachtelten)
Gruppen hinzufügen.
Konfigurieren einer LDAP-Serverinstanz 115
Juniper Networks Secure Access – Administratorhandbuch
15. Wählen Sie unter Bind Options Folgendes aus:
Simple bind, um die Anmeldedaten eines Benutzers im Klartext
(unverschlüsselt) an den LDAP-Verzeichnisdienst zu senden.
StartTLS bind, um die Anmeldedaten eines Benutzers über das TLSProtokoll (Transport Layer Security) zu verschlüsseln, bevor das IVE die
Daten an den LDAP-Verzeichnisdienst sendet.
16. Klicken Sie auf Save Changes. Wenn Sie zum ersten Mal eine Serverinstanz
erstellen, werden die Registerkarten Settings und Users angezeigt.
17. Geben Sie die Bereiche an, die der Server für die Authentifizierung und Autorisierung
von Administratoren und Benutzern verwenden soll. Weitere Informationen finden
Sie unter „Definieren von Authentifizierungsrichtlinien“ auf Seite 180.
Wenn Sie ein Windows-Dateilesezeichen erstellen möchten, das automatisch die
Zuordnung zum LDAP-Basisverzeichnis eines Benutzers vornimmt, finden Sie
weitere Informationen unter „Erstellen von Windows-Lesezeichen für die
Zuordnung zu LDAP-Servern“ auf Seite 411.
HINWEIS: Das IVE unterstützt die Verweisverfolgung, falls auf dem LDAP-Server
aktiviert.
Konfigurieren von LDAP-Suchattributen für Konferenzersteller
Legen Sie mit den Optionen auf der Registerkarte Meetings einzelne LDAP-Attribute
fest, die ein Konferenzersteller beim Planen einer Konferenz zur Suche nach IVEBenutzern verwenden kann.
So konfigurieren Sie Secure Meeting-Suchattribute:
1. Wählen Sie in der Administratorkonsole Authentication > Auth. Servers.
2. Klicken Sie auf eine LDAP-Server-Instanz.
3. Klicken Sie auf die Registerkarte Meetings.
4. Geben Sie das Benutzernamenattribut für diesen Server im Feld User Name
ein. Geben Sie z. B SamAccountName für einen Active Directory-Server oder uid
für einen iPlanet-Server ein.
5. Geben Sie das E-Mail-Attribut für diesen Server im Feld Email Address ein.
6. Geben Sie im Feld Display Name, Attributes weitere LDAP-Attribute ein, deren
Inhalt Konferenzersteller sehen sollen (optional). (Geben Sie beispielsweise ein
Attribut zur Kennzeichnung der Abteilung von Benutzern ein, damit der
Konferenzersteller Teilnehmer mit gleichem Namen leichter unterscheiden kann.)
Geben Sie jedes zusätzliche Attribut auf einer eigenen Zeile wie im folgenden
Format ein: Anzeigename,Attributname. Sie können bis zu 10 Attribute eingeben.
7. Klicken Sie auf Save Changes.
116
Konfigurieren einer LDAP-Serverinstanz
Kapitel 7: Authentifizierungs- und Verzeichnisserver
Anzeigen und Löschen von aktiven Benutzersitzungen
Informationen zum Überwachen und Löschen von Sitzungen von Benutzern, die
gegenwärtig über den Server angemeldet sind, finden Sie unter „Überwachen von
aktiven Benutzern“ auf Seite 738.
HINWEIS: In der Administratorkonsole wird die aktuelle Zugriffsstatistik für jedes
Benutzerkonto auf verschiedenen Users-Registerkarten der Konsole unter mehreren
Spalten mit der Bezeichnung Last Sign-in Statistic angezeigt. Die Statistik enthält
unter anderem Datum und Zeit der letzten erfolgreichen Anmeldung für jeden Benutzer,
die IP-Adresse des Benutzers sowie Typ und Version des Agenten bzw. Browsers.
Aktivieren der LDAP-Kennwortverwaltung
Mithilfe der IVE-Kennwortverwaltung können Benutzer, die sich über einen LDAPServer authentifizieren, ihre Kennwörter anhand der auf dem LDAP-Server
definierten Richtlinien über das IVE zu verwalten. Beispiel: Ein Benutzer verwendet
für die Anmeldung am IVE ein Kennwort, dessen Gültigkeit in Kürze abläuft. Das
IVE fängt die Benachrichtigung über das abgelaufene Kennwort ab, zeigt sie dem
Benutzer in der IVE-Oberfläche an und leitet dann die Antwort des Benutzers an
den LDAP-Server zurück, ohne dass sich der Benutzer separat am LDAP-Server
anmelden muss.
Benutzer, Administratoren und Supportadministratoren, die in Umgebungen tätig
sind, in denen zeitlich begrenzte Kennwörter verwendet werden, werden die
Funktion zur Kennwortverwaltung hilfreich finden. Sind Benutzer über das
Ablaufen ihres Kennwortes nicht informiert, können diese ihr Kennwort über das
IVE selbst ändern, anstatt sich an den Support zu wenden.
Mit der Kennwortverwaltungsfunktion können die Benutzer ihre Kennwörter
ändern, wenn sie dazu aufgefordert werden oder aus einem anderen Grund ein
neues Kennwort wünschen. Beispiel: Während der Anmeldung wird der Benutzer
vom IVE darüber informiert, dass das Kennwort bald abläuft oder bereits
abgelaufen ist. Ist das Kennwort bereits abgelaufen, fordert das IVE den Benutzer
auf, das Kennwort zu ändern. Ist das Kennwort nicht abgelaufen, ermöglicht das
IVE dem Benutzer die Anmeldung am IVE mit seinem aktuellen Kennwort. Nach
der Anmeldung kann der Benutzer sein Kennwort auf der Seite Preferences ändern.
Mit der Kennwortverwaltungsfunktion können die Benutzer ihre Kennwörter
ändern, wenn sie dazu aufgefordert werden oder aus einem anderen Grund ein
neues Kennwort wünschen. Beispiel: Während der Anmeldung wird der Benutzer
vom IVE darüber informiert, dass das Kennwort bald abläuft oder bereits
abgelaufen ist. Ist das Kennwort bereits abgelaufen, fordert das IVE den Benutzer
auf, das Kennwort zu ändern. Ist das Kennwort nicht abgelaufen, ermöglicht das
IVE dem Benutzer die Anmeldung am IVE mit seinem aktuellen Kennwort. Nach
der Anmeldung kann der Benutzer sein Kennwort auf der Seite Preferences ändern.
Nach der Aktivierung führt das IVE eine Reihe von Abfragen durch, um
Benutzerkontoinformationen wie das Datum, an dem das Benutzerkennwort
festgelegt wurde, das Ablaufdatum des Kontos usw. festzustellen. Das IVE
verwendet hierzu seinen internen LDAP- oder Samba-Client. Viele Server wie z.B.
Microsoft Active Directory oder Sun iPlanet verfügen über eine Verwaltungskonsole
zum Konfigurieren von Konto- und Kennwortoptionen.
Konfigurieren einer LDAP-Serverinstanz 117
Juniper Networks Secure Access – Administratorhandbuch
Dieser Abschnitt enthält die folgenden Themen mit Informationen über die LDAPKennwortverwaltung:
„Aufgabenzusammenfassung: Aktivieren der LDAP-Kennwortverwaltung“ auf
Seite 118
„Unterstützte LDAP-Verzeichnisse und -Server“ auf Seite 118
„Unterstützte Funktionen für die LDAP-Kennwortverwaltung“ auf Seite 119
Aufgabenzusammenfassung: Aktivieren der LDAP-Kennwortverwaltung
So aktivieren Sie die Kennwortverwaltung über das IVE:
1. Installieren Sie auf der Seite System > Configuration > Licensing der
Administratorkonsole eine UPG-Password Management Integration-Lizenz oder
die Advanced-Lizenz.
2. Erstellen Sie über die Seite Authentication> Auth. Servers der
Administratorkonsole eine Instanz für den LDAP-Server.
3. Weisen Sie dem LDAP-Server über die Seite Administrators/Users > User
Realms > [Bereich] > General der Administratorkonsole einen Bereich zu.
4. Aktivieren Sie auf der Seite Administrators/Users > User Realms > [Bereich] >
Authentication Policy >Password der Administratorkonsole die
Kennwortverwaltung. Die Option Enable Password Management ist nur
verfügbar, wenn der Authentifizierungsserver des Bereichs ein LDAP- oder
NT/AD-Server ist.
Unterstützte LDAP-Verzeichnisse und -Server
Das IVE unterstützt die Kennwortverwaltung mit den folgenden LDAPVerzeichnissen:
Microsoft Active Directory/Windows NT
Sun iPlanet
Novell eDirectory
Generische LDAP-Verzeichnisse wie IBM Secure Directory und OpenLDAP
Das IVE unterstützt außerdem die Kennwortverwaltung mit den folgenden
Windows-Servern:
Microsoft Active Directory
Microsoft Active Directory 2003
Windows NT 4.0
Die folgenden Abschnitt enthält Informationen zu einzelnen Servertypen.
118
Konfigurieren einer LDAP-Serverinstanz
Kapitel 7: Authentifizierungs- und Verzeichnisserver
Microsoft Active Directory
Die Übertragung von Änderungen der Sicherheitsrichtlinie für die Active
Directory-Domäne auf Active Directory-Domänencontroller dauert mindestens
5 Minuten. Diese Informationen werden nicht auf den Domänencontroller
übertragen, auf dem sie ursprünglich konfiguriert wurden. Hierbei handelt es
sich um eine Einschränkung von Active Directory.
Beim Ändern von Kennwörtern in Active Directory mit LDAP wechselt IVE
automatisch zu LDAPS, selbst wenn LDAPS nicht die konfigurierte LDAPMethode ist. Zur Unterstützung von LDAPS auf dem Active Directory-Server
müssen Sie im persönlichen Zertifikatspeicher des Servers ein gültiges SSLZertifikat installieren. Das Zertifikat muss von einer vertrauten
Zertifizierungsstelle signiert sein, und der allgemeine Name (CN) im Feld
Subject des Zertifikats muss den Hostnamen des Active Directory-Servers
enthalten. Beispiel: adsrv1.firma.com. Zum Installieren des Zertifikats wählen
Sie das Snap-In „Certificates“ der Microsoft Management Console (MMC).
Die Option Account Expires auf der Registerkarte User Account Properties
wird nur bei Ablauf des Kontos, nicht jedoch bei Ablauf des Kennworts geändert.
Wie unter „Unterstützte Funktionen für die LDAP-Kennwortverwaltung“ auf
Seite 119 erklärt, berechnet Microsoft Active Directory das Kennwortablaufdatum
mit den Werten Maximum Password Age und Password Last Set, die aus dem
Benutzerrichtlinien- und dem Domänensicherheitsrichtlinien-LDAP-Objekt
abgerufen werden.
Sun iPlanet
Ist auf dem iPlanet-Server die Option User must change password after reset
aktiviert, müssen Sie das Benutzerkennwort zurücksetzen. Erst dann ist diese
Funktion wirksam. Hierbei handelt es sich um eine Einschränkung von iPlanet.
Allgemein
Das IVE zeigt nur dann einen Warnhinweis über den Kennwortablauf an, wenn das
Kennwort in maximal 14 Tagen abläuft. Das IVE zeigt die Meldung während der
Anmeldung am IVE an. Der Warnhinweis enthält die verbleibenden Tage, Stunden
und Minuten bis zum Ablauf des Kennworts auf dem Server. Standardmäßig werden
14 Tage festgelegt; diese Gültigkeitsdauer kann jedoch auf der Konfigurationsseite
Administrators|Users > Admin Realms|User Realms> Authorization >
Password der Administratorkonsole geändert werden.
Unterstützte Funktionen für die LDAP-Kennwortverwaltung
Die folgende Matrix beschreibt die von Juniper Networks unterstützt
Kennwortverwaltungsfunktionen, die entsprechenden Funktionsnamen in den
einzelnen LDAP-Verzeichnissen und alle zusätzlichen relevanten Details. Diese
Funktionen müssen durch den LDAP-Server selbst festgelegt werden, bevor das IVE
die entsprechenden Meldungen, Funktionen und Beschränkungen an Endbenutzer
weitergeben kann. Bei der Authentifizierung mit einem generischen LDAP-Server
wie IBM Secure Directory unterstützt das IVE nur die Authentifizierung und erlaubt
es Benutzern, ihre Kennwörter zu ändern.
Konfigurieren einer LDAP-Serverinstanz 119
Juniper Networks Secure Access – Administratorhandbuch
Tabelle 7: Unterstützte Funktionen für die Kennwortverwaltung
Funktion
Active Directory
iPlanet
Novell eDirectory
Generisch
Authenticate user
unicodePwd
userPassword
userPassword
userPassword
Allow user to change
password if licensed
and if enabled
Server informiert in BindAntwort (verwendet
ntSecurityDescriptor)
If passwordChange ==
ON
If passwordAllowChange
== TRUE
Yes
Log out user after
password change
Yes
Yes
Yes
Yes
Force password
change at next login
If pwdLastSet == 0
If passwordMustChange
== ON
If pwdMustChange ==
TRUE
Password expired
notification
userAccountControl==
0x80000
If Bind Response includes
date/time-Wert in
OID
2.16.840.1.113730.3.4.4
== 0
überprüfen
Password expiration
notification (in X
days/hours)
120
if pwdLastSet - now() <
maxPwdAge - 14 days
If Bind Response includes
control OID
((maxPwdAge wird aus
Domänenattributen
gelesen)
(IVE zeigt Warnhinweis an,
wenn kürzer als 14 Tage)
(beinhaltet Datum/Zeit)
(IVE zeigt Warnhinweis an,
wenn kürzer als 14 Tage)
2.16.840.1.113730.3.4.5
passwordExpirationTime
If now() passwordExpirationTime<
14 days
(IVE zeigt Warnhinweis an,
wenn kürzer als 14 Tage)
Disallow
authentication if
„account
disabled/locked“
userAccountControl==
0x2 (Disabled)
accountExpires
userAccountControl ==
0x10 (Locked)
lockoutTime
Bind ErrorCode: 53
„Account Inactivated“
Bind Error Code: 19
„Exceed Password Retry
Limit“
Bind ErrorCode: 53
„Account Expired“
Bind ErrorCode: 53 „Login
Lockout“
Honor „password
history“
Server informiert in BindAntwort
Server informiert in BindAntwort
Server informiert in BindAntwort
Enforce „minimum
password length“
Wenn festgelegt, informiert Wenn festgelegt, informiert Wenn festgelegt, informiert
das IVE den Benutzer über das IVE den Benutzer über das IVE den Benutzer über
passwordMinimumLength
passwordMinLength
minPwdLength
Disallow user from
changing password
too soon
If pwdLastSet - now() <
minPwdAge, then we
disallow
Honor „password
complexity“
If pwdProperties == 0x1, Server informiert in Bindthen enabled. Komplexität Antwort
bedeutet, dass das neue
Kennwort nicht den
Benutzernamen, den Voroder Nachnamen enthalten
darf und Zeichen aus drei
der folgenden vier
Kategorien enthalten muss:
Großbuchstaben,
Kleinbuchstaben, Ziffern
und nichtalphabetische
Zeichen (z.B. !, $, %)
Konfigurieren einer LDAP-Serverinstanz
Server informiert in BindIf passwordMinAge > 0,
then if now() is earlier than Antwort
passwordAllowChangeTime,
then we disallow
Server informiert in BindAntwort
Kapitel 7: Authentifizierungs- und Verzeichnisserver
AD/NT-Kennwortverwaltungsmatrix
Die folgende Matrix beschreibt die von Juniper Networks unterstützten
Kennwortverwaltungsfunktionen.
Tabelle 8: AD/NT-Kennwortverwaltungsmatrix
Funktion
Active Directory
Active Directory 2003 Windows NT
Authenticate user
Yes
Yes
Yes
Allow user to change password if licensed and
if enabled
Yes
Yes
Yes
Log out user after password change
Yes
Yes
Yes
Force password change at next login
Yes
Yes
Yes
Password expired notification
Yes
Yes
Yes
Account disabled
Yes
Yes
Yes
Account expired
Yes
Yes
Yes
Yes
Yes
Yes
Fehlerbehebung bei der LDAP-Kennwortverwaltung im IVE
Senden Sie uns zur Fehlerbehebung alle zutreffenden IVE-Protokolle, Serverprotokolle,
Konfigurationsinformationen und eine TCP-Ablaufverfolgung vom IVE zu. Wechseln
Sie bei der Verwendung von LDAPS in der IVE-LDAP-Serverkonfiguration zur LDAPOption „Unencrypted“, während Sie die LDAP-TCP-Ablaufverfolgung durchführen.
Konfigurieren einer lokalen Authentifizierungsserverinstanz
Im IVE können Sie eine oder mehrere lokale Datenbanken für vom IVE authentifizierte
Benutzer erstellen. Sie können lokale Benutzerdatensätze für Benutzer erstellen, die
normalerweise von einem externen Authentifizierungsserver überprüft werden, den
Sie deaktivieren möchten. Dies bietet sich auch an, wenn Sie eine Gruppe von
temporären Benutzern erstellen möchten. Hinweis: Alle Administratorenkonten
werden als lokale Datensätze gespeichert, Administratoren können jedoch über einen
externen Server authentifiziert werden. Anweisungen hierfür finden Sie unter
„Definieren von Authentifizierungsrichtlinien“ auf Seite 180.
Dieser Abschnitt enthält die folgenden Informationen über lokale
Authentifizierungsserver:
„Definieren einer lokalen Authentifizierungsserverinstanz“ auf Seite 122
„Erstellen von Benutzerkonten auf einem lokalen Authentifizierungsserver“ auf
Seite 124
„Verwalten von Benutzerkonten“ auf Seite 125
„Delegieren von Benutzerverwaltungsrechten an Endbenutzer“ auf Seite 126
Konfigurieren einer lokalen Authentifizierungsserverinstanz 121
Juniper Networks Secure Access – Administratorhandbuch
Definieren einer lokalen Authentifizierungsserverinstanz
Beim Definieren einer neuen lokalen Authentifizierungsserverinstanz müssen Sie
einen eindeutigen Namen für den Server eingeben und neben den Kennwortoptionen
auch die Kennwortverwaltung konfigurieren. Mit den Kennwortoptionen haben Sie
die Möglichkeit, die Länge des Kennworts, seine Zusammensetzung und Eindeutigkeit
zu kontrollieren. Bei Bedarf können Sie Benutzern das Ändern ihres Kennworts
ermöglichen, und sie zwingen, Kennwörter nach einer bestimmten Anzahl von Tagen
zu ändern. Sie können die Benutzer auch einige Tage vor dem Ablaufdatum des
Kennworts auffordern, das Kennwort zu ändern.
So definieren Sie eine lokale Authentifizierungsserverinstanz:
1. Wählen Sie in der Administratorkonsole Authentication > Auth. Servers.
2. Führen Sie einen der folgenden Vorgänge aus:
Um eine neue Serverinstanz auf dem IVE zu erstellen, wählen Sie in der
Liste New den Eintrag Local Authentication aus, und klicken Sie
anschließend auf New Server.
Klicken Sie zum Aktualisieren einer vorhandenen Serverinstanz auf den
entsprechenden Link in der Liste Authentication/Authorization Servers.
3. Geben Sie zur Bezeichnung der neuen Serverinstanz einen Namen ein, oder
ändern Sie den aktuellen Namen eines vorhandenen Servers.
4. Kennwortoptionen angeben:
a.
Legen Sie unter Password options die Mindestzeichenzahl für Kennwörter fest.
b.
Legen Sie die maximale Zeichenzahl für Kennwörter fest (optional). Die
maximale Zeichenzahl kann nicht kleiner als die Mindestlänge sein. Für die
maximale Zeichenzahl gibt es keine Obergrenze.
HINWEIS:
Wenn die auf dem Authentifizierungsserver eingestellte Zeichenzahl kürzer als
die auf dem IVE angegebene maximale Zeichenzahl ist, erhalten Sie
möglicherweise eine Fehlermeldung, wenn Sie ein längeres Kennwort
eingeben, als auf dem Authentifizierungsserver festgelegt wurde. Die
Administratorkonsole ermöglicht die Eingabe von Kennwörtern beliebiger
Länge, allerdings bestimmt das Maximum für den Authentifizierungsserver
die Gültigkeit der Kennwortlänge.
Wenn Sie möchten, dass alle Kennwörter dieselbe Länge haben, legen Sie für
die Mindestlänge und für die maximale Länge denselben Wert fest.
c.
122
Aktivieren Sie das Kontrollkästchen Password must have at least_digits,
und geben Sie die erforderliche Ziffernzahl für Kennwörter an (optional).
Die erforderliche Ziffernzahl darf den Wert der Option Maximum length
nicht überschreiten.
Konfigurieren einer lokalen Authentifizierungsserverinstanz
Kapitel 7: Authentifizierungs- und Verzeichnisserver
d. Aktivieren Sie das Kontrollkästchen Password must have at least_letters,
und geben Sie die erforderliche Buchstabenzahl für Kennwörter an
(optional). Die erforderliche Anzahl von Buchstaben darf den Wert der
Option Maximum length nicht überschreiten. Wenn Sie die vorhergehende
Option aktiviert haben, darf die Summe der beiden Optionen den in der
Option Maximum length angegebenen Wert nicht überschreiten.
e.
Aktivieren Sie das Kontrollkästchen Password must have mix of
UPPERCASE and lowercase letters, wenn alle Kennwörter eine Mischung
aus Groß- und Kleinbuchstaben beinhalten sollen (optional).
HINWEIS: Wenn Sie sowohl Groß- als auch Kleinbuchstaben verlangen, muss die
geforderte Buchstabenzahl für Kennwörter mindestens zwei betragen.
f.
Aktivieren Sie das Kontrollkästchen Password must be different from
username, wenn sich das Kennwort vom Benutzernamen unterscheiden
soll (optional).
g.
Aktivieren Sie das Kontrollkästchen New passwords must be different
from previous password, wenn sich das neue Kennwort vom
vorangegangenen Kennwort unterscheiden soll (optional).
5. Optionen für die Kennwortverwaltung angeben:
a.
Aktivieren Sie unter Password management das Kontrollkästchen Allow
users to change their passwords, wenn Sie Benutzern das Ändern ihrer
Kennwörter ermöglichen möchten (optional).
b.
Aktivieren Sie das Kontrollkästchen Force password change after _ days, und
geben Sie die Anzahl von Tagen an, nach denen ein Kennwort abläuft (optional).
HINWEIS: Die Standardeinstellung ist 64 Tage, kann aber beliebig geändert werden.
c.
Aktivieren Sie das Kontrollkästchen Prompt users to change their
password _ days before current password expires, und geben Sie die
Anzahl der Tage an, an denen der Benutzer darüber informiert wird, wann
das Kennwort abläuft (optional).
HINWEIS: Die Standardeingabe ist 14 Tage, aber Sie können den Wert ändern und
jede Zahl kleiner als die in der vorhergehenden Option angegebene Zahl eintragen.
Konfigurieren einer lokalen Authentifizierungsserverinstanz 123
Juniper Networks Secure Access – Administratorhandbuch
6. Klicken Sie auf Save Changes. Wenn Sie zum ersten Mal eine Serverinstanz
erstellen, werden die Registerkarten Users und Admin Users angezeigt.
HINWEIS: Nachdem Sie Kennwortoptionen und Optionen zur Kennwortverwaltung
festgelegt haben, müssen Sie angeben, welche Bereiche vom Server für die
Authentifizierung und Autorisierung von Administratoren und Benutzern
verwendet werden sollen. Legen Sie mithilfe der Optionen auf der Seite Enable
Password Management option on the Administrators|Users > Admin
Realms|User Realms > Bereich > Authentication Policy > Password fest, ob
der Bereich die Kennwortverwaltungseinstellungen von der lokalen
Authentifizierungsserverinstanz übernimmt. Informationen über das Aktivieren
der Kennwortverwaltung finden Sie unter „Angeben von
Kennwortzugriffseinschränkungen“ auf Seite 51.
Erstellen von Benutzerkonten auf einem lokalen Authentifizierungsserver
Wenn Sie eine lokale Authentifizierungsserverinstanz erstellen, müssen Sie für diese
Datenbank Datensätze für lokale Benutzer definieren. Lokale Benutzerdatensätze
bestehen aus einem Benutzernamen, dem vollständigen Namen und dem
Kennwort des Benutzers. Sie können lokale Benutzerdatensätze für Benutzer
erstellen, die normalerweise von einem externen Authentifizierungsserver
überprüft werden, den Sie deaktivieren möchten. Dies bietet sich auch an, wenn
Sie schnell eine Gruppe von temporären Benutzern erstellen möchten.
So erstellen Sie lokale Benutzerdatensätze für einen lokalen Authentifizierungsserver:
1. Wählen Sie in der Administratorkonsole Authentication > Auth. Servers.
2. Klicken Sie auf die IVE-Datenbank, der Sie ein Benutzerkonto hinzufügen möchten.
3. Wählen Sie die Registerkarte Users aus, und klicken Sie auf New.
4. Geben Sie einen Benutzernamen und den vollständigen Namen des Benutzers
ein. Hinweis:
In Benutzernamen darf die Zeichenkombination „~~“ nicht enthalten sein.
Wenn Sie den Benutzernamen eines Benutzers nach dem Erstellen seines
Kontos ändern möchten, müssen Sie ein neues Konto erstellen.
5. Geben Sie das Kennwort ein, und bestätigen Sie es. Das Kennwort muss den für
die zugehörige lokale Authentifizierungsserverinstanz definierten
Kennwortoptionen entsprechen.
6. Wählen Sie One-time use (disable account after the next successful sign-in)
aus, um einem Benutzer nur eine Anmeldung zu ermöglichen. Nach einer
erfolgreichen Anmeldung wird der Anmeldestatus des Benutzers Disabled
gesetzt, und dem Benutzer wird bei nachfolgenden Anmeldeversuchen eine
Fehlermeldung angezeigt. Sie können diese Option jedoch in der
Administratorkonsole manuell zurücksetzen, um demselben Benutzer eine
erneute Anmeldung zu gestatten. Wenn diese Option deaktiviert bleibt, heißt
das, dass Sie einen permanenten Benutzer erstellen.
124
Konfigurieren einer lokalen Authentifizierungsserverinstanz
Kapitel 7: Authentifizierungs- und Verzeichnisserver
7. Wählen Sie Enabled aus, falls noch nicht geschehen. Diese Option wird vom
Administrator verwendet, um selektiv einen Benutzer zu aktivieren bzw. zu
deaktivieren (einmalig oder permanent). In der Standardeinstellung ist die
Option aktiviert. Falls die Option One-time use aktiviert ist, ändert sie sich
nach der erfolgreichen Anmeldung des Benutzers in Disabled. Wenn ein
permanenter oder einmaliger Benutzer angemeldet ist und Sie diese Option
deaktivieren, wird der Benutzer sofort abgemeldet, und ihm wird eine
Fehlermeldung angezeigt.
8. Wählen Sie die Option Require user to change password at next sign in aus,
um den Benutzer bei der nächsten Anmeldung zur Änderung seines Kennworts
zu zwingen.
HINWEIS: Wird der Benutzer zur Änderung des Kennworts aufgefordert, muss
auch die Option Allow users to change their passwords ausgewählt werden.
Legen Sie mit den Optionen auf der Seite Administrators|Users > Admin
Realms|User Realms > [Bereich] > Authentication Policy > Password fest, für
welche Bereiche die Kennwortverwaltungsfunktionen des Servers übernommen
werden soll.
9. Klicken Sie auf Save Changes. Der Benutzerdatensatz wird der IVE-Datenbank
hinzugefügt.
HINWEIS: In der Administratorkonsole wird die aktuelle Zugriffsstatistik für jedes
Benutzerkonto auf verschiedenen Users-Registerkarten der Konsole unter
mehreren Spalten mit der Bezeichnung Last Sign-in Statistic angezeigt. Die
Statistik enthält unter anderem Datum und Zeit der letzten erfolgreichen
Anmeldung für jeden Benutzer, die IP-Adresse des Benutzers sowie Typ und
Version des Agenten bzw. Browsers.
Verwalten von Benutzerkonten
So verwalten Sie ein lokales Benutzerkonto:
1. Wählen Sie in der Administratorkonsole Authentication > Auth. Servers.
2. Klicken Sie in der Liste Authentication/Authorization Servers auf die geeignete
Serververbindung.
3. Wählen Sie die Registerkarte Users.
4. Führen Sie eine der folgenden Aufgaben durch:
Geben Sie im Feld Show users named einen Benutzernamen ein, und
klicken Sie auf Update, um nach einem bestimmten Benutzer zu suchen.
Konfigurieren einer lokalen Authentifizierungsserverinstanz 125
Juniper Networks Secure Access – Administratorhandbuch
Sie können auch ein Sternchen (*) als Platzhalter verwenden, das für eine
beliebige Anzahl von Zeichen steht (null, eins oder mehrere). Wenn Sie z.B.
nach allen Benutzernamen suchen möchten, die die Buchstaben jo
enthalten, geben Sie im Feld Show users named field die Zeichenfolge *jo*
ein. Bei der Suche wird die Groß- und Kleinschreibung berücksichtigt. Wenn
Sie wieder die gesamte Liste der Gruppenkonten anzeigen möchten, geben
Sie * ein, oder löschen Sie den Feldinhalt, und klicken Sie dann auf Update.
Geben Sie im Feld Show N users eine Zahl ein, und klicken Sie auf Update,
um die Anzahl von Benutzern anzugeben, die auf der Seite angezeigt
werden.
Aktivieren Sie das Kontrollkästchen neben den jeweiligen Benutzern, und
klicken Sie anschließend auf Delete, um deren IVE-Sitzungen zu beenden.
Delegieren von Benutzerverwaltungsrechten an Endbenutzer
Benutzeradministratoren können lokale Authentifizierungsserver verwalten.
Benutzeradministratoren können keine Bereiche oder Rollenzuordnungen
verwalten. Daher wird die Aktivierung der Funktion „User Admin“ nur empfohlen,
wenn die Rollenzuordnungsregeln des Authentifizierungsbereichs es nicht
zugeordneten Benutzern (*) erlauben, sich am IVE anzumelden, sodass der
Benutzeradministrator neue Benutzer ohne Eingreifen des Administrators
hinzufügen kann. (Wenn die Rollenzuordnungen automatisch erfolgen, können
Benutzeradministratoren die neuen Benutzer ohne Hilfe des Administrators manuell
einer Rolle zuordnen.)
So delegieren Sie Benutzerverwaltungsrechte an einen Endbenutzer:
1. Wählen Sie in der Administratorkonsole Authentication > Auth. Servers.
2. Wählen Sie die lokale Authentifizierungsserverinstanz aus, die vom
Benutzeradministrator verwaltet werden soll, und klicken Sie anschließend auf
die Registerkarte Admin Users.
HINWEIS: Benutzeradministratoren können nur lokale Authentifizierungsserver
verwalten.
3. Geben Sie den Username des Benutzers ein, der Konten für den ausgewählten
Authentifizierungsserver verwalten soll. Dieser Benutzer muss auf dem Server,
den er verwaltet, nicht als lokaler Benutzer hinzugefügt werden.
HINWEIS: Achten Sie bei der Eingabe des Benutzernamens des Benutzeradministrators
auf die exakte Zeichenfolge. Diese muss genau übereinstimmen.
4. Wählen Sie den Authentication Realm aus, dem der Benutzeradministrator
zugeordnet wird, wenn er sich am IVE anmeldet.
5. Klicken Sie auf Add. Das IVE fügt den neuen Benutzeradministrator der Liste
User Admins im folgenden Format hinzu: Benutzername@Servername.
126
Konfigurieren einer lokalen Authentifizierungsserverinstanz
Kapitel 7: Authentifizierungs- und Verzeichnisserver
6. Wenn der angegebene Benutzeradministrator mehreren Bereichen zugeordnet
ist, wiederholen Sie ggf. die Schritte 3 bis 5, sodass der Benutzer den Server
unabhängig von dem Konto verwalten kann, über das er sich am IVE anmeldet.
7. Um dem Benutzer die Verwaltungsrechte wieder zu entziehen, wählen Sie in der
Liste User Admins den entsprechenden Namen aus, und klicken Sie auf Remove.
HINWEIS: Informationen zum Verwalten von Benutzern über die Startseite des
sicheren Gateways finden Sie in der Hilfe für den Endbenutzer im Thema
„Hinzufügen und Ändern von Benutzern“. Die Hilfe steht dem Endbenutzer nach
der Anmeldung am IVE zur Verfügung.
Konfigurieren einer NIS-Serverinstanz
Beim Authentifizieren von Benutzern mit einem UNIX/NIS-Server überprüft das IVE,
ob der auf der Anmeldeseite eingegebene Benutzername und das Kennwort einem
gültigen Paar aus Benutzer-ID und Kennwort auf dem NIS-Server entsprechen.
Beachten Sie, dass der an das IVE gesendete Benutzername keine zwei aufeinander
folgenden Tilden (~~) enthalten darf.
HINWEIS: Sie können NIS-Authentifizierung nur mit dem IVE verwenden, wenn
die Kennwörter auf dem NIS-Server im Crypt- oder MD5-Format gespeichert sind.
Außerdem können Sie dem IVE nur eine NIS-Serverkonfiguration hinzufügen, mit
der jedoch eine beliebige Anzahl von Bereichen authentifiziert werden kann.
So legen Sie eine NIS-Serverinstanz fest:
1. Wählen Sie in der Administratorkonsole Authentication > Auth. Servers.
2. Führen Sie einen der folgenden Vorgänge aus:
Um eine neue Serverinstanz auf dem IVE zu erstellen, wählen Sie in der
Liste New den Eintrag NIS Server aus, und klicken Sie anschließend auf
New Server.
Klicken Sie zum Aktualisieren einer vorhandenen Serverinstanz auf den
entsprechenden Link in der Liste Authentication/Authorization Servers.
3. Geben Sie einen Namen ein, um die Serverinstanz zu bezeichnen.
4. Geben Sie den Namen oder die IP-Adresse des NIS-Servers an.
5. Geben Sie den Domänennamen für den NIS-Server an.
6. Klicken Sie auf Save Changes. Wenn Sie zum ersten Mal eine Serverinstanz
erstellen, werden die Registerkarten Settings und Users angezeigt.
Konfigurieren einer NIS-Serverinstanz 127
Juniper Networks Secure Access – Administratorhandbuch
7. Geben Sie die Bereiche an, die der Server für die Authentifizierung und
Autorisierung von Administratoren und Benutzern verwenden soll. Weitere
Informationen finden Sie unter „Definieren von Authentifizierungsrichtlinien“
auf Seite 180.
HINWEIS: Informationen zum Überwachen und Löschen von Sitzungen von
Benutzern, die gegenwärtig über den Server angemeldet sind, finden Sie unter
„Überwachen von aktiven Benutzern“ auf Seite 738.
Konfigurieren einer RADIUS-Serverinstanz
Ein RADIUS-Server (Remote Authentication Dial-In User Service) ermöglicht Ihnen,
die Authentifizierung und Kontoverwaltung für Remotebenutzer zu zentralisieren.
Beim Authentifizieren von IVE-Benutzern mit einem RADIUS-Server müssen Sie den
Server so konfigurieren, dass das IVE als Client erkannt wird. Außerdem müssen Sie
für den RADIUS-Server einen gemeinsamen geheimen Schlüssel zur Verwendung
bei der Authentifizierung der Clientanforderung angeben.
Das IVE unterstützt die RADIUS-Standardauthentifizierungsschemas. Zu diesen
gehören folgende:
Access-Request
Access-Accept
Access-Reject
Access-Challenge
Das IVE unterstützt auch RSA ACE/Server unter Verwendung des RADIUS-Protokolls
und eines SecurID-Tokens (erhältlich von Security Dynamics). Wenn Sie für die
Authentifizierung von Benutzern SecurID verwenden, müssen die Benutzer ihre
Benutzer-ID und die Kombination aus PIN und dem Tokenwert angeben.
Beim Festlegen eines RADIUS-Servers gibt das IVE Administratoren die Möglichkeit,
entweder hartcodierte Anfrageausdrücke (Standard) zu verwenden, die Defender
4.0 und einige RADIUS-Server-Implementierungen unterstützen (wie SteelbeltedRADIUS und RSA RADIUS), oder benutzerdefinierte Anfrageausdrücke einzugeben,
die dem ermöglichen, mit vielen verschiedenen RADIUS-Implementierungen und
neuen Versionen vom RADIUS-Server wie Defender 5.0 zu arbeiten. Das IVE sucht
die Antwort im Access-Challenge-Paket vom Server und gibt eine Anfrage nach dem
nächsten Token, einer neuen PIN oder einem generischen Kenncode an den
Benutzer aus.
Dieser Abschnitt enthält die folgenden Informationen über RADIUS-Server:
128
„Optionen für RADIUS-Benutzer“ auf Seite 129
„Konfigurieren des IVE für die Zusammenarbeit mit einem RADIUS-Server“ auf
Seite 130
„Aktivieren der RADIUS-Kontoverwaltung“ auf Seite 132
Konfigurieren einer RADIUS-Serverinstanz
Kapitel 7: Authentifizierungs- und Verzeichnisserver
Optionen für RADIUS-Benutzer
Für den Benutzer unterscheidet sich das Authentifizierungsverhalten abhängig
davon, ob Sie einen PassGo Defender RADIUS-Server oder die CASQUEAuthentifizierung verwenden.
Verwenden eines PassGo Defender RADIUS-Servers
Wenn Sie einen PassGo Defender-RADIUS-Server verwenden, erfolgt die
Benutzeranmeldung folgendermaßen:
1. Der Benutzer meldet sich am IVE mit einem Benutzernamen und einem
Kennwort an. Das IVE leitet diese Anmeldedaten an Defender weiter.
2. Defender sendet eine eindeutige Anfragezeichenfolge an das IVE, und im IVE
wird diese Anfragezeichenfolge dem Benutzer angezeigt.
3. Der Benutzer gibt die Anfragezeichenfolge in einem Defender-Token ein, und
das Token erzeugt eine Antwortzeichenfolge.
4. Der Benutzer gibt die Antwortzeichenfolge im IVE ein und klickt auf Sign In.
Verwenden der CASQUE-Authentifizierung
Die CASQUE-Authentifizierung verwendet einen tokenbasierten Anfrage/AntwortAuthentifizierungsmechanismus, bei dem ein auf dem Clientsystem installierter
CASQUE-Player zur Anwendung kommt. Nachdem der RADIUS-Server mit der
CASQUE-Authentifizierung konfiguriert wurde, gibt er eine Anfrage mit einer auf
den benutzerdefinierten Anfrageausdruck passenden Antwort aus (:([0-9a-zAZ/+=]+):). Das IVE erstellt dann eine zwischengeschaltete Seite, die den auf dem
System des Benutzers installierten CASQUE-Player automatisch startet.
HINWEIS: Sollte der CASQUE-Player nicht automatisch gestartet werden, klicken
Sie auf den Link Launch CASQUE Player.
Die Benutzer müssen dann ihre CASQUE Optical Responder-Tokens zur Erstellung
des entsprechenden Kenncodes verwenden, den Kenncode im Feld Response
eingeben und auf Sign In klicken.
Abbildung 23: Anfrage/Antwort-Seite für CASQUE-Authentifizierung mit CASQUE-Player
Konfigurieren einer RADIUS-Serverinstanz 129
Juniper Networks Secure Access – Administratorhandbuch
Konfigurieren des IVE für die Zusammenarbeit mit einem RADIUS-Server
Dieser Abschnitt enthält die folgenden Anweisungen zur Konfiguration des IVE und
des RADIUS-Servers für die Zusammenarbeit:
„Festlegen einer IVE-RADIUS-Serverinstanz“ auf Seite 130
„Konfigurieren des RADIUS-Servers für die Erkennung des IVEs“ auf Seite 132
Festlegen einer IVE-RADIUS-Serverinstanz
So konfigurieren Sie eine Verbindung zum RADIUS-Server auf dem IVE:
1. Wählen Sie in der Administratorkonsole Authentication > Auth. Servers.
2. Führen Sie einen der folgenden Vorgänge aus:
Um eine neue Serverinstanz auf dem IVE zu erstellen, wählen Sie in der
Liste New den Eintrag Radius Server aus, und klicken Sie anschließend auf
New Server.
Klicken Sie zum Aktualisieren einer vorhandenen Serverinstanz auf den
entsprechenden Link in der Liste Authentication/Authorization Servers.
3. Geben Sie oben auf der Seite Radius Server zum Identifizieren der
Serverinstanz einen Namen an.
4. Geben Sie den Namen oder die IP-Adresse des RADIUS-Servers an.
5. Geben Sie den Wert für den Authentifizierungsport für den RADIUS-Server ein.
Normalerweise ist dies Port 1812, einige Legacyserver könnten jedoch auch
Port 1645 verwenden.
6. Geben Sie eine Zeichenfolge für den gemeinsamen geheimen Schlüssel ein. Sie
müssen diese Zeichenfolge auch eingeben, wenn Sie den RADIUS-Server für die
Erkennung des IVE-Geräts als Client konfigurieren.
7. Geben Sie den Wert für den Kontoführungsport für den RADIUS-Server ein.
Normalerweise ist dies Port 1813, einige Legacyserver könnten jedoch auch
Port 1646 verwenden.
8.
Geben Sie die NAS-IP-Adresse ein. Damit können Sie den an RADIUS-Anforderungen
übermittelten NAS-IP-Adressenwert steuern. Wenn Sie dieses Feld nicht ausfüllen,
wird die interne IP-Adresse des IVE an RADIUS-Anforderungen übermittelt. Wenn Sie
die NAS-IP-Adresse konfigurieren, wird dieser Wert unabhängig davon übermittelt,
welcher Clusterknoten die Anforderung sendet.
9. Geben Sie die Zeitspanne ein, für die das IVE auf eine Antwort vom RADIUSServer bis zur Zeitüberschreitung für die Verbindung warten soll.
10. Geben Sie die Anzahl der weiteren Verbindungsversuche ein, die das IVE nach
dem ersten fehlgeschlagenen Versuch ausführen soll.
130
Konfigurieren einer RADIUS-Serverinstanz
Kapitel 7: Authentifizierungs- und Verzeichnisserver
11. Aktivieren Sie das Kontrollkästchen Users authenticate using tokens or onetime passwords, wenn das vom Benutzer eingegebene Kennwort nicht an
andere SSO-kompatible Anwendungen gesendet werden soll. In der Regel
sollten Sie diese Option auswählen, wenn Benutzer Einmal-Kennwörter im IVE
eingeben. Weitere Informationen finden Sie unter „Anmeldedaten für
mehrfaches Anmelden – Übersicht“ auf Seite 205.
12. Geben Sie im Abschnitt Backup Server einen sekundären RADIUS-Server an,
der vom IVE verwendet werden soll, wenn der in dieser Instanz definierte
primäre Server nicht erreichbar ist. Geben Sie für den sekundären Server
folgende Angaben ein:
a.
Name oder IP-Adresse
b.
Authentifizierungsport
c.
Gemeinsamer geheimer Schlüssel
d. Kontoführungsport
13. Wenn Sie das Benutzeraufkommen für IVE mithilfe dieser Instanz des RADIUSServers ermitteln wollen, geben Sie im Abschnitt Radius Accounting folgende
Informationen ein:
a.
Geben Sie in das Feld NAS-Identifier den Namen des IVE Network Access
Server (NAS)-Client ein, der mit dem RADIUS-Server kommuniziert. Wenn
Sie dieses Feld leer lassen, verwendet das IVE den Wert, der im Feld
Hostname auf der Seite System > Network > Overview in der
Administratorkonsole festgelegt wurde. Sollte im Feld Hostname kein Wert
festgelegt sein, verwendet das IVE den Wert „Juniper IVE“.
b.
Geben Sie im Feld User-Name die Benutzerinformationen ein, die vom IVE an
den RADIUS-Kontoführungsserver gesendet werden sollen. Geben Sie nach
Belieben unter „Systemvariablen und Beispiele“ auf Seite 920 beschriebene,
zutreffende Sitzungsvariablen ein. Zu den zutreffenden Variablen zählen die
nach der Anmeldung und Rollenzuordnung des Benutzers festgelegten
Variablen. Die Standardvariablen für dieses Feld lauten:
<username> protokolliert den IVE-Benutzernamen des Benutzers auf
dem Kontoführungsserver.
<REALM> protokolliert den IVE-Bereich des Benutzers auf dem
Kontoführungsserver.
<ROLE> protokolliert die IVE-Rolle des Benutzers auf dem
Kontoführungsserver. Wird der Benutzer mehreren Rollen zugeordnet,
trennt das IVE die Rollen durch Kommas.
14. Fügen Sie eine Interim Update Level hinzu (in Minuten). Mithilfe der
Interimaktualisierungsebene können Sie eine genauere Abrechnung bei
bewährten Sitzungsclients sowie beim Ausfall des Netzwerks erreichen. Weitere
Informationen finden Sie unter „Informationen zur
Interimaktualisierungsfunktion“ auf Seite 142.
Konfigurieren einer RADIUS-Serverinstanz 131
Juniper Networks Secure Access – Administratorhandbuch
15. Fügen Sie einen benutzerdefinierten Anfrageausdruck hinzu (optional). Es
werden grundsätzlich drei Typen von Anfrageausdrücken unterschieden, wobei
jeder automatisch auf die voreingestellten Standardeinstellungen gesetzt wird.
Mit der benutzerdefinierten Option kann der Administrator das jeweilige
Zeichenfolgemuster auf einen der drei Typen abgleichen. Um einen
benutzerdefinierten Ausdruck hinzuzufügen, wählen Sie das Optionsfeld
Custom unter dem entsprechenden Anfrageausdrucktyp, und fügen Sie im
entsprechenden Textfeld einen benutzerdefinierten Ausdruck hinzu.
HINWEIS: Geben Sie bei Verwendung der CASQUE-Authentifizierung :([0-9a-zA-Z/+=]+):
als benutzerdefinierten Ausdruck für Generic Login Challenge Expression an.
16. Klicken Sie auf Save Changes. Wenn Sie zum ersten Mal eine Serverinstanz
erstellen, werden die Registerkarten Settings und Users angezeigt.
17. Geben Sie die Bereiche an, die der Server für die Authentifizierung,
Autorisierung oder Kontoführung von Administratoren und Benutzern
verwenden soll. Weitere Informationen finden Sie unter „Definieren von
Authentifizierungsrichtlinien“ auf Seite 180.
HINWEIS: Informationen zum Überwachen und Löschen der Sitzungen von
Benutzern, die gegenwärtig über den Server angemeldet sind, finden Sie unter
„Überwachen von aktiven Benutzern“ auf Seite 738.
Konfigurieren des RADIUS-Servers für die Erkennung des IVEs
Sie müssen den RADIUS-Server durch folgende Angaben so konfigurieren, dass er
den IVE-Server erkennt:
Hostname des IVE.
Netzwerk-IP-Adresse des IVE.
Clienttyp des IVE (sofern vorhanden). Wenn diese Option verfügbar ist, wählen
Sie „Single Transaction Server“ oder die entsprechende Option.
Verschlüsselungstyp für die Authentifizierung der Clientkommunikation. Die
ausgewählte Option muss mit dem Clienttyp übereinstimmen.
Der gemeinsame geheime Schlüssel, der in der Administratorkonsole auf der
Seite Authentication > Auth. Servers > Radius Server für den RADIUS-Server
eingegeben wurde.
Aktivieren der RADIUS-Kontoverwaltung
Das IVE kann so konfiguriert werden, dass es Meldungen über den Sitzungsstart
und das Sitzungsende an einen RADIUS-Kontoführungsserver sendet. Das IVE
erkennt zwei Kategorien von Sitzungen – Benutzersitzungen und Subsitzungen.
Eine Benutzersitzung kann mehrere Subsitzungen enthalten. Das IVE erkennt die
folgenden Arten von Subsitzungen:
132
JSAM
Konfigurieren einer RADIUS-Serverinstanz
Kapitel 7: Authentifizierungs- und Verzeichnisserver
WSAM
Network Connect
Das IVE sendet eine Meldung über den Benutzersitzungsstart, nachdem sich der
Benutzer erfolgreich angemeldet hat und ihm vom IVE eine Rolle zugeordnet
wurde. Das IVE sendet eine Meldung über den Subsitzungsstart, wenn die
Subsitzung aktiv wird, z.B. nach dem Start von JSAM. Das IVE sendet eine Meldung
über das Subsitzungsende, wenn der Benutzer explizit die Beendigung einer
Subsitzung anfordert oder die Benutzersitzung beendet wird.
Wenn eine Benutzersitzung beendet wird, sendet das IVE eine Meldung über das
Benutzersitzungsende an den Kontoführungsserver. Eine Benutzersitzung wird in
den folgenden Fällen beendet:
Der Benutzer meldet sich manuell vom IVE ab.
Die Verbindung des Benutzers mit dem IVE läuft aufgrund von Inaktivität oder
einer Überschreitung der maximalen Sitzungsdauer ab.
Dem Benutzer wird der Zugriff aufgrund von Host Checker- oder Cache
Cleaner-Einschränkungen auf Rollenebene verweigert.
Die Verbindung des Benutzers mit dem IVE wird manuell von einem Administrator
oder aufgrund einer dynamischen Richtlinienauswertung getrennt.
Das IVE sendet auch Beendigungsmeldungen für alle aktiven Subsitzungen. Die
Beendigungsmeldungen für die Subsitzungen werden vor den
Beendigungsmeldungen für die Benutzersitzung gesendet.
.
HINWEIS: Wenn Ihre Benutzer an einem IVE-Cluster angemeldet sind, wird in den
Kontoführungsmeldungen von RADIUS u. U. angezeigt, dass sich die Benutzer an
einem Knoten anmelden und an einem anderen abmelden.
Die folgenden drei Tabellen beschreiben die gemeinsamen Attribute von Start- und
Beendigungsmeldungen, die speziellen Attribute von Startmeldungen und die
speziellen Attribute von Beendigungsmeldungen.
Tabelle 9: Attribute von Start- und Beendigungsmeldungen
Attribut
Beschreibung
User-Name (1)
Während der RADIUS-Serverkonfiguration vom IVE-Administrator
festgelegte Zeichenfolge
NAS-IP-Addresse (4)
IP-Adresse des IVE
NAS-Port (5)
Das IVE setzt dieses Attribut auf 0, wenn sich der Benutzer an
einem internen Port angemeldet hat, und im Fall eines externen
Ports auf 1.
Framed-IP-Address (8)
Quell-IP-Adresse des Benutzers
NAS-Identifier (32)
Konfigurierter Name für den IVE-Client unter der RADIUSServerkonfiguration
Konfigurieren einer RADIUS-Serverinstanz 133
Juniper Networks Secure Access – Administratorhandbuch
Tabelle 9: Attribute von Start- und Beendigungsmeldungen (Fortsetzung)
Attribut
Beschreibung
Acct-Status-Type (40)
Das IVE setzt dieses Attribut für eine Startmeldung in einer Benutzeroder Subsitzung auf 1 und für eine Beendigungsmeldung auf 2.
Acct-Session-Id (44)
Eindeutige Kontoführungs-ID, die Start- und Beendigungsmeldungen
mit einer Benutzer- oder Subsitzung abgleicht
Acct-Multi-Session-Id (50)
Eindeutige Kontoführungs-ID, mit der mehrere verwandte
Sitzungen verknüpft werden können. Jeder verknüpften Sitzung
muss eine eindeutige „Acct-Session-Id“ und die gleiche „Acct-MultiSession-Id“ zugewiesen sein.
Acct-Link-Count (51)
Die Anzahl von Links in einer Sitzung mit mehreren Links zu dem
Zeitpunkt, zu dem das IVE den Kontoführungsdatensatz erstellt
Tabelle 10: Startattribute
Attribut
Beschreibung
Acct-Authentic (45)
Das IVE stellt dieses Attribut wie folgt ein:
RADIUS – wenn der Benutzer mit einem RADIUS-Server
authentifiziert wird.
Local – wenn der Benutzer mit einem lokalen
Authentifizierungsserver authentifiziert wird.
Remote – für allen anderen Authentifizierungsmethoden.
Tabelle 11: Beendigungsattribute
Attribut
Beschreibung
Acct-Session-Time (46)
Dauer der Benutzer- oder Subsitzung
Acct-Terminate-Cause (49)
Das IVE verwendet einen der folgenden Werte, um das Ereignis
anzugeben, das zur Beendigung einer Benutzer- oder Subsitzung
geführt hat:
User Request (1) – Manuelle Abmeldung des Benutzers
Idle Timeout (4) – Leerlaufzeitlimit für Benutzer überschritten
Session Timeout (5) – Sitzungszeitlimit für Benutzer überschritten
Admin Reset (6) – Benutzer zum Beenden der Seite Active Users
gezwungen
134
Acct-Input-Octets
Oktett-basierter Zähler der JSAM/WSAM/NC-Sitzungsebene, wenn
die Sitzung beendet wurde, und der -Benutzersitzungsebene, wenn
die Sitzung beendet und die Interimaktualisierungszeit erreicht
wurde. Vom IVE zum Client.
Acct-Output-Octets
Oktett-basierter Zähler der JSAM/WSAM/NC-Sitzungsebene, wenn
die Sitzung beendet wurde, und der -Benutzersitzungsebene, wenn
die Sitzung beendet und die Interimaktualisierungszeit erreicht
wurde. Vom Client zum IVE.
Konfigurieren einer RADIUS-Serverinstanz
Kapitel 7: Authentifizierungs- und Verzeichnisserver
Sie können eine Benutzersitzung und die in ihr enthaltenen Subsitzungen anhand
der Attribute „Acct-Session-Id“ und „Acct-Multi-Session-Id“ unterscheiden. In einer
Benutzersitzung sind diese beiden Attribute identisch. In einer Subsitzung ist das
Attribut „Acct-Multi-Session-Id“ mit dem Attribut für die übergeordnete
Benutzersitzung identisch, und das IVE kennzeichnet die Subsitzung durch eines
der folgenden Suffixe im Attribut „Acct-Session-Id“:
„JSAM“ für JSAM-Sitzungen
„WSAM“ für WSAM-Sitzungen
„NC“ für Network Connect-Sitzungen
Unterstützte RADIUS-Attribute
Die folgenden RADIUS-Attribute werden bei der RADIUS-Rollenzuordnung
unterstützt. Weitere Informationen finden Sie in den vollständigen Beschreibungen
(von denen die vorliegenden Beschreibungen abgeleitet wurden) auf der
FreeRADIUS-Website unter http://www.freeradius.org/rfc/attributes.html.
Tabelle 12: RADIUS-Rollenzuordnungsattribute
Attribut
Beschreibung
ARAP-Challenge-Response
Wird in einem Access-Accept-Paket mit FramedProtocol von ARAP gesendet und enthält die Antwort
auf die Anfrage des DFÜ-Clients.
ARAP-Features
Wird in einem Access-Accept-Paket mit FramedProtocol von ARAP gesendet. Enthält
Kennwortinformationen, die der NAS an den Benutzer
in einem ARAP-Feature-Flags-Paket senden muss.
ARAP-Password
Wird in einem Access-Request-Paket mit einem
Framed-Protocol von ARAP gesendet. Nur jeweils
User-Password, CHAP-Password oder ARAP-Password
muss in einer Access-Request- bzw. einer oder
mehreren EAP-Meldungen enthalten sein.
ARAP-Security
Identifiziert das ARAP-Sicherheitsmodul für ein
Access-Challenge-Paket.
ARAP-Security-Data
Enthält eine Sicherheitsmodulanfrage oder -antwort
und ist in Access-Challenge- und Access-RequestPaketen enthalten.
ARAP-Zone-Access
Gibt die Verwendung der ARAP-Zonenliste für den
Benutzer an.
Access-Accept
Stellt spezielle Konfigurationsinformationen bereit,
die zum Starten des Dienstes an den Benutzer
erforderlich sind.
Access-Challenge
Zum Senden einer Benutzeranfrage, die eine Antwort
erfordert, muss der RADIUS-Server auf Access-Request
durch Übertragen eines Pakets mit auf „11“ gesetztem
Feld „Code“ antworten (Access-Challenge).
Access-Reject
Falls ein Wert der empfangenen Attribute nicht akzeptabel
ist, muss der RADIUS-Server ein Paket mit auf „3“
gesetztem Feld „Code“ übertragen (Access-Reject).
Access-Request
Teilt Informationen mit, die den Benutzerzugriff auf
einen speziellen NAS sowie für diesen Benutzer
angeforderte spezielle Dienste angeben.
Konfigurieren einer RADIUS-Serverinstanz 135
Juniper Networks Secure Access – Administratorhandbuch
Tabelle 12: RADIUS-Rollenzuordnungsattribute (Fortsetzung)
136
Attribut
Beschreibung
Accounting-Request
Teilt Informationen mit, mit denen die Kontoführung
für einen dem Benutzer gelieferten Dienst
bereitgestellt wird.
Accounting-Response
Bestätigt, dass der Accounting-Request erfolgreich
empfangen und aufgezeichnet wurde.
Acct-Authentic
Gibt an, wie der Benutzer authentifiziert wurde,
entweder durch RADIUS, den NAS selbst oder ein
anderes Remoteauthentifizierungsprotokoll.
Acct-Delay-Time
Gibt an, wie viele Sekunden lang der Client versucht
hat, diesen Datensatz zu senden.
Acct-Input-Gigawords
Gibt an, wie oft der Acct-Input-Octets-Zähler im Verlauf
dieses gelieferten Dienstes um 2^32 umgeschlagen
wurde.
Acct-Input-Octets
Gibt an, wie viele Oktetts während der aktuellen
Sitzung vom Port empfangen wurden.
Acct-Input-Packets
Gibt an, wie viele Pakete vom Port während der
Sitzung an einen Framed User empfangen wurden.
Acct-Interim-Interval
Gibt die Zeit in Sekunden zwischen jeder
Interimaktualisierung für diese spezielle Sitzung an.
Acct-Link-Count
Die Anzahl von Links in einer bestimmten Sitzung mit
mehreren Links zu dem Zeitpunkt, zu dem der
Kontoführungsdatensatz erstellt wird.
Acct-Multi-Session-Id
Eine eindeutige Kontoführungs-ID, mit der mehrere
verwandte Sitzungen in einer Protokolldatei verknüpft
werden können.
Acct-Output-Gigawords
Gibt an, wie oft der Acct-Output-Octets-Zähler
während der aktuellen Sitzung um 2^32
umgeschlagen wurde.
Acct-Output-Octets
Gibt an, wie viele Oktetts während dieser Sitzung an
den Port gesendet wurden.
Acct-Output-Packets
Gibt an, wie viele Pakete während dieser Sitzung an
einen Framed User an den Port gesendet wurden.
Acct-Session-Id
Eine eindeutige Kontoführungs-ID zum Abgleichen
von Start- und Beendigungsdatensätzen in einer
Protokolldatei.
Acct-Session-Time
Zeigt an, wie viele Sekunden der Benutzer den Dienst
empfangen hat.
Acct-Status-Type
Zeigt an, ob dieses Accounting-Request den Start des
Benutzerdienstes (Start) oder das Ende (Stop) markiert.
Acct-Terminate-Cause
Zeigt an, wie die Sitzung beendet wurde.
Acct-Tunnel-Connection
Zeigt den der Tunnelsitzung zugewiesenen Bezeichner an.
Acct-Tunnel-Packets-Lost
Zeigt die Anzahl der auf einem bestimmten Link verloren
gegangenen Pakete an.
CHAP-Challenge
Enthält die vom NAS an einen PPP Challenge-Handshake
Authentication Protocol (CHAP)-Benutzer gesendete
CHAP-Anfrage.
Konfigurieren einer RADIUS-Serverinstanz
Kapitel 7: Authentifizierungs- und Verzeichnisserver
Tabelle 12: RADIUS-Rollenzuordnungsattribute (Fortsetzung)
Attribut
Beschreibung
CHAP-Password
Der Antwortwert von einem PPP ChallengeHandshake Authentication Protocol (CHAP)-Benutzer
auf die Anfrage.
Callback-Id
Der Name einer aufzurufenden Position, den der NAS
interpretieren muss.
Callback-Number
Die für den Rückruf zu verwendende
Wählzeichenfolge.
Called-Station-Id
Ermöglicht dem NAS das Senden der vom Benutzer
gewählten Telefonnummer mit Dialed Number
Identification (DNIS) oder einer ähnlichen Technologie.
Calling-Station-Id
Ermöglicht dem NAS das Senden der Telefonnummer,
von der der Anruf kam, mit Automatic Number
Identification (ANI) oder einer ähnlichen Technologie.
Class
Wird vom Server an den Client in einem Access-Accept
gesendet und anschließend vom Client unverändert
als Teil des Accounting-Request-Pakets an den
Kontoführungsserver sendet, falls die Kontoführung
unterstützt wird.
Configuration-Token
Zur Verwendung in großen verteilten
Authentifizierungsnetzwerken, basierend auf Proxy.
Connect-Info
Wird vom NAS gesendet, um die Art der
Benutzerverbindung anzugeben.
EAP-Message
Kapselt Extended Access Protocol [3]-Pakete, mit deren
Hilfe der NAS DFÜ-Benutzer über EAP authentifizieren
kann, ohne das EAP-Protokoll zu verstehen.
Filter-Id
Der Name der Filterliste für diesen Benutzer.
Framed-AppleTalk-Link
Die für den seriellen Link zum Benutzer verwendete
AppleTalk-Netzwerknummer (ein weiterer
AppleTalk-Router).
Framed-AppleTalk-Network
Die AppleTalk-Netzwerknummer, die der NAS zum
Zuweisen eines AppleTalk-Knotens für den Benutzer
sondieren kann.
Framed-AppleTalk-Zone
Die für diesen Benutzer zu verwendende AppleTalkStandardzone.
Framed-Compression
Ein für den Link zu verwendendes
Komprimierungsprotokoll.
Framed-IP-Address
Die für den Benutzer zu konfigurierende Adresse.
Framed-IP-Netmask
Die für den Benutzer zu konfigurierende IP-Netzmaske,
wenn der Benutzer ein Router zu einem Netzwerk ist.
Framed-IPv6-Pool
Enthält den Namen eines zugewiesenen Pools, mit dem
ein IPv6-Präfix für den Benutzer zugewiesen wurde.
Framed-IPv6-Route
Für den Benutzer auf dem NAS zu konfigurierende
Routinginformationen.
Framed-IPX-Network
Die für den Benutzer zu konfigurierende IPXNetzwerknummer.
Framed-MTU
Die für den Benutzer zu konfigurierende Maximum
Transmission Unit, wenn sie nicht anderweitig (z.B.
über PPP) ausgehandelt wird.
Konfigurieren einer RADIUS-Serverinstanz 137
Juniper Networks Secure Access – Administratorhandbuch
Tabelle 12: RADIUS-Rollenzuordnungsattribute (Fortsetzung)
138
Attribut
Beschreibung
Framed-Pool
Der Name eines zugewiesenen Adresspools, mit dem
eine Adresse für den Benutzer zugewiesen wurde.
Framed-Protocol
Das für Framed-Zugriff zu verwendende Framing.
Framed-Route
Für den Benutzer auf dem NAS zu konfigurierende
Routinginformationen.
Framed-Routing
Die Routingmethode für den Benutzer, wenn der
Benutzer ein Router zu einem Netzwerk ist.
Idle-Timeout
Legt die maximale Anzahl aufeinander folgender
Sekunden von Leerlauf fest, die für den Benutzer vor
der Beendigung der Sitzung oder einer
Eingabeaufforderung zulässig sind.
Keep-Alives
Verwendet SNMP statt Keep-Alives.
Login-IP-Host
Zeigt das System an, mit dem der Benutzer verbunden
wird, wenn das Attribut Login-Service enthalten ist.
Login-LAT-Group
Enthält eine Zeichenfolge zur Bezeichnung der LATGruppencodes, für deren Verwendung dieser Benutzer
autorisiert ist.
Login-LAT-Node
Zeigt den Knoten an, mit dem der Benutzer durch LAT
automatisch verbunden werden soll.
Login-LAT-Port
Zeigt den Port an, mit dem der Benutzer durch LAT
verbunden werden soll.
Login-LAT-Service
Zeigt das System an, mit dem der Benutzer durch LAT
verbunden werden soll.
Login-Service
Zeigt den Dienst an, über den der Benutzer mit dem
Anmeldehost verbunden werden soll.
Login-TCP-Port
Zeigt den TCP-Port an, mit dem der Benutzer
verbunden werden soll, wenn das Attribut LoginService ebenfalls vorhanden ist.
MS-ARAP-Challenge
Nur in einem Access-Request-Paket vorhanden, das ein
Framed-Protocol-Attribut mit dem Wert 3 enthält (ARAP).
MS-ARAP-Password-Change-Reason
Zeigt den Grund für eine vom Server initiierte
Kennwortänderung an.
MS-Acct-Auth-Type
Stellt die Methode zur Authentifizierung des DFÜBenutzers dar.
MS-Acct-EAP-Type
Stellt den zur Authentifizierung des DFÜ-Benutzers
verwendeten Extensible Authentication Protocol (EAP)
[15]-Typ dar.
MS-BAP-Usage
Beschreibt, ob die Verwendung von BAP für Anrufe
mit mehreren Links zulässig, nicht zulässig oder
erforderlich ist.
MS-CHAP-CPW-1
Gestattet dem Benutzer das Ändern eines
abgelaufenen Kennworts.
MS-CHAP-CPW-2
Gestattet dem Benutzer das Ändern eines
abgelaufenen Kennworts.
MS-CHAP-Challenge
Enthält die von einem NAS an einen Microsoft
Challenge-Handshake Authentication Protocol (MSCHAP)-Benutzer gesendete Anfrage.
Konfigurieren einer RADIUS-Serverinstanz
Kapitel 7: Authentifizierungs- und Verzeichnisserver
Tabelle 12: RADIUS-Rollenzuordnungsattribute (Fortsetzung)
Attribut
Beschreibung
MS-CHAP-Domain
Zeigt die Windows NT-Domäne an, in der der Benutzer
authentifiziert wurde.
MS-CHAP-Error
Enthält Fehlerdaten zum vorhergehenden MS-CHAPAustausch.
MS-CHAP-LM-Enc-PW
Enthält das neue, mit dem alten LAN ManagerKennwort-Hash verschlüsselte Windows NT-Kennwort.
MS-CHAP-MPPE-Keys
Enthält zwei Sitzungsschlüssel für das Microsoft Pointto-Point Encryption Protocol (MPPE).
MS-CHAP-NT-Enc-PW
Enthält das neue, mit dem alten Windows NTKennwort-Hash verschlüsselte Windows NT-Kennwort.
MS-CHAP-Response
Enthält den Antwortwert von einem PPP Microsoft
Challenge-Handshake Authentication Protocol (MSCHAP)-Benutzer auf die Anfrage.
MS-CHAP2-CPW
Gestattet dem Benutzer das Ändern eines
abgelaufenen Kennworts.
MS-CHAP2-Response
Enthält den Antwortwert von einem MS- CHAP-V2Peer auf die Anfrage.
MS-CHAP2-Success
Enthält eine 42-Oktett-AuthentifiziererAntwortzeichenfolge.
MS-Filter
Wird zur Übertragung von Datenverkehrfiltern verwendet.
MS-Link-Drop-Time-Limit
Zeigt die Länge der Zeit (in Sekunden) an, die ein Link
nicht ausreichend verwendet werden muss, bis er
abgebrochen wird.
MS-Link-Utilization-Threshold
Stellt den Prozentsatz der verfügbaren
Bandbreitenverwendung dar, unter die der Link fallen
muss, bis er zur Beendigung berechtigt ist.
MS-MPPE-Encryption-Policy
Gibt an, ob die Verwendung einer Verschlüsselung
zulässig oder erforderlich ist.
MS-MPPE-Encryption-Types
Gibt die Verschlüsselungstypen an, die für MPPE
verfügbar sind.
MS-MPPE-Recv-Key
Enthält einen Sitzungsschlüssel für das Microsoft
Point-to-Point Encryption Protocol (MPPE).
MS-MPPE-Send-Key
Enthält einen Sitzungsschlüssel für das Microsoft
Point-to-Point Encryption Protocol (MPPE).
MS-New-ARAP-Password
Überträgt das neue ARAP-Kennwort beim Ändern
eines ARAP-Kennworts.
MS-Old-ARAP-Password
Überträgt das alte ARAP-Kennwort beim Ändern eines
ARAP-Kennworts.
MS-Primary-DNS-Server
Zeigt die Adresse des vom PPP-Peer zu verwendenden
primären Domain Name Server (DNS) [16, 17]-Servers an.
MS-Primary-NBNS-Server
Zeigt die Adresse des vom PPP-Peer zu verwendenden
primären NetBIOS Name Server (NBNS) [18]-Servers an.
MS-RAS-Vendor
Zeigt den Hersteller des RADIUS-Clientcomputers an.
MS-RAS-Version
Zeigt die Version der RADIUS-Clientsoftware an.
MS-Secondary-DNS-Server
Zeigt die Adresse des vom PPP-Peer zu verwendenden
sekundären NBNS-Servers an.
Konfigurieren einer RADIUS-Serverinstanz 139
Juniper Networks Secure Access – Administratorhandbuch
Tabelle 12: RADIUS-Rollenzuordnungsattribute (Fortsetzung)
140
Attribut
Beschreibung
MS-Secondary-NBNS-Server
Zeigt die Adresse des vom PPP-Peer zu verwendenden
sekundären NBNS-Servers an.
NAS-IP-Address
Zeigt die identifizierende IP-Adresse des NAS an, die
die Authentifizierung des Benutzers anfordert, und
muss innerhalb des RADIUS-Servers für den NAS
eindeutig sein.
NAS-Identifier
Enthält eine Zeichenfolge zur Bestimmung des NAS,
von dem die Access-Request stammt.
NAS-Port
Zeigt die Nummer des physischen Ports des NAS an,
der den Benutzer authentifiziert.
NAS-Port-Id
Enthält eine Textzeichenfolge, die den Port des NAS
identifiziert, der den Benutzer authentifiziert.
NAS-Port-Type
Zeigt den Typ des physischen Ports des NAS an, der
den Benutzer authentifiziert.
Password-Retry
Zeigt an, wie viele Authentifizierungsversuche für
einen Benutzer zulässig sind, bis die Verbindung
abgebrochen wird.
Port-Limit
Legt die maximale Anzahl an Ports fest, die dem
Benutzer vom NAS zur Verfügung gestellt werden.
Prompt
Zeigt dem NAS an, ob er bei der Eingabe ein Echo für
die Antwort des Benutzers erstellen soll.
Proxy-State
Ein Proxyserver kann bei der Weiterleitung eines
Access-Request dieses Attribut an einen anderen
Server senden. Das Attribut muss unverändert in
Access-Accept, Access-Reject oder Access-Challenge
zurückgegeben werden.
Reply-Message
Text, der dem Benutzer angezeigt werden kann.
Service-Type
Der Typ des Dienstes, den der Benutzer angefordert
hat bzw. der bereitgestellt wird.
Session-Timeout
Legt die maximale Anzahl an Sekunden des Dienstes
fest, die dem Benutzer vor der Beendigung der Sitzung
oder der Eingabeaufforderung bereitgestellt wird.
State
Ein Paket darf nur über null oder ein State-Attribut
verfügen. Die Verwendung des State-Attributs hängt
von der Implementierung ab.
Telephone-number
Mithilfe der Attribute Calling-Station-Id und CalledStation-Id RADIUS können die Autorisierungs- und
folgenden Tunnelattribute auf der Telefonnummer, von
der der Anruf kam, oder der angerufenen
Telefonnummer basieren.
Termination-Action
Die Aktion, die der NAS nach Abschluss des
angegebenen Dienstes ausführen soll.
Tunnel-Assignment-ID
Zeigt den Tunnelinitiator des bestimmten Tunnels an,
dem eine Sitzung zugewiesen werden soll.
Tunnel-Client-Auth-ID
Gibt den während der Authentifizierungsphase der
Tunneleinrichtung vom Tunnelinitiator verwendeten
Namen an.
Tunnel-Client-Endpoint
Enthält die Adresse des Initiatorendes des Tunnels.
Konfigurieren einer RADIUS-Serverinstanz
Kapitel 7: Authentifizierungs- und Verzeichnisserver
Tabelle 12: RADIUS-Rollenzuordnungsattribute (Fortsetzung)
Attribut
Beschreibung
Tunnel-Link-Reject
Markiert die Zurückweisung der Einrichtung eines
neuen Links in einem vorhandenen Tunnel.
Tunnel-Link-Start
Markiert die Erstellung eines Tunnellinks.
Tunnel-Link-Stop
Markiert die Beendigung eines Tunnellinks.
Tunnel-Medium-Type
Das Transportmedium beim Erstellen eines Tunnels
für Protokolle (wie L2TP), die über mehrere Transporte
funktionieren können.
Tunnel-Medium-Type
Das Transportmedium beim Erstellen eines Tunnels
für Protokolle (wie L2TP), die über mehrere Transporte
funktionieren können.
Tunnel-Password
Ein Kennwort zur Authentifizierung eines Remoteservers.
Tunnel-Preference
Falls der RADIUS-Server mehr als einen Satz
Tunnelattribute an den Tunnelinitiator zurückgibt, sollten
Sie dieses Attribut in jeden Satz aufnehmen, um die
jedem Tunnel zugewiesene relative Priorität anzuzeigen.
Tunnel-Private-Group-ID
Die Gruppen-ID für eine bestimmte Tunnelsitzung.
Tunnel-Reject
Markiert die Zurückweisung der Einrichtung eines
Tunnels mit einem weiteren Knoten.
Tunnel-Server-Auth-ID
Gibt den während der Authentifizierungsphase der
Tunneleinrichtung vom Tunnelterminator
verwendeten Namen an.
Tunnel-Server-Endpoint
Die Adresse des Serverendes des Tunnels.
Tunnel-Start
Markiert die Einrichtung eines Tunnels mit einem
weiteren Knoten.
Tunnel-Stop
Markiert die Beendigung eines Tunnels zu oder von
einem weiteren Knoten.
Tunnel-Type
Die zu verwendenden Tunnelprotokolle (für einen
Tunnelinitiator) bzw. das verwendete Tunnelprotokoll
(für einen Tunnelterminator).
User-Name
Der Name des zu authentifizierenden Benutzers.
User-Password
Das Kennwort für den zu authentifizierenden Benutzer
bzw. die Eingabe des Benutzers nach einer AccessChallenge.
Informationen zu Clusteringproblemen
Kontoführungsmeldungen werden dem RADIUS-Server von jedem Clusterknoten
ohne Konsolidierung gesendet. Die RADIUS-Kontoführung auf dem IVE folgt den
folgenden Annahmen:
Falls der Cluster aktiv/passiv ist, werden alle Benutzer gleichzeitig mit einem
Knoten verbunden.
Falls der Cluster aktiv/aktiv ist und keinen Balancer verwendet, werden
Benutzer mit verschiedenen Knoten verbunden, sind jedoch statisch.
Falls der Cluster aktiv/aktiv ist und einen Balancer verwendet, erzwingt der
Balancer normalerweise ein permanentes Quell-IP. In diesem Fall werden
Benutzer immer mit dem gleichen Knoten verbunden.
Konfigurieren einer RADIUS-Serverinstanz 141
Juniper Networks Secure Access – Administratorhandbuch
Das IVE unterstützt den Lastausgleich für RADIUS nicht.
Informationen zur Interimaktualisierungsfunktion
Falls ein Server Interimkontoführungsmeldungen empfangen soll, können Sie einen
Interimwert auf dem Client statisch konfigurieren. In diesem Fall hat der lokal
konfigurierte Wert Vorrang vor jedem in der RADIUS-Access-Accept-Meldung
enthaltenen Wert.
Die in der Kontoführungsmeldung enthaltene Oktett-Anzahl ist die kumulative
Gesamtzahl seit dem Beginn der Benutzersitzung.
Der Byte-Zähler der Interimaktualisierung wird nur basierend auf einer
Benutzersitzung unterstützt, nicht für SAM- oder NC-Sitzungen.
Konfigurieren einer Netegrity SiteMinder-Instanz
Wenn Sie das IVE für die Authentifizierung von Benutzern mit einem
Netegrity SiteMinder-Richtlinienserver konfigurieren, leitet das IVE die
Anmeldedaten des Benutzers während der Authentifizierung an SiteMinder weiter.
Nachdem SiteMinder die Anmeldedaten erhalten hat, kann er die
Standardauthentifizierung über Benutzername und Kennwort, ACE SecurID-Token
oder clientseitige Zertifikate zum Authentifizieren der Anmeldedaten verwenden
(wie unter „Authentifizierung mit verschiedenen Authentifizierungsschemas“ auf
Seite 145 erläutert).
Das IVE leitet während der Authentifizierung auch eine geschützte Ressource an
SiteMinder weiter, um zu ermitteln, welcher SiteMinder-Bereich zum Authentifizieren
des Benutzers verwendet werden soll. Wenn das IVE die geschützte Ressource
weiterleitet, autorisiert SiteMinder die URL des Benutzers mit dem zugeordneten
Bereich der Ressource und ermöglicht dem Benutzer den nahtlosen Zugriff auf alle
Ressourcen, deren Sicherheitsebenen der vom IVE weitergeleiteten Ressource
entsprechen oder eine niedrigere Sicherheitsebene aufweisen (siehe „Konfigurieren
des IVE, um Benutzern Zugriff auf verschiedene geschützte Ressourcen zu gewähren“
auf Seite 155). Wenn der Benutzer versucht, auf eine Webressource mit einer höheren
Sicherheitsebene zuzugreifen, wird die Anforderung entweder von SiteMinder oder
vom IVE verarbeitet (wie unter „Erneute Authentifizierung von Benutzern mit
unzureichenden Sicherheitsebenen“ auf Seite 146 erläutert).
Dieser Abschnitt enthält die folgenden Informationen über Netegrity SiteMinder-Server:
142
„Netegrity SiteMinder – Übersicht“ auf Seite 143
„Konfigurieren von SiteMinder für die Zusammenarbeit mit dem IVE“ auf
Seite 147
„Konfigurieren des IVE für die Zusammenarbeit mit SiteMinder“ auf Seite 153
Konfigurieren einer Netegrity SiteMinder-Instanz
Kapitel 7: Authentifizierungs- und Verzeichnisserver
Netegrity SiteMinder – Übersicht
Das IVE ermöglicht Single Sign-On über das IVE bei geschützten SiteMinderRessourcen mithilfe von SMSESSION-Cookies. Bei einem SMSESSION -Cookie
handelt es sich um einen Sicherheitstoken, der SiteMinder-Sitzungsinformationen
kapselt. Je nach Konfiguration erstellt entweder der SiteMinder-Web-Agent oder das
IVE ein SMSESSION-Cookie und sendet das Cookie an die folgenden Verzeichnisse,
damit sich der Benutzer nicht erneut authentifizieren muss, wenn er auf weitere
Ressourcen zugreifen möchte:
Das IVE: Wenn der Benutzer versucht, innerhalb der IVE-Sitzung (z.B. über die
IVE-Dateinavigationsseite) auf eine SiteMinder-Ressource zuzugreifen, leitet das
IVE das zwischengespeicherte SMSESSION-Cookie zwecks Authentifizierung an
den Web-Agent weiter.
Der Webbrowser des Benutzers: Wenn der Benutzer versucht, außerhalb der
IVE-Sitzung (z.B. bei Verwendung einer geschützten Ressource auf einem
Standardagent) auf eine SiteMinder-Ressource zuzugreifen, verwendet SiteMinder
das zwischengespeicherte SMSESSION-Cookie, das im Webbrowser des Benutzers
gespeichert ist, um den Benutzer zu authentifizieren bzw. zu autorisieren.
Wenn Sie die Option Automatic Sign-In aktivieren (wie unter „Automatic Sign-In“
auf Seite 158 erläutert), kann das IVE auch ein SMSESSION-Cookie verwenden, das
von einem anderen Agent erzeugt wurde, um die Einzelanmeldung über eine
SiteMinder-Ressource beim IVE zu ermöglichen. Greift ein Benutzer mit einem
SMSESSION -Cookie auf die IVE-Anmeldeseite zu, überprüft das IVE das
SMSESSION-Cookie. Bei einer erfolgreichen Überprüfung richtet das IVE für den
Benutzer eine IVE-Sitzung ein. Bei der automatischen Anmeldung über das IVE
können die folgenden Authentifizierungsmechanismen verwendet werden:
Benutzerdefinierter Agent: Das IVE authentifiziert den Benutzer mit dem
Richtlinienserver und erstellt ein SMSESSION-Cookie. Bei Auswahl dieser
Option wird SSO auf anderen SiteMinder-Agenten, die denselben
Richtlinienserver verwenden, aktiviert. Aktualisieren Sie zum Aktivieren von
SSO jeden Agenten, um Drittanbieter-Cookies zu akzeptieren (wie unter
„Authenticate using custom agent“ auf Seite 159 erläutert). Wird diese Option
ausgewählt und gibt der Benutzer seine IVE-Sitzung mit einem SMSESSIONCookie ein, versucht das IVE bei Eingabe der IVE-Sitzung durch den Benutzer
eine automatische Anmeldung.
HTML-Form-POST: Das IVE sendet Anmeldeinformationen an einen StandardWeb-Agent, den Sie bereits konfiguriert haben. Anschließend erstellt der WebAgent SMSESSION-Cookies. Wenn Sie diese Option auswählen, können Sie die
SecurID New Pin- und Next Token-Modi bzw. die clientseitige
Zertifikatauthentifizierung nicht verwenden (siehe „Authenticate using HTML
form post“ auf Seite 160). Wird diese Option ausgewählt und gibt der Benutzer
seine IVE-Sitzung mit einem SMSESSION-Cookie ein, versucht das IVE bei
Eingabe der IVE-Sitzung durch den Benutzer eine automatische Anmeldung.
Konfigurieren einer Netegrity SiteMinder-Instanz
143
Juniper Networks Secure Access – Administratorhandbuch
Delegierte Authentifizierung: Das IVE delegiert die Authentifizierung an einen
Standardagenten. Bei Auswahl dieser Option versucht das IVE die der
geschützten Ressource zugewiesene FCC-URL zu bestimmen. Das IVE leitet den
Benutzer anschließend an die FCC-URL um, wobei die IVE-Anmelde-URL als
TARGET angegeben wird. Bei erfolgreicher Authentifizierung wird der Benutzer
mit einem SMSESSION -Cookie zurück an das IVE geleitet. Das IVE nimmt für
den Benutzer eine automatische Anmeldung vor (siehe „Delegate
authentication to a standard agent“ auf Seite 161).
HINWEIS:
144
Zur Zeit der Drucklegung dieses Dokuments bietet Juniper Networks
Unterstützung für Netegrity SiteMinder-Server, Version 6.0 und Version 5.5 mit
den standardmäßigen Agentversionen 6 und 5QMR5. Wenn Sie ältere Agenten
als die unterstützten ausführen, können Probleme bei der Cookie-Validerung
auftreten, darunter gekreuzte Protokolleinträge und teilweise Benutzerzeitlimits.
Sie können beim Erstellen einer Serverinstanz die Netegrity SiteMinderServerversion auswählen, die Sie unterstützen möchten. Wählen Sie Version
5.5, die sowohl Version 5.5 als auch 6.0 unterstützt, oder wählen Sie Version
6.0, die nur Version 6.0 unterstützt.
SiteMinder speichert die IP-Adresse nicht im SMSESSION-Cookie und kann sie
daher nicht an die IVE-Appliance weiterleiten.
SiteMinder sendet das SMSESSION-Cookie als dauerhaftes Cookie an das IVE.
Um ein Höchstmaß an Sicherheit zu gewährleisten, setzt das IVE das
dauerhafte Cookie nach Abschluss der Authentifizierung zu einem
Sitzungscookie zurück.
Wenn Sie zur Authentifizierung SiteMinder verwenden, ignoriert das IVE sämtliche
IVE-Sitzungs- und Leerlaufzeitüberschreitungen und verwendet stattdessen die über
den SiteMinder-Bereich festgelegten Sitzungs- und Leerlaufzeitüberschreitungen.
Das IVE protokolliert SiteMinder-Fehlercodes auf der Seite System >
Log/Monitoring > User Access. Informationen zu den SiteMinderFehlercodes finden Sie in der SiteMinder-Dokumentation.
Konfigurieren einer Netegrity SiteMinder-Instanz
Kapitel 7: Authentifizierungs- und Verzeichnisserver
Authentifizierung mit verschiedenen Authentifizierungsschemas
Ein Authentifizierungsschema bietet in SiteMinder eine Möglichkeit,
Anmeldinformationen zu sammeln und die Identität eines Benutzers zu ermitteln. Sie
können verschiedene Authentifizierungsschemas erstellen und ihnen jeweils
verschiedene Sicherheitsebenen zuordnen. Sie können z.B. zwei Schemas erstellen:
eins, das Benutzer nur auf Grundlage ihrer clientseitigen Zertifikate authentifiziert und
sie mit einer niedrigen Sicherheitsebene versieht, und ein zweites, das ACE SecurIDTokenauthentifizierung verwendet und eine höhere Sicherheitsebene bereitstellt. Das
IVE funktioniert mit folgenden Arten von SiteMinder-Authentifizierungsschemas:
Basic username and password authentication – Benutzername und Kennwort
werden an den SiteMinder-Richtlinienserver weitergeleitet. Der Richtlinienserver
kann diese dann selbst authentifizieren oder zur Authentifizierung an einen
anderen Server weiterleiten.
ACE SecurID token authentication – Der SiteMinder-Richtlinienserver
authentifiziert Benutzer auf Grundlage von Benutzername und Kennwort, die
von einem ACE SecurID-Token generiert werden.
Client-side certificate authentication – Der SiteMinder-Richtlinienserver
authentifiziert Benutzer auf Grundlage ihrer Anmeldeinformationen des
clientseitigen Zertifikats. Wenn Sie diese Authentifizierungsmethode
auswählen, zeigt der Webbrowser eine Liste von Clientzertifikaten an, in der
Benutzer eine Auswahl treffen können.
HINWEIS:
Wenn Benutzer anhand dieser Methode authentifiziert werden sollen, müssen
Sie das Clientzertifikat über die Registerkarte System > Certificates >
Trusted Client CAs in das IVE importieren. Weitere Informationen finden Sie
unter „Verwenden von vertrauten Clientzertifizierungsstellen“ auf Seite 654.
Wenn für Benutzer nicht die IVE-Standardanmeldeseite angezeigt werden soll,
können Sie dies mithilfe der Funktion für benutzerdefinierbare Anmeldeseiten
ändern. Weitere Informationen finden Sie im Custom Sign-In Pages Solution
Guide.
Die SiteMinder-Authentifizierung über clientseitige Zertifikate läuft getrennt von
der IVE-Authentifizierung über clientseitige Zertifikate. Wenn Sie beide Optionen
auswählen, nimmt zuerst das IVE die Authentifizierung mithilfe der IVEKonfigurationsparameter vor. Bei erfolgreichem Verlauf leitet es anschließend die
Zertifikatwerte zwecks Authentifizierung an SiteMinder weiter.
Konfigurationsinformationen finden Sie unter:
„Erstellen eines SiteMinder-Authentifizierungsschemas für das IVE“ auf
Seite 148
„Konfigurieren des IVE für die Verwendung mehrerer
Authentifizierungsschemas“ auf Seite 154
Konfigurieren einer Netegrity SiteMinder-Instanz
145
Juniper Networks Secure Access – Administratorhandbuch
Erneute Authentifizierung von Benutzern mit unzureichenden
Sicherheitsebenen
Während der Konfiguration des IVE müssen Sie eine geschützte Ressource angeben, um
die für die SiteMinder-Sitzung des Benutzers zulässige Sicherheitsebene zu steuern (wie
unter „Netegrity SiteMinder – Übersicht“ auf Seite 143 erläutert). Wenn ein Benutzer
versucht, auf eine Webressource zuzugreifen, die eine höhere Sicherheitsebene erfordert
als seine Zugriffsrechte erlauben, kann die erneute Authentifizierung auch über das IVE
erfolgen, indem dieses ihn zu einer zwischengeschalteten Seite weiterleitet. Dies setzt
jedoch voraus, dass Sie bei der Konfiguration des IVE die Option Resource for
insufficient protection level aktiviert haben. Weitere Informationen finden Sie unter
„Resource for insufficient protection level“ auf Seite 163.
Die zwischengeschaltete IVE-Seite enthält zwei Optionen:
Continue – Wenn ein Benutzer diese Option auswählt, meldet das IVE ihn von
der aktuellen Sitzung ab, und er wird zur Eingabe der für die Ressource mit
höherer Sicherheitsebene erforderlichen Anmeldedaten aufgefordert. Wenn die
Anmeldedaten authentifiziert werden können, wird der Benutzer zu der Seite
weitergeleitet, auf die er ursprünglich zugreifen wollte. (Wenn der Benutzer
Host Checker oder Cache Cleaner ausführt und die Anmeldedaten nicht eingibt,
wenn das IVE ihn zur erneuten Authentifizierung auffordert, wird Host Checker
bzw. Cache Cleaner auf dem System des Benutzers ausgeführt, bis die IVESitzung des Benutzers abläuft.)
Cancel – Wenn der Benutzer diese Option auswählt, wird er zur vorherigen
Seite umgeleitet.
Wenn Sie sich hingegen festlegen, dass keine erneute Authentifizierung über das
IVE erfolgen soll, hängt der erneute Authentifizierungsprozess davon ab, ob der
Richtlinienserver eine Authentifizierungsschema-URL an den Benutzer zurückgibt.
Wenn auf dem Richtlinienserver Folgendes vorgeht:
Keine Rückgabe einer Authentifizierungsschema-URL – Das IVE sendet eine
Meldung über die fehlgeschlagene Validierung an den Benutzer zurück und
führt die erneute Authentifizierung über die IVE-Standardanmeldeseite durch.
Der Benutzer wird aufgefordert, sich erneut anzumelden, wobei ihm allerdings
die ursprüngliche Sicherheitsebene zugeordnet wird und er möglicherweise
immer noch keinen Zugriff auf die gewünschte Seite hat.
Rückgabe einer Authentifizierungsschema-URLs – Das IVE leitet den
Benutzer zu einem Standard-Web-Agent um, den Sie im IVE zur Verarbeitung
der erneuten Authentifizierung angeben.
Informationen zum Konfigurieren des IVE für die erneute Authentifizierung finden Sie
unter „Erstellen eines SiteMinder-Authentifizierungsschemas für das IVE“ auf Seite 148.
Ermitteln des Benutzernamens des jeweiligen Benutzers
Wenn verschiedene Authentifizierungsschemas und Anmeldepunkte verfügbar
sind, kann das IVE einen Benutzernamen von unterschiedlichen Quellen abrufen,
z.B. von einem Richtlinienserverheader, einem Zertifikatattribut oder von der IVEAnmeldeseite. Im Folgenden werden die verschiedenen Methoden aufgelistet, die
ein Benutzer zum Zugreifen auf das IVE anwenden kann, und es wird erläutert, wie
dabei das IVE jeweils den entsprechenden Benutzernamen ermittelt. Wenn ein
Benutzer Folgendes vornimmt:
146
Konfigurieren einer Netegrity SiteMinder-Instanz
Kapitel 7: Authentifizierungs- und Verzeichnisserver
Er meldet sich über die IVE-Standardanmeldeseite an – Das IVE überprüft
zunächst den vom Richtlinienserver im OnAuthAccept-Antwortheader
zurückgegebenen Benutzernamen. Wenn SiteMinder keinen Benutzernamen
definiert, verwendet das IVE den vom Benutzer bei der Anmeldung
eingegebenen Benutzernamen. Wenn jedoch weder von SiteMinder noch vom
Benutzer ein Benutzername bereitgestellt wird, weil sich der Benutzer mit
einem Clientzertifikat authentifiziert, verwendet das IVE den vom
Richtlinienserver festgelegten Wert UserDN.
Er meldet sich automatisch mit SiteMinder-Anmeldedaten am IVE an – Das
IVE überprüft zunächst den vom Richtlinienserver im OnAuthAcceptAntwortheader zurückgegebenen Benutzernamen. Wenn SiteMinder keinen
Benutzernamen definiert, überprüft das IVE das SMSESSION-Cookie. Wenn
SiteMinder den Antwortheader oder das SMSESSION-Cookie jedoch nicht mit
einem Benutzernamen auffüllt, überprüft das IVE den Wert UserDN im
SMSESSION-Cookie.
Nachdem das IVE den zu verwendenden Benutzernamen ermittelt hat, speichert es
diesen Benutzernamen im zugehörigen Sitzungscache und verweist darauf, wenn
ein Benutzer auf weitere Ressourcen zugreifen möchte (wie unter „Netegrity
SiteMinder – Übersicht“ auf Seite 143 erläutert).
Damit stets der richtige Benutzername an das IVE zurückgegeben wird, sollten Sie
die Antwort OnAuthAccept auf dem SiteMinder-Richtlinienserver entsprechend
konfigurieren (wie unter „Erstellen eines Regel-/Antwortpaares zur Weiterleitung
von Benutzernamen an das IVE“ auf Seite 151 erläutert).
Konfigurieren von SiteMinder für die Zusammenarbeit mit dem IVE
Im Folgenden wird erläutert, wie Sie einen SiteMinder-Richtlinienserver für die
Zusammenarbeit mit dem IVE konfigurieren. Es handelt sich hierbei jedoch nicht
um vollständige Konfigurationsanweisungen für SiteMinder. Diese Anweisungen
dienen lediglich dazu, Sie beim Einrichten von SiteMinder für die Zusammenarbeit
mit dem IVE zu unterstützen. Detaillierte Informationen zur Konfiguration von
SiteMinder finden Sie in der Dokumentation zu Ihrem SiteMinder-Richtlinienserver.
HINWEIS: Die hier aufgeführten Anweisungen beziehen sich auf den SiteMinderRichtlinienserver, Version 5.5. Bei Verwendung einer anderen Produktversion
können die Anweisungen geringfügig abweichen.
Gehen Sie zum Konfigurieren von SiteMinder für die Arbeit mit dem IVE
folgendermaßen vor:
1. „Konfigurieren des SiteMinder-Agenten“ auf Seite 148
2. „Erstellen eines SiteMinder-Authentifizierungsschemas für das IVE“ auf
Seite 148
3. „Erstellen einer SiteMinder-Domäne für das IVE“ auf Seite 150
4. „Erstellen eines SiteMinder-Bereichs für das IVE“ auf Seite 151
5. „Erstellen eines Regel-/Antwortpaares zur Weiterleitung von Benutzernamen an
das IVE“ auf Seite 151
Konfigurieren einer Netegrity SiteMinder-Instanz
147
Juniper Networks Secure Access – Administratorhandbuch
6. „Erstellen einer SiteMinder-Richtlinie für die Domäne“ auf Seite 153
Konfigurieren des SiteMinder-Agenten
Ein SiteMinder-Agent filtert Benutzeranforderungen, um Zugriffssteuerungen zu
erzwingen. Wenn ein Benutzer z.B. eine geschützte Ressource anfordert, wird er
vom Agent zur Eingabe von Anmeldedaten auf der Grundlage eines bestimmten
Authentifizierungsschemas aufgefordert. Anschließend werden die Anmeldedaten
an einen SiteMinder-Richtlinienserver gesendet. Ein Web-Agent ist ein Agent, der
mit einem Webserver kooperiert. Beim Konfigurieren von SiteMinder für die
Zusammenarbeit mit dem IVE müssen Sie in den meisten Fällen das IVE als WebAgent konfigurieren.
HINWEIS: Bei Auswahl der Option Delegate authentication to a standard agent
müssen die folgenden Optionen im Agentkonfigurationsobjekt des
standardmäßigen Web-Agentenhosts der FCC-URL festgelegt werden:
EncryptAgentName=no
FCCCompatMode=no
So konfigurieren Sie das IVE als Web-Agent auf dem SiteMinder-Richtlinienserver:
1. Wählen Sie auf der SiteMinder-Verwaltungsoberfläche die Registerkarte System aus.
2. Klicken Sie mit der rechten Maustaste auf den Link Agents, und wählen Sie
Create Agent aus.
3. Geben Sie einen Namen für den Web-Agent und (optional) eine Beschreibung
ein. Beachten Sie, dass Sie diesen Namen eingeben müssen, wenn Sie einen
SiteMinder-Bereich erstellen (siehe „Erstellen eines SiteMinder-Bereichs für das
IVE“ auf Seite 151) und das IVE konfigurieren (siehe „Agent Name, Secret“ auf
Seite 157).
4. Sie müssen die Option Support 5.x agents auswählen, um die Kompatibilität
mit dem IVE sicherzustellen.
5. Wählen Sie unter Agent Type SiteMinder und anschließend in der
Dropdownliste Web Agent aus. Sie müssen diese Einstellung für die
Kompatibilität mit dem IVE auswählen.
6. Geben Sie unter IP Address or Host Name den Namen oder die IP-Adresse des
IVE ein.
7. Geben Sie in den Feldern Shared Secret einen geheimen Schlüssel für den WebAgent ein, und bestätigen Sie diesen. Beachten Sie, dass Sie diesen geheimen
Schlüssel beim Konfigurieren des IVE eingeben müssen (siehe „Agent Name,
Secret“ auf Seite 157).
8. Klicken Sie auf OK.
Erstellen eines SiteMinder-Authentifizierungsschemas für das IVE
Ein Authentifizierungsschema bietet in SiteMinder die Möglichkeit,
Anmeldeinformationen zu sammeln und die Identität eines Benutzers zu ermitteln.
148
Konfigurieren einer Netegrity SiteMinder-Instanz
Kapitel 7: Authentifizierungs- und Verzeichnisserver
So konfigurieren Sie ein SiteMinder-Authentifizierungsschema für das IVE:
1. Wählen Sie auf der SiteMinder-Verwaltungsoberfläche die Registerkarte System aus.
2. Klicken Sie mit der rechten Maustaste auf den Link Authentication Schemes,
und wählen Sie Create Authentication Scheme aus.
3. Geben Sie einen Namen für das Schema und (optional) eine Beschreibung ein.
Beachten Sie, dass Sie diesen Namen beim Konfigurieren des SiteMinderBereichs eingeben müssen (siehe „Erstellen eines SiteMinder-Bereichs für das
IVE“ auf Seite 151).
4. Wählen Sie unter Authentication Scheme Type eine der folgenden Optionen aus:
Basic Template
HTML Form Template
SecurID HTML Form Template1
X509 Client Cert Template
X509 Client Cert and Basic Authentication
HINWEIS:
Das IVE unterstützt nur die hier aufgelisteten Authentifizierungsschematypen.
Sie müssen die Option HTML Form Template auswählen, wenn die erneute
Authentifizierung über das IVE erfolgen soll (wie unter „Erneute Authentifizierung
von Benutzern mit unzureichenden Sicherheitsebenen“ auf Seite 146 beschrieben).
Bei Auswahl von X509 Client Cert Template oder X509 Client Cert and
Basic Authentication muss das Zertifikat über die Registerkarte System >
Certificates > Trusted Client CAs in das IVE importiert werden. Weitere
Informationen finden Sie unter „Verwenden von vertrauten
Clientzertifizierungsstellen“ auf Seite 654.
5. Geben Sie eine Sicherheitsebene für das Schema ein. Diese Sicherheitsebene
wird auf den SiteMinder-Bereich übertragen, den Sie diesem Schema zuordnen.
Weitere Informationen finden Sie unter „Erstellen eines SiteMinder-Bereichs für
das IVE“ auf Seite 151.
6. Wählen Sie Password Policies Enabled for this Authentication Scheme aus,
um Benutzer neu zu authentifizieren, die Ressourcen mit einer Schutzebene
anfordern, die höher ist als es den Berechtigungen dieser Benutzer entspricht.
7. Geben Sie auf der Registerkarte Scheme Setup die für den jeweiligen
Authentifizierungsschematyp erforderlichen Optionen ein.
1. Wenn Sie die SecurID-Authentifizierung verwenden, müssen Sie die Option „SecurID HTML Form Template“
(anstelle von „SecurID Template“) auswählen. Durch Auswählen dieser Option kann der Richtlinienserver ACEAnmeldungsfehlercodes an das IVE senden.
Konfigurieren einer Netegrity SiteMinder-Instanz
149
Juniper Networks Secure Access – Administratorhandbuch
Wenn das IVE Benutzer, die Ressourcen mit einer höheren Sicherheitsebene
anfordern als es die entsprechenden Zugriffsrechte erlauben, erneut
authentifizieren soll, müssen Sie die folgenden Einstellungen vornehmen:
Geben Sie unter Server Name den Hostnamen des IVE ein (z.B.
vertrieb.firmenname.net).
Aktivieren Sie das Kontrollkästchen Use SSL Connection.
Geben Sie unter Target die im ersten Schritt dieser Aufzählung definierte
Anmelde-URL des IVE und den Parameter „ive=1“ ein (z.B.
„/highproturl?ive=1“). (Im IVE muss eine Anmelderichtlinie definiert sein,
die */highproturl als Anmelde-URL enthält und nur den entsprechenden
SiteMinder-Authentifizierungsbereich verwendet.)
HINWEIS: Wenn Sie Änderungen speichern, wird ive=1 nicht mehr für das Ziel
angezeigt. Das ist richtig. Der Richtlinienserver fügt ive=1 in die vollständige
Authentifizierungsschema-URL ein, den er an das IVE sendet, wie auf der
Registerkarte Advanced im Feld Parameter ersichtlich ist.
Deaktivieren Sie das Kontrollkästchen Allow Form Authentication
Scheme to Save Credentials.
Lassen Sie Additional Attribute List leer.
8. Klicken Sie auf OK.
HINWEIS:
Beim Ändern eines SiteMinder-Authentifizierungsschemas auf dem
Richtlinienserver muss der Zwischenspeicher mithilfe der Option Flush
Cache auf der Registerkarte Advanced geleert werden.
Informationen zum Konfigurieren des IVE für die Verwendung mehrerer
Authentifizierungsschemas finden Sie unter „Konfigurieren des IVE für die
Verwendung mehrerer Authentifizierungsschemas“ auf Seite 154.
Erstellen einer SiteMinder-Domäne für das IVE
In SiteMinder ist eine Richtliniendomäne eine logische Gruppierung von Ressourcen,
die einem oder mehreren Benutzerverzeichnissen zugeordnet sind.
Richtliniendomänen umfassen Bereiche, Antworten und Richtlinien. Beim
Konfigurieren des IVE für die Zusammenarbeit mit SiteMinder müssen Sie den IVEBenutzern Zugriff auf eine SiteMinder-Ressource innerhalb eines Bereichs gewähren
und den Bereich anschließend in einer Domäne gruppieren.
Zum Konfigurieren einer SiteMinder-Domäne für das IVE wählen Sie auf der
SiteMinder-Verwaltungsoberfläche die Registerkarte System aus. Klicken Sie
anschließend mit der rechten Maustaste auf Domains, und wählen Sie Create
Domain aus. Oder klicken Sie auf Domains, und wählen Sie eine vorhandene
SiteMinder-Domäne aus. Dieser Domäne müssen Sie einen Bereich hinzufügen
(siehe „Erstellen eines SiteMinder-Bereichs für das IVE“ auf Seite 151).
150
Konfigurieren einer Netegrity SiteMinder-Instanz
Kapitel 7: Authentifizierungs- und Verzeichnisserver
Erstellen eines SiteMinder-Bereichs für das IVE
In SiteMinder ist ein Bereich ein Cluster von Ressourcen innerhalb einer
Richtliniendomäne, die nach Sicherheitsanforderungen gruppiert sind. Beim
Konfigurieren von SiteMinder für die Zusammenarbeit mit dem IVE müssen Sie
Bereiche definieren, um festzulegen, auf welche Ressourcen die IVE-Benutzer
zugreifen dürfen.
So konfigurieren Sie einen SiteMinder-Bereich für das IVE:
1. Wählen Sie auf der SiteMinder-Verwaltungsoberfläche die Registerkarte
Domains aus.
2. Erweitern Sie die Domäne, die Sie für das IVE erstellt haben. Weitere
Informationen finden Sie unter „Erstellen einer SiteMinder-Domäne für das
IVE“ auf Seite 150.
3. Klicken Sie mit der rechten Maustaste auf den Link Realms, und wählen Sie
Create Realm aus.
4. Geben Sie einen Namen für den Bereich und (optional) eine Beschreibung ein.
5. Wählen Sie im Feld Agent den Web-Agent aus, den Sie für das IVE erstellt
haben. Weitere Informationen finden Sie unter „Konfigurieren des SiteMinderAgenten“ auf Seite 148.
6. Geben Sie im Feld Resource Filter eine geschützte Ressource ein. Diese Ressource
erbt die im zugehörigen Authentifizierungsschema angegebene Sicherheitsebene.
Geben Sie für die Standardsicherheitsebene Folgendes ein: /ive-authentication.
Beachten Sie, dass Sie diese Ressource beim Konfigurieren des IVE eingeben
müssen (siehe „Protected Resource“ auf Seite 157). Wenn Sie Anmelderichtlinien
mit nicht standardmäßigen URLs wie */nete oder */cert verwenden, müssen Sie
der SiteMinder-Konfiguration entsprechende Ressourcenfilter hinzufügen.
7. Wählen Sie in der Liste Authentication Schemes das Schema aus, das Sie für
das IVE erstellt haben (siehe „Erstellen eines SiteMinderAuthentifizierungsschemas für das IVE“ auf Seite 148).
8. Klicken Sie auf OK.
Erstellen eines Regel-/Antwortpaares zur Weiterleitung von Benutzernamen
an das IVE
In SiteMinder können Sie Regeln verwenden, um Antworten auszulösen, wenn
Authentifizierungs- oder Autorisierungsereignisse stattfinden. Eine Antwort leitet
DN-Attribute, statischen Text oder benutzerdefinierte aktive Antworten vom
SiteMinder-Richtlinienserver an einen SiteMinder-Agent weiter. Beim Konfigurieren
von SiteMinder für die Zusammenarbeit mit dem IVE müssen Sie eine Regel
erstellen, die ausgelöst wird, wenn sich ein Benutzer erfolgreich authentifiziert.
Anschließend müssen Sie eine entsprechende Antwort erstellen, die den
Benutzernamen des jeweiligen Benutzers an den IVE-Web-Agent weiterleitet.
So erstellen Sie eine neue Regel:
1. Wählen Sie auf der SiteMinder-Verwaltungsoberfläche die Registerkarte
Domains aus.
Konfigurieren einer Netegrity SiteMinder-Instanz
151
Juniper Networks Secure Access – Administratorhandbuch
2. Erweitern Sie die Domäne, die Sie für das IVE erstellt haben (siehe „Erstellen einer
SiteMinder-Domäne für das IVE“ auf Seite 150), und erweitern Sie dann Realms.
3. Klicken Sie mit der rechten Maustaste auf den für das IVE erstellten Bereich
(wie unter „Erstellen eines SiteMinder-Bereichs für das IVE“ auf Seite 151
erläutert), und wählen Sie Create Rule under Realm aus.
4. Geben Sie einen Namen für die Regel und (optional) eine Beschreibung ein.
5. Wählen Sie unter Action Authentication Events und anschließend in der
Dropdownliste OnAuthAccept aus.
6. Wählen Sie Enabled.
7. Klicken Sie auf OK.
So erstellen Sie eine neue Antwort:
1. Wählen Sie auf der SiteMinder-Verwaltungsoberfläche die Registerkarte
Domains aus.
2. Erweitern Sie die Domäne, die Sie für das IVE erstellt haben (siehe „Erstellen
einer SiteMinder-Domäne für das IVE“ auf Seite 150).
3. Klicken Sie mit der rechten Maustaste auf den Link Responses, und wählen Sie
Create Response aus.
4. Geben Sie einen Namen für die Antwort und (optional) eine Beschreibung ein.
5. Wählen Sie SiteMinder aus, und wählen Sie anschließend den IVE-Web-Agent
aus (siehe „Konfigurieren des SiteMinder-Agenten“ auf Seite 148).
6. Klicken Sie auf Create.
7. Wählen Sie in der Liste Attribute WebAgent-HTTP-Header-Variable aus.
8. Wählen Sie unter Attribute Kind Static aus:
9. Geben Sie unter Variable Name IVEUSERNAME. ein.
10. Geben Sie unter Variable Value einen Benutzernamen ein.
11. Klicken Sie auf OK.
Erstellen von SiteMinder-Benutzerattributen für die IVE-Rollenzuordnung
Wenn Sie SiteMinder-Benutzerattribute auf einem SiteMinder-Richtlinienserver
erstellen, können Sie diese Benutzerattribute in IVE-Rollenzuordnungsregeln
verwenden, um Benutzer Rollen zuzuordnen. Angenommen, Sie möchten Benutzer
basierend auf ihrer Abteilung verschiedenen IVE-Rollen zuordnen. Zur Verwendung
eines SiteMinder-Benutzerattributs in einer Rollenzuordnungsregel verweisen Sie
auf den Cookienamen im SiteMinder-Benutzerattributcookie.
Das folgende Verfahren muss nur ausgeführt werden, wenn Sie SiteMinderBenutzerattribute in IVE-Rollenzuordnungsregeln verwenden möchten.
152
Konfigurieren einer Netegrity SiteMinder-Instanz
Kapitel 7: Authentifizierungs- und Verzeichnisserver
So erstellen Sie Benutzerattribute auf einem SiteMinder-Server:
1. Wählen Sie auf der SiteMinder-Verwaltungsoberfläche die Registerkarte
Domains aus.
2. Erweitern Sie die Domäne, die Sie für das IVE erstellt haben (siehe „Erstellen
einer SiteMinder-Domäne für das IVE“ auf Seite 150).
3. Klicken Sie mit der rechten Maustaste auf den Link Responses, und wählen Sie
Create Response aus.
4. Geben Sie einen Namen für die Antwort und (optional) eine Beschreibung ein.
5. Wählen Sie SiteMinder aus, und wählen Sie anschließend den IVE-Web-Agent
aus (siehe „Konfigurieren des SiteMinder-Agenten“ auf Seite 148).
6. Klicken Sie auf Create.
7. Wählen Sie in der Liste Attribute WebAgent-HTTP-Cookie-Variable aus.
8. Wählen Sie unter Attribute Kind User Attribute aus:
9. Geben Sie für Cookie Name einen Namen für das Cookie ein, z.B. Abteilung. Auf
diesen Cookienamen können Sie in einer IVE-Rollenzuordnungsregel verweisen.
10. Geben Sie für Attribute Name den Namen des Attributs im SiteMinderBenutzerverzeichnis ein. (Dies ist das Attribut in dem von SiteMinder
verwendeten LDAP-Server.)
11. Klicken Sie auf OK.
12. Weisen Sie die Antwort von User Attribute einer OnAuthAccept-Typenregel zu.
(Siehe „Erstellen eines Regel-/Antwortpaares zur Weiterleitung von
Benutzernamen an das IVE“ auf Seite 151.)
13. Verweisen Sie in einer Rollenzuordnungsregel für einen IVE-Bereich, der den
SiteMinder-Richtlinienserver verwendet, auf den Cookienamen. Anweisungen
hierfür finden Sie unter „Verwenden von SiteMinder-Benutzerattributen für die
IVE-Rollenzuordnung“ auf Seite 165.
Erstellen einer SiteMinder-Richtlinie für die Domäne
In SiteMinder ordnet eine Richtlinie Benutzern Regeln zu. Zum Konfigurieren einer
SiteMinder-Richtlinie für eine Domäne wählen Sie auf der SiteMinderVerwaltungsoberfläche die Registerkarte Domains aus. Wählen Sie anschließend
die Domäne aus, der Sie eine Richtlinie hinzufügen möchten, klicken Sie mit der
rechten Maustaste auf Policies, und wählen Sie Create Policy aus.
Konfigurieren des IVE für die Zusammenarbeit mit SiteMinder
Dieser Abschnitt enthält die folgenden Anweisungen für das Konfigurieren des IVE
für die Zusammenarbeit mit einem SiteMinder-Richtlinienserver:
„Konfigurieren des IVE für die Verwendung mehrerer
Authentifizierungsschemas“ auf Seite 154
Konfigurieren einer Netegrity SiteMinder-Instanz
153
Juniper Networks Secure Access – Administratorhandbuch
„Konfigurieren des IVE, um Benutzern Zugriff auf verschiedene geschützte
Ressourcen zu gewähren“ auf Seite 155
„Definieren einer Netegrity SiteMinder-Serverinstanz“ auf Seite 156
„Definieren eines SiteMinder-Bereichs für die automatische Anmeldung“ auf
Seite 166
Konfigurieren des IVE für die Verwendung mehrerer Authentifizierungsschemas
Zum Konfigurieren des IVE für die Verwendung mehrerer SiteMinderAuthentifizierungsschemas gehen Sie folgendermaßen vor:
1. Konfigurieren Sie die Authentifizierungsschemas auf dem SiteMinderRichtlinienserver. Anweisungen hierfür finden Sie unter „Erstellen eines
SiteMinder-Authentifizierungsschemas für das IVE“ auf Seite 148.
2. Erstellen Sie eine IVE-Instanz des SiteMinder-Richtlinienservers für alle zu
verwendenden SiteMinder-Authentifizierungsschemas. Anweisungen hierfür finden
Sie unter „Definieren einer Netegrity SiteMinder-Serverinstanz“ auf Seite 156.
3. Legen Sie fest, welcher IVE-Bereich die IVE-Instanz des SiteMinderRichtlinienservers zum Authentifizieren und Autorisieren von Administratoren
und Benutzern verwenden soll. Anweisungen hierfür finden Sie unter „Erstellen
eines Authentifizierungsbereichs“ auf Seite 178.
4. Erstellen Sie für jede geschützte Ressource auf dem SiteMinderRichtlinienserver eine IVE-Anmelderichtlinie. Gehen Sie auf der Seite
Authentication > Authentication > Signing In Policies > New Sign-In
Policy folgendermaßen vor:
Geben Sie eine IVE-Anmelde-URL an, der der URL der von SiteMinder
geschützten Ressource auf dem Richtlinienserver entspricht. Die
Pfadkomponente der URL muss dem SiteMinder-Ressourcenfilter in der
SiteMinder-Bereichskonfiguration entsprechen. Sie können z.B. */ACE/ als
IVE-Anmelde-URL für einen SiteMinder-URL XYZ/ACE angeben. Dabei ist
XYZ der Name des Bereichs.
Wählen Sie den IVE-Bereich aus, den Sie zur Verwendung des SiteMinderRichtlinienservers angegeben haben.
Anweisungen hierfür finden Sie unter „Konfigurieren von Anmelderichtlinien“
auf Seite 195.
Der Benutzer meldet sich mit einer der IVE-Anmelde-URLs am IVE an. Das IVE sendet
die URL der geschützten Ressource an SiteMinder, und SiteMinder ermittelt anhand der
Ressource, welcher Schematyp zum Authentifizieren des Benutzers verwendet werden
soll. Das IVE sammelt dann die für das Authentifizierungsschema erforderlichen
Anmeldedaten und leitet sie zur Authentifizierung an SiteMinder weiter.
154
Konfigurieren einer Netegrity SiteMinder-Instanz
Kapitel 7: Authentifizierungs- und Verzeichnisserver
Konfigurieren des IVE, um Benutzern Zugriff auf verschiedene geschützte
Ressourcen zu gewähren
Wenn Sie das IVE konfigurieren möchten, um Benutzern Zugriff auf verschiedene
geschützte SiteMinder-Ressourcen (nach Zuordnung und unterschiedlichen
Sicherheitsebenen) zu gewähren, müssen Sie folgendermaßen vorgehen:
1. Definieren Sie die vom SiteMinder-Server zu schützenden Ressourcen. Jede
dieser Ressourcen erbt eine Sicherheitsebene eines zugehörigen SiteMinderAuthentifizierungsschemas. Anweisungen hierfür finden Sie unter „Erstellen
eines SiteMinder-Bereichs für das IVE“ auf Seite 151.
2. Erstellen Sie eine IVE-Instanz des SiteMinder-Richtlinienservers für alle
geschützten Ressourcen und entsprechenden Sicherheitsebenen, die Sie
zulassen möchten. Anweisungen hierfür finden Sie unter „Definieren einer
Netegrity SiteMinder-Serverinstanz“ auf Seite 156.
3. Legen Sie fest, welcher IVE-Bereich die IVE-Instanz des SiteMinderRichtlinienservers verwenden soll. Anweisungen hierfür finden Sie unter
„Erstellen eines Authentifizierungsbereichs“ auf Seite 178.
4. Erstellen Sie für jede Ressource auf dem SiteMinder-Richtlinienserver eine IVEAnmelderichtlinie für jeden Ressourcenfilter auf Bereichsebene. Geben Sie auf
der Konfigurationsseite der Anmelderichtlinie Folgendes an:
Geben Sie eine IVE-Anmelde-URL an, die der URL der geschützten
Ressource auf dem Richtlinienserver entspricht. Die Pfadkomponente der
URL muss dem SiteMinder-Ressourcenfilter entsprechen. Sie können
beispielsweise folgende URLs definieren:
https://employees.yourcompany.com/sales
https://employees.yourcompany.com/engineering
Wenn sich Benutzer über die erste URL anmelden, können sie auf die
geschützte Ressource „Sales“ zugreifen, und wenn sie sich über die zweite
URL anmelden, wird ihnen der Zugriff auf die geschützte Ressource
„Engineering“ gewährt.
Zum Definieren einer Standardressource (ive-authentication) geben Sie im
Pfadabschnitt der URL ein Sternchen (*) ein.
Wählen Sie den IVE-Bereich aus, den Sie zur Verwendung des SiteMinderRichtlinienservers angegeben haben.
Anweisungen hierfür finden Sie unter „Konfigurieren von Anmelderichtlinien“
auf Seite 195.
Während der Produktion meldet sich der Benutzer mit einer der URLs beim IVE an.
Das IVE extrahiert die geschützte Ressource aus der URL und authentifiziert den
Benutzer anhand des entsprechenden Bereichs.
Konfigurieren einer Netegrity SiteMinder-Instanz
155
Juniper Networks Secure Access – Administratorhandbuch
Definieren einer Netegrity SiteMinder-Serverinstanz
Eine SiteMinder-Instanz ist ein Satz von Konfigurationseinstellungen im IVE, die
definieren, wie das IVE mit dem SiteMinder-Richtlinienserver interagiert. Nach dem
Definieren der SiteMinder-Serverinstanz legen Sie die IVE-Bereiche fest, die die IVEInstanz des SiteMinder-Richtlinienservers zum Authentifizieren und Autorisieren
von Administratoren und Benutzern verwenden sollen. Anweisungen hierfür finden
Sie unter „Erstellen eines Authentifizierungsbereichs“ auf Seite 178.
So legen Sie eine Netegrity SiteMinder-Serverinstanz fest:
1. Wählen Sie in der Administratorkonsole Authentication > Auth. Servers.
2. Führen Sie einen der folgenden Vorgänge aus:
Um eine neue Serverinstanz auf dem IVE zu erstellen, wählen Sie in der
Liste New den Eintrag SiteMinder Server aus, und klicken Sie anschließend
auf New Server.
Klicken Sie zum Aktualisieren einer vorhandenen Serverinstanz auf den
entsprechenden Link in der Liste Authentication/Authorization Servers.
3. Konfigurieren Sie den Server mit den in Tabelle 13 beschriebenen Einstellungen.
4. So fügen Sie der SiteMinder-Serverinstanz SiteMinder-Benutzerattribute hinzu:
a.
Klicken Sie auf Server Catalog, um den Serverkatalog anzuzeigen.
b.
Geben Sie im Serverkatalog den Cookienamen für das SiteMinderBenutzerattribut ins Feld Attribute ein, und klicken Sie anschließend auf
Add Attribute. (Weitere Informationen zu Cookies für SiteMinderBenutzerattribute finden Sie unter „Erstellen von SiteMinderBenutzerattributen für die IVE-Rollenzuordnung“ auf Seite 152.)
c.
Klicken Sie nach dem Hinzufügen der Cookienamen auf OK. Die
Cookienamen der SiteMinder-Benutzerattribute werden vom IVE auf der
Seite Role Mapping Rule in der Liste Attribute angezeigt.
Konfigurationsanweisungen finden Sie unter „Verwenden von SiteMinderBenutzerattributen für die IVE-Rollenzuordnung“ auf Seite 165.
5. Klicken Sie auf Save Changes.
6. Legen Sie ggf. erweiterte SiteMinder-Konfigurationsoptionen mithilfe der in
Tabelle 14 beschriebenen Einstellungen fest.
HINWEIS: Informationen zum Überwachen und Löschen von Sitzungen von
Benutzern, die gegenwärtig über den Server angemeldet sind, finden Sie unter
„Überwachen von aktiven Benutzern“ auf Seite 738.
156
Konfigurieren einer Netegrity SiteMinder-Instanz
Kapitel 7: Authentifizierungs- und Verzeichnisserver
Tabelle 13: NetegritySiteMinder-Konfigurationsoptionen
Option
Beschreibung
Name
Geben Sie einen Namen ein, um die Serverinstanz zu bezeichnen.
Policy Server
Geben Sie den Namen oder die IP-Adresse des SiteMinder-Richtlinienservers
ein, den Sie zum Authentifizieren von Benutzern verwenden möchten.
Backup Server(s),
Failover Mode
Geben Sie eine durch Kommas getrennte Liste von
Richtliniensicherungsservern ein (optional). Wählen Sie dann einen
Failover-Modus aus:
Wählen Sie Yes aus, damit die IVE-Appliance den Hauptrichtlinienserver
verwendet, sofern dieser betriebsbereit ist.
Wählen Sie No aus, damit die IVE-Appliance einen Lastenausgleich
zwischen allen Richtlinienservern vornimmt.
Agent Name,
Secret
Geben Sie den gemeinsamen geheimen Schlüssel und den Agentnamen
ein (wie unter „Konfigurieren des SiteMinder-Agenten“ auf Seite 148
angegeben). Berücksichtigen Sie bei diesen Angaben die Groß- und
Kleinschreibung.
Compatible with
Wählen Sie eine SiteMinder-Serverversion. Version 5.5 unterstützt die
Versionen 5.5 und 6.0. Version 6.0 unterstützt nur Version 6.0 der
SiteMinder-Server-API. Der Standardwert lautet Richtlinienserver 5.5.
On logout, redirect to Geben Sie eine URL an, zu der Benutzer bei der Abmeldung vom IVE
umgeleitet werden (optional). Wenn Sie dieses Feld leer lassen, wird
Benutzern die IVE-Standardanmeldeseite angezeigt.
Hinweis: Das Feld On logout, redirect to wurde aus Gründen der
Abwärtskompatibilität in dieser Produktversion berücksichtigt, in
zukünftigen Versionen wird es jedoch nicht mehr enthalten sein. Wenn
Sie Benutzer nach der Abmeldung zu einer anderen Anmeldeseite
umleiten möchten, empfiehlt es sich dringend, stattdessen die Funktion
für benutzerdefinierbare Anmeldeseiten zu verwenden. Weitere
Informationen finden Sie im Custom Sign-In Pages Solution Guide.
Protected Resource
Geben Sie eine unter „Erstellen eines SiteMinder-Bereichs für das IVE“
auf Seite 151 angegebene geschützte Standardressource an. Wenn Sie
keine Anmelderichtlinien für SiteMinder erstellen, verwendet das IVE
diese Standard-URL, um die Sicherheitsebene des Benutzers für die
Sitzung festzulegen. Das IVE verwendet diese Standard-URL auch, wenn
Sie die Option Automatic Sign-In auswählen. Wenn die Benutzer sich
an der URL „*“ (IVE-Standardanmeldeseite) anmelden, geben Sie eine
beliebige URL ein („/IVE-authentication“ ist die Standard-URL), um die
Sicherheitsebene auf den IVE-Standardwert einzustellen. Wenn Sie
Anmelderichtlinien für SiteMinder erstellen, verwendet das IVE diese
Richtlinien anstelle der Standard-URL.
Hinweis: Sie müssen einen Schrägstrich (/) vor der Ressource eingeben
(z.B. „/ive-authentication“).
Resource Action
(Schreibgeschützt) Bei neuen SiteMinder-Serverinstanzen legt das IVE
die Ressourcenaktion auf GET fest. Wenn die SiteMinder-Instanz von
einer 3.x-Instanz aktualisiert wird, verwendet das IVE die zuvor
ausgewählte Ressourcenaktion (z.B. GET, POST oder PUT). Wenn Sie
eine vorhandene Ressourcenaktion in GET ändern möchten, müssen Sie
die alte SiteMinder-Serverinstanz löschen und anschließend eine neue
Instanz erstellen, die GET verwendet.
Konfigurieren einer Netegrity SiteMinder-Instanz
157
Juniper Networks Secure Access – Administratorhandbuch
Tabelle 13: NetegritySiteMinder-Konfigurationsoptionen (Fortsetzung)
Option
Beschreibung
SMSESSION cookie settings
Cookie Domain
Geben Sie die Cookiedomäne des IVE ein. (Eine Cookiedomäne ist eine
Domäne, in der die Cookies des Benutzers aktiv sind. Das IVE sendet
Cookies an den Browser des Benutzers in dieser Domäne.)
Hinweis:
Für mehrere Domänen sollten ein vorangestellter Punkt und Kommas
als Trennzeichen verwendet werden. Beispiel:
vertrieb.eigeneorg.com, marketing.eigeneorg.com
Bei Domänennamen wird die Groß- und Kleinschreibung berücksichtigt.
Es dürfen keine Platzhalterzeichen verwendet werden.
Wenn Sie z.B. „.juniper.net“ definieren, muss der Benutzer über
„http://ive.juniper.net“ auf das IVE zugreifen, um sicherzustellen, dass
das zugehörige SMSESSION-Cookie an das IVE zurückgesendet wird.
Protocol
(Schreibgeschützt) Gibt an, dass das IVE Cookies mit dem HTTPSProtokoll an den Webbrowser des Benutzers sendet.
IVE Cookie Domain
Geben Sie die Internetdomäne(n) ein, an die das IVE das SMSESSIONCookie sendet. Hierfür gelten dieselben Richtlinien, die bereits für das
Feld Cookie Domain erörtert wurden. (Eine IVE-Cookiedomäne
ermöglicht die Einzelanmeldung bei mehreren Cookiedomänen.) Dabei
sind beim Navigieren von einer Domäne zu einer anderen stets die
Informationen eines Benutzers verfügbar.) Wenn Sie für einen
Cookieanbieter die Einzelanmeldung über mehrere Cookiedomänen
aktiviert haben, geben Sie den Namen des Cookieanbieters ein.
Andernfalls geben Sie die Domäne(n) der Web-Agents ein, für die eine
Einzelanmeldung erfolgen soll. Beispiel: .juniper.net
Protocol
Wählen Sie HTTPS, um Cookies sicher zu senden, sofern andere WebAgenten für den Empfang sicherer Cookies eingerichtet sind, oder
wählen Sie HTTP, um Cookies ungesichert zu senden.
SiteMinder-Authentifizierungseinstellungen
Automatic Sign-In
Wählen Sie die Option Automatic Sign-In aus, um Benutzer, die über
ein gültiges SMSESSION-Cookie verfügen, automatisch am IVE
anzumelden. Wählen Sie dann den Authentifizierungsbereich aus, dem
die Benutzer zugeordnet werden. Beachten Sie bei Auswahl dieser
Option Folgendes:
Wenn die Sicherheitsebene des SMSESSION-Cookies eines Benutzers
von der Sicherheitsebene des IVE-Bereichs abweicht, verwendet das
IVE die Sicherheitsebene, die dem Cookie zugeordnet ist.
Damit die Einzelanmeldung (Single Sign-on) von einem anderen Web-
Agent beim IVE möglich ist, muss das IVE ein vorhandenes von
einem Standard-Web-Agent erstelltes SMSESSION-Cookie überprüfen.
Das IVE unterstützt die folgenden Bereichs- und
Rollenbeschränkungen der Funktion Automatic Sign-in: Host
Checker, Cache Cleaner und Überprüfung von IP-Adresse, Browser
und Beschränkung für gleichzeitige Benutzer. Zertifikat- und
Kennwortbeschränkungen werden nicht unterstützt, da sie bei
automatisch angemeldeten Benutzern nicht zutreffen.
Das IVE unterstützt nicht die Funktion Automatic Sign in für
Administratorrollen. Diese Funktion ist nur für Endbenutzer verfügbar.
Bei Auswahl der Option Automatic Sign-In müssen auch die folgenden
Unteroptionen konfiguriert werden:
158
Konfigurieren einer Netegrity SiteMinder-Instanz
Kapitel 7: Authentifizierungs- und Verzeichnisserver
Tabelle 13: NetegritySiteMinder-Konfigurationsoptionen (Fortsetzung)
Option
Beschreibung
To assign user roles, use this authentication realm
Wählen Sie einen Authentifizierungsbereich für automatisch
angemeldete Benutzer aus. Das IVE ordnet dem Benutzer eine Rolle
auf Grundlage der im ausgewählten Bereich definierten
Rollenzuordnungsregeln zu.
Hinweis:Wenn Sie Benutzern Rollen auf Grundlage von
Benutzernamen zuordnen möchten, finden Sie unter „Ermitteln des
Benutzernamens des jeweiligen Benutzers“ auf Seite 146
Informationen zu dem vom IVE verwendeten Benutzernamen.
If Automatic Sign In fails, redirect to
Geben Sie wie unter „Automatic Sign-In“ auf Seite 158 beschrieben eine
alternative URL für Benutzer ein, die sich über den Mechanismus zur
automatischen Anmeldung am IVE anmelden. Das IVE leitet Benutzer zur
angegebenen URL um, wenn das IVE die Benutzer nicht authentifizieren
kann und vom SiteMinder-Richtlinienserver keine Antwort zum Umleiten
empfangen wird. Wenn Sie dieses Feld leer lassen, werden die Benutzer
aufgefordert, sich erneut am IVE anzumelden.
Hinweis:
Benutzer, die sich über die IVE-Anmeldeseite anmelden, werden
grundsätzlich wieder zurück zur IVE-Anmeldeseite umgeleitet,
wenn keine Authentifizierung erfolgen kann.
Wenn Sie die im Custom Sign-In Pages Solution Guide beschriebene
Option für die Anpassung der Benutzeroberfläche verwenden,
leitet das IVE noch in zwei weiteren Fällen auf die Seite welcome.cgi
um. Sie müssen beide Sonderfälle in Ihrer benutzerdefinierten
Seite berücksichtigen:
Ablauf der Sitzungs- oder Leerlaufhöchstdauer: /danana/auth/welcome.cgi?p=timed-out
Fehlgeschlagene Cookievalidierung: /danana/auth/welcome.cgi?p=failed
Authenticate using
custom agent
Wählen Sie diese Option aus, wenn die Authentifizierung über den
benutzerdefinierten Web-Agent des IVE erfolgen soll. Beachten Sie, dass
Sie bei Auswahl dieser Option außerdem folgende Aufgaben
durchführen müssen:
Aktualisieren aller Standard-Web-Agents mit dem entsprechenden
Siteminder Agent Quarterly Maintenance Release (QMR), damit die
vom IVE erstellten Cookies akzeptiert werden. Wenn Sie SiteMinderWeb-Agents, Version 5, ausführen, verwenden Sie den auf der
Netegrity-Website verfügbaren QMR5-Hotfix. Das IVE ist mit
SiteMinder-Agenten der Version 5.x und höher kompatibel. Bei
älteren Versionen von SiteMinder-Agenten können Fehler bei der
Cookie-Validierung auftreten.
Legen Sie das Attribut AcceptTPCookie (Cookie von Drittanbietern
akzeptieren) in der Konfigurationsdatei des Web-Agent
(webagent.conf) auf „yes“ oder in der Windows-Registrierung für den
IIS-Webserver auf „1“ fest. Der Speicherort des Attributs hängt von
der verwendeten SiteMinder-Version und vom verwendeten
Webserver ab. Weitere Informationen finden Sie in der
Dokumentation zu Ihrem SiteMinder-Server.
Konfigurieren einer Netegrity SiteMinder-Instanz
159
Juniper Networks Secure Access – Administratorhandbuch
Tabelle 13: NetegritySiteMinder-Konfigurationsoptionen (Fortsetzung)
Option
Beschreibung
Authenticate using
HTML form post
Wählen Sie diese Option aus, wenn Sie die Benutzeranmeldedaten an
einen bereits konfigurierten Standard-Web-Agent senden möchten, statt
direkt mit dem SiteMinder-Richtlinienserver zu kommunizieren. Wenn
Sie diese Option auswählen, kommuniziert der Web-Agent mit dem
Richtlinienserver, um die jeweilige Anmeldeseite zu ermitteln, die dem
Benutzer angezeigt werden soll. Damit Sie das IVE so konfigurieren
können, dass es „wie ein Browser fungiert“, der Anmeldedaten an den
Standard-Web-Agent sendet, müssen Sie die unten definierten
Informationen eingeben. Sie können diese Informationen problemlos
finden, indem Sie folgendermaßen vorgehen:
1. Öffnen Sie einen Webbrowser, und geben Sie die URL des StandardWeb-Agent ein, den Sie verwenden möchten, z.B.
http://webagent.juniper.net.
2. Notieren Sie sich die URL der angezeigten SiteMinder-Anmeldeseite.
Beispiel:
http://webagent.juniper.net/siteminderagent/forms/login.fcc?TYPE=3
3554433&REALMOID=06-2525fa65-5a7f-11d5-9ee00003471b786c&GUID=&SMAUTHREASON=0&TARGET=$SM$http
%3a%2f%2fwebagent%2ejuniper%2enet%2fportal%2findex%2ejsp
3. Extrahieren Sie die entsprechenden Informationen aus der URL, um
die folgenden Felder auszufüllen.
Hinweis:
Sie können die SecurID New Pin- und Next Token-Modi, die clientseitige
Zertifikatauthentifizierung und SNMP-Traps nicht in Verbindung mit der
Option Authenticate using HTML form post verwenden.
Die Option Authorize While Authenticating ist mit der Option HTML
form post nicht vereinbar.
Benutzer können mit dieser Option authentifiziert werden, eine
zusätzliche Autorisierung der Benutzer erfordert jedoch das
Auswählen der Option Authenticate using custom agent.
Bei Auswahl der Option Authenticate using HTML form post müssen
auch die folgenden Unteroptionen konfiguriert werden:
Target
URL auf dem externen, Netegrity-fähigen Webserver. In der URL der
Anmeldeseite des Web-Agent wird das Ziel im Anschluss an
&TARGET=$SM$ angezeigt. In der unter „Authenticate using HTML
form post“ auf Seite 160 gezeigten URL lautet das Ziel z.B. wie folgt:
http%3a%2f%2fwebagent%2ejuniper%2enet%2fportal%2findex%2ejsp
Nach der Konvertierung von Sonderzeichen (%3a = Doppelpunkt,
%2f = umgekehrter Schrägstrich, %2e = Punkt) lautet das Ziel
folgendermaßen: http://webagent.juniper.net/portal/index.jsp
Protocol
Protokoll für die Kommunikation zwischen IVE und dem
angegebenen Web-Agenten. Verwenden Sie HTTP für die nicht
sichere Kommunikation oder HTTPS für die sichere Kommunikation.
In der URL der Anmeldeseite des Web-Agent wird zuerst das Protokoll
angezeigt. In der unter „Authenticate using HTML form post“ auf
Seite 160 gezeigten URL wird z.B. HTTP verwendet.
160
Konfigurieren einer Netegrity SiteMinder-Instanz
Kapitel 7: Authentifizierungs- und Verzeichnisserver
Tabelle 13: NetegritySiteMinder-Konfigurationsoptionen (Fortsetzung)
Option
Beschreibung
Web Agent
Name des Web-Agenten, von dem das IVE SMSESSION-Cookies
abrufen soll. Eine IP-Adresse kann in diesem Feld nicht eingegeben
werden. (Wenn die IP-Adresse als Web-Agent angegeben wird,
können einige Browser keine Cookies akzeptieren.) In der URL der
Anmeldeseite des Web-Agent wird der Web-Agent im Anschluss an
das Protokoll angezeigt. In der unter „Authenticate using HTML form
post“ auf Seite 160 gezeigten URL heißt der Web-Agent z.B.
folgendermaßen: webagent.juniper.net
Port
Port 80 für HTTP oder Port 443 für HTTPS.
Path
Pfad der Anmeldeseite des Web-Agenten. Beachten Sie, dass der Pfad
mit einem umgekehrten Schrägstrich (/) beginnen muss. In der URL
der Anmeldeseite des Web-Agenten wird der Pfad im Anschluss an
den Web-Agent angezeigt. In der unter „Authenticate using HTML
form post“ auf Seite 160 gezeigten URL lautet der Pfad z.B. wie folgt:
/siteminderagent/forms/login.fcc
Parameters
Post-Parameter, die bei der Anmeldung eines Benutzers gesendet
werden. Zu den häufig verwendeten SiteMinder-Variablen zählen _
_USER_ _,
_ _PASS_ _ und _ _TARGET_ _. Diese Variablen werden durch den vom
Benutzer auf der Anmeldeseite des Web-Agenten eingegebenen
Benutzernamen und das Kennwort sowie durch den im Feld Target
angegebenen Wert ersetzt. Es handelt sich hierbei um die
Standardparameter für login.fcc. Wenn Sie Anpassungen vorgenommen
haben, müssen Sie diese Parameter möglicherweise ändern.
Delegate
authentication to a
standard agent
Wählen Sie diese Option aus, um die Authentifizierung an einen
Standardagenten zu delegieren. Greift der Benutzer auf die IVEAnmeldeseite zu, bestimmt das IVE die dem Authentifizierungsschema
der geschützten Ressource zugewiesene FCC-URL. Das IVE leitet den
Benutzer zu dieser URL um und legt die IVE-Anmelde-URL als Ziel fest.
Nach erfolgreicher Authentifizierung mit dem Standardagenten wird im
Browser des Benutzers ein SMSESSION-Cookie eingerichtet und der
Benutzer wird zurück zum IVE geleitet. Das IVE meldet den Benutzer
anschließend automatisch an und richtet eine IVE-Sitzung ein.
Informationen zum Konfigurieren des Authentifizierungsschemas
finden Sie unter „Erstellen eines SiteMinder-Authentifizierungsschemas
für das IVE“ auf Seite 148.
HINWEIS:
Wählen Sie zum Verwenden dieser Funktion die Option Automatic
Sign-In aus.
Wird diese Option ausgewählt und verfügt ein Benutzer beim Versuch
auf eine Ressource zuzugreifen bereits über ein SMSESSION-Cookie,
versucht das IVE mit dem vorhandenen SMSESSION-Cookie eine
automatische Anmeldung. Ist das Cookie ungültig, löscht das IVE das
SMSESSION-Cookie und die entsprechenden IVE-Cookies und zeigt
dem Benutzer eine Seite für Zeitlimits an. Das IVE delegiert
erfolgreich Authentifizierung, wenn der Benutzer auf die Option für
erneutes Anmelden klickt.
Bei Auswahl dieser Option ist für das Authentifizierungsschema eine
zugewiesene FCC-URL erforderlich.
Konfigurieren einer Netegrity SiteMinder-Instanz
161
Juniper Networks Secure Access – Administratorhandbuch
Tabelle 13: NetegritySiteMinder-Konfigurationsoptionen (Fortsetzung)
162
Option
Beschreibung
Authorize requests
against SiteMinder
policy server
Aktivieren Sie diese Option, wenn die Regeln des SiteMinderRichtlinienservers für die Autorisierung der Benutzeranforderungen von
Webressourcen verwendet werden sollen. Wenn Sie diese Option
auswählen, müssen Sie in SiteMinder die entsprechenden Regeln
erstellen, die mit dem Servernamen gefolgt von einem Schrägstrich
beginnen, z.B.: „www.yahoo.com/“, „www.yahoo.com/*“ und
„www.yahoo.com/r/f1“. Weitere Informationen finden Sie in der
Dokumentation zu Ihrem SiteMinder-Server.
If authorization fails,
redirect to
Geben Sie eine alternative URL ein, zu dem Benutzer umgeleitet
werden, wenn das IVE die Benutzer nicht autorisieren kann und vom
SiteMinder-Richtlinienserver keine Antwort zum Umleiten empfangen
wird. Wenn Sie dieses Feld leer lassen, werden die Benutzer
aufgefordert, sich erneut am IVE anzumelden.
Konfigurieren einer Netegrity SiteMinder-Instanz
Kapitel 7: Authentifizierungs- und Verzeichnisserver
Tabelle 13: NetegritySiteMinder-Konfigurationsoptionen (Fortsetzung)
Option
Beschreibung
Resource for
insufficient
protection level
Geben Sie eine Ressource des Web-Agent ein, zu der das IVE die
Benutzer umleitet, wenn sie nicht über die erforderlichen
Berechtigungen verfügen.
Wenn ein Benutzer auf eine Ressource zugreift, die eine höhere
Sicherheitsebene als das SMSESSION-Cookie des Benutzers aufweist, wird
eine gesicherte Anmeldeseite geöffnet. Nach der erneuten
Authentifizierung erhält der Benutzer dann ein SMSESSION-Cookie mit
einer höheren Sicherheitsebene und wird zu einer Webseite umgeleitet. Der
jeweils vom IVE angezeigte Webseitentyp richtet sich nach der von Ihnen
verwendeten Methode für die erneute Authentifizierung von Benutzern*:
Ein standardmäßiger Web-Agent mit „FCCCompatMode = yes“
Wenn Sie den Kompatibilitätsmodus für den FormularanmeldedatenCollector des Web-Agent (Forms Credential Collector, FCC)** auf „yes“
festlegen, werden die Benutzer zu der von Ihnen im Feld Resource for
insufficient protection level angegebenen Seite umgeleitet.
Hinweis:
- Sie müssen die Benutzer zu einer Seite des Standard-Web-Agenten
umleiten. Das IVE kann den Benutzer nicht zu der Ressource
weiterleiten, auf die er ursprünglich zugreifen wollte.
- Sie müssen dabei nicht die gesamte URL der Ressource (z.B.
https://vertrieb.eigenefirma.com/,DanaInfo=www.stdwebagent.com+ind
ex.html), sondern nur die Ressource (index.html) eingeben.
Ein standardmäßiger Web-Agent mit „FCCCompatMode = no“
Wenn Sie den Kompatibilitätsmodus für den FormularanmeldedatenCollector des Web-Agent (Forms Credential Collector, FCC)** auf „no“
festlegen, werden die Benutzer zu der von Ihnen im Feld Resource
for insufficient protection level angegebenen Seite umgeleitet.
Wenn Sie dieses Feld leer lassen, wird der Benutzer zu der Ressource
umgeleitet, auf die er ursprünglich zugreifen wollte.
Das IVE
Wenn die erneute Authentifizierung der Benutzer über das IVE erfolgt,
werden die Benutzer zu einer zwischengeschalteten IVE-Seite
umgeleitet (siehe „Erneute Authentifizierung von Benutzern mit
unzureichenden Sicherheitsebenen“ auf Seite 146). Soll das IVE den
Benutzer zu einer originalen Ressource umleiten, auf die er zugreifen
möchte, muss die Option Browser request follow through auf der
Seite Users > User Roles > [Rolle] > General > Session Options
der Administratorkonsole ausgewählt werden. (Wenn Sie dieses Feld
leer lassen und die Option Browser request follow through nicht
aktivieren, leitet das IVE den Benutzer zu der IVE-Seite um, die der
Benutzer als Standardlesezeichen festgelegt hat.)
* Informationen zum Festlegen einer Methode für die erneute
Authentifizierung finden Sie unter „Erstellen eines SiteMinderAuthentifizierungsschemas für das IVE“ auf Seite 148.
** Wenn ein Benutzer eine geschützte Ressource anfordert, wird er von
SiteMinder an einen Formularanmeldedaten-Collector (FCC)
weitergeleitet, der dann auf dem Richtlinienserver ein Webformular
zum Erfassen der Anmeldedaten aufruft.
Ignore authorization
for files with
extensions
Geben Sie Dateierweiterungen ein, die den Dateitypen entsprechen, für
die keine Autorisierung erforderlich ist. Sie müssen die Erweiterung
jedes einzelnen Dateityps eingeben, der ignoriert werden soll, und diese
durch Kommas trennen. Geben Sie beispielsweise „gif, .jpeg, .jpg, .bmp“
ein, um verschiedene Bilddateitypen zu ignorieren. Es dürfen keine
Platzhalterzeichen (wie *, *.* oder .*) verwendet werden, um eine
ganze Gruppe von Dateitypen zu ignorieren.
Konfigurieren einer Netegrity SiteMinder-Instanz
163
Juniper Networks Secure Access – Administratorhandbuch
Tabelle 14: Erweiterte NetegritySiteMinder-Konfigurationsoptionen
Option
Beschreibung
Poll Interval
Geben Sie das Intervall ein, nach dessen Ablauf das IVE den SiteMinderRichtlinienserver auf neue Schlüssel überprüft.
Max. Connections
Steuert die maximale Anzahl gleichzeitiger Verbindungen, die das IVE mit
dem Richtlinienserver herstellen kann. Die Standardeinstellung ist 20.
Max. Requests/
Connection
Steuert die maximale Anzahl von Anforderungen, die von der
Richtlinienserververbindung verarbeitet werden, bevor das IVE die
Verbindung trennt. Sie können diese Einstellung ggf. ändern, um die
Leistungsfähigkeit zu erhöhen. Die Standardeinstellung ist 1000.
Idle Timeout
Steuert die maximale Anzahl der Minuten, die sich eine Verbindung mit
dem Richtlinienserver im Leerlauf befinden kann (wobei die Verbindung
keine Anforderungen verarbeitet), bevor das IVE die Verbindung trennt.
Die Standardeinstellung „none“ gibt an, dass es keine zeitliche
Begrenzung gibt.
Authorize while
Authenticating
Legt fest, dass das IVE unmittelbar nach der Authentifizierung auf dem
Richtlinienserver nach Benutzerattributen suchen soll, um zu ermitteln,
ob der Benutzer tatsächlich authentifiziert wurde. Wenn beispielsweise
der Netegrity-Server Benutzer auf der Grundlage einer LDAPServereinstellung authentifiziert, können Sie diese Option auswählen,
um anzugeben, dass das IVE Benutzer über den Netegrity-Server
authentifizieren und anschließend über den LDAP-Server autorisieren
soll, bevor den Benutzern der Zugriff gewährt wird. Wenn der Benutzer
nicht authentifiziert oder autorisiert werden kann, wird er zu der auf
dem Richtlinienserver konfigurierten Seite umgeleitet.
Hinweis:
Wenn Sie diese Option nicht auswählen und die
Autorisierungsoptionen mithilfe des RichtlinienserverKonfigurationsprogramms auf der Registerkarte Policy Users >
Exclude festgelegt haben, kann sich ein Benutzer, dem Sie den
Zugriff verweigert haben, erfolgreich auf dem IVE authentifizieren.
Erst wenn der Benutzer versucht, auf eine geschützte Ressource
zuzugreifen, überprüft das IVE seine Autorisierungsrechte und
verweigert ihm den Zugriff.
Das IVE sendet sowohl zur Autorisierung als auch zur
Authentifizierung dieselbe Ressource an den Richtlinienserver.
Diese Option wird nicht mit der unter „Authenticate using HTML form
post“ auf Seite 160 beschriebenen Option Authenticate using HTML
form post oder der unter „Automatic Sign-In“ auf Seite 158
beschriebenen Option Automatic sign-in unterstützt.
Enable Session Grace
Period,
Validate cookie every
N seconds
164
Konfigurieren einer Netegrity SiteMinder-Instanz
Sie können den mit dem Überprüfen des SMSESSION-Cookies eines
Benutzers bei jeder Anforderung derselben Ressource verbundenen
Aufwand erheblich reduzieren, indem Sie festlegen, dass das IVE das
Cookie für einen bestimmten Zeitraum als gültig betrachten soll. In dieser
Zeit geht das IVE davon aus, dass das zwischengespeicherte Cookie gültig
ist, sodass keine erneute Überprüfung über den Richtlinienserver erfolgt.
Wenn Sie diese Option nicht auswählen, überprüft das IVE das
SMSESSION-Cookie des Benutzers bei jeder Anforderung. Beachten Sie,
dass der hier eingegebene Wert keinen Einfluss auf die Überprüfung von
Sitzungs- oder Leerlaufzeitüberschreitungen hat.
Kapitel 7: Authentifizierungs- und Verzeichnisserver
Tabelle 14: Erweiterte NetegritySiteMinder-Konfigurationsoptionen (Fortsetzung)
Option
Beschreibung
Ignore Query Data
Wenn ein Benutzer eine Ressource anfordert, sendet das IVE
standardmäßig die gesamte URL (einschließlich der Abfrageparameter)
für diese Ressource an den Richtlinienserver (einschließlich des
Abfrageparameters, sofern dieser vorhanden ist) und speichert die URL
zwischen. Das IVE sendet u.U. die folgende URL an den
Richtlinienserver: http://foo/bar?param=value. (Abfragedaten werden
nach dem Zeichen „?“ in der URL angezeigt. In dieser URL stellt
param=value den Abfrageparameter dar.)
Das IVE nimmt anschließend eine zehnminütige Zwischenspeicherung des
Ergebnisses der Autorisierungsanforderung vor (einschließlich des
Abfrageparameters). Fordert der Benutzer anschließend dieselbe Ressource
an, die in der zwischengespeicherten URL angegeben ist, schlägt die
Anforderung fehl, da der Abfrageteil der zwischengespeicherten URL nicht
der neuen Anforderung entspricht. Das IVE muss nun erneut eine
Verbindung zum Richtlinienserver herstellen, um eine den neuen
Abfrageparameter enthaltende Anforderung zu stellen.
Bei Auswahl der Option Ignore Query Data nimmt das IVE keine
Zwischenspeicherung des Abfrageparameters in den URLs vor. Fordert
ein Benutzer dieselbe Ressource, die in der zwischengespeicherten URL
angegeben ist, an, schlägt die Anforderung in der Regel nicht fehl. Wird
z.B. die Option Ignore Query Data aktiviert, werden beide der
folgenden URLs als dieselbe Ressource eingestuft:
http://foo/bar?param=value1
http://foo/bar?param=value2
Durch Aktivieren dieser Option wird u.U. die Leistung verbessert.
Accounting Port
Der Wert in diesem Feld muss mit dem über die Netegrity Policy Server
Management Console eingegebenen Wert für den Accounting Port
übereinstimmen. Standardmäßig stimmt dieses Feld mit der
Standardeinstellung des Richtlinienservers (44441) überein.
Authentication Port
Der Wert in diesem Feld muss mit dem über die Netegrity Policy Server
Management Console eingegebenen Wert für den
Authentifizierungsport übereinstimmen. Standardmäßig stimmt dieses
Feld mit der Standardeinstellung des Richtlinienservers (44442) überein.
Authorization Port
Der Wert in diesem Feld muss mit dem über die Netegrity Policy Server
Management Console eingegebenen Wert für den Autorisierungsport
übereinstimmen. Standardmäßig stimmt dieses Feld mit der
Standardeinstellung des Richtlinienservers (44443) überein.
Flush Cache
Hiermit kann der Ressourcencache des IVE gelöscht werden, in dem
Ressourcenautorisierungsdaten 10 Minuten lang
zwischengespeichert werden.
Verwenden von SiteMinder-Benutzerattributen für die IVERollenzuordnung
Nachdem Sie Benutzerattribute auf einem SiteMinder-Richtlinienserver erstellt haben
(siehe „Erstellen von SiteMinder-Benutzerattributen für die IVE-Rollenzuordnung“ auf
Seite 152), können Sie diese Attribute in Rollenzuordnungsregeln für einen Bereich
verwenden, der den SiteMinder-Richtlinienserver verwendet.
So verwenden Sie SiteMinder-Benutzerattribute für die IVE-Rollenzuordnung:
1. Wählen Sie in der Administratorkonsole Administrators > Admin Realms
oder Users > User Realms aus.
Konfigurieren einer Netegrity SiteMinder-Instanz
165
Juniper Networks Secure Access – Administratorhandbuch
2. Wählen Sie auf der Registerkarte General der Seite Authentication Realms für
den den SiteMinder-Richtlinienserver verwendenden IVE-Bereich in der Liste
Directory/Attribute Same as Above aus. (Anweisungen hierfür finden Sie unter
„Erstellen eines Authentifizierungsbereichs“ auf Seite 178.)
HINWEIS: Wird anstelle von Same as Above in der Liste Directory/Attribute LDAP
ausgewählt, können bei den Rollenzuordnungsregeln sowohl SiteMinder- als auch
LDAP-Attribute verwendet werden.
3.
Erstellen Sie auf der IVE-Registerkarte Role Mapping basierend auf IVEBenutzerattributen eine Regel, die ein SiteMinder-Benutzerattributcookie referenziert.
Um auf ein SiteMinder-Benutzerattributcookie namens department zu verweisen,
fügen Sie der Liste der IVE-Benutzerattribute auf der IVE-Registerkarte Role
Mapping z.B. department hinzu. Geben Sie anschließend einen Wert für das
SiteMinder-Benutzerattributcookie an, z.B. sales. Anweisungen hierfür finden Sie
unter „Erstellen von Rollenzuordnungsregeln“ auf Seite 181.
Sie können auch die folgende Syntax verwenden, um in einem
benutzerdefinierten Ausdruck für eine Rollenzuordnungsregel auf ein
SiteMinder-Benutzerattributcookie zu verweisen:
userAttr.<cookie-name>
Beispiel:
userAttr.department = ("sales" and "eng")
Definieren eines SiteMinder-Bereichs für die automatische Anmeldung
Die automatische SiteMinder-Anmeldung erfordert einen Bereich, dessen
Authentifizierungsserver der SiteMinder-Server ist. Wenn Sie eine Aktualisierung
vornehmen und für die automatische Anmeldung bereits einen Bereich definiert
haben, in dem der SiteMinder-Server nicht für die Authentifizierung angegeben ist,
und Sie den SiteMinder-Server konfiguriert haben, gilt Folgendes:
Die Bereiche werden nicht in der SiteMinder-Bereichsliste unter den SiteMinderAuthentifizierungseinstellungen in der Administratorkonsole angezeigt.
Durch den Aktualisierungsprozess wird ein neuer Bereich namens „NetegrityAuto-Login-Realm“ erstellt, der auf dem vorhandenen Bereich basiert, jedoch
den SiteMinder-Server als seinen Authentifizierungsserver konfiguriert.
So konfigurieren Sie den SiteMinder-Bereich in einer neuen Installation:
1. Wählen Sie Authentication > Auth. Servers.
2. Wählen Sie in der Liste New SiteMinder aus, und klicken Sie auf New Server.
3. Legen Sie die gewünschten Einstellungen wie unter „Definieren einer Netegrity
SiteMinder-Serverinstanz“ auf Seite 156 beschrieben fest.
4. Klicken Sie auf Save Changes.
166
Konfigurieren einer Netegrity SiteMinder-Instanz
Kapitel 7: Authentifizierungs- und Verzeichnisserver
5. Konfigurieren Sie den Bereich wie unter „Erstellen eines Authentifizierungsbereichs“
auf Seite 178 beschrieben, und wählen Sie den SiteMinder-Server als
Authentifizierungsserver aus.
6. Wählen Sie Authentication > Auth. Servers.
7. Wählen Sie den zuvor definierten SiteMinder-Server aus.
8. Aktivieren Sie unter SiteMinder authentication settings das Kontrollkästchen
Automatic Sign In:
9. Wählen Sie in der Liste der Benutzerauthentifizierungsbereiche den eben
konfigurierten Bereich aus.
10. Klicken Sie auf Save Changes.
HINWEIS: Die Liste der Benutzerauthentifizierungsbereiche auf der Seite für den
SiteMinder-Server enthält nur die für SiteMinder konfigurierten Bereiche. Wenn
Sie keine SiteMinder-Bereiche konfiguriert haben, ist das Dropdownmenü leer.
Debuggen von SiteMinder- und IVE-Problemen
In einigen Fällen stoßen Sie möglicherweise auf Probleme beim Konfigurieren der
Netegrity SiteMinder-Serverinteraktionen mit dem IVE. Zur Identifizierung und
Lösung von Problemen können Sie eine Reihe von Debuggingtools verwenden:
Überprüfen Sie die IVE-Protokolldatei. Das IVE verfolgt Fehler bei der CookieValidierung, bei Autorisierungsanforderungen und durch Tasten-Rollover.
Überprüfen Sie die Protokolldateien der Authentifizierung und Autorisierung
durch die Richtlinienserver.
Überprüfen Sie die Protokolldatei des standardmäßigen Web-Agenten, wenn
die Option Authentication using HTLM Form POST ausgewählt wurde.
Stellen Sie sicher, dass das IVE das richtige Suffix enthält, das Sie im Feld Cookie
Domain definiert haben. Falls das IVE nicht korrekt adressiert ist, leitet der
Browser u. U. nicht das richtige SMSESSION-Cookie an das IVE weiter und Sie
können sich nicht anmelden. Sie müssen im Browser den FQDN des IVE
eingeben, und nicht die IP-Adresse des IVE, da die Anmeldung sonst fehlschlägt.
Stellen Sie sicher, dass die IVE-Systemzeit mit der Systemzeit des SiteMinderServers synchronisiert ist. Wenn die beiden Systemzeiten zu sehr voneinander
abweichen, funktionieren die Zeitlimiteinstellungen möglicherweise nicht
ordnungsgemäß und Ihre Anmeldeversuche werden abgewiesen.
Bestätigen Sie im SiteMinder-Server, dass im Dialogfeld Siteminder Realm die
richtigen Optionen für Session Timeout max timeout und idle festgelegt wurden.
Konfigurieren einer Netegrity SiteMinder-Instanz
167
Juniper Networks Secure Access – Administratorhandbuch
Wenn Sie sich beim IVE anmelden und zu einem durch Netegrity geschützten
Web-Agenten wechseln, und dann die Netegrity-Anmeldeseite anstatt der Seite für
die Einzelanmeldung (SSO) angezeigt wird, überprüfen Sie den Wert IVE Cookie
Domain, um sicherzustellen, dass die Domäne mit der Domäne des durch
Netegrity geschützten Webagenten übereinstimmt. Überprüfen Sie die Einstellung
für die Option Send Cookie Securely. Wenn Send Cookie Securely auf yes
gesetzt ist, funktioniert die Einzelanmeldung nur bei gesicherten Seiten (https://).
Wenn Send Cookie Securely auf no gesetzt ist, funktioniert die Einzelanmeldung
bei gesicherten und nicht gesicherten Seiten (http:// und https://).
Konfigurieren einer SAML-Serverinstanz
Das IVE akzeptiert mit einem Artifact-Profil oder einem POST-Profil die von einer
SAML-Stelle erstellten Authentifizierungsassertionen. Dank dieser Funktion kann
sich ein Benutzer an einer Quell-Site oder einem Portal anmelden, ohne zuerst über
das IVE zu gehen und dann mit Einzelanmeldung (SSO) über den SAML Consumer
Service auf das IVE zuzugreifen.
Als Ergebnis kann der Benutzer, der sich an anderer Stelle authentifiziert, ohne
erneute Anmeldung auf Ressourcen hinter dem IVE zugreifen.
Verwenden des Artifact- und des POST-Profils
Die zwei unterstützten Profile bieten verschiedene Methoden zur Durchführung
derselben Aufgabe. Ziel des Endbenutzers ist die einmalige Anmeldung an allen
gewünschten Ressourcen, ohne für verschiedene Ressourcen oder Anwendungen
mehrere Anmeldeseiten aufrufen zu müssen. Auch wenn sich der Endbenutzer
Transparenz wünscht, sind Sie als Administrator bestrebt, für alle Ressourcen im
System absolute Sicherheit zu gewährleisten, unabhängig von den dargestellten
Servern oder Sites.
Das Artifact-Profil erfordert die Einrichtung einer automatisierten AnforderungAntwort-HTTP-Meldung, die der Browser anhand einer „HTTP GET“-Anforderung
abrufen kann. Informationen zu dieser Methode finden Sie unter „Verwenden des
Szenarios für Artifact-Profile“ auf Seite 168.
Das POST-Profil erfordert die Erstellung eines HTML-Formulars, das dieselbe SAMLAssertion beinhalten und mithilfe der HTTP-POST-Methode von einer Endbenutzeroder einer Skriptaktion gesendet werden kann. Weitere Informationen zu dieser
Methode finden Sie unter „Verwenden des Szenarios für POST-Profile“ auf Seite 169.
Verwenden des Szenarios für Artifact-Profile
Der SAML-Server unterstützt im Allgemeinen das folgende Artifact-Profil:
1. Der Benutzer greift über einen Browser auf eine Quell-Site zu. Bei der Quell-Site
kann es sich um ein Unternehmensportal mit einem anderen
Authentifizierungs-Zugriffsverwaltungssystem als IVE handeln.
2. Die Quell-Site fragt den Benutzernamen und das Kennwort des Benutzers ab.
168
Konfigurieren einer SAML-Serverinstanz
Kapitel 7: Authentifizierungs- und Verzeichnisserver
3. Der Benutzer gibt den Benutzernamen und das Kennwort an, die die Quell-Site
durch Abruf von einem LDAP-Verzeichnis oder einem anderen
Authentifizierungsserver authentifiziert.
4. Der Benutzer klickt anschließend auf einen Link auf der Quell-Site, der auf eine
Ressource auf einem Server verweist, die hinter dem IVE geschützt ist.
5. Der Link leitet den Benutzer zur Intersite Transfer Service URL auf der QuellSite um. Die Quell-Site ruft eine Authentifizierungsbestätigungsmeldung aus
ihrem Cache ab und fügt sie in eine SOAP-Meldung ein. Die Quell-Site erstellt
ein SAML-Artifact (eine Base64-Zeichenfolge), das zusammen mit der Ziel- und
Assertionadresse in einer URL an den Browser zurückgegeben wird.
6. Die Ziel-Site fragt die authentifizierte Assertion von der Quell-Site ab, basierend
auf dem von der Quell-Site empfangenen Artifact.
7. Falls die abgelaufene Zeit innerhalb der Zeit für „Allowable Clock Skew“ liegt,
das IVE die Assertion als gültige Authentifizierung akzeptiert und der Benutzer
alle anderen IVE-Richtlinieneinschränkungen erfüllt, gewährt das IVE dem
Benutzer den Zugriff auf die angeforderte Ressource.
Folgende Aufgaben, die zur Unterstützung des IVE als Relying Party mit dem
Artifact-Profil auszuführen sind, gehören zu den Hauptaufgaben:
Implementieren des Assertion Consumer Service, in dem folgende Vorgänge
ablaufen:
Empfangen der Umleitungs-URL mit dem Artifact
Erstellen und Senden der SAML-Anforderung
Empfangen und Verarbeiten der SAML-Antwort
Integrieren des Assertion Consumer Service mit dem vorhandenen IVE-Prozess,
in dem folgende Vorgänge ausgeführt werden:
Zuordnen der SAML-Assertion zu einem lokalen Benutzer
Erstellen einer IVE-Benutzersitzung
Ausführen einer lokalen Autorisierung
Bedienen der Ressource oder Verweigern des Zugriffs
Verwenden des Szenarios für POST-Profile
Der SAML-Server unterstützt im Allgemeinen das POST-Profil-Szenario auf folgende
Art und Weise:
1. Der Endbenutzer greift auf die Quell-Website zu; diese wird nachfolgend als
Quellsite bezeichnet.
2. Die Quellsite überprüft, ob der Benutzer an einer aktuellen Sitzung teilnimmt.
Konfigurieren einer SAML-Serverinstanz
169
Juniper Networks Secure Access – Administratorhandbuch
3. Ist dies nicht der Fall, fordert die Quellsite den Benutzer dazu auf, die
Anmeldedaten einzugeben.
4. Der Benutzer gibt seine Anmeldedaten, wie z.B. Benutzername und Kennwort ein.
5. Verläuft die Authentifizierung erfolgreich, erstellt der Authentifizierungsserver
für die Quellsite eine Sitzung für den Benutzer und zeigt die entsprechende
Willkommensseite der Portalanwendung an.
6. Der Benutzer wählt anschließend eine Menüoption oder einen Link aus, der auf
eine Ressource oder Anwendung auf einer Ziel-Website verweist.
7. Die Portalanwendung leitet die Anforderung zum lokalen Inter-Site Transfer
Service, der auf der Quellsite gehostet werden kann. Die Anforderung
beinhaltet die URL der Ressource auf der Zielsite, d.h. die ZIEL-URL.
8. Der Inter-Site Transfer Service sendet ein HTML-Formular zurück an den
Browser. Das HTML-Formular beinhaltet eine SAML-Antwort, innerhalb der sich
eine SAML-Assertion befindet. Die Antwort muss digital signiert werden.
Normalerweise beinhaltet das HTML-Formular eine Eingabe- oder eine
Übermittlungsaktion, die zu einem HTTP-POST führt. Dabei kann es sich um
eine für den Benutzer per Mausklick auswählbare Schaltfläche mit der
Bezeichnung Submit oder um ein Skript handeln, das den HTTP-POST
programmatisch initiiert.
9. Der Browser sendet – entweder aufgrund einer Benutzeraktion oder aufgrund
einer Aktion für automatisches Senden – einen HTTP-POST mit der SAMLAntwort auf den Assertion Consumer Service der Ziel-Website.
10. Der Assertion Consumer des Antwortenden (in diesem Fall auf der ZielWebsite) überprüft die digitale Signatur auf der SAML-Antwort.
11. Ist die Signatur gültig, sendet der Assertion Consumer eine Umleitung an den
Browser, und sorgt damit für den Zugriff des Browsers auf die Zielressource.
12. Das IVE auf der Zielsite überprüft, ob der Benutzer über die Berechtigung
verfügt, auf die Zielsite und die Zielquelle zuzugreifen.
13. Verfügt der Benutzer über die Berechtigung für den Zugriff auf die Zielsite und
die Zielressource, gibt das IVE die Zielressource an den Browser zurück.
Die Hauptaufgaben, die zur Unterstützung des IVE als Relying Party mit dem POSTProfil auszuführen sind, umfassen folgende:
170
Implementieren des Assertion Consumer Service, der das POST-Formular
empfängt und verarbeitet
Integrieren des Assertion Consumer Service mit dem vorhandenen IVE-Prozess,
in dem folgende Vorgänge ausgeführt werden:
Zuordnen der SAML-Assertion zu einem lokalen Benutzer
Erstellen einer IVE-Benutzersitzung
Ausführen einer lokaler Autorisierung
Konfigurieren einer SAML-Serverinstanz
Kapitel 7: Authentifizierungs- und Verzeichnisserver
Bedienen der Ressource oder Verweigern des Zugriffs
Verstehen von Assertions
Jede Partei in der Anfrage-Antwort-Kommunikation muss bestimmte
Anforderungen erfüllen. Die Anforderungen bieten eine prognostizierbare
Infrastruktur, damit die Assertions und Artifacts korrekt verarbeitet werden können.
Das Artifact ist eine Base-64-codierte Zeichenfolge mit 40 Byte. Ein Artifact
agiert als Token, das auf eine Assertion auf der Quell-Site verweist. Somit kann
der Artifact-Inhaber – das IVE – einen Benutzer authentifizieren, der sich an der
Quell-Site angemeldet hat und nun auf eine vom IVE geschützte Ressource
zugreifen möchte. Die Quell-Site sendet das Artifact an das IVE in einer
Umleitung, nachdem der Benutzer versucht hat, auf eine vom IVE geschützte
Ressource zuzugreifen. Das Artifact enthält Folgendes:
TypeCode – 2-Byte-Hex-Code 0x0001, der den Artifacttyp identifiziert.
SourceID – Verschlüsselte 20-Byte-Zeichenfolge, die die Identität und
Adresse der Quell-Site bestimmt. Das IVE verwaltet eine Tabelle von
SourceID-Werten und die URL für den entsprechenden SAML-Responder.
Das IVE und die Quell-Site tauschen diese Informationen in einem
Backchannel aus. Beim Empfang des SAML-Artifacts bestimmt das IVE, ob
die SourceID zu einer bekannten Quell-Site gehört, und ermittelt, wenn dies
der Fall ist, die Adresse der Site vor dem Senden einer SAML-Anforderung.
Die Quell-Site erzeugt die SourceID durch Berechnen des SHA-1-Hash der
URL der Quell-Site.
AssertionHandle – Zufälliger 20-Byte-Wert, der eine durch die Quell-Site
gespeicherte oder erzeugte Assertion identifiziert. Mindestens 8 Byte
dieses Werts müssen von einem kryptografisch sicheren RNG oder PRNG
abgerufen werden.
Der Inter-Site Transfer Service ist die URL zur Angabe der Identität auf der
Quell-Site (nicht das IVE). Durch das Angeben dieser URL in der IVEAdministratorkonsole kann das IVE eine Authentifizierungsanforderung an die
Quell-Site mit den Anmeldedaten des Benutzers im Zwischenspeicher
erzeugen. Die Anforderung ist ähnlich dem folgenden Beispiel:
GET http://<inter-site transfer host name and path>?TARGET=<Target>…<HTTPVersion><other HTTP 1.0 or 1.1 components>
In diesem Beispiel besteht <Inter-Site Transferhostname und -Pfad> aus dem
Hostnamen, der Portnummer und den Pfadkomponenten des Inter-Site
Transfer URL auf der Quell-Site, und Target=<Target> gibt die angeforderte
Zielressource auf der (von IVE geschützten) Ziel-Site an. Die Anforderung
könnte wie folgt aussehen:
GET http://10.56.1.123:8002/xferSvc?TARGET=http://www.dest.com/sales.htm
Der Inter-Site Transfer Service leitet den Browser des Benutzers zum Assertion
Consumer Service auf der Ziel-Site um, in diesem Fall das IVE. Die HTTPAntwort vom Inter-Site Transfer Service auf der Quell-Site muss folgendes
Format aufweisen:
Konfigurieren einer SAML-Serverinstanz
171
Juniper Networks Secure Access – Administratorhandbuch
<HTTP-Version> 302 <Reason Phrase>
<other headers>
Location : http://<assertion consumer host name and path>?<SAML
searchpart><other HTTP 1.0 or 1.1 components>
In diesem Beispiel geben <Assertion Consumer-Hostname und -Pfad> den
Hostnamen, die Portnummer und Pfadkomponenten einer Assertion
Consumer-URL auf der Ziel-Site an, und <SAML searchpart>= …TARGET=<Ziel>
…SAMLart=<SAML-Artifact>… besteht aus einer Zielbeschreibung, die in der
Komponente <SAML searchpart> enthalten sein muss. Mindestens ein SAMLArtifact muss in der SAML-Komponente <SAML searchpart> enthalten sein. Die
Asserting Party kann mehrere SAML-Artifacts enthalten.
HINWEIS:
Sie können mit dem Statuscode 302 angeben, dass sich die angeforderte
Ressource vorübergehend unter einer anderen URL befindet.
Falls <SAML searchpart> mehr als ein Artifact enthält, nutzen alle Artifacts
die gleicheSourceID.
Die Umleitung kann wie folgt aussehen:
HTTP/1.1 302 Found
Location:
http://www.ive.com:5802/artifact?TARGET=/www.ive.com/&SAMLart=artifact
Der Browser des Benutzers greift auf den Assertion Consumer Service zu,
wobei ein SAML-Artifact die der URL hinzugefügten
Authentifizierungsinformationen des Benutzers darstellt.
Die HTTP-Anforderung muss wie folgt angezeigt werden:
GET http://<assertion consumer host name and path>?<SAML searchpart>
<HTTP-Version><other HTTP 1.0 or 1.1 request components>
In diesem Beispiel gibt <Assertion Consumer-Hostname und -Pfad> den
Hostnamen, die Portnummer und Pfadkomponenten einer Assertion
Consumer-URL auf der Ziel-Site an.
<SAML searchpart>= …TARGET=<Target>…SAMLart=<SAML artifact> …
In der Komponente <SAML searchpart> MUSS die Beschreibung eines einzelnen
Ziels enthalten sein. Mindestens ein SAML-Artifact MUSS in der Komponente
<SAML searchpart> enthalten sein; mehrere SAML-Artifacts KÖNNEN enthalten
sein. Befindet sich mehr als ein Artifact in <SAML searchpart>, MÜSSEN alle
Artifacts dieselbe SourceID aufweisen.
Senden Sie die Assertion Consumer-URL nur über SSL 3.0 oder TLS 1.0. Andernfalls
können übertragene Artifacts Angreifern als Klartext zur Verfügung stehen.
172
Konfigurieren einer SAML-Serverinstanz
Kapitel 7: Authentifizierungs- und Verzeichnisserver
Der issuer value ist in der Regel die URL der Quellsite. Sie können die
Variable <ISSUER> angeben, die den Ausstellerwert (issuer value) aus der
Assertion zurückgibt.
Die user name template ist ein Verweis auf das Bezeichnerelement des SAMLNamens, mit dem die Asserting Party ein Format für den Benutzernamen angeben
kann. Die SAML-Spezifikation gestattet Werte in den folgenden Formaten:
Unspecified – Zeigt an, dass die Interpretation des Inhalts den einzelnen
Implementierungen überlassen ist. In diesem Fall können Sie die Variable
assertionName verwenden.
Email Address – Zeigt an, dass der Inhalt die Form einer E-Mail-Adresse
hat. In diesem Fall können Sie die Variable assertionName verwenden.
X.509 Subject Name – Zeigt an, dass der Inhalt die Form eines X.509Subjektnamens hat. In diesem Fall können Sie die Variable
assertionNameDN.<RDN> verwenden.
Windows Domain Qualified Name – Zeigt an, dass der Inhalt eine
Zeichenfolge in Form von DomänenName\Benutzername darstellt.
Definieren Sie die Benutzernamenvorlage so, dass sie den in der SAML-Assertion
enthaltenen Typ von Benutzernamen akzeptiert.
Um das Ausspionieren des SAML-Artifacts zu verhindern, sollten die Quell- und
Ziel-Site ihre Uhren möglichst exakt synchronisieren. Das IVE enthält das
Attribut Allowed Clock Skew, das den maximal zulässigen Zeitunterschied
zwischen dem IVE und der Quell-Site festlegt. Das IVE verweigert alle
Assertions, die diesen Zeitunterschied überschreiten.
Konfigurieren einer SAML-Serverinstanz
So erstellen Sie eine neue SAML-Serverinstanz und konfigurieren die gemeinsamen
Elemente:
1. Wählen Sie in der Administratorkonsole Authentication > Auth. Servers aus.
2. Wählen Sie aus der Liste New SAML Server aus, und klicken Sie anschließend
auf New Server.
3. Geben Sie einen Namen ein, um die Serverinstanz zu bezeichnen.
4. Geben Sie unter Settings Source Site Inter-Site Transfer Service URL an:
5. Geben Sie den issuer value für die Quell-Site an. Dies ist normalerweise die
URL bzw. Hostname des Ausstellers der Assertion.
6. Geben Sie die user name template an, eine Zuordnungszeichenfolge aus der
SAML-Assertion zu einem IVE-Benutzerbereich. Geben Sie beispielsweise
<assertionNameDN.CN>, womit der Benutzername aus dem CN-Wert in der
Assertion abgeleitet wird. Weitere Informationen zu zulässigen Werten für
dieses Objekt finden Sie unter „Konfigurieren einer SAML-Serverinstanz“ auf
Seite 168.
Konfigurieren einer SAML-Serverinstanz
173
Juniper Networks Secure Access – Administratorhandbuch
7. Geben Sie den Wert Allowed Clock Skew in Minuten an. Dieser Wert legt die
maximal zulässige Zeitdifferenz zwischen der IVE-Uhr und der Quell-Site-Uhr fest.
8. Definieren Sie die Konfiguration entweder für das Artifact-Profil (wie unter
„Konfigurieren der SAML-Serverinstanz für die Verwendung eines ArtifactProfils“ auf Seite 174 beschrieben) oder für das POST-Profile (wie unter
„Konfigurieren der SAML-Serverinstanz für die Verwendung eines POST-Profils“
auf Seite 174 beschrieben).
Konfigurieren der SAML-Serverinstanz für die Verwendung eines ArtifactProfils
Setzen Sie den folgenden Vorgang aus dem letzten Schritt in „Konfigurieren einer
SAML-Serverinstanz“ auf Seite 173 fort, um den SAML-Server für die Verwendung
eines Artifact-Profils zu verwenden.
1. Geben Sie auf der Seite New SAML Server Source ID ein: Die Quell-ID ist der
20-byte-Bezeichner, mit dem das IVE eine Assertion von einer bestimmten
Quell-Site erkennt.
2. Geben Sie die Source SOAP Responder Service URL ein. Geben Sie diese URL
als HTTPS: Protokoll an.
3. Wählen Sie den Typ der SOAP Client Authentication aus.
Wenn Sie HTTP Basic wählen, müssen Sie Benutzernamen und Kennwort
eingeben und das Kennwort bestätigen.
Wählen Sie bei Auswahl von SSL Client Certificate im Dropdownmenü ein
IVE-Zertifikat aus.
4. Klicken Sie auf Save Changes. Wenn Sie zum ersten Mal eine Serverinstanz
erstellen, werden die Registerkarten Settings und Users angezeigt.
Die Registerkarte Settings ermöglicht das Ändern all dieser Einstellungen, die
sich auf die SAML-Serverinstanz und das Artifact-Profil beziehen. Auf der
Registerkarte Users werden gültige Benutzer des Servers aufgeführt.
Konfigurieren der SAML-Serverinstanz für die Verwendung eines POSTProfils
Setzen Sie den folgenden Vorgang aus dem letzten Schritt in „Konfigurieren einer
SAML-Serverinstanz“ auf Seite 173 fort, um den SAML-Server für die Verwendung
eines POST-Profils zu verwenden.
1. Wählen Sie auf der Seite New SAML Server Post aus:
2. Geben Sie den Namen des Antwortsignaturzertifikats, oder navigieren Sie zu
diesem bzw. suchen Sie dieses. Dabei handelt es sich um das mit PEMFormatierung versehene Signaturzertifikat, das für die Überprüfung der SAMLAntwortsignatur geladen wird.
174
Konfigurieren einer SAML-Serverinstanz
Kapitel 7: Authentifizierungs- und Verzeichnisserver
Das ausgewählte Zertifikat sollte mit dem für das Signieren der SAML-Antwort
auf der Quellsite verwendeten Zertifikat übereinstimmen. Die Quellsite sendet
dieses Zertifikat abhängig von der Konfiguration der Quellsite ggf. mit der
SAML-Antwort. Standardmäßig führt das System Signaturüberprüfungen der
SAML-Antwort zunächst auf dem lokal konfigurierten Zertifikat aus. Ist ein
Zertifikat lokal nicht im SAML-Authentifizierungsserver konfiguriert, führt das
System die Signaturüberprüfung mit dem in der SAML-Antwort von der
Quellsite enthaltenen Zertifikat aus.
3. Wählen Sie die Option Enable Signing Certificate status checking aus, wenn
das IVE die Gültigkeit des im POST-Profil des SAML-Authentifizierungsservers
konfigurierten Signaturzertifikats überprüfen soll. Möglicherweise ist das
Zertifikat bereits abgelaufen oder es wurde gesperrt.
4. Wurde bereits ein Zertifikat geladen und möchten Sie ein anderes verwenden,
suchen Sie das Zertifikat, und klicken Sie anschließend auf Delete. Nun kann
ein weiteres Zertifikat installiert werden.
5. Klicken Sie auf Save Changes. Wenn Sie zum ersten Mal eine Serverinstanz
erstellen, werden die Registerkarten Settings und Users angezeigt.
Die Registerkarte Settings ermöglicht das Ändern all dieser Einstellungen, die
sich auf die SAML-Serverinstanz und das Artifact-Profil beziehen. Auf der
Registerkarte Users werden gültige Benutzer des Servers aufgeführt.
Konfigurieren einer SAML-Serverinstanz
175
Juniper Networks Secure Access – Administratorhandbuch
176
Konfigurieren einer SAML-Serverinstanz
Kapitel 8
Authentifizierungsbereiche
Ein Authentifizierungsbereich legt die Bedingungen fest, die Benutzer und
Administratoren für die Anmeldung am IVE erfüllen müssen. Ein
Authentifizierungsbereich besteht aus einer Gruppe von
Authentifizierungsressourcen, einschließlich:
Einem Authentifizierungsserver, durch den die Identität des Benutzers
überprüft wird. Das IVE leitet die Anmeldedaten eines Benutzers von der
Anmeldeseite an einen Authentifizierungsserver weiter. Weitere Informationen
finden Sie unter „Authentifizierungs- und Verzeichnisserver“ auf Seite 95.
Einem Verzeichnisserver, d.h. einem LDAP-Server, der dem IVE Benutzer- und
Gruppeninformationen bereitstellt, mit denen das IVE Benutzer einer oder
mehreren Benutzerrollen zuordnet. Weitere Informationen finden Sie unter
„Authentifizierungs- und Verzeichnisserver“ auf Seite 95.
Einer Authentifizierungsrichtlinie, die die Sicherheitsanforderungen des
Bereichs angibt, die erfüllt sein müssen, damit das IVE die Anmeldedaten eines
Benutzers zur Überprüfung an einen Authentifizierungsserver weiterleitet.
Weitere Informationen finden Sie unter „Definieren von
Authentifizierungsrichtlinien“ auf Seite 180.
Rollenzuordnungsregeln, die die Bedingungen angeben, die ein Benutzer
erfüllen muss, damit er vom IVE Rollen zugewiesen wird. Diese Bedingungen
beruhen entweder auf den Benutzerinformationen, die der Verzeichnisserver
des Bereichs zurückgibt, oder auf dem Benutzernamen des Benutzers. Weitere
Informationen finden Sie unter „Erstellen von Rollenzuordnungsregeln“ auf
Seite 181.
Dieser Abschnitt enthält die folgenden Informationen über Authentifizierungsbereiche:
„Lizenzierung: Verfügbarkeit von Authentifizierungsbereichen“ auf Seite 178
„Erstellen eines Authentifizierungsbereichs“ auf Seite 178
„Definieren von Authentifizierungsrichtlinien“ auf Seite 180
„Erstellen von Rollenzuordnungsregeln“ auf Seite 181
„Anpassen von Benutzeroberflächenansichten für Benutzerbereiche“ auf
Seite 190
177
Juniper Networks Secure Access – Administratorhandbuch
Lizenzierung: Verfügbarkeit von Authentifizierungsbereichen
Authentifizierungsbereiche sind ein integraler Bestandteil der IVEZugriffsverwaltungsumgebung und daher in allen Secure Access-Produkten
verfügbar. Beachten Sie jedoch, dass benutzerdefinierte Ausdrücke in der SA 700Appliance nicht verfügbar sind. In allen anderen Secure Access-Produkten stehen
sie nur mit einer speziellen Lizenz zur Verfügung. Daher können nicht alle
Administratoren beim Erstellen eines Bereichs erweiterte Rollenzuordnungsregeln
unter Verwendung benutzerdefinierter Ausdrücke erstellen.
Erstellen eines Authentifizierungsbereichs
So erstellen Sie einen Authentifizierungsbereich:
1. Wählen Sie in der Administratorkonsole Administrators > Admin Realms
oder Users > User Realms aus.
2. Klicken Sie auf der jeweiligen Seite Authentication Realms auf New. Oder
wählen Sie einen Bereich, und klicken Sie auf Duplicate, um Ihren Bereich auf
einen bestehenden Bereich aufzubauen.
3. Geben Sie einen Namen als Bezeichnung für diesen Bereich und (optional) eine
Beschreibung ein.
4. Wenn Sie einen bestehenden Bereich kopieren, klicken Sie auf Duplicate.
Wenn Sie anschließend einige seiner Einstellungen ändern möchten, klicken
Sie auf den Namen des Bereichs, um in den Bearbeitungsmodus zu wechseln.
5. Wählen Sie When editing, start on the Role Mapping page aus, um die
Registerkarte Role Mapping auszuwählen, wenn der Bereich zur Bearbeitung
geöffnet wird.
6. Geben Sie unter Servers Folgendes an:
Einen Authentifizierungsserver, der zum Authentifizieren von Benutzern
verwendet werden soll, die sich bei diesem Bereich anmelden.
Einen Verzeichnis-/Attributserver zum Abrufen von Benutzerattributen und
Gruppeninformationen für Rollenzuordnungsregeln und
Ressourcenrichtlinien. (Dies ist optional.)
Einen RADIUS-Server, der festhält, wann sich ein Benutzer im IVE
anmeldet und sich daraus wieder abmeldet (optional).
HINWEIS: Wenn der LDAP-Server heruntergefahren wurde, schlägt die
Benutzerauthentifizierung fehl. In den Ereignisprotokolldateien finden Sie
Meldungen und Warnungen. Wenn ein Attributserver heruntergefahren wurde,
schlägt die Benutzerauthentifizierung nicht fehl. Stattdessen ist die Gruppen/Attributeliste für die Rollenzuordnung und Richtlinienauswertung leer.
178
Lizenzierung: Verfügbarkeit von Authentifizierungsbereichen
Kapitel 8: Authentifizierungsbereiche
7. Wenn Sie sekundäre Anmeldedaten für eine SSO-fähige Ressource übermitteln
oder für den Zugriff auf das IVE die zweistufige Authentifizierung aktivieren
möchten (nähere Informationen hierzu finden Sie unter „Anmeldedaten für
mehrfaches Anmelden – Übersicht“ auf Seite 205), wählen Sie Additional
authentication server. Gehen Sie anschließend folgendermaßen vor:
a.
Wählen Sie den Namen des zweiten Authentifizierungsservers. Die Auswahl
eines anonymen Servers, Zertifikatservers oder Netegrity SiteMinderServers ist nicht möglich.
b.
Wählen Sie Username is specified by user on sign-in page, um den
Benutzer beim IVE-Anmeldevorgang zum manuellen Senden seines
Benutzernamens an den sekundären Server aufzufordern. Wenn andernfalls
automatisch ein Benutzername an den zweiten Server übermittelt werden
soll, geben Sie ins Feld predefined as statischen Text oder eine gültige
Variable ein. Das IVE übermittelt standardmäßig die Sitzungsvariable
<username>, die denselben Benutzernamen enthält, der auch zur
Anmeldung am primären Authentifizierungsserver verwendet wird.
c.
Wählen Sie Password is specified by user on sign-in page, um den
Benutzer beim IVE-Anmeldevorgang zum manuellen Senden seines
Kennworts an den sekundären Server aufzufordern. Wenn andernfalls
automatisch ein Kennwort an den zweiten Server übermittelt werden soll,
geben Sie ins Feld predefined as statischen Text oder eine gültige Variable ein.
d. Wählen Sie die Option End session if authentication against this server
fails aus, um den Zugriff auf das IVE basierend auf der erfolgreichen
Authentifizierung der sekundären Anmeldedaten des Benutzers zu steuern.
8. Wenn Sie die dynamische Richtlinienauswertung für diesen Bereich verwenden
möchten (siehe Beschreibung unter „Dynamische Richtlinienauswertung“ auf
Seite 41), wählen Sie Dynamic policy evaluation, um einen automatischen
Timer für die dynamische Richtlinienauswertung der Authentifizierungsrichtlinie,
Rollenzuordnungsregeln und Rolleneinschränkungen dieses Bereichs zu
aktivieren. Gehen Sie anschließend folgendermaßen vor:
a.
Verwenden Sie die Option Refresh interval, um festzulegen, wie oft das
IVE eine automatische Richtlinienauswertung aller aktuell angemeldeten
Bereichsbenutzer durchführen soll. Geben Sie die Anzahl der Minuten an (5
bis 1440).
b.
Wählen Sie die Option Refresh roles, um auch die Rollen aller Benutzer in
diesem Bereich zu aktualisieren. (Diese Option wirkt sich nicht auf die
Funktion der Schaltfläche Refresh Now aus.)
c.
Wählen Sie Refresh resource policies, um die Ressourcenrichtlinien
(Konferenz- und E-Mail-Client nicht eingeschlossen) aller Benutzer in
diesem Bereich ebenfalls zu aktualisieren. (Diese Option wirkt sich nicht
auf die Funktion der Schaltfläche Refresh Now aus.)
HINWEIS: Wird Dynamic policy evaluation ausgewählt, Refresh roles und Refresh
resource policies jedoch nicht, bewertet das IVE nur die Authentifizierungsrichtlinie
des Bereichs, Rollenzuordnungsregeln und Rollenbeschränkungen.
Erstellen eines Authentifizierungsbereichs
179
Juniper Networks Secure Access – Administratorhandbuch
d. Klicken Sie auf Refresh Now, um die Authentifizierungsrichtlinie, die
Rollenzuordnungsregeln, Rolleneinschränkungen, Benutzerrollen und
Ressourcenrichtlinien des Bereichs für alle aktuell angemeldeten
Bereichsbenutzer manuell auszuwerten. Verwenden Sie diese Schaltfläche,
wenn Sie Änderungen an einer Authentifizierungsrichtlinie, an
Rollenzuordnungsregeln, Rolleneinschränkungen oder Ressourcenrichtlinien
vornehmen möchten, und die Rollen der Benutzer dieses Bereichs sofort
aktualisiert werden sollen.
HINWEIS: Da die dynamische Richtlinienauswertung die Systemleistung
möglicherweise beeinträchtigt, beachten Sie folgende Richtlinien:
Da das automatische (timerbasierte) Aktualisieren von Benutzerrollen und
Ressourcenrichtlinien die Systemleistung beeinträchtigen kann, haben Sie die
Möglichkeit, die Leistung zu verbessern, indem Sie eine der Optionen oder die
beiden Optionen Refresh roles und Refresh resource policies deaktivieren;
so werden die Auswirkungen der Aktualisierung gemindert.
Zur Verbesserung der Leistung setzen Sie die Option Refresh interval auf ein
längeres Zeitintervall.
Verwenden Sie die Schaltfläche Refresh Now, wenn die Benutzer davon nicht
betroffen sein sollen.
9. Klicken Sie auf Save Changes, um den Bereich auf dem IVE zu erstellen. Die
Registerkarten General, Authentication Policy und Role Mapping für den
Authentifizierungsbereich werden angezeigt.
10. Führen Sie die nächsten Konfigurationsschritte aus:
a.
Konfigurieren Sie mindestens eine Rollenzuordnungsregel wie unter
„Erstellen von Rollenzuordnungsregeln“ auf Seite 181 beschrieben.
b.
Konfigurieren Sie eine Authentifizierungsrichtlinie für den Bereich wie unter
„Definieren von Authentifizierungsrichtlinien“ auf Seite 180 beschrieben.
Definieren von Authentifizierungsrichtlinien
Eine Authentifizierungsrichtlinie besteht aus einer Reihe von Regeln für einen Aspekt
der Zugriffsverwaltung, die steuern, ob dem Benutzer eine Anmeldeseite für den
Bereich angezeigt wird. Eine Authentifizierungsrichtlinie ist Bestandteil der
Konfiguration eines Authentifizierungsbereichs. Sie gibt die Regeln für das IVE an, die
vor dem Anzeigen einer Anmeldeseite berücksichtigt werden müssen. Wenn der
Benutzer die Anforderungen der Authentifizierungsrichtlinie für den Bereich erfüllt,
zeigt das IVE dem Benutzer die Anmeldeseite an und leitet die Anmeldedaten des
Benutzers an den entsprechenden Authentifizierungsserver weiter. Wenn der Benutzer
durch den Server authentifiziert wird, beginnt das IVE mit der Rollenauswertung.
So geben Sie eine Richtlinie für einen Authentifizierungsbereich an:
1. Wählen Sie in der Administratorkonsole Administrators > Admin Realms
oder Users > User Realms aus.
180
Definieren von Authentifizierungsrichtlinien
Kapitel 8: Authentifizierungsbereiche
2. Klicken Sie auf der jeweiligen Seite Authentication Realms auf einen Bereich,
und klicken Sie anschließend auf die Registerkarte Authentication Policy.
3. Konfigurieren Sie auf der Seite Authentication Policy mindestens eine der in
den folgenden Abschnitten beschriebenen Zugriffsverwaltungsoptionen:
„Angeben von Quell-IP-Zugriffseinschränkungen“ auf Seite 45
„Angeben von Browserzugriffseinschränkungen“ auf Seite 47
„Angeben von Zertifikatzugriffseinschränkungen“ auf Seite 49
„Angeben von Kennwortzugriffseinschränkungen“ auf Seite 51
„Angeben von Host Checker-Zugriffseinschränkungen“ auf Seite 52
„Angeben von Cache Cleaner-Zugriffseinschränkungen“ auf Seite 521
„Angeben von Begrenzungsbeschränkungen“ auf Seite 52
Erstellen von Rollenzuordnungsregeln
Rollenzuordnungsregeln geben die Bedingungen an, die ein Benutzer erfüllen muss,
damit er vom IVE Rollen zugewiesen wird. Diese Bedingungen beruhen entweder auf
den Benutzerinformationen, die der Verzeichnisserver des Bereichs zurückgibt, oder
auf dem Benutzernamen des Benutzers. Geben Sie die Rollenzuordnungsdirektiven
im folgenden Format an:
If the specified condition is|is not true, then map the user to the selected roles.
Sie erstellen eine Rollenzuordnungsregel auf der Registerkarte Role Mapping eines
Authentifizierungsbereichs. (Administratoren erstellen Rollenzuordnungsregeln auf
der Registerkarte Administrators > Admin Realms > [Bereich] > Role Mapping.
(Benutzer erstellen Rollenzuordnungsregeln auf der Registerkarte Users > User
Realms > [Bereich] > Role Mapping. Wenn Sie auf dieser Registerkarte auf New
Rule klicken, wird die Seite Role Mapping Rule angezeigt. Sie enthält einen
integrierten Editor für die Definition von Regeln. Der Editor führt Sie durch die drei
Schritte, die zum Erstellen einer Regel notwendig sind:
1. Geben Sie den Bedingungstyp an, auf dem die Regel beruhen soll. Folgende
Optionen stehen zur Verfügung:
Benutzername
Benutzerattribut
Zertifikat oder Zertifikatsattribut
Gruppenmitgliedschaft
Benutzerdefinierte Ausdrücke
1. In Administratorbereichen nicht verfügbar.
Erstellen von Rollenzuordnungsregeln 181
Juniper Networks Secure Access – Administratorhandbuch
2. Geben Sie die auszuwertende Bedingung an, die sich folgendermaßen
zusammensetzt:
a.
Angeben von einem oder mehreren Benutzernamen, Benutzerattributen,
Zertifikatsattributen, Gruppen (LDAP) oder Ausdrücken, die von dem in
Schritt 1 ausgewählten Bedingungstyp abhängen.
b.
Angeben der Wertentsprechungen. Dies kann auch eine Liste von
Benutzernamen, Benutzerattributswerten von einem RADIUS- oder LDAPServer, clientseitigen Zertifikatswerten (statisch oder im Vergleich mit LDAPAttributen), LDAP-Gruppen oder vordefinierten Ausdrücken umfassen.
3. Geben Sie die Rollen an, die dem authentifizierten Benutzer zugewiesen
werden sollen.
Das IVE stellt eine Liste aller zulässigen Rollen zusammen, denen ein Benutzer
zugeordnet werden kann. Diese Rollen ergeben sich aus den
Rollenzuordnungsregeln, denen ein Benutzer entspricht. Anschließend wertet das
IVE die Definitionen der einzelnen Rollen aus, um festzustellen, ob der Benutzer
Rolleneinschränkungen unterliegt. Das IVE erstellt anhand dieser Informationen
eine Liste der gültigen Rollen, d. h. der Rollen, für die der Benutzer zusätzliche
Anforderungen erfüllt. Abschließend führt das IVE entweder eine permissive
Zusammenführung der gültigen Rollen durch oder zeigt dem Benutzer eine Liste
gültiger Rollen an. Dies hängt von der Konfiguration ab, die auf der Registerkarte
Role Mapping des Bereichs angegeben ist.
Weitere Informationen über Rollen finden Sie unter „Benutzerrollen“ auf Seite 53.
Weitere Informationen über das Angeben von Rollenzuordnungsregeln finden Sie
unter „Angeben von Rollenzuordnungsregeln für einen Authentifizierungsbereich“
auf Seite 182.
Angeben von Rollenzuordnungsregeln für einen Authentifizierungsbereich
Zum Erstellen einer neuen Regel, die LDAP- oder SiteMinder-Benutzerattribute,
LDAP-Gruppeninformationen oder benutzerdefinierte Ausdrücke verwendet,
müssen Sie den Serverkatalog verwenden. Informationen zu diesem Katalog finden
Sie unter „Verwenden des LDAP-Serverkatalogs“ auf Seite 185.
So geben Sie Rollenzuordnungsregeln für einen Authentifizierungsbereich an:
1. Wählen Sie in der Administratorkonsole Administrators > Admin Realms oder
Users > User Realms aus.
2. Wählen Sie auf der jeweiligen Seite Authentication Realms einen Bereich aus,
und klicken Sie anschließend auf die Registerkarte Role Mapping.
3. Klicken Sie auf New Rule, um auf die Seite Role Mapping Rule zuzugreifen.
Diese Seite stellt einen integrierten Editor für die Definition von Regeln bereit.
4. Wählen Sie in der Liste Rule based on eine der folgenden Optionen aus:
182
Erstellen von Rollenzuordnungsregeln
Username – Benutzername ist der IVE-Benutzername, der auf der
Anmeldeseite eingegeben wird. Wählen Sie diese Option aus, wenn
Benutzer anhand ihrer IVE-Benutzernamen zu Rollen zugeordnet werden
sollen. Dieser Regeltyp ist für alle Bereiche verfügbar.
Kapitel 8: Authentifizierungsbereiche
User attribute – Benutzerattribut ist ein Benutzerattribut, das aus einem
RADIUS-, einem LDAP- oder einem SiteMinder-Server stammt. Wählen Sie
diese Option aus, wenn Benutzer anhand eines Attributs vom
entsprechenden Server Rollen zugeordnet werden sollen. Dieser Regeltyp
steht nur für Bereiche zur Verfügung, die einen RADIUS-Server als
Authentifizierungsserver oder einen LDAP- oder SiteMinder-Server als
Authentifizierungs- bzw. Verzeichnisserver verwenden. Klicken Sie nach
dem Auswählen der Option User attribute auf Update, um die Liste
Attribute und die Schaltfläche Attributes anzuzeigen. Zum Anzeigen des
Serverkatalogs klicken Sie auf die Schaltfläche Attributes.
Zum Hinzufügen von SiteMinder-Benutzerattributen geben Sie den
Cookienamen des SiteMinder-Benutzerattributs im Serverkatalog in das
Feld Attribute ein, und klicken Sie auf Add Attribute. Klicken Sie nach
dem Hinzufügen der Cookienamen auf OK. Die Cookienamen der
SiteMinder-Benutzerattribute werden vom IVE auf der Seite Role
Mapping Rule in der Liste Attribute angezeigt.
Informationen zum Hinzufügen von LDAP-Benutzerattributen unter
Verwendung des Serverkatalogs finden Sie unter „Verwenden des
LDAP-Serverkatalogs“ auf Seite 185).
Certificate or Certificate attribute – Zertifikat oder Zertifikatattribut ist ein
Attribut, das vom clientseitigen Zertifikat des Benutzers unterstützt wird.
Wählen Sie diese Option, wenn Benutzer anhand ihrer Zertifikatsattribute
Rollen zugeordnet werden sollen. Die Option Certificate ist für alle Bereiche
verfügbar, während die Option Certificate attribute nur für Bereiche
verfügbar ist, die einen LDAP-Authentifizierungs- oder Verzeichnisserver
verwenden. Nach dem Auswählen dieser Option klicken Sie auf Update,
um das Textfeld Attribute anzuzeigen.
Group membership – Gruppenmitgliedschaft ist eine Angabe zur Gruppe von
einem LDAP-Server oder systemeigenen Active Directory-Server, die Sie der
Registerkarte Groups des Serverkatalogs hinzufügen. Wählen Sie diese Option
aus, wenn Benutzer anhand der LDAP- bzw. Active DirectoryGruppeninformationen Rollen zugeordnet werden sollen. Dieser Regeltyp steht
nur für Bereiche zur Verfügung, die einen LDAP-Server als Authentifizierungsoder Verzeichnisserver verwenden oder die einen Active Directory-Server für
die Authentifizierung verwenden. (Ein Active Directory-Server kann nicht als
Autorisierungsserver für einen Bereich angegeben werden.)
Erstellen von Rollenzuordnungsregeln 183
Juniper Networks Secure Access – Administratorhandbuch
I
Custom Expressions – Benutzerdefinierte Ausdrücke sind benutzerdefinierte
Ausdrücke, die Sie im Serverkatalog definieren. Wählen Sie diese Option
aus, wenn Benutzer anhand benutzerdefinierter Ausdrücke Rollen
zugeordnet werden sollen. Dieser Regeltyp ist für alle Bereiche verfügbar.
Nach dem Auswählen dieser Option klicken Sie auf Update, um die Listen
Expressions anzuzeigen. Klicken Sie auf die Schaltfläche Expressions, um
die Registerkarte Expressions des Serverkatalogs anzuzeigen.
HINWEIS: Wenn Sie derselben Regel mehr als einen benutzerdefinierten Ausdruck
hinzufügen, erstellt das IVE eine „ODER“-Regel für die Ausdrücke. Sie können zum
Beispiel einer einzelnen Regel die folgenden Ausdrücke hinzufügen:
Ausdruck 1: cacheCleanerStatus = 1
Ausdruck 2: loginTime = (8:00AM TO 5:00PM)
Basierend auf diesen Ausdrücken entspricht ein Benutzer dieser Regel, wenn
Cache Cleaner in seinem System ausgeführt wird, ODER wenn er sich zwischen
8:00 und 17:00 Uhr am IVE angemeldet hat.
5. Geben Sie unter Rule die auszuwertende Bedingung an, die dem ausgewählten
Regeltyp entspricht und folgende Punkte umfasst:
a.
Angeben von mindestens einem Benutzernamen, einem Namen eines
SiteMinder-Benutzerattributcookies, einem RADIUS- oder LDAPBenutzerattribut, Zertifikatsattribut, einer LDAP-Gruppe oder einem
benutzerdefinierten Ausdruck.
b.
Angeben der Wertentsprechungen. Dies kann auch eine Liste von IVEBenutzernamen, Benutzerattributswerten von einem RADIUS-, SiteMinderoder LDAP-Server, clientseitigen Zertifikatswerten (statische oder LDAPAttributwerte), LDAP-Gruppen oder benutzerdefinierten Ausdrücken umfassen.
Sie können beispielsweise in der Liste Attribute ein SiteMinderBenutzerattributcookie namens department auswählen. Wählen Sie
anschließend in der Operatorliste is aus, und geben Sie anschließend in das
Textfeld „sales“ und „eng“ ein.
Sie haben zudem die Möglichkeit eine Regel für einen benutzerdefinierten
Ausdruck einzugeben, die auf das SiteMinder-Benutzerattributcookie mit
der Bezeichnung department verweist:
userAttr.department = ("sales" and "eng")
6. Gehen Sie unter ...then assign these roles folgendermaßen vor:
184
a.
Geben Sie die Rollen an, die Sie dem authentifizierten Benutzer zuordnen
möchten, indem Sie Rollen der Liste Selected Roles hinzufügen.
b.
Wählen Sie Stop processing rules when this rule matches aus, um die
Bewertung der Rollenzuordnungsregeln durch das IVE zu beenden, sobald
der Benutzer die für diese Regel festgelegten Bedingungen erfüllt.
Erstellen von Rollenzuordnungsregeln
Kapitel 8: Authentifizierungsbereiche
7. Klicken Sie auf Save Changes, um die Regel auf der Registerkarte Role
Mapping zu erstellen. Gehen Sie nach dem Abschluss der Regelerstellung
folgendermaßen vor:
Bringen Sie die Regeln unbedingt in die Reihenfolge, in der das IVE diese
auswerten soll. Diese ist besonders dann wichtig, wenn die Verarbeitung
der Rollenzuordnungsregeln bei einer Übereinstimmung angehalten
werden soll.
Geben Sie an, ob die Einstellungen für alle zugeordneten Rollen
zusammengeführt werden sollen. Weitere Informationen finden Sie unter
„Richtlinien für permissive Zusammenführungen“ auf Seite 55.
Verwenden des LDAP-Serverkatalogs
Der LDAP-Server Catalog ist ein sekundäres Fenster, in dem Sie LDAPZusatzinformationen angeben können, die das IVE für die Zuordnung von
Benutzern zu Rollen verwendet, darunter:
Attributes – Die Registerkarte Server Catalog Attributes zeigt eine Liste
allgemeiner LDAP-Attribute wie cn, uid, uniquemember und memberof. an. Diese
Registerkarte ist nur beim Zugriff auf den Serverkatalog eines LDAP-Servers
verfügbar. Auf dieser Registerkarte können Sie die Attribute eines LDAP-Servers
verwalten, indem Sie seinem IVE-Serverkatalog benutzerdefinierte Werte
hinzufügen oder Werte aus diesem löschen. Beachten Sie, dass das IVE eine
lokale Kopie der LDAP-Serverwerte aufbewahrt. Attribute werden dem
Wörterbuch weder hinzugefügt noch aus diesem gelöscht.
Gruppen – Über die Registerkarte Server Catalog Groups können
Gruppeninformationen einfach von einem LDAP-Server abgefragt und dem
Serverkatalog eines IVE-Servers hinzugefügt werden. Sie geben den BaseDN der
Gruppen und ggf. einen Filter an, um die Suche zu starten. Wenn Ihnen der
genaue Container der Gruppen nicht bekannt ist, können Sie den
Domänenstamm als BaseDN festlegen, z.B. dc=juniper, dc=com. Die Suchseite
gibt eine Gruppenliste vom Server zurück, aus der Sie Gruppen auswählen
können, die in die Liste Groups eingegeben werden.
HINWEIS: Der auf der Konfigurationsseite des LDAP-Servers unter „Finding user
entries“ angegebene BaseDN-Wert ist der Standard-BaseDN-Wert. Der Filterwert
ist standardmäßig auf (cn=*) gesetzt.
Sie können Gruppen auch auf der Registerkarte Groups angeben. Sie müssen
den FQDN (Fully Qualified Distinguished Name) einer Gruppe angeben, z.B.
cn=Manager, ou=Zentrale, ou=Juniper, o=com, c=DE, können dieser
Gruppe jedoch eine Bezeichnung zuordnen, die in der Liste Groups angezeigt
wird. Beachten Sie, dass diese Registerkarte nur beim Zugriff auf den
Serverkatalog eines LDAP-Servers aufgerufen werden kann.
Ausdrücke – Auf der Registerkarte Server Catalog Expressions können Sie
benutzerdefinierte Ausdrücke für die Rollenzuordnungsregel schreiben. Weitere
Informationen zu benutzerdefinierten Ausdrücken finden Sie unter „Schreiben
benutzerdefinierter Ausdrücke“ auf Seite 915.
Erstellen von Rollenzuordnungsregeln 185
Juniper Networks Secure Access – Administratorhandbuch
So zeigen Sie den LDAP-Serverkatalog an:
1. Klicken Sie nach dem Auswählen der Option User attribute auf der Seite Role
Mapping Rule (siehe „Angeben von Rollenzuordnungsregeln für einen
Authentifizierungsbereich“ auf Seite 182) zum Anzeigen der Liste Attribute auf
Update und auf die Schaltfläche Attributes.
2. Zum Anzeigen des LDAP-Serverkatalogs klicken Sie auf die Schaltfläche Attributes.
(Klicken Sie nach Auswählen der Option Group membership auf Groups, oder
klicken Sie nach Auswählen der Option Custom Expressions auf Expressions.)
Abbildung 24: Registerkarte „Server Catalog > Attributes“ – Hinzufügen eines Attributs
für LDAP
Abbildung 25: Das im Serverkatalog hinzugefügte Attribut steht für die
Rollenzuordnungsregel zur Verfügung.
186
Erstellen von Rollenzuordnungsregeln
Kapitel 8: Authentifizierungsbereiche
Abbildung 26: Registerkarte „Server Catalog > Groups“ – Hinzufügen von LDAP-Gruppen
Erstellen von Rollenzuordnungsregeln 187
Juniper Networks Secure Access – Administratorhandbuch
Abbildung 27: Registerkarte „Server Catalog > Groups“ – Hinzufügen von Active
Directory-Gruppen
188
Erstellen von Rollenzuordnungsregeln
Kapitel 8: Authentifizierungsbereiche
Abbildung 28: Registerkarte „Server Catalog > Expressions“ – Hinzufügen eines
benutzerdefinierten Ausdrucks
Erstellen von Rollenzuordnungsregeln 189
Juniper Networks Secure Access – Administratorhandbuch
Abbildung 29: Der im Serverkatalog hinzugefügte benutzerdefinierte Ausdruck steht für
die Rollenzuordnungsregel zur Verfügung.
Anpassen von Benutzeroberflächenansichten für Benutzerbereiche
Verwenden Sie die Optionen zur Anpassung auf der Seite User Authentication
Realms, um einen schnellen Überblick über die Einstellungen zu erhalten, die einem
bestimmten Bereich oder einem Satz von Bereichen zugeordnet sind. Sie können
z.B. die Rollenzuordnungsregeln anzeigen, die Sie allen Benutzerbereichen
zugeordnet haben. Zudem können Sie mit diesen angepassten Ansichten einfach
eine Verknüpfung zu den einem Benutzerbereich zugeordneten
Authentifizierungsrichtlinien, Servern, Rollenzuordnungsregeln und Rollen erstellen.
So zeigen Sie einen Teil der Daten auf der Seite User Authentication Realms an:
1. Navigieren Sie zu Users > User Realms.
2. Wählen Sie im Menü View eine der folgenden Optionen aus:
190
Overview – Zeigt die Authentifizierungsserver und dynamischen
Richtlinienbewertungseinstellungen an, die Sie für die angegebenen
Benutzerbereiche festgelegt haben. Stellen Sie mithilfe dieser Einstellung
z.B. eine Verknüpfung zu den angegebenen Serverkonfigurationsseiten her.
Anpassen von Benutzeroberflächenansichten für Benutzerbereiche
Kapitel 8: Authentifizierungsbereiche
Authentication Policy – Zeigt Host Checker- und Cache CleanerEinschränkungen an, die Sie für die angegebenen Benutzerbereiche
aktiviert haben. Stellen Sie mithilfe dieser Einstellung z.B. eine
Verknüpfung zu den angegebenen Konfigurationsseiten für Host Checker
und Cache Cleaner her.
Role Mapping – Zeigt die für die angegebenen Benutzerbereiche
aktivierten Regelbedingungen und die entsprechenden Rollenzuordnungen
an. Stellen Sie mithilfe dieser Einstellung z.B. eine Verknüpfung zu den
angegebenen Konfigurationsseiten für Regelbedingungen und
Rollenzuordnungen her.
Servers – Zeigt die für die angegebenen Benutzerbereiche aktivierten
Authentifizierungsservernamen und die entsprechenden Typen an. Stellen
Sie mithilfe dieser Einstellung z.B. eine Verknüpfung zu den angegebenen
Serverkonfigurationsseiten her.
Roles – Zeigt die für die angegebenen Benutzerbereiche aktivierten
Rollenzuordnungen und die entsprechenden permissiven
Zusammenführungseinstellungen an.
3. Wählen Sie aus der Liste for eine der folgenden Optionen aus:
All realms – Zeigt die ausgewählten Einstellungen für alle Benutzerbereiche an.
Selected realms – Zeigt die ausgewählten Einstellungen für die
ausgewählten Benutzerbereiche an. Aktivieren Sie bei der Auswahl dieser
Option mindestens ein Kontrollkästchen in der Liste Authentication Realm.
4. Klicken Sie auf Update.
Anpassen von Benutzeroberflächenansichten für Benutzerbereiche 191
Juniper Networks Secure Access – Administratorhandbuch
192
Anpassen von Benutzeroberflächenansichten für Benutzerbereiche
Kapitel 9
Anmelderichtlinien
Anmelderichtlinien definieren die URLs, die Benutzer und Administratoren für den
Zugriff auf das IVE und die ihnen angezeigte Anmeldeseite verwenden können. Das
IVE ist für Benutzer und Administratoren mit jeweils einer Anmelderichtlinie
ausgestattet. Bei der Konfiguration dieser Richtlinien weisen Sie jeder Richtlinie die
passenden Bereiche, Anmeldeseiten und URLs zu.
Um die Anmeldung beim IVE für alle Benutzer zuzulassen, müssen Sie der
Benutzeranmelderichtlinie alle Benutzerauthentifizierungsbereiche hinzufügen. Sie
können auch die Standard-URL ändern, den Benutzer für den Zugriff auf das IVE
und die ihnen angezeigte Anmeldeseite verwenden. Wenn Sie über die
erforderliche Lizenz verfügen, können Sie mehrere Anmelderichtlinien für Benutzer
erstellen und somit unterschiedlichen Benutzern die Anmeldung bei
unterschiedlichen URLs und Seiten ermöglichen.
Darüber hinaus verfügen mit einer Secure Meeting-Lizenz ausgestattete Appliances
über eine Konferenz-URL. Mithilfe dieser URL wird die Anmeldeseite gesteuert, die
Benutzern bei der Anmeldung bei der IVE-Appliance angezeigt wird. Wenn Sie über die
erforderliche Lizenz verfügen, können Sie auch zusätzliche Konferenzanmeldeseiten
erstellen und somit unterschiedlichen Secure Meeting-Benutzern die Anmeldung bei
unterschiedlichen URLs und Seiten ermöglichen.
Wenn Sie über die Lizenz „Advanced“ verfügen, können Sie mehrere Anmelderichtlinien
erstellen, über die unterschiedliche Anmeldeseiten unterschiedlichen URLs zugeordnet
werden. Bei der Konfiguration einer Anmelderichtlinie müssen Sie diese mindestens
einem Bereich zuordnen. Es können sich dann nur Mitglieder des/der angegebenen
Authentifizierungsbereiche(s) über die URL anmelden, der in der Richtlinie festgelegt ist.
Sie können in der Anmelderichtlinie auch unterschiedliche Anmeldeseiten festlegen und
sie unterschiedlichen URLs zuordnen.
So können Sie z.B. Anmelderichtlinien erstellen, die Folgendes angeben:
Mitglieder des Bereichs „Partner“ können sich über folgende URLs beim IVE
anmelden: partner1.yourcompany.com und partner2.yourcompany.com. Für
Benutzer, die sich über die erste URL anmelden, öffnet sich die Anmeldeseite
„partner1“; für Benutzer, die sich über die zweite URL anmelden, öffnet sich die
Anmeldeseite „partner2“.
Mitglieder der Bereiche „Local“ und „Remote“ können sich über die folgende
URL beim IVE anmelden: employees.yourcompany.com. Bei der Anmeldung wird
die Anmeldeseite „Employees“ geöffnet.
193
Juniper Networks Secure Access – Administratorhandbuch
Mitglieder des Bereichs „Admin Users“ können sich über die folgende URL
beim IVE anmelden: access.yourcompany.com/super. Bei der Anmeldung wird
die Anmeldeseite „Administrators“ geöffnet.
Bei der Definition von Anmelderichtlinien dürfen verschiedene Hostnamen (wie
z.B. partners.yourcompany.com und employees.yourcompany.com) oder verschiedene
Pfade (wie z.B. yourcompany.com/partners und yourcompany.com/employees)
verwendet werden, um zwischen URLs unterscheiden zu können.
HINWEIS: Wenn beim Anmeldeversuch eines Benutzers eine andere Benutzersitzung
mit den gleichen Anmeldedaten aktiv ist, zeigt das IVE eine Warnmeldung mit der IPAdresse der vorhandenen Sitzung und zwei Schaltflächen an: Continue und Cancel.
Durch Klicken auf Cancel beendet das IVE den aktuellen Anmeldevorgang und leitet
den Benutzer zurück zur Seite Sign-in. Durch Klicken auf Continue erstellt das IVE
die neue Benutzersitzung und beendet die laufende Sitzung.
HINWEIS: Beim Aktivieren von mehreren Anmelde-URLs muss das IVE in manchen
Fällen auf dem Computer des Benutzers Cookies verwenden, um festzustellen, welche
Anmelde-URL und welche entsprechende Anmeldeseite dem Benutzer anzuzeigen ist.
Das IVE erstellt diese Cookies, wenn sich der Benutzer am IVE anmeldet. (Meldet sich
ein Benutzer am IVE an, antwortet das IVE mit einem Cookie, das die Anmeldedomäne
der URL beinhaltet. Das IVE hängt dieses Cookie anschließend an jede vom Benutzer
eingereichte IVE-Anforderung an.) Im Allgemeinen wird durch diese Cookies
sichergestellt, dass das IVE dem Benutzer die korrekte Anmelde-URL und -seite anzeigt.
Meldet sich ein Benutzer z.B. mit der URL http://yourcompany.net/employees am IVE
an und läuft anschließend das Sitzungszeitlimit ab, stellt das IVE mit dem Cookie fest,
dass dem Benutzer die Anmelde-URL und die entsprechende Anmeldeseite
http://yourcompany.net/employees angezeigt werden muss, wenn eine weitere IVERessource angefordert wird.
In seltenen Fällen entspricht das Cookie auf dem Computer des Benutzers u.U.
nicht der Ressource, auf die es zuzugreifen versucht. Der Benutzer kann sich an
einer URL anmelden und anschließend versuchen, auf eine Ressource
zuzugreifen, die von einer anderen URL geschützt wird. In diesem Fall zeigt das
IVE die Anmelde-URL und die entsprechende Anmeldeseite an, an der sich der
Benutzer zuletzt angemeldet hat. Ein Benutzer meldet sich z.B. mit der AnmeldeURL http://yourcompany.net/employees am IVE an. Anschließend kann der
Benutzer versuchen, mit einem Link auf einem externen Server (z.B.
https://yourcompany.net/partners/dana/term/winlaunchterm.cgi?host=<termsrvIP >)
auf eine IVE-Ressource zuzugreifen. Eine weitere Möglichkeit besteht darin, ein
bei einer anderen Sitzung erstelltes Lesezeichen zu verwenden (z.B.
https://yourcompany.net/partners/,DanaInfo=.awxyBmszGr3xt1r5O3v.,SSO=U+). In
diesen Fällen zeigt das IVE dem Benutzer die Anmelde-URL
http://yourcompany.net/employees und die entsprechende Seite an, und nicht die
Anmelde-URL oder -seite, die dem externen Link oder dem gespeicherten
Lesezeichen zugeordnet ist, auf den bzw. das ein Zugriff versucht wurde.
194
Kapitel 9: Anmelderichtlinien
Dieser Abschnitt enthält folgende Informationen zu Anmelderichtlinien:
„Lizenzierung: Verfügbarkeit der Anmelderichtlinien und -seiten“ auf Seite 195
„Aufgabenzusammenfassung: Konfigurieren von Anmelderichtlinien“ auf
Seite 195
„Konfigurieren von Anmelderichtlinien“ auf Seite 195
„Konfigurieren von Anmeldeseiten“ auf Seite 200
Lizenzierung: Verfügbarkeit der Anmelderichtlinien und -seiten
Anmelderichtlinien und -seiten sind ein integraler Bestandteil der IVEZugriffsverwaltungsumgebung und daher in allen Secure Access-Produkten
verfügbar. Beachten Sie jedoch, dass die nachfolgenden erweiterten
Anmeldefunktionen in der SA 700-Appliance nicht verfügbar sind. In allen anderen
Secure Access-Produkten stehen sie nur mit einer speziellen Lizenz zur Verfügung.
Das Erstellen von mehreren Anmelderichtlinien
Das Erstellen von Anmeldeseiten für Secure Meeting-Benutzer
Das Erstellen und Hochladen von benutzerdefinierten Anmeldeseiten in das IVE
Aufgabenzusammenfassung: Konfigurieren von Anmelderichtlinien
Gehen Sie zur Konfiguration von Anmelderichtlinien folgendermaßen vor:
1.
Erstellen Sie über eine der Seiten Administrators > Admin Realms oder Users >
User Realms der Administratorkonsole einen Authentifizierungsbereich.
2. Ändern Sie eine vorhandene Anmeldeseite, oder erstellen Sie mithilfe der
Optionen auf der Seite Authentication > Signing In > Sign-in Pages der
Administratorkonsole eine neue (optional).
3. Bestimmen Sie eine Anmelderichtlinie, die einen Bereich, eine Anmelde-URL
und eine Anmeldeseite zuweist, mithilfe der Einstellungen auf der Seite
Authentication > Signing In > Sign-in Policies der Administratorkonsole.
4. Wenn Sie die URLs anhand von Hostnamen unterscheiden, müssen Sie jedem
Hostnamen ein eigenes Zertifikat zuordnen oder ein Platzhalterzertifikat
anhand von Optionen auf der Seite System > Configuration > Certificates >
Device Certificates hochladen.
Konfigurieren von Anmelderichtlinien
Anmelderichtlinien definieren wie unter „Anmelderichtlinien“ auf Seite 193
beschrieben die URLs, die Benutzer und Administratoren für den Zugriff auf das IVE
verwenden können.
Lizenzierung: Verfügbarkeit der Anmelderichtlinien und -seiten
195
Juniper Networks Secure Access – Administratorhandbuch
Dieser Abschnitt enthält folgende Informationen zu Anmelderichtlinien:
„Definieren von Benutzeranmelderichtlinien“ auf Seite 196
„Definieren von Konferenzanmelderichtlinien“ auf Seite 197
„Festlegen der Reihenfolge, in der die Anmelderichtlinien ausgewertet werden“
auf Seite 199
„Aktivieren und Deaktivieren von Anmelderichtlinien“ auf Seite 199
Definieren von Benutzeranmelderichtlinien
So erstellen und konfigurieren Sie Administrator- oder Benutzeranmelderichtlinien:
1. Wählen Sie in der Administratorkonsole Authentication > Signing In > Signin Policies aus.
2. Klicken Sie zum Erstellen einer neuen Anmelderichtlinie auf New URL. Wenn
Sie eine vorhandene Richtlinie bearbeiten möchten, klicken Sie in der Spalte
Administrator URLs oder User URLs auf eine URL.
3. Legen Sie durch Auswahl von Users oder Administrators fest, welcher
Benutzertyp sich mit dieser Richtlinie am IVE anmelden kann.
4. Geben Sie im Feld Sign-in URL die URL ein, die Sie der Richtlinie zuordnen
möchten. Verwenden Sie das Format <host>/<path>, in dem es sich bei <host> um
den Hostnamen des IVE und bei <path> um jede Zeichenfolge handelt, die vom
Benutzer eingegeben werden soll. Beispiel: partner1.yourcompany.com/outside.
Verwenden Sie zum Angeben mehrerer Hosts das Platzhalterzeichen *. Beispiel:
Um anzugeben, dass alle Administrator-URLs innerhalb des festgelegten
Bereichs bzw. der festgelegten Bereiche die Anmeldeseite verwenden
müssen, geben Sie */admin ein.
Um anzugeben, dass alle Endbenutzer-URLs innerhalb des festgelegten
Bereichs bzw. der festgelegten Bereiche die Anmeldeseite verwenden
müssen, geben Sie */ ein.
HINWEIS: Platzhalterzeichen (*) können nur am Anfang der Hostnamenkomponente
der URL verwendet werden. Das IVE erkennt keine Platzhalter im URL-Pfad.
5. Geben Sie unter Description eine Beschreibung für die Richtlinie ein (optional).
6. Wählen Sie in der Liste Sign-in Page die Seite aus, die Sie der Richtlinie
zuordnen möchten. Sie können die Standardseite für das IVE auswählen, eine
Variation der Standardanmeldeseite oder eine benutzerdefinierte Seite, die Sie
mithilfe der Funktion „Customizable UI“ erstellen. Weitere Informationen
finden Sie unter „Konfigurieren von Standardanmeldeseiten“ auf Seite 200.
7. (Nur-Benutzer-URLs) Wählen Sie im Feld Meeting URL die Konferenz-URL aus,
die Sie dieser Anmelderichtlinie zuordnen möchten. Das IVE wendet die
angegebene Konferenz-URL auf jede von einem Benutzer, der sich mit dieser
Benutzer-URL anmeldet, erstellte Konferenz an.
196
Konfigurieren von Anmelderichtlinien
Kapitel 9: Anmelderichtlinien
8. Legen Sie unter Authentication realm fest, welche Bereiche der Richtlinie
zugeordnet werden sollen und wie Benutzer und Administratoren Bereiche
auswählen sollen. Wählen Sie eine der folgenden Optionen aus:
User types the realm name – Das IVE ordnet die Anmelderichtlinie allen
Authentifizierungsbereichen zu, stellt jedoch keine Bereichsliste bereit, aus
der ein Benutzer oder Administrator auswählen kann. Stattdessen muss der
Benutzer oder Administrator seinen Bereichsnamen manuell auf der
Anmeldeseite eingeben.
User picks from a list of authentication realms – Das IVE ordnet die
Anmelderichtlinie nur dem von Ihnen gewählten Authentifizierungsbereich
zu. Das IVE zeigt dem Benutzer oder Administrator diese Bereichsliste bei
der Anmeldung am IVE an und ermöglicht die Auswahl eines in der Liste
aufgeführten Bereichs. (Wenn die URL nur ein einziger Bereich zugeordnet
ist, zeigt das IVE keine Dropdownliste von Authentifizierungsbereichen an.
Stattdessen verwendet es automatisch den von Ihnen festgelegten Bereich.)
HINWEIS: Wenn Sie dem Benutzer die Auswahl aus mehreren Bereichen erlauben
und einer dieser Bereiche einen anonymen Authentifizierungsserver verwendet,
zeigt das IVE diesen Bereich nicht in der Dropdownliste mit den Bereichen an. Um
die Anmelderichtlinie effektiv einem anonymen Bereich zuzuordnen, müssen Sie
diesen Bereich nur der Liste Authentication realm hinzufügen.
9. Klicken Sie auf Save Changes.
Definieren von Konferenzanmelderichtlinien
So erstellen und konfigurieren Sie Konferenzanmelderichtlinien:
1. Wählen Sie in der Administratorkonsole Authentication > Authentication >
Signing In Policies aus.
2. Klicken Sie zum Erstellen einer neuen Anmelderichtlinie auf New URL. Wenn
Sie eine vorhandene Richtlinie bearbeiten möchten, klicken Sie in der Spalte
Meeting URLs auf eine URL.
3. Wählen Sie Meeting.
4. Geben Sie im Feld Sign-in URL die URL ein, die Sie der Konferenzrichtlinie
zuordnen möchten. Verwenden Sie das Format <host>/<path>, in dem es sich
bei <host> um den Hostnamen des IVE und bei <path> um jede Zeichenfolge
handelt, die vom Benutzer eingegeben werden soll. Beispiel:
Partner1.YourCompany.com/OnlineConference. Beachten Sie beim Erstellen einer
Konferenz-URL Folgendes:
Die mit dem Produkt gelieferte URL der Standardkonferenz-URL (*/meeting)
kann nicht geändert werden.
Konfigurieren von Anmelderichtlinien
197
Juniper Networks Secure Access – Administratorhandbuch
Wenn Sie Benutzern die Anmeldung an Konferenzen mit allen in der
zugehörigen Benutzer-URL definierten Hostnamen ermöglichen möchten,
verwenden Sie das *-Platzhalterzeichen in der Konferenz-URL-Definition.
Sie können der Benutzer-URL z.B. die folgenden Hosts zuordnen:
YourInternalServer.YourCompany.net
YourExternalServer.YourCompany.com
Wenn Sie anschließend eine Konferenz-URL-Definition für */OnlineConference
erstellen und dem Benutzer-URL zuordnen, können Benutzer mit den
folgenden URLs auf die Konferenzanmeldeseite zugreifen:
http://YourInternalServer.YourCompany.net/OnlineConference
http://YourExternalServer.YourCompany.com/OnlineConference
Wenn Sie eine Konferenz-URL mit einem *-Platzhalter erstellen und E-MailBenachrichtigungen aktivieren, erstellt das IVE die Konferenz-URL in der
Benachrichtigungs-E-Mail unter Verwendung des vom Benutzer bei der
Anmeldung am IVE eingegebenen Hostnamens. Ein Benutzer kann sich
z.B. mit der URL aus dem vorhergehenden Beispiel am IVE anmelden:
http://YourInternalServer.YourCompany.net
Wenn der Benutzer dann eine Konferenz erstellt, verwendet das IVE in der
E-Mail-Benachrichtigung die folgende Anmelde-URL für diese Konferenz:
http://YourInternalServer.YourCompany.net/OnlineConference
Das der E-Mail-Link auf einen internen Server verweist, können
netzexterne Benutzer nicht auf die Konferenz zugreifen.
Wenn Sie Benutzern die Anmeldung an Konferenzen nur mit einem Teil der
in der zugehörigen Benutzer-URL definierten Hostnamen ermöglichen
möchten oder wenn Benutzer eine vollständig andere URL für die
Anmeldung an Konferenzen verwenden sollen, schließen Sie nicht den *Platzhalter in Ihre Konferenz-URL-Definition ein. Erstellen Sie stattdessen
eine eindeutige und spezifische Konferenz-URL-Definition.
Sie können z.B. die folgende Konferenz-URL-Definition erstellen und der
Benutzer-URL aus dem vorherigen Beispiel zuordnen, damit alle
Konferenzen nur Links zum externen Server enthalten:
YourExternalServer.YourCompany.com/OnlineConference
5. Geben Sie unter Description eine Beschreibung für die Richtlinie ein (optional).
6. Wählen Sie in der Liste Sign-in Page die Anmeldeseiten aus, die für Benutzer
angezeigt werden sollen, die anhand dieser Richtlinie auf Konferenzen
zugreifen. Sie können die Standardseiten des IVE, eine Variation der
Standardanmeldeseiten oder mit der Funktion zur Anpassung der
Benutzeroberfläche erstellte Seiten auswählen. Weitere Informationen finden
Sie unter „Konfigurieren von Standardanmeldeseiten“ auf Seite 200.
7. Klicken Sie auf Save Changes.
198
Konfigurieren von Anmelderichtlinien
Kapitel 9: Anmelderichtlinien
Aktivieren und Deaktivieren von Anmelderichtlinien
So aktivieren und deaktivieren Sie Anmelderichtlinien:
1. Wählen Sie in der Administratorkonsole Authentication > Signing In > Signin Policies.
2. So gehen Sie für die Aktivierung oder Deaktivierung vor:
Einzelne Richtlinie – Aktivieren Sie das Kontrollkästchen neben der Richtlinie,
die Sie ändern möchten, und klicken Sie dann auf Enable oder Disable.
Alle Benutzer- und Konferenzrichtlinien – Aktivieren oder deaktivieren
Sie oben auf der Seite das Kontrollkästchen Restrict access to
administrators only.
3. Klicken Sie auf Save Changes.
Festlegen der Reihenfolge, in der die Anmelderichtlinien ausgewertet werden
Das IVE wertet Anmelderichtlinien für Administratoren in der Reihenfolge aus, in der
sie auf der Seite Sign-in Policies aufgeführt sind. Wenn es eine exakt
übereinstimmende URL findet, bricht es die Auswertung ab und öffnet die
entsprechende Anmeldeseite für den Administrator bzw. Benutzer. Sie können z.B.
zwei Anmelderichtlinien für Administratoren mit zwei verschiedenen URLs festlegen:
Die erste Richtlinie verwendet die URL */admin und ordnet die
Standardanmeldeseite für Administratoren zu.
Die zweite Richtlinie verwendet die URL yourcompany.com/admin und ordnet
eine benutzerdefinierte Anmeldeseite für Administratoren zu.
Wenn Sie die Richtlinien in dieser Reihenfolge auf der Seite Sign-in Policies
aufführen, wertet das IVE die zweite Richtlinie niemals aus bzw. verwendet sie nie,
da die erste URL die zweite einschließt. Auch wenn ein Administrator sich mit der
URL yourcompany.com/admin anmeldet, zeigt das IVE die Standardanmeldeseite für
Administratoren an. Wenn Sie die Richtlinien hingegen in umgekehrter Reihenfolge
aufführen, zeigt das IVE die benutzerdefinierte Anmeldeseite allen Administratoren
an, die über die URL yourcompany.com/admin auf das IVE zugreifen.
Das IVE akzeptiert nur Platzhalterzeichen im Hostnamenabschnitt der URL und ordnet
die URL anhand des exakten Pfades zu. Sie können z.B. zwei Anmelderichtlinien für
Administratoren mit zwei verschiedenen URL-Pfaden festlegen:
Die erste Richtlinie verwendet die URL */marketing und ordnet eine
benutzerdefinierte Anmeldeseite für die gesamte Marketingabteilung zu.
Die zweite Richtlinie verwendet die URL */marketing/joe und ordnet eine
benutzerdefinierte Anmeldeseite zu, die ausschließlich für den Mitarbeiter
„Jan“ der Marketingabteilung vorgesehen ist.
Konfigurieren von Anmelderichtlinien
199
Juniper Networks Secure Access – Administratorhandbuch
Wenn Sie die Richtlinien auf der Seite Sign-in Policies in dieser Reihenfolge
aufführen, zeigt das IVE die benutzerdefinierte Anmeldeseite für Jan immer dann
an, wenn Jan über die URL yourcompany.com/marketing/joe auf das IVE zugreift. Die
Marketinganmeldeseite wird Jan nicht angezeigt, obwohl sie als erste aufgeführt
und ausgewertet wird, da der Pfadabschnitt seiner URL nicht genau mit der URL
übereinstimmt, der in der ersten Richtlinie definiert ist.
So ändern Sie die Reihenfolge, in der die Anmelderichtlinien für Administratoren
ausgewertet werden:
1. Wählen Sie in der Administratorkonsole Authentication > Signing In > Signin Policies.
2. Wählen Sie eine Anmelderichtlinie aus der Liste Administrator URLs, User
URLs oder Meeting URLs aus.
3. Ändern Sie die Position der Richtlinie in der Liste mithilfe der Pfeile nach oben
oder nach unten.
4. Klicken Sie auf Save Changes.
Konfigurieren von Anmeldeseiten
Eine Anmeldeseite legt die benutzerdefinierten Eigenschaften der Willkommensseite
des Benutzers fest, wie Begrüßungstext, Hilfetext, Logo, Kopf- und Fußzeile. Das IVE
ermöglicht es Ihnen, Benutzern und Administratoren zwei Arten von Anmeldeseiten
anzuzeigen:
Standardanmeldeseiten – Die Standardanmeldeseiten sind von Juniper
vorgegeben und in allen Versionen des IVE enthalten. Die Standardanmeldeseiten
können über die Registerkarte Authentication > Signing In > Sign-in Pages
der Administratorkonsole geändert werden. Weitere Informationen finden Sie
unter „Konfigurieren von Standardanmeldeseiten“ auf Seite 200.
Benutzerdefinierte Anmeldeseiten – Benutzerdefinierte Anmeldeseiten sind
THTML-Seiten, die Sie mithilfe des Template Toolkit erstellen und in Form einer
archivierten ZIP-Datei in das IVE hochladen. Die Funktion für benutzerdefinierte
Anmeldeseiten ist eine lizenzierte Funktion, die es Ihnen ermöglicht, anstelle der
geänderten IVE-Anmeldeseite eigene Seiten zu verwenden.
Weitere Informationen finden Sie im Custom Sign-In Pages Solution Guide.
Konfigurieren von Standardanmeldeseiten
Im IVE werden folgende Standardanmeldeseiten bereitgestellt:
200
Standardanmeldeseite – In der Standardeinstellung zeigt das IVE Benutzern
diese Seite bei der IVE-Anmeldung an.
Anmeldeseite für Konferenzen – In der Standardeinstellung zeigt das IVE
Benutzern diese Seite bei der Anmeldung an einer Konferenz an. Diese Seite ist
nur verfügbar, wenn Sie im IVE eine Secure Meeting-Lizenz installieren.
Konfigurieren von Anmeldeseiten
Kapitel 9: Anmelderichtlinien
Ändern Sie diese Seiten, oder erstellen Sie neue Seiten, die benutzerdefinierten
Text, Logos, Farben und Fehlermeldungen enthalten können, mithilfe der
Einstellungen auf der Registerkarte Authentication > Signing In > Sign-in Pages
in der Administratorkonsole.
So erstellen oder bearbeiten Sie eine Standardanmeldeseite:
1. Wählen Sie in der Administratorkonsole Authentication > Signing In > Signin Pages.
2. Wählen Sie Folgendes durchführen:
Erstellen einer neuen Seite – Klicken Sie auf New Page.
Bearbeiten einer vorhandenen Seite – Wählen Sie den entsprechenden
Link für die zu bearbeitende Seite aus.
3. (Nur neue Seiten) Legen Sie unter Page Type fest, ob dies eine Zugriffsseite oder
eine Konferenzseite für Administratoren/Benutzer ist.
4. Geben Sie einen Namen für die Seite ein.
5. Ändern Sie im Abschnitt Custom text den für die verschiedenen
Fensterbeschriftungen verwendeten Standardtext nach Bedarf. Wenn Sie im
Feld Instructions Text hinzufügen, ist zu beachten, dass das Formatieren von
Text und Hinzufügen von Links anhand der folgenden HTML-Tags erfolgen kann:
<i>, <b>, <br>, <font> und <a href>. Allerdings schreibt das IVE Links auf der
Anmeldeseite (aufgrund der noch nicht erfolgten Benutzerauthentifizierung)
nicht neu. Folglich sollten Sie nur Verweise auf externe Sites erstellen. Links zu
Sites hinter einer Firewall funktionieren nicht.
HINWEIS: Wenn Sie in der benutzerdefinierten Meldung nicht unterstützte HTML-
Tags verwenden, zeigt das IVE die IVE-Startseite des Benutzers möglicherweise
nicht korrekt an.
6. Legen Sie im Abschnitt Header appearance eine benutzerdefinierte
Logobilddatei und eine andere Farbe für die Kopfzeile fest.
7. Ändern Sie im Abschnitt Custom error messages den Standardtext, der im Fall
von Zertifikatsfehler für Benutzer angezeigt wird. (Nicht für die Secure MeetingAnmeldeseite verfügbar.)
8. Um Benutzern benutzerdefinierte Hilfeinformationen oder zusätzliche
Anweisungen bereitzustellen, wählen Sie Show Help button aus, geben Sie
eine Beschriftung für die Schaltfläche ein, und geben Sie eine HTML-Datei an,
die in das IVE hochgeladen werden soll. Beachten Sie, dass im IVE keine Bilder
und anderen Inhalte angezeigt werden, auf die in dieser HTML-Seite verwiesen
wird. (Nicht für die Secure Meeting-Anmeldeseite verfügbar.)
Konfigurieren von Anmeldeseiten
201
Juniper Networks Secure Access – Administratorhandbuch
9. Klicken Sie auf Save Changes. Die Änderungen werden sofort wirksam, Benutzer
mit aktiven Sitzungen müssen jedoch u. U. ihre Webbrowser aktualisieren.
HINWEIS: Klicken Sie auf Restore Factory Defaults, um die Darstellung der
Anmeldeseite, der IVE-Benutzerstartseite und der Administratorkonsole zurückzusetzen.
202
Konfigurieren von Anmeldeseiten
Kapitel 10
Einzelanmeldung
Die Einzelanmeldung (Single Sign-on, SSO) ist ein Vorgang, der es vorauthentifizierten
IVE-Benutzern ermöglicht, auf von einem anderen Zugriffsverwaltungssystem
geschützte Ressourcen oder andere Anwendungen zuzugreifen, ohne die jeweiligen
Anmeldedaten erneut eingeben zu müssen.
In diesem Abschnitt finden Sie die folgenden Informationen über
Einzelanmeldungsfunktionen:
„Lizenzierung: Verfügbarkeit der Einzelanmeldung“ auf Seite 203
„Einzelanmeldung – Übersicht“ auf Seite 204
„Anmeldedaten für mehrfaches Anmelden – Übersicht“ auf Seite 205
„Konfigurieren von SAML“ auf Seite 214
„Konfigurieren von SAML-SSO-Profilen“ auf Seite 217
Lizenzierung: Verfügbarkeit der Einzelanmeldung
Alle Secure Access-Produkte enthalten einige Einzelanmeldungsfunktionen.
Beachten Sie jedoch, dass die erweiterten Anmeldefunktionen für Remote SSO,
SAML und Netegrity in der SA 700-Appliance nicht verfügbar sind. In allen anderen
Secure Access-Produkten stehen sie nur mit einer speziellen Lizenz zur Verfügung.
Darüber hinaus stehen die Standardauthentifizierung, NTLM-Vermittlung und TelnetEinzelanmeldungsfunktion nur auf der SA 700-Appliance zur Verfügung, wenn Sie
über den Aktualisierungslizenzschlüssel für den clientlosen Kernzugriff verfügen.
Lizenzierung: Verfügbarkeit der Einzelanmeldung
203
Juniper Networks Secure Access – Administratorhandbuch
Einzelanmeldung – Übersicht
Das IVE bietet verschiedene Integrationsmechanismen zum Konfigurieren von SSOVerbindungen vom IVE zu anderen Servern, Anwendungen und Ressourcen. Zu den
SSO-Mechanismen zählen:
204
Einzelanmeldung – Übersicht
Remote-SSO – Das IVE ermöglicht eine lose Integration von Anwendungen, die
statische POST-Aktionen in HTML-Formularen verwenden, um Benutzer
anzumelden. Sie können das IVE zum Bereitstellen von IVE-Anmeldedaten,
LDAP-Attributen und Zertifikatattributen in einer webfähigen Anwendung sowie
zum Festlegen von Cookies und Headern konfigurieren, sodass Benutzer auf die
Anwendung ohne eine erneute Authentifizierung zugreifen können. Weitere
Informationen finden Sie unter „Remote-SSO – Übersicht“ auf Seite 304.
SAML – Das IVE ermöglicht eine lose Integration von ausgewählten
Zugriffsverwaltungssystemen, die für die Kommunikation mit anderen
Systemen SAML (Security Assertion Markup Language) verwenden. Benutzer
können sich am IVE und anschließend an vom Zugriffsverwaltungssystem
geschützten Ressourcen anmelden und auf diese zugreifen. Eine erneute
Authentifizierung ist dabei nicht nötig. Sie können es Benutzern auch
ermöglichen, sich ohne erneute Authentifizierung an einem weiteren
Zugriffsverwaltungssystem anzumelden und dann auf vom IVE geschützte
Ressourcen zugreifen. Weitere Informationen finden Sie unter „Konfigurieren
von SAML“ auf Seite 214.
Vermittlung der Standardauthentifizierung für Intranetsites – Das IVE
ermöglicht das automatische Senden von IVE-Benutzeranmeldedaten an andere
Websites und Proxies innerhalb derselben Intranetzone. Wird die Vermittlung
der Standardauthentifizierung über die Seite Users > Resource Profiles > Web
Applications/Pages der Administratorkonsole aktiviert, sendet das IVE die
zwischengespeicherten Anmeldedaten an Intranet-Websites, deren Hostnamen
auf das DNS-Suffix enden, das auf der Seite System > Network > Overview
konfiguriert ist. Zum Maximieren der Sicherheit können Sie das IVE auch für die
Base-64-Codierung konfigurieren, um die zwischengespeicherten Anmeldedaten
zu sichern. Weitere Informationen finden Sie unter „Definieren einer
automatischen Richtlinie für Single Sign-On (Einzelanmeldung)“ auf Seite 313.
Active Directory-Server – Das IVE ermöglicht es Ihnen, Active Directory SSOAnmeldedaten automatisch an andere Websites und Windows-Dateifreigaben
innerhalb derselben Intranetzone zu senden, die durch eine native NTLMAuthentifizierung geschützt sind. Wenn Sie diese Option aktivieren, sendet das
IVE die zwischengespeicherten Anmeldedaten an NTLM-geschützte Websites,
deren Hostnamen mit einem auf der Seite System > Network > Overview der
Administratorkonsole konfigurierten DNS-Suffix enden. Weitere Informationen
finden Sie unter „Konfigurieren einer Active Directory- oder einer NTDomäneninstanz“ auf Seite 104.
Kapitel 10: Einzelanmeldung
Netegrity SiteMinder-Richtlinienserver – Wenn Sie IVE-Benutzer mit einem
Netegrity SiteMinder-Richtlinienserver authentifizieren, können Sie den
Benutzern anschließend den Zugriff auf durch SiteMinder geschützte Ressourcen
ohne eine erneute Authentifizierung ermöglichen (sofern sie für die richtige
Sicherheitsebene autorisiert sind). Außerdem können Sie Benutzer über das IVE
erneut authentifizieren, wenn sie Ressourcen anfordern, für die ihre aktuelle
Sicherheitsebene nicht ausreicht. Sie können es den Benutzern auch
ermöglichen, sich zuerst am Richtlinienserver anzumelden und dann ohne eine
erneute Authentifizierung auf das IVE zuzugreifen. Weitere Informationen finden
Sie unter „Konfigurieren einer Netegrity SiteMinder-Instanz“ auf Seite 142.
Terminalsitzung – Wenn Sie die Terminal Services für eine Rolle aktivieren,
ermöglichen Sie es Benutzern, ohne erneute Authentifizierung eine Verbindung
mit Anwendungen herzustellen, die auf einem Windows-Terminalserver oder
Citrix MetaFrame-Server ausgeführt werden. Weitere Informationen finden Sie
unter „Terminal Services“ auf Seite 497. Sie können auch wie unter „Terminal
Services“ auf Seite 497 beschrieben einen Benutzernamen an den Telnet/SSHServer senden.
E-Mail-Clients – Wenn Sie die E-Mail-Client-Funktion für eine Rolle aktivieren
und dann eine entsprechende Ressourcenrichtlinie erstellen, haben Benutzer
ohne erneute Authentifizierung Zugriff auf standardmäßige E-Mail wie Outlook
Express, Netscape Communicator oder Eudora von Qualcomm. Weitere
Informationen finden Sie unter „E-Mail-Client“ auf Seite 553.
Das IVE stellt fest, welche Anmeldedaten basierend auf dem verwendeten
Verbindungsmechanismus an den SSO-fähigen Server, die Anwendung und die
Ressource gesendet werden. Bei den meisten Mechanismen können Sie
Benutzeranmeldedaten von bis zu zwei Authentifizierungsservern auf der IVEAnmeldeseite erfassen und diese Daten dann während der SSO-Sitzung senden.
Weitere Informationen finden Sie unter „Anmeldedaten für mehrfaches Anmelden –
Übersicht“ auf Seite 205.
Die verbleibenden Mechanismen (SAML, Netegrity SiteMinder und der E-MailClient) verwenden eindeutige Methoden zur Aktivierung von SSO vom IVE für die
unterstützte Anwendung. Weitere Informationen finden Sie unter:
„Konfigurieren von SAML“ auf Seite 214
„Konfigurieren von SAML-SSO-Profilen“ auf Seite 217
„Konfigurieren einer Netegrity SiteMinder-Instanz“ auf Seite 142
„E-Mail-Client“ auf Seite 553
Anmeldedaten für mehrfaches Anmelden – Übersicht
Beim Konfigurieren eines Authentifizierungsbereichs können Sie zwei
Authentifizierungsserver für den Bereich aktivieren. Mit zwei Authentifizierungsservern
sind Sie in der Lage, zwei verschiedene Sets von Anmeldedaten anzufordern –, eines für
das IVE und ein anderes für Ihre SSO-fähige Ressource –, ohne dass der Benutzer das
zweite Set von Anmeldedaten beim Zugriff auf die Ressource angeben muss. Dadurch
können Sie für den Zugriff auf das IVE auch die zweistufige Authentifizierung anfordern.
Anmeldedaten für mehrfaches Anmelden – Übersicht 205
Juniper Networks Secure Access – Administratorhandbuch
Dieser Abschnitt enthält folgende Informationen zu Anmeldedaten für die
mehrfache Anmeldung:
„Aufgabenzusammenfassung: Konfigurieren mehrerer
Authentifizierungsserver“ auf Seite 206
„Aufgabenzusammenfassung: Aktivieren von SSO für Ressourcen mit Schutz
durch Standardauthentifizierung“ auf Seite 206
„Aufgabenzusammenfassung: Aktivieren von SSO für NTLM-geschützte
Ressourcen“ auf Seite 207
„Anmeldedaten für mehrfaches Anmelden – Ausführung“ auf Seite 208
Aufgabenzusammenfassung: Konfigurieren mehrerer Authentifizierungsserver
So aktivieren Sie mehrere Authentifizierungsserver:
1.
Erstellen Sie über die Seite Authentication > Auth. Servers der
Administratorkonsole Authentifizierungsserverinstanzen. Konfigurationsanweisungen
finden Sie unter „Definieren einer Authentifizierungsserverinstanz“ auf Seite 98.
2. Ordnen Sie den Authentifizierungsservern mit Einstellungen auf den folgenden
Seiten der Administratorkonsole einen Bereich zu:
Users > User Realms > Bereich auswählen > General
Administrators > Admin Realms > Bereich auswählen > General
Konfigurationsanweisungen finden Sie unter „Erstellen eines
Authentifizierungsbereichs“ auf Seite 178.
3. (Optional) Legen Sie mit Einstellungen auf den folgenden Seiten der
Administratorkonsole Kennwortlängenbeschränkungen für den sekundären
Authentifizierungsserver fest:
Users > User Realms > Bereich auswählen > Authentication Policy >
Password
Administrators > Admin Realms > Bereich auswählen > Authentication
Policy > Password
Konfigurationsanweisungen finden Sie unter „Angeben von
Kennwortzugriffseinschränkungen“ auf Seite 51.
Aufgabenzusammenfassung: Aktivieren von SSO für Ressourcen mit Schutz durch
Standardauthentifizierung
Gehen Sie folgendermaßen vor, um Single Sign-On für Webserver und Webproxies
mit Standardauthentifizierung zu aktivieren:
1. Legen Sie anhand der Einstellungen auf der Seite System > Network >
Overview der Administratorkonsole einen IVE-Hostnamen fest, der mit demselben
Suffix endet wie die geschützte Ressource. (Das IVE überprüft die Hostnamen, um
sicherzustellen, dass SSO nur für Sites in demselben Intranet aktiviert wird.)
206
Anmeldedaten für mehrfaches Anmelden – Übersicht
Kapitel 10: Einzelanmeldung
2. Gestatten Sie Benutzern den Zugriff auf Webressourcen, geben Sie die Sites an,
an die das IVE Anmeldedaten senden soll, erstellen Sie Auto-Richtlinien, die
SSO für Standardauthentifizierungsvermittlung aktivieren, und erstellen Sie
mithilfe der Einstellungen auf der Seite Users > Resource Profiles > Web
Application/Pages > [Profil] der Administratorkonsole Lesezeichen für die
ausgewählten Ressourcen.
3. Wenn Benutzer über ein Proxy auf Webserver zugreifen sollen, konfigurieren
Sie das IVE mit den Einstellungen auf den folgenden Seiten der
Administratorkonsole zur Erkennung der entsprechenden Server und Proxies:
a.
Geben Sie mit den Einstellungen auf der Seite Users > Resource Policies >
Web > Web proxy > Servers an, welche Webserver mit dem Proxy
geschützt werden sollen.
b.
Legen Sie mit den Einstellungen auf der Seite Users > Resource Policies >
Web > Web proxy > Policies die zu verwendenden Proxies und die durch
die Proxies zu schützenden Server (oben) fest. Sie können einzelne
Ressourcen auf dem Server oder den gesamten Server angeben.
Aufgabenzusammenfassung: Aktivieren von SSO für NTLM-geschützte Ressourcen
Gehen Sie folgendermaßen vor, um Single Sign-On für Webserver, WindowsDateiserver und Webproxies mit NTLM-Schutz zu aktivieren:
1. Legen Sie anhand der Einstellungen auf der Seite System > Network >
Overview der Administratorkonsole einen IVE-Hostnamen fest, der mit
demselben Suffix endet wie die geschützte Ressource. (Das IVE überprüft die
Hostnamen, um sicherzustellen, dass SSO nur für Sites in demselben Intranet
aktiviert wird.)
2. Gestatten Sie Benutzern den Zugriff auf den geeigneten Ressourcentyp (Web
oder Datei), geben Sie die Sites oder die Server an, an die das IVE
Anmeldedaten senden soll, erstellen Sie Auto-Richtlinien, die NTLM-Single Signon ermöglichen, und erstellen Sie mit den Einstellungen auf den folgenden
Seiten der Administratorkonsole Lesezeichen für die ausgewählten Ressourcen:
Users > Resource Profiles > Web Application/Pages > [Profil]
Users > Resource Profiles > File Browsing Resource Profiles> [Profil]
3. Wenn Benutzer über ein Proxy auf Webserver zugreifen sollen, konfigurieren
Sie das IVE mit den Einstellungen auf den folgenden Seiten der
Administratorkonsole zur Erkennung der entsprechenden Server und Proxies:
a.
Geben Sie mit den Einstellungen auf der Seite Users > Resource Policies >
Web > Web proxy > Servers an, welche Webserver mit dem Proxy
geschützt werden sollen.
b.
Legen Sie mit den Einstellungen auf der Seite Users > Resource Policies >
Web > Web proxy > Policies die zu verwendenden Proxies und die durch
die Proxies zu schützenden Server (oben) fest. Sie können einzelne
Ressourcen auf dem Server oder den gesamten Server angeben.
Anmeldedaten für mehrfaches Anmelden – Übersicht 207
Juniper Networks Secure Access – Administratorhandbuch
Anmeldedaten für mehrfaches Anmelden – Ausführung
Das folgende Diagramm stellt den Vorgang dar, den das IVE verwendet, um die
Anmeldedaten mehrerer Benutzer zu erfassen, zu authentifizieren und an die SSOfähigen Ressourcen zu senden: Alle Schritte im Diagramm werden später noch
genauer erläutert.
Abbildung 30: Sammeln und Senden von Anmeldedaten von mehreren Servern
Schritt 1: Das IVE erfasst die primären Anmeldedaten des Benutzers.
Wenn sich der Benutzer am IVE anmeldet, wird er vom IVE zum Eingeben der
primären Serveranmeldedaten aufgefordert. Das IVE speichert die Anmeldedaten,
um diese später ggf. an die SSO-Ressource zu senden. Das IVE speichert die
Anmeldedaten exakt so, wie der Benutzer diese eingibt – es stellt den Daten keine
zusätzlichen Informationen vor oder nach (z.B. die Benutzerdomäne).
Schritt 2: Das IVE erfasst oder erstellt die sekundären Anmeldedaten des
Benutzers.
Sie können das IVE so konfigurieren, dass die sekundären Anmeldedaten entweder
manuell erfasst oder automatisch generiert werden. Bei Konfiguration des IVE für:
208
Manuelle Erfassung der sekundären Anmeldedaten des Benutzers – Der
Benutzer muss seine sekundären Anmeldedaten direkt nach der Eingabe der
primären Anmeldedaten eingeben.
Anmeldedaten für mehrfaches Anmelden – Übersicht
Kapitel 10: Einzelanmeldung
Automatische Generierung der Anmeldedaten des Benutzers – Das IVE
sendet die während des Setup in der Verwaltungskonsole angegebenen Werte.
Standardmäßig verwendet das IVE die Variablen <username> und <password>,
die den Benutzernamen und das Kennwort des Benutzers enthalten, der bzw.
das für den primären Authentifizierungsserver eingegeben wurde.
Sie können z.B. einen LDAP-Server als Ihren primären Authentifizierungsserver und
einen Active Directory-Server als Ihren sekundären Authentifizierungsserver
konfigurieren. Konfigurieren Sie dann das IVE zum Erfassen des Active DirectoryBenutzernamens des Benutzers, wobei der Benutzer sein Active Directory-Kennwort
manuell eingeben muss. Wenn das IVE den Active Directory-Benutzernamen
erfasst, sendet es einfach den für den LDAP-Server eingegeben Namen (z.B.
JDoe@LDAPServer) weiter an das Active Directory (z.B. JDoe@ActiveDirectoryServer).
Schritt 3: Das IVE authentifiziert die primären Anmeldedaten.
Nachdem das IVE alle erforderlichen Anmeldedaten erfasst hat, authentifiziert es
das erste Set von Benutzeranmeldedaten für den primären Authentifizierungsserver.
Gehen Sie anschließend folgendermaßen vor:
Wenn die Anmeldedaten erfolgreich authentifiziert sind, speichert sie das IVE
in den Sitzungsvariablen <username> und <password> und fährt mit der
Authentifizierung der sekundären Anmeldedaten fort.
HINWEIS: Wenn Sie die Authentifizierung für einen RADIUS-Server durchführen,
der dynamische, zeitabhängige Kennwörter akzeptiert, können Sie wahlweise
festlegen, dass Benutzerkennwörter nicht mit der IVE-Sitzungsvariablen
gespeichert werden. Weitere Informationen finden Sie unter „Konfigurieren einer
RADIUS-Serverinstanz“ auf Seite 128.
Wenn die Anmeldedaten nicht erfolgreich authentifiziert werden, verwehrt das
IVE dem Benutzer den Zugriff auf das IVE.
Schritt 4: Das IVE authentifiziert die sekundären Anmeldedaten.
Nach der Authentifizierung der primären Anmeldedaten authentifiziert das IVE die
sekundären Anmeldedaten. Gehen Sie anschließend folgendermaßen vor:
Wenn die Anmeldedaten erfolgreich authentifiziert sind, speichert sie das IVE in den
Sitzungsvariablen <username[2]> und <password[2]> und ermöglicht dem
Benutzer den Zugriff auf das IVE. Sie können auf diese Variablen auch mit der Syntax
<username@SecondaryServer> und <password@SecondaryServer> zugreifen.
HINWEIS: Wenn Sie die Authentifizierung für einen RADIUS-Server durchführen,
der dynamische, zeitabhängige Kennwörter akzeptiert, können Sie wahlweise
festlegen, dass Benutzerkennwörter nicht mit der IVE-Sitzungsvariablen
gespeichert werden. Weitere Informationen finden Sie unter „Konfigurieren einer
RADIUS-Serverinstanz“ auf Seite 128.
Anmeldedaten für mehrfaches Anmelden – Übersicht 209
Juniper Networks Secure Access – Administratorhandbuch
Wenn die Anmeldedaten nicht erfolgreich authentifiziert werden, speichert sie
das IVE nicht. Je nach Konfiguration Ihres Authentifizierungsbereichs kann das
IVE den Benutzerzugriff auf das IVE gewähren oder verwehren, wenn die
sekundären Anmeldedaten nicht erfolgreich authentifiziert wurden.
HINWEIS: Ein Fehler bei der sekundären Authentifizierung kann durch Erstellen eines
benutzerdefinierten Ausdrucks erkannt werden, der überprüft, ob eine leere Variable
user@secondaryAuth vorhanden ist. Auf diese Weise können Sie Benutzer basierend
auf der erfolgreichen Authentifizierung Rollen zuweisen. Der folgende Ausdruck weist
Benutzer z.B. der Rolle „MoreAccess“ zu, wenn ihre Authentifizierung am sekundären
Authentifizierungsserver (ACE-Server) erfolgreich ist:
user@{ACE Server} != "" then assign role MoreAccess
„Ace Server“ steht in geschwungenen Klammern, da der Name des
Authentifizierungsservers Leerzeichen enthält.
Schritt 5: Das IVE sendet die Anmeldedaten an die SSO-fähige
Ressource.
Nach der erfolgreichen Anmeldung des Benutzers am IVE kann er versuchen,
mithilfe eines vorkonfigurierten Lesezeichens oder eines anderen
Zugriffsmechanismus auf eine SSO-fähige Ressource zuzugreifen. Anschließend
sendet das IVE je nach Typ der Ressource, auf die der Benutzer zuzugreifen
versucht, verschiedene Anmeldedaten. Für die verschiedenen Ressourcentypen
werden folgende Anmeldedaten gesendet:
Web-SSO-, Terminal Services- oder Telnet/SSH-Ressource – Das IVE sendet
die in der Administratorkonsole festgelegten Anmeldedaten, z.B. <username>
(in diesem Fall werden die primären Anmeldedaten des Benutzers an die
Ressource gesendet) oder <username[2]> (in diesem Fall werden die sekundären
Anmeldedaten des Benutzers an die Ressource gesendet). Wenn der Benutzer
über die Endbenutzerkonsole einen anderen Benutzernamen und ein anderes
Kennwort eingegeben hat, sendet das IVE diese Anmeldedaten des Benutzers.
HINWEIS: Das IVE unterstützt nicht das Senden von Anmeldedaten von ACE-
Servern, Zertifikatservern oder anonymen Servern an eine Web-SSO- oder
Telnet/SSH-Ressource. Wenn Sie das IVE für die Übermittlung von Anmeldedaten
von einem dieser primären Authentifizierungsservertypen konfigurieren, sendet
das IVE die Anmeldedaten des sekundären anstelle des primären
Authentifizierungsservers des Benutzers. Werden diese Anmeldedaten abgelehnt,
fordert das IVE den Benutzer auf, seinen Benutzernamen und das Kennwort
manuell einzugeben.
210
Von einem Webserver, Windows-Server oder Webproxy mit NTLMAuthentifizierung geschützte Ressource – Das IVE sendet Anmeldedaten an
den Back-End-Server oder das Proxy, von dem die Web- oder Dateiressource
geschützt wird. Die NTLM-Authentifizierung kann nicht über das IVE deaktiviert
werden. Wenn ein Benutzer versucht, auf eine NTLM-geschützte Ressource
zuzugreifen, vermittelt das IVE automatisch die Authentifizierungsanfrage und
sendet die Anmeldedaten in der folgenden Reihenfolge:
Anmeldedaten für mehrfaches Anmelden – Übersicht
Kapitel 10: Einzelanmeldung
a.
(Nur Windows-Dateiressourcen) Vom Administrator festgelegte
Anmeldedaten – Wenn Sie eine Ressourcenprofil erstellen, die
Anmeldedaten für eine Windows-Dateiressource definiert, sendet das IVE
die festgelegten Anmeldedaten, wenn der Benutzer auf die angegebene
Ressource zugreift.
b.
Zwischengespeicherte Anmeldedaten – Wenn das IVE nicht die vom
Administrator festgelegten Anmeldedaten sendet oder die Anmeldedaten
fehlschlagen, überprüft das IVE, ob in seinem Cache gespeicherte
Anmeldedaten für den angegebenen Benutzer und die Ressource
vorhanden sind. (Informationen zur Zwischenspeicherung von
Anmeldedaten durch das IVE finden Sie unten.) Sofern verfügbar, sendet
das IVE die gespeicherten Anmeldedaten.
c.
Primäre Anmeldedaten – Wenn das IVE nicht die zwischengespeicherten
Anmeldedaten sendet oder die Anmeldedaten fehlschlagen, sendet es die
primären IVE-Anmeldedaten des Benutzers, sofern Folgendes zutrifft:
Die Ressource befindet sich in derselben Intranetzone wie das IVE (d.
h., der Hostname der Ressource endet mit dem auf der Seite System >
Network > Overview der Administratorkonsole konfigurierten DNSSuffix).
(Nur Webproxies) Sie haben das IVE über Einstellungen auf der Seite
Users > Resource Policies > Web > Web Proxy der
Administratorkonsole zur Erkennung des Webproxy konfiguriert.
Bei den Anmeldedaten handelt es sich nicht um ACE-Anmeldedaten.
(Nur RADIUS-Anmeldedaten) Sie legen auf der RADIUSKonfigurationsseite fest, dass der RADIUS-Server keine einmaligen
Kennwörter akzeptiert.
d. Sekundäre Anmeldedaten – Wenn die primären Anmeldedaten
fehlschlagen, überprüft das IVE, ob es über sekundäre Anmeldedaten für
den Benutzer verfügt. Sofern Daten verfügbar sind und die für die primären
Anmeldedaten beschriebenen Bedingungen zutreffen, sendet das IVE die
sekundären IVE-Anmeldedaten des Benutzers.
e.
Zuletzt eingegebene Anmeldedaten – Wenn das IVE nicht die sekundären
Anmeldedaten sendet oder die Anmeldedaten fehlschlagen, überprüft das
IVE, ob in seinem Cache gespeicherte Anmeldedaten für den
angegebenen Benutzer und eine andere Ressource vorhanden sind.
(Informationen zur Zwischenspeicherung von Anmeldedaten durch das
IVE finden Sie unten.) Sofern Daten verfügbar sind und die für die
primären Anmeldedaten beschriebenen Bedingungen zutreffen, sendet
das IVE die gespeicherten Anmeldedaten.
Anmeldedaten für mehrfaches Anmelden – Übersicht 211
Juniper Networks Secure Access – Administratorhandbuch
f.
Von einem Webserver oder Webproxy mit Standardauthentifizierung
geschützte Ressource – Das IVE sendet Anmeldedaten in der folgenden
Reihenfolge an den Back-End-Server oder das Proxy, von dem die Webressource
geschützt wird:
a.
Zwischengespeicherte Anmeldedaten – Wenn das IVE nicht die vom
Administrator festgelegten Anmeldedaten sendet oder die Anmeldedaten
fehlschlagen, überprüft das IVE, ob in seinem Cache gespeicherte
Anmeldedaten für den angegebenen Benutzer und die Ressource
vorhanden sind. (Informationen zur Zwischenspeicherung von
Anmeldedaten durch das IVE finden Sie unten.) Sofern verfügbar, sendet
das IVE die gespeicherten Anmeldedaten.
b.
Primäre Anmeldedaten – Wenn das IVE nicht die zwischengespeicherten
Anmeldedaten sendet oder die Anmeldedaten fehlschlagen, sendet es die
primären IVE-Anmeldedaten des Benutzers, sofern Folgendes zutrifft:
c.
212
Vom Benutzer angegebene Anmeldedaten (Eingabeaufforderung) –
Wenn das IVE nicht die zuletzt eingegebenen Anmeldedaten sendet oder
die Anmeldedaten fehlschlagen, fordert das IVE den Benutzer zur
manuellen Eingabe seiner Anmeldedaten auf der angezeigten
Anmeldeseite auf. Wenn der Benutzer das Kontrollkästchen Remember
password? aktiviert, werden die vom Benutzer eingegebenen
Anmeldedaten vom IVE zwischengespeichert und bei Bedarf erneut
gesendet, wenn der Benutzer wieder auf die gleiche Ressource zugreift.
Wenn das IVE diese Anmeldedaten zwischenspeichert, speichert es den
spezifischen Benutzer und die Ressource auch nach der Abmeldung des
Benutzers vom IVE.
Die Ressource befindet sich in derselben Intranetzone wie das IVE (d.
h., der Hostname der Ressource endet mit dem auf der Seite System >
Network > Overview der Administratorkonsole konfigurierten DNSSuffix).
(Nur Webproxies) Sie haben das IVE über Einstellungen auf der Seite
Users > Resource Policies > Web > Web Proxy der
Administratorkonsole zur Erkennung des Webproxy konfiguriert.
Bei den Anmeldedaten handelt es sich nicht um ACE-Anmeldedaten.
(Nur RADIUS-Anmeldedaten) Sie legen auf der RADIUSKonfigurationsseite fest, dass der RADIUS-Server keine einmaligen
Kennwörter akzeptiert.
Sekundäre Anmeldedaten – Wenn die primären Anmeldedaten
fehlschlagen, überprüft das IVE, ob es über sekundäre Anmeldedaten für
den Benutzer verfügt. Sofern Daten verfügbar sind und die für die primären
Anmeldedaten beschriebenen Bedingungen zutreffen, sendet das IVE die
sekundären IVE-Anmeldedaten des Benutzers.
Anmeldedaten für mehrfaches Anmelden – Übersicht
Kapitel 10: Einzelanmeldung
d. Zuletzt eingegebene Anmeldedaten – Wenn das IVE nicht die sekundären
Anmeldedaten sendet oder die Anmeldedaten fehlschlagen, überprüft das
IVE, ob in seinem Cache gespeicherte Anmeldedaten für den
angegebenen Benutzer und eine andere Ressource vorhanden sind.
(Informationen zur Zwischenspeicherung von Anmeldedaten durch das
IVE finden Sie unten.) Sofern Daten verfügbar sind und die für die
primären Anmeldedaten beschriebenen Bedingungen zutreffen, sendet
das IVE die gespeicherten Anmeldedaten.
e.
Vom Benutzer angegebene Anmeldedaten (Eingabeaufforderung) –
Wenn das IVE nicht die zuletzt eingegebenen Anmeldedaten sendet oder
die Anmeldedaten fehlschlagen, fordert das IVE den Benutzer zur
manuellen Eingabe seiner Anmeldedaten auf der angezeigten
Anmeldeseite auf. Wenn der Benutzer das Kontrollkästchen Remember
password? aktiviert, werden die vom Benutzer eingegebenen
Anmeldedaten vom IVE zwischengespeichert und bei Bedarf erneut
gesendet, wenn der Benutzer wieder auf die gleiche Ressource zugreift.
Wenn das IVE diese Anmeldedaten zwischenspeichert, speichert es den
spezifischen Benutzer und die Ressource auch nach der Abmeldung des
Benutzers vom IVE.
HINWEIS:
Das IVE unterstützt nicht die in diesem Abschnitt beschriebenen
Authentifizierungsmechanismus für mehrere Anmeldedatensets mit den EMail-Client- und SAML SSO-Mechanismen.
Sie können einen anonymen Server, Zertifikatserver oder Netegrity
SiteMinder-Server nicht als sekundären Authentifizierungsserver definieren.
Wenn Sie einen Netegrity SiteMinder-Server als Ihren primären
Authentifizierungsserver definieren, können Sie keinen sekundären
Authentifizierungsserver definieren.
Das IVE unterstützt die Standardauthentifizierung und das NTLMAnfrage/Antwort-Schema für HTTP beim Zugriff auf Webanwendungen. Es
unterstützt jedoch nicht die HTTP-basierte plattformübergreifende
Authentifizierung über das Verhandlungsprotokoll.
Weitere Informationen darüber, wie das IVE die mehrfache Authentifizierung
innerhalb der allgemeinen IVE-Authentifizierungs- und -Autorisierungsprozesse
verwendet, finden Sie unter „Richtlinien, Regeln und Einschränkungen sowie
Bedingungen – Auswertung“ auf Seite 39.
Anmeldedaten für mehrfaches Anmelden – Übersicht 213
Juniper Networks Secure Access – Administratorhandbuch
Konfigurieren von SAML
Mithilfe des IVE können Sie User- und Session-Statusinformationen vom IVE an ein
anderes zuverlässiges Zugriffsverwaltungssystem weiterleiten, das SAML (Secure
Access Markup Language) unterstützt. SAML stellt einen Mechanismus für zwei
verschiedene Systeme bereit, mit dem Authentifizierungs- und
Autorisierungsinformationen mithilfe eines XML-Frameworks erstellt und
ausgetauscht werden können, sodass die Notwendigkeit für die Benutzer, ihre
Anmeldeinformationen beim Zugreifen auf mehrere Anwendungen oder Domänen
erneut einzugeben, minimiert wird1. Das IVE unterstützt SAML Version 1.1.
Die SAML-Austauschvorgänge sind von einer Vertrauensstellung zwischen zwei
Systemen oder Domänen abhängig. Bei den Austauschvorgängen fungiert ein
System als SAML-Autorität (auch bestätigende Partei oder SAML-Responder
genannt), die Informationen zum Benutzer hinterlegt bzw. bestätigt. Das andere
System fungiert als Relying Party (die sich auf Vertrauenswürdigkeit verlassende
Partei) (auch SAML-Receiver genannt), die sich auf das von der SAML-Autorität
bereitgestellte Statement (auch Assertion genannt) verlässt. Wenn die Relying Party
der SAML-Autorität vertraut, authentifiziert oder autorisiert sie den Benutzer auf
Grundlage der von der SAML-Autorität bereitgestellten Informationen.
Das IVE unterstützt zwei SAML-Fallbeispiele:
Das IVE als SAML-Autorität – Der Benutzer meldet sich an einer Ressource
zuerst über das IVE an. Alle anderen Systeme sind SAML-Receiver, die sich auf
das IVE bei der Authentifizierung und Autorisierung des Benutzers verlassen. In
dieser Situation kann das IVE entweder ein Artifact- oder ein POST-Profil
verwenden. Weitere Informationen finden Sie unter „Konfigurieren von SAMLSSO-Profilen“ auf Seite 217.
Das IVE als SAML-Receiver – Der Benutzer meldet sich zuerst an einem
anderem System im Netzwerk an, und das IVE ist der SAML-Receiver, das sich
auf das andere System bei der Authentifizierung und Autorisierung des
Benutzers verlässt.
So kann beispielsweise in der ersten Situation der authentifizierte IVE-Benutzer
John Smith versuchen, auf eine von einem Zugriffsverwaltungssystem geschützte
Ressource zuzugreifen. Dabei fungiert das IVE als SAML-Autorität und zeigt folgende
Meldung an: „This user is John Smith. He was authenticated using a password
mechanism.“ Das Zugriffsverwaltungssystem (die Relying Party) empfängt dieses
Statement und vertraut dem IVE. (Aus diesem Grund wird auch darauf vertraut,
dass der Benutzer ordnungsgemäß vom IVE identifiziert wurde.) Es besteht auch die
Möglichkeit, dass das Zugriffsverwaltungssystem dem Benutzer den Zugriff auf die
angeforderte Ressource verweigert, weil John Smith z.B. nicht über ausreichende
Zugriffsrechte für das System verfügt, obwohl es den vom IVE gesendeten
Informationen vertraut.
1. Secure Access Markup Language wurde vom SSTC (Security Services Technical Committee) von OASIS-Organisation
für Standards entwickelt. Eine technische Übersicht über SAML finden Sie auf der OASIS-Website unter:
http://www.oasis-open.org/committees/download.php/5836/sstc-saml-tech-overview-1.1-draft-03.pdf.
214
Konfigurieren von SAML
Kapitel 10: Einzelanmeldung
In der zweiten Situation meldet sich John Smith am Firmenportal an und wird
mithilfe eines LDAP-Servers hinter der Firewall des Unternehmens authentifiziert.
Auf dem sicheren Portal des Unternehmens klickt John Smith auf einen Link zu
einer vom IVE geschützten Ressource. Der folgende Prozess läuft ab:
1. Der Link leitet John Smith zu einem Intersite Transfer Service auf dem
Unternehmensportal um, der eine Artifact-URL erstellt. Die Artifact-URL enthält
einen Verweis zu einer im Cache des Unternehmensportals gespeicherten
SAML-Assertion.
2. Das Portal sendet die URL an das IVE, das über das Erstellen eines Links zum
Verweis entscheidet.
3. Falls das IVE einen Link zum Verweis erstellt, sendet das Portal eine SOAPMeldung mit einer SAML-Assertion (eine XML-Meldung mit den Anmeldedaten
des Benutzers) an das IVE, das über die Zugriffsberechtigung des Benutzers auf
die angeforderte Ressource entscheidet.
4. Falls das IVE den Benutzerzugriff gestattet, zeigt das IVE dem Benutzer die
angeforderte Ressource an.
5. Falls das IVE die SAML-Assertion oder die Anmeldedaten des Benutzers
verweigert, zeigt das IVE dem Benutzer eine Fehlermeldung an.
Beim Konfigurieren des IVE können Sie SAML für Folgendes verwenden:
SSO-Authentifizierung (Single Sign-On, Einzelanmeldung) – Im Rahmen
einer SAML-SSO-Transaktion wird ein authentifizierter Benutzer nahtlos in
einem anderen System angemeldet, ohne die Anmeldedaten erneut
bereitstellen zu müssen. Bei diesem Transaktionstyp kann das IVE entweder die
SAML-Autorität oder der SAML-Receiver sein. Als SAML-Autorität erstellt das IVE
ein Authentifizierungsstatement mit Angabe des Benutzernamens des Benutzers
und der Art der Authentifizierung. Wenn die Relying Party (die bei SAML-SSOTransaktionen als Assertion Consumer Service bezeichnet wird) dem IVE
vertraut, wird der Benutzer nahtlos im Assertion Consumer Service mit dem im
Statement enthaltenen Benutzernamen angemeldet.
Als SAML-Receiver fordert das IVE die Bestätigung der Anmeldedaten von der
SAML-Autorität an, also von dem anderen Zugriffsverwaltungssystem, z.B. LDAP
oder einem anderen Authentifizierungsserver. Die SAML-Autorität sendet eine
Assertion als SOAP-Meldung. Die Assertion besteht aus mehreren XMLStatements, die das IVE basierend auf vom IVE-Administrator in einer SAMLServerinstanzdefinition festgelegten Kriterien interpretieren muss. Falls das IVE
der bestätigenden Partei vertraut, gestattet das IVE dem Benutzer die nahtlose
Anmeldung mit den in der SAML-Assertion enthaltenen Anmeldedaten.
Konfigurieren von SAML
215
Juniper Networks Secure Access – Administratorhandbuch
Zugriffssteuerungsautorisierung – Im Rahmen einer SAMLZugriffssteuerungstransaktion ruft das IVE bei einem Zugriffsverwaltungssystem
ab, ob der Benutzer über entsprechende Zugriffsrechte verfügt. Bei diesem
Transaktionstyp stellt das IVE die Relying Party dar (wird bei
Zugriffssteuerungstransaktionen auch als Policy Enforcement Point (PEP)
bezeichnet). Das IVE verwendet und erzwingt ein vom
Zugriffsverwaltungssystem (SAML-Autorität) bereitgestelltes Authorization
Decision Statement, in dem angegeben wird, dass der Benutzer für den Zugriff
berechtigt ist. Wenn die SAML-Autorität (die bei Zugriffssteuerungstransaktionen
auch als Policy Decision Point, PDP bezeichnet wird) angibt, dass der IVEBenutzer über ausreichende Zugriffsrechte verfügt, kann der Benutzer auf die
gewünschte Ressource zugreifen.
HINWEIS:
Das IVE unterstützt keine Attributstatements, in denen bestimmte Details über den
Benutzer angegeben werden (z.B. „John Smith is a member of the gold group“).
Das IVE generiert keine Authorization Decision Statements, es verwendet sie nur.
Das IVE gewährt den Benutzern jedoch nicht nur den Zugriff auf eine URL auf
Grundlage des von einer SAML-Autorität zurückgegebenen Authorization
Decision Statement. Das IVE ermöglicht Ihnen außerdem das Definieren von
Benutzerzugriffsrechten für eine URL mithilfe von IVE-Mechanismen
(Registerkarte Users > Resource Profiles > Web Applications/Pages ). Wenn
Sie Zugriffssteuerungen sowohl über das IVE als auch eine SAML-Autorität
definieren, müssen beide Quellen den Zugriff auf eine URL gewähren, damit
ein Benutzer darauf zugreifen kann. Sie können beispielsweise eine IVEZugriffsrichtlinie konfigurieren, um Mitgliedern der Rolle „Users“ den Zugriff
auf www.google.com zu verweigern, und eine andere SAML-Richtlinie
konfigurieren, bei der die Benutzerzugriffsrechte auf einem Attribut in einem
Zugriffsverwaltungssystem basieren. Selbst wenn das
Zugriffsverwaltungssystem den Benutzern den Zugriff auf www.google.com
gewährt, wird ihnen jedoch der Zugriff aufgrund der IVE-Richtlinie verweigert.
Zugriffsverwaltungssysteme, die SAML unterstützen, können auf die Anfrage,
ob ein Benutzer auf eine Ressource zugreifen darf, eine Zusage, eine
Verweigerung oder eine unbestimmte Antwort zurückgeben. Wenn das IVE
eine unbestimmte Antwort erhält, wird dem Benutzer der Zugriff verweigert.
Es tritt eine Zeitüberschreitung bei der Sitzung auf dem IVE auf, und es ist
keine Koordination mit dem Zugriffsverwaltungssystem möglich. Wenn das
Sitzungscookie des Zugriffsverwaltungssystems eines Benutzers das Zeitlimit
überschreitet, bevor sein IVE-Cookie (DSIDcookie) das Zeitlimit überschreitet,
geht die Einzelanmeldung zwischen den beiden Systemen verloren. Der
Benutzer muss sich bei einer Zeitüberschreitung im Zugriffsverwaltungssystem
erneut anmelden.
Weitere Informationen finden Sie unter:
216
Konfigurieren von SAML
„Konfigurieren von SAML-SSO-Profilen“ auf Seite 217.
„Erstellen einer Zugriffssteuerungsrichtlinie“ auf Seite 225
Kapitel 10: Einzelanmeldung
„Herstellen einer Vertrauensstellung zwischen SAML-fähigen Systemen“ auf
Seite 229
„Konfigurieren von SAML“ auf Seite 214
„Konfigurieren einer SAML-Serverinstanz“ auf Seite 168
„Aufgabenzusammenfassung: Konfiguration von SAML mit dem IVE“ auf
Seite 234
Konfigurieren von SAML-SSO-Profilen
Beim Aktivieren von SSO-Transaktionen für ein vertrauenswürdiges
Zugriffsverwaltungssystem müssen Sie angeben, ob das Zugriffsverwaltungssystem
Benutzerinformationen vom IVE abrufen soll oder ob das IVE
Benutzerinformationen an das Zugriffsverwaltungssystem weiterleiten soll. Sie
geben die von den zwei Systemen zu verwendende Kommunikationsmethode an,
indem Sie bei der Konfiguration ein Profil auswählen. Ein Profil wird von zwei
vertrauenswürdigen Sites zum Übertragen eines SAML-Statements verwendet. Beim
Konfigurieren des IVE können Sie wählen, ob ein Artifact- oder ein POST-Profil
verwendet werden soll.
Erstellen eines Artifact-Profils
Wenn Sie sich für die Kommunikation mit dem Artifact-Profil (wird auch als
Browser-Artifact-Profil bezeichnet) entscheiden, ruft der vertrauenswürdige
Zugriffsverwaltungsserver die Authentifizierungsdaten vom IVE ab. Dies wird in
Abbildung 31 dargestellt:
Abbildung 31: Artifact-Profil
Das IVE und ein Assertion Consumer Service (ACS) gehen beim Weiterleiten von
Informationen folgendermaßen vor:
1. Der Benutzer versucht, auf eine Ressource zuzugreifen – Ein Benutzer ist am
IVE angemeldet und versucht, auf eine geschützte Ressource auf einem
Webserver zuzugreifen.
Konfigurieren von SAML-SSO-Profilen
217
Juniper Networks Secure Access – Administratorhandbuch
2. Das IVE sendet eine HTTP oder HTTPS GET-Anforderung an den ACS – Das
IVE fängt die Anforderung ab und überprüft, ob der erforderliche SSO-Vorgang
bereits ausgeführt wurde, um die Anforderung zu berücksichtigen. Ist dies
nicht der Fall, erstellt das IVE ein Authentifizierungsstatement und leitet eine
HTTP-Abfragevariable (als Artifact bezeichnet) an den Assertion Consumer
Service weiter.
Ein Artifact-Profil ist eine Base-64-codierte Zeichenfolge, die die Quell-ID der
Quellsite (eine 20-Byte-Zeichenfolge, die auf das IVEIVE verweist) und eine zufällig
erstellte Zeichenfolge enthält, die als Handle für das Authentifizierungsstatement
fungiert. (Beachten Sie, dass ein Handle 5 Minuten nach dem Senden des Artifacts
abläuft. Wenn also der Assertion Consumer Service nach 5 Minuten antwortet,
sendet das IVE kein Statement. Beachten Sie außerdem, dass das IVE ein Handle
nach der ersten Verwendung verwirft, um zu vermeiden, dass das Handle ein
zweites Mal verwendet wird.)
3. Der ACS sendet eine SAML-Anforderung an das IVE – Der Assertion
Consumer Service verwendet die im vorherigen Schritt gesendete Quell-ID, um
die IVE-Adresse zu ermitteln. Anschließend sendet der Assertion Consumer
Service eine in einer SOAP-Nachricht enthaltene Statementanforderung an die
folgende Adresse auf dem IVE:
https://<IVEhostname>/dana-ws/saml.ws
Die Anforderung umfasst das im vorherigen Schritt weitergeleitete
Statementhandle.
HINWEIS: Das IVE unterstützt nur Artifacts vom Typ 0x0001. Dieser Artifacttyp
leitet einen Verweis auf die Adresse der Quellsite (also die Quell-ID des IVE) weiter,
anstatt die eigentliche Adresse zu senden. Zum Verarbeiten von Artifacts vom Typ
0x0001 muss der Assertion Consumer Service eine Tabelle verwalten, die QuellIDs zu den Adressen der Partnerquellsites zuordnet.
4. Das IVE sendet ein Authentifizierungsstatement an den ACS – Das IVE
verwendet das Statementhandle in der Anforderung, um das richtige Statement
im IVE-Cache zu finden, und sendet dann das entsprechende
Authentifizierungsstatement an den Assertion Consumer Service zurück. Das
nicht signierte Statement enthält die Identität des Benutzers sowie den von ihm
für die Anmeldung beim IVE verwendeten Mechanismus.
5. Der ACS sendet ein Cookie an das IVE – Der Assertion Consumer Service
akzeptiert das Statement und sendet dann ein Cookie an das IVE zurück, das
die Benutzersitzung aktiviert.
6. Das IVE sendet das Cookie an den Webserver – Das IVE speichert das Cookie
zur Verarbeitung zukünftiger Anforderungen zwischen. Anschließend sendet
das IVE das Cookie in einer HTTP-Anforderung an den Webserver, dessen
Domänenname mit der Domäne im Cookie übereinstimmt. Der Webserver
berücksichtigt die Sitzung, ohne den Benutzer zur Eingabe von
Anmeldeinformationen aufzufordern.
218
Konfigurieren von SAML-SSO-Profilen
Kapitel 10: Einzelanmeldung
HINWEIS: Wenn Sie das IVE zur Verwendung von Artifact-Profilen konfigurieren,
müssen Sie das Webserverzertifikat des IVE für den Assertion Consumer Service
installieren (wie unter „Konfigurieren von Zertifikaten“ auf Seite 231 beschrieben).
So schreiben Sie eine SAML SSO-Artifact-Profil-Ressourcenrichtlinie:
1. Navigieren Sie in der Administratorkonsole zu Users > Resource Policies > Web.
2. Ist die Administratoransicht noch nicht für das Anzeigen von SAML-Richtlinien
konfiguriert, nehmen Sie folgende Änderungen vor:
a.
Klicken Sie rechts oben auf der Seite auf die Schaltfläche Customize.
b.
Aktivieren Sie das Kontrollkästchen SSO.
c.
Aktivieren Sie das Kontrollkästchen SAML unter dem Kontrollkästchen SSO.
d. Klicken Sie auf OK.
3. Wählen Sie die Registerkarte SSO > SAML.
4. Klicken Sie auf New Policy.
5. Geben Sie auf der Seite New Policy Folgendes ein:
a.
Eine Bezeichnung für diese Richtlinie.
b.
Eine Beschreibung der Richtlinie (optional).
6. Geben Sie im Abschnitt Resources die Ressourcen an, für die diese Richtlinie
gelten soll. Weitere Informationen finden Sie unter „Angeben von Ressourcen
für eine Ressourcenrichtlinie“ auf Seite 87. Informationen zum Aktivieren der
IP-basierten Zuordnung und der Zuordnung anhand von Groß- und
Kleinschreibung für diese Ressourcen finden Sie unter „Schreiben einer
Ressourcenrichtlinie für Webproxys“ auf Seite 379.
7. Geben Sie im Bereich Roles Folgendes an:
Policy applies to ALL roles – Hiermit gilt die Richtlinie für alle Benutzer.
Policy applies to SELECTED roles – Hiermit gilt die Richtlinie nur für
Benutzer, die zu Rollen in der Liste Selected roles zugeordnet sind. Dieser
Liste müssen Rollen aus der Liste Available roles hinzugefügt werden.
Konfigurieren von SAML-SSO-Profilen
219
Juniper Networks Secure Access – Administratorhandbuch
Policy applies to all roles OTHER THAN those selected below – Hiermit
gilt die Richtlinie für alle Benutzer außer den Benutzern, die Rollen in der
Liste Selected roles zugeordnet sind. Dieser Liste müssen Rollen aus der
Liste Available roles hinzugefügt werden.
8. Geben Sie im Bereich Action Folgendes an:
Use the SAML SSO defined below – Das IVE führt eine
Einzelanmeldungsanforderung (SSO, Single Sign-On) für die angegebene
URL aus und verwendet dazu die im Bereich SAML SSO details
angegebenen Daten. Das IVE führt die SSO-Anforderung aus, wenn ein
Benutzer versucht, auf eine in der Liste Resources angegebene SAMLRessource zuzugreifen.
Do NOT use SAML – Das IVE führt keine SSO-Anforderung durch.
Use Detailed Rules – Hiermit geben Sie eine oder mehrere detaillierte
Regeln für diese Richtlinie an.
9. Geben Sie im Bereich SAML SSO Details Folgendes an:
SAML Assertion Consumer Service URL – Geben Sie die URL an, die das
IVE zum Kontaktieren des Assertion Consumer Service (d. h. des
Zugriffsverwaltungsservers) verwenden soll. Beispiel: https://hostname/acs
(Beachten Sie, dass das IVE dieses Feld auch verwendet, um den SAMLEmpfänger für seine Assertionen zu bestimmen.)
HINWEIS: Wenn Sie eine URL eingeben, der mit „https“ beginnt, müssen Sie auf
dem IVE die Stammzertifizierungsstelle des Assertion Consumer Service
installieren (wie unter „Konfigurieren von Zertifikaten“ auf Seite 231 beschrieben).
Profile – Wählen Sie Artifact aus, um anzugeben, dass der Assertion
Consumer Service bei SSO-Transaktionen Informationen aus dem IVE
abrufen soll.
Source ID – Geben Sie die Quell-ID für das IVE ein. Geben Sie Folgendes
ein, um die entsprechenden Ergebnisse zu erhalten:
Klartextzeichenfolge – Wird vom IVE in eine 20-Byte-Zeichenfolge
konvertiert, aufgefüllt oder gekürzt.
Base-64-codierte Zeichenfolge – Wird vom IVE decodiert und daraufhin
überprüft, ob es sich um eine 20-Byte-Zeichenfolge handelt.
Wenn Ihr Zugriffsverwaltungssystem Base-64-codierte Quell-IDs erfordert,
können Sie eine 20-Byte-Zeichenfolge erstellen und diese dann mit einem
Tool wie OpenSSL in Base-64-Codierung konvertieren.
HINWEIS: Der IVE-Bezeichner (d. h. die Quell-ID) muss mit der folgenden URL für
den Assertion Consumer Service übereinstimmen (wie unter „Konfiguration
vertrauenswürdiger Anwendungs-URLs“ auf Seite 230 beschrieben):
https://<IVEhostname>/dana-ws/saml.ws
220
Konfigurieren von SAML-SSO-Profilen
Kapitel 10: Einzelanmeldung
Issuer – Geben Sie eine eindeutige Zeichenfolge ein, die vom IVE
verwendet werden kann, um sich beim Erstellen von Assertionen selbst zu
bezeichnen (normalerweise der eigene Hostname).
HINWEIS: Konfigurieren Sie den Assertion Consumer Service zum Erkennen der
eindeutigen Zeichenfolge des IVE (wie unter „Konfigurieren eines Ausstellers“ auf
Seite 230 beschrieben).
10. Geben Sie im Bereich User Identity an, wie das IVE und der Assertion
Consumer Service den Benutzer identifizieren sollen:
Subject Name Type – Geben Sie an, welche Methode das IVE und der
Assertion Consumer Service zum Identifizieren des Benutzers verwenden
sollen:
DN – Senden Sie den Benutzernamen im Format eines DN-Attributs
(Distinguished Name).
Email Address – Senden Sie den Benutzernamen im Format einer EMail-Adresse.
Windows – Senden Sie den Benutzernamen im Format eines
qualifizierten Windows-Domänenbenutzernamens.
Other – Senden Sie den Benutzernamen in einem anderen vom IVE
und dem Assertion Consumer Service vereinbarten Format.
Subject Name – Mit den unter „Systemvariablen und Beispiele“ auf
Seite 920 beschriebenen Variablen können Sie den Benutzernamen
angeben, den das IVE an den Assertion Consumer Service weiterleiten soll.
Geben Sie andernfalls statischen Text ein.
HINWEIS: Sie müssen einen Benutzernamen oder ein Attribut senden, der bzw.
das vom Assertion Consumer Service erkannt wird (wie unter „Konfiguration der
Benutzeridentität“ auf Seite 234 beschrieben).
11. Geben Sie im Bereich Web Service Authentication die
Authentifizierungsmethode an, die das IVE zum Authentifizieren des Assertion
Consumer Service verwenden soll:
None – Der Assertion Consumer Service wird nicht authentifiziert.
Username – Der Assertion Consumer Service wird mit einem Benutzernamen
und einem Kennwort authentifiziert. Geben Sie den Benutzernamen und das
Kennwort ein, die der Assertion Consumer Service an das IVE senden soll.
Konfigurieren von SAML-SSO-Profilen
221
Juniper Networks Secure Access – Administratorhandbuch
Certificate Attribute – Der Assertion Consumer Service wird mit
Zertifikatattributen authentifiziert. Geben Sie die Attribute ein, die der
Assertion Consumer Service an das IVE senden soll (ein Attribut pro Zeile).
Beispiel: cn=sales Verwenden Sie Werte, die mit den im Zertifikat des
Assertion Consumer Service enthaltenen Werte übereinstimmen.
HINWEIS: Wenn Sie diese Option auswählen, müssen Sie die
Stammzertifizierungsstelle des Assertion Consumer Service auf dem IVE
installieren (wie unter „Konfigurieren von Zertifikaten“ auf Seite 231 beschrieben).
12. Cookie Domain – Geben Sie eine durch Kommas getrennte Domänenliste ein,
an die das SSO-Cookie gesendet wird.
13. Klicken Sie auf Save Changes.
14. Ordnen Sie die Richtlinien auf der Seite SAML SSO Policies in der Reihenfolge
an, in der sie vom IVE ausgewertet werden sollen. Hinweis: Wenn das IVE die
Ressource, die von einem Benutzer angefordert wurde, einer Ressource in der
Liste Resource für eine Richtlinie (oder ausführliche Regel) zuordnet, führt es
die angegebene Aktion aus und beendet die Richtlinienverarbeitung.
Erstellen eines POST-Profils
Wenn Sie sich für die Kommunikation mit einem POST-Profil (das auch als
Browser/POST-Profil bezeichnet wird) entscheiden, leitet das IVE die
Authentifizierungsdaten an das Zugriffsverwaltungssystem mithilfe eines HTTP POSTBefehls über eine SSL 3.0-Verbindung weiter. Dies wird in Abbildung 32 dargestellt:
Abbildung 32: POST-Profil
Das IVE und ein Zugriffsverwaltungssystem (Access Management, AM) gehen beim
Weiterleiten von Informationen folgendermaßen vor:
1. Der Benutzer versucht, auf eine Ressource zuzugreifen – Ein Benutzer ist am
IVE angemeldet und versucht, auf eine geschützte Ressource auf einem
Webserver zuzugreifen.
222
Konfigurieren von SAML-SSO-Profilen
Kapitel 10: Einzelanmeldung
2. Das IVE stellt ein Statement bereit – Das IVE fängt die Anforderung ab und
überprüft, ob der erforderliche SSO-Vorgang bereits ausgeführt wurde, um die
Anforderung zu berücksichtigen. Ist dies nicht der Fall, erstellt das IVE ein
Authentifizierungsstatement, versieht es mit einer digitalen Signatur und stellt es
direkt auf dem Zugriffsverwaltungsserver bereit. Da das Statement signiert ist,
muss der Zugriffsverwaltungsserver der zum Ausstellen des Zertifikats
verwendeten Zertifizierungsstelle vertrauen. Beachten Sie, dass Sie konfigurieren
müssen, welches Zertifikat das IVE zum Signieren des Statements verwenden soll.
3. Das AM stellt eine Sitzung her – Wenn der Benutzer über die entsprechenden
Berechtigungen verfügt, sendet der Zugriffsverwaltungsserver ein Cookie an
das IVE zurück, das die Benutzersitzung aktiviert.
4. Das IVE sendet das Cookie an den Webserver – Das IVE speichert das Cookie
zur Verarbeitung zukünftiger Anforderungen zwischen. Anschließend sendet
das IVE das Cookie in einer HTTP-Anforderung an den Webserver, dessen
Domänenname mit der Domäne im Cookie übereinstimmt. Der Webserver
berücksichtigt die Sitzung, ohne den Benutzer zur Eingabe von
Anmeldeinformationen aufzufordern.
HINWEIS: Wenn Sie das IVE zur Verwendung von POST-Profilen konfigurieren,
müssen Sie die Stammzertifizierungsstelle des Assertion Consumer Service auf
dem IVE installieren und bestimmen, welche Methode der Assertion Consumer
Service verwenden soll, um dem Zertifikat zu vertrauen (wie unter „Konfigurieren
von Zertifikaten“ auf Seite 231 beschrieben).
So schreiben Sie eine SAML SSO-POST-Profil-Ressourcenrichtlinie:
1.
Navigieren Sie in der Administratorkonsole zu Users > Resource Policies > Web.
2. Ist die Administratoransicht noch nicht für das Anzeigen von SAML-Richtlinien
konfiguriert, nehmen Sie folgende Änderungen vor:
a.
Klicken Sie rechts oben auf der Seite auf die Schaltfläche Customize.
b.
Aktivieren Sie das Kontrollkästchen SSO.
c.
Aktivieren Sie das Kontrollkästchen SAML unter dem Kontrollkästchen SSO.
d. Klicken Sie auf OK.
3. Wählen Sie die Registerkarte SSO > SAML.
4. Klicken Sie auf New Policy.
5. Geben Sie auf der Seite SAML SSO Policy Folgendes ein:
a.
Eine Bezeichnung für diese Richtlinie.
b.
Eine Beschreibung der Richtlinie (optional).
Konfigurieren von SAML-SSO-Profilen
223
Juniper Networks Secure Access – Administratorhandbuch
6. Geben Sie im Abschnitt Resources die Ressourcen an, für die diese Richtlinie
gelten soll. Weitere Informationen finden Sie unter „Angeben von Ressourcen
für eine Ressourcenrichtlinie“ auf Seite 87. Informationen zum Aktivieren der
IP-basierten Zuordnung und der Zuordnung anhand von Groß- und
Kleinschreibung für diese Ressourcen finden Sie unter „Schreiben einer
Ressourcenrichtlinie für Webproxys“ auf Seite 379.
7. Geben Sie im Bereich Roles Folgendes an:
Policy applies to ALL roles – Hiermit gilt die Richtlinie für alle Benutzer.
Policy applies to SELECTED roles – Hiermit gilt die Richtlinie nur für
Benutzer, die zu Rollen in der Liste Selected roles zugeordnet sind. Dieser
Liste müssen Rollen aus der Liste Available roles hinzugefügt werden.
Policy applies to all roles OTHER THAN those selected below – Hiermit
gilt die Richtlinie für alle Benutzer außer den Benutzern, die Rollen in der
Liste Selected roles zugeordnet sind. Dieser Liste müssen Rollen aus der
Liste Available roles hinzugefügt werden.
8. Geben Sie im Bereich Action Folgendes an:
Das Use the SAML SSO defined below führt eine
Einzelanmeldungsanforderung (SSO, Single Sign-On) für die angegebene
URL aus und verwendet dazu die im Bereich IVESAML SSO detailsSAML
SSO details angegebenen Daten. Das IVE führt die SSO-Anforderung aus,
wenn ein Benutzer versucht, auf eine in der Liste Resources angegebene
SAML-Ressource zuzugreifen.
Do NOT use SAML – Das IVE führt keine SSO-Anforderung durch.
Use Detailed Rules – Hiermit geben Sie eine oder mehrere detaillierte
Regeln für diese Richtlinie an.
9. Geben Sie im Bereich SAML SSO Details Folgendes an:
SAML Assertion Consumer Service URL – Geben Sie die URL an, die das
IVE zum Kontaktieren des Assertion Consumer Service (d. h. des
Zugriffsverwaltungsservers) verwenden soll. Beispiel: https://hostname/acs
Profile – Wählen Sie POST aus, um anzugeben, dass das IVE bei SSOTransaktionen Informationen an den Assertion Consumer Service
übergeben soll.
Issuer – Geben Sie eine eindeutige Zeichenfolge ein, die vom IVE
verwendet werden kann, um sich beim Erstellen von Assertionen selbst zu
bezeichnen (normalerweise der eigene Hostname).
HINWEIS: Konfigurieren Sie den Assertion Consumer Service zum Erkennen der
eindeutigen Zeichenfolge des IVE (wie unter „Konfigurieren eines Ausstellers“ auf
Seite 230 beschrieben).
224
Konfigurieren von SAML-SSO-Profilen
Signing Certificate – Geben Sie an, mit welchem Zertifikat das IVE
Assertions signieren soll.
Kapitel 10: Einzelanmeldung
10. Geben Sie im Bereich User Identity an, wie das IVE und der Assertion
Consumer Service den Benutzer identifizieren sollen:
Subject Name Type – Geben Sie an, welche Methode das IVE und der
Assertion Consumer Service zum Identifizieren des Benutzers verwenden
sollen:
DN – Senden Sie den Benutzernamen im Format eines DN-Attributs
(Distinguished Name).
Email Address – Senden Sie den Benutzernamen im Format einer EMail-Adresse.
Windows – Senden Sie den Benutzernamen im Format eines
qualifizierten Windows-Domänenbenutzernamens.
Other – Senden Sie den Benutzernamen in einem anderen vom IVE
und dem Assertion Consumer Service vereinbarten Format.
Subject Name – Mit den unter „Systemvariablen und Beispiele“ auf
Seite 920 beschriebenen Variablen können Sie den Benutzernamen
angeben, den das IVE an den Assertion Consumer Service weiterleiten soll.
Geben Sie andernfalls statischen Text ein.
HINWEIS: Sie müssen einen Benutzernamen oder ein Attribut senden, der bzw.
das vom Assertion Consumer Service erkannt wird (wie unter „Konfiguration der
Benutzeridentität“ auf Seite 234 beschrieben).
11. Cookie Domain – Geben Sie eine durch Kommas getrennte Domänenliste ein,
an die das SSO-Cookie gesendet wird.
12. Klicken Sie auf Save Changes.
13. Ordnen Sie die Richtlinien auf der Seite SAML SSO Policies in der Reihenfolge
an, in der sie vom IVE ausgewertet werden sollen. Hinweis: Wenn das IVE die
Ressource, die von einem Benutzer angefordert wurde, einer Ressource in der
Liste Resource für eine Richtlinie (oder ausführliche Regel) zuordnet, führt es
die angegebene Aktion aus und beendet die Richtlinienverarbeitung.
Erstellen einer Zugriffssteuerungsrichtlinie
Beim Aktivieren von Zugriffssteuerungstransaktionen für ein vertrauenswürdiges
Zugriffsverwaltungssystem tauschen das IVE und das vertrauenswürdige
Zugriffsverwaltungssystem Informationen mithilfe der in Abbildung 33
dargestellten Methode aus.
Konfigurieren von SAML-SSO-Profilen
225
Juniper Networks Secure Access – Administratorhandbuch
Abbildung 33: Zugriffssteuerungsrichtlinien
Das IVE und ein Zugriffsverwaltungssystem (Access Management, AM) gehen beim
Weiterleiten von Informationen folgendermaßen vor:
1. Der Benutzer versucht, auf eine Ressource zuzugreifen – Ein Benutzer ist am
IVE angemeldet und versucht, auf eine geschützte Ressource auf einem
Webserver zuzugreifen.
2. Das IVE stellt eine Autorisierungsentscheidungsabfrage (Authorization
Decision Query) bereit – Wenn das IVE bereits eine Autorisierungsanforderung
ausgeführt hat und diese noch gültig ist, verwendet das IVE diese Anforderung.
(Die Gültigkeit der Autorisierungsanforderung ist in der -Administratorkonsole
festgelegt.) Wenn keine gültige Autorisierungsanforderung vorhanden ist, sendet
das IVE eine Autorisierungsentscheidungsabfrage an das
Zugriffsverwaltungssystem. Die Abfrage enthält die Identität des Benutzers sowie
die Ressource, die das Zugriffsverwaltungssystem für die Autorisierung benötigt.
3. Das AM sendet ein Authorization Decision Statement – Das
Zugriffsverwaltungssystem sendet einen HTTPS POST-Befehl mit einer SOAPNachricht, die das Authorization Decision Statement enthält. Das Authorization
Decision Statement enthält eine Zusage, eine Verweigerung oder ein
unbestimmtes Ergebnis.
4. Das IVE sendet die Anforderung an den Webbrowser – Wenn das
Authorization Decision Statement eine Zusage zurückgibt, gewährt das IVE dem
Benutzer den Zugriff. Andernfalls zeigt das IVE eine Fehlerseite an, auf der dem
Benutzer mitgeteilt wird, dass er nicht über die entsprechenden
Zugriffsberechtigungen verfügt.
HINWEIS: Wenn Sie das IVE zur Verwendung von Zugriffssteuerungstransaktionen
konfigurieren, müssen Sie die Stammzertifizierungsstelle des SAML-Webdienstes
auf dem IVE installieren (wie unter „Konfigurieren von Zertifikaten“ auf Seite 231
beschrieben).
So schreiben Sie eine Ressourcenrichtlinie für die SAML-Zugriffssteuerung:
1. Navigieren Sie in der Administratorkonsole zu Users > Resource Policies > Web.
226
Konfigurieren von SAML-SSO-Profilen
Kapitel 10: Einzelanmeldung
2. Ist die Administratoransicht noch nicht für das Anzeigen von SAML-Richtlinien
konfiguriert, nehmen Sie folgende Änderungen vor:
a.
Klicken Sie rechts oben auf der Seite auf die Schaltfläche Customize.
b.
Aktivieren Sie das Kontrollkästchen SAML ACL unter dem Kontrollkästchen
Access.
c.
Klicken Sie auf OK.
3. Wählen Sie die Registerkarte Access > SAML ACL.
4. Klicken Sie auf der Seite SAML Access Control Policies auf New Policy.
5. Geben Sie auf der Seite New Policy Folgendes ein:
a.
Eine Bezeichnung für diese Richtlinie.
b.
Eine Beschreibung der Richtlinie (optional).
6. Geben Sie im Abschnitt Resources die Ressourcen an, für die diese Richtlinie
gelten soll. Weitere Informationen finden Sie unter „Angeben von Ressourcen
für eine Ressourcenrichtlinie“ auf Seite 87. Informationen zum Aktivieren der
IP-basierten Zuordnung und der Zuordnung anhand von Groß- und
Kleinschreibung für diese Ressourcen finden Sie unter „Schreiben einer
Ressourcenrichtlinie für Webproxys“ auf Seite 379.
7. Geben Sie im Bereich Roles Folgendes an:
Policy applies to ALL roles – Hiermit gilt die Richtlinie für alle Benutzer.
Policy applies to SELECTED roles – Hiermit gilt die Richtlinie nur für
Benutzer, die zu Rollen in der Liste Selected roles zugeordnet sind. Dieser
Liste müssen Rollen aus der Liste Available roles hinzugefügt werden.
Policy applies to all roles OTHER THAN those selected below – Hiermit
gilt die Richtlinie für alle Benutzer außer den Benutzern, die Rollen in der
Liste Selected roles zugeordnet sind. Dieser Liste müssen Rollen aus der
Liste Available roles hinzugefügt werden.
8. Geben Sie im Bereich Action Folgendes an:
Use the SAML Access Control checks defined below – Das IVE führt eine
Zugriffssteuerungsprüfung für die angegebene URL durch und verwendet
dazu die im Bereich SAML Access Control Details angegebenen Daten.
Do not use SAML Access – Das IVE führt keine Zugriffssteuerungsprüfung
durch.
Use Detailed Rules – Hiermit geben Sie eine oder mehrere detaillierte
Regeln für diese Richtlinie an.
Konfigurieren von SAML-SSO-Profilen
227
Juniper Networks Secure Access – Administratorhandbuch
9. Geben Sie im Bereich SAML Access Control Details Folgendes an:
SAML Web Service URL – Geben Sie die URL des SAML-Servers des
Zugriffsverwaltungssystems ein. Beispiel: https://hostname/ws
Issuer – Geben Sie den Hostnamen des Ausstellers ein. In den meisten
Fällen ist dies der Hostname des Zugriffsverwaltungssystems.
HINWEIS: Geben Sie eine eindeutige Zeichenfolge ein, anhand derer sich der
SAML-Webdienst in Autorisierungsassertionen selbst bezeichnet (wie unter
„Konfigurieren eines Ausstellers“ auf Seite 230 beschrieben).
10. Geben Sie im Bereich User Identity an, wie das IVE und der SAML-Webdienst
den Benutzer identifizieren sollen:
Subject Name Type – Geben Sie an, welche Methode das IVE und der
SAML-Webdienst zum Identifizieren des Benutzers verwenden sollen:
DN – Senden Sie den Benutzernamen im Format eines DN-Attributs
(Distinguished Name).
Email Address – Senden Sie den Benutzernamen im Format einer EMail-Adresse.
Windows – Senden Sie den Benutzernamen im Format eines
qualifizierten Windows-Domänenbenutzernamens.
Other – Senden Sie den Benutzernamen in einem anderen vom IVE
und dem SAML-Webdienst vereinbarten Format.
Subject Name – Mit den unter „Systemvariablen und Beispiele“ auf
Seite 920 beschriebenen Variablen können Sie den Benutzernamen
angeben, den das IVE an den SAML-Webdienst weiterleiten soll. Geben Sie
andernfalls statischen Text ein.
HINWEIS: Sie müssen einen Benutzernamen oder ein Attribut senden, der bzw.
das vom SAML-Webdienst erkannt wird (wie unter „Konfiguration der
Benutzeridentität“ auf Seite 234 beschrieben).
11. Geben Sie im Bereich Web Service Authentication die
Authentifizierungsmethode an, die der SAML-Webdienst zum Authentifizieren
des IVE verwenden soll:
228
None – Das IVE wird nicht authentifiziert.
Username – Das IVE wird mit einem Benutzernamen und einem Kennwort
authentifiziert. Geben Sie den Benutzernamen und das Kennwort ein, die
das IVE an den Webdienst senden muss.
Konfigurieren von SAML-SSO-Profilen
Kapitel 10: Einzelanmeldung
Certificate Attribute – Das IVE wird mit einem von einer
vertrauenswürdigen Zertifizierungsstelle signierten Zertifikat
authentifiziert. Wenn auf dem IVE mehrere Zertifikate installiert sind,
wählen Sie in der Dropdownliste aus, welches Zertifikat an den Webdienst
gesendet werden soll.
HINWEIS: Wenn Sie diese Option auswählen, müssen Sie das Zertifikat des IVE-
Webservers auf dem Webserver des Zugriffsverwaltungssystems installieren und
festlegen, welche Methode der SAML-Webdienst verwenden soll, um zu
bestimmen, ob das Zertifikat vertrauenswürdig ist (wie unter „Konfigurieren von
Zertifikaten“ auf Seite 231 beschrieben).
12. Geben Sie im Bereich Options Folgendes an:
Maximum Cache Time – Sie können den Aufwand zum Erstellen einer
Autorisierungsentscheidung vermeiden, der immer dann entsteht, wenn
der Benutzer die gleiche URL anfordert, indem Sie angeben, dass das IVE
die Autorisierungsantworten des Zugriffsverwaltungssystems
zwischenspeichern muss. Geben Sie die Dauer (in Sekunden) ein, für die
das IVE die Antworten zwischenspeichern soll.
Ignore Query Data – Wenn ein Benutzer eine Ressource anfordert, sendet
das IVE standardmäßig die gesamte URL (einschließlich der
Abfrageparameter) für diese Ressource an den SAML-Webdienst und
speichert die URL zwischen. Sie können angeben, dass das IVE vor dem
Anfordern der Autorisierung oder dem Zwischenspeichern der
Autorisierungsantwort die Abfragezeichenfolge aus der URL entfernen soll.
13. Klicken Sie auf Save Changes.
14. Ordnen Sie die Richtlinien auf der Seite SAML Access Control Policies in der
Reihenfolge an, in der sie vom IVE ausgewertet werden sollen. Hinweis: Wenn das
IVE die Ressource, die von einem Benutzer angefordert wurde, einer Ressource in
der Liste Resource für eine Richtlinie (oder ausführliche Regel) zuordnet, führt es
die angegebene Aktion aus und beendet die Richtlinienverarbeitung.
Herstellen einer Vertrauensstellung zwischen SAML-fähigen Systemen
Damit Sie sicherstellen können, dass SAML-fähige Systeme Informationen nur
zwischen vertrauenswürdigen Quellen weiterleiten, müssen Sie eine
Vertrauensstellung zwischen den Anwendungen herstellen, die Informationen
senden und empfangen. Zum Herstellen einer Vertrauensstellung zwischen dem
IVE und einer anderen SAML-fähigen Anwendung müssen Sie auf jedem System die
folgenden Datentypen konfigurieren:
„Konfiguration vertrauenswürdiger Anwendungs-URLs“ auf Seite 230
„Konfigurieren eines Ausstellers“ auf Seite 230
„Konfigurieren von Zertifikaten“ auf Seite 231
„Konfiguration der Benutzeridentität“ auf Seite 234
Konfigurieren von SAML-SSO-Profilen
229
Juniper Networks Secure Access – Administratorhandbuch
Konfiguration vertrauenswürdiger Anwendungs-URLs
Sie müssen bei einer Vertrauensstellung die URLs für die SAML-fähigen Systeme
bereitstellen, die für die Kommunikation zwischen den Systemen erforderlich sind.
Bei einigen Transaktionen muss nur das die Transaktion initiierende System (das IVE)
die URL des anderen Systems kennen. (Das IVE verwendet die URL zum Initiieren der
Transaktion.) Bei anderen Transaktionen (SSO-Transaktionen mit Artifact-Profilen)
müssen Sie jedes System mit der URL des anderen Systems konfigurieren.
Im Folgenden werden die verschiedenen Transaktionstypen und die jeweils zu
konfigurierenden URLs aufgelistet:
SSO-Transaktionen: Artifact-Profil – Sie müssen im IVE die URL des Assertion
Consumer Service eingeben. Beispiel: https://hostname/acs
Außerdem müssen Sie die folgende URL für das IVE auf dem Assertion
Consumer Service eingeben: https://<IVEhostname>/dana-ws/saml.ws
SSO-Transaktionen: POST-Profil – Sie müssen im IVE die URL des Assertion
Consumer Service eingeben. Beispiel: https://hostname/acs
Zugriffssteuerungstransaktionen – Sie müssen im IVE die URL des SAMLWebdienstes eingeben. Beispiel: https://hostname/ws
Konfigurieren eines Ausstellers
Bevor ein Statement eines anderen Systems akzeptiert wird, muss eine SAML-fähige
Einheit dem Aussteller des Statements vertrauen. Sie können steuern, welchen
Ausstellern ein System vertraut, indem Sie bei der Systemkonfiguration die
eindeutigen Zeichenfolgen der vertrauenswürdigen Aussteller angeben. (Beim
Senden eines Statements identifiziert sich ein Aussteller durch Angeben seiner
eindeutigen Zeichenfolge im Statement. SAML-fähige Anwendungen verwenden im
Allgemeinen Hostnamen, um Aussteller zu identifizieren, der SAML-Standard lässt
jedoch beliebige Zeichenfolgen für Anwendungen zu.) Wenn Sie ein System nicht
für die Erkennung der eindeutigen Zeichenfolge eines Ausstellers konfigurieren,
lässt das System keine Statements dieses Ausstellers zu.
Im Folgenden werden die verschiedenen Transaktionstypen und die zu
konfigurierenden Aussteller aufgelistet:
230
SSO-Transaktionen – Sie müssen eine eindeutige Zeichenfolge auf dem IVE
angeben (in der Regel den jeweiligen Hostnamen), die das IVE verwenden kann,
um sich zu identifizieren. Anschließend müssen Sie das
Zugriffsverwaltungssystem für die Erkennung dieser Zeichenfolge konfigurieren.
Zugriffssteuerungstransaktionen – Sie müssen eine eindeutige Zeichenfolge
auf dem Zugriffsverwaltungssystem angeben (in der Regel den jeweiligen
Hostnamen), die es verwenden kann, um sich zu identifizieren. Anschließend
müssen Sie das IVE für die Erkennung dieser Zeichenfolge konfigurieren.
Konfigurieren von SAML-SSO-Profilen
Kapitel 10: Einzelanmeldung
Konfigurieren von Zertifikaten
Im Rahmen von SSL-Transaktionen muss der Server dem Client ein Zertifikat
vorlegen, und anschließend muss der Client vor dem Akzeptieren der
Informationen (zumindest) prüfen, ob er der Zertifizierungsstelle vertraut, die das
Zertifikat des Servers ausgestellt hat. Sie können alle SAML-Transaktionen des IVE
für die Verwendung von SSL (HTTPS) konfigurieren. In den folgenden Abschnitten
werden die verschiedenen Transaktionstypen und die jeweiligen
Zertifikatanforderungen aufgelistet.
Konfigurieren von SSO-Transaktionen: Artifact-Profil
Artifact-Profiltransaktionen beinhalten zahlreiche Kommunikationsvorgänge zwischen
dem IVE und dem Zugriffsverwaltungssystem. Die von Ihnen zum Weiterleiten von
Daten und zum Authentifizieren der beiden Systeme verwendeten Methoden haben
Einfluss auf die zu installierenden und zu konfigurierenden Zertifikate. Im Folgenden
werden die verschiedenen Konfigurationsoptionen für Artifact-Profile aufgelistet, für die
besondere Zertifikatkonfigurationen erforderlich sind:
Alle Artifact-Profiltransaktionen – Unabhängig von der jeweiligen
Konfiguration des Artifact-Profils müssen Sie das Zertifikat der
Zertifizierungsstelle installieren, die das Zertifikat des IVE-Webservers auf dem
Zugriffsverwaltungssystem signiert hat. (Für das IVE ist es erforderlich, dass das
Zugriffsverwaltungssystem beim Anfordern eines Authentifizierungsstatements
eine SSL-Verbindung verwendet. Bei einer SSL-Verbindung muss der Initiator
dem System vertrauen, mit dem er eine Verbindung herstellt. Durch Installieren
des Zertifizierungsstellenzertifikats auf dem Zugriffsverwaltungssystem stellen
Sie sicher, dass das Zugriffsverwaltungssystem der Zertifizierungsstelle vertraut,
die das IVE-Zertifikat ausgestellt hat.)
Senden von Artifacts über eine SSL-Verbindung (HTTPS GET-Anforderungen)
– Wenn Sie Artifacts über eine SSL-Verbindung an das Zugriffsverwaltungssystem
senden möchten, müssen Sie das Stammzertifizierungsstellen-Zertifikat des
Zugriffsverwaltungssystems auf dem IVE installieren. (Bei einer SSL-Verbindung muss
der Initiator dem System vertrauen, mit dem er eine Verbindung herstellt. Durch
Installieren des Zertifizierungsstellenzertifikats des Zugriffsverwaltungssystems auf
dem IVE stellen Sie sicher, dass das IVE der Zertifizierungsstelle vertraut, die das
Zertifikat des Zugriffsverwaltungssystems ausgestellt hat.) Die
Stammzertifizierungsstelle kann über die Seite System > Configuration >
Certificates > Trusted Client CAs in der Administratorkonsole installiert werden.
Weitere Informationen finden Sie unter „Verwenden von vertrauten
Clientzertifizierungsstellen“ auf Seite 654. Wenn Sie keine Artifacts über eine SSLVerbindung senden möchten, müssen Sie keine zusätzlichen Zertifikate installieren.
Wenn Sie SSL-basierte Kommunikationsverbindungen zwischen dem IVE und
dem Zugriffsverwaltungssystem ermöglichen möchten, müssen Sie während
der IVE-Konfiguration im Feld SAML Assertion Consumer Service URL eine
URL eingeben, die mit HTTPS beginnt. Möglicherweise müssen Sie SSL auch auf
dem Zugriffsverwaltungssystem aktivieren.
Transaktionen mit Zertifikatauthentifizierung – Zum Authentifizieren des
Zugriffsverwaltungssystems mithilfe eines Zertifikats müssen Sie
folgendermaßen vorgehen:
Konfigurieren von SAML-SSO-Profilen
231
Juniper Networks Secure Access – Administratorhandbuch
Installieren Sie das Stammzertifizierungsstellen-Zertifikat des
Zugriffsverwaltungssystems auf dem IVE. Die Stammzertifizierungsstelle
kann über die Seite System > Configuration > Certificates > Trusted
Client CAs in der Administratorkonsole installiert werden. Weitere
Informationen finden Sie unter „Verwenden von vertrauten
Clientzertifizierungsstellen“ auf Seite 654.
Geben Sie an, welche Zertifikatwerte das IVE zum Überprüfen des
Zugriffsverwaltungssystems verwenden soll. Sie müssen Werte verwenden,
die mit den im Zertifikat des Zugriffsverwaltungsservers enthaltenen
Werten übereinstimmen.
Wenn Sie das Zugriffsverwaltungssystem nicht authentifizieren bzw. die
Authentifizierung über Benutzername und Kennwort verwenden möchten,
müssen Sie keine zusätzlichen Zertifikate installieren.
Konfigurieren von SSO-Transaktionen POST-Profil
Im Rahmen einer POST-Profiltransaktion sendet das IVE signierte
Authentifizierungsstatements an das Zugriffsverwaltungssystem. Im Allgemeinen
werden diese über eine SSL-Verbindung gesendet (empfohlene Vorgehensweise),
aber bei einigen Konfigurationen kann das IVE Statements auch über eine HTTPStandardverbindung senden. Im Folgenden werden die verschiedenen
Konfigurationsoptionen für POST-Profile aufgelistet, für die besondere
Zertifikatkonfigurationen erforderlich sind:
232
Alle POST-Profiltransaktionen – Unabhängig von der jeweiligen Konfiguration
des POST-Profils müssen Sie angeben, welches Zertifikat das IVE zum Signieren der
zugehörigen Statements verwenden soll. Ein Zertifikat kann auf der Seite Users >
Resource Policies > Web > SSO > SAML > [Richtlinie] > General in der
Administratorkonsole ausgewählt werden. Weitere Informationen finden Sie unter
„Konfigurieren von SAML“ auf Seite 214. Anschließend müssen Sie das
Gerätezertifikat des IVE auf dem Zugriffsverwaltungssystem installieren. Das IVEZertifikat kann über die Seite System > Configuration > Certificates > Device
Certificates > [Zertifikat] > Certificate Details heruntergeladen werden.
Senden von POST-Daten über eine SSL-Verbindung (HTTPS) – Wenn Sie
Statements über eine SSL-Verbindung an das Zugriffsverwaltungssystem
senden möchten, müssen Sie das Stammzertifizierungsstellen-Zertifikat des
Zugriffsverwaltungssystems auf dem IVE installieren. (Bei einer SSL-Verbindung
muss der Initiator dem System vertrauen, mit dem er eine Verbindung herstellt.
Durch Installieren des Zertifikats des Zugriffsverwaltungssystems auf dem IVE
stellen Sie sicher, dass das IVE der Zertifizierungsstelle vertraut, die das
Zertifikat des Zugriffsverwaltungssystems ausgestellt hat.) Die
Konfigurieren von SAML-SSO-Profilen
Kapitel 10: Einzelanmeldung
Stammzertifizierungsstelle kann über die Seite System > Configuration >
Certificates > Trusted Client CAs in der Administratorkonsole installiert
werden. Weitere Informationen finden Sie unter „Verwenden von vertrauten
Clientzertifizierungsstellen“ auf Seite 654. Wenn Sie keine Statements über
eine SSL-Verbindung bereitstellen möchten, müssen Sie keine zusätzlichen
Zertifikate installieren.
Wenn Sie SSL-basierte Kommunikationsverbindungen zwischen dem IVE und
dem Zugriffsverwaltungssystem ermöglichen möchten, müssen Sie während
der IVE-Konfiguration im Feld SAML Assertion Consumer Service URL eine
URL eingeben, die mit HTTPS beginnt. Möglicherweise müssen Sie SSL auch auf
dem Zugriffsverwaltungssystem aktivieren.
Konfiguration von Zugriffssteuerungstransaktionen
Bei einer Zugriffssteuerungstransaktion sendet das IVE eine
Autorisierungsentscheidungsabfrage an das Zugriffsverwaltungssystem. Sie müssen
die für die Konfiguration erforderlichen Zertifikatoptionen ermitteln, um
sicherzustellen, dass das Zugriffsverwaltungssystem auf die Abfrage reagiert. Im
Folgenden werden die verschiedenen Konfigurationsoptionen für
Zugriffssteuerungen aufgelistet, für die besondere Zertifikatkonfigurationen
erforderlich sind:
Senden von Autorisierungsdaten über eine SSL-Verbindung – Wenn Sie
mittels SSL eine Verbindung mit dem Zugriffsverwaltungssystem herstellen möchten,
müssen Sie die Stammzertifizierungsstelle des Zugriffsverwaltungssystems auf dem
IVE installieren. (Bei einer SSL-Verbindung muss der Initiator dem System vertrauen,
mit dem er eine Verbindung herstellt. Durch Installieren des Zertifikats des
Zugriffsverwaltungssystems auf dem IVE stellen Sie sicher, dass das IVE der
Zertifizierungsstelle vertraut, die das Zertifikat des Zugriffsverwaltungssystems
ausgestellt hat.) Die Stammzertifizierungsstelle kann über die Seite System >
Configuration > Certificates > Trusted Client CAs in der Administratorkonsole
installiert werden. Weitere Informationen finden Sie unter „Verwenden von
vertrauten Clientzertifizierungsstellen“ auf Seite 654.
Transaktionen mit Zertifikatauthentifizierung – Wenn Sie die
Zertifikatauthentifizierung verwenden möchten, müssen Sie das
Zugriffsverwaltungssystem so konfigurieren, dass es der Zertifizierungsstelle
vertraut, die das IVE-Zertifikat ausgestellt hat. Optional können Sie auch
festlegen, dass das Zertifikat auf Grundlage der folgenden zusätzlichen
Optionen akzeptiert wird:
Laden Sie den öffentlichen Schlüssel des IVE-Zertifikats auf das
Zugriffsverwaltungssystem hoch.
Überprüfen Sie das IVE mithilfe bestimmter Zertifikatattribute.
Diese Optionen erfordern die Angabe, welches Zertifikat das IVE an das
Zugriffsverwaltungssystem weiterleiten soll. Ein Zertifikat kann auf der Seite
Users > Resource Policies > Web > Access > SAML ACL > [Richtlinie] >
General in der Administratorkonsole ausgewählt werden. Weitere Informationen
finden Sie unter „Konfigurieren von SAML-SSO-Profilen“ auf Seite 217.
Konfigurieren von SAML-SSO-Profilen
233
Juniper Networks Secure Access – Administratorhandbuch
Informationen zum Konfigurieren des Zugriffsverwaltungssystems für die
Überprüfung des IVE-Zertifikats finden Sie in der Dokumentation des
Zugriffsverwaltungssystems. Wenn das Zugriffsverwaltungssystem keine
Zertifikatauthentifizierung erfordert oder die Authentifizierung über Benutzername
und Kennwort verwendet, müssen Sie das IVE nicht für die Weiterleitung eines
Zertifikats an den Zugriffsverwaltungsserver konfigurieren. Wenn Sie keine
Methode für Vertrauensstellungen festlegen, kann das Zugriffsverwaltungssystem
Autorisierungsanforderungen von jedem System akzeptieren.
Konfiguration der Benutzeridentität
Im Rahmen einer Vertrauensstellung müssen die zwei Einheiten eine Methode der
Identifizierung von Benutzern festlegen. Sie können einen Benutzernamen oder ein
LDAP- oder ein Zertifikatbenutzerattribut für die gemeinsame Verwendung in den
Systemen auswählen oder eine feste Benutzer-ID angeben. (Sie können
beispielsweise das Feld Subject Name auf „Guest“ festlegen, um einen
problemlosen Zugriff auf die Systeme zu ermöglichen.)
Geben Sie an, welche Informationen das IVE mit den Optionen im Abschnitt User
Identity auf der Seite Users > Resource Policies > Web > SSO > SAML >
[Richtlinie] > General (weitere Informationen finden Sie unter „Konfigurieren von
SAML“ auf Seite 214) und auf der Seite Users > Resource Policies > Web >
Access > SAML ACL > [Richtlinie] > General der Administratorkonsole
weiterleiten soll, um sicherzustellen, dass die zwei Systeme gemeinsame
Informationen zu den Besuchern weiterleiten. Wählen Sie einen Benutzernamen
oder ein Attribut aus, den bzw. das das Zugriffsverwaltungssystem erkennt.
Aufgabenzusammenfassung: Konfiguration von SAML mit dem IVE
So konfigurieren Sie SAML mit dem IVE:
1. Konfigurieren Sie über die Registerkarten Users > Resource Policies > Web >
Access > SAML ACL und Users > Resource Policies > Web > SSO > SAML
in der Administratorkonsole eine Webressourcenrichtlinie für eine URL. Weitere
Anweisungen finden Sie unter „Konfigurieren von SAML“ auf Seite 214.
2. Sie müssen in der Richtlinie Informationen zum IVE, zum vertrauenswürdigen
Zugriffsverwaltungssystem sowie zu dem für die gemeinsame Nutzung von
Informationen zu verwendenden Mechanismus bereitstellen (s. „Herstellen
einer Vertrauensstellung zwischen SAML-fähigen Systemen“ auf Seite 229).
3. Gewähren Sie den IVE-Benutzern innerhalb einer Rolle mit der Registerkarte
Users > User Roles >Rolle auswählen> General der Administratorkonsole
den Zugriff auf die Webressourcenrichtlinie. Anweisungen hierfür finden Sie
unter „Konfigurieren allgemeiner Rollenoptionen“ auf Seite 57.
234
Konfigurieren von SAML-SSO-Profilen
Teil 3
Endpoint Defense
Juniper Networks hat die Juniper Endpoint Defense Initiative (J.E.D.I.) als
umfangreiche Lösung für die Einschätzung der Vertrauenswürdigkeit von SSL VPNEndpunkten entwickelt. Bei der J.E.D.I. kommt eine mehrschichtige
Herangehensweise zur Anwendung, die die endpunktbezogenen Risiken für
Unternehmensnetzwerke minimieren soll. Durch die Verwendung von J.E.D.I.Komponenten können Sie die Systeme von Benutzern außerhalb und innerhalb
Ihres Netzwerkes sichern, bevor Sie diesen erlauben, eine Verbindung zu Ihrer IVEAppliance herzustellen.
Zu den J.E.D.I.-Komponenten gehören:
Host Checker – Bei Host Checker (auch systemeigene Hostprüfung und
richtlinienbasierte Durchführung genannt) handelt es sich um eine
systemeigene IVE-Komponente, mit der Sie Endpunktüberprüfungen auf Hosts
durchführen können, die mit dem IVE eine Verbindung herstellen. Host
Checker prüft, ob Anwendungen, Dateien, Prozesse, Ports,
Registrierungsschlüssel anderer Anbieter sowie benutzerdefinierte DLLs
vorhanden sind, und verwehrt bzw. gestattet den Zugriff basierend auf den
Ergebnissen der Überprüfungen. Bei korrekter Lizenzierung können Sie über
den Host Checker auch verbesserte Software zur Malwareerkennung direkt auf
den Benutzercomputer herunterladen. Wenn der Computer eines Benutzers die
von Ihnen angegebenen Anforderungen nicht erfüllt, können Sie
Hilfsanweisungen anzeigen, mit deren Hilfe der Benutzer den Computer mit
den Sicherheitsanforderungen in Einklang bringen kann. Weitere
Informationen finden Sie unter „Host Checker“ auf Seite 237.
Host Check Client Interface (nur Windows) – Bei der Clientschnittstelle für
die Hostprüfung handelt es sich um eine API, über die Sie mithilfe von Host
Checker Ihre eigenen DLLs ausführen können. Über die Schnittstelle können
Sie veranlassen, dass Host Checker eine DLL ausführt, die bereits auf dem
System des Benutzers installiert oder als Teil eines proprietären
Betriebssystemimage verteilt wurde. Das schließt Programme mit ein, die die
Kompatibilität mit proprietären Images, Antivirensoftware und Clients mit
persönlicher Firewall prüfen. Host Checker führt die jeweilige DLL bei der
Anmeldung des Benutzers beim IVE aus. Alle nachfolgenden Aktionen richten
sich nach der Rückmeldung von der DLL. So können Sie beispielsweise einem
Benutzer den Zugriff auf das IVE verweigern, wenn bei der Überprüfung der
Clientsoftware ein Fehler auftritt. Weitere Informationen finden Sie im
Handbuch J.E.D.I. Solution Guide, verfügbar im Juniper Networks Customer
Support Center.
235
Juniper Networks Secure Access – Administratorhandbuch
Host Check Server Integration Interface (nur Windows) – Bei der
Serverintegrationsschnittstelle für die Hostprüfung handelt es sich um eine API,
mit der Sie ein J.E.D.I.-kompatibles System eng in das IVE integrieren können.
Wie mit der Clientschnittstelle können Sie auch mithilfe der
Serverintegrationsschnittstelle für die Hostprüfung festlegen, dass im Zuge der
Hostprüfung Softwareprogramme eines Drittanbieters auf dem Client
ausgeführt werden. Hierzu gehören Hostintegritätsprüfungen, Programme zur
Malwareerkennung und virtuelle Umgebungen. Darüber hinaus können Sie
über diese Schnittstelle für unterschiedliche Ergebnisse der diversen
Richtlinienüberprüfungen von Drittanbieteranwendungen sehr detailliert
festlegen, welche Schritte von Host Checker im Einzelnen ausgeführt werden
sollen. So können Sie Benutzer basierend auf den Ergebnissen einzelner
Richtlinien dynamisch bestimmten Bereichen, Rollen und Ressourcen
zuordnen. Weitere Informationen finden Sie im Handbuch J.E.D.I. Solution
Guide, verfügbar im Juniper Networks Customer Support Center.
Cache Cleaner (nur Windows) – Bei Cache Cleaner handelt es sich um eine
systemeigene IVE-Komponente, mit der übrig gebliebene Daten wie z.B. Cookies,
temporäre Dateien oder Inhalte des Anwendungscache nach einer IVE-Sitzung
vom Benutzercomputer entfernt werden können. Cache Cleaner trägt zur
Sicherung des Benutzersystems bei, indem die Anwendung verhindert, dass
nachfolgende Benutzer temporäre Kopien von Dateien suchen können, die sich
der vorhergehende Benutzer angesehen hat, und indem Webbrowser daran
gehindert werden, die von Benutzern in Webformularen eingegebenen
Benutzernamen, Kennwörter und Webadressen dauerhaft zu speichern. Weitere
Informationen finden Sie unter „Cache Cleaner“ auf Seite 287.
Die Verwendung dieser Endpoint Defense-Komponenten ermöglicht einen
mehrstufigen Sicherungsansatz, mit dem Sie eine Vielzahl von Endpunktprüfungen
im IVE verwalten und bereitstellen können. So können Sie z.B. eine Prüfung auf
Antivirensoftware durchführen, bevor Sie einem Benutzer Zugriff auf einen der IVEBereiche gewähren. Darüber hinaus können Sie ggf. die Software auf dem System
des Benutzers starten, dem Benutzer auf der Grundlage einzelner Richtlinien in
Ihrer DLL Rollen zuordnen und den Zugriff auf einzelne Ressourcen je nach
Vorhandensein einer Spyware-Erkennungssoftware weiter einschränken.
Anschließend können Sie mit Cache Cleaner übrig gebliebene Dateien entfernen
und den Anwendungscache des Benutzers leeren, wenn dieser die IVE-Sitzung
beendet hat.
Dieser Abschnitt enthält die folgenden Informationen über Endpoint Defense:
236
„Host Checker“ auf Seite 237
„Cache Cleaner“ auf Seite 287
Kapitel 11
Host Checker
Host Checker ist ein clientseitiger Agent, der Endpunktsicherheitsprüfungen auf Hosts
durchführt, die mit dem IVE eine Verbindung herstellen. So kann Host Checker bei
der Auswertung einer Rollenzuordnungsregel oder Ressourcenrichtlinie aufgerufen
werden, bevor dem jeweiligen Benutzer eine IVE-Anmeldeseite angezeigt wird.
Das IVE kann die Endpunkteigenschaften auf Hosts mithilfe verschiedener Regeltypen
überprüfen, darunter Regeln, die verbesserten Malwareschutz suchen und installieren;
vordefinierte Regeln, die nach Antivirensoftware, Firewalls, Malware, Spyware und
bestimmten Betriebssystemen von unterschiedlichen Branchenführern suchen; sowie
benutzerdefinierte Regeln, die nach bestimmten DLLs, Ports, Prozessen, Dateien und
Registrierungsschlüsseleinstellungen von Drittanbietern suchen.
Wenn der Computer des Benutzers keine der Anforderungen der Host CheckerRichtlinie erfüllt, kann dem Benutzer eine angepasste HTML-Hilfsoptionsseite
angezeigt werden. Diese Seite kann Ihre Anweisungen sowie Links zu Ressourcen
enthalten, mit deren Hilfe der Benutzer den Computer mit jeder Host CheckerRichtlinie in Einklang bringen kann.
Dieser Abschnitt enthält die folgenden Informationen über Host Checker:
„Lizenzierung: Verfügbarkeit von Host Checker“ auf Seite 238
„Aufgabenzusammenfassung: Konfigurieren von Host Checker“ auf Seite 238
„Erstellen globaler Richtlinien für Host Checker“ auf Seite 240
„Aktivieren von Secure Virtual Workspace (sicherer virtueller Arbeitsbereich)“
auf Seite 260
„Implementieren von Host Checker-Richtlinien“ auf Seite 267
„Korrigieren von Host Checker-Richtlinien“ auf Seite 272
„Definieren von Host Checker-Zugriffstunnel für die Vorauthentifizierungen“ auf
Seite 276
„Festlegen von allgemeinen Host Checker-Optionen“ auf Seite 280
„Angeben von Installationsoptionen für Host Checker“ auf Seite 282
„Verwenden der Host Checker-Protokolle“ auf Seite 284
237
Juniper Networks Secure Access – Administratorhandbuch
Lizenzierung: Verfügbarkeit von Host Checker
Host Checker ist eine Standardfunktion bei allen Secure Access-Appliances. Für die
grundlegenden Host Checker-Funktionen benötigen Sie keine spezielle Lizenz.
Beachten Sie jedoch, dass die Host Checker-Funktionen für benutzerdefinierte
Ausdrücke, detaillierte Regeln, Hilfsoptionen sowie andere Funktionen auf dem SA
700 nicht zur Verfügung stehen. Bei allen anderen Secure Access-Produkten sind sie
nur mit einer speziellen Lizenz verfügbar. Um mehr als 25 Benutzer mit Advanced
Endpoint Defense Malware Detection-Richtlinien zu unterstützen, müssen Sie
außerdem einen Aktualisierungslizenzschlüssel erwerben.
Aufgabenzusammenfassung: Konfigurieren von Host Checker
Gehen Sie zum Konfigurieren von Host Checker folgendermaßen vor:
1. Erstellen und aktivieren Sie die Host Checker-Richtlinien auf der Seite
Authentication > Endpoint Security > Host Checker in der
Administratorkonsole, wie in „Erstellen globaler Richtlinien für Host Checker“
auf Seite 240 beschrieben.
2. Konfigurieren Sie bei Bedarf zusätzliche Optionen auf Systemebene über die
Seite Authentication > Endpoint Security > Host Checker in der
Administratorkonsole:
238
Wenn Sie den Benutzern Informationen über Hilfsoptionen anzeigen
möchten, wenn diese die Anforderungen einer Host Checker-Richtlinie nicht
erfüllen, konfigurieren Sie Hilfsoptionen über die Seite Authentication >
Endpoint Security > Host Checker der Administratorkonsole, wie unter
„Korrigieren von Host Checker-Richtlinien“ auf Seite 272 beschrieben.
Legen Sie für Windows-Clients fest, ob zwischen den Clients und dem/den
Richtlinienserver(n) oder den Ressourcen Zugriffstunnel für
die-Vorauthentifizierungen erforderlich sind. Erstellen Sie ggf. die Datei
manifest.hcif mit der Tunneldefinition, und laden Sie sie über die Seite
Authentication > Endpoint Security > Host Checker der
Administratorkonsole hoch, wie unter „Definieren von Host CheckerZugriffstunnel für die Vorauthentifizierungen“ auf Seite 276 beschrieben.
Wenn Sie die Standardeinstellungen von Host Checker ändern möchten,
konfigurieren Sie sie über die Seite Authentication > Endpoint Security >
Host Checker der Administratorkonsole, wie unter „Festlegen von
allgemeinen Host Checker-Optionen“ auf Seite 280 beschrieben.
Lizenzierung: Verfügbarkeit von Host Checker
Kapitel 11: Host Checker
3. Legen Sie fest, auf welchen Ebenen innerhalb der IVE-Zugriffsverwaltungsumgebung
Sie die Richtlinien durchsetzen möchten:
Implementieren Sie zum Erzwingen von Host Checker-Richtlinien beim
ersten Zugriff eines Benutzers auf das IVE die Richtlinien auf Bereichsebene
auf der Seite Administrators > Admin Realms > Bereich auswählen >
Authentication Policy > Host Checker oder Users > User Realms >
Bereich auswählen > Authentication Policy > Host Checker der
Administratorkonsole.
Um dem Benutzer den Rollenzugriff basierend auf Erfüllung der Host
Checker-Richtlinien zu gewähren oder zu verweigern, implementieren Sie
die Richtlinien auf Rollenebene auf der Seite Administrators > Admin
Roles > Rolle auswählen > General > Restrictions > Host Checker oder
Users > User Roles > Rolle auswählen > General > Restrictions > Host
Checker der Administratorkonsole.
Um Benutzern Rollen basierend auf Erfüllung der Host Checker-Richtlinien
zuzuweisen, verwenden Sie benutzerdefinierte Ausdrücke auf der Seite
Administrators > Admin Realms > Bereich auswählen > Role Mapping
oder Users > User Realms > Bereich auswählen > Role Mapping der
Administratorkonsole.
Um dem Benutzer den Zugriff auf einzelne Ressourcen basierend auf
Erfüllung der Host Checker-Richtlinien zu gewähren oder zu verweigern,
verwenden Sie Bedingungen auf der Seite Users > Resource Policies >
Ressource auswählen > Richtlinie auswählen > Detailed Rules > Regel
auswählen|erstellen der Administratorkonsole.
Weitere Informationen finden Sie unter „Konfigurieren von Host CheckerEinschränkungen“ auf Seite 270.
4. Legen Sie den Zugriff auf den clientseitigen Agenten von Host Checker fest, der
die von Ihnen definierten Richtlinien durchsetzt:
Wenn Sie die automatische Installation des clientseitigen Agenten von Host
Checker auf allen Plattformen aktivieren möchten, verwenden Sie die Seite
Administrators > Admin Realms > Bereich auswählen > Authentication
Policy > Host Checker oder Users > User Realms > Bereich auswählen >
Authentication Policy > Host Checker der Administratorkonsole.
Verwenden Sie zum Herunterladen des Installationsprogramms für Host
Checker und zur manuellen Installation von Host Checker auf WindowsSystemen die Seite Maintenance > System > Installers.
Konfigurationsanweisungen finden Sie unter „Angeben von
Installationsoptionen für Host Checker“ auf Seite 282.
HINWEIS: Benutzer müssen im Browser signierte ActiveX-Komponenten oder
signierte Java-Applets aktivieren, damit Host Checker die Clientanwendungen
herunterladen, installieren und starten kann.
Aufgabenzusammenfassung: Konfigurieren von Host Checker
239
Juniper Networks Secure Access – Administratorhandbuch
5. Legen Sie fest, ob clientseitige Protokolle erstellt werden sollen. Wenn Sie die
clientseitige Protokollierung über die Seite System > Log/Monitoring > Client
Logs der Administratorkonsole aktivieren, erstellt das IVE Protokolldateien auf
dem System des Benutzers und schreibt bei jeder Ausführung von Host Checker
in die Datei. Konfigurationsanweisungen finden Sie unter „Verwenden der Host
Checker-Protokolle“ auf Seite 284.
Erstellen globaler Richtlinien für Host Checker
Um Host Checker zum Durchsetzen von Richtlinien für die Verwaltung von
Endpunkten verwenden zu können, müssen Sie globale Richtlinien für Host Checker
über die Seite Authentication > Endpoint Security > Host Checker der
Administratorkonsole erstellen und die Richtlinien anschließend auf Bereichs-, Rollenund Ressourcenrichtlinienebene implementieren.
Das IVE bietet mehrere Verfahren, mit denen Sie Host Checker-Richtlinien
aktivieren, erstellen und konfigurieren können:
240
Vordefinierte Richtlinien (verhindern Angriffe innerhalb des Netzwerks
oder laden Software zur Malware-Erkennung herunter) – Das IVE ist mit zwei
Typen vordefinierter clientseitiger Host Checker-Richtlinien ausgerüstet, die nur
aktiviert, jedoch nicht erstellt oder konfiguriert, werden müssen. Die
Verbindungssteuerungsrichtlinie verhindert Angriffe von anderen infizierten
Computern aus demselben Netzwerk auf Windows-Clientcomputer. Advanced
Endpoint Defense: Malware-Schutz-Richtlinien laden Malware-Schutz-Software
auf Clientcomputer herunter, bevor sich Benutzer am IVE anmelden. Diese
Richtlinien funktionieren nur auf Windows-Systemen. Weitere Informationen
finden Sie unter „Aktivieren vordefinierter clientseitiger Richtlinien (nur
Windows)“ auf Seite 241.
Vordefinierte Regeln (überprüfen auf Drittanbieteranwendungen) – Host
Checker ist mit einer Vielzahl von vordefinierten Regeln vorkonfiguriert, die
nach Antivirensoftware, Firewalls, Malware, Spyware und bestimmten
Betriebssystemen von unterschiedlichen Branchenführern suchen. Sie können
eine oder mehrere dieser Regeln innerhalb einer clientseitigen Richtlinie für
Host Checker aktivieren, um sicherzustellen, dass die angegebenen
Drittanbieteranwendungen auf den Computern Ihrer Benutzer entsprechend
Ihrer Angaben ausgeführt werden. Weitere Informationen finden Sie unter
„Überprüfen auf Drittanbieteranwendungen mithilfe vordefinierter Regeln (nur
Windows)“ auf Seite 246.
Benutzerdefinierte Regeln (überprüfen auf zusätzliche Anforderungen) –
Falls die mit dem IVE gelieferten vordefinierten clientseitigen Richtlinien und
Regeln nicht Ihren Bedürfnissen entsprechen, können Sie innerhalb einer Host
Checker-Richtlinie benutzerdefinierte Regeln zur Definition von Anforderungen
erstellen, die die Computer Ihrer Benutzer erfüllen müssen. Mithilfe
benutzerdefinierter Regeln können Sie folgende Aufgaben ausführen:
Konfigurieren von Host Checker zum Suchen nach benutzerdefinierten
DLLs, die angepasste clientseitige Überprüfungen ausführen.
Überprüfen, ob bestimmte Ports auf dem Computer des Benutzers geöffnet
oder geschlossen sind
Erstellen globaler Richtlinien für Host Checker
Kapitel 11: Host Checker
Bestätigen, dass bestimmte Prozesse auf dem Computer des Benutzers
ausgeführt werden oder nicht
Überprüfen, ob bestimmte Dateien auf dem Clientcomputer vorhanden
oder nicht vorhanden sind
Auswerten von Alter und Inhalt erforderlicher Dateien mithilfe von MD5Prüfsummen
Bestätigen, dass Registrierungsschlüssel auf dem Clientcomputer festgelegt sind
Weitere Informationen finden Sie unter „Angeben angepasster Anforderungen
mithilfe benutzerdefinierter Regeln“ auf Seite 251.
Benutzerdefinierte integrierte Anwendungen (implementieren über ServerAPI) – Für Windows-Clients können Sie serverseitige Richtlinien für Host
Checker mithilfe der Host Check Server Integration Interface (API) definieren
und die Richtlinien in ein Drittanbieter-Integrationspaket laden. Das IVE
erkennt die Richtlinien beim Hochladen des Drittanbieter-Integrationspakets
auf das IVE. Weitere Informationen zum Erstellen dieser Richtlinien finden Sie
im Juniper Networks Customer Support Center im J.E.D.I. Solution Guide.
Informationen zum Aktivieren der von Ihnen erstellten serverseitigen Richtlinien
finden Sie unter „Aktivieren angepasster serverseitiger Richtlinien“ auf Seite 258.
Innerhalb einer einzelnen Richtlinie können Sie verschiedene Host CheckerAnforderungen für Windows, Macintosh und Linux erstellen, mit denen jedes
Betriebssystem auf unterschiedliche Dateien, Prozesse und Produkte überprüft
wird. Sie können auch Hostprüfungstypen innerhalb einer Richtlinie kombinieren
und nach alternativen Sätzen von Regeln suchen.
Aktivieren vordefinierter clientseitiger Richtlinien (nur Windows)
Das IVE ist mit zwei Typen vordefinierter clientseitiger Host Checker-Richtlinien
ausgerüstet, die nur aktiviert, nicht erstellt oder konfiguriert, werden müssen.
Die Verbindungssteuerungsrichtlinie verhindert Angriffe von anderen
infizierten Computern aus demselben Netzwerk auf Windows-Clientcomputer.
Weitere Informationen finden Sie unter „Aktivieren von
Verbindungssteuerungsrichtlinien“ auf Seite 242.
Die Advanced Endpoint Defense Malware Protection-Richtlinien laden die
Confidence Online-Software von Whole Security auf Clientcomputer herunter.
Diese Software schützt Benutzer vor gefährlicher Software wie Würmern, Viren,
Keylogger-Software, Bildschirmerfassungssoftware und trojanischen Pferden.
Weitere Informationen finden Sie unter „Aktivieren verbesserter Richtlinien
zum Malwareschutz“ auf Seite 242.
HINWEIS:
Die Verbindungssteuerungsrichtlinie und Advanced Endpoint Defense
Malware Detection-Richtlinien funktionieren nur auf Windows-Systemen.
Die Verbindungssteuerungsrichtlinie wird von Windows 98 nicht unterstützt.
Erstellen globaler Richtlinien für Host Checker 241
Juniper Networks Secure Access – Administratorhandbuch
Aktivieren von Verbindungssteuerungsrichtlinien
Die vordefinierte Host Checker-Verbindungssteuerungsrichtlinie verhindert Angriffe
auf Windows-Clientcomputer von anderen infizierten Computern im gleichen
physischen Netzwerk. Die Host Checker-Verbindungssteuerungsrichtlinie blockiert
alle eingehenden TCP-Verbindungen. Diese Richtlinie lässt den gesamten
ausgehenden TCP- und Network Connect-Verkehr sowie alle Verbindungen mit
DNS-Servern, WINS-Servern, DHCP-Servern, Proxyservern und dem IVE zu.
HINWEIS:
Benutzer müssen über Administratorberechtigungen verfügen, damit Host Checker
die Verbindungssteuerungsrichtlinie auf dem Clientcomputer erzwingen kann.
Das IVE unterstützt die Host Checker-Verbindungssteuerungsrichtlinie auf
einem Windows 98-Clientcomputer nicht.
So aktivieren Sie die vordefinierte Host Checker-Verbindungssteuerungsrichtlinie:
1. Wählen Sie in der Administratorkonsole Authentication > Endpoint Security >
Host Checker.
2. Aktivieren Sie unter Options das Kontrollkästchen Create Host Checker
Connection Control Policy:
3. Klicken Sie auf Save Changes. Das IVE aktiviert die Host CheckerVerbindungssteuerungsrichtlinie.
HINWEIS: Diese Richtlinie kann nicht geändert, sondern nur aktiviert oder
deaktiviert werden. Daher wird diese Richtlinie vom IVE nicht im Abschnitt
Policies der Seite Authentication > Endpoint Security > Host Checker mit
anderen konfigurierbaren Richtlinien angezeigt.
4.
Implementieren Sie die Host Checker-Verbindungssteuerungsrichtlinie auf Bereichs-,
Rollen- oder Ressourcenrichtlinienebene mithilfe der unter „Konfigurieren von Host
Checker-Einschränkungen“ auf Seite 270 beschriebenen Optionen.
HINWEIS: Die Verbindungssteuerungsrichtlinie muss auf der Bereichsebene
überprüft oder erzwungen werden, damit sie auf Clientcomputern wirksam wird.
Aktivieren verbesserter Richtlinien zum Malwareschutz
Bei entsprechender Lizenzierung können Sie Advanced Endpoint Defense Malware
Protection-Richtlinien über Host Checker aktivieren. Über diese Richtlinien wird die
Whole Security Confidence Online-Software auf Computer der Benutzer heruntergeladen
und dort ausgeführt. Diese Software sucht gefährliche Programme, einschließlich:
242
Trojanische Pferde – Hacker schreiben trojanische Pferde zur Remoteverwaltung
eines infizierten Computers. Trojanische Pferde installieren sich fast immer auf
dem Computer eines Benutzers ohne Kenntnis des autorisierten Benutzers.
Erstellen globaler Richtlinien für Host Checker
Kapitel 11: Host Checker
Keylogger-Software – Hacker schreiben Keylogger-Software zum Ausspähen
eines Benutzers durch Erfassen und Protokollieren seiner Tastenanschläge.
Keylogger-Software installiert sich auf dem Computer eines Benutzers ohne
Kenntnis des autorisierten Benutzers.
Überwachungsanwendungen – Überwachungsanwendungen sind EndbenutzerSoftwareanwendungen, die Benutzeraktivitäten überwachen und aufzeichnen.
In der Regel installieren Benutzer diese Software selbst, um die Aktivitäten von
Kindern, Ehepartnern und anderen Benutzern zu überwachen, die gemeinsam
ihre Computer nutzen.
Fernsteuerungen – Anwendungen zur Fernsteuerung sind kommerzielle
Anwendungen wie VNC, die einem autorisierten Benutzer einfachen
Remotezugriff auf Aktivitäten zur Computerverwaltung bieten.
Zur Verwendung der Malware-Schutz-Software von Whole Security müssen Sie die
Option Advanced Endpoint Defense Malware Detection auf der Systemebene
aktivieren und auf Bereichs-, Rollen- und/oder Ressourcenrichtlinienebene erzwingen.
Die Advanced Endpoint Defense Malware Detection-Richtlinien müssen nicht
erstellt oder konfiguriert werden. Sie werden von Host Checker beim Aktivieren der
Option auf der Systemebene erstellt. Es wird empfohlen, eine Advanced Endpoint
Defense Malware Detection-Richtlinie auf der Bereichsebene zu verlangen und zu
erzwingen, damit Host Checker die Confidence Online-Software auf die Computer
der Benutzer herunterladen kann und mögliche Bedrohungen sucht, nachdem sich
die Benutzer bei Windows angemeldet haben und bevor sie sich am IVE anmelden.
Sobald Confidence Online ausgeführt wird, sucht es während der gesamten IVESitzung des Benutzers Bedrohungen und blockiert sie.
HINWEIS: Alle Computer müssen auf die Site von Whole Security
(update.wholesecurity.com) zugreifen können, sodass Confidence Online
regelmäßig die aktuellen Definitionsdateien herunterladen kann.
So aktivieren und konfigurieren Sie Advanced Endpoint Defense Malware
Protection-Richtlinien:
1. Wählen Sie in der Administratorkonsole Authentication > Endpoint
Security > Host Checker.
2. Aktivieren Sie unter Options das Kontrollkästchen Enable Advanced Endpoint
Defense: Malware Protection:
3. Aktivieren Sie das Kontrollkästchen Enable Silent Enforcement of Signature
Scan, wenn Confidence Online Benutzer über das Blockieren von trojanischen
Pferden, Keylogger-Software und anderen als gefährlich eingeschätzten
Anwendungen nicht benachrichtigen soll. (Confidence Online greift täglich auf
einen Whole Security-Server zu, um die Liste gefährlicher Anwendungen auf
dem aktuellen Stand zu halten.)
Erstellen globaler Richtlinien für Host Checker 243
Juniper Networks Secure Access – Administratorhandbuch
4.
Aktivieren Sie das Kontrollkästchen Enable User Control over disabling Behavior
Blocker, wenn Benutzer die Auswahl haben sollen, ob Überwachungsanwendungen,
Software zur Fernsteuerung und andere möglicherweise legitime Anwendungen
blockiert werden. Falls Sie diese Option aktivieren, können Benutzer blockierte
Anwendungen über ein Confidence Online-Symbol im System Tray anzeigen und
steuern. (Weitere Informationen finden Sie im Endbenutzerhilfesystem für
Confidence Online.) Falls Sie diese Option nicht aktivieren, blockiert Confidence
Online einfach diese Anwendungen ohne Benutzereingriff.
HINWEIS:
Category 1 and Category 2 Signature Scans – Eingeschränkte Benutzer,
Hauptbenutzer und Administratoren können die Scanfunktion in Confidence Online
installieren und ausführen. Die Scanfunktion wird von Systemen mit Windows 98
SE, Windows ME, Windows NT4, Windows 2000 und Windows XP unterstützt.
Behavior Blocker – Nur Administratoren können die Blockierfunktion in
Confidence Online installieren und ausführen. Die Blockierfunktion wird von
Systemen mit Windows 2000 und Windows XP unterstützt.
5. Klicken Sie auf Save Changes. Das IVE aktiviert die folgenden Advanced
Endpoint Defense Malware Protection-Richtlinien:
Advanced Endpoint Defense: Malware Protection.Behavior Blocker –
Diese Richtlinie wird von Whole Security erstellt. Sie aktiviert die
Confidence Online-Blockiersoftware für das Blockieren von KeyloggerSoftware, Bildschirmerfassungssoftware und anderen Anwendungen, die
versuchen, Benutzersitzungen auszuspähen.
Advanced Endpoint Defense: Malware Protection.Category One Threats
(Trojan Horses and Key Loggers) – Diese Richtlinie wird von Whole
Security erstellt. Sie aktiviert die Confidence Online-Software für das
Blockieren von Tojaner-Programmen, Spyware-, Malware- und anderen
gefährlichen Anwendungen.
Advanced Endpoint Defense: Malware Protection.Category Two Threats
(Monitoring Applications and Remote Controls) – Diese Richtlinie wird
von Whole Security erstellt. Sie aktiviert die Confidence Online-Software
für das Blockieren von Überwachungsanwendungen, Software zur
Fernsteuerung und anderen möglicherweise legitimen Anwendungen.
Jede dieser Richtlinien enthält Hilfsanweisungen, die Benutzern eine Meldung
anzeigen, falls sie die jeweilige Richtlinie nicht erfüllen. Die Meldung teilt den
Benutzern mit, dass sie die Anweisungen im Popup-Fenster mit den
Hilfsoptionen für ihren Computer befolgen müssen.
6. Implementieren Sie die Advanced Endpoint Defense Malware ProtectionRichtlinien auf der Bereichs-, Rollen- oder Ressourcenrichtlinienebene mithilfe
der unter „Konfigurieren von Host Checker-Einschränkungen“ auf Seite 270
beschriebenen Optionen. (Eine Advanced Endpoint Defense Malware
Protection-Richtlinie muss mindestens auf der Bereichsebene überprüft oder
erzwungen werden, damit sie auf Clientcomputern wirksam wird.)
244
Erstellen globaler Richtlinien für Host Checker
Kapitel 11: Host Checker
HINWEIS: Beachten Sie beim Erzwingen von Advanced Endpoint Defense Malware
Protection-Richtlinien Folgendes:
Diese Richtlinien können nicht geändert, sondern nur aktiviert oder deaktiviert
werden. Da Sie diese Richtlinien nicht ändern können, zeigt das IVE sie nicht im
Abschnitt Policies der Seite Authentication > Endpoint Security > Host
Checker mit anderen konfigurierbaren Richtlinien an.
Falls Ihre Lizenzen für gleichzeitig angemeldete Benutzer für das IVE und Whole
Security nicht übereinstimmen, gelten die Einschränkungen der niedrigeren
Lizenz. Falls Sie beispielsweise über eine Lizenz für 100 gleichzeitig angemeldete
IVE-Benutzer und einen andere Lizenz für 50 gleichzeitig angemeldete Whole
Security-Benutzer verfügen, gestattet diese Einschränkung nur den Zugriff von 50
gleichzeitig angemeldeten Benutzern auf ein mit Advanced Endpoint Defense
Malware Protection-Richtlinien aktiviertes IVE.
Wenn Sie über eine Lizenz für GINA und Whole Security verfügen, bedenken
Sie, dass GINA vor der Windows-Anmeldung des Benutzers ausgeführt wird
und der Download der Confidence Online-Software von Whole Security nach
der Windows-Anmeldung des Benutzers erfolgt. Aus diesem Grund führt
Whole Security den angegebenen Malware-Schutz erst nach der WindowsAnmeldung aus. Wenn Sie Network Connect, Host Checker, GINA und Whole
Security verwenden, aber der Endbenutzer sich nicht im Benutzermodus
befindet, wenn sein System versucht, Host Checker zu initiieren, erhält der
Endbenutzer möglicherweise Fehlermeldungen. Stellen Sie sicher, dass die
Systemkonfiguration GINA vor der Windows-Anmeldung und Whole Security
nach der Windows-Anmeldung startet.
HINWEIS: Die von Host Checker unterstützte Confidence Online-Funktion von
Whole Security kann zurzeit nicht lokalisiert werden. Weitere Informationen über
die Lokalisierung des IVE finden Sie unter „Lokalisierung der Benutzeroberfläche“
auf Seite 904.
Erstellen und Konfigurieren neuer clientseitiger Richtlinien
Sie können viele verschiedene Richtlinien über den Host Checker-Client erstellen,
die nach Antivirensoftware, Firewalls, Malware, Spyware und bestimmten
Betriebssystemen von unterschiedlichen Branchenführern suchen. Sie können
darüber hinaus Überprüfungen auf benutzerdefinierte DLLs, Ports, Prozesse,
Dateien und Registrierungsschlüsseln von Drittanbietern erstellen. Beim Erstellen
der Richtlinien müssen Sie den Namen der Richtlinie festlegen, vordefinierte
Regeln aktivieren oder benutzerdefinierte Regeln erstellen, die die angegebenen
Überprüfungen ausführen. Optional können Sie angeben, wie Host Checker
mehrere Regeln innerhalb einer Richtlinie überprüfen soll.
Beim Erstellen der Richtlinien müssen Sie den Namen der Richtlinie festlegen, und
entweder vordefinierte Regeln aktivieren oder benutzerdefinierte Regeln erstellen,
die die angegebenen Überprüfungen ausführen. Optional können Sie angeben, wie
Host Checker mehrere Regeln innerhalb einer Richtlinie überprüfen soll.
Erstellen globaler Richtlinien für Host Checker 245
Juniper Networks Secure Access – Administratorhandbuch
So erstellen Sie eine clientseitige Standardrichtlinie:
1. Wählen Sie in der Administratorkonsole Authentication > Endpoint
Security > Host Checker.
2. Klicken Sie unter Policies auf New.
3. Geben Sie einen Namen ins Feld Policy Name ein, und klicken Sie auf Continue.
(Benutzer sehen diesen Namen auf der Host Checker-Hilfsoptionsseite, wenn Sie
benutzerdefinierte Anweisungen für diese Richtlinie aktivieren.)
4. Erstellen Sie eine oder mehrere Regeln für die Zuordnung zur Richtlinie mithilfe
der Anweisungen in den folgenden Abschnitten:
„Überprüfen auf Drittanbieteranwendungen mithilfe vordefinierter Regeln
(nur Windows)“ auf Seite 246
„Angeben angepasster Anforderungen mithilfe benutzerdefinierter Regeln“
auf Seite 251
5. Geben Sie an, wie Host Checker mehrere Regeln innerhalb der Richtlinie
überprüfen soll, mithilfe der Anweisungen unter „Auswerten mehrerer Regeln
in einer einzelnen Host Checker-Richtlinie“ auf Seite 257.
6. (Empfohlen) Geben Sie Hilfsoptionen für Benutzer an, deren Computer die in der
Richtlinie angegebenen Anforderungen nicht erfüllen. Anweisungen hierfür finden
Sie unter „Konfigurieren der Host Checker-Hilfsoption“ auf Seite 274. (Wenn Sie
keine Hilfsanweisungen erstellen, wissen die Benutzer beim Fehlschlagen der
Richtlinie nicht, warum sie nicht auf ihre Ressourcen zugreifen können.)
7. Implementieren Sie die Richtlinie auf der Bereichs-, Rollen- oder
Ressourcenrichtlinienebene mithilfe der unter „Konfigurieren von Host
Checker-Einschränkungen“ auf Seite 270 beschriebenen Optionen.
Überprüfen auf Drittanbieteranwendungen mithilfe vordefinierter Regeln
(nur Windows)
Host Checker ist mit einer Vielzahl von vordefinierten Regeln vorkonfiguriert, die nach
Antivirensoftware, Firewalls, Malware, Spyware und bestimmten Betriebssystemen von
unterschiedlichen Branchenführern suchen. Sie können eine oder mehrere dieser Regeln
innerhalb einer clientseitigen Richtlinie für Host Checker aktivieren, um sicherzustellen,
dass die angegebenen Drittanbieteranwendungen auf den Computern Ihrer Benutzer
entsprechend Ihrer Angaben ausgeführt werden.
So erstellen Sie eine Richtlinie für integrierte Drittanbieteranwendungen mithilfe
vordefinierter Regeln:
1. Wählen Sie in der Administratorkonsole Authentication > Endpoint Security
> Host Checker.
2. Erstellen Sie eine neue Richtlinie mithilfe der Anweisungen unter „Erstellen und
Konfigurieren neuer clientseitiger Richtlinien“ auf Seite 245, oder klicken Sie
im Abschnitt Policies der Seite auf eine vorhandene Richtlinie.
246
Erstellen globaler Richtlinien für Host Checker
Kapitel 11: Host Checker
3. Wählen Sie unter Rule Settings eine der folgenden Optionen aus, und klicken
Sie auf Add:
Predefined: AntiVirus – Wählen Sie diese Option aus, um eine Regel zu
erstellen, die nach der angegebenen Antivirensoftware sucht.
Predefined: Firewall – Wählen Sie diese Option aus, um eine Regel zu
erstellen, die nach der angegebenen Firewallsoftware sucht.
Predefined: Malware – Wählen Sie diese Option aus, um eine Regel zu
erstellen, die nach der angegebenen Malware-Schutz-Software sucht.
Predefined: Spyware – Wählen Sie diese Option aus, um eine Regel zu
erstellen, die nach der angegebenen Spyware-Schutz-Software sucht.
Predefined: OS Checks – Wählen Sie diese Option aus, um eine Regel zu
erstellen, die nach den angegebenen Windows-Betriebssystemen und
Mindestversionen von Service Packs sucht. (Jedes Service Pack, dessen
Version größer oder gleich der angegebenen Version ist, erfüllt die Regel.)
4. Gehen Sie auf der Seite Add Predefined Rule folgendermaßen vor:
Geben Sie ins Feld Rule Name einen Bezeichner für die Regel ein.
Wählen Sie unter Criteria die entsprechenden Anwendungsversionen oder
Betriebssysteme für die Überprüfung aus, und klicken Sie auf Add. (Beim
Überprüfen auf ein Betriebssystem können Sie auch eine Service PackVersion angeben.)
HINWEIS: Wenn Sie mehr als einen Typ von Software innerhalb einer vordefinierten
Regel auswählen, betrachtet Host Checker die Regel als erfüllt, wenn eine der
ausgewählten Softwareanwendungen auf dem Computer des Benutzers vorhanden ist.
(Nur Antivirenrichtlinien) Wählen Sie für die Konfiguration dieser Host
Checker-Richtlinie Specify age in days, damit ein maximal zulässiges Alter
der Virendefinitionsdateien angefordert wird. Geben Sie für Maximum age
of definition files die maximale Anzahl an Tagen an.
(Nur Antivirenrichtlinien) Wählen Sie für die Konfiguration dieser Host
Checker-Richtlinie Virus signatures must be up to date, damit
Virensignaturen auf dem Clientcomputer angefordert werden. Importieren
Sie zum Aktivieren dieser Funktion in der Richtlinie manuell oder
automatisch die aktuelle Virensignaturliste auf der Seite Authentication >
Endpoint Security > Host Checker. (Siehe „Konfigurieren der
Versionsüberwachung von Virensignaturen“ auf Seite 248.)
Klicken Sie auf Save Changes.
Erstellen globaler Richtlinien für Host Checker 247
Juniper Networks Secure Access – Administratorhandbuch
5. Fügen Sie optional der Richtlinie zusätzliche Regeln hinzu, geben Sie an, wie
Host Checker mehrere Regeln innerhalb der Richtlinie überprüfen soll, und
definieren Sie Hilfsoptionen mithilfe der Anweisungen unter „Erstellen und
Konfigurieren neuer clientseitiger Richtlinien“ auf Seite 245.
HINWEIS: Wechseln Sie zum Anzeigen der derzeit unterstützten Anwendungen zu
Authentication > Endpoint Security > Host Checker, und erstellen Sie eine
neue Richtlinie. Sie können vordefinierte Rollentypen im Dropdownlistenfeld
„Select Rule Type“ auswählen, um eine Liste von unterstützten Anwendungen
innerhalb dieser Kategorie anzuzeigen. Die Liste der Anwendungen kann sehr
umfangreich sein und wird bei jeder Unterstützungs-Version aktualisiert. Sie
sollten die Liste daher in regelmäßigen Abständen überprüfen.
Konfigurieren der Versionsüberwachung von Virensignaturen
Sie können Host Checker so konfigurieren, dass die Aktualität der auf den
Clientcomputern installierten Virensignaturen überwacht und sichergestellt wird.
Host Checker verwendet eine Liste der aktuellen Virensignaturen von den
Anbietern, die Sie für vordefinierte Antivirenregeln in einer Host Checker-Richtlinie
angeben. Sind auf einem Clientcomputer nicht die aktuellen Virensignaturen
installiert, schlägt die Host Checker-Richtlinie fehl.
Die Liste der aktuellen Virensignaturen finden Sie auf einer Stagingsite von Juniper
Networks. Laden Sie die aktuelle Liste manuell herunter, und importieren Sie diese
ins IVE, oder importieren Sie die aktuelle Liste automatisch von der Juniper
Networks-Stagingsite oder Ihrer eigenen Stagingsite in einem festgelegten Intervall.
Sie können beispielsweise die aktuelle Liste der Virensignaturen manuell von einem
Netzwerkserver oder lokalen Laufwerk herunterladen und importieren, wenn Sie
die Liste zunächst überprüfen möchten oder das IVE nicht automatisch auf die
Juniper Networks-Stagingsite zugreifen kann. Laden Sie die aktuelle Liste manuell
auf eine lokale Stagingsite in Ihrem internen Netzwerk herunter, und importieren
Sie die Liste anschließend automatisch von dieser internen Stagingsite.
So konfigurieren Sie die Versionsüberwachung von Virensignaturen:
1. Wählen Sie beim Hinzufügen einer vordefinierten Antivirenregel auf der
Seite Authentication > Endpoint Security > Host Checker > Richtlinie
auswählen > Add Predefined Rule: Antivirus die Option Virus signatures
must be up to date. (Siehe „Überprüfen auf Drittanbieteranwendungen
mithilfe vordefinierter Regeln (nur Windows)“ auf Seite 246.)
2. Wählen Sie Authentication > Endpoint Security > Host Checker.
3. Klicken Sie auf Virus signature version monitoring.
4. So konfigurieren Sie das IVE für den automatischen Import der aktuellen
Virensignaturenliste:
a.
248
Wählen Sie Auto-update virus signatures list.
Erstellen globaler Richtlinien für Host Checker
Kapitel 11: Host Checker
b.
Geben Sie für den Download path die URL der Stagingsite an, auf der die
aktuelle Virensignaturenliste gespeichert ist. Sie können die URL der
Juniper Networks-Stagingsite oder Ihrer eigenen Stagingsite angeben. Die
Standard-URL ist der Pfad zur Juniper Networks-Stagingsite:
https://download.juniper.net/software/av/uac/avupdate.dat
c.
Geben Sie für Download interval an, wie oft das IVE die aktuelle
Virensignaturenliste automatisch importieren soll.
d. Ist die Stagingsite durch ein Kennwort geschützt, geben Sie die Anmeldedaten
in Username und Password ein. Geben Sie zum Zugreifen auf die Juniper
Networks-Stagingsite die Anmeldedaten für ein Juniper Networks SupportKonto ein. Sie können auch die HTTP-Standardauthentifizierung verwenden,
um die eigene Stagingsite zu schützen und auf diese zuzugreifen.
5. So importieren Sie manuell die aktuelle Virensignaturenliste:
a.
Laden Sie die Virensignaturenliste von der Stagingsite auf einen
Netzwerkserver oder ein lokales Laufwerk auf Ihrem Computer herunter.
b.
Klicken Sie unter Manually import virus signatures list auf Browse, wählen
Sie die Virensignaturenliste aus, und klicken Sie anschließend auf OK.
6. Klicken Sie auf Save Changes.
Aktualisieren des Endpoint Security Assessment-Plug-Ins
Das Endpoint Security Assessment-Plug-in (ESAP) im IVE überprüft, ob
Drittanbieteranwendungen an Endpunkten die in einer Host Checker-Richtlinie
konfigurierten vordefinierten Regeln erfüllen. (Siehe „Überprüfen auf
Drittanbieteranwendungen mithilfe vordefinierter Regeln (nur Windows)“ auf
Seite 246.) Dieses Plug-In ist im IVE-Systemsoftwarepaket enthalten.
Juniper Networks fügt dem Plug-In häufig Verbesserungen, Fehlerbehebungen und
Support für neue Drittanbieteranwendungen hinzu. Neue Plug-In-Veröffentlichungen sind
unabhängig und häufiger erhältlich als neue Versionen des IVE-Systemsoftwarepakets.
Aktualisieren Sie ggf. das Plug-In im IVE unabhängig vom IVE-Systemsoftwarepaket.
Bis zu vier Versionen des Plug-Ins können ins IVE hochgeladen werden, das IVE
verwendet jedoch nur jeweils eine Version (als aktive Version bezeichnet). Sie können
ggf. ein Rollback zu einer vorher aktiven Version des Plug-Ins durchführen.
So aktualisieren Sie das Endpoint Security Assessment-Plug-In:
1. Laden Sie das Endpoint Security Assessment Plug-In vom Juniper Networks
Customer Support Center auf den Computer herunter:
a.
Rufen Sie die folgende Seite auf:
https://www.juniper.net/customers/csc/software/ive/
b.
Geben Sie zum Zugreifen auf das Customer Support Center den Benutzernamen
und das Kennwort für ein Juniper Networks Support-Konto ein.
c.
Klicken Sie auf den Link ESAP.
Erstellen globaler Richtlinien für Host Checker 249
Juniper Networks Secure Access – Administratorhandbuch
d. Laden Sie die ZIP-Datei mit dem Plug-In auf den Computer herunter.
2. Wählen Sie Authentication > Endpoint Security > Host Checker.
3. Führen Sie unten auf der Seite Host Checker unter Manage Endpoint Security
Assessment Plug-In Versions folgende Schritte aus:
a.
Haben Sie vorher vier Versionen der Komponentensoftware hochgeladen,
müssen Sie vor dem Hochladen einer weiteren Version eine der Versionen
löschen. Wählen Sie die zu löschende Version aus, und klicken Sie auf Delete.
b.
Soll das IVE die neue Komponentensoftware direkt nach dem Hochladen
aktiv verwenden, wählen Sie die Option Set as active after upload.
c.
Klicken Sie auf Browse, wählen Sie die ins IVE hochzuladende Plug-In-Datei
aus, und klicken Sie auf OK.
d. Klicken Sie auf Upload. Beim Hochladen und Entschlüsseln der ZIP-Datei
des Plug-Ins wird in der Plug-In-Liste unter Manage Endpoint Security
Assessment Plug-In Versions die Meldung „Loading...“ angezeigt. Ist das
IVE Mitglied eines Clusters, wird die Meldung „Loading...“ beim Übertragen
des Plug-Ins auf andere Clusterknoten angezeigt. Nach der Installation des
Plug-Ins werden Datum und Uhrzeit der Plug-In-Installation in der Plug-InListe angezeigt.
250
Erstellen globaler Richtlinien für Host Checker
Kapitel 11: Host Checker
e.
Haben Sie die Option Set as active after upload nicht ausgewählt, aktivieren
Sie das zu verwendende Plug-In, indem Sie die Version in der Plug-In-Liste
auswählen und auf Activate klicken.
HINWEIS:
Wenn Sie eine Version des Plug-Ins aktivieren möchten, die nicht alle in den
Host Checker-Richtlinien konfigurierten vordefinierten Regeln unterstützt, lässt
das IVE die Aktivierung dieser Plug-In-Version nicht zu. Beispiel: Ist eine Host
Checker-Richtlinie für die Verwendung einer vordefinierten Regel konfiguriert,
die eine Überprüfung auf eine Version von Antivirensoftware durchführt und Sie
eine Plug-In-Version aktivieren möchten, die diese bestimmte Version der
Antivirensoftware nicht unterstützt, lässt das IVE die Aktivierung dieser Plug-InVersion nicht zu. Klicken Sie zum Anzeigen einer Liste der unterstützten
Produkte für eine bestimmte Plug-In-Version unter Manage Endpoint Security
Assessment Plug-In Versions auf die Versionsnummer des Plug-Ins.
Sie können nach der Aktualisierung auf eine höhere Version ein Rollback zu
einer früheren Plug-In-Version durchführen, indem Sie die frühere Version als
aktive Version auswählen. Wenn Sie jedoch nach der Aktualisierung auf eine
höhere Version Änderungen an den Host Checker-Richtlinien vornehmen,
wird das Rollback u.U. nicht erfolgreich durchgeführt. Das Rollback kann nur
erfolgreich durchgeführt werden, wenn die Richtlinien nicht geändert wurden.
Wenn Sie die IVE-Systemsoftware auf eine höhere Version aktualisieren oder
eine Benutzerkonfigurationsdatei importieren, ändert sich die derzeit aktive
Plug-In-Version nicht. Wenn Sie nach dem Aktualisieren oder Importieren
einer Benutzerkonfigurationsdatei eine andere Plug-In-Version verwenden
möchten, muss diese manuell aktiviert werden.
Sind im IVE beim Aktualisieren der IVE-Systemsoftware auf eine höhere
Version bereits vier Versionen des Plug-Ins installiert, löscht das IVE
automatisch die älteste Plug-In-Version und installiert das in der neuen IVESystemsoftware integrierte Plug-In, aktiviert es jedoch nicht.
Angeben angepasster Anforderungen mithilfe benutzerdefinierter Regeln
Falls die vordefinierten clientseitigen Richtlinien und Regeln im IVE nicht Ihren
Ansprüchen gerecht werden, können Sie innerhalb einer Host Checker-Richtlinie
benutzerdefinierte Regeln erstellen, um Anforderungen für die Computer der
Benutzer zu definieren. Mithilfe benutzerdefinierter Regeln können Sie folgende
Aufgaben ausführen:
Konfigurieren von Host Checker zum Suchen nach benutzerdefinierten DLLs,
die angepasste clientseitige Überprüfungen ausführen
Überprüfen, ob bestimmte Ports auf dem Computer des Benutzers geöffnet
oder geschlossen sind
Bestätigen, dass bestimmte Prozesse auf dem Computer des Benutzers
ausgeführt werden oder nicht
Überprüfen, ob bestimmte Dateien auf dem Clientcomputer vorhanden oder
nicht vorhanden sind
Erstellen globaler Richtlinien für Host Checker 251
Juniper Networks Secure Access – Administratorhandbuch
Auswerten von Alter und Inhalt erforderlicher Dateien mithilfe von MD5Prüfsummen
Bestätigen, dass Registrierungsschlüssel auf dem Clientcomputer festgelegt sind
HINWEIS: Sie können nur auf Windows-Computern nach Registrierungsschlüsseln
und DLLs von Drittanbietern suchen.
So erstellen Sie eine clientseitige Host Checker-Richtlinie:
1. Wählen Sie in der Administratorkonsole Authentication > Endpoint Security >
Host Checker.
2. Erstellen Sie eine neue Richtlinie mithilfe der Anweisungen unter „Erstellen und
Konfigurieren neuer clientseitiger Richtlinien“ auf Seite 245, oder klicken Sie
im Abschnitt Policies der Seite auf eine vorhandene Richtlinie.
3. Klicken Sie auf die Registerkarte für das Betriebssystem, für das Sie Host
Checker-Optionen festlegen möchten – Windows, Mac oder Linux. In einer
Richtlinie können unterschiedliche Host Checker-Anforderungen für jedes
Betriebssystem definiert werden. Sie können z.B. eine Richtlinie erstellen, die
auf jedem Betriebssystem unterschiedliche Dateien oder Prozesse überprüft.
4. Wählen Sie unter Rule Settings eine der folgenden Optionen aus, und klicken
Sie auf Add. Die Seite Add Custom Rule für den Regeltyp wird angezeigt.
3rd Party NHC Check – (nur Windows) Geben Sie mit dieser Regel den
Speicherort einer benutzerdefinierten DLL an, die mit der
Clientschnittstelle für Host Checker geschrieben wird. Host Checker ruft die
DLL auf, um benutzerdefinierte clientseitige Überprüfungen auszuführen.
Wenn die DLL eine Bestätigung an Host Checker zurückgibt, betrachtet das
IVE die Regel als erfüllt. (Weitere Informationen zum Erstellen einer
benutzerdefinierten DLL mithilfe der Clientschnittstelle für Host Checker
finden Sie im Handbuch J.E.D.I. Solution Guide Guide im Juniper Networks
Customer Support Center.) Gehen Sie auf der Konfigurationsseite für 3rd
Party NHC Check folgendermaßen vor:
vi. Geben Sie einen Namen und Anbieter für die Drittanbieter-NHCPrüfungsregel ein.
vii. Geben Sie den Speicherort der DLL auf den Clientcomputern (Pfad und
Dateiname) an.
viii. Klicken Sie auf Save Changes.
252
Erstellen globaler Richtlinien für Host Checker
Kapitel 11: Host Checker
Ports – Mithilfe dieses Regeltyps steuern Sie die Netzwerkverbindungen,
die ein Client während einer Sitzung herstellen kann. Mit diesem Regeltyp
wird sichergestellt, dass bestimmte Ports auf dem Clientcomputer geöffnet
oder geschlossen sind, bevor der Benutzer auf das IVE zugreifen kann.
Gehen Sie auf der Konfigurationsseite für Ports folgendermaßen vor:
i.
Geben Sie einen Namen für die Portregel ein.
ii.
Geben Sie eine Liste von Ports mit Kommas als Trennzeichen (ohne
Leerzeichen) oder einen Bereich von Ports ein, beispielsweise:
1234,11000-11999,1235.
iii. Wählen Sie Required, um zu festzulegen, dass diese Ports auf dem
Clientcomputer geöffnet sein müssen, oder Deny, um zu bestimmen,
dass die Ports geschlossen sein müssen.
iv. Klicken Sie auf Save Changes.
Process – Mithilfe dieses Regeltyps steuern Sie die Software, die ein Client
während einer Sitzung ausführen kann. Mit diesem Regeltyp wird sichergestellt,
dass bestimmte Prozesse auf dem Clientcomputer ausgeführt bzw. nicht
ausgeführt werden, bevor der Benutzer auf vom IVE geschützte Ressourcen
zugreifen kann. Gehen Sie auf der Konfigurationsseite für Processes
folgendermaßen vor:
i.
Geben Sie einen Namen für die Prozessregel ein.
ii.
Geben Sie den Namen eines Prozesses (ausführbare Datei) ein,
beispielsweise: good-app.exe.
Für den Prozessnamen können Platzhalterzeichen verwendet werden.
Beispiel:
good*.exe
Weitere Informationen finden Sie unter „Verwenden von Platzhaltern
oder Umgebungsvariablen in einer Host Checker-Regel“ auf Seite 256.
iii. Wählen Sie Required aus, um festzulegen, dass dieser Prozess
ausgeführt werden muss, oder wählen Sie Deny aus, damit dieser
Prozess nicht ausgeführt wird.
iv. Geben Sie den MD5-Prüfsummenwert für jede der ausführbaren
Dateien ein, auf die die Richtlinie angewendet werden soll (optional).
Beispielsweise kann eine ausführbare Datei auf einem Desktop, einem
Laptop oder verschiedenen Betriebssystemen unterschiedliche MD5Prüfsummenwerte aufweisen. Auf einem System mit OpenSSL (auf
vielen Macintosh- und Linux-Systemen ist OpenSSL standardmäßig
installiert) kann der MD5-Prüfsummenwert mithilfe des folgenden
Befehls bestimmt werden:
openssl md5 <processFilePath>
v.
Klicken Sie auf Save Changes.
Erstellen globaler Richtlinien für Host Checker 253
Juniper Networks Secure Access – Administratorhandbuch
File – Mit diesem Regeltyp stellen Sie sicher, dass bestimmte Dateien auf dem
Clientcomputer vorhanden bzw. nicht vorhanden sind, bevor der Benutzer auf
das IVE zugreifen kann. Sie können Dateiprüfungen auch verwenden, um das
Alter und den Inhalt von erforderlichen Dateien auszuwerten (mithilfe von MD5Prüfsummen) und den Zugriff entsprechend zu gewähren bzw. zu verweigern.
Gehen Sie auf der Konfigurationsseite für Files folgendermaßen vor:
i.
Geben Sie einen Namen für die Dateiregel ein.
ii.
Geben Sie den Namen einer Datei (eines beliebigen Dateityps) ein,
beispielsweise: c:\temp\bad-file.txt oder /temp/bad-file.txt.
Für den Dateinamen können Platzhalterzeichen verwendet werden.
Beispiel:
*.txt
Sie können den Verzeichnispfad der Datei auch mit einer
Umgebungsvariable angeben. (Im Verzeichnispfad dürfen keine
Platzhalterzeichen verwendet werden.) Schließen Sie die Variable in die
Zeichen <% und %> ein. Beispiel:
<%windir%>\bad-file.txt
Weitere Informationen finden Sie unter „Verwenden von Platzhaltern
oder Umgebungsvariablen in einer Host Checker-Regel“ auf Seite 256.
iii. Wählen Sie Required aus, um zu bestimmen, dass diese Datei auf dem
Clientcomputer vorhanden sein muss, oder wählen Sie Deny aus, um
zu bestimmen, dass diese Datei nicht vorhanden ist.
iv. Geben Sie die Mindestversion der Datei an (optional). Wenn
beispielsweise die Datei „notepad.exe“ auf dem Client vorhanden sein
muss, können Sie in das Feld 5.0 eingeben. Host Checker akzeptiert
Notepad Version 5.0 und höher.
v.
Geben Sie das maximale Alter (File modified less than n days) der
Datei in Tagen an (optional). Wenn die Datei älter als die angegebene
Anzahl von Tagen ist, entspricht der Client nicht den Anforderungen
der Attributprüfung.
HINWEIS: Mit der Option für das maximale Alter kann das Alter von
Virensignaturen überprüft werden. Geben Sie im Feld File Name den Pfad einer
Datei an, deren Zeitstempel die letzte Aktualisierung der Virensignaturen angibt,
z. B eine Virensignaturdatenbank oder eine Protokolldatei, die bei jeder
Aktualisierung der Datenbank ebenfalls aktualisiert wird. Wenn Sie beispielsweise
TrendMicro verwenden, können Sie Folgendes angeben:
C:\Program Files\Trend Micro\OfficeScan Client\TmUpdate.ini.
254
Erstellen globaler Richtlinien für Host Checker
Kapitel 11: Host Checker
vi. Geben Sie den MD5-Prüfsummenwert für jede Datei ein, auf die die
Richtlinie angewendet werden soll (optional). Unter Macintosh und Linux
können Sie die MD5-Prüfsumme mit folgendem Befehl ermitteln:
openssl md5 <filePath>
vii. Klicken Sie auf Save Changes.
Registry Setting (nur Windows) – Mit diesem Regeltyp steuern Sie die
proprietären PC-Images, Systemkonfigurationen und Softwareeinstellungen,
über die ein Client für den Zugriff auf das IVE verfügen muss. Mit diesem
Regeltyp wird sichergestellt, dass bestimmte Registrierungsschlüssel auf dem
Clientcomputer festgelegt werden, bevor der Benutzer auf das IVE zugreifen
kann. Registrierungseinstellungsprüfungen können auch verwendet werden,
um das Alter erforderlicher Dateien auszuwerten und den Zugriff
entsprechend zu gewähren oder zu verweigern. Gehen Sie auf der
Konfigurationsseite für Registry Settings folgendermaßen vor:
i.
Geben Sie einen Namen für die Registrierungseinstellungsregel ein.
ii.
Wählen Sie in der Dropdownliste einen Stammschlüssel aus.
iii. Geben Sie den Pfad zum Anwendungsordner für den
Registrierungsteilschlüssel ein.
iv. Geben Sie den Namen des Schlüsselwertes ein, der gefordert werden
soll (optional). Dieser Name wird in der Spalte Name des
Registrierungs-Editors angezeigt.
v.
Wählen Sie in der Dropdownliste den Typ des Schlüsselwerts aus
(String, Binary oder DWORD) (optional). Dieser Typ wird in der Spalte
Type des Registrierungs-Editors angezeigt.
vi. Geben Sie den geforderten Registrierungsschlüsselwert an (optional).
Diese Informationen werden in der Spalte Data des RegistrierungsEditors angezeigt.
Wenn der Schlüsselwert für eine Anwendungsversion steht, aktivieren Sie
Minimum version, um die angegebene Version oder neuere Versionen
der Anwendung zuzulassen. Mit dieser Option können Sie beispielsweise
Versionsinformationen für eine Antivirenanwendung angeben, um
sicherzustellen, dass die Antivirensoftware des Clients aktuell ist. Das IVE
verwendet lexikalisches Sortieren, um zu bestimmen, ob der Client die
angegebene oder eine neuere Version enthält. Beispiel:
3.3.3 ist neuer als 3.3
4.0 ist neuer als 3.3
4.0a ist neuer als 4.0b
4.1 ist neuer als 3.3.1
vii. Klicken Sie auf Save Changes.
Erstellen globaler Richtlinien für Host Checker 255
Juniper Networks Secure Access – Administratorhandbuch
HINWEIS: Wenn Sie lediglich den Schlüssel und den Teilschlüssel angeben,
überprüft Host Checker einfach, ob der Ordner „Subkey“ in der Registrierung
vorhanden ist.
5. Fügen Sie optional der Richtlinie zusätzliche Regeln hinzu, geben Sie an, wie
Host Checker mehrere Regeln innerhalb der Richtlinie überprüfen soll, und
definieren Sie Hilfsoptionen mithilfe der Anweisungen unter „Erstellen und
Konfigurieren neuer clientseitiger Richtlinien“ auf Seite 245.
Verwenden von Platzhaltern oder Umgebungsvariablen in einer Host
Checker-Regel
Verwenden Sie die folgenden Platzhalter für die Angabe eines Dateinamens in einer
Custom File-Regel oder eines Prozessnamens in einer Custom Process-Regel:
Tabelle 15: Platzhalterzeichen für die Angabe von Datei- oder Prozessnamen
Platzhalterzeichen
Beschreibung
Beispiel
*
Entspricht einem beliebigen
Zeichen
*.txt
?
Entspricht genau einem Zeichen app-?.exe
In einer Custom File-Regel für Windows können die folgenden Umgebungsvariablen
zum Angeben des Verzeichnispfads einer Datei verwendet werden:
Tabelle 16: Umgebungsvariablen für die Angabe eines Verzeichnispfads unter Windows
Umgebungsvariable
Windows-Beispielwert
<%APPDATA%>
C:\Documents and Settings\jdoe\Application Data
<%windir%>
C:\WINDOWS
<%ProgramFiles%>
C:\Program Files
<%CommonProgramFiles%>
C:\Program Files\Common Files
<%USERPROFILE%>
C:\Documents and Settings\jdoe
<%HOMEDRIVE%>
C:
<%Temp%>
C:\Documents and Settings \<user name>\Local
Settings\Temp
In einer Custom File-Regel für Macintosh oder Linux können die folgenden
Umgebungsvariablen zum Angeben des Verzeichnispfads einer Datei verwendet
werden:
Tabelle 17: Umgebungsvariablen für die Angabe eines Verzeichnispfads unter Macintosh
und Linux
256
Umgebungsvariable
Macintosh-Beispielwert
<%java.home%>
/System/Library/Frameworks/JavaVM /local/local/java/j2sdk1.4.1_02/
.framework/ Versions/1.4.2/Home
jre
<%java.io.tmpdir%>
/tmp
/tmp
<%user.dir%>
/Users/admin
/home-shared/cknouse
Erstellen globaler Richtlinien für Host Checker
Linux-Beispielwert
Kapitel 11: Host Checker
Tabelle 17: Umgebungsvariablen für die Angabe eines Verzeichnispfads unter Macintosh
und Linux (Fortsetzung)
Umgebungsvariable
Macintosh-Beispielwert
Linux-Beispielwert
<%user.home%>
/Users/admin
/home/cknouse
HINWEIS: Obwohl Umgebungsvariablen auf die gleiche Weise wie Toolkit
Template-Direktiven formatiert sind, sind beide nicht austauschbar und sollten
nicht verwechselt werden.
Auswerten mehrerer Regeln in einer einzelnen Host Checker-Richtlinie
Wenn Sie mehrere Regeln in eine einzelne clientseitige Richtlinie aufnehmen,
müssen Sie angeben, wie Host Checker diese Regeln auswerten soll.
So geben Sie Anforderungen für mehrere Regeln in einer Host Checker-Richtlinie an:
1. Wählen Sie in der Administratorkonsole Authentication > Endpoint
Security > Host Checker.
2. Klicken Sie im Abschnitt Policies der Seite auf eine vorhandene Richtlinie, die
mehrere Regeln enthält.
3. Wählen Sie im Abschnitt Require eine der folgenden Optionen aus:
All of the above rules – Wählen Sie diese Option aus, um anzugeben, dass
der Computer des Benutzers eine Erfolgsmeldung für alle Regeln der
Richtlinie zurückgeben muss, um Zugriff zu erhalten.
Any of the above rules – Wählen Sie diese Option aus, um anzugeben,
dass der Computer des Benutzers eine Erfolgsmeldung für eine beliebige
Regel der Richtlinie zurückgeben muss, um Zugriff zu erhalten.
Custom – Wählen Sie diese Option aus, um die Regeln anzupassen, die der
Computer des Benutzers erfüllen muss, um Zugriff zu erhalten. Erstellen Sie
anschließend die benutzerdefinierte Regel mithilfe der Anweisungen im
folgenden Schritt.
4. (Nur benutzerdefinierte Ausdrücke) Wenn Sie in der Richtlinie alternative
Regelsätze verwenden möchten, kombinieren Sie mithilfe der folgenden
Anweisungen Regeln mit booleschen Operatoren (AND, OR):
Geben Sie den Namen der Regeln ins Textfeld Rules expression ein.
Verwenden Sie den Operator AND, um zwei Regeln oder Regelsätze für die
Rückgabe eines wahren Werts zu verlangen.
Verwenden Sie den Operator OR, um eine/n von zwei Regeln oder
Regelsätzen für die Rückgabe eines wahren Werts zu verlangen.
Verwenden Sie Klammern zum Kombinieren von Regelsätzen.
Erstellen globaler Richtlinien für Host Checker 257
Juniper Networks Secure Access – Administratorhandbuch
Mit dem folgenden Ausdruck können Sie z.B. die Ausführung einer persönlichen
Firewall und die Ausführung von einem von zwei möglichen
Antivirenprodukten erzwingen:
ZoneLabsFirewall AND (McAfeeAntivirus OR NortonAntivirus)
5. Klicken Sie auf Save Changes.
Aktivieren angepasster serverseitiger Richtlinien
Für Windows-Clients können globale Host Checker-Richtlinien erstellt werden, die
eine auf das IVE hochgeladene J.E.D.I.-DLL abrufen und auf Clientcomputern
ausführen. Weitere Informationen zum Erstellen dieser Richtlinien finden Sie im
J.E.D.I. Solution Guide im Juniper Networks Customer Support Center.
Hochladen eines Host Checker-Richtlinienpakets in das IVE
Damit das IVE eine Paketdefinitionsdatei erkennen kann, müssen Sie folgende
Schritte ausführen:
1. Weisen Sie der Paketdefinitionsdatei den Namen MANIFEST.HCIF zu, und legen
Sie diese ab in einem Ordner mit der Bezeichnung META-INF.
2. Erstellen Sie ein Host Checker-Richtlinienpaket durch das Erstellen eines ZIPArchivs. Dieses Archiv muss den Ordner META-INF mit der Datei MANIFEST.HCIF
sowie der Schnittstellen-DLL und Initialisierungsdateien enthalten. Das Host
Checker-Richtlinienpaket kann beispielsweise Folgendes enthalten:
META-INF/MANIFEST.HCIF
hcif-myPestPatrol.dll
hcif-myPestPatrol.ini
3. Laden Sie das Host Checker-Paket (bzw. -Pakete) in das IVE mithilfe der
Anweisungen unter „Aktivieren angepasster serverseitiger Richtlinien“ auf
Seite 258. Sie können mehrere Richtlinienpakete mit jeweils verschiedenen
MANIFEST.HCIF-Dateien in das IVE laden.
HINWEIS: Nachdem ein Host Checker-Richtlinienpaket in das IVE hochgeladen
wurde, kann es auf dem Server nicht mehr geändert werden. Das Paket muss auf
dem lokalen System bearbeitet werden, und die geänderte Version muss dann in
das IVE hochgeladen werden.
Host Checker erstellt unter der Annahme, dass alle Definitionen eindeutig sind,
in allen MANIFEST.HCIF-Dateien Tunnel für alle Tunneldefinitionen. Wenn Sie die
Liste der Zugriffstunneldefinitionen für die Vorauthentifizierungen für ein
Richtlinienpaket anzeigen möchten, klicken Sie auf der Seite Host Checker
Configuration unter 3rd Party Policy auf den Namen des gewünschten Pakets.
Das IVE listet die Tunneldefinitionen auf der Seite 3rd Party Policy unter Host
Checker Preauth Access Tunnels auf.
258
Erstellen globaler Richtlinien für Host Checker
Kapitel 11: Host Checker
4. Implementieren Sie die Richtlinie auf der Bereichs-, Rollen- oder
Ressourcenrichtlinienebene mithilfe der unter „Konfigurieren von Host
Checker-Einschränkungen“ auf Seite 270 beschriebenen Optionen. Wenn das
Paket selbst auf dem Clientcomputer installiert und ausgeführt werden soll (im
Gegensatz zu einer bestimmten erfüllten oder nicht eingehaltenen Richtlinie im
Paket), können Sie den beim Hochladen des Richtlinienpakets angegebenen
Namen verwenden (z.B. myPestPatrol). Verwenden Sie zum Erzwingen einer
bestimmten Richtlinie im Paket die Syntax <PackageName>.<PolicyName>.
Verwenden Sie beispielsweise zum Durchsetzen der Richtlinie FileCheck im
Paket myPestPatrol myPestPatrol.FileCheck. Anweisungen hierfür finden Sie
unter „Konfigurieren von Host Checker-Einschränkungen“ auf Seite 270.
So aktivieren Sie eine angepasste serverseitige Host Checker-Richtlinie:
1. Wählen Sie in der Administratorkonsole Authentication > Endpoint
Security > Host Checker.
2. Klicken Sie unter Policies auf New 3rd Party Policy.
3. Geben Sie einen Namen ein, um Ihre ZIP-Datei im IVE zu bezeichnen.
4. Navigieren Sie zu dem lokalen Verzeichnis, in dem sich Ihre ZIP-Datei befindet.
5. (Optional) Geben Sie Hilfsanweisungen und Aktionen für Benutzer an, deren
Computer die in der Richtlinie angegebenen Anforderungen nicht erfüllen.
Anweisungen hierfür finden Sie unter „Konfigurieren der Host CheckerHilfsoption“ auf Seite 274.
6. Klicken Sie auf Save Changes. Das IVE fügt die in der ZIP-Datei definierten
Richtlinien der Liste von Richtlinien auf der Seite Host Checker hinzu.
7. Implementieren Sie die Richtlinien auf der Bereichs-, Rollen- oder
Ressourcenrichtlinienebene mithilfe der unter „Konfigurieren von Host
Checker-Einschränkungen“ auf Seite 270 beschriebenen Optionen.
Erstellen globaler Richtlinien für Host Checker 259
Juniper Networks Secure Access – Administratorhandbuch
Aktivieren von Secure Virtual Workspace (sicherer virtueller
Arbeitsbereich)
Secure Virtual Workspace gewährleistet die Integrität von IVE-Sitzungsdaten auf
einem Clientcomputer mit Windows 2000 oder Windows XP, indem auf dem
Clientdesktop ein geschützter Arbeitsbereich erstellt wird. Durch Aktivieren von
Secure Virtual Workspace stellen Sie sicher, dass Endbenutzer, die sich am Intranet
anmelden, alle Interaktionen innerhalb einer vollkommen geschützten Umgebung
ausführen. Werden infolge von Anwendungen und Interaktionen des Benutzers
Daten auf eine Festplatte oder die Registrierung geschrieben, verschlüsselt Secure
Virtual Workspace diese Daten. Ist die IVE-Sitzung abgeschlossen, vernichtet Secure
Virtual Workspace standardmäßig alle eigenen oder zur Sitzung gehörenden Daten.
Der Status dieser Art von Informationen kann jedoch den persönlichen
Anforderungen angepasst werden. Beispiel: Möglicherweise sollen Daten über
mehrere Secure Virtual Workspace-Sitzungen weiterbestehen.
Das IVE erfüllt den Bereinigungs- und Löschstandard „DoD 5220.M“ zum sicheren
Löschen von Secure Virtual Workspace-Daten, die auf der Festplatte gespeichert sind.
Secure Virtual Workspace:
Entfernt Arbeitsbereichdaten und -ressourcen beim Beenden der Sitzung.
Stellt sicher, dass vor dem Starten von IE keine Browserhilfsobjekte in einen in
Internet Explorer ausgeführten Vorgang eingreifen.
Verhindert, dass Produkte für die Desktopsuche Webdatenverkehr abfangen
und den Inhalt registrieren.
Erstellt für alle Konfigurations- und Laufzeitvorgänge IVE-Protokolle.
Das IVE hostet Secure Virtual Workspace-Binärwerte, die das Clientsystem jedes
Mal aus dem IVE herunterlädt, wenn ein Benutzer eine Verbindung herstellt. Secure
Virtual Workspace erstellt ein virtuelles Dateisystem und eine virtuelle Registrierung
auf dem Client.
Definieren und konfigurieren Sie die Anwendungen, die im Secure Virtual
Workspace ausgeführt werden können. Sie können beispielsweise die folgenden
Anwendungskonfigurationstypen konfigurieren:
Beschränken des Startens von Internet Explorer und Outlook auf Secure Virtual
Workspace.
Einschränken von Anwendungsinstallationen und -ausführungen in einer
Secure Virtual Workspace-Sitzung. Dieses Verfahren gewährleistet, dass
Anwendungsbinärdateien nach dem Beenden der Sitzung vollständig vom
Clientcomputer entfernt werden.
Secure Virtual Workspace – Funktionen
Die IVE-Implementierung von Secure Virtual Workspace:
260
Aktivieren von Secure Virtual Workspace (sicherer virtueller Arbeitsbereich)
Kapitel 11: Host Checker
Benutzer des Clientdesktops müssen zum Herunterladen und Ausführen von
Secure Virtual Workspace keine Administratorberechtigungen besitzen.
Unterstützt die Verwendung von Secure Virtual Workspace zusammen mit Host
Checker. Host Checker wird beim Initiieren eines sicheren Arbeitsbereichs
automatisch gestartet.
Stellt Secure Virtual Workspace als J.E.D.I.-Modul zur Verfügung, um die
Erstellung von Secure Virtual Workspace-Richtlinien auf Benutzerrollen- oder
Benutzerbereichsebene zu ermöglichen.
Secure Virtual Workspace – Einschränkungen und Standardeinstellungen
Secure Virtual Workspace erlegt bei der Verwendung bestimmte Einschränkungen
auf und erstellt Standardeinstellungen, die von Ihnen geändert werden können.
Standardmäßig kann ein plattformspezifischer Browser nur in SVW ausgeführt
werden, wenn dies vom Administrator nicht ausdrücklich eingeschränkt ist.
Das IVE lässt keine Softwareanwendungen zu, die die HKLM-Registrierungseinträge
bei der Installation aktualisieren, sodass sie in SVW betrieben werden können.
Das IVE unterstützt die Dateinavigation der JSAM-Standardanwendungen
„Outlook“ und „Netbios“ durch SVW nicht, da für diese Anwendungen
Änderungen am Registrierungsschlüssel erforderlich sind. Das IVE unterstützt
jedoch Citrix- und Lotus Notes JSAM-Standardanwendungen in SVW.
Das IVE ermöglicht den Zugriff auf externe Drucker oder Speichergeräte durch
einige in SVW ausgeführte Anwendungen. Der Zugriff auf diese Geräte kann auf
Rollen- oder Bereichsebene nach Bedarf ermöglicht werden.
Endbenutzer können standardmäßig nicht auf Netzwerkfreigaben zugreifen,
außer Sie konfigurieren den Zugriff auf Netzwerkfreigaben in der SVW-Richtlinie.
Verwenden die Endbenutzer Firewalls oder andere im Kernel-Bereich ausgeführte
Anwendungen, treten möglicherweise Probleme beim Herunterladen von IVEClientkomponenten in SVW auf. Verwaltungsanwendungen auf niedriger Ebene
zeigen u.U. Meldungen an, für die Benutzereingriff erforderlich ist. Wenn Sie die
Option so einstellen, dass das Wechseln zum standardmäßigen oder realen
Desktop zugelassen wird, muss der Benutzer die Meldungen möglicherweise
nicht beachten. Ist diese Option deaktiviert, kann das Problem vom Benutzer
u.U. nicht behoben werden.
Secure Virtual Workspace unterstützt keine 16-Bit-Anwendungen.
Einige Windows-Tastenkombinationen funktionieren in einer SVW-Sitzung
möglicherweise nicht einwandfrei.
Sie können zum Anzeigen des Windows Task-Manager in SVW nicht die
Standardtastenkombination STRG+ALT+ENTF verwenden. Klicken Sie mit der
rechten Maustaste auf die Taskleiste von Windows (wenn die Taskleiste nicht
verschoben wurde, befindet sie sich normalerweise unten im Bildschirm), um
ein Popup-Menü zur Auswahl von Task Manager anzuzeigen.
Aktivieren von Secure Virtual Workspace (sicherer virtueller Arbeitsbereich) 261
Juniper Networks Secure Access – Administratorhandbuch
Haben Sie für das Aktualisierungsintervall des Host Checker-Status Null (0)
festgelegt, führt Host Checker die Statusüberprüfung einmal durch und wird
dann beendet. Beim Beenden von Host Checker wird SVW ebenfalls beendet.
Der Endbenutzer kann infolgedessen keine SVW-Sitzung starten. Legen Sie für
das Aktualisierungsintervall des Host Checker-Status nicht Null fest.
SVW sucht nur nach Dateisystemlaufwerken, wenn der Benutzer das erste Mal
die Sitzung startet. Startet der Benutzer eine Sitzung und fügt dann ein
Laufwerk hinzu (z.B. ein USB-Laufwerk), hat er während der Sitzung keinen
Zugriff auf dieses Laufwerk.
Konfigurieren von Secure Virtual Workspace
Sie konfigurieren Secure Virtual Workspace im Kontext einer Host CheckerRichtlinie. Alle definierten Secure Virtual Workspace-Richtlinien werden in einer
Liste unter Authentication > Endpoint Security > Host Checker angezeigt.
HINWEIS: Da die Secure Virtual Workspace-Sitzungsdaten auf dem realen Desktop
des Endbenutzers gespeichert werden, sollten Sie die Erhaltungsfunktion nur
implementieren, wenn die Endbenutzer immer die gleichen Clientcomputer
verwenden.
HINWEIS: Es wurden keine Vorgaben gemacht, dass keine Anmelde-URL
konfiguriert werden kann, die mehr als einem mit einer SVW-Richtlinie
konfigurierten Bereich zugeordnet ist. Wenn Sie mehrere Zuordnungen zu mehr
als einem Bereich konfigurieren, kommt es zu unvorhergesehenen Ergebnissen.
Der sichere virtuelle Desktop muss ausdrücklich konfiguriert werden, damit nur
eine SVW-Richtlinie für den Benutzer ausgewertet wird.
Definieren von Secure Virtual Workspace-Berechtigungen
Sie können angeben, auf welche Geräte und Ressourcen der Endbenutzer bei
Verwendung von Secure Virtual Workspace zugreifen darf.
So definieren Sie eine neue Richtlinie für Secure Virtual Workspace-Berechtigungen:
1. Wählen Sie in der Administratorkonsole Authentication > Endpoint
Security > Host Checker.
2. Klicken Sie unter Policies auf New Secure Virtual Workspace Policy.
3. Aktivieren Sie unter Permissions die Kontrollkästchen der Elemente, für die
Berechtigungen erteilt werden sollen:
262
Printers – Gewährt einem Endbenutzer Zugriff auf Netzwerkdrucker.
Restricted View of Files – Wenn die begrenzte Ansicht festgelegt ist, sind
nur die Verzeichnisse „Dokumente und Einstellungen“, „Programme“ und
die Systemordner von Windows auf dem Systemlaufwerk (normalerweise
„c:“) in SVW verfügbar.
Aktivieren von Secure Virtual Workspace (sicherer virtueller Arbeitsbereich)
Kapitel 11: Host Checker
HINWEIS: Wenn Sie die Option Restricted View of Files ausgewählt haben und die
Endbenutzer aufgeteilte Laufwerke konfigurieren, können sie nur auf Anwendungen
oder Dateien auf dem Systemlaufwerk (c:) zugreifen. Wenn Sie den Endbenutzern die
Aufteilung der Laufwerke ermöglichen, sollten Sie nicht die begrenzte Ansicht
verwenden.
Removable Drives – Ermöglicht Endbenutzern den Zugriff auf
austauschbare Laufwerke auf dem Clientcomputer des Endbenutzers.
Installiert ein Endbenutzer ein austauschbares USB-Speichergerät, sind
folgende zwei Verhaltensweisen möglich, je nachdem wie Sie diese Option
festgelegt haben:
Schließt der Benutzer das USB-Gerät vor dem Starten einer SVW-Sitzung
an, wird das Gerät als Festplatte erkannt. Der Benutzer kann während
einer SVW-Sitzung vom Gerät weder lesen noch darauf schreiben, auch
wenn Sie die Option Removable Drives aktiviert haben.
Schließt der Benutzer das USB-Gerät nach dem Starten einer SVWSitzung an, wird das Gerät als austauschbarer Datenträger erkannt, und
der Benutzer kann darauf zugreifen, wenn Sie bei der Konfiguration
von SVW die Option Removable Drives aktiviert haben.
Network Share Access – Gewährt einem Endbenutzer Zugriff auf
Laufwerke der Netzwerkfreigaben.
Switch to Real Desktop – Ermöglicht Endbenutzern das Hin- und
Herschalten zwischen Secure Virtual Workspace und dem Clientdesktop
des Endbenutzers.
Desktop Persistence – Ermöglicht Endbenutzern die Verwaltung von
Secure Virtual Workspace für Clientsitzungen ausschließlich in NTFSDateisystemen.
HINWEIS:
Das Erhalten und Wechseln des Desktops wird von FAT16- oder FAT32Dateisystemen nicht unterstützt.
Beachten Sie, dass mehrere Benutzer, die zum Verschlüsseln von SVW auf
demselben Host das gleiche Kennwort verwenden, möglicherweise Zugriff auf
den mit diesem statischen Kennwort geschützten Speicher der permanenten
Daten erhalten. Benutzer sollten zum Sichern permanenter SVW-Daten in
Systemen mit mehreren Benutzern ein sicheres Kennwort verwenden.
4. Fahren Sie mit dem Definieren der Richtlinie fort, oder klicken Sie auf Save
Changes.
Definieren einer Anwendungsrichtlinie für Secure Virtual Workspace
Sie können angeben, welche Anwendungen der Endbenutzer bei der Verwendung
von Secure Virtual Workspace installieren oder ausführen darf.
Aktivieren von Secure Virtual Workspace (sicherer virtueller Arbeitsbereich) 263
Juniper Networks Secure Access – Administratorhandbuch
So definieren Sie eine neue Richtlinie für Secure Virtual Workspace-Anwendungen:
1. Wählen Sie in der Administratorkonsole Authentication > Endpoint
Security > Host Checker.
2. Klicken Sie unter Policies auf New Secure Virtual Workspace Policy, oder
klicken Sie auf den Link einer bereits vorhandenen Secure Virtual WorkspaceRichtlinie.
3. Aktivieren Sie unter Applications die Kontrollkästchen der zu aktivierenden
Anwendungstypen:
264
Control panel – Ermöglicht Endbenutzern in Secure Virtual Workspace den
Zugriff auf die Systemsteuerung von Windows.
Run menu – Ermöglicht Endbenutzern in Secure Virtual Workspace den
Zugriff auf das Menü zum Ausführen von Windows.
Registry editor – Ermöglicht Endbenutzern in Secure Virtual Workspace
den Zugriff auf den Registrierungs-Editor von Windows (regedt32.exe).
Task manager – Ermöglicht Endbenutzern in Secure Virtual Workspace den
Zugriff auf den Task-Manager von Windows (taskmgr.exe) und Systemprozesse.
Command window – Ermöglicht Endbenutzern in Secure Virtual
Workspace den Zugriff auf das Befehlsfenster von Windows (cmd.exe) und
das Ausführen von Befehlen.
Custom applications – Geben Sie benutzerdefinierte Anwendungen an, die
Endbenutzer in Secure Virtual Workspace ausführen dürfen. Nehmen Sie
beispielsweise interne Anwendungen, nicht standardmäßige Browser und
andere Anwendungen mit auf. Geben Sie in das mehrzeilige Textfeld pro Zeile
eine Anwendung einschließlich der Erweiterung.exe ein. Sie können auch den
Platzhalter * für eine gesamte Klasse von Anwendungen verwenden und einen
optionalen MD5-Hash-Wert nach dem Namen der ausführbaren Datei und
einem Komma (telnet.exe,0414ea8) mit aufnehmen.
Applications to deny – Geben Sie Anwendungen an, die für Endbenutzer in
Secure Virtual Workspace gesperrt werden sollen. Geben Sie in das mehrzeilige
Textfeld pro Zeile eine Anwendung einschließlich der Erweiterung für jede
ausführbare Datei ein.
Aktivieren von Secure Virtual Workspace (sicherer virtueller Arbeitsbereich)
Kapitel 11: Host Checker
HINWEIS:
Benutzerdefinierte Anwendungen, die nicht im Feld Custom applications
aufgeführt sind, werden standardmäßig gesperrt.
Wenn Sie dieselbe Anwendung zum Textfeld Custom applications und zum
Textfeld Applications to deny hinzufügen, besitzt die Sperrung Priorität, und
Benutzern wird der Zugriff auf die Anwendung in SVW-Sitzungen gesperrt. Dies
kann geschehen, wenn Sie Platzhalter verwenden, um Anwendungen in beiden
Listen anzugeben. Beispiel: Wenn Sie *plore.exe in der Liste der zugelassenen
Anwendungen und iex*.exe in der Liste der gesperrten Anwendungen angeben,
wird der Zugriff auf iexplore.exe gesperrt.
4. Fahren Sie mit dem Definieren der Richtlinie fort, oder klicken Sie auf
Save Changes.
Nach dem Definieren der Virtual Workspace-Richtlinien müssen Sie diese als
Richtlinien für die Bereichsauthentifizierung auf Benutzerebene aktivieren, wie
unter „Implementieren von Host Checker-Richtlinien“ auf Seite 267 beschrieben.
Definieren einer Sicherheitsrichtlinie für Secure Virtual Workspace
Sie können Verschlüsselungsebenen angeben und die Verwendung der
Drittanbietererweiterungen in Internet Explorer und Outlook steuern.
So geben Sie Sicherheitsoptionen für eine neue Secure Virtual Workspace-Richtlinie an:
1. Wählen Sie in der Administratorkonsole Authentication > Endpoint
Security > Host Checker.
2.
Klicken Sie unter Policies auf New Secure Virtual Workspace Policy, oder klicken
Sie auf den Link einer bereits vorhandenen Secure Virtual Workspace-Richtlinie.
3. Geben Sie den Typ des AES-Schlüssels an, der vom IVE zur Aktivierung von
Secure Virtual Workspace auf dem Client verwendet wird. Zur Verfügung stehen
128-, 192- und 256-Byte-Schlüssel.
4. Geben Sie die zulässigen IE- oder Outlook-Erweiterungen an, indem Sie ins
Textfeld IE/Outlook extensions to allow alle zulässigen DLLs in separate Zeilen
eingeben. Nicht aufgeführte Erweiterungen werden standardmäßig gesperrt.
Diese Erweiterungen sind kleine Anwendungen, die an die Secure Virtual
Workspace-Sitzung weitergegeben und wieder entfernt werden.
5. Fahren Sie mit dem Definieren der Richtlinie fort, oder klicken Sie auf Save
Changes.
Definieren von Umgebungsoptionen für Secure Virtual Workspace
So geben Sie Umgebungsoptionen für eine neue Secure Virtual Workspace-Richtlinie an:
1. Wählen Sie in der Administratorkonsole Authentication > Endpoint Security >
Host Checker.
Aktivieren von Secure Virtual Workspace (sicherer virtueller Arbeitsbereich) 265
Juniper Networks Secure Access – Administratorhandbuch
2.
Klicken Sie unter Policies auf New Secure Virtual Workspace Policy, oder klicken
Sie auf den Link einer bereits vorhandenen Secure Virtual Workspace-Richtlinie.
3. Geben Sie unter Options die maximale Dauer (in Minuten) an, die sich die
Secure Virtual Workspace-Sitzung eines Clients im Leerlauf befinden darf, bevor
die Verbindung zum IVE getrennt wird.
4. Geben Sie ein Bild für den Desktophintergrund an (optional).
5. Geben Sie eine Hintergrundfarbe für den Desktop an (optional).
6. Geben Sie die für den Zugriff auf SVW zu verwendende Anmelde-URL an.
Zu den verfügbaren URLs gehören die standardmäßige Benutzeranmelde-URL
und die URLs, die Sie unter Authentication > Signing in > Sign-in Policies
festgelegt haben. Wenn SVW den Benutzer zum ersten Mal in den virtuellen
Arbeitsbereich versetzt wird und einen Browser initiiert, tritt der Benutzer
mithilfe einer Anmelde-URL dem IVE bei. Diese Anmelde-URL ist standardmäßig
dieselbe wie die vom Benutzer zum Starten der IVE-Sitzung eingegebene URL.
Sie können mithilfe dieser Option eine andere Anmelde-URL konfigurieren.
HINWEIS: Das IVE unterstützt keine Hostnamen mit Platzhaltern wie z.B.
*.host.com/[Pfad].
7. Fahren Sie mit dem Definieren der Richtlinie fort, oder klicken Sie auf Save
Changes.
Definieren einer Hilfsoptionsrichtlinie für Secure Virtual Workspace
So geben Sie Hilfsoptionen für eine neue Virtual Workspace-Richtlinie an:
1. Wählen Sie in der Administratorkonsole Authentication > Endpoint Security >
Host Checker.
2. Klicken Sie unter Policies auf New Secure Virtual Workspace Policy, oder klicken
Sie auf den Link einer bereits vorhandenen Secure Virtual Workspace-Richtlinie.
3. Wählen Sie unter Remediation Hilfsoptionen für Benutzer aus, deren
Computer die in der Richtlinie angegebenen Anforderungen nicht erfüllen.
Anweisungen hierfür finden Sie unter „Konfigurieren der Host CheckerHilfsoption“ auf Seite 274.
HINWEIS: Wenn Sie keine Hilfsanweisungen erstellen, wissen die Benutzer beim
Fehlschlagen der Richtlinie nicht, warum sie Secure Virtual Workspace nicht
starten und nicht auf lokale Ressourcen zugreifen können.
266
Enable Custom Instructions – Erweitert das Textfeld, in das
benutzerdefinierte Anweisungen als Text oder HTML eingegeben werden
können. Diese Anweisungen werden Endbenutzern angezeigt, wenn in
Secure Virtual Workspace Probleme bei Hilfsoptionen auftreten.
Aktivieren von Secure Virtual Workspace (sicherer virtueller Arbeitsbereich)
Kapitel 11: Host Checker
Evaluate Other Policies – Öffnet Listenfelder, mit deren Hilfe beim
Initiieren von Secure Virtual Workspace andere zu bewertende Host
Checker-Richtlinien ausgewählt werden können.
Remediate – Wendet Korrekturregeln an.
Kill Processes – Öffnet ein Textfeld, in das Anwendungsprozesse und MD5Hashwerte für die zu beendenden Prozesse eingegeben werden. Beispiel:
Application.exe
MD5: 6A7DFAF12C3183B56C44E89B12DBEF56
MD5: 9S3AJ912CC3183B56C44E89B12DI2AC9
Delete Files – Öffnet ein Textfeld, in das die Dateinamen der zu
löschenden Dateien eingegeben werden (ein Name pro Zeile).
4. Klicken Sie auf Save Changes.
Implementieren von Host Checker-Richtlinien
Schränken Sie nach der Erstellung globaler Richtlinien über die Seite Authentication
> Endpoint Security > Host Checker der Administratorkonsole den IVE- und
Ressourcenzugriff ein, indem Sie Host Checker für Folgendes anfordern:
Richtlinie für die Bereichsauthentifizierung – Wenn Administratoren oder
Benutzer versuchen, sich am IVE anzumelden, wertet das IVE die
Authentifizierungsrichtlinie des angegebenen Bereichs aus, und es ermittelt, ob
für die Authentifizierung auch Host Checker ausgeführt werden muss. In der
Konfiguration einer Richtlinie für die Bereichsauthentifizierung können Sie
festlegen, dass Host Checker heruntergeladen wird, dass Host Checker gestartet
wird und außerdem die für den Bereich festgelegte Host Checker-Richtlinien
durchgesetzt werden oder dass Host Checker nicht erforderlich ist. Der Benutzer
muss sich über einen Computer anmelden, der den für den Bereich festgelegten
Anforderungen für Host Checker entspricht. Erfüllt der Computer des Benutzers
die Anforderungen nicht, verweigert das IVE dem Benutzer den Zugriff, sofern
Sie keine Hilfsoptionen konfiguriert haben, mit deren Hilfe der Benutzer seinen
Computer mit den Sicherheitsanforderungen in Einklang bringen kann.
Konfigurieren Sie Einschränkungen auf Bereichsebene über die Seite
Administrators > Admin Realms > BereichAuswählen > Authentication
Policy > Host Checker oder Users > User Realms > BereichAuswählen >
Authentication Policy > Host Checker der Administratorkonsole.
Rolle – Wenn das IVE ermittelt, welche Rollen einem Administrator oder
Benutzer zugeordnet werden können, wertet es die Einschränkungen der
einzelnen Rollen aus. Dabei wird festgelegt, ob der Computer des Benutzers für
die Rolle bestimmte Host Checker-Richtlinien erfüllen muss. Wenn dies der Fall
ist und der Computer des Benutzers die festgelegten Host Checker-Richtlinien
nicht erfüllt, erfolgt keine Rollenzuordnung durch das IVE, es sei denn, Sie
konfigurieren Hilfsoptionen, mithilfe derer der Benutzer seinen Computer mit
den Sicherheitsanforderungen in Einklang bringen kann. Konfigurieren Sie die
Implementieren von Host Checker-Richtlinien 267
Juniper Networks Secure Access – Administratorhandbuch
Rollenzuordnung mithilfe der Einstellungen auf der Seite Users > User Realms
> BereichAuswählen > Role Mapping. Konfigurieren Sie Einschränkungen auf
Rollenebene über die Seite Administrators > Admin Roles > RolleAuswählen
> General > Restrictions > Host Checker der Administratorkonsole oder die
Seite Users > User Roles> RolleAuswählen > General > Restrictions > Host
Checker.
Ressourcenrichtlinie – Wenn ein Benutzer eine Ressource anfordert, wertet das
IVE die detaillierten Regeln der Ressourcenrichtlinie aus. Dabei wird ermittelt, ob der
Computer des Benutzers für die betreffende Ressource bestimmte Host CheckerRichtlinien erfüllen muss. Wenn der Computer des Benutzers die festgelegten Host
Checker-Richtlinien nicht erfüllt, verweigert das IVE den Zugriff auf die Ressource, es
sei denn, Sie konfigurieren Hilfsoptionen, mithilfe derer der Benutzer seinen
Computer mit den Sicherheitsanforderungen in Einklang bringen kann. Verwenden
Sie die Einstellungen auf der Seite Users > Resource Policies >
RessourceAuswählen > RichtlinieAuswählen > Detailed Rules, um Host CheckerEinschränkungen auf Ressourcenrichtlinienebene zu implementieren.
Sie können festlegen, dass das IVE die Host Checker-Richtlinien nur beim
erstmaligen Zugriffsversuch des Benutzers auf den Bereich, die Rolle oder die
Ressource auswertet. Sie können auch festlegen, dass das IVE die Richtlinien
während der Sitzung des Benutzers in regelmäßigen Abständen erneut auswerten
soll. Bei einer periodischen Auswertung von Host Checker-Richtlinien ordnet das
IVE die Benutzer dynamisch bestimmten Rollen zu und gewährt ihnen je nach den
Ergebnissen der jeweils letzten Auswertung Zugriff auf neue Ressourcen.
Ausführen von Host Checker-Richtlinien
Bei dem Versuch eines Benutzers, auf das IVE zuzugreifen, wertet Host Checker die
Richtlinien in der folgenden Reihenfolge aus:
1. Erstauswertung – Beim erstmaligen Zugriffsversuch eines Benutzers auf die
IVE-Anmeldeseite nimmt Host Checker eine erste Auswertung vor. Anhand der
Regeln, die Sie in den Richtlinien festgelegt haben, überprüft Host Checker, ob
der Client die Endpunktsicherheitsanforderungen erfüllt, und übermittelt das
Ergebnis an das IVE. Die Erstauswertung erfolgt unabhängig davon, ob die
Hostprüfungsrichtlinien auf Bereichs-, Rollen- oder Ressourcenrichtlinienebene
implementiert wurden.
Wenn der Benutzer die IVE-Anmeldeseite nach dem Starten von Host Checker und
vor dem Anmelden am IVE verlässt, wird Host Checker auf dem Computer des
Benutzers ausgeführt, bis der Vorgang durch eine Zeitbegrenzung abgebrochen wird.
Erhält das IVE von Host Checker aus unbestimmten Gründen (einschließlich
manueller Beendigung von Host Checker durch den Benutzer) keine Ergebnisse,
zeigt das IVE eine Fehlermeldung an und fordert den Benutzer auf, zur
Anmeldeseite zurückzukehren.
Wird von Host Checker ein Ergebnis zurückgegeben, setzt das IVE die
Auswertung der Richtlinien auf Bereichsebene fort.
268
Implementieren von Host Checker-Richtlinien
Kapitel 11: Host Checker
2. Richtlinien auf Bereichsebene – Anhand der von Host Checker übermittelten
Ergebnisse der ersten Auswertung bestimmt das IVE, auf welche Bereiche der
Benutzer zugreifen kann. Anschließend zeigt das IVE Bereiche für den Benutzer
an bzw. blendet sie aus. Dieser kann sich nur in den Bereichen anmelden, die
für die Anmeldeseite aktiviert sind und deren Anforderungen für Host Checker
erfüllt sind. Wenn der Benutzer die Anforderungen von Host Checker für keinen
der verfügbaren Bereiche erfüllt, wird die Anmeldeseite nicht angezeigt.
Stattdessen wird eine Fehlermeldung angezeigt, die darüber informiert, dass
der Benutzer keinen Zugriff hat, es sei denn, Sie konfigurieren Hilfsoptionen,
mithilfe derer der Benutzer seinen Computer mit den Sicherheitsanforderungen
in Einklang bringen kann.
Überprüfungen auf Bereichsebene durch Host Checker erfolgen ausschließlich
im Zuge der Anmeldung des Benutzers am IVE. Sollte sich der Systemzustand
eines Benutzers während einer Sitzung ändern, bleibt der aktuelle Bereich
weiterhin sichtbar, ohne dass jedoch Zugriff auf neue Bereiche besteht.
3. Richtlinien auf Rollenebene – Nachdem sich der Benutzer an einem Bereich
angemeldet hat, wertet das IVE die Richtlinien auf Rollenebene aus und ordnet
den Benutzer der Rolle bzw. den Rollen zu, deren Anforderungen für Host
Checker erfüllt sind. Anschließend zeigt das IVE die IVE-Startseite an und
aktiviert die für die zugeordnete(n) Rolle(n) zulässigen Optionen.
Wenn Host Checker während einer periodischen Auswertung einen anderen
Status zurückgibt, ordnet das IVE basierend auf den neuen Ergebnissen den
Benutzer neuen Rollen zu. Wenn der Benutzer während einer periodischen
Auswertung die Zugriffsrechte für alle verfügbaren Rollen verliert, beendet das
IVE die Sitzung des Benutzers, es sei denn, Sie konfigurieren Hilfsoptionen, mit
deren Hilfe der Benutzer seinen Computer mit den Sicherheitsanforderungen in
Einklang bringen kann.
4. Richtlinien auf Ressourcenebene – Nachdem das IVE dem Benutzer den
Zugriff auf die Startseite gewährt hat, kann dieser den Zugriff auf eine
Ressource versuchen, die von einer Ressourcenrichtlinie gesteuert wird. In
diesem Fall ermittelt das IVE, ob die in der Ressourcenrichtlinie festgelegte
Aktion basierend auf dem letzten von Host Checker zurückgegebenen Status
ausgeführt werden soll.
Wenn Host Checker während einer periodischen Auswertung einen anderen
Status zurückgibt, wirkt sich dieser neue Status lediglich auf neue Ressourcen
aus, auf die der Benutzer zuzugreifen versucht. Wenn der Benutzer z.B. eine
Network Connect-Sitzung gestartet hat, die nächste Hostprüfung auf
Ressourcenebene aber fehlschlägt, kann er weiterhin auf die offene Network
Connect-Sitzung zugreifen. Das IVE verweigert ihm nur dann den Zugriff, wenn
er versucht, eine neue Network Connect-Sitzung zu starten. Bei jedem Versuch,
auf eine neue Webressource zuzugreifen oder eine neue Secure Application
Manager-, Network Connect- oder Secure Terminal Access-Sitzung zu starten,
überprüft das IVE den letzten von Host Checker zurückgegebenen Status.
Unabhängig vom Ergebnis verbleibt Host Checker auf dem Client. WindowsBenutzer können den Agent manuell deinstallieren, indem sie im
Installationsverzeichnis von Host Checker die Datei uninstall.exe ausführen. Wenn
Sie die clientseitige Protokollierung über die Seite System > Log/Monitoring >
Client Logs aktivieren, enthält dieses Verzeichnis auch eine Protokolldatei, die das
IVE bei jeder Ausführung von Host Checker neu schreibt.
Implementieren von Host Checker-Richtlinien 269
Juniper Networks Secure Access – Administratorhandbuch
Wenn Sie die dynamische Richtlinienauswertung für Host Checker aktivieren (siehe
„Dynamische Richtlinienauswertung“ auf Seite 41), nimmt das IVE bei jeder
Änderung des Host Checker-Status eines Benutzers eine Auswertung der auf
Bereichsebene implementierten Richtlinien vor. Wenn die dynamische
Richtlinienauswertung für Host Checker nicht aktiviert ist, wertet das IVE zwar
keine Ressourcenrichtlinien aus, die Authentifizierungsrichtlinie,
Rollenzuordnungsregeln und Rolleneinschränkungen werden dennoch bei jeder
Änderung des Host Checker-Status eines Benutzers ausgewertet.
Konfigurationsanweisungen finden Sie unter „Festlegen von allgemeinen Host
Checker-Optionen“ auf Seite 280.
Konfigurieren von Host Checker-Einschränkungen
So geben Sie Host Checker-Einschränkungen an:
1.
Wählen Sie: Authentication > Endpoint Security > Host Checker, und legen
Sie globale Optionen für Host Checker fest, die auf alle Benutzer angewendet werden,
für die gemäß einer Authentifizierungsrichtlinie, einer Rollenzuordnungsregel oder
einer Ressourcenrichtlinie Host Checker erforderlich ist.
2. Gehen Sie folgendermaßen vor, wenn Sie Host Checker auf der Bereichsebene
implementieren möchten:
a.
b.
c.
270
Wählen Sie:
Administrators > Admin Realms > Bereich auswählen >
Authentication Policy > Host Checker
Users > User Realms > Bereich auswählen > Authentication
Policy > Host Checker
Wählen Sie eine der folgenden Optionen für alle verfügbaren Richtlinien
oder für einzelne Richtlinien in der Spalte Available Policies aus:
Evaluate Policies – Auswertung ohne Durchsetzen der Richtlinie auf
dem Client. Benutzerzugriff ist gestattet. Bei dieser Option erfüllt der
Benutzer die Zugriffsvoraussetzungen auch dann, wenn Host Checker
nicht installiert ist.
Require and Enforce – Erfordert und erzwingt die Richtlinie auf dem
Client, damit der Benutzer sich im angegebenen Bereich anmelden kann.
Hier müssen von Host Checker die festgelegten Host Checker-Richtlinien
ausgeführt werden, damit der Benutzer die Zugriffsvoraussetzungen
erfüllt. Das IVE muss Host Checker auf den Clientcomputer herunterladen.
Wenn Sie diese Option für die Authentifizierungsrichtlinie eines Bereichs
auswählen, lädt das IVE Host Checker auf den Clientcomputer herunter,
nachdem der Benutzer authentifiziert, aber bevor er Rollen im System
zugeordnet wurde. Durch Auswahl dieser Option wird automatisch die
Option Evaluate Policies aktiviert.
Aktivieren Sie das Kontrollkästchen Allow access to realm if any ONE of
the selected „Require and Enforce“ policies is passed, wenn Benutzer
nicht alle Anforderungen in allen ausgewählten Richtlinien erfüllen
müssen. Stattdessen kann der Benutzer auf den Bereich zugreifen, wenn er
die Anforderungen einer ausgewählten Host Checker-Richtlinie erfüllt.
Implementieren von Host Checker-Richtlinien
Kapitel 11: Host Checker
3. Gehen Sie folgendermaßen vor, wenn Sie Host Checker auf der Rollenebene
implementieren möchten:
a.
b.
c.
Wählen Sie:
Administrators > Admin Roles > Rolle auswählen > General >
Restrictions > Host Checker
Users > User Roles > Rolle auswählen > General > Restrictions >
Host Checker
Wählen Sie eine der folgenden Optionen aus:
Allow all users – Der Benutzer erfüllt die Zugriffsvoraussetzungen auch
dann, wenn Host Checker nicht installiert ist.
Allow only users whose workstations meet the requirements
specified by these Host Checker policies – Hier müssen von Host
Checker die festgelegten Host Checker-Richtlinien ausgeführt werden,
damit der Benutzer die Zugriffsvoraussetzungen erfüllt.
Aktivieren Sie das Kontrollkästchen Allow access to role if any ONE of the
selected „Require and Enforce“ policies is passed, wenn Benutzer nicht
alle Anforderungen in allen ausgewählten Richtlinien erfüllen müssen.
Stattdessen kann der Benutzer auf die Rolle zugreifen, wenn er die
Anforderungen einer ausgewählten Host Checker-Richtlinie erfüllt.
4. Gehen Sie folgendermaßen vor, wenn Sie Rollenzuordnungsregeln basierend auf
dem Host Checker-Status eines Benutzers erstellen möchten:
a.
Wählen Sie: Users > User Realms > Bereich auswählen > Role Mapping.
b.
Klicken Sie auf New Rule, wählen Sie aus der Liste Rule based on Custom
Expressions, und klicken Sie auf Update. Oder wählen Sie zum
Aktualisieren einer vorhandenen Regel diese aus der Liste When users
meet these conditions aus.
c.
Klicken Sie auf Expressions.
d. Schreiben Sie einen benutzerdefinierten Ausdruck für die
Rollenzuordnungsregel, um den Status von Host Checker anhand der
Variable hostCheckerPolicy auszuwerten. Hilfe zum Schreiben der
benutzerdefinierten Ausdrücke finden Sie in den Tipps im Expressions
Dictionary. Siehe auch „Benutzerdefinierte Ausdrücke“ auf Seite 915.
e.
Wählen Sie im Abschnitt ...then assign these roles die Rollen aus, die das
IVE Benutzern zuordnen soll, wenn diese die im benutzerdefinierten
Ausdruck angegebenen Anforderungen erfüllen, und klicken Sie auf Add.
f.
Wählen Sie Stop processing rules when this rule matches, falls das IVE
die Auswertung von Rollenzuordnungsregeln beenden soll, wenn der
Benutzer die in dieser Regel festgelegten Anforderungen erfüllt.
Implementieren von Host Checker-Richtlinien 271
Juniper Networks Secure Access – Administratorhandbuch
5. Gehen Sie folgendermaßen vor, wenn Sie Host Checker auf der
Ressourcenrichtlinienebene implementieren möchten:
a.
Wählen Sie: Users > Resource Policies > Ressource auswählen >
Richtlinie auswählen > Detailed Rules.
b.
Klicken Sie auf New Rule, oder wählen Sie eine vorhandene Regel aus der
Liste Detailed Rules aus.
c.
Schreiben Sie einen benutzerdefinierten Ausdruck für die detaillierte Regel,
um den Status von Host Checker anhand der Variable hostCheckerPolicy
auszuwerten. Hilfe zum Schreiben der benutzerdefinierten Ausdrücke
finden Sie in den Tipps im Conditions Dictionary. Siehe auch
„Benutzerdefinierte Ausdrücke“ auf Seite 915.
Mit diesen Optionen können Sie steuern, welche Version einer Anwendung oder
eines Dienstes auf Clientcomputern ausgeführt wird.
Korrigieren von Host Checker-Richtlinien
Bei der Definition einer Richtlinie für Host Checker können Sie Hilfsoptionen
festlegen, die Host Checker anbieten soll, wenn ein Benutzercomputer die
Anforderungen der Richtlinie nicht erfüllt. Sie können beispielsweise das IVE so
konfigurieren, dass dem Benutzer eine Hilfsoptionsseite angezeigt wird, die Ihre
speziellen Anweisungen und Links zu Ressourcen enthält, mit deren Hilfe der
Benutzer den Computer mit den Anforderungen der Host Checker-Richtlinie in
Einklang bringen kann.
So kann dem Benutzer eine Hilfsoptionsseite angezeigt werden, die z.B. die
folgenden Anweisungen und den folgenden Link enthält:
Your computer's security is unsatisfactory.
Your computer does not meet the following security requirements. Please follow
the instructions below to fix these problems. When you are done click Try Again. If
you choose to Continue without fixing these problems, you may not have access
to all of your intranet servers.
1. TrendMicro
Instructions: You do not have the latest signature files. Click here to download
the latest signature files.
Sie können für jede Host Checker-Richtlinie zwei Arten von Hilfsoptionen
konfigurieren:
272
User-driven – Mithilfe benutzerdefinierter Anweisungen kann der Benutzer über
die fehlgeschlagene Richtlinie und darüber, wie er den Computer mit der Richtlinie
in Einklang bringen kann, informiert werden. Die nötigen Schritte für eine
erfolgreiche Neuauswertung der fehlgeschlagenen Richtlinie müssen vom Benutzer
vorgenommen werden. Sie können beispielsweise eine benutzerdefinierte Seite
mit einem Link zu einem Richtlinienserver oder einer Webseite erstellen, auf der
der Benutzer den Computer mit der Richtlinie in Einklang bringen kann.
Korrigieren von Host Checker-Richtlinien
Kapitel 11: Host Checker
Automatic (system-driven) – Host Checker kann so konfiguriert werden, dass die
Hilfsoptionen für den Benutzercomputer automatisch ausgeführt werden. Sie
können z.B. Prozesse beenden, Dateien löschen oder eine andere Richtlinie
starten, wenn die ursprüngliche Richtlinie fehlschlägt. Unter Windows kann auch
die API-Funktion HCIF_Module.Remediate () als Teil einer J.E.D.I.-DLL aufgerufen
werden. Host Checker informiert Benutzer nicht über automatisch vorgenommene
Aktionen. (Sie können natürlich Informationen über automatische Aktionen in Ihre
benutzerdefinierten Anweisungen mit aufnehmen.)
Diese Hilfsoptionen können sowohl in Client- als auch in Serverrichtlinien aktiviert
werden. Konfigurationsanweisungen finden Sie unter „Erstellen und Konfigurieren
neuer clientseitiger Richtlinien“ auf Seite 245 oder „Aktivieren angepasster
serverseitiger Richtlinien“ auf Seite 258.
Host Checker-Hilfsoptionen für Benutzer
Die Hilfsoptionsseite wird in folgenden Situationen angezeigt:
Vor der Anmeldung:
Haben Sie benutzerdefinierte Anweisungen für fehlgeschlagene Richtlinien
aktiviert, zeigt das IVE dem Benutzer die Hilfsoptionsseite an. Der Benutzer
hat zwei Möglichkeiten:
Er ergreift die geeigneten Maßnahmen, um den Computer mit der
Richtlinie in Einklang zu bringen, und klickt anschließend auf der
Hilfsoptionsseite auf die Schaltfläche Try Again. Host Checker prüft
erneut, ob der Computer des Benutzers die Richtlinie erfüllt.
Er nimmt keine Änderungen vor und klickt auf die Schaltfläche Continue,
um sich beim IVE anzumelden. Er kann nicht auf den Bereich, die Rolle
oder die Ressource zugreifen, welche die Erfüllung der gescheiterten
Richtlinie erfordert.
HINWEIS: Wenn Sie für das IVE nicht wenigstens einen Bereich konfigurieren, für
den keine Erfüllung einer Host Checker-Richtlinie erzwungen wird, muss der
Benutzer seinen Computer erst mit den erzwungenen Richtlinien in Einklang
bringen, bevor er sich beim IVE anmeldet.
Wenn Sie keine benutzerdefinierten Anweisungen für fehlgeschlagene
Richtlinien aktiviert haben, zeigt Host Checker dem Benutzer die
Hilfsoptionsseite nicht an. Stattdessen zeigt das IVE die Anmeldeseite an,
verweigert dem Benutzer aber den Zugriff auf sämtliche Bereiche, Rollen
oder Ressourcen mit einer gescheiterten Host Checker-Richtlinie.
Nach dem Anmelden:
(nur Windows) Wenn der Windows-Computer eines Benutzers während
einer Sitzung nicht mehr den Richtlinienanforderungen von Host Checker
entspricht, wird ein Symbol auf der Taskleiste angezeigt, und eine
Popupmeldung wird eingeblendet, die den Benutzer von der Nichterfüllung
in Kenntnis setzt. Der Benutzer kann auf die Popupmeldung klicken, um
die Hilfsoptionsseite anzuzeigen.
Korrigieren von Host Checker-Richtlinien 273
Juniper Networks Secure Access – Administratorhandbuch
(Macintosh oder Linux) Wenn der Macintosh- oder Linux-Computer eines
Benutzers während einer Sitzung nicht mehr den Richtlinienanforderungen
von Host Checker entspricht, zeigt das IVE die Hilfsoptionsseite an, um den
Benutzer von der Nichterfüllung in Kenntnis zu setzten.
HINWEIS: Wenn der Benutzer die Hilfsoptionsseite mithilfe seiner persönlichen
Einstellungen ausblendet, kann er nur dann über den sicheren Gateway
fortfahren, wenn Sie andere Bereiche und Rollen konfigurieren, die keine Host
Checker-Richtlinie erzwingen.
Konfigurieren der Host Checker-Hilfsoption
Bei der Definition einer Richtlinie für Host Checker können Sie Hilfsoptionen
festlegen, die Host Checker anbieten soll, wenn ein Benutzercomputer die
Anforderungen der Richtlinie nicht erfüllt. Sie können beispielsweise das IVE so
konfigurieren, dass dem Benutzer eine Hilfsoptionsseite angezeigt wird, die Ihre
speziellen Anweisungen und Links zu Ressourcen enthält, mit deren Hilfe der
Benutzer den Computer mit den Anforderungen der Host Checker-Richtlinie in
Einklang bringen kann.
So legen Sie Korrekturaktionen für eine Host Checker-Richtlinie fest:
1. Wählen Sie in der Administratorkonsole Authentication > Endpoint
Security > Host Checker.
2. Erstellen bzw. aktivieren Sie Host Checker-Richtlinien mithilfe der Anweisungen
in einem der beiden folgenden Abschnitte:
„Erstellen und Konfigurieren neuer clientseitiger Richtlinien“ auf Seite 245
„Aktivieren angepasster serverseitiger Richtlinien“ auf Seite 258
3. Legen Sie die Korrekturaktionen fest, die Host Checker ausführen soll, wenn
der Computer eines Benutzers nicht den Anforderungen der aktuellen
Richtlinie entspricht:
Enable Custom Instructions – Geben Sie die Anweisungen ein, die auf der
Host Checker-Hilfsoptionsseite für den Benutzer angezeigt werden sollen.
Sie können den Text mit den folgenden HTML-Tags formatieren und Links
zu Ressourcen hinzufügen, z.B. Richtlinienservern oder Websites: <i>, <b>,
<br>, <font> und <a href>. Beispiel:
Sie verfügen nicht über die aktuellsten Signaturdateien.
<a href="www.company.com">Klicken Sie hier, um die neuesten
Signaturdateien herunterzuladen.</a>
274
Korrigieren von Host Checker-Richtlinien
Kapitel 11: Host Checker
HINWEIS: Wenn Sie für Windows-Clients einen Link zu einem IVE-geschützten
Richtlinienserver in die Anweisungen einfügen, müssen Sie einen Zugriffstunnel
für Vorauthentifizierungen definieren. Informationen hierzu finden Sie unter
„Festlegen von Host Checker-Zugriffstunneldefinitionen für die
Vorauthentifizierungen“ auf Seite 277.
Evaluate other policies – Sie können alternative Richtlinien auswählen,
die Host Checker auswertet, wenn der Computer des Benutzers die
aktuellen Richtlinienanforderungen nicht erfüllt. Wenn ein Benutzer z.B.
versucht, über einen externen Clientcomputer (z.B. einen Kiosk) auf das
IVE zuzugreifen, können Sie mit dieser Option festlegen, dass eine andere
Richtlinie ausgewertet wird, gemäß derer der Benutzer in einer Sygate
Virtual Desktop-Umgebung auf das IVE zugreifen muss. Wählen Sie in der
Liste HC Policies die alternative Richtlinie aus, und klicken Sie
anschließend auf Add.
HINWEIS: Wenn Sie für eine alternative Richtlinie ebenfalls eine eigene alternative
Richtlinie konfigurieren, wertet Host Checker diese alternative Richtlinie auf
„sekundärer Ebene“ nicht für die aktuelle Richtlinie aus. Host Checker wertet also
nur eine alternative Richtlinie pro Transaktion aus.
Remediate (nur Drittanbieter-DLLs) – Mit dieser Option können Sie über
die API-Funktion Remediate () in einer J.E.D.I.-DLL eines Drittanbieters
festgelegte Korrekturaktionen ausführen. Weitere Informationen finden Sie
im J.E.D.I. Solution Guide im Juniper Networks Customer Support Center.
Kill Processes – Geben Sie in jeder Zeile den Namen der Prozesse ein, die
beendet werden sollen, wenn der Computer des Benutzers nicht den
Richtlinienanforderungen entspricht. Sie können eine optionale MD5Prüfsumme für den Prozess hinzufügen. (Platzhalter sind nicht zulässig für
die Prozessnamen.) Beispiel:
keylogger.exe
MD5: 6A7DFAF12C3183B56C44E89B12DBEF56
Delete Files – Geben Sie die Namen der Dateien ein, die gelöscht werden
sollen, wenn der Computer des Benutzers nicht den
Richtlinienanforderungen entspricht. (Platzhalter sind nicht zulässig für die
Dateinamen.) Geben Sie einen Dateinamen pro Zeile ein. Beispiel:
c:\temp\bad-file.txt
/temp/bad-file.txt
4. Klicken Sie auf Save Changes.
Korrigieren von Host Checker-Richtlinien 275
Juniper Networks Secure Access – Administratorhandbuch
Definieren von Host Checker-Zugriffstunnel für die
Vorauthentifizierungen
Wenn Ihre Richtlinien Host Checker-Regeln oder J.E.D.I.-DLLs von Drittanbietern
für den Zugriff auf einen Richtlinienserver (oder eine andere Ressource) erfordern,
um die Einhaltung der Sicherheitsanforderungen vor der Authentifizierung der
Benutzer zu prüfen, können Sie mithilfe einer der folgenden Methoden die
Ressource für die Windows-Clients von Host Checker verfügbar machen:
Stellen Sie den Richtlinienserver in einer DMZ bereit, in der Host CheckerRegeln oder J.E.D.I.-DLLs von Drittanbietern direkten Zugriff auf den Server
haben und nicht über das IVE zugreifen müssen – Diese Bereitstellung ist die
einfachste Lösung, da Sie keinen Host Checker-Zugriffstunnel für die
Vorauthentifizierungen definieren müssen, der die Verbindung zwischen den
Clients und dem Richtlinienserver über das IVE herstellt.
Stellen Sie den Richtlinienserver in einer geschützten Zone hinter dem IVE
bereit (nur Windows) – Für diese Art der Bereitstellung müssen Sie einen
Zugriffstunnel für Vorauthentifizierungen definieren. Ein Zugriffstunnel für
Vorauthentifizierungen ermöglicht Host Checker-Regeln oder J.E.D.I. DLLs von
Drittanbietern den Zugriff auf den geschützten IVE-Richtlinienserver oder die
Ressource, bevor Benutzer vom IVE authentifiziert werden. Zur Definition eines
Zugriffstunnels für die Vorauthentifizierungen ordnen Sie der IP-Adresse und
dem Port des Richtlinienservers eine Loopbackadresse (oder einen Hostnamen)
und einen Port des Clients zu. Fügen Sie eine oder mehrere Tunneldefinitionen
einer Datei mit dem Namen MANIFEST.HCIF hinzu, und laden Sie diese
anschließend auf das IVE hoch. Sie können mehrere MANIFEST.HCIF-Dateien auf
das IVE hochladen. Für alle in einem Bereich aktiven Richtlinien von
Drittanbietern erzeugt Host Checker Tunnel für alle Tunneldefinitionen der
MANIFEST.HCIF-Dateien, unter der Annahme, dass die Definitionen eindeutig
sind. Konfigurationsanweisungen finden Sie unter „Hochladen eines Host
Checker-Richtlinienpakets in das IVE“ auf Seite 258.
Während des Betriebs auf einem Windows-Client prüft Host Checker alle von Ihnen
in den Tunneldefinitionen festgelegten Loopbackadressen und Ports auf eine
Verbindung. Verbindungen können durch die integrierten Host Checker-Regeln und
durch Client- oder Server-J.E.D.I. DLLs zustande kommen. Host Checker verwendet
Zugriffstunnel für Vorauthentifizierungen zur Weiterleitung der Verbindungen über
das IVE an die/den Richtlinienserver oder andere Ressourcen.
276
Definieren von Host Checker-Zugriffstunnel für die Vorauthentifizierungen
Kapitel 11: Host Checker
Abbildung 34: Host Checker erzeugt einen Tunnel von einem Client zu einem
Richtlinienserver hinter dem IVE.
HINWEIS: Host Checker-Zugriffstunnel für Vorauthentifizierungen werden nur
unter Windows unterstützt.
Festlegen von Host Checker-Zugriffstunneldefinitionen für die Vorauthentifizierungen
Für Windows-Clients können Sie einen Tunnel für den Zugriff vor der
Authentifizierung festlegen, der Host Checker-Methoden oder J.E.D.I.-DLLs von
Drittanbietern vor der Authentifizierung von Benutzern den Zugriff auf einen IVEgeschützten Richtlinienserver (oder eine andere Ressource) ermöglicht.
Eine Definition für einen Host Checker-Zugriffstunnel für Vorauthentifizierungen
konfiguriert den Zugriff auf einen Richtlinienserver oder eine andere Ressource.
Jede Tunneldefinition besteht aus einem Paar von IP-Adressen und Ports: einer
Loopback-IP-Adresse und einem Port auf dem Client und einer IP-Adresse und
einem Port auf dem Richtlinienserver.
Tunneldefinitionen werden in einer Paketdefinitionsdatei für Host CheckerRichtlinien festgelegt. Diese Paketdefinitionsdatei, die den Namen MANIFEST.HCIF
erhalten muss, definiert den Namen einer Schnittstellen-DLL, die in der DLL
definierten Host Checker-Richtlinien und die Zugriffstunneldefinitionen für die
Vorauthentifizierungen. Wenn das Paket keine Richtlinien enthält, erzwingt Host
Checker lediglich die Ausführung des Pakets auf dem Client. Wenn Sie Richtlinien
über diese Datei deklarieren, sind die Richtlinien in der -Administratorkonsole
verfügbar und können auf der Bereichs-, Rollen- oder Ressourcenebene
implementiert werden.
In der Datei MANIFEST.HCIF muss eine Definition auf jeweils einer Zeile eingegeben
werden, und die einzelnen Definitionen müssen durch eine leere Zeile getrennt
werden. Verwenden Sie das folgende Format:
HCIF-Main : <DLL-Name>
HCIF-Policy : <Richtlinienname>
HCIF-IVE-Tunnel: <Client-Loopback>:port
<Richtlinienserver>:port
Definieren von Host Checker-Zugriffstunnel für die Vorauthentifizierungen 277
Juniper Networks Secure Access – Administratorhandbuch
Dabei ist:
<DLLName> der Name der Schnittstellen-DLL, z.B. myPestPatrol.dll. Auch wenn Sie
keine Schnittstellen-DLL verwenden, müssen Sie eine Dummy-DLL als
Platzhalterdatei mit genau diesem Namen angeben.
<PolicyName> der Name der in der DLL definierten Richtlinie, z.B. myFileCheck. Sie
können mehrere Richtlinien definieren, indem Sie für jede Richtlinie die HCIF-PolicyAnweisung verwenden. Wenn Sie keine Schnittstellen-DLL verwenden, können Sie
einen beliebigen Richtliniennamen als Platzhalter angeben.
Die Syntax einer Host Checker-Tunneldefinition lautet wie folgt:
HCIF-IVE-Tunnel: <Client-Loopback>:port
<Richtlinienserver>:port
Dabei ist:
<client-loopback> eine Loopbackadresse, die mit 127. beginnt und in einer der
folgenden Formen angegeben wird:
Eine IP-Adresse und ein Port im Format 127.*.*.*:port. Um Konflikte mit JSAM
zu vermeiden, sollte 127.0.0.1 nicht mit Port 80 verwendet werden, 127.0.0.1
kann jedoch mit anderen Ports verwendet werden. Beispiel: 127.0.0.1:3220
Ein Hostname, der in eine mit 127 beginnende Loopbackadresse aufgelöst
wird. Sie können zum Auflösen der Loopbackadresse eine lokale Hostdatei auf
jedem Clientcomputer oder einem DNS-Server verwenden.
Ein Hostname, der nicht zu einer Loopbackadresse aufgelöst wird oder zu einer
Nicht-Loopbackadresse aufgelöst wird. In diesen Fällen ordnet Host Checker
eine Loopbackadresse zu, und die lokale Hostdatei auf dem Client wird mit der
Zuordnung aktualisiert. Der Benutzer muss Administratorrechte besitzen, damit
Host Checker die lokale Hostdatei ändern kann. Wenn der Benutzer nicht über
Administratorrechte verfügt, kann Host Checker die Hostdatei nicht
aktualisieren und den Tunnel für den Zugriff vor der Authentifizierung nicht
öffnen. In diesem Fall zeichnet Host Checker einen Fehler im Protokoll auf.
<policy-server> ist die IP-Adresse oder der Hostname des Back-End-
Richtlinienservers. Das IVE löst den von Ihnen angegebenen Hostnamen auf.
In der folgenden Tunneldefinition gibt 127.0.0.1:3220 z.B. die Loopbackadresse
und den Port des Clients an, und mysygate.company.com:5500 steht für den
Hostnamen und Port des Richtlinienservers:
HCIF-IVE-Tunnel: 127.0.0.1:3220
mysygate.company.com:5500
Sie können auch wie im folgenden Beispiel einen Hostnamen für den Client verwenden:
HCIF-IVE-Tunnel: mysygate.company.com:3220
278
Definieren von Host Checker-Zugriffstunnel für die Vorauthentifizierungen
mysygate.company.com:5500
Kapitel 11: Host Checker
Beachten Sie beim Festlegen von Tunneldefinitionen Folgendes:
Sie müssen eine leere Zeile zwischen den einzelnen Definitionszeilen in der
Datei MANIFEST.HCIF hinzufügen, und Sie können Kommentare durch ein
Semikolon am Zeilenanfang kennzeichnen. Beispiel:
HCIF-Main : myPestPatrol.dll
HCIF-Policy : myFileCheck
HCIF-Policy : myPortCheck
; Tunneldefinitionen
HCIF-IVE-Tunnel: 127.0.0.1:3220 mysygate.company.com:5500
HCIF-IVE-Tunnel: 127.1.1.1:3220 mysygate2.company.com:5500
HCIF-IVE-Tunnel: mysygate.company.com:3220 mysygate3.company.com:5500
Host Checker-Zugriffstunnel für Vorauthentifizierungen werden nur unter
Windows unterstützt.
Wenn <client-loopback> eine Nicht-Loopbackadresse ist, kann Host Checker den
Zugriffstunnel für Vorauthentifizierungen nicht öffnen, und stattdessen wird ein
Fehler ausgegeben.
Wenn Sie eine andere Loopbackadresse als 127.0.0.1 verwenden (z.B.
127.0.0.2 und höher), müssen Clients mit Windows XP Service Pack 2 den
Hotfix für XP SP2 installieren. Siehe:
http://support.microsoft.com/default.aspx?scid=kb;en-us;884020
HINWEIS: Beim Bereitstellen einer client- oder serverseitigen Drittanbieter-DLL ist
Folgendes zu beachten:
Dekomprimieren Sie das Paket mit der serverseitigen Drittanbieter-DLL, und
fügen Sie der Datei MANIFEST.HCIF Tunneldefinitionen mit den Richtlinien für
die Drittanbieter-DLL hinzu. (Die DLL muss die in der Datei MANIFEST.HCIF
angegebene <client-loopback> -Adresse und den gleichen Port oder
Hostnamen verwenden.)
Da ein Zugriffstunnel für Vorauthentifizierungen nur während der Ausführung von
Host Checker geöffnet ist, kann eine Drittanbieter-DLL nur dann auf den IVEgeschützten Richtlinienserver zugreifen, wenn Host Checker ausgeführt wird.
Stellt eine Drittanbieter-DLL die Verbindung mit ihrem Richtlinienserver mittels
HTTPS und über einen korrekt in die Loopbackadresse aufgelösten Hostnamen
her, werden keine Serverzertifikatswarnungen angezeigt. Wenn die DrittanbieterDLL die Verbindung jedoch explizit über eine Loopbackadresse herstellt, werden
Serverzertifikatswarnungen angezeigt, da der Hostname im Zertifikat nicht mit
der Loopbackadresse übereinstimmt. (Der Entwickler der Drittanbieter-DLL kann
die DLL so konfigurieren, dass sie diese Warnungen ignoriert.)
Weitere Informationen zu Drittanbieter-DLLs finden Sie im J.E.D.I. Solution Guide
im Juniper Networks Customer Support Center.
Definieren von Host Checker-Zugriffstunnel für die Vorauthentifizierungen 279
Juniper Networks Secure Access – Administratorhandbuch
Festlegen von allgemeinen Host Checker-Optionen
Sie können globale Optionen für Host Checker festlegen, die auf alle Benutzer
angewendet werden, für die gemäß einer Authentifizierungsrichtlinie, einer
Rollenzuordnungsregel oder einer Ressourcenrichtlinie Host Checker erforderlich ist.
So legen Sie allgemeine Host Checker-Optionen fest:
1. Wählen Sie in der Administratorkonsole Authentication > Endpoint
Security > Host Checker.
2. Gehen Sie unter Options folgendermaßen vor:
Geben Sie im Feld Perform check every X minutes das Intervall an, in dem
Host Checker auf einem Clientcomputer die Richtlinienauswertung
durchführen soll. Wenn der Clientcomputer die in einer Rolle oder
Ressourcenrichtlinie definierten Anforderungen der Host Checker-Richtlinien
nicht erfüllt, verweigert das IVE die entsprechenden Benutzeranfragen.
Beispielsweise kann verlangt werden, dass ein Benutzer eine bestimmte
Antivirenanwendung eines Drittanbieters ausführt, um Rolle A zugeordnet zu
werden, wodurch Netzwerkverbindungen von einem externen Standort aktiviert
werden. Wenn bei der Anmeldung des Benutzers beim IVE auf dem
Clientcomputer des Benutzers die erforderliche Antivirenanwendung ausgeführt
wird, wird der Benutzer Rolle A zugeordnet und erhält sämtliche zugehörigen
Zugriffsmöglichkeiten. Wenn aber die Antivirenanwendung während der
Benutzersitzung beendet wird, erfüllt der Benutzer bei der nächsten Ausführung
von Host Checker die Sicherheitsanforderungen für Rolle A nicht mehr und
verliert deshalb sämtliche Zugriffsberechtigungen für diese Rolle.
Wenn sich ein Endbenutzer bei einem Bereich anmeldet, führt Host Checker
eine erste Richtlinienüberprüfung durch, unabhängig davon, ob die Richtlinie
auf Bereichs-, Rollen- und/oder Ressourcenebene durchgesetzt wird. Die
erste Richtlinienüberprüfung erzeugt eine Startzeit. Host Checker wertet die
Richtlinien in der durch die Option Perform check every X minutes
festgelegten Häufigkeit aus, beginnend mit der Uhrzeit der ersten
Richtlinienüberprüfung. Obwohl die Häufigkeitseinstellung global für alle
Host Checker-Richtlinienüberprüfungen festgelegt ist, wird sie nicht für alle
mit dem IVE verbundenen Endbenutzer-Clients synchronisiert. Jeder Client
führt eine eigene erste Richtlinienüberprüfung durch und beginnt dann einen
eigenen Countdown mit der festgelegten Häufigkeit.
Wenn Sie die Authentifizierungsrichtlinie in einem Bereich konfigurieren, in
dem Host Checker Richtlinien durchsetzt (im Vergleich zur Installation),
findet das Durchsetzen von Richtlinien nur während der
Vorauthentifizierungenphase statt. Nach der Anmeldung eines
Endbenutzers und während der Dauer der Benutzersitzung haben
nachfolgende Host Checker-Richtlinienüberprüfungen keine Auswirkungen
auf den Bereichszugriff. Dies bedeutet, dass keine Endbenutzersitzungen
aus einem Bereich entfernt werden, nachdem sich ein Endbenutzer
erfolgreich bei diesem Bereich authentifiziert hat.
280
Festlegen von allgemeinen Host Checker-Optionen
Kapitel 11: Host Checker
Wenn Sie eine Rolleneinschränkung konfigurieren, bei der Host Checker
Richtlinien durchsetzt, wird dieses Durchsetzen von Richtlinien direkt nach
der Authentifizierung bei der Rollenzuordnung durchgeführt. Die
Rolleneinschränkungen werden regelmäßig in bestimmten Intervallen
während der Endbenutzersitzung durchgesetzt. Dieses Intervall wird
mithilfe der Häufigkeitseinstellung von Host Checker festgelegt. Wenn die
Host Checker-Auswertung bei dem Endbenutzer während der
Rollenzuordnung erfolgreich ist, jedoch einige Minuten (durch die
Häufigkeitseinstellung bestimmt) nach der Anmeldung fehlschlägt, verliert
dieser Benutzer die Rechte für diese Rolle. Wenn der Endbenutzer die
Zugriffsrechte für alle verfügbaren Rollen aufgrund der Host CheckerRichtlinienauswertung verliert, wird die Sitzung des Benutzers beendet.
Wenn Sie eine ressourcenbasierte Richtlinienregel erstellen, bei der Host
Checker Richtlinien durchsetzt, wird dieses Durchsetzen von Richtlinien
beim ersten Zugriff des Endbenutzers auf den Ressourcen-/Back-End-Server
ausgeführt. Bei Webressourcen wird die Host Checker-Auswertung bei jeder
Anforderung durchgeführt. Bei SAM- und STA-Ressourcen wird die Host
Checker-Auswertung ausgeführt, wenn das IVE die Verbindung zur/zum
Back-End-Anwendung/Server aktiviert. Beim Zugriff auf Network Connect
wird die Host Checker-Auswertung ausgeführt, wenn das IVE Network
Connect initiiert. Vorhandene Verbindungen von Anwendungen über SAM,
Telnet-/SSH-Verbindungen und Network Connect-Verbindungen sind von
weiteren Host Checker-Auswertungen nicht betroffen. Diese betreffen nur
neue Webanforderungen, neue Anwendungen über SAM, neue STAInstanzen, und den Start von Network Connect. Die Host CheckerAuswertung basiert auf der letzten Richtlinienüberprüfung, die vor einer
festgelegten Anzahl von Minuten erfolgte. Beispiel: Wenn die
Häufigkeitseinstellung auf Perform check every five minutes festgelegt ist,
und der Endbenutzer vier Minuten nach der letzten Überprüfung versucht,
auf eine geschützte Ressource zuzugreifen oder Network Connect zu
starten, basiert die Richtlinienauswertung auf dem Status des
Clientcomputers von vor vier Minuten und nicht auf dem Zeitpunkt, als der
Benutzer den Zugriffsversuch auf die Ressource unternommen hat.
HINWEIS: Die Funktion Perform check every X minutes wird für zukünftige
Versionen des IVE abgelehnt. Das Problem bei dieser Funktion ist, dass der
Hersteller ein Produkt möglicherweise nicht im festgelegten Zeitrahmen
freigegeben hat. Dadurch schlägt die Host Checker-Auswertung fehl, ohne dass
dieses Problem behoben werden kann.
HINWEIS: Wenn Sie einen Wert von Null eingeben, wird Host Checker, wenn sich
der Benutzer erstmals an IVE anmeldet.
Geben Sie für die Option Client-side process, login inactivity timeout ein
Intervall für das Steuern der Zeitüberschreitung in den folgenden Fällen an:
Wenn der Benutzer die IVE-Anmeldeseite nach dem Starten von Host
Checker und vor dem Anmelden am IVE verlässt, wird Host Checker
auf dem Computer des Benutzers für die Dauer des von Ihnen
festgelegten Intervalls ausgeführt.
Festlegen von allgemeinen Host Checker-Optionen 281
Juniper Networks Secure Access – Administratorhandbuch
Erhöhen Sie beim Herunterladen von Host Checker über eine
langsame Verbindung das Intervall, damit ausreichend Zeit für das
Ausführen dieses Vorgangs zur Verfügung steht.
HINWEIS: Konfigurieren Sie die Option Client-side process, login inactivity
timeout für Host Checker und Cache Cleaner, verwendet das IVE die Einstellung
für die Zeitüberschreitung mit dem höheren Wert.
Wählen Sie Perform dynamic policy reevaluation, um die Rollen einzelner
Benutzer durch die Aktivierung der dynamischen Richtlinienauswertung
von Host Checker automatisch zu aktualisieren. Host Checker kann das IVE
veranlassen, bei jeder Änderung des Host Checker-Status eines Benutzers
Ressourcenrichtlinien auszuwerten. (Wenn Sie diese Option nicht
aktivieren, wertet das IVE Ressourcenrichtlinien nicht aus, es wertet aber
die Authentifizierungsrichtlinien, Rollenzuordnungsregeln und
Rolleneinschränkungen aus, sobald sich der Host Checker-Status eines
Benutzers ändert.) Weitere Informationen finden Sie unter „Dynamische
Richtlinienauswertung“ auf Seite 41.
3. Klicken Sie auf Save Changes.
Angeben von Installationsoptionen für Host Checker
Wenn Sie eine Richtlinie auf einer Bereichs-, Rollen- oder
Ressourcenrichtlinienebene implementieren, für die Host Checker erforderlich ist,
müssen Sie einen Mechanismus bereitstellen, anhand dessen das IVE oder der
Benutzer Host Checker auf dem Clientcomputer installieren kann. Andernfalls steht
der Host Checker-Client beim Überprüfen der Host Checker-Richtlinie für eine
Rückmeldung zum IVE nicht zur Verfügung, sodass dem Computer des Benutzers
der Zugriff verweigert wird.
Für die Installation von Host Checker auf dem System eines Benutzers stehen zwei
Methoden zu Auswahl:
Das IVE installiert Host Checker automatisch – Aktivieren Sie die
automatische Installation über die Seite Users/Administrators > User
Realms/Administrator Realms > [Bereich] > Authentication Policy > Host
Checker der Administratorkonsole. (Konfigurationsanweisungen finden Sie
unter „Konfigurieren von Host Checker-Einschränkungen“ auf Seite 270.) In
diesem Fall wertet das IVE die Option auf Bereichsebene aus, sobald der
Benutzer auf die IVE-Anmeldeseite zugreift, und überprüft, ob die aktuelle
Version von Host Checker auf dem Computer des Benutzers installiert ist. Wenn
Host Checker nicht installiert ist, versucht das IVE die Installation mithilfe der
ActiveX- oder Java-Übertragungsmethode.
Wenn sich ein Windows-Benutzer am IVE anmeldet, versucht das IVE, ein
ActiveX-Steuerelement auf dem Benutzersystem zu installieren. Wurde das
ActiveX-Steuerelement erfolgreich installiert, verwaltet das Steuerelement die
Installation von Host Checker.
282
Angeben von Installationsoptionen für Host Checker
Kapitel 11: Host Checker
Kann das IVE das ActiveX-Steuerelement nicht installieren, da ActiveX im
System des Benutzers deaktiviert ist, führt das IVE die Installation von Host
Checker mithilfe von Java aus. Auf Macintosh- und Linux-Hosts verwendet das
IVE immer die Java-Übertragungsmethode. Die Java-Übertragungsmethode
benötigt nur Benutzerberichtigungen; allerdings muss Java auf dem System des
Benutzers aktiviert sein. Für den Firefox-Browser unter Linux müssen Java
Runtime und Java-Plug-In installiert sein.
Kann das IVE die Java-Übertragungsmethode nicht verwenden, da Java
deaktiviert ist, zeigt das IVE eine Fehlermeldung an.
Der Benutzer oder Administrator installiert Host Checker manuell (nur
Windows) – Laden Sie das Host Checker-Installationsprogramm von der Seite
Maintenance > System > Installers der Administratorkonsole herunter, und
installieren Sie damit Host Checker manuell auf dem System des Benutzers.
HINWEIS: Zum Installieren von Host Checker benötigen Benutzer, wie im Juniper
Networks Customer Support Center im Client-side Changes Guide beschrieben,
entsprechende Berechtigungen. Besitzt der Benutzer diese Berechtigungen nicht,
müssen Sie zum Umgehen dieser Anforderung den Juniper Installer Service
verwenden, der Ihnen auf der Seite Maintenance > System > Installers der
Administratorkonsole zur Verfügung steht.
Verwendung von Host Checker mit der automatischen GINA-Anmeldefunktion
Die Verwendung von Host Checker zusammen mit der automatischen GINA
(Graphical Identification and Authorization)-Anmeldefunktion von Windows für
Network Connect erfordert besondere Aufmerksamkeit bei Typ, Ebene und Anzahl
der auf dem Client zu überprüfenden Elemente, bevor der Zugriff auf das IVE
gewährt oder verweigert wird. Da die GINA-Anmeldefunktion vor dem vollständigen
Start von Windows auf dem Client ausgeführt wird, empfehlen wir vor dem
Erstellen des Benutzerprofils unter Windows die folgenden Vorgehensweisen beim
Erstellen von Host Checker-Richtlinien, die Sie auf die GINA-Anmeldefunktion
verwendende Windows-Clients einsetzen möchten:
Sie können Prozesse auf Systemebene bei Bereichsdurchsetzung und
Bereichsauswertung überprüfen. Sie können Prozesse auf Benutzerebene nur
bei Bereichsauswertung überprüfen.
Wenn Sie über Prozesse auf Benutzerebene bei Bereichsauswertung verfügen,
erstellen Sie eine separate Network Connect-Rolle mit
Richtlinienüberprüfungen ausschließlich auf Systemebene, die vor dem Starten
des Clients ausgeführt werden können. Stellen Sie sicher, dass diese Rolle die
Verbindung zur Windows-Domäneninfrastruktur in Ihrem gesicherten
Netzwerk zulässt, damit beispielsweise Laufwerkzuordnung,
Softwareaktualisierungen und Gruppenrichtlinien unterstützt werden. Durch
die Zuordnung der Benutzer zu dieser Rolle kann die GINA-Authentifizierung
abgeschlossen werden. Diese Rolle ist zusätzlich zur endgültigen Rolle
vorhanden, der der Benutzer zugeordnet werden soll.
HINWEIS: Weitere Informationen über die automatische GINA-Anmeldefunktion
finden Sie unter „Automatisches Anmelden bei Network Connect mithilfe von
GINA“ auf Seite 567.
Angeben von Installationsoptionen für Host Checker
283
Juniper Networks Secure Access – Administratorhandbuch
Automatische Installation von Host Checker
Sie installieren Sie Host Checker automatisch auf Clientcomputer:
1. Wählen Sie in der Administratorkonsole Authentication > Endpoint
Security > Host Checker.
2. Wählen Sie unter Options die Option Auto-upgrade Host Checker, damit das IVE
die Host Checker-Anwendung automatisch auf einen Clientcomputer herunterlädt,
wenn die Host Checker-Version auf dem IVE neuer ist als die auf dem Client
installierte Version. Beachten Sie bei Auswahl dieser Option Folgendes:
Unter Windows muss der Benutzer Administratorrechte besitzen,
damit das IVE die Host Checker-Anwendung automatisch auf dem
Client installiert. Weitere Informationen finden Sie im Client-side
Changes Guide im Juniper Networks Customer Support Center.
Wenn ein Benutzer Host Checker deinstalliert und sich anschließend bei
einem IVE anmeldet, für das die Option Auto-upgrade Host Checker
nicht aktiviert ist, kann er nicht mehr auf Host Checker zugreifen.
3. Klicken Sie auf Save Changes.
Manuelle Installation von Host Checker
Auf der Seite Maintenance > System > Installers der Administratorkonsole
finden Sie zahlreiche Anwendungen und Dienste zum Herunterladen. Sie können
Anwendungen oder Dienste als ausführbare Windows-Datei herunterladen, mit der
Sie folgende Möglichkeiten haben:
Verteilen der Datei auf mehrere Clientcomputer mithilfe von
Softwareverteilungstools. Mit dieser Option können Sie Anwendungen oder
Dienste auf Clientcomputern installieren, deren Benutzer nicht über die zum
Installieren von Anwendungen oder Diensten erforderlichen
Administratorberechtigungen verfügen.
Bereitstellen der ausführbaren Datei in einem sicheren Repository, damit
Benutzer mit den erforderlichen Administratorrechten die richtige Version
herunterladen und installieren können.
Herunterladen und Ausführen eines Skripts,das automatisch die richtige Version
des Installationsprogramms von einem FTP-Server abruft.
Verwenden der Host Checker-Protokolle
Aktivieren Sie mithilfe der Registerkarte System > Log/Monitoring > Client Logs >
Settings die clientseitige Protokollierung für Host Checker. Wenn Sie diese Option für
eine Funktion aktivieren, schreibt das IVE ein clientseitiges Protokoll für jeden Client,
der Host Checker verwendet. Bei jedem Aufruf dieser Funktion in nachfolgenden
Benutzersitzungen fügt das IVE Informationen zur Protokolldatei hinzu. Diese Funktion
ist bei der Zusammenarbeit mit dem Support-Team nützlich, um mit der
entsprechenden Funktion zusammenhängende Probleme zu debuggen.
284
Verwenden der Host Checker-Protokolle
Kapitel 11: Host Checker
HINWEIS: Da diese Einstellungen global sind, schreibt das IVE eine Protokolldatei
für alle Clients, die die Funktion verwenden, für die Sie die clientseitige
Protokollierung aktivieren. Außerdem entfernt das IVE keine clientseitigen
Protokolle. Benutzer müssen Protokolldateien manuell von ihren Clients löschen.
Weitere Informationen über den Speicherort, an dem das IVE die Protokolldateien
installiert, finden Sie im Juniper Networks Customer Support Center im Client-side
Changes Guide.
So legen Sie Einstellungen für clientseitige Protokollierung fest:
1. Wählen Sie in der Administratorkonsole System > Log/Monitoring > Client
Log > Settings.
2. Wählen Sie die gewünschten Funktionen aus, für die das IVE clientseitige
Protokolle schreibt.
3. Klicken Sie zum globalen Speichern der Einstellungen auf Save Changes.
HINWEIS: Für neue IVE 5.x-Systeme sind alle Optionen standardmäßig deaktiviert.
Wenn Sie Ihr IVE von einer 3.x-Konfiguration aktualisieren, sind alle
Protokolloptionen standardmäßig aktiviert.
Verwenden der Host Checker-Protokolle
285
Juniper Networks Secure Access – Administratorhandbuch
286
Verwenden der Host Checker-Protokolle
Kapitel 12
Cache Cleaner
Cache Cleaner ist ein clientseitiger Agent für Windows, der übrig gebliebene Daten
wie temporäre Dateien oder Inhalte des Anwendungscache nach einer IVE-Sitzung
vom Benutzercomputer entfernt. Wenn sich beispielsweise ein Benutzer von einem
Internet-Kiosk beim IVE anmeldet und mithilfe eines Browser-Plug-Ins ein Microsoft
Word-Dokument öffnet, entfernt Cache Cleaner nach Beenden der Sitzung die im
Browsercache (im Ordner „Windows“) gespeicherte temporäre Kopie der WordDatei. Durch das Entfernen der Kopie verhindert Cache Cleaner, dass andere
Benutzer des Kiosks das Word-Dokument suchen und öffnen können, nachdem der
IVE-Benutzer seine Sitzung beendet hat.
Cache Cleaner kann zudem Webbrowser daran hindern, die Benutzernamen,
Kennwörter und Webadressen dauerhaft zu speichern, die Benutzer in
Webformularen eingeben. Vertrauliche Benutzerinformationen werden
dadurch nicht auf nicht vertrauenswürdigen Systemen gespeichert, da Cache
Cleaner verhindert, dass Browser diese Informationen auf unzuverlässige
Weise zwischenspeichern.
Dieser Abschnitt enthält die folgenden Informationen über Cache Cleaner:
„Lizenzierung: Verfügbarkeit von Cache Cleaner“ auf Seite 287
„Festlegen globaler Optionen für Cache Cleaner“ auf Seite 288
„Implementieren der Cache Cleaner-Optionen“ auf Seite 291
„Festlegen von Installationsoptionen für Cache Cleaner“ auf Seite 295
„Verwenden von Cache Cleaner-Protokollen“ auf Seite 296
Lizenzierung: Verfügbarkeit von Cache Cleaner
Cache Cleaner ist eine Standardfunktion bei allen Secure Access-Appliances, für
deren Verwendung Sie keine zusätzliche Lizenz benötigen.
Lizenzierung: Verfügbarkeit von Cache Cleaner
287
Juniper Networks Secure Access – Administratorhandbuch
Festlegen globaler Optionen für Cache Cleaner
Wenn Sie Cache Cleaner aktivieren, wird der gesamte über das Modul für die
Inhaltsvermittlung des IVE heruntergeladene Inhalt vom Benutzersystem
gelöscht. Des Weiteren werden Einstellungen auf der Seite Authentication >
Endpoint Security > Cache Cleaner der Administratorkonsole zum Löschen
von Inhalt aus folgenden Elementen verwendet:
Specified hosts and domains – Wenn Sie WSAM oder JSAM aktivieren,
konfigurieren Sie Cache Cleaner zum Bereinigen weiterer Hosts und Domänen.
Wenn ein Benutzer das Internet mit WSAM oder JSAM außerhalb des IVE
benutzt, werden Internetdateien in seinem temporären Internetdateiordner
gespeichert. Geben Sie zum Löschen dieser Dateien mithilfe von Cache Cleaner
den entsprechenden Hostnamen an (z.B. www.yahoo.com).
Specified files and folders – Wenn Sie Benutzern auf ihren lokalen Systemen
den Zugriff auf Client-Server-Anwendungen gewähren, konfigurieren Sie Cache
Cleaner zum Löschen temporärer Dateien und Ordner, die die Anwendungen
auf den Systemen der Benutzer erstellen.
HINWEIS: Wenn Sie Cache Cleaner zum Entfernen von Dateien aus einem Verzeichnis
konfigurieren, werden alle Dateien einschließlich jener Dateien gelöscht, die der
Benutzer ausdrücklich in diesem Verzeichnis gespeichert hat, sowie Dateien, die sich
bereits vor der IVE-Sitzung in diesem Verzeichnis befunden haben.
So legen Sie globale Optionen für Cache Cleaner fest:
1.
Wählen Sie in der Administratorkonsole Authentication > Endpoint Security >
Cache Cleaner.
2. Gehen Sie unter Options folgendermaßen vor:
a.
Geben Sie im Feld Cleaner Frequency an, wie oft Cache Cleaner ausgeführt
wird. Gültige Werte liegen zwischen 1 und 60 Minuten. Bei jeder Ausführung
von Cache Cleaner werden der gesamte über das IVE-Modul für die
Inhaltsvermittlung heruntergeladene Inhalt sowie der Cache des Browsers und
die unten in den Bereichen Browser Cache und Files and Folders
angegebenen Dateien und Ordner gelöscht.
b.
Geben Sie im Feld Status Update Frequency an, wie oft das erwartet, dass
Cache Cleaner sich selbst aktualisiert. Gültige Werte liegen zwischen 1 und
60 Minuten.
Geben Sie für die Option Client-side process, login inactivity timeout ein
Intervall für das Steuern der Zeitüberschreitung in den folgenden Fällen an:
288
Wenn der Benutzer die IVE-Anmeldeseite nach dem Starten von Cache
Cleaner und vor dem Anmelden am IVE verlässt, wird Cache Cleaner
auf dem Computer des Benutzers für die Dauer des von Ihnen
festgelegten Intervalls ausgeführt.
Festlegen globaler Optionen für Cache Cleaner
Kapitel 12: Cache Cleaner
Erhöhen Sie beim Herunterladen von Cache Cleaner über eine
langsame Verbindung das Intervall, damit ausreichend Zeit für das
Ausführen dieses Vorgangs zur Verfügung steht.
HINWEIS: Konfigurieren Sie die Option Client-side process, login inactivity
timeout für Host Checker und Cache Cleaner, verwendet IVE die Einstellung für
die Zeitüberschreitung mit dem höheren Wert.
c.
Aktivieren Sie das Kontrollkästchen Disable AutoComplete of web
addresses, um den Browser daran zu hindern, Webadressen während
einer IVE-Sitzung des Benutzers automatisch mit
zwischengespeicherten Werten auszufüllen.
Bei Verwendung dieser Option setzt das IVE den folgenden WindowsRegistrierungswert während der IVE-Sitzung des Benutzers auf „0“:
HKEY_CURRENT_USER\Software\\Microsoft\\Windows\\CurrentVersion\\Ex
plorer\ AutoComplete. Am Ende der Sitzung wird der Registrierungswert
durch IVE wieder auf die ursprüngliche Einstellung zurückgesetzt.
d. Aktivieren Sie das Kontrollkästchen Disable AutoComplete of usernames
and passwords, um zu verhindern, dass Internet Explorer Anmeldedaten
von Benutzern mittels zwischengespeicherter Werte automatisch in
Webformulare eingibt. Bei Auswahl dieser Option wird auch die
Aufforderung „Kennwort speichern?“ auf Windows-Systemen deaktiviert.
Wenn Sie diese Option aktivieren, setzt das IVE die folgenden WindowsRegistrierungswerte auf „0“:
e.
HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\Main\FormSuggest Passwords
HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\Main\FormSuggest Passwords\FormSuggest PW Ask
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings\ DisablePasswordCaching
Aktivieren Sie das Kontrollkästchen Flush all existing AutoComplete
Passwords, um alle von Internet Explorer auf dem System des Benutzers
zwischengespeicherten Kennwörter zu löschen. Wenn Sie diese Option
aktivieren, setzt das IVE den folgenden Windows-Registrierungswert auf
„0“: HKEY_CURRENT_USER \Software\\Microsoft\\Internet
Explorer\\IntelliForms\\SPW
Wählen Sie dann eine der folgenden Optionen aus:
f.
Wählen Sie For IVE session only, damit das IVE die
zwischengespeicherten Kennwörter des Benutzers am Ende dieser IVESitzung wiederherstellt.
Wählen Sie Permanently, um die zwischengespeicherten Kennwörter
des Benutzers dauerhaft zu löschen.
Aktivieren Sie das Kontrollkästchen Uninstall Cache Cleaner at logout,
wenn das IVE Cache Cleaner beim Beenden einer Benutzersitzung vom
Clientcomputer deinstallieren soll.
Festlegen globaler Optionen für Cache Cleaner
289
Juniper Networks Secure Access – Administratorhandbuch
3. Geben Sie unter Browser Cache einen oder mehrere Hostnamen oder Domänen
ein (Platzhalter sind zulässig). Beim Beenden einer Benutzersitzung entfernt Cache
Cleaner den gesamten Inhalt des Browsercaches, der von diesen Servern stammt.
Cache Cleaner entfernt diesen Inhalt auch, wenn es im angegebenen
Bereinigungsintervall ausgeführt wird. Das IVE löst Hostnamen nicht auf. Geben Sie
deshalb alle möglichen Angaben für einen Server ein, z.B. seinen Hostnamen,
FQDN und die IP-Adresse.
4. Gehen Sie unter Files and Folders folgendermaßen vor:
a.
b.
Geben Sie eine der folgenden Informationen an:
den Namen der Datei, die von Cache Cleaner entfernt werden soll,
oder
den vollständigen Verzeichnispfad zu einem Ordner, dessen Inhalt von
Cache Cleaner entfernt werden soll. Wenn Sie ein Verzeichnis angeben,
wählen Sie Clear Subfolders aus, um auch den Inhalt aller
Unterverzeichnisse in diesem Verzeichnis zu löschen.
Aktivieren Sie das Kontrollkästchen Clear folders only at the end of session,
wenn der Verzeichnisinhalt nur beim Beenden der Benutzersitzung von Cache
Cleaner gelöscht werden soll. Andernfalls löscht Cache Cleaner auch Dateien
und Ordner im angegebenen Bereinigungsintervall.
HINWEIS: Beachten Sie beim Angeben der zu löschenden Dateien und Ordner
Folgendes:
Cache Cleaner verwendet ein Cookie mit der Bezeichnung DSPREAUTH zur
Übermittlung des Clientstatus an das IVE. Wenn Sie dieses Cookie vom Client des
Benutzers löschen, funktioniert Cache Cleaner nicht ordnungsgemäß. Geben Sie
zur Vermeidung von Problemen keine Internet Explorer-Verzeichnisse wie z.B.
<userhome>\Local Settings\Temporary Internet Files\* im Feld Files and
Folders an. Beachten Sie, dass Cache Cleaner unabhängig von den unter Files
and Folders angegebenen Verzeichnissen weiterhin den gesamten Inhalt des
Internet Explorer-Cache löscht, der vom IVE-Host und anderen im Feld
Hostnames angegebenen Hosts heruntergeladen wurde.
Für Firefox löscht Cache Cleaner nur die unter Files and Folders angegebenen
Verzeichnisse.
5. Klicken Sie zum globalen Speichern der Einstellungen auf Save Changes.
290
Festlegen globaler Optionen für Cache Cleaner
Kapitel 12: Cache Cleaner
Implementieren der Cache Cleaner-Optionen
Nachdem Sie die zu löschenden Hosts, Domänen, Dateien und Ordner mit Hilfe der
Einstellungen auf der Seite Authentication > Endpoint Security > Cache Cleaner
der Administratorkonsole festgelegt haben, können Sie den IVE- und
Ressourcenzugriff einschränken, indem die Ausführung von Cache Cleaner in den
folgenden Komponenten gefordert wird:
Richtlinie für die Bereichsauthentifizierung – Wenn Benutzer versuchen,
sich am IVE anzumelden, wertet das IVE die Authentifizierungsrichtlinie des
angegebenen Bereichs aus und ermittelt, ob für die Vorauthentifizierung auch
Cache Cleaner erforderlich ist. In der Konfiguration einer Richtlinie für die
Bereichsauthentifizierung können Sie festlegen, dass entweder die
Cachebereinigung lediglich heruntergeladen wird, dass außerdem die für den
Bereich festgelegten Hostprüfungsrichlinien durchgesetzt werden oder dass
eine Cachebereinigung nicht erforderlich ist. Der Benutzer muss sich über
einen Computer anmelden, der den für den Bereich festgelegten Cache
Cleaner-Anforderungen entspricht. Wenn der Computer des Benutzers die
Anforderungen nicht erfüllt, verweigert das IVE dem Benutzer den Zugriff.
Konfigurieren Sie Einschränkungen auf Bereichsebene über die Seite Users >
User Realms > Bereich > Authentication Policy > Cache Cleaner der
Administratorkonsole.
Rolle – Wenn das IVE ermittelt, welche Rollen einem Administrator oder Benutzer
zugeordnet werden können, wertet es die Einschränkungen der einzelnen Rollen aus.
Dabei wird festgelegt, ob Cache Cleaner auf der Workstation des Benutzers aktiv sein
muss. Wenn dies der Fall ist und Cache Cleaner nicht bereits auf dem Computer des
Benutzers aktiv ist, erfolgt keine Rollenzuweisung durch das IVE. Sie können mithilfe
der Einstellungen in Users > User Realms > Bereich auswählen > Role
Mapping > Regel auswählen|erstellen >Benutzerdefinierter Ausdruck festlegen,
welchen Rollen das IVE einen Benutzer zuordnet. Konfigurieren Sie Einschränkungen
auf Rollenebene über die Seite Users > User Roles > Rolle > General >
Restrictions > Cache Cleaner der Administratorkonsole.
Ressourcenrichtlinie – Wenn ein Benutzer eine Ressource anfordert, wertet das
IVE die detaillierten Regeln der Ressourcenrichtlinie aus. Dabei wird ermittelt, ob
Cache Cleaner auf der Workstation des Benutzers installiert oder aktiv sein muss.
Das IVE verweigert den Zugriff auf die betreffende Ressource, wenn das Gerät des
Benutzers nicht der festgelegten Cache Cleaner-Richtlinie entspricht. Um Cache
Cleaner-Einschränkungen auf Ressourcenrichtlinienebene zu implementieren,
navigieren Sie zu: Users > Resource Policies > Ressource auswählen >
Richtlinie auswählen > Detailed Rules > Regel auswählen|erstellen >
Bedingungsfeld.
Sie können festlegen, dass das IVE die Cache Cleaner-Richtlinien nur beim erstmaligen
Zugriffsversuch des Benutzers auf den Bereich, die Rolle oder die Ressource auswertet.
Oder Sie legen mithilfe der Einstellungen auf der Registerkarte Authentication >
Endpoint Security > Cache Cleaner fest, dass das IVE die Richtlinien während der
Sitzung des Benutzers in regelmäßigen Abständen erneut auswerten soll. Bei einer
periodischen Auswertung der Cache-Cleaner-Richtlinien ordnet das IVE die Benutzer
dynamisch bestimmten Rollen zu und gewährt ihnen je nach den Ergebnissen der
letzten Auswertung Zugriff auf neue Ressourcen.
Implementieren der Cache Cleaner-Optionen
291
Juniper Networks Secure Access – Administratorhandbuch
Cache Cleaner ausführen
Wenn ein Benutzer auf das IVE zugreifen will, stellt das IVE den Status von Cache
Cleaner auf dem Clientsystem fest und veranlasst die Ausführung der Anwendung
mithilfe des folgenden Prozesses:
1. Erstauswertung – Wenn ein Benutzer erstmalig auf die IVE-Anmeldeseite
zugreifen will, stellt das IVE fest, ob Cache Cleaner auf dem Computer des
Benutzers ausgeführt wird. Das IVE führt die Erstauswertung unabhängig
davon durch, ob die Cache Cleaner-Richtlinien auf Bereichs-, Rollen- oder
Ressourcenrichtlinienebene implementiert wurden.
Wenn der Benutzer die IVE-Anmeldeseite nach dem Starten von Cache Cleaner
und vor dem Anmelden am IVE verlässt, wird Cache Cleaner auf dem
Computer des Benutzers ausgeführt, bis der Vorgang durch eine Zeitbegrenzung
abgebrochen wird.
Erhält das IVE von Cache Cleaner aus unbestimmten Gründen (einschließlich
nicht eingegebener Benutzeranmeldedaten auf der Anmeldeseite) kein
Statusergebnis, zeigt das IVE eine Fehlermeldung an und fordert den Benutzer
auf, zur Anmeldeseite zurückzukehren.
Wird von IVECache Cleaner ein Status zurückgegeben, setzt das IVE die
Ausführung der Richtlinien auf Bereichsebene fort.
2. Richtlinien auf Bereichsebene – Anhand der Ergebnisse der ersten Auswertung
bestimmt das IVE, auf welche Bereiche der Benutzer zugreifen kann. Anschließend
zeigt das IVE Bereiche für den Benutzer an bzw. blendet sie aus. Dieser kann sich
nur in den Bereichen anmelden, die für die Anmeldeseite aktiviert wurden und für
die er die Cache Cleaner-Anforderungen erfüllt. Wenn der Benutzer die
Anforderungen von Cache Cleaner für keinen der verfügbaren Bereiche erfüllt, wird
die Anmeldeseite nicht angezeigt. Stattdessen wird eine Fehlermeldung mit der
Information eingeblendet, dass der Computer der Richtlinie für die
Endpunktsicherheit nicht entspricht.
Überprüfungen vom IVE für Cache Cleaner auf Bereichsebene erfolgen
ausschließlich im Zuge der ersten Anmeldung des Benutzers beim IVE.
Sollte sich der Systemzustand eines Benutzers während einer Sitzung
ändern, bleibt der aktuelle Bereich weiterhin sichtbar, ohne dass jedoch
Zugriff auf neue Bereiche besteht.
3. Richtlinien auf Rollenebene – Nachdem sich der Benutzer an einem Bereich
angemeldet hat, wertet das IVE die Richtlinien auf Rollenebene aus, und es
ordnet den Benutzer den Rollen zu, deren Anforderungen für Cache Cleaner
erfüllt sind. Anschließend zeigt das IVE die IVE-Startseite an und aktiviert die
für die zugeordnete(n) Rolle(n) zulässigen Optionen.
Wenn Cache Cleaner während einer periodischen Auswertung einen anderen
Status zurückgibt, ordnet das IVE basierend auf den neuen Ergebnissen den
Benutzer neuen Rollen zu. Wenn der Endbenutzer während einer periodischen
Auswertung die Zugriffsrechte für alle verfügbaren Rollen verliert, beendet das
IVE die Sitzung des Benutzers.
292
Implementieren der Cache Cleaner-Optionen
Kapitel 12: Cache Cleaner
4. Richtlinien auf Ressourcenebene – Nachdem das IVE dem Benutzer den
Zugriff auf die Startseite gewährt hat, kann dieser den Zugriff auf eine
Ressource versuchen, die von einer Ressourcenrichtlinie gesteuert wird. In
diesem Fall ermittelt das IVE, ob die in der Ressourcenrichtlinie festgelegte
Aktion basierend auf dem letzten von Cache Cleaner zurückgegebenen
Status ausgeführt werden soll.
Wenn Cache Cleaner während einer periodischen Auswertung einen anderen
Status zurückgibt, wirkt sich dieser neue Status lediglich auf neue Ressourcen
aus, auf die der Benutzer zuzugreifen versucht. Wenn der Benutzer z.B. eine
Network Connect-Sitzung gestartet hat, der nächste Statuscheck für Cache
Cleaner auf Ressourcenebene aber fehlschlägt, kann er weiterhin auf die
offene Network Connect-Sitzung zugreifen. Das IVE verweigert ihm nur dann
den Zugriff, wenn er versucht, eine neue Network Connect-Sitzung zu starten.
Bei jedem Versuch, auf eine neue Webressource zuzugreifen oder eine neue
Secure Application Manager-, Network Connect- oder Secure Terminal AccessSitzung zu starten, überprüft das IVE den letzten von Cache Cleaner
zurückgegebenen Status.
5. Endgültige Bereinigung – Cache Cleaner führt in folgenden Situationen eine
endgültige Bereinigung durch und stellt Registrierungseinstellungen wieder her:
Der Benutzer meldet sich explizit von seiner Benutzersitzung ab – Wenn
ein Benutzer auf der IVE-Startseite auf Sign Out klickt, führt Cache Cleaner
eine endgültige Bereinigung aus und deinstalliert sich anschließend selbst
vom Benutzersystem.
Die Höchstdauer für die Benutzersitzung ist überschritten – Wenn die
Höchstdauer für eine Benutzersitzung überschritten wurde, führt Cache
Cleaner eine Bereinigung durch. Meldet sich der Benutzer dann erneut an,
wird die Bereinigung wiederholt. Cache Cleaner überprüft in bestimmten
Abständen die Gültigkeit einer Sitzung und erkennt daher, wann eine
Sitzungszeitüberschreitung auftritt. Die entsprechenden Intervalle werden
auf der Registerkarte Authentication > Endpoint Security > Cache
Cleaner festgelegt.
HINWEIS: Bei der Überprüfung der Gültigkeit einer Sitzung stellt Cache Cleaner eine
Verbindung mit dem IVE her. Diese Aktion kann die Ausgabe von Warnmeldungen
persönlicher Firewalls zur Folge haben. Benutzer müssen diesen Datenverkehr
zulassen, damit Cache Cleaner ordnungsgemäß ausgeführt werden kann. Bei
Verwendung einer persönlichen Firewall erfolgt bei jedem Leeren des Cache mit
Cache Cleaner ein Protokolleintrag.
Ein Clientsystem wird nach einem nicht ordnungsgemäßen
Herunterfahren des Systems neu gestartet – Wenn Cache Cleaner
aufgrund eines Problems im System, bei einer Sitzung oder einer
Netzwerkverbindung nicht ordnungsgemäß beendet wird, führt Cache
Cleaner eine endgültige Bereinigung durch und deinstalliert sich nach
dem Neustart des Systems selbst vom Benutzersystem. Beachten Sie,
dass Cache Cleaner nach dem Beenden keine Daten protokollieren
kann. Darüber hinaus gehen alle nach dem Beenden und vor der
erneuten Anmeldung am IVE vorgenommenen Änderungen der
Registrierungseinstellungen des Benutzers verloren.
Implementieren der Cache Cleaner-Optionen
293
Juniper Networks Secure Access – Administratorhandbuch
Unabhängig vom Ausführungsstatus verbleibt Cache Cleaner auf dem Client. Der
Benutzer kann zur manuellen Deinstallation des Agent die Datei uninstall.exe in
dem Verzeichnis ausführen, in dem Cache Cleaner installiert ist. Wenn Sie die
clientseitige Protokollierung über die Seite System > Log/Monitoring > Client
Logs > Settings aktivieren, enthält dieses Verzeichnis auch eine Protokolldatei, die
bei jeder Ausführung von Cache Cleaner neu geschrieben wird. (Cache Cleaner
protokolliert keine Einträge im IVE-Standardprotokoll, kann jedoch Daten in der
temporären Clienttextdatei protokollieren. Dieses verschlüsselte Protokoll wird
gelöscht, wenn sich Cache Cleaner selbst deinstalliert.)
Angeben von Cache Cleaner-Einschränkungen
So geben Sie Cache Cleaner-Einschränkungen an:
1. Wählen Sie: Authentication > Endpoint Security > Cache Cleaner, und
geben Sie globale Optionen für Cache Cleaner an, die auf alle Benutzer
angewendet werden können, für die in einer Authentifizierungsrichtlinie, einer
Rollenzuordnungsregel oder einer Ressourcenrichtlinie die Cache Cleaner
erforderlich ist.
2. Gehen Sie folgendermaßen vor, wenn Sie Cache Cleaner auf der Bereichsebene
implementieren möchten:
a.
Wählen Sie: Users > User Realms > Bereich auswählen > Authentication
Policy > Cache Cleaner
b.
Wählen Sie eine der folgenden Optionen aus:
Disable Cache Cleaner – Der Benutzer erfüllt die
Zugriffsvoraussetzungen auch dann, wenn Cache Cleaner nicht
installiert ist oder nicht ausgeführt wird.
Just load Cache Cleaner – Der Benutzer erfüllt die
Zugriffsvoraussetzungen auch dann, wenn Cache Cleaner nicht
ausgeführt wird, es jedoch für eine spätere Verwendung verfügbar ist.
Wenn Sie diese Option für die Authentifizierungsrichtlinie eines Bereichs
auswählen, wird Cache Cleaner von IVE auf den Clientcomputer
heruntergeladen, nachdem der Benutzer authentifiziert wurde, aber
bevor er Rollen im System zugeordnet wird.
Load and enforce Cache – Der Benutzer erfüllt die
Zugriffsvoraussetzungen nur, wenn Cache Cleaner von IVE
heruntergeladen und ausgeführt wird. Wenn Sie diese Option für die
Authentifizierungsrichtlinie eines Bereichs auswählen, wird Cache
Cleaner von IVE auf den Clientcomputer heruntergeladen, bevor der
Benutzer auf die IVE-Anmeldeseite zugreifen kann.
3. Gehen Sie folgendermaßen vor, wenn Sie Cache Cleaner auf der Rollenebene
implementieren möchten:
a.
Wählen Sie:
294
Implementieren der Cache Cleaner-Optionen
Administrators > Admin Roles > Rolle auswählen > General >
Restrictions > Cache Cleaner
Kapitel 12: Cache Cleaner
b.
Users > User Roles > Rolle auswählen > General > Restrictions >
Cache Cleaner
Aktivieren Sie die Option Enable Cache Cleaner. Cache Cleaner muss
ausgeführt werden, damit der Benutzer die Zugriffsvoraussetzungen erfüllt.
4. Gehen Sie folgendermaßen vor, wenn Sie Rollenzuordnungsregeln basierend auf
dem Cache Cleaner-Status eines Benutzers erstellen möchten:
a.
Wählen Sie: Users > User Realms > Bereich auswählen > Role Mapping >
Regel auswählen|erstellen > CustomExpression
b.
Schreiben Sie einen benutzerdefinierten Ausdruck für die
Rollenzuordnungsregel, um den Status von Cache Cleaner anhand der
Variablen cacheCleaner auszuwerten.
5. Gehen Sie folgendermaßen vor, wenn Sie Cache Cleaner auf der
Ressourcenrichtlinienebene implementieren möchten:
a.
Wählen Sie: Users > Resource Policies > Ressource auswählen >
Richtlinie auswählen > Detailed Rules > Regel auswählen|erstellen >
Bedingungsfeld
b.
Erstellen Sie einen benutzerdefinierten Ausdruck in einer detaillierten Regel.
Festlegen von Installationsoptionen für Cache Cleaner
Wenn Sie eine Richtlinie auf einer Bereichs-, Rollen- oder Ressourcenrichtlinienebene
implementieren, für die Cache Cleaner erforderlich ist, müssen Sie einen Mechanismus
bereitstellen, mit Hilfe dessen das IVE oder der Benutzer Cache Cleaner auf dem
Clientcomputer installieren kann. Andernfalls steht der Cache Cleaner-Client beim
Überprüfen der Cache Cleaner-Richtlinie vom IVE nicht zur Verfügung, sodass dem
Computer des Benutzers der Zugriff verweigert wird.
Aktivieren Sie die automatische Installation über die Seite Users > User Realms >
Bereich > Authentication Policy > Cache Cleaner der Administratorkonsole,
damit das IVE die Installation von Cache Cleaner auf dem System des Benutzers
versuchen kann. In diesem Fall wertet das IVE die Option auf Bereichsebene aus,
sobald der Benutzer auf die IVE-Anmeldeseite zugreift, und überprüft, ob die
aktuelle Version von Cache Cleaner auf dem Computer des Benutzers installiert ist.
Wenn Cache Cleaner nicht installiert ist, versucht das IVE die Installation mithilfe
der ActiveX- oder Java-Übertragungsmethode.
Wenn ein Benutzer sich am IVE anmeldet, versucht das IVE, ein ActiveX-Steuerelement
auf dem Benutzersystem zu installieren. Wurde das ActiveX-Steuerelement erfolgreich
installiert, verwaltet das Steuerelement die Installation von Cache Cleaner.
Wenn das IVE das ActiveX-Steuerelement nicht installieren kann, da Administratoroder Benutzerberechtigungen fehlen oder ActiveX auf dem Benutzersystem
deaktiviert ist, versucht das IVE, Cache Cleaner mit Java zu installieren. Die JavaÜbertragungsmethode benötigt nur Benutzerberichtigungen; allerdings muss Java
auf dem System des Benutzers aktiviert sein.
Festlegen von Installationsoptionen für Cache Cleaner 295
Juniper Networks Secure Access – Administratorhandbuch
Wenn das IVE die Java-Übertragungsmethode nicht verwenden kann, da Java
deaktiviert ist, wird der Benutzer über eine Fehlermeldung darüber informiert, dass
sein System die Installation von ActiveX oder Java-Anwendungen nicht gestattet
und deshalb einige der Zugriffssicherheitsfunktionen nicht ausgeführt werden
können.
HINWEIS:
Zum Installieren von Cache Cleaner müssen Benutzer über entsprechende
Berechtigungen verfügen, wie im Client-side Changes Guide im Juniper
Networks Customer Support Center erläutert. Besitzt der Benutzer diese
Berechtigungen nicht, muss zur Umgehung dieser Anforderung der auf der
Seite Maintenance > System > Installers der Administratorkonsole
verfügbare Juniper Installer Service verwendet werden.
Benutzer müssen im Browser signierte ActiveX-Komponenten oder signierte
Java-Applets aktivieren, damit Host Checker die Clientanwendungen
herunterladen, installieren und starten kann.
Verwenden von Cache Cleaner-Protokollen
Aktivieren Sie mithilfe der Registerkarte System > Log/Monitoring > Client Logs >
Settings die clientseitige Protokollierung für Cache Cleaner. Wenn Sie diese Option für
eine Funktion aktivieren, schreibt das IVE ein clientseitiges Protokoll für jeden Client,
der Cache Cleaner verwendet. Bei jedem Aufruf dieser Funktion in nachfolgenden
Benutzersitzungen fügt das IVE Informationen zur Protokolldatei hinzu. Diese Funktion
ist bei der Zusammenarbeit mit dem Support-Team nützlich, um mit der
entsprechenden Funktion zusammenhängende Probleme zu debuggen.
HINWEIS: Da diese Einstellungen global sind, schreibt das IVE eine Protokolldatei für
alle Clients, die die Funktion verwenden, für die Sie die clientseitige Protokollierung
aktivieren. Außerdem entfernt das IVE keine clientseitigen Protokolle. Benutzer
müssen Protokolldateien manuell von ihren Clients löschen. Weitere Informationen
über den Speicherort, an dem das IVE die Protokolldateien installiert, finden Sie im
Juniper Networks Customer Support Center im Client-side Changes Guide.
So legen Sie Einstellungen für clientseitige Protokollierung fest:
1. Wählen Sie in der Administratorkonsole System > Log/Monitoring > Client
Logs > Settings.
2. Wählen Sie die gewünschten Funktionen aus, für die das IVE clientseitige
Protokolle schreibt.
3. Klicken Sie zum globalen Speichern der Einstellungen auf Save Changes.
HINWEIS: Für neue IVE-5.x-Systeme sind alle drei Optionen standardmäßig
deaktiviert. Wenn Sie Ihr IVE von einer 3.x-Konfiguration aktualisieren, sind
alle Protokolloptionen standardmäßig aktiviert.
296
Verwenden von Cache Cleaner-Protokollen
Teil 4
Remotezugriff
Mit den Fernzugriffsfunktionen des IVE besitzen Sie sicheren Zugriff auf zahlreiche
Anwendungen, Server und andere Ressourcen. Nach Auswahl der zu sichernden
Ressource kann anschließend der geeignete Zugriffsmechanismus bestimmt
werden (wie in „Kann ich das IVE zum Sichern des Datenverkehrs zu allen
Anwendungen, Servern und Webseiten des Unternehmens verwenden?“ auf
Seite 25 erläutert).
Möchten Sie z.B. den Zugriff auf Microsoft Outlook sichern, verwenden Sie den
Secure Application Manager (SAM). Der Secure Application Manager vermittelt den
Datenverkehr zwischen Client-, bzw. Serveranwendungen einschließlich Microsoft
Outlook, Lotus Notes und Citrix. Der Zugriff auf das firmeninterne Intranet kann
mit der Funktion für das Neuschreiben von Webinhalt gesichert werden. Diese
Funktion vermittelt Datenverkehr zwischen webbasierten Anwendungen und
Webseiten mithilfe des IVE-Moduls für Inhaltsvermittlung.
Tabelle 18 beinhaltet einen kurzen Vergleich von drei der IVE-Zugriffsmechanismen:
Network Connect, Windows Secure Application Manager (WSAM) und Java Secure
Application Manager (JSAM).
Tabelle 18: Vergleich der Remoteclient-Zugriffsmethoden
Network Connect
WSAM
JSAM
Sicherer Zugriff auf
Netzwerkebene. Fungiert als
virtueller IPsec-fähiger Tunnel.
Mit clientseitigen Firewalls und
Proxys kompatibel.
Sicherer Zugriff auf
Anwendungsebenen.
Unterstützt die Installation
von Win32 Transport Data
Interface (TDI)-Dienst. Mit
clientseitigen Firewalls und
Proxys kompatibel.
Sicherer Zugriff auf
Anwendungsebenen. JavaApplet-basierter TCP-Port zur
Weiterleitung für bereitgestellte
Unternehmenshosts. Mit
clientseitigen Firewalls und
Proxys kompatibel.
Installation für Windows
ausgeführt mittels Active XSteuerelement und für Mac
mittels Java-Applet.
Installation mittels Active XSteuerelement, JavaÜbertragungsmethode und
eigenständigen
Installationsprogramme.
Nur ein einzelnes auf dem Client
installiertes Java-Applet
erforderlich.
Bereitstellung erfordert einen
statischen IP-Adress-Pool, der
Netzwerkressourcen oder einem
DHCP-Server im Netzwerk
zugeordnet wird.
Die Bereitstellung erfordert
die Sicherung einer Liste von
IP-Adressen, von WindowsAnwendungen und Zielhosts.
Zugriffssteuerung abhängig
von IP-Adressen.
Die Bereitstellung erfordert eine
Liste von Hosts und Ports auf
Gruppenebene. Bietet Benutzern
die Möglichkeit, Client-ServerAnwendungen und
Sicherheitseinstellungen zu
definieren. Hostnamen werden
IP-Adressen vorgezogen.
297
Juniper Networks Secure Access – Administratorhandbuch
Tabelle 18: Vergleich der Remoteclient-Zugriffsmethoden (Fortsetzung)
Network Connect
WSAM
JSAM
Unterstützt Windows-, Mac- und Unterstützt Windows-Clients. Unterstützt Windows-, Mac- und
Linux-Clients.
Linux-Clients.
Dieser Abschnitt enthält die folgenden Informationen über
Remotezugriffsmechanismen:
298
„Neuschreiben von Webinhalt“ auf Seite 299
„Gehostete Java-Applets“ auf Seite 387
„Neuschreiben von Dateien“ auf Seite 401
„Secure Application Manager“ auf Seite 427
„Telnet/SSH“ auf Seite 485
„Terminal Services“ auf Seite 497
„Secure Meeting“ auf Seite 531
„E-Mail-Client“ auf Seite 553
„Network Connect“ auf Seite 561
Kapitel 13
Neuschreiben von Webinhalt
Die IVE-Funktion für das Neuschreiben von Webinhalten ermöglicht es Ihnen, WebURLs über das Modul für die Inhaltsvermittlung zu vermitteln. URLs können im
World Wide Web oder im firmeninternen Intranet vermittelt werden.
Dieser Abschnitt enthält die folgenden Informationen über das Vermitteln von Webinhalt:
„Lizenzierung: Neuschreiben von Webinhalt – Verfügbarkeit“ auf Seite 300
„Aufgabenzusammenfassung: Konfigurieren der Funktion zum Neuschreiben
von Webinhalt“ auf Seite 300
„Neuschreiben von Web-URLs – Überblick“ auf Seite 302
„Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen“ auf
Seite 308
„Definieren von Ressourcenprofilen: Citrix-Webanwendungen“ auf Seite 329
„Definieren von Ressourcenprofilen: Microsoft OWA“ auf Seite 333
„Definieren von Ressourcenprofilen: Lotus iNotes“ auf Seite 336
„Definieren von Ressourcenprofilen: Microsoft Sharepoint“ auf Seite 338
„Definieren von Rolleneinstellungen: Web-URLs“ auf Seite 340
„Definieren von Ressourcenrichtlinien: Übersicht“ auf Seite 347
„Definieren von Ressourcenrichtlinien: Webzugriff“ auf Seite 349
„Definieren von Ressourcenrichtlinien: Single Sign-On (Einzelanmeldung)“ auf
Seite 350
„Definieren von Ressourcenrichtlinien: Caching“ auf Seite 358
„Definieren von Ressourcenrichtlinien: Externe Java-Applets“ auf Seite 362
„Definieren von Ressourcenrichtlinien: Neuschreiben“ auf Seite 366
„Definieren von Ressourcenrichtlinien: Webkomprimierung“ auf Seite 377
„Definieren von Ressourcenrichtlinien: Webproxy“ auf Seite 379
299
Juniper Networks Secure Access – Administratorhandbuch
„Definieren von Ressourcenrichtlinien: HTTP 1.1-Protokoll“ auf Seite 382
„Definieren von Ressourcenrichtlinien: Allgemeine Optionen“ auf Seite 384
„Verwalten von Ressourcenrichtlinien: Anpassen von
Benutzeroberflächenansichten“ auf Seite 385
Lizenzierung: Neuschreiben von Webinhalt – Verfügbarkeit
Die Funktion für das Neuschreiben von Webinhalt ist standardmäßig in allen Secure
Access-Appliances enthalten, mit Ausnahme der SA 700. Verwenden Sie eine SA700-Appliance, müssen Sie eine Aktualisierungslizenz für einen clientlosen
Kernzugriff installieren, um auf grundlegende Funktionen zum Neuschreiben von
Webinhalt zuzugreifen. Die folgenden erweiterten Funktionen zum Neuschreiben
von Webinhalt sind auch dann nicht auf der SA 700-Appliance verfügbar, wenn Sie
die Aktualisierungslizenz für den clientlosen Kernzugriff besitzen:
Remote-SSO
Richtlinien für das Neuschreiben von W-SAM & J-SAM (verfügbar über die
Ressourcenprofile der Webanwendung)
Optionen für das Neuschreiben von nicht auf Java basierenden ICA (verfügbar
über die Citrix-Vorlagen)
Aufgabenzusammenfassung: Konfigurieren der Funktion zum
Neuschreiben von Webinhalt
So konfigurieren Sie die Funktion zum Neuschreiben von Webinhalt:
1. Erstellen Sie Ressourcenprofile, die den Zugriff auf Websites ermöglichen,
erstellen Sie nach Bedarf unterstützende automatische Richtlinien (z.B.
Zugriffssteuerungsrichtlinien für Single Sign-On (Einzelanmeldung) und Java),
fügen Sie Lesezeichen ein, die einen Link zu den Websites herstellen, und
ordnen Sie den Benutzerrollen mithilfe der Einstellungen auf der Seite Users >
Resource Profiles > Web Application Pages der Administratorkonsole die
Richtlinien und Lesezeichen zu. Anweisungen hierfür finden Sie unter:
„Definieren von Ressourcenprofilen: Benutzerdefinierte
Webanwendungen“ auf Seite 308
„Definieren von Ressourcenprofilen: Citrix-Webanwendungen“ auf
Seite 329
Verwenden Sie Ressourcenprofile, um die Funktion für das Neuschreiben von
Webinhalt (wie oben beschrieben) zu konfigurieren. Möchten Sie jedoch keine
Ressourcenprofile verwenden, kann die Funktion für das Neuschreiben von
Webinhalt auch mit Rollen- und Ressourcenrichtlinieneinstellungen auf den
folgenden Seiten der Administratorkonsole konfiguriert werden:
300
Lizenzierung: Neuschreiben von Webinhalt – Verfügbarkeit
Kapitel 13: Neuschreiben von Webinhalt
a.
Erstellen Sie Ressourcenrichtlinien, die mithilfe der Einstellungen auf der
Seite Users > Resource Policies> Web > Access > Web ACL der
Administratorkonsole Zugriff auf Websites ermöglichen. Anweisungen
hierfür finden Sie unter „Definieren von Ressourcenrichtlinien: Webzugriff“
auf Seite 349.
b.
Erstellen Sie nach Bedarf unterstützende Ressourcenrichtlinien (z.B.
Zugriffssteuerungsrichtlinien für Single Sign-On (Einzelanmeldung und
Java). Verwenden Sie dazu die Einstellungen auf den Seiten Users >
Resource Policies > Richtlinientyp auswählen der Administratorkonsole.
Anweisungen hierfür finden Sie unter:
c.
„Definieren von Ressourcenrichtlinien: Single Sign-On
(Einzelanmeldung)“ auf Seite 350
„Definieren von Ressourcenrichtlinien: Caching“ auf Seite 358
„Definieren von Ressourcenrichtlinien: Externe Java-Applets“ auf Seite 362
„Definieren von Ressourcenrichtlinien: Neuschreiben“ auf Seite 366
„Definieren von Ressourcenrichtlinien: Webkomprimierung“ auf Seite 377
„Definieren von Ressourcenrichtlinien: Webproxy“ auf Seite 379
„Definieren von Ressourcenrichtlinien: HTTP 1.1-Protokoll“ auf Seite 382
Legen Sie die Benutzerrollen fest, denen der Zugriff auf Websites, die
vermittelt werden sollen, gewährt wird. Richten Sie anschließend den
Webzugriff dieser Rollen mithilfe der Seite Users > User Roles > Rolle
auswählen> General > Overview in der Administratorkonsole ein.
Anweisungen hierfür finden Sie unter „Konfigurieren allgemeiner
Rollenoptionen“ auf Seite 57.
d. Erstellen Sie Lesezeichen für Ihre Websites mithilfe der Einstellungen auf
den Seiten Users > User Roles > Rolle auswählen > Web > Bookmarks
der Administratorkonsole. Anweisungen hierfür finden Sie unter
„Definieren von Rolleneinstellungen: Web-URLs“ auf Seite 340.
e.
Wählen Sie nach Bedarf allgemeine Weboptionen aus, die den vermittelten
Webinhalten (wie Java) entsprechen. Verwenden Sie dazu die Einstellungen
auf der Seite Users > User Roles > Rolle auswählen > Web > Options der
Administratorkonsole. Anweisungen hierfür finden Sie unter „Angeben von
allgemeinen Webbrowsingoptionen“ auf Seite 343.
2. Nachdem der Zugriff auf Webanwendungen oder -sites mithilfe von
Ressourcenprofilen oder -rollen sowie Ressourcenrichtlinien für das
Neuschreiben von Webinhalt gewährt wurde, können allgemeine Rollen- und
Ressourcenoptionen auf den folgenden Seiten der Administratorkonsole
geändert werden:
Aufgabenzusammenfassung: Konfigurieren der Funktion zum Neuschreiben von Webinhalt
301
Juniper Networks Secure Access – Administratorhandbuch
a.
Legen Sie zusätzliche Webbrowsingoptionen (z.B. kann Benutzern das
Erstellen von eigenen Lesezeichen oder das Verbergen von Hostnamen
ermöglicht werden) auf der Seite Users > User Roles > Rolle auswähen >
Web > Options der Administratorkonsole fest (optional). Anweisungen
hierfür finden Sie unter „Angeben von allgemeinen Webbrowsingoptionen“
auf Seite 343.
b.
Legen Sie zusätzliche Weboptionen für einzelne Ressourcen fest (wie das
Aktivieren des IVE zum Abgleich von IP-Adressen mit Hostnamen).
Verwenden Sie dazu die Einstellungen auf der Seite Users > Resource
Policies > Web > Options der Administratorkonsole (optional).
Anweisungen hierfür finden Sie unter „Definieren von
Ressourcenrichtlinien: Allgemeine Optionen“ auf Seite 384.
HINWEIS: Einige Funktionen zum Neuschreiben von Webinhalt (wie
Durchgangsproxy und SSO (Einzelanmeldung) für NTLM-Ressourcen) erfordern
zusätzliche Konfiguration. Weitere Informationen finden Sie in den
entsprechenden Konfigurationsanweisungen.
Neuschreiben von Web-URLs – Überblick
Wird Standard-Webinhalt über das IVE vermittelt, können ergänzende Richtlinien
erstellt werden, die eine „Feinabstimmung“ der Zugriffsanforderungen vornehmen
und Anweisungen für den vermittelten Inhalt verarbeiten. Diese ergänzenden
Richtlinien können über Ressourcenprofile (empfohlen) oder über
Ressourcenrichtlinien erstellt werden.
Standardmäßige Richtlinien für das Neuschreiben von Webinhalt umfassen
folgende Funktionen:
302
Web access control – Mit Webzugriffsrichtlinien wird festgelegt, auf welche
Webressourcen Benutzer zugreifen können, um eine Verbindung zum Internet,
Intranet oder Extranet herzustellen. Konfigurationsanweisungen finden Sie
unter „Definieren einer automatischen Richtlinie für die Webzugriffssteuerung“
auf Seite 310 (empfohlen) oder „Definieren von Ressourcenrichtlinien:
Webzugriff“ auf Seite 349.
Single sign-on – Single Sign-On-(Einzelanmeldungs-)Richtlinien ermöglichen
Ihnen die Weiterleitung von Benutzeranmeldedaten an eine Webanwendung.
Richtlinien für Single Sign-On (Einzelanmeldung) können so konfiguriert
werden, dass Standardauthentifizierungen und NTLM-Anfragen abgefangen
werden oder dass die angegebenen Anmeldedaten und Header an die
Webanwendung gesendet werden, wie unter „Remote-SSO – Übersicht“ auf
Seite 304 erläutert. Konfigurationsanweisungen finden Sie unter „Definieren
einer automatischen Richtlinie für Single Sign-On (Einzelanmeldung)“ auf
Seite 313 (empfohlen) oder „Definieren von Ressourcenrichtlinien: Single SignOn (Einzelanmeldung)“ auf Seite 350.
Neuschreiben von Web-URLs – Überblick
Kapitel 13: Neuschreiben von Webinhalt
Caching – Mit Zwischenspeicherungsrichtlinien wird festgelegt, welchen
Webinhalt das Caching auf dem Computer eines Benutzers zwischenspeichert.
Konfigurationsanweisungen finden Sie unter „Definieren einer automatischen
Richtlinie für Zwischenspeicherung“ auf Seite 317 (empfohlen) oder
„Definieren von Ressourcenrichtlinien: Caching“ auf Seite 358.
Java – Java-Richtlinien steuern, zu welchen Servern und Ports Java-Applets eine
Verbindung herstellen können. Diese Richtlinien geben auch vertrauenswürdige
Server an, für die das IVE den Inhalt neu signiert. Konfigurationsanweisungen
finden Sie unter „Definieren einer automatischen Richtlinie für die JavaZugriffssteuerung“ auf Seite 319 (empfohlen) oder „Definieren von
Ressourcenrichtlinien: Externe Java-Applets“ auf Seite 362.
Rewriting – Richtlinien für Neuschreibevorgänge geben Ressourcen an, die das
IVE nicht vermitteln darf, nehmen minimale Vermittlung vor (wie unter
„Durchgangsproxy – Überblick“ auf Seite 305 erläutert), oder vermitteln nur
selektiv. Konfigurationsanweisungen finden Sie unter „Definieren einer
automatischen Richtlinie für Neuschreibevorgänge“ auf Seite 321 (empfohlen)
oder „Definieren von Ressourcenrichtlinien: Neuschreiben“ auf Seite 366.
Web compression – Webkomprimierungsrichtlinien geben an, welche Arten
von Webdaten das IVE (nicht) komprimieren soll (wie unter „Komprimierung“
auf Seite 899 erläutert.) Konfigurationsanweisungen finden Sie unter
„Definieren einer automatischen Richtlinie für Webkomprimierung“ auf
Seite 326 (empfohlen) oder „Definieren von Ressourcenrichtlinien:
Webkomprimierung“ auf Seite 377.
Web proxy – (nur Ressourcenrichtlinien) Ressourcenrichtlinien für Webproxys
geben Webproxyserver an, für die das IVE Inhalt vermitteln soll. Das IVE
vermittelt Proxys in beide Richtungen, aktiviert die Funktion Single Sign-On
(Einzelanmeldung) jedoch nur für vertrauenswürdige Proxys.
Konfigurationsanweisungen finden Sie unter „Definieren von
Ressourcenrichtlinien: Webproxy“ auf Seite 379.
Launch JSAM – (nur Ressourcenrichtlinien) Richtlinien für das Starten von
JSAM geben URLs an, für die das IVE automatisch J-SAM im Client startet. Diese
Funktion ist hilfreich, wenn Sie Anwendungen aktivieren, die J-SAM benötigen,
aber vermeiden möchten, dass Benutzer J-SAM unnötig ausführen müssen.
Konfigurationsanweisungen finden Sie unter „Automatisches Starten von JSAM“
auf Seite 479.
Protocol – (nur Ressourcenrichtlinien) Ressourcenrichtlinien für Protokolle
aktivieren oder deaktivieren die HTTP 1.1-Protokollunterstützung im IVE.
Konfigurationsanweisungen finden Sie unter „Definieren von
Ressourcenrichtlinien: HTTP 1.1-Protokoll“ auf Seite 382.
Options – Über Optionen für Ressourcenrichtlinien können IP-basierte
Abgleiche für Hostnamen und Abgleiche für Pfad- und Abfragezeichenfolgen
(unter Berücksichtigung von Groß- und Kleinschreibung) in Webressourcen
aktiviert werden (nur für Ressourcenrichtlinien). Konfigurationsanweisungen
finden Sie unter „Definieren von Ressourcenrichtlinien: Allgemeine Optionen“
auf Seite 384.
Neuschreiben von Web-URLs – Überblick
303
Juniper Networks Secure Access – Administratorhandbuch
Remote-SSO – Übersicht
Mithilfe der Funktion Remote-SSO (Single Sign-On, Einzelanmeldung) können Sie
die URL-Anmeldeseite einer Anwendung angeben, an die das IVE die
Anmeldedaten eines Benutzers senden soll. Dadurch wird vermieden, dass
Benutzer ihre Anmeldeinformationen für den Zugriff auf verschiedene Back-EndAnwendungen mehrmals angeben müssen. Sie können außerdem zusätzliche
Formularwerte und benutzerdefinierte Header (einschließlich Cookies) angeben, die
an das Anmeldeformular einer Anwendung gesendet werden.
für die Remote-SSO-Konfiguration müssen Webressourcenrichtlinien angegeben werden:
Form POST Richtlinie – Diese Art von Remote-SSO-Richtlinie gibt die
Anmeldeseiten-URL einer Anwendung an, an die IVE-Daten und die zu
veröffentlichenden Daten gesendet werden sollen. Zu diesen Daten zählen der
bzw. das primäre oder sekundäre IVE-Benutzername und -Kennwort des
Benutzers (siehe hierzu „Anmeldedaten für mehrfaches Anmelden – Übersicht“
auf Seite 205) sowie die Systemdaten, die von den Systemvariablen gespeichert
wurden (siehe hierzu „Systemvariablen und Beispiele“ auf Seite 920). Sie
können außerdem angeben, ob Benutzer diese Informationen ändern dürfen.
Headers/Cookies Richtlinie – Diese Art von Remote-SSO-Richtlinie gibt
Ressourcen wie benutzerdefinierte Anwendungen an, an die benutzerdefinierte
Header und Cookies gesendet werden können.
Wenn sich die IVE-Anmeldedaten eines Benutzers von denen unterscheiden, die die
Back-End-Anwendung benötigt, kann der Benutzer auch folgendermaßen auf die
Anwendung zugreifen:
Manuelle Anmeldung – Der Benutzer kann schnell auf die Back-EndAnwendung zugreifen, indem er auf der Anmeldeseite der Anwendung seine
Anmeldedaten manuell eingibt. Der Benutzer kann seine
Anmeldeinformationen und sonstige erforderliche Daten auch entsprechend
der folgenden Beschreibung über die Seite Preferences dauerhaft im IVE
speichern. Dieser Vorgang ist jedoch optional.
Angeben der erforderlichen Anmeldedaten auf dem IVE – Der Benutzer
muss für das IVE die Anmeldedaten für die Anwendung fehlerfrei angeben. Die
Informationen werden auf der Seite Preferences festgelegt. Nach dem
Festlegen muss sich der Benutzer abmelden und erneut anmelden, um seine
Anmeldeinformationen für das IVE zu speichern. Wenn der Benutzer das
nächste Mal auf das Remote-SSO-Lesezeichen klickt, um sich bei der
Anwendung anzumelden, sendet das IVE die aktualisierten Anmeldedaten.
HINWEIS: Übergeben Sie mithilfe der Remote-SSO-Funktion Daten an
Anwendungen, in deren HTML-Formularen statische POST-Aktionen enthalten
sind. Es empfiehlt sich nicht, Remote-SSO mit Anwendungen zu verwenden, bei
denen sich regelmäßig ändernde URL POST-Aktionen zur Anwendung kommen,
ein Ablauf nach einer bestimmten Zeit auftritt oder POST-Aktionen ablaufen, die
zum Zeitpunkt der Erstellung des Formulars generiert wurden.
Informationen über das Konfigurieren von Remote-SSO:
304
Neuschreiben von Web-URLs – Überblick
Kapitel 13: Neuschreiben von Webinhalt
„Definieren einer automatischen Richtlinie für Single Sign-On
(Einzelanmeldung)“ auf Seite 313 (empfohlene Methode)
„Schreiben einer Ressourcenrichtlinie für Remote-SSO-Form-POSTs“ auf Seite 353
„Schreiben einer Ressourcenrichtlinie für Remote-SSO-Header und -Cookies“
auf Seite 356
Durchgangsproxy – Überblick
Mithilfe der Funktion für Durchgangsproxys können Sie Webanwendungen
angeben, für die das IVE eine minimale Vermittlung durchführt. Anders als die
herkömmliche Antwortproxyfunktion, bei der ebenfalls nur selektive Teile einer
Serverantwort neu geschrieben werden, jedoch sowohl Netzwerkänderungen als
auch komplexe Konfigurationen vorgenommen werden müssen, genügt für diese
Funktion lediglich die Angabe von Anwendungsserver und Methode, mit der das
IVE Clientanforderungen an diese Anwendungsserver empfängt:
Über einen IVE-Port – Wenn Sie eine Anwendung zur Vermittlung für den
Durchgangsproxy angeben, geben Sie einen Port an, an dem das IVE
Clientanforderungen an den Anwendungsserver abfragen soll. Wenn das IVE
eine Clientanforderung für den Anwendungsserver empfängt, leitet es diese
Anforderung an den angegebenen Anwendungsserverport weiter. Wenn Sie
diese Option auswählen, müssen Sie bei Ihrer Firmenfirewall den Datenverkehr
für den angegebenen IVE-Port freigeben.
Über virtuellen Hostnamen – Wenn Sie eine Anwendung zur Vermittlung für
den Durchgangsproxy angeben, geben Sie einen Alias für den Hostnamen des
Anwendungsservers ein. für diesen Alias müssen Sie einen Eintrag im externen
DNS-Server vornehmen, der für das IVE aufgelöst wird. Wenn das IVE eine
Clientanforderung für den Alias empfängt, leitet es diese Anforderung an den
für den Anwendungsserver angegebenen Port weiter.
Diese Option bietet sich an, wenn in Ihrem Unternehmen restriktive Richtlinien
für das Öffnen von Firewallports für interne Server oder Server in der DMZ
gelten. Wenn Sie diese Option verwenden, ist es empfehlenswert, dass jeder
Hostnamenalias dieselbe Domänenteilzeichenfolge enthält wie der IVEHostname und dass Sie in folgendem Format ein Serverzertifikat mit Platzhalter
in das IVE hochladen: *.domain.com.
Neuschreiben von Web-URLs – Überblick
305
Juniper Networks Secure Access – Administratorhandbuch
Wird das IVE mit iveserver.yourcompany.com bezeichnet, sollte ein
Hostnamenalias das Format appserver.yourcompany.com aufweisen. Das
Zertifikatsformat mit Platzhalter lautet in diesem Fall *.yourcompany.com. Wenn
Sie kein Zertifikat mit Platzhalter verwenden, gibt der Browser eines Clients
eine Warnung zu einer Zertifikatsnamenüberprüfung aus, wenn ein Benutzer zu
einem Anwendungsserver wechselt, da der Hostnamenalias des
Anwendungsservers nicht mit dem Zertifikatsdomänennamen übereinstimmt.
Durch dieses Verhalten wird ein Benutzer jedoch nicht daran gehindert, auf den
Anwendungsserver zuzugreifen.
HINWEIS: Wenn Sie Durchgangsproxys so konfigurieren, dass sie im Modus für
virtuelle Hostnamen arbeiten, müssen Benutzer den IVE-Hostnamen verwenden,
den Sie bei der Anmeldung beim IVE über die Seite System > Network >
Overview in der Administratorkonsole festlegen. Wenn Benutzer bei der
Anmeldung beim IVE die IP-Adresse des Durchgangsproxy verwenden, steht
ihnen dieser nicht zur Verfügung.
Ebenso wie das Modul für die Inhaltsvermittlung bietet die Durchgangsproxyoption
eine höhere Sicherheit als Secure Application Manager, da das IVE dem Client bei
Aktivierung für eine Anwendung ermöglicht, an das Firmennetzwerk nur Layer-7Verkehr an feste Anwendungsports zu senden. Wenn diese Option aktiviert ist,
kann das IVE Anwendungen mit Komponenten unterstützen, die nicht mit dem
Modul für die Inhaltsvermittlung kompatibel sind, beispielsweise Java-Applets in
Anwendungen der Oracle E-Business Suite oder Applets, die auf einer nicht
unterstützten Java Virtual Machine (JVM) ausgeführt werden.
HINWEIS:
306
Durchgangsproxy-URLs müssen Hostnamen sein. Pfade von Hostnamen
werden nicht unterstützt.
Juniper Networks empfiehlt ausdrücklich, den Portmodus des Durchgangsproxys
nicht mit dem Hostmodus des Durchgangsproxys zu kombinieren.
Die Option des Durchgangsproxy kann nur bei Anwendungen verwendet
werden, die feste Ports abfragen und bei denen der Client keine direkten
Socketverbindungen herstellt.
Installieren Sie auf dem IVE ein echtes Zertifikat, um ein Durchgangsproxy mit
Oracle E-Business-Anwendungen zu verwenden, und konfigurieren Sie OracleFormulare für die Verwendung des Modus Forms Listener Servlet.
Neuschreiben von Web-URLs – Überblick
Kapitel 13: Neuschreiben von Webinhalt
Aufgabenzusammenfassung: Konfigurieren eines Durchgangsproxy
So konfigurieren Sie die Funktion zum Neuschreiben von Webinhalt:
1. Erstellen Sie Ressourcenprofile, die den Zugriff auf Webanwendungen
ermöglichen, erstellen Sie unterstützende automatische Richtlinien für das
Neuschreiben von Webinhalt, die Durchgangsproxys aktivieren, fügen Sie
Lesezeichen ein, die einen Link zu den Webanwendungen herstellen, und
ordnen Sie den Benutzerrollen die Richtlinien und Lesezeichen mithilfe der
Einstellungen auf der Seite Users > Resource Profiles> Web Application
Pages der Administratorkonsole zu. Anweisungen hierfür finden Sie unter
„Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen“ auf
Seite 308.
Sie können auch folgendermaßen vorgehen:
a.
Erstellen Sie Ressourcenrichtlinien, die mithilfe der Einstellungen auf der
Seite Users > Resource Policies > Web > Access > Web ACL der
Administratorkonsole Zugriff auf Webanwendungen ermöglichen.
Anweisungen hierfür finden Sie unter „Definieren von
Ressourcenrichtlinien: Webzugriff“ auf Seite 349.
b.
Erstellen Sie unterstützende Ressourcenrichtlinien zum Neuschreiben von
Webinhalt, die Durchgangsproxy mit den Einstellungen auf der Seite Users >
Resource Policies > Web > Rewriting > Web ACL der
Administratorkonsole ermöglichen. Anweisungen hierfür finden Sie unter
„Definieren von Ressourcenrichtlinien: Neuschreiben“ auf Seite 366.
c.
Legen Sie die Benutzerrollen fest, denen der Zugriff auf Websites, die mit
Durchgangsproxy vermittelt werden sollen, gewährt wird. Richten Sie
anschließend den Webzugriff dieser Rollen mithilfe der Seite Users > User
Roles > Rolle auswählen > General > Overview in der
Administratorkonsole ein. Anweisungen hierfür finden Sie unter
„Konfigurieren allgemeiner Rollenoptionen“ auf Seite 57.
d. Erstellen Sie Lesezeichen für Ihre Websites mithilfe der Einstellungen auf
den Seiten Users > User Roles > Rolle auswählen > Web > Bookmarks
der Administratorkonsole. Anweisungen hierfür finden Sie unter
„Definieren von Rolleneinstellungen: Web-URLs“ auf Seite 340.
2. Wenn die Ressourcenrichtlinie für Durchgangsproxys vorsieht, dass das IVE
Clientanforderungen über einen IVE-Port empfängt, müssen Sie den
ausgewählten Port in der Firmenfirewall für Datenverkehr öffnen. für den Fall,
dass Ihre Richtlinie Anforderungen über einen virtuellen Hostnamen vorsieht:
a.
Fügen Sie einen Eintrag für jeden Hostnamenalias eines Anwendungsservers
im externen DNS hinzu, der für das IVE aufgelöst wird.
b.
Definieren Sie den IVE- und den Host-Namen auf der Seite System >
Network > Internal Port der Administratorkonsole. Anweisungen hierfür
finden Sie unter „Konfigurieren von Netzwerkeinstellungen“ auf Seite 600.
Neuschreiben von Web-URLs – Überblick
307
Juniper Networks Secure Access – Administratorhandbuch
c.
Laden Sie ein Zertifikat mit Platzhalter über die Seite System >
Configuration > Certificates > Device Certificates in das IVE hoch. Mit
den Einstellungen derselben Seite können Sie auch mehrere Zertifikate
hochladen und jedem Zertifikat einen virtuellen Port zuweisen.
Anweisungen hierfür finden Sie unter „Importieren eines vorhandenen
Stammzertifikats und eines privaten Schlüssels“ auf Seite 648 sowie unter
„Zuordnen eines Zertifikats zu einem virtuellen Port“ auf Seite 653.
Anwendungsbeispiele für Durchgangsproxys
Ist das IVE iveserver.yourcompany.com und verfügen Sie unter
oracle.companynetwork.net:8000 über einen Oracle-Server, können die folgenden
Anwendungsparameter beim Festlegen eines IVE-Ports angegeben werden:
Server: oracle.companynetwork.net
Port: 8000
IVE port: 11000
Empfängt das IVE an iveserver.yourcompany.com:11000 gesendeten OracleClientdatenverkehr, wird der Datenverkehr an oracle.companynetwork.net:8000
weitergeleitet.
Wenn Sie einen Hostnamenalias angeben möchten, können Sie die Anwendung mit
folgenden Parametern konfigurieren:
Server: oracle.companynetwork.net
Port: 8000
IVE alias: oracle.yourcompany.com
Empfängt das IVE an oracle.yourcompany.com gesendeten Oracle-Clientdatenverkehr,
wird der Datenverkehr an oracle.companynetwork.net:8000 weitergeleitet.
Definieren von Ressourcenprofilen: Benutzerdefinierte
Webanwendungen
Ein Ressourcenprofil für eine benutzerdefinierte Webanwendung ist ein
Ressourcenprofil, das den Zugriff auf eine Webanwendung, einen Webserver oder
eine HTML-Seite steuert. (Weitere Informationen über Ressourcenprofile finden Sie
unter „Ressourcenprofile“ auf Seite 75.)
So erstellen Sie ein benutzerdefiniertes Ressourcenprofil für eine Webanwendung:
1. Navigieren Sie zur Seite Users > Resource Profiles > Web Applications/Pages
in der Administratorkonsole.
2. Klicken Sie auf New Profile.
3. Geben Sie einen eindeutigen Namen und ggf. eine Beschreibung für das
Ressourcenprofil ein.
308
Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen
Kapitel 13: Neuschreiben von Webinhalt
4. Geben Sie im Feld Base URL die URL der Webanwendung oder -seite ein, für
die Sie den Zugriff mithilfe des folgenden Formats steuern möchten:
[Protokoll://]Host[:Port][/Pfad]. Detaillierte Anweisungen finden Sie in
„Definieren von Basis-URLs“ auf Seite 310. (Das IVE verwendet die angegebene
URL, um das Standardlesezeichen für das Ressourcenprofil zu definieren.)
5. Erstellen Sie im Abschnitt Autopolicy: Web Access Control eine Richtlinie, die
Benutzern den Zugriff auf die im Feld Base URL angegebene Ressource
gewährt oder verweigert. (Standardmäßig erstellt das IVE automatische eine
Richtlinie für den Benutzer, mit der der Zugriff auf die Webressource und alle
Unterverzeichnisse ermöglicht wird.) Weitere detaillierte Anweisungen finden
Sie unter „Definieren einer automatischen Richtlinie für die
Webzugriffssteuerung“ auf Seite 310.
6. (Optional) Klicken Sie auf Show ALL autopolicy types, um zusätzliche AutoRichtlinien zu erstellen, die den Zugriff auf die Ressource präzisieren. Erstellen Sie
dann die Auto-Richtlinien mithilfe der Anweisungen in den folgenden Abschnitten:
„Definieren einer automatischen Richtlinie für Single Sign-On
(Einzelanmeldung)“ auf Seite 313
„Definieren einer automatischen Richtlinie für Zwischenspeicherung“
auf Seite 317
„Definieren einer automatischen Richtlinie für die Java-Zugriffssteuerung“
auf Seite 319
„Definieren einer automatischen Richtlinie für Neuschreibevorgänge“
auf Seite 321
„Definieren einer automatischen Richtlinie für Webkomprimierung“
auf Seite 326
7. Klicken Sie auf Save and Continue.
8. Wählen Sie auf der Registerkarte Roles die Rollen aus, auf die das
Ressourcenprofil angewendet werden soll, und klicken Sie auf Add.
Die ausgewählten Rollen übernehmen die durch das Ressourcenprofil erstellten
Auto-Richtlinien und Lesezeichen. Ist die Option Web noch nicht aktiviert,
wird diese vom IVE auf der Seite Users > User Roles > Rolle auswählen >
General > Overview der Administratorkonsole ebenfalls für alle ausgewählten
Rollen automatisch aktiviert.
9. Klicken Sie auf Save Changes.
10. (Optional) Ändern Sie auf der Registerkarte Bookmarks das vom IVE erstellte
Standardlesezeichen, und/oder erstellen Sie neue Lesezeichen. Befolgen Sie
dazu die Anweisungen unter „Definieren eines Weblesezeichens“ auf Seite 327.
(Standardmäßig erstellt das IVE ein Lesezeichen für die in Base URL definierte
Basis-URL und zeigt dieses allen Benutzern an, die der auf der Registerkarte
Roles angegebenen Rolle zugeordnet sind.)
Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen 309
Juniper Networks Secure Access – Administratorhandbuch
Definieren von Basis-URLs
Erstellen Sie ein Webressourcenprofil, muss beim Definieren von Basis-URLs das
folgende Format verwendet werden:
[protocol://]host[:port][/path]
Dieses Format umfasst folgende Komponenten:
Protokoll (erforderlich) – Mögliche Werte: http:// und https://. Innerhalb des
Protokolls können keine Sonderzeichen verwendet werden.
Host (erforderlich) – Mögliche Werte:
DNS-Hostname – Beispiel: www.juniper.com
IP-Adresse – Geben Sie die IP-Adresse in folgendem Format an: a.b.c.d.
Beispiel: 10.11.149.2. In der IP-Adresse dürfen keine Sonderzeichen
verwendet werden.
Ports – Geben Sie das Trennzeichen „:“ ein, wenn ein Port angegeben wird
(optional). Beispiel: 10.11.149.2/255.255.255.0:*
Pfad – Beim Angeben eines Pfads für eine Basis-URL erlaubt das IVE keine
Sonderzeichen (optional). Wird ein Pfad angegeben, muss das Trennzeichen
„/“ verwendet werden. Beispiel: http://www.juniper.net/sales.
Definieren einer automatischen Richtlinie für die Webzugriffssteuerung
Mit Webzugriffsrichtlinien wird festgelegt, auf welche Webressourcen Benutzer
zugreifen können, um eine Verbindung zum Internet, Intranet oder Extranet
herzustellen. Beim Definieren eines benutzerdefinierten Webressourcenprofils
muss eine entsprechende automatische Richtlinie für die Webzugriffssteuerung
aktiviert werden, mit der der Zugriff auf die Primärressource des Profils ermöglicht
wird. Das IVE vereinfacht diesen Prozess durch automatisches Erstellen einer
automatischen Richtlinie, mit der der Zugriff auf die Webressource und alle
Unterverzeichnisse ermöglicht wird.
Bei Bedarf können Sie diese standardmäßige automatische Richtlinie ändern oder
ergänzende automatische Richtlinien für die Webzugriffssteuerung, die den Zugriff
auf zusätzliche Ressourcen steuern, erstellen. Zum Beispiel kann die IT-Abteilung
einen Server verwenden, um Webseiten für das firmeninterne Intranet
(http://intranetserver.com) zu speichern und mit einem weiteren Server die Bilder
speichern, die von diesen Webseiten referenziert werden.
(http://imagesserver.com). In diesem Fall können zwei automatische Richtlinien für
die Webzugriffssteuerung erstellt werden, mit denen der Zugriff auf beide Server
ermöglicht wird, damit die Benutzer sowohl auf die Webseiten als auch auf die
entsprechenden Bilder zugreifen können.
So erstellen Sie eine neue automatische Richtlinie für die Webzugriffssteuerung:
1. Erstellen Sie anhand der Erklärungen in den folgenden Abschnitten ein
benutzerdefiniertes Ressourcenprofil für Webanwendungen:
310
Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen
Kapitel 13: Neuschreiben von Webinhalt
„Definieren von Ressourcenprofilen: Benutzerdefinierte
Webanwendungen“ auf Seite 308
„Definieren von Ressourcenprofilen: Citrix-Webanwendungen“ auf Seite 329
„Definieren von Ressourcenprofilen: Microsoft OWA“ auf Seite 333
„Definieren von Ressourcenprofilen: Lotus iNotes“ auf Seite 336
„Definieren von Ressourcenprofilen: Microsoft Sharepoint“ auf Seite 338
2. Klicken Sie auf die Schaltfläche Show ALL autopolicy types (falls vorhanden),
um die Konfigurationsoptionen für die Auto-Richtlinien anzuzeigen.
3. Aktivieren Sie ggf. das Kontrollkästchen Autopolicy: Web Access Control.
4. Geben Sie im Feld Resource den Webserver oder die HTML-Seite an, für den
bzw. für die mit folgendem Format der Zugriff gesteuert werden soll:
[Protokoll://]Host[:Ports][/Pfad]. Detaillierte Anweisungen finden Sie in
„Definieren von Webressourcen“ auf Seite 311.
5. Wählen Sie in der Liste Action Allow aus, um den Zugriff auf die angegebene
Ressource zu ermöglichen, oder wählen Sie Deny aus, um den Zugriff auf die
angegebene Ressource zu verhindern.
6. Klicken Sie auf Add.
7. Klicken Sie auf Save Changes.
Definieren von Webressourcen
Beim Erstellen eines benutzerdefinierten Webressourcenprofil (z.B. unter
„Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen“ auf
Seite 308 erläutert) muss beim Definieren von Ressourcen für automatische
Richtlinien folgendes Format verwendet werden:
[protocol://]host[:ports][/path]
Dieses Format umfasst folgende vier Komponenten:
Protokoll (erforderlich) – Mögliche Werte: http:// und https://. Innerhalb des
Protokolls können keine Sonderzeichen verwendet werden.
Host (erforderlich) – Mögliche Werte:
DNS-Hostname – Beispiel: www.juniper.com
Verwenden Sie folgende im Hostnamen erlaubten Sonderzeichen:
Tabelle 19: Sonderzeichen für DNS-Hostname
*
Entspricht ALLEN Zeichen.
%
Entspricht einem beliebigen Zeichen außer dem Punkt (.)
?
Entspricht genau einem Zeichen
Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen 311
Juniper Networks Secure Access – Administratorhandbuch
IP-Adresse/Netzmaske – Geben Sie die IP-Adresse in folgendem Format an:
a.b.c.d
Verwenden Sie eines der zwei Formate für die Netzmaske:
Präfix: Obere Bits
IP: a.b.c.d
Beispiel: 10.11.149.2/24 or 10.11.149.2/255.255.255.0
In der IP-Adresse oder Netzmaske dürfen keine Sonderzeichen verwendet
werden.
Ports – Geben Sie das Trennzeichen _:_ ein, wenn ein Port angegeben wird
(optional). Beispiel: 10.11.149.2/255.255.255.0:*
Tabelle 20: Mögliche Werte für Port
*
Entspricht ALLEN Ports; andere Sonderzeichen können nicht
verwendet werden.
Port[,Port]*
Eine durch Kommata getrennte Liste einzelner Ports. Gültige
Portnummern sind [1-65535].
[Port 1]-[Port 2]
Ein Portbereich, von Port 1 bis einschließlich Port 2.
HINWEIS: Sie können Portlisten und Portbereiche mischen. Beispiel:
80,443,8080-8090
Wenn kein Port angegeben ist, wird der Standardport 80 für http und 443 für
https zugewiesen.
312
Pfad – Beim Angeben eines Pfads für eine automatische Richtlinie für die
Webzugriffssteuerung kann das Zeichen _*_ verwendet werden. Dies bedeutet,
dass ALLE Pfade übereinstimmen (optional). (Das IVE unterstützt keine
anderen Sonderzeichen.) Wird ein Pfad angegeben, muss das Trennzeichen _/_
verwendet werden. Beispiel:
http://www.juniper.net/sales
http://www.juniper.net:80/*
https://www.juniper.net:443/intranet/*
Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen
Kapitel 13: Neuschreiben von Webinhalt
Definieren einer automatischen Richtlinie für Single Sign-On (Einzelanmeldung)
Mithilfe von Single Sign-On-Richtlinien können Benutzerdaten an die in der
Richtlinie angegebene Webanwendung übertragen werden (wie unter
„Einzelanmeldung“ auf Seite 203 erläutert). Automatische Richtlinien für Single
Sign-On (Einzelanmeldung) vermitteln auch von Ihnen übertragene Daten.
HINWEIS: Informationen über die Konfiguration von erweiterten SSO-Optionen,
die in Ressourcenprofilen nicht verfügbar sind, einschließlich Hinweisen zur
Deaktivierung der Vermittlung für angegebene Ressourcen oder zur Verwendung
von SAML für einzelne Ressourcen, finden Sie unter „Definieren von
Ressourcenrichtlinien: Single Sign-On (Einzelanmeldung)“ auf Seite 350.
So erstellen Sie eine automatische Richtlinie für Single Sign-On (SSO,
Einzelanmeldung ):
1. Erstellen Sie anhand der Erklärungen in den folgenden Abschnitten ein
Webressourcenprofil:
„Definieren von Ressourcenprofilen: Benutzerdefinierte
Webanwendungen“ auf Seite 308
„Definieren von Ressourcenprofilen: Citrix-Webanwendungen“ auf
Seite 329
„Definieren von Ressourcenprofilen: Lotus iNotes“ auf Seite 336
„Definieren von Ressourcenprofilen: Microsoft Sharepoint“ auf Seite 338
2. Klicken Sie auf die Schaltfläche Show ALL autopolicy types (falls vorhanden),
um die Konfigurationsoptionen für die Auto-Richtlinien anzuzeigen.
3. Aktivieren Sie das Kontrollkästchen Autopolicy: Single Sign-On.
4. Wählen Sie eine SSO-Methode aus, und konfigurieren Sie die entsprechenden
SSO-Optionen:
Basic Auth—Aktiviert das IVE, um die Anfrage-/Antwortsequenz während der
Standardauthentifizierung zu vermitteln und verwendet die gesammelten
Anmeldedaten, um sich innerhalb derselben Intranetzone bei einer
geschützten Ressource anzumelden. Genaue Konfigurationsanweisungen
finden Sie unter „Angeben von Optionen für die Standardauthentifizierung
oder für automatische Richtlinien für NTLM-SSO“ auf Seite 314. (Diese Option
ist nicht für Citrix-Ressourcenprofile gültig.)
NTLM—Aktiviert das IVE, um die Anfrage-/Antwortsequenz während der
NTLM-Authentifizierung zu vermitteln und verwendet die gesammelten
Anmeldedaten, um sich innerhalb derselben Intranetzone bei einer
geschützten Ressource anzumelden. Genaue Konfigurationsanweisungen
finden Sie unter „Angeben von Optionen für die Standardauthentifizierung
oder für automatische Richtlinien für NTLM-SSO“ auf Seite 314. (Diese
Option ist nicht für Citrix-Ressourcenprofile gültig.)
Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen 313
Juniper Networks Secure Access – Administratorhandbuch
Remote SSO – Aktiviert das IVE, um die von Ihnen angegebenen Daten
(einschließlich IVE-Benutzernamen, -Kennwörtern und -Systemdaten, die
von Variablen gespeichert werden) an Webanwendungen zu senden. Mit
dieser Option können auch benutzerdefinierte Header und Cookies
angegeben werden, die an Webanwendungen gesendet werden sollen.
Genaue Konfigurationsanweisungen finden Sie unter „Angeben von
Optionen für automatische Richtlinien für Remote-SSO“ auf Seite 315.
5. Klicken Sie auf Save Changes.
Angeben von Optionen für die Standardauthentifizierung oder für
automatische Richtlinien für NTLM-SSO
So konfigurieren Sie Optionen für die Standardauthentifizierung oder für
automatische Richtlinien für NTLM-SSO:
1. Erstellen Sie eine automatische Richtlinie für SSO, und wählen Sie Basic Auth
oder NTLM aus (wie unter „Definieren einer automatischen Richtlinie für Single
Sign-On (Einzelanmeldung)“ auf Seite 313 erläutert).
2. Geben Sie im Feld Resource die Ressourcen an, für die diese Richtlinie gelten
soll. Detaillierte Anweisungen finden Sie in „Definieren von Webressourcen“
auf Seite 311.
HINWEIS: Beachten Sie beim Eingeben einer Ressource in dieses Feld Folgendes:
Wenn das IVE automatisch Werte an eine bestimmte URL senden soll, wenn
ein Endbenutzer auf ein IVE-Lesezeichen klickt, muss die hier eingegebene
Ressource genau mit der im Feld Base URL angegebenen URL des
Ressourcenprofils übereinstimmen.
Soll das IVE automatisch IVE-Benutzeranmeldedaten an andere Websites in
derselben Intranetzone senden, muss der hier eingegebene Hostname auf die
DNS-Suffix enden, die auf der Seite System > Network > Overview der
Administratorkonsole konfiguriert ist.
3. Wählen Sie eine der folgenden Aktionsoptionen aus:
Use system credentials – Das IVE vermittelt die Anfrage-/Antwortsequenz,
speichert die erfassten Anmeldedaten zwischen und verwendet die Daten
dann, um die Einzelanmeldung (Single Sign-On) basierend auf den zuvor
im IVE konfigurierten Systemanmeldedaten zu aktivieren.
Use predefined credentials – Das IVE vermittelt die Anfrage-/Antwortsequenz,
speichert die erfassten Anmeldedaten zwischen und verwendet die Daten
dann, um die SSO (Single Sign-On, Einzelanmeldung) zu aktivieren. Bei
Auswahl dieser Option müssen Sie auch die folgenden Parameter für
Vermittlungsanmeldedaten angeben:
314
Username – Gibt den SSO-Benutzernamen an, mit dem das IVE
Anmeldedaten überprüft.
Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen
Kapitel 13: Neuschreiben von Webinhalt
Password – Gibt das SSO-Kennwort an, mit dem das IVE Anmeldedaten
überprüft. Verwenden Sie ein statisches (wie z.B. _open_sesame) oder
ein variables Kennwort (wie <PASSWORD>), um die Anmeldedaten zu
überprüfen.
Domain – Gibt den Domänennamen an (nur NTLM).
Disable SSO – Das IVE deaktiviert die automatische SSO-Authentifizierung
für diese Benutzerrolle und fordert stattdessen den Benutzer zur Eingabe
der Anmeldedaten auf.
Angeben von Optionen für automatische Richtlinien für Remote-SSO
So konfigurieren Sie Optionen für automatische Richtlinien für Remote-SSO:
1. Erstellen Sie eine automatische Richtlinie für SSO mithilfe eines
benutzerdefinierten Webressourcenprofils, und wählen Sie Remote SSO (wie
unter „Definieren einer automatischen Richtlinie für Single Sign-On
(Einzelanmeldung)“ auf Seite 313 erläutert) aus.
Oder erstellen Sie ein benutzerdefiniertes Citrix-Ressourcenprofil, und wählen
Sie Autopolicy: Single Sign on aus (wie unter „Definieren von
Ressourcenprofilen: Citrix-Webanwendungen“ auf Seite 329 erläutert).
2. Möchten Sie einen Form-POST ausführen, wenn ein Benutzer eine Anfrage an
die im Feld Resource angegebene Ressource richtet, aktivieren Sie das
Kontrollkästchen POST the following data. Gehen Sie anschließend
folgendermaßen vor:
a.
Geben Sie im Feld Resource die Anmeldeseite der Anwendung an, wie z.B.
die folgende: http://yourcompany.com. Das IVE akzeptiert keine
Platzhalterzeichen in diesem Feld.
HINWEIS: Wenn das IVE automatisch Werte an eine bestimmte URL senden soll,
wenn ein Endbenutzer auf ein IVE-Lesezeichen klickt, muss die hier eingegebene
Ressource genau mit der im Feld Base URL oder Web Interface (NFuse) URL
angegebenen URL des Ressourcenprofils übereinstimmen.
b.
Geben Sie im Feld Post URL die absolute URL an, in der die Anwendung die
Anmeldedaten des Benutzers bereitstellt (siehe folgendes Beispiel):
http://yourcompany.com/login.cgi. Sie können mithilfe eines TCP-Dump
oder durch Anzeigen der Anmeldeseite der Anwendung und Suchen nach
dem POST-Parameter im Tag FORM die geeignete URL bestimmen.
c.
Geben Sie optional die zu sendenden Benutzerdaten und die
Änderungsberechtigungen für Benutzer an.
Geben Sie in den folgenden Feldern Daten ein, um die zu sendenden
Benutzerdaten anzugeben, und klicken Sie auf Add:
Label – Text, der auf der Seite Preferences des Benutzers im IVE
angezeigt wird. Dieses Feld ist erforderlich, wenn Sie Benutzern
erlauben oder von ihnen fordern, Daten zu ändern, die an Back-EndAnwendungen gesendet werden.
Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen 315
Juniper Networks Secure Access – Administratorhandbuch
Name – Dieser Name bezeichnet die Daten im Feld Value. (Dieser
Name wird vermutlich von der Back-End-Anwendung erwartet.)
Value – Der Wert, der für den angegebenen Name an das Formular
gesendet wird. Geben Sie statische Daten, eine Systemvariable (unter
„Systemvariablen und Beispiele“ auf Seite 920 finden Sie eine Liste mit
Variablen) oder IVE-Sitzungsvariablen ein, die Werte für den
Benutzernamen und das Kennwort enthalten (weitere Informationen
finden Sie unter „Anmeldedaten für mehrfaches Anmelden –
Übersicht“ auf Seite 205).
User modifiable? – Setzen Sie diese Einstellung auf Not modifiable,
wenn Benutzer keine Informationen im Feld Value ändernkönnen
sollen. Setzen Sie sie auf User CAN change value, wenn Sie es
Benutzern ermöglichen möchten, Daten für eine Back-End-Anwendung
anzugeben. Setzen Sie diese Einstellung auf User MUST change value,
wenn Benutzer zusätzliche Daten eingeben müssen, um auf die BackEnd-Anwendung zugreifen zu können. Wenn Sie eine der letzteren
Einstellungen auswählen, wird auf der Benutzerseite Advanced
Preferences auf dem IVE ein Dateneingabefeld angezeigt. Dieses Feld
wird mit dem im Feld User label eingegebenen Text beschriftet. Wenn
Sie im Feld Value einen Wert angeben, wird dieser im Feld angezeigt,
kann jedoch geändert werden.
d. Aktivieren Sie das Kontrollkästchen Deny direct login for this resource,
wenn Benutzer auf einer Anmeldeseite ihre Anmeldedaten nicht manuell
eingeben sollen. (Beim Fehlschlagen des Form-POSTs wird den Benutzern
u. U. eine Anmeldeseite angezeigt.)
e.
Aktivieren Sie das Kontrollkästchen Allow multiple POSTs to this
resource, wenn Sie mit dem IVE POST- und Cookie-Werte ggf. mehrmals an
die Ressource senden möchten. Wird diese Option nicht ausgewählt,
unternimmt das IVE keinen Single Sign-On-Versuch, wenn ein Benutzer
während derselben Sitzung dieselbe Ressource mehr als einmal anfordert.
3. Möchten Sie Headerdaten an die angegebene URL senden, wenn ein Benutzer
eine Anforderung an eine im Feld Resource angegebene Ressource richtet,
aktivieren Sie das Kontrollkästchen Send the following data as request
headers. Gehen Sie anschließend folgendermaßen vor:
a.
Geben Sie im Abschnitt Resource die Ressourcen an, für die diese
Richtlinie gelten soll. Weitere Informationen finden Sie unter „Definieren
von Webressourcen“ auf Seite 311.
b.
Geben Sie in den folgenden Feldern die zu sendenden Headerdaten an, und
klicken Sie auf Add (optional).
Header name – Text, den das IVE als Headerdaten sendet.
Value – Wert für den angegebenen Header.
4. Klicken Sie auf Save Changes.
316
Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen
Kapitel 13: Neuschreiben von Webinhalt
Definieren einer automatischen Richtlinie für Zwischenspeicherung
Mit Zwischenspeicherungsrichtlinien wird festgelegt, welchen Webinhalt das IVE
auf dem Computer eines Benutzers zwischenspeichert.
HINWEIS: Informationen über die Konfiguration von erweiterten in den
Ressourcenprofilen nicht verfügbaren Zwischenspeicherungsoptionen,
einschließlich Hinweisen zum Angeben der maximal zulässigen Bildgröße für
zwischengespeicherten Inhalt, finden Sie unter „Definieren von
Ressourcenrichtlinien: Caching“ auf Seite 358. Informationen über empfohlene
Zwischenspeicherungseinstellungen für OWA- und Lotus Notes-Anwendungen
finden Sie unter „Erstellen von OWA- und Lotus Notes-Ressourcenrichtlinien für
die Zwischenspeicherung“ auf Seite 361.
So erstellen Sie eine automatische Richtlinie für Webzwischenspeicherung:
1. Erstellen Sie anhand der Erklärungen in den folgenden Abschnitten ein
benutzerdefiniertes Ressourcenprofil für Webanwendungen:
„Definieren von Ressourcenprofilen: Benutzerdefinierte
Webanwendungen“ auf Seite 308
„Definieren von Ressourcenprofilen: Microsoft OWA“ auf Seite 333
„Definieren von Ressourcenprofilen: Lotus iNotes“ auf Seite 336
2. Klicken Sie auf die Schaltfläche Show ALL autopolicy types (falls vorhanden),
um die Konfigurationsoptionen für die Auto-Richtlinien anzuzeigen.
3. Aktivieren Sie das Kontrollkästchen Autopolicy: Caching.
4. Geben Sie im Feld Resource die Ressourcen an, für die diese Richtlinie gelten
soll. Detaillierte Anweisungen finden Sie in „Definieren von Webressourcen“
auf Seite 311.
5. Wählen Sie im Feld Action eine der folgenden Optionen aus:
Smart – Wählen Sie diese Option aus, um dem IVE das Senden eines
cache-control:no-store-Headers oder eines cache-control:no-cache-Headers
basierend auf dem Webbrowser- und dem Inhaltstyp zu ermöglichen.
Bei Auswahl dieser Option erhöht das IVE die Zuverlässigkeit von Medienund Zip-Dateien, da die cache-control-Header des Ursprungsservers
entfernt werden. Die folgende Logik sucht z.B. in Benutzeragent-Headern
nach _msie_ oder _windows-media-player_, um cache- oder cache-control:nostore-Antwortheader zu entfernen und eine Zwischenspeicherung von
Dateien zu ermöglichen:
(if content type has "audio/x-pn-realaudio" OR
if content type begins with "video/" OR
if content type begins with "audio/" OR
if content type is "application/octet-stream" and the file extension begins
with "rm" or "ram"
)
Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen 317
Juniper Networks Secure Access – Administratorhandbuch
Findet das IVE in den Benutzeragent-Headern „msie“ oder „windows-mediaplayer“, sind alle folgenden Dateitypen gültig:
Die Anforderung gilt für Flash-,.xls,.pps, und.ppt-Dateien.
Der Content-Type lautet application/, text/rtf, text/xml, model/
Der Ursprungsserver sendet einen Content-Disposition-Header.
Anschließend sendet das IVE den cache-control:no-store-Header und
entfernt den Cachesteuerungs-Header des Ursprungsservers.
In allen anderen Fällen fügt das IVE pragma:no-cache- oder cache-control:nostore-Antwortheader hinzu.
HINWEIS: .ica -Dateien von Citrix sowie QuickPlace-Dateien werden anders
behandelt.ica-Dateien von Citrix können immer zwischengespeichert werden und
rufen auch cache-control:private ab. QuickPlace-Dateien, die keiner festgelegten
Regel (die Vorrang hat) entsprechen, erhalten die Header CCNS und cachecontrol:private.
Wenn Sie diese Option auswählen, die GZIP-Komprimierung aktivieren und mit
Domino Web Access 6.5 über Internet Explorer auf eine angehängte Textdatei
zugreifen, können Sie den Anhang nicht öffnen. Um Textanhänge zu öffnen,
müssen Sie entweder den Internet Explorer-Patch 323308 installieren oder die
Option No Store aktivieren.
No-Store—Wählen Sie diese Option, um Anhänge an Internet Explorer zu
senden, ohne sie auf der Festplatte zu speichern. (Der Browser schreibt die
Dateien kurzfristig auf die Festplatte, entfernt sie aber sofort wieder, sobald
die Datei im Browser geöffnet wird.) Wenn Sie diese Option auswählen,
entfernt das IVE die Cachesteuerungs-Header des Ursprungsservers und fügt
stattdessen einen Antwortheader vom Typ cache-control:no-store hinzu, falls
die vom Browser gesendete User-Agent-Zeichenfolge „msie“ oder „windowsmedia-player“ enthält.
Diese Option kann jedoch auch zu einer Verlangsamung des Browsers führen,
weil sie zum wiederholten Abrufen von Inhalten führt. Bei sehr langsamen
Verbindungen können Probleme mit der Systemleistung auftreten.
No-Cache – Verhindern Sie mit dieser Option, dass der Browser des
Benutzers Dateien auf dem Datenträger zwischenspeichert. Bei Auswahl
dieser Option fügt das IVE Antwortdateien den standardmäßigen HTTPpragma:no-cache-Header und den cache-control:no-cache (CCNC)-Header
(HTTP 1.1) hinzu. Zudem leitet das IVE nicht die
Zwischenspeicherungsheader des Ursprungsservers weiter, wie z.B. age,
date, etag, last-modified, expires.
HINWEIS: Sind no-cache-Header in verschiedenen Anhangstypen enthalten (PDF,
PPT, Streamingdateien), bearbeitet Internet Explorer die Dokumente nicht
ordnungsgemäß, da der Bearbeitungsprozess ein temporäres Zwischenspeichern
dieser Dateien durch den Browser erfordert.
318
Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen
Kapitel 13: Neuschreiben von Webinhalt
Unchanged – Das IVE fügt die pragma:no-cache- oder cache-control:nostore-Antwortheader nicht hinzu und leitet die
Zwischenspeicherungsheader des Ursprungsservers weiter.
6. Klicken Sie auf Add.
7. Klicken Sie auf Save Changes.
Definieren einer automatischen Richtlinie für die Java-Zugriffssteuerung
Eine automatische Richtlinie für die Java-Zugriffssteuerung definiert die Liste der
Server und Ports, zu denen Java-Applets eine Verbindung herstellen können (wie in
„Verwenden von Codesignaturzertifikaten“ auf Seite 672 erläutert). Diese
automatische Richtlinie gibt überdies an, welche Ressourcen das IVE mit dem
Codesignaturzertifikat signiert, das in das IVE hochgeladen wurde.
Beim Aktivieren der Java-Zugriffssteuerung mit dieser Auto-Richtlinie aktiviert das
IVE automatisch die Option Allow Java applets auf der Seite Users > User Roles >
Rolle auswählen > Web > Options der Administratorkonsole.
HINWEIS:
Informationen über die Konfiguration von erweiterten nicht in den
Ressourcenprofilen verfügbaren Java-Optionen, einschließlich Hinweisen, wie
man Java-Applets daran hindert, eine Verbindung zu Servern herzustellen,
finden Sie unter „Definieren von Ressourcenrichtlinien: Externe Java-Applets“
auf Seite 362.
Information über das Hosten von Java-Applets direkt über das IVE finden Sie
unter „Gehostete Java-Applets“ auf Seite 387.
So erstellen Sie eine automatische Richtlinie für die Java-Zugriffssteuerung:
1. Erstellen Sie anhand der Erklärungen in „Definieren von Ressourcenprofilen:
Benutzerdefinierte Webanwendungen“ auf Seite 308 ein benutzerdefiniertes
Ressourcenprofil für Webanwendungen.
2. Klicken Sie auf Show ALL autopolicy types.
3. Aktivieren Sie das Kontrollkästchen Autopolicy: Java Access Control.
4. Geben Sie im Feld Resource die Serverressourcen an, für die diese Richtlinie gilt.
Verwenden Sie dabei folgendes Format: host:[ports]. (Standardmäßig trägt das
IVE in dieses Feld den in der Basis-URL des Ressourcenprofils angegebenen
Server ein.) Weitere detaillierte Anweisungen finden Sie unter „Definieren eines
Servers, zu dem Java-Applets eine Verbindung herstellen können“ auf Seite 320.
5. Wählen Sie aus der Liste Action eine der folgenden Optionen aus:
Allow socket access – Erlaubt, dass Java-Applets eine Verbindung mit den
Servern (und ggf. Ports) in der Liste Resource herstellen.
Deny socket access – Verhindert, dass Java-Applets eine Verbindung mit
den Servern (und ggf. Ports) in der Liste Resource herstellen.
Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen 319
Juniper Networks Secure Access – Administratorhandbuch
6. Klicken Sie auf Add.
7. Aktivieren Sie das Kontrollkästchen Sign applets with code-signing certificate,
um die angegebenen Ressourcen mithilfe des über die Seite System >
Configuration > Certificates > Code-signing Certificates der
Administratorkonsole hochgeladenen Zertifikats neu zu signieren. (Das IVE
verwendet das importierte Zertifikat, um die im Feld Resources angegebenen
Serverressourcen zu signieren.)
8. Klicken Sie auf Save Changes.
Definieren eines Servers, zu dem Java-Applets eine Verbindung herstellen
können
Verwenden Sie folgendes Format, wenn Sie Server definieren, zu denen JavaApplets eine Verbindung herstellen können:
host[:ports]
Dieses Format umfasst zwei Komponenten:
Host (erforderlich) – Mögliche Werte:
DNS-Hostname – Beispiel: www.juniper.com
Verwenden Sie folgende im Hostnamen erlaubten Sonderzeichen:
Tabelle 21: Sonderzeichen für DNS-Hostname
*
Entspricht ALLEN Zeichen.
%
Entspricht einem beliebigen Zeichen außer dem Punkt (.)
?
Entspricht genau einem Zeichen
IP-Adresse/Netzmaske – Geben Sie die IP-Adresse in folgendem Format an:
a.b.c.d. Verwenden Sie eines der zwei Formate für die Netzmaske:
Präfix: Obere Bits
IP: a.b.c.d
Beispiel: 10.11.149.2/24 or 10.11.149.2/255.255.255.0
In der IP-Adresse oder Netzmaske dürfen keine Sonderzeichen verwendet
werden.
Ports – Geben Sie das Trennzeichen _:_ ein, wenn ein Port definiert wird.
Beispiel: 10.11.149.2/255.255.255.0:*
Tabelle 22: Mögliche Werte für Port
320
*
Entspricht ALLEN Ports; andere Sonderzeichen können nicht
verwendet werden.
Port[,Port]*
Eine durch Kommata getrennte Liste einzelner Ports. Gültige
Portnummern sind [1-65535].
Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen
Kapitel 13: Neuschreiben von Webinhalt
Tabelle 22: Mögliche Werte für Port (Fortsetzung)
[Port 1]-[Port 2]
Ein Portbereich, von Port 1 bis einschließlich Port 2.
HINWEIS: Sie können Portlisten und Portbereiche mischen. Beispiel:
80,443,8080-8090.
Definieren einer automatischen Richtlinie für Neuschreibevorgänge
Standardmäßig vermittelt das IVE alle Benutzeranforderungen an Webhosts, sofern
Sie nicht die Anforderungsverarbeitung für bestimmte Hosts anhand eines anderen
Verfahrens konfiguriert haben, z.B. Secure Application Manager. Schränken Sie
mithilfe automatischer Richtlinien für Neuschreibevorgänge die Standardoptionen
ein, indem Sie neu festlegen, mit welchen Mechanismen das IVE Webdaten neu
schreiben soll, und definieren Sie Ressourcen, die nur minimal oder gar nicht neu
geschrieben werden sollen.
HINWEIS: Informationen über die Konfiguration von in den Ressourcenprofilen
nicht verfügbaren Neuschreibeoptionen, einschließlich Hinweisen zum Angeben
von ActiveX-Parametern, die das IVE neu schreiben soll, finden Sie unter
„Definieren von Ressourcenrichtlinien: Neuschreiben“ auf Seite 366.
So erstellen Sie eine automatische Richtlinie für Neuschreibevorgänge:
1. Erstellen Sie anhand der Erklärungen in „Definieren von Ressourcenprofilen:
Benutzerdefinierte Webanwendungen“ auf Seite 308 ein benutzerdefiniertes
Ressourcenprofil für Webanwendungen.
2. Klicken Sie auf Show ALL autopolicy types.
3. Aktivieren Sie das Kontrollkästchen Autopolicy: Rewriting Options.
4. Wählen Sie eine der folgenden Optionen aus:
Passthrough Proxy – Wählen Sie diese Option aus, um Webanwendungen
anzugeben, für die das Modul für die Inhaltsvermittlung eine minimale
Vermittlung durchführt (wie unter „Durchgangsproxy – Überblick“ auf
Seite 305 erläutert). Genaue Konfigurationsanweisungen finden Sie unter
„Angeben von Auto-Richtlinienoptionen für Durchgangsproxy“ auf
Seite 322.
No rewriting (use WSAM) – Wählen Sie diese Option aus, um Inhalt mit
WSAM anstelle des Moduls für Inhaltsvermittlung zu vermitteln. (Weitere
Informationen zu WSAM finden Sie unter „W-SAM – Übersicht“ auf
Seite 429.) Geben Sie anschließend den Anwendungsserver an, für den Sie
Inhalt vermitteln möchten. (Klicken Sie zumindest auf Add, um Inhalt an
den und von dem Server zu vermitteln, den das IVE aus der Richtlinie für
die Webzugriffssteuerung extrahiert.) Genaue Konfigurationsanweisungen
finden Sie unter „Angeben von Optionen für automatische Richtlinien für
WSAM-Neuschreibevorgänge“ auf Seite 324.
Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen 321
Juniper Networks Secure Access – Administratorhandbuch
No rewriting (use JSAM) – Wählen Sie diese Option aus, um Inhalt mit
JSAM anstelle des Moduls für Inhaltsvermittlung zu vermitteln.
(Informationen zu JSAM finden Sie unter „J-SAM Übersicht“ auf Seite 451.)
Geben Sie anschließend den Anwendungsserver an, für den Sie Inhalt
vermitteln möchten. (Klicken Sie dazu mindestens auf Add, um Inhalt an
den und von dem Server zu vermitteln, den das IVE aus der Richtlinie für
die Webzugriffssteuerung extrahiert.) Genaue Konfigurationsanweisungen
finden Sie unter „Angeben von Optionen für automatische Richtlinien für
JSAM-Neuschreibevorgänge“ auf Seite 324.
No rewriting – Wählen Sie diese Option aus, um für die URL der
automatischen Richtlinie automatisch eine Richtlinie für selektives
Neuschreiben zu erstellen. Dadurch wird das IVE so konfiguriert wird, dass
es keinen Inhalt an die und von der Ressource vermittelt. Verwenden Sie
diese Option z.B., wenn Sie nicht möchten, dass das IVE Datenverkehr von
Websites vermittelt, die sich außerhalb des firmeninternen Netzwerks
befinden, wie z.B. yahoo.com. Bei Auswahl dieser Option müssen keine
zusätzlichen Neuschreibeeinstellungen konfiguriert werden.
5. Klicken Sie auf Save Changes.
Angeben von Auto-Richtlinienoptionen für Durchgangsproxy
So konfigurieren Sie Auto-Richtlinienoptionen für Durchgangsproxy:
1. Erstellen Sie eine automatische Richtlinie für Neuschreibevorgänge, und wählen
Sie die Option Passthrough Proxy aus (wie unter „Definieren einer
automatischen Richtlinie für Neuschreibevorgänge“ auf Seite 321 erläutert).
2. Wählen Sie aus, wie die Durchgangsproxyfunktion aktiviert werden soll:
322
Use virtual hostname – Wenn Sie diese Option auswählen, müssen Sie
einen Hostnamenalias für den Anwendungsserver angeben. Wenn das IVE
eine Clientanforderung für den Hostnamenalias des Anwendungsservers
empfängt, leitet es die Anforderung an den angegebenen
Anwendungsserverport im Feld Base URL weiter.
Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen
Kapitel 13: Neuschreiben von Webinhalt
Use IVE port – Wenn Sie diese Option auswählen, müssen Sie einen
eindeutigen IVE-Port zwischen 11000-11099 angeben. Das IVE überwacht
auf dem angegebenen IVE-Port die Clientanforderungen an den
Anwendungsserver und leitet diese an den Anwendungsserverport weiter,
der im Feld Base URL angegeben wurde.
HINWEIS:
Die entsprechende URL für das Ressourcenprofil muss den Hostnamen für den
Anwendungsserver und den Port angeben, mit denen intern auf die Anwendung
zugegriffen wird. für die Basis-URL kann kein Pfad angegeben werden.
Aktivieren Sie zur Sicherstellung einer ordnungsgemäßen Ausführung von
Sharepoint über das IVE in Internet Explorer das Kontrollkästchen
Automatische Cookiebehandlung aufheben unter
Extras/Internetoptionen > Datenschutz > Erweiterte
Datenschutzeinstellungen, falls die folgenden Bedingungen zutreffen:
Wählen Sie bei der Konfiguration des Durchgangsproxys die Option Use
virtual hostname aus.
Der in der Sharepoint-Konfiguration angegebene Hostname unterscheidet
sich von dem über das IVE-Setup konfigurierten Hostnamen (bei
unterschiedlichen Domänen).
Aktivieren Sie permanente Cookies auf der Seite Users > User Roles >
Rolle auswählen> General > Session Options der Administratorkonsole.
3. Aktivieren Sie das Kontrollkästchen Rewrite XML, um das IVE anzuweisen,
URLs in XML-Inhalt neu zu schreiben. Wenn diese Option deaktiviert ist, sendet
das IVE den XML-Inhalt unverändert an den Server.
4. Aktivieren Sie das Kontrollkästchen Rewrite external links, wenn das IVE alle
dem Proxy angezeigten URLs neu schreiben soll. Wenn diese Option deaktiviert
ist, schreibt das IVE nur diejenigen URLs neu, für die der Hostname als Teil der
Richtlinie für Durchgangsproxys konfiguriert ist.
5. Aktivieren Sie das Kontrollkästchen Block cookies from being sent to the
browser, wenn das IVE für den Browser des Clients vorgesehene Cookies
blockieren soll. Das IVE speichert die Cookies lokal und sendet sie auf
Anforderung an Anwendungen.
6. Aktivieren Sie das Kontrollkästchen Host-Header forwarding, wenn das IVE
den Hostnamen als Teil des Host-Headers statt des eigentlichen HostBezeichners senden soll.
HINWEIS: Die Option Host-Header forwarding ist nur im virtuellen
Hostnamenmodus von Durchgangsproxys gültig.
7. Klicken Sie auf Save Changes.
Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen 323
Juniper Networks Secure Access – Administratorhandbuch
8. Wählen Sie eine der folgenden Optionen aus:
Use virtual hostname. In diesem Fall müssen Sie folgenden Vorgang
ausführen:
i.
Fügen Sie einen Eintrag für jeden Hostnamenalias eines
Anwendungsservers im externen DNS hinzu, der für das IVE aufgelöst wird.
ii.
Hochladen eines Serverzertifikats mit Platzhaltern in das IVE
(empfohlen). Weitere Informationen zu Platzhalterzertifikaten finden
Sie unter „Zuordnen eines Zertifikats zu einem virtuellen Port“ auf
Seite 653.
iii. Definieren Sie den IVE- und den Host-Namen im Abschnitt Network
Identity der Registerkarte System > Network > Internal Port.
Use IVE port. Sie müssen auch den Datenverkehr für den IVE-Port öffnen,
den Sie für den Anwendungsserver in der Firmenfirewall angegeben haben.
HINWEIS: Wenn die Anwendung mehrere Ports überwacht, konfigurieren Sie jeden
Anwendungsport als separaten Durchgangsproxyeintrag mit einem separaten IVEPort. Wenn Sie über verschiedene Hostnamen oder IP-Adressen auf den Server
zugreifen möchten, konfigurieren Sie jede dieser Optionen einzeln. In diesem Fall
können Sie denselben IVE-Port verwenden.
Angeben von Optionen für automatische Richtlinien für WSAMNeuschreibevorgänge
So konfigurieren Sie Optionen für automatische Richtlinien für WSAMNeuschreibevorgänge:
1. Erstellen Sie eine automatische Richtlinie für Neuschreibevorgänge, und wählen
Sie die Option No rewriting (use WSAM) aus (wie unter „Definieren einer
automatischen Richtlinie für Neuschreibevorgänge“ auf Seite 321 erläutert).
2. Geben Sie im Feld Destination Ressourcen an, für die WSAM den Client-/Serververkehr
zwischen dem Client und dem IVE sichert: Standardmäßig extrahiert das IVE
den richtigen Server aus der Richtlinie für die Webzugriffssteuerung. Sie
können den Server im Istzustand verwenden, ihn ändern und/oder der Liste
neue Server hinzufügen.
Geben Sie den Hostnamen (die Platzhalterzeichen „*“ oder „?“ sind zulässig)
oder ein IP/Netzmaske-Paar an, wenn Sie einen Server angeben. Geben Sie
mehrere Ports für einen Host als separate Einträge an.
3. Klicken Sie auf Add.
4. Klicken Sie auf Save Changes.
Bei der Vermittlung über WSAM mittels dieser Auto-Richtlinie aktiviert das IVE
automatisch die Option Secure Application Manager auf der Seite Users > User
Roles > Rolle auswählen > General > Overview der Administratorkonsole.
Angeben von Optionen für automatische Richtlinien für JSAM324
Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen
Kapitel 13: Neuschreiben von Webinhalt
Neuschreibevorgänge
So konfigurieren Sie Optionen für automatische Richtlinien für JSAMNeuschreibevorgänge:
1. Erstellen Sie eine automatische Richtlinie für Neuschreibevorgänge, und wählen
Sie die Option No rewriting (use JSAM) aus (wie unter „Definieren einer
automatischen Richtlinie für Neuschreibevorgänge“ auf Seite 321 erläutert).
2. Geben Sie im Feld Server Name den DNS-Namen des Anwendungsservers oder
die IP-Adresse des Servers ein.
3. Geben Sie im Feld Server Port den Port ein, an dem der Remoteserver die
Clientverbindungen überwacht.
Wenn beispielsweise Telnet-Verkehr von einem Remotecomputer weitergeleitet
werden soll, legen Sie sowohl für den Clientport (an dem JSAM überwacht) als
auch für den Serverport (an dem der Telnet-Server überwacht) Port 23 fest.
HINWEIS: Sie aktivieren die Laufwerkzuordnung zu dieser Ressource, indem Sie
139 als Serverport eingeben.
4. Geben Sie ins Feld Client Loopback IP eine statische Loopbackadresse ein.
Wenn Sie keine statische IP-Loopbackadresse angeben, weist das IVE eine
dynamische IP-Loopbackadresse zu. Weitere Informationen zu statischen
Loopbackadressen finden Sie unter „J-SAM Übersicht“ auf Seite 451.
5. Geben Sie im Feld Client Port den Port ein, den JSAM auf Verbindungen mit
Clientanwendungen überwachen soll.
Normalerweise stimmt der Wert für den lokalen Port mit dem für den
Serverport überein, er unterscheidet sich in der Regel nur für Linux- oder
Macintosh-Benutzer, die Anwendungen für die Portweiterleitung hinzufügen
möchten, die Ports unter 1024 verwenden.
HINWEIS: Sie aktivieren die Laufwerkzuordnung zu dieser Ressource, indem Sie
139 als Serverport eingeben.
Sie können mehrere Anwendungen an einem einzigen Port konfigurieren, wie
z.B. app1.mycompany.com, app2.mycompany.com, app3.mycompany.com. Wenn
Sie keine statische Loopbackadresse zuweisen, weist das IVE jeder Anwendung
eine dynamische Loopbackadresse (127.0.1.10, 127.0.1.11, 127.0.1.12) zu.
JSAM überwacht diese Loopbackadressen dann am festgelegten Port. Wenn
beispielsweise Datenverkehr für die Adresse 127.0.1.12 am angegebenen Port
vorhanden ist, leitet das IVE den Datenverkehr an den Zielhost
app3.mycompany.com weiter.
6. Wählen Sie zum automatischen Starten von JSAM Launch JSAM aus, wenn das
IVE die Basis-URL erkennt.
7. Klicken Sie auf Add.
8. Klicken Sie auf Save Application oder Save + New.
Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen 325
Juniper Networks Secure Access – Administratorhandbuch
Definieren einer automatischen Richtlinie für Webkomprimierung
Automatische Richtlinien für Webkomprimierung geben an, welche Webdatentypen
das IVE komprimieren bzw. nicht komprimieren soll. Da Javascript z.B. in
komprimiertem Zustand nicht funktioniert, kann mit dieser Funktion festgelegt
werden, dass das IVE keine Javascriptdaten komprimiert, die an einen bzw. von
einem E-Mail-Server weitergeleitet werden. Geben Sie dazu die folgende Ressource
ein: http://owa.juniper.net/*.js. Weitere Informationen über die Komprimierung von
Daten durch das IVE finden Sie unter „Komprimierung“ auf Seite 899.
HINWEIS: Zum ordnungsgemäßen Komprimieren von Daten müssen die
Komprimierung auf Systemebene aktiviert und automatische Richtlinien für
Komprimierung erstellt werden. Aktivieren Sie die Komprimierung mithilfe der
Einstellungen auf der Seite Maintenance > System > Options der
Administratorkonsole. Anweisungen hierfür finden Sie unter „Aktivieren der
Komprimierung auf Systemebene“ auf Seite 901.
So erstellen Sie eine automatische Richtlinie für Webkomprimierung:
1. Erstellen Sie anhand der Erklärungen in den folgenden Abschnitten ein
benutzerdefiniertes Ressourcenprofil für Webanwendungen:
„Definieren von Ressourcenprofilen: Benutzerdefinierte
Webanwendungen“ auf Seite 308
„Definieren von Ressourcenprofilen: Microsoft OWA“ auf Seite 333
„Definieren von Ressourcenprofilen: Lotus iNotes“ auf Seite 336
2. Klicken Sie auf die Schaltfläche Show ALL autopolicy types (falls vorhanden),
um die Konfigurationsoptionen für die Auto-Richtlinien anzuzeigen.
3. Aktivieren Sie das Kontrollkästchen Autopolicy: Web compression.
4. Geben Sie im Feld Resource die Ressourcen an, für die diese Richtlinie gelten
soll. Detaillierte Anweisungen finden Sie in „Definieren von Webressourcen“
auf Seite 311.
5. Wählen Sie aus der Liste Action eine der folgenden Optionen aus:
Compress – Das IVE komprimiert die unterstützten Inhaltstypen der
angegebenen Ressource.
Do not compress – Das IVE komprimiert die unterstützten Inhaltstypen
der angegebenen Ressource nicht.
6. Klicken Sie auf Add.
7. Klicken Sie auf Save Changes.
326
Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen
Kapitel 13: Neuschreiben von Webinhalt
Definieren eines Weblesezeichens
Beim Erstellen eines Webressourcenprofils erstellt das IVE automatisch ein
Lesezeichen auf die primäre URL oder Domäne, die Sie im Ressourcenprofil
angegeben haben. Das IVE ermöglicht das Bearbeiten dieses Lesezeichens und das
Erstellen zusätzlicher Lesezeichen in der gleichen Domäne.
Sie erstellen beispielsweise ein Ressourcenprofil, dass den Zugriff auf Ihr
Firmenintranet steuert. In dem Profil geben Sie Folgendes an:
Ressourcenprofilname: Ihr Intranet
Primäre Ressource: http://intranet.com
Auto-Richtlinie für die Webzugriffssteuerung: Zugriff ermöglichen auf
http://intranet.com:80/*
Rollen: Sales, Engineering
Beim Erstellen dieser Richtlinie erstellt das IVE automatisch ein Lesezeichen mit
dem Namen „Ihr Intranet“, gewährt Zugriff auf http://intranet.com und zeigt das
Lesezeichen allen Mitgliedern der Rollen „Sales“ und „Engineering“ an.
Sie können dann die folgenden zusätzlichen Lesezeichen erstellen, die dem
Ressourcenprofil verknüpft sind:
Lesezeichen „Sales Intranet“: Erstellt einen Link zur Seite
http://intranet.com/sales und zeigt den Link den Mitgliedern der Rolle Sales an.
Lesezeichen „Engineering Intranet“: Erstellt einen Link zur Seite
http://intranet.com/engineering und zeigt den Link den Mitgliedern der Rolle
Engineering an.
HINWEIS: Beachten Sie beim Konfigurieren von Lesezeichen Folgendes:
Sie können Lesezeichen nur Rollen zuweisen, die Sie bereits dem
Ressourcenprofil zugeordnet haben. Sie können sie nicht allen Rollen im IVE
zuweisen. Um die Liste der dem Ressourcenprofil zugeordneten Rollen zu
ändern, verwenden Sie die Einstellungen auf der Registerkarte Roles des Profils.
Die Lesezeichen legen im Grunde genommen nur fest, welche Links das IVE
den Benutzern anzeigt. Sie legen nicht die Ressourcen fest, auf die der
Benutzer zugreifen kann. In dem Beispiel oben würde einem Mitglied der
Rolle Sales_ beispielsweise kein Link zur Seite Engineering Intranet_
angezeigt. Das Mitglied könnte aber durch Eingabe von
http://intranet.com/engineering in der Adressleiste des Webbrowsers auf die
Seite zugreifen.
Sie können keine Lesezeichen erstellen, die auf zusätzliche durch
automatische Richtlinien für die Webzugriffssteuerung definierte URLs und
Domänen verweisen.
Weitere Informationen über Lesezeichen für Ressourcenprofile finden Sie unter
„Definieren von Lesezeichen“ auf Seite 82.
Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen 327
Juniper Networks Secure Access – Administratorhandbuch
So konfigurieren Sie Lesezeichen für Webressourcenprofile:
1. Wenn Sie Lesezeichen für Ressourcenprofile über die standardmäßige
Ressourcenprofilseite erstellen möchten, gehen Sie folgendermaßen vor:
a.
Navigieren Sie zur Seite Users > Resource Profiles > Web >
Ressourcenprofil auswählen > Bookmarks in der Administratorkonsole.
b.
Klicken Sie in der Spalte Bookmark auf den entsprechenden Link, wenn
Sie ein vorhandenes Lesezeichen bearbeiten möchten. Oder klicken Sie auf
New Bookmark, um ein zusätzliches Lesezeichen zu erstellen.
Wenn Sie stattdessen ein Lesezeichen für Ressourcenprofile über die Seite mit
den Benutzerrollen erstellen möchten, gehen Sie folgendermaßen vor:
a.
Navigieren Sie zur Seite Users > User Roles > Rolle auswählen > Web >
Bookmarks in der Administratorkonsole.
b.
Klicken Sie auf New Bookmark.
c.
Wählen Sie in der Liste Type Pick a Web Resource Profile aus. (Das IVE zeigt
diese Option nur an, wenn Sie zuvor ein Webressourcenprofil erstellt haben.)
d. Wählen Sie ein Ressourcenprofil.
e.
Klicken Sie auf OK. (Wenn Sie die ausgewählte Rolle noch dem
Ressourcenprofil zugeordnet haben, führt das IVE diese Zuordnung
automatisch aus. Das IVE aktiviert zudem alle vom Ressourcenprofil
geforderten Zugriffssteuerungsrichtlinien für die Rolle.)
f.
Wenn diese Rolle noch nicht dem ausgewählten Ressourcenprofil zugeordnet
ist, zeigt das IVE eine entsprechende Meldung an. Wenn diese Meldung
angezeigt wird, klicken Sie auf Save Changes, um diese Rolle der Liste mit den
Rollen des Ressourcenprofils hinzuzufügen und die Auto-Richtlinien des Profils
entsprechend zu aktualisieren. Wiederholen Sie anschließend die
vorangegangenen Schritte, um das Lesezeichen zu erstellen.
HINWEIS: Wenn Sie ein Lesezeichen für ein Ressourcenprofil über die Seite mit
den Benutzerrollen erstellen (anstatt über die standardmäßige
Ressourcenprofilseite), ordnet das IVE nur das generierte Lesezeichen der
ausgewählten Rolle zu. Das IVE weist das Lesezeichen nicht allen Rollen zu, die
dem ausgewählten Ressourcenprofil zugeordnet sind.
2. Ändern Sie bei Bedarf den Namen und die Beschreibung des Lesezeichens. (In
der Standardeinstellung füllt das IVE die Namen des Lesezeichens unter
Verwendung des Ressourcenprofilnamens auf.)
328
Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen
Kapitel 13: Neuschreiben von Webinhalt
3. Fügen Sie im Feld URL der URL ein Suffix hinzu, wenn Sie Links zu
Unterabschnitten der im primären Ressourcenprofil definierten Domäne
erstellen möchten. Informationen zu Systemvariablen und Attributen, die in
das Lesezeichen integriert werden, finden Sie unter „Verwendung von
Systemvariablen in Bereichen, Rollen und Ressourcenrichtlinien“ auf Seite 929.
HINWEIS: Geben Sie in dieses Feld eine eindeutige URL ein. Werden zwei
Lesezeichen mit derselben URL erstellt, löscht das IVE eines der Lesezeichen aus
der Endbenutzeransicht. Die beiden Lesezeichen können nach wie vor angezeigt
werden, jedoch nur in der Administratorkonsole.
4. Aktivieren Sie unter Options das Kontrollkästchen Bookmark opens in new
window, wenn das IVE automatisch die Webressource in einem neuen
Browserfenster öffnen soll. Wählen Sie als Nächstes:
Do not display browser address bar – Wählen Sie diese Option aus, um
die Adressleiste aus dem Browserfenster zu entfernen. Diese Funktion
veranlasst die Weiterleitung des gesamten Webdatenverkehrs über das IVE,
indem verhindert wird, dass Benutzer in der angegebenen Rolle eine neue
URL in die Adresszeile eingeben, durch den das IVE umgangen wird.
Do not display browser toolbar – Wählen Sie diese Option aus, um das
Men_ und die Symbolleiste aus dem Browser zu entfernen. Diese Funktion
entfernt Menüs, Browserschaltflächen und Lesezeichen aus dem
Browserfenster, um nur das Browsen über das IVE zu ermöglichen.
5. Wenn Sie das Lesezeichen über die Ressourcenprofilseiten konfigurieren, geben
Sie unter Roles die Rollen an, für die Sie das Lesezeichen anzeigen möchten:
ALL selected roles — Wählen Sie diese Option, um das Lesezeichen für
alle dem Ressourcenprofil zugeordneten Rollen anzuzeigen.
Subset of selected roles — Wählen Sie diese Option, um das Lesezeichen
einem Teil der dem Ressourcenprofil zugeordneten Rollen anzuzeigen. Wählen
Sie anschließend aus der Liste ALL Selected Roles Rollen aus, und klicken Sie
auf Add, um die Rollen in die Liste Subset of selected roles zu verschieben.
6. Klicken Sie auf Save Changes.
Definieren von Ressourcenprofilen: Citrix-Webanwendungen
Bei einer Citrix-Webvorlage handelt es sich um ein Ressourcenprofil, mit dem nach
Bedarf der Zugriff auf Citrix-Anwendungen gesteuert und die Citrix-Einstellungen
konfiguriert werden. Citrix-Webvorlagen verringern die zur Konfiguration
erforderliche Zeit erheblich, indem sie Konfigurationseinstellungen an einer Stelle
sichern und abhängig vom ausgewählten Typ des Citrix-Setup eine Reihe von
Ressourcenrichtlinieneinstellungen vorab ausfüllen.
Definieren von Ressourcenprofilen: Citrix-Webanwendungen
329
Juniper Networks Secure Access – Administratorhandbuch
Aufgrund der stark vereinfachten Konfigurationen sind Vorlagen die ideale CitrixKonfigurationsmethode, wenn von einem Webserver eines Drittanbieters
stammende ActiveX- oder Java-Applets über das IVE gesendet werden oder wenn
Citrix-Fat-Clients verwendet werden. Anstelle der traditionellen
Konfigurationsoptionen für Rollen- und Ressourcenrichtlinien wird dringend die
Verwendung von Citrix-Vorlagen empfohlen, die über das IVE abrufbar sind.
Andere über das IVE abrufbare Citrix-Konfigurationsmethoden umfassen Network
Connect, gehostete Java-Applets und Terminal Services. Verwenden Sie gehostete
Java-Applets, wenn Sie Citrix-Java-Applets direkt über das IVE anstatt über einen
Webserver eines Drittanbieters senden möchten (wie unter „Gehostete JavaApplets“ auf Seite 387 erläutert), oder verwenden Sie Terminal Services, wenn der
Citrix-Client direkt über das IVE anstatt über einen Webserver eines Drittanbieters
gesendet werden soll (wie unter „Terminal Services“ auf Seite 497 erläutert).
Weitere Informationen über Vorlagen für Ressourcenprofile finden Sie unter
„Ressourcenprofile“ auf Seite 75.
HINWEIS: Citrix-Vorlagen können nicht in Verbindung mit Network Connect
verwendet werden.
So erstellen Sie ein Ressourcenprofil mithilfe einer Citrix-Vorlage:
1. Navigieren Sie zur Seite Users > Resource Profiles > Web Applications/Pages
in der Administratorkonsole.
2. Klicken Sie auf New Profile.
3. Wählen Sie aus der Liste Type Citrix Web Interface/JICA aus.
4. Geben Sie einen eindeutigen Namen und ggf. eine Beschreibung für das CitrixRessourcenprofil ein.
5. Geben Sie im Feld Web Interface (NFuse) URL die URL der Citrix-Ressource
ein, für die Sie den Zugriff mithilfe des folgenden Formats steuern möchten:
[Protokoll://]Host[:Port][/Pfad]. Geben Sie z.B. die URL eines NFuse-Servers, die
Webschnittstelle für einen Citrix Metaframe Presentation Server oder einen
Webserver ein, von dem das IVE Citrix-Java-Applets oder Citrix-Cab-Dateien
herunterladen kann. (Das IVE verwendet die angegebene URL, um das
Standardlesezeichen für das Citrix-Ressourcenprofil zu definieren.) Geben Sie
eine Verzeichnis-URL oder eine Datei-URL ein. Genaue Anweisungen über die
Formatierung von Webressourcen finden Sie unter „Definieren von Basis-URLs“
auf Seite 310.
6. Geben Sie durch Auswahl einer der folgenden Optionen an, welcher CitrixImplementierungstyp in der Umgebung verwendet wird:
330
Java ICA Client with Web Interface (NFuse) – Wählen Sie diese Option
aus, wenn Citrix mit Java-ICA-Clients und der Citrix Web Interface for MPS
(d.h. NFuse) bereitgestellt wurde.
Java ICA Client without Web Interface (NFuse) – Wählen Sie diese Option
aus, wenn Citrix mit Java-ICA-Clients ohne die Citrix Web Interface for MPS
(d.h. NFuse) bereitgestellt wurde.
Definieren von Ressourcenprofilen: Citrix-Webanwendungen
Kapitel 13: Neuschreiben von Webinhalt
Non-Java ICA Client with Web Interface (NFuse) – Wählen Sie diese
Option aus, wenn Citrix mit Nicht-Java-ICA-Clients und der Citrix Web
Interface for MPS (d.h. NFuse) bereitgestellt wurde.
Non-Java ICA Client without Web Interface (NFuse) – (schreibgeschützt)
Haben Sie einen nicht auf Java basierenden ICA-Client ohne die Citrix Web
Interface for MPS (d. h. NFuse) bereitgestellt, kann mit dieser Vorlage kein
Citrix-Ressourcenprofil erstellt werden. Klicken Sie stattdessen unter dieser
Option auf den Link client application profile. Der Link verweist auf die
Seite Client Application Profiles, auf der ein SAM-Ressourcenprofil erstellt
werden kann. Anweisungen hierfür finden Sie unter „Angeben von
Anwendungen und Servern, die mit WSAM gesichert werden sollen“ auf
Seite 437.
7. Wählen Sie aus der Liste Web Interface (NFuse) version die von Ihnen
verwendete Citrix-Version aus. (Das IVE verwendet diesen Wert, um die SSOWerte für Form-POST in der automatischen Richtlinie für Single Sign-On
(Einzelanmeldung) vorab auszufüllen. Weitere Informationen hierzu finden Sie
unter „Angeben von Optionen für automatische Richtlinien für Remote-SSO“
auf Seite 315.)
8. Geben Sie im Abschnitt MetaFrame servers die Metaframe-Server an, für die
der Zugriff gesteuert werden soll, und klicken Sie auf Add. Beim Angeben der
Server können Platzhalter oder IP-Bereiche eingegeben werden.
Das IVE verwendet die von Ihnen eingegebenen Werte, um eine entsprechende
Ressourcenrichtlinie zu erstellen, mit der der Zugriff auf die erforderlichen
Ressourcen ermöglicht wird. Wird z.B. oben eine Java-ICA-Clientoption
ausgewählt, erstellt das IVE eine entsprechende Java-ACL-Ressourcenrichtlinie,
mit der Java-Applets eine Verbindung zu den angegebenen Metaframe-Servern
herstellen können. Wird die obige nicht auf Java basierende ICA-Clientoption
ausgewählt, erstellt das IVE eine entsprechende SAM-Ressourcenrichtlinie, mit
der Benutzer auf die angegebenen Metaframe-Server zugreifen können.
9. Wurde Citrix mit einem Java-ICA-Client bereitgestellt, aktivieren Sie das
Kontrollkästchen Sign applets with code-signing certificate, um die
angegebenen Ressourcen mit dem über die Seite System > Configuration >
Certificates > Code-signing Certificates der Administratorkonsole
hochgeladenen Zertifikat neu zu signieren (nur Java-ICA-Clients). (Anweisungen
hierfür finden Sie unter „Verwenden von Codesignaturzertifikaten“ auf
Seite 672.)
Bei Auswahl dieser Option verwendet das IVE alle erlaubten_ Werte, die in die
automatische Richtlinie für die Webzugriffssteuerung des Ressourcenprofils
eingegeben werden, um automatisch eine entsprechende Ressourcenrichtlinie für
die Codesignatur zu erstellen. Innerhalb dieser Richtlinie verwendet das IVE die
angegebenen Webressourcen, um eine Liste vertrauenswürdiger Server zu erstellen.
10. Wurde Citrix mit einem über eine Webschnittstelle verfügenden, nicht auf Java
basierenden ICA-Client bereitgestellt, muss der Datenverkehr für die
Metaframe-Server mit dem Secure Application Manager oder Network Connect
gesichert werden. Verwenden Sie dafür nicht das Modul für Inhaltsvermittlung
(nur für nicht auf Java basierende ICA-Clients). Richten Sie sich nach den
Anweisungen unter „Network Connect“ auf Seite 561, um den Datenverkehr
über Network Connect zu sichern.
Definieren von Ressourcenprofilen: Citrix-Webanwendungen
331
Juniper Networks Secure Access – Administratorhandbuch
Wählen Sie eine der folgenden Optionen im Abschnitt ICA Client Access aus,
um den Datenverkehr mit dem Secure Application Manager zu sichern.
ICA client connects over WSAM – Wählen Sie diese Option aus, um Inhalt
mit WSAM anstelle des Moduls für Inhaltsvermittlung zu vermitteln.
ICA client connects over JSAM – Wählen Sie diese Option aus, um Inhalt
mit JSAM anstelle des Moduls für Inhaltsvermittlung zu vermitteln. Bei
Auswahl dieser Option startet das IVE JSAM automatisch, sobald ein
Benutzer eine Verbindung mit dem von Ihnen definierten
Webschnittstellenserver herstellt.
Konfigurieren Sie nach dem Auswählen von ICA client connects over JSAM
die folgenden Optionen:
i.
Number of Metaframe servers – Geben Sie die Anzahl der MetaframeServer in der Umgebung an, damit das IVE die korrekte Anzahl an
Loopback-IP-Adressen für Ihre Konfiguration bereitstellt. (Verfügen Sie z.B.
über fünf Metaframe-Server und zwei Ports, öffnet das IVE zehn LoopbackIP-Adressen.) Weitere Informationen zu Loopbackadressen finden Sie unter
„Zuweisen von IP-Loopback-Adressen zu Servern“ auf Seite 454.
ii.
Citrix Ports – Geben Sie die Ports an, die von den Metaframe-Servern
überwacht werden.
Beim Aktivieren der Vermittlung über WSAM oder JSAM mithilfe dieser
Optionen aktiviert das IVE automatisch die Option Secure Application
Manager auf der Seite Users > User Roles > Rolle auswählen > General >
Overview der Administratorkonsole.
HINWEIS: WSAM und JSAM können nicht für dieselbe Rolle aktiviert werden. Wird
versucht, ein Citrix-Ressourcenprofil zu erstellen, das einen dieser
Zugriffsmechanismen verwendet (z.B. JSAM), und verwendet ein anderes dieser
Rolle zugeordnetes Profil bereits den anderen Zugriffsmechanismus (z.B. WSAM),
aktiviert das IVE daher den neuen Zugriffsmechanismus (JSAM) für die Rolle nicht.
Zur Konfiguration des Zugriffs auf eine Citrix-Anwendung pro Benutzerrolle kann
nur WSAM oder JSAM verwendet werden.
11. Erstellen Sie im Abschnitt Autopolicy: Web Access Control eine Richtlinie, die
Benutzern den Zugriff auf die im Feld Web Interface (NFuse) URL angegebene
Ressource gewährt oder verweigert. (Standardmäßig erstellt das IVE
automatisch eine Richtlinie für den Benutzer, mit der der Zugriff auf die
Ressource und alle Unterverzeichnisse ermöglicht wird.) Weitere detaillierte
Anweisungen finden Sie unter „Definieren einer automatischen Richtlinie für
die Webzugriffssteuerung“ auf Seite 310.
332
Definieren von Ressourcenprofilen: Citrix-Webanwendungen
Kapitel 13: Neuschreiben von Webinhalt
12. Wurde eine der obigen Optionen für die Webschnittstelle ausgewählt, muss die
mit einer Citrix-Vorlage erstellte SSO-Richtlinie im Abschnitt Autopolicy: Single
Sign on aktualisiert werden. (Automatische Richtlinien für Single Sign-On
(Einzelanmeldung) konfigurieren das IVE so, dass IVE-Daten wie Benutzernmaen
und Kennwörter automatisch an die Citrix-Anwendung übertragen werden. Das
IVE fügt der automatischen Richtlinie für Single Sign-On(Einzelanmeldung) die
am häufigsten verwendeten Werte basierend auf der ausgewählten CitrixImplementierung automatisch hinzu.)
Aktivieren Sie mindestens das Kontrollkästchen Autopolicy: Single Sign,
doppelklicken Sie in der Spalte Domain auf Value, füllen Sie die entsprechende
Domäne aus, und klicken Sie rechts in der Spalte auf das Kontrollhäkchen.
Weitere detaillierte Anweisungen finden Sie unter „Angeben von Optionen für
automatische Richtlinien für Remote-SSO“ auf Seite 315.
Haben Sie eine nicht webschnittstellenbasierte Option ausgewählt, können
eigene automatische Richtlinien für Single Sign-On (Einzelanmeldung) erstellt
werden. Richten Sie sich dabei nach den Anweisungen in „Definieren einer
automatischen Richtlinie für Single Sign-On (Einzelanmeldung)“ auf Seite 313.
13. Klicken Sie auf Save and Continue.
14. Wählen Sie auf der Registerkarte Roles die Rollen aus, auf die das CitrixRessourcenprofil angewendet werden soll, und klicken Sie auf Add.
Die ausgewählten Rollen übernehmen die durch das Citrix-Ressourcenprofil
erstellten automatischen Richtlinien und Lesezeichen. Ist die Option Web noch
nicht aktiviert, wird diese vom IVE auf der Seite Users > User Roles > Rolle
auswählen > General > Overview der Administratorkonsole ebenso wie die
Option Allow Java Applets auf der Seite Users > User Roles > Rolle
auswählen > Web > Options der Administratorkonsole ebenfalls für alle
ausgewählten Rollen automatisch aktiviert.
15. Klicken Sie auf Save Changes.
16. (Optional) Ändern Sie auf der Registerkarte Bookmarks das vom IVE erstellte
Standardlesezeichen, und/oder erstellen Sie neue Lesezeichen. Befolgen Sie
dazu die Anweisungen unter „Definieren eines Weblesezeichens“ auf Seite 327.
(Standardmäßig erstellt das IVE ein Lesezeichen für die im Feld Web Interface
(NFuse) URL definierte Webschnittstellen-URL (NFuse) und zeigt dieses allen
Benutzern an, die der auf der Registerkarte Roles angegebenen Rolle
zugeordnet sind.)
Definieren von Ressourcenprofilen: Microsoft OWA
Bei einer Vorlage für Microsoft Outlook Web Access (OWA) handelt es sich um ein
Ressourcenprofil, mit dem nach Bedarf der Zugriff auf die Anwendung gesteuert
und die OWA-Einstellungen konfiguriert werden. OWA-Vorlagen verringern die zur
Konfiguration erforderliche Zeit erheblich, indem sie Konfigurationseinstellungen
an einer Stelle sichern und abhängig vom ausgewählten Typ des Setup eine Reihe
von Ressourcenrichtlinieneinstellungen vorab ausfüllen.
Definieren von Ressourcenprofilen: Microsoft OWA
333
Juniper Networks Secure Access – Administratorhandbuch
Die vorab ausgefüllten Werte unterscheiden sich abhängig von der ausgewählten
OWA-Version und basieren auf der am gängigsten Bereitstellung der Server.
So erstellen Sie ein Ressourcenprofil mithilfe einer Microsoft-OWA-Vorlage:
1. Navigieren Sie zur Seite Users > Resource Profiles > Web Applications/Pages
in der Administratorkonsole.
2. Klicken Sie auf New Profile.
3. Wählen Sie aus der Liste Type Microsoft OWA 2000 oder Microsoft OWA 2003
aus.
4. Geben Sie einen eindeutigen Namen und ggf. eine Beschreibung für das CitrixRessourcenprofil ein.
5. Geben Sie im Feld Base URL die URL der OWA-Ressource ein, für die Sie den
Zugriff mithilfe des folgenden Formats steuern möchten:
[Protokoll://]Host[:Port][/Pfad]. Das IVE verwendet die angegebene URL, um
das Standardlesezeichen für das Ressourcenprofil zu definieren. Geben Sie eine
Verzeichnis-URL oder eine Datei-URL ein. Genaue Anweisungen über die
Formatierung von Webressourcen finden Sie unter „Definieren von Basis-URLs“
auf Seite 310.
6. Wählen Sie Allow caching on client aus, um Webbrowsern auf dem Computer
eines Benutzers das Speichern von nicht zu den Benutzern gehörenden Daten zu
ermöglichen, wie z.B. Javascript und CSS-Dateien. Wählen Sie Minimize caching
on client aus, um dem IVE das Senden eines cache-control:no-store-Headers oder
eines cache-control:no-cache-Headers basierend auf dem Webbrowser- und dem
Inhaltstyp zu ermöglichen. Dies entspricht dem Smart Caching.
Mit der Option Allow caching on client wird Inhalt zwischengespeichert, den
der Back-End-OWA-Server normalerweise zwischenspeichert. Diese
Zwischenspeicherungsoption verbessert die Leistung, indem der Inhalt vom
Server beim nächsten Anzeigen der Seite nicht abgerufen, sondern indem der
zwischengespeicherte Inhalt verwendet wird. Die Option Minimize caching on
client bietet Sicherheit durch Senden eines cache-control:no-store- oder eines
cache-control:no-cache-Headers, um entweder Inhalt zu speichern oder den
zwischengespeicherten Inhalt bei jeder Anforderung neu zu validieren. Mit der
Zwischenspeicherungsoption kann das Hoch- oder das Herunterladen von
Anhängen entweder zugelassen oder verhindert werden.
7. Wählen Sie Prevent download of attachments aus, um Benutzern das
Herunterladen von Anhängen auf Ihre Systeme zu verbieten. Wählen Sie
Prevent upload of attachments aus, um Benutzer am Übertragen (Hochladen)
von Anhängen an (bzw. in) das IVE zu hindern
8. Erstellen Sie im Abschnitt Autopolicy: Web Access Control eine Richtlinie, die
Benutzern den Zugriff auf die im Feld Resource aufgeführte Webressource (und
alle entsprechenden Unterverzeichnisse) gewährt oder verweigert.
a.
334
Geben Sie im Feld Resource den Webserver oder die HTML-Seite an, für
den bzw. für die mit folgendem Format der Zugriff gesteuert werden soll:
[Protokoll://]Host[:Port][/Pfad]. Detaillierte Anweisungen finden Sie in
„Definieren von Webressourcen“ auf Seite 311.
Definieren von Ressourcenprofilen: Microsoft OWA
Kapitel 13: Neuschreiben von Webinhalt
b.
Wählen Sie in der Liste Action Allow aus, um den Zugriff auf die
angegebene Ressource zu ermöglichen, oder wählen Sie Deny aus, um den
Zugriff auf die angegebene Ressource zu verhindern.
c.
Klicken Sie auf Add.
9. Geben Sie im Abschnitt Autopolicy: Caching die Ressourcen an, für die diese
Richtlinie im Feld Resource gelten soll. Folgen Sie zum Erstellen einer AutoRichtlinie für das Zwischenspeichern den Anweisungen unter „Definieren einer
automatischen Richtlinie für Zwischenspeicherung“ auf Seite 317.
10. Erstellen Sie im Abschnitt Autopolicy: Web Compression eine Richtlinie, mit
der festgelegt wird, welche Arten von Webdaten das IVE komprimieren soll.
a.
Geben Sie im Feld Resources die Ressourcen an, für die diese Richtlinie
gelten soll. Detaillierte Anweisungen finden Sie in „Definieren von
Webressourcen“ auf Seite 311.
b.
Wählen Sie aus der Liste Action eine der folgenden Optionen aus:
c.
Compress – Das IVE komprimiert die unterstützten Inhaltstypen der
angegebenen Ressource.
Do not compress – Das IVE komprimiert die unterstützten
Inhaltstypen der angegebenen Ressource nicht.
Klicken Sie auf Add.
11. Aktivieren Sie das Kontrollkästchen Autopolicy: Single Sign-On, um IVE-Daten
wie Benutzername und Kennwort an die OWA-Anwendung weiterzuleiten.
Folgen Sie zum Erstellen einer Auto-Richtlinie für Einzelanmeldungen den
Anweisungen unter „Definieren einer automatischen Richtlinie für Single SignOn (Einzelanmeldung)“ auf Seite 313.
12. Klicken Sie auf Save and Continue.
13. Wählen Sie auf der Registerkarte Roles die Rollen aus, auf die das
Ressourcenprofil angewendet werden soll, und klicken Sie auf Add.
Die ausgewählten Rollen übernehmen die durch das Microsoft-OWARessourcenprofil erstellten Auto-Richtlinien und Lesezeichen. Ist die Option Web
noch nicht aktiviert, wird diese vom IVE auf der Seite Users > User Roles >
Rolle auswählen > General > Overview der Administratorkonsole automatisch
aktiviert.
14. Klicken Sie auf Save Changes.
15. (Optional) Ändern Sie auf der Registerkarte Bookmarks das vom IVE erstellte
Standardlesezeichen, und/oder erstellen Sie neue Lesezeichen. Befolgen Sie dazu
die Anweisungen unter „Definieren eines Weblesezeichens“ auf Seite 327.
Definieren von Ressourcenprofilen: Microsoft OWA
335
Juniper Networks Secure Access – Administratorhandbuch
Definieren von Ressourcenprofilen: Lotus iNotes
Bei einer Lotus iNotes-Vorlage handelt es sich um ein Ressourcenprofil, mit dem
nach Bedarf der Zugriff auf die Webanwendung gesteuert und die iNotesEinstellungen konfiguriert werden. Lotus iNotes-Vorlagen verringern die zur
Konfiguration erforderliche Zeit erheblich, indem sie Konfigurationseinstellungen
an einer Stelle sichern und abhängig vom ausgewählten Typ des Setup eine Reihe
von Ressourcenrichtlinieneinstellungen vorab ausfüllen.
Die vorab ausgefüllten Werte unterscheiden sich abhängig von der ausgewählten
iNotes-Version und basieren auf der am weitesten verbreiteten Verwendung der Server.
So erstellen Sie ein Ressourcenprofil mithilfe einer Lotus iNotes-Vorlage:
1. Navigieren Sie zur Seite Users > Resource Profiles > Web Applications/Pages
in der Administratorkonsole.
2. Klicken Sie auf New Profile.
3. Wählen Sie die Lotus Notes-Version in der Liste Type aus.
4. Geben Sie einen eindeutigen Namen und ggf. eine Beschreibung für das Lotus
Notes-Ressourcenprofil ein.
5. Geben Sie im Feld Base URL die URL der Lotus iNotes-Ressource ein, für die Sie
den Zugriff mithilfe des folgenden Formats steuern möchten:
[Protokoll://]Host[:Port][/Pfad]. Das IVE verwendet die angegebene URL, um
das Standardlesezeichen für das Lotus iNotes-Ressourcenprofil zu definieren.
Geben Sie eine Verzeichnis-URL oder eine Datei-URL ein. Genaue Anweisungen
über die Formatierung von Webressourcen finden Sie unter „Definieren von
Basis-URLs“ auf Seite 310.
6. Wählen Sie Allow caching on client aus, um Webbrowsern auf dem Computer
eines Benutzers das Speichern von nicht zu den Benutzern gehörenden Daten
zu ermöglichen, wie z.B. Javascript und CSS-Dateien. Wählen Sie Minimize
caching on client aus, um dem IVE das Senden eines cache-control:no-storeHeaders oder eines cache-control:no-cache-Headers basierend auf dem
Webbrowser- und dem Inhaltstyp zu ermöglichen. Dies entspricht dem Smart
Caching. Weitere Informationen finden Sie unter „Definieren von
Ressourcenrichtlinien: Caching“ auf Seite 358.
Mit der Option Allow caching on client wird Inhalt zwischengespeichert, den
der Back-End-OWA-Server normalerweise zwischenspeichert. Diese
Zwischenspeicherungsoption verbessert die Leistung, indem der Inhalt vom
Server beim nächsten Anzeigen der Seite nicht abgerufen, sondern indem der
zwischengespeicherte Inhalt verwendet wird. Die Option Minimize caching on
client bietet Sicherheit durch Senden eines cache-control:no-store- oder eines
cache-control:no-cache-Headers, um entweder Inhalt zu speichern oder den
zwischengespeicherten Inhalt bei jeder Anforderung neu zu validieren. Mit der
Zwischenspeicherungsoption kann das Hoch- oder das Herunterladen von
Anhängen entweder zugelassen oder verhindert werden.
336
Definieren von Ressourcenprofilen: Lotus iNotes
Kapitel 13: Neuschreiben von Webinhalt
7. Wählen Sie Prevent download of attachments aus, um Benutzern das
Herunterladen von Anhängen auf Ihre Systeme zu verbieten. Wählen Sie
Prevent upload of attachments aus (nur für Lotus iNotes 6.5 und Lotus iNotes
7 verfügbar), um Benutzer am Übertragen (Hochladen) von Anhängen an (bzw.
in) das IVE zu hindern.
8. Erstellen Sie im Abschnitt Autopolicy: Web Access Control eine Richtlinie, die
Benutzern den Zugriff auf die im Feld Resource aufgeführte Webressource (und
alle entsprechenden Unterverzeichnisse) gewährt oder verweigert.
a.
Geben Sie im Feld Resource den Webserver oder die HTML-Seite an, für
den bzw. für die mit folgendem Format der Zugriff gesteuert werden soll:
[Protokoll://]Host[:Port][/Pfad]. Detaillierte Anweisungen finden Sie in
„Definieren von Webressourcen“ auf Seite 311.
b.
Wählen Sie in der Liste Action Allow aus, um den Zugriff auf die
angegebene Ressource zu ermöglichen, oder wählen Sie Deny aus, um den
Zugriff auf die angegebene Ressource zu verhindern.
c.
Klicken Sie auf Add.
9. Geben Sie im Abschnitt Autopolicy: Caching die Ressourcen an, für die diese
Richtlinie im Feld Resource gelten soll. Folgen Sie zum Erstellen einer AutoRichtlinie für das Zwischenspeichern den Anweisungen unter „Definieren einer
automatischen Richtlinie für Zwischenspeicherung“ auf Seite 317.
10. Erstellen Sie im Abschnitt Autopolicy: Web Compression eine Richtlinie, mit
der festgelegt wird, welche Arten von Webdaten das IVE komprimieren soll.
a.
Geben Sie im Feld Resources die Ressourcen an, für die diese Richtlinie
gelten soll. Detaillierte Anweisungen finden Sie in „Definieren von
Webressourcen“ auf Seite 311.
b.
Wählen Sie aus der Liste Action eine der folgenden Optionen aus:
c.
Compress – Das IVE komprimiert die unterstützten Inhaltstypen der
angegebenen Ressource.
Do not compress – Das IVE komprimiert die unterstützten
Inhaltstypen der angegebenen Ressource nicht.
Klicken Sie auf Add.
11. Aktivieren Sie das Kontrollkästchen Autopolicy: Single Sign-On, um IVE-Daten
wie Benutzername und Kennwort an die Lotus iNotes-Anwendung
weiterzuleiten. Folgen Sie zum Erstellen einer Auto-Richtlinie für
Einzelanmeldungen den Anweisungen unter „Definieren einer automatischen
Richtlinie für Single Sign-On (Einzelanmeldung)“ auf Seite 313.
12. Klicken Sie auf Save and Continue.
13. Wählen Sie auf der Registerkarte Roles die Rollen aus, auf die das Lotus iNotesRessourcenprofil angewendet werden soll, und klicken Sie auf Add.
Definieren von Ressourcenprofilen: Lotus iNotes
337
Juniper Networks Secure Access – Administratorhandbuch
Die ausgewählten Rollen übernehmen die durch das Lotus iNotesRessourcenprofil erstellten Auto-Richtlinien und Lesezeichen. Ist die Option Web
noch nicht aktiviert, wird diese vom IVE auf der Seite Users > User Roles >
Rolle auswählen > General > Overview der Administratorkonsole automatisch
aktiviert.
14. Klicken Sie auf Save Changes.
15. (Optional) Ändern Sie auf der Registerkarte Bookmarks das vom IVE erstellte
Standardlesezeichen, und/oder erstellen Sie neue Lesezeichen. Befolgen Sie dazu
die Anweisungen unter „Definieren eines Weblesezeichens“ auf Seite 327.
Definieren von Ressourcenprofilen: Microsoft Sharepoint
Bei einer Microsoft Sharepoint-Vorlage handelt es sich um ein Ressourcenprofil, mit
dem nach Bedarf der Zugriff auf die Anwendung gesteuert und die SharepointEinstellungen konfiguriert werden. Microsoft Sharepoint-Vorlagen verringern die zur
Konfiguration erforderliche Zeit erheblich, indem sie Konfigurationseinstellungen
an einer Stelle sichern und abhängig vom ausgewählten Typ des Setup eine Reihe
von Ressourcenrichtlinieneinstellungen vorab ausfüllen.
HINWEIS: In der aktuellen Version wird das Senden von Kontaktinformationen von
Sharepoint an den Outlook-Client über die Funktion für Neuschreibevorgänge
unterstützt. Das Übertragen der Kontaktinformationen an den Back-EndExchange-Server erfordert den Einsatz von WSAM, JSAM oder Network Connect.
Zum Importieren von Kontaktinformationen in den Sharepoint-Server über den
Outlook-Client exportieren Sie zuerst Ihre Kontakte, und laden Sie diese
anschließend in den Sharepoint-Server hoch.
So erstellen Sie ein Ressourcenprofil mithilfe einer Microsoft Sharepoint-Vorlage:
1. Navigieren Sie zur Seite Users > Resource Profiles > Web Applications/Pages
in der Administratorkonsole.
2. Klicken Sie auf New Profile.
3. Wählen Sie aus der Liste Type Microsoft Sharepoint aus.
4. Geben Sie einen eindeutigen Namen und ggf. eine Beschreibung für das
Sharepoint-Ressourcenprofil ein.
5. Geben Sie im Feld Base URL die URL der Sharepoint-Ressource ein, für die Sie
den Zugriff mithilfe des folgenden Formats steuern möchten:
[Protokoll://]Host[:Port][/Pfad]. Das IVE verwendet die angegebene URL, um
das Standardlesezeichen für das Sharepoint-Ressourcenprofil zu definieren.
Geben Sie eine Verzeichnis-URL oder eine Datei-URL ein. Genaue Anweisungen
über die Formatierung von Webressourcen finden Sie unter „Definieren von
Basis-URLs“ auf Seite 310.
6. Wählen Sie im Abschnitt Sharepoint Settings Allow in-line editing of
documents within explorer view aus, um Benutzern die Änderung von in der
Explorer-Ansicht angezeigten Dateien zu ermöglichen.
338
Definieren von Ressourcenprofilen: Microsoft Sharepoint
Kapitel 13: Neuschreiben von Webinhalt
a.
Klicken Sie unter Explorer View URL auf Add, und geben Sie die URL auf
der Seite für die Explorer-Ansicht ein.
b.
Aktivieren Sie zum Anordnen der Ressourcen in der Liste das Kontrollkästchen
neben einem Element, und verschieben Sie es dann mit den nach oben und
unten zeigenden Pfeilen zur richtigen Position in der Liste.
c.
Geben Sie im Feld Persistent cookie timeout die Anzahl der Minuten an,
die ein permanentes Cookie auf dem Computer eines Benutzers verbleibt,
bevor es abläuft.
Verwechseln Sie dieses Zeitlimitfeld nicht mit der Option Max. Session
Length, mit der die Anzahl der Minuten festgelegt wird, die eine Sitzung
von Benutzern ohne Administratorberechtigungen geöffnet bleiben darf.
Weitere Informationen zu Max. Session Length finden Sie unter „Festlegen
von Sitzungsoptionen“ auf Seite 60.
7. Erstellen Sie im Abschnitt Autopolicy: Web Access Control eine Richtlinie, die
Benutzern den Zugriff auf die im Feld Resource aufgeführte Webressource (und
alle entsprechenden Unterverzeichnisse) gewährt oder verweigert.
a.
Geben Sie im Feld Resource den Webserver oder die HTML-Seite an, für
den bzw. für die mit folgendem Format der Zugriff gesteuert werden soll:
[Protokoll://]Host[:Port][/Pfad]. Detaillierte Anweisungen finden Sie in
„Definieren von Webressourcen“ auf Seite 311.
b.
Wählen Sie in der Liste Action Allow aus, um den Zugriff auf die
angegebene Ressource zu ermöglichen, oder wählen Sie Deny aus, um den
Zugriff auf die angegebene Ressource zu verhindern.
c.
Klicken Sie auf Add.
8. (Optional) Klicken Sie auf Show ALL autopolicy types, um zusätzliche AutoRichtlinien zu erstellen, die den Zugriff auf die Ressource präzisieren. Erstellen Sie
dann die Auto-Richtlinien mithilfe der Anweisungen in den folgenden Abschnitten:
„Definieren einer automatischen Richtlinie für Single Sign-On
(Einzelanmeldung)“ auf Seite 313
„Definieren einer automatischen Richtlinie für Zwischenspeicherung“
auf Seite 317
„Definieren einer automatischen Richtlinie für Neuschreibevorgänge“
auf Seite 321
„Definieren einer automatischen Richtlinie für Webkomprimierung“
auf Seite 326
9. Klicken Sie auf Save and Continue.
10. Wählen Sie auf der Registerkarte Roles die Rollen aus, auf die das
Ressourcenprofil angewendet werden soll, und klicken Sie auf Add.
Definieren von Ressourcenprofilen: Microsoft Sharepoint
339
Juniper Networks Secure Access – Administratorhandbuch
Die ausgewählten Rollen übernehmen die durch das Microsoft-SharepointRessourcenprofil erstellten Auto-Richtlinien und Lesezeichen. Ist die Option Web
noch nicht aktiviert, wird diese vom IVE auf der Seite Users > User Roles >
Rolle auswählen > General > Overview der Administratorkonsole automatisch
aktiviert.
11. Klicken Sie auf Save Changes.
12. (Optional) ändern Sie auf der Registerkarte Bookmarks das vom IVE
erstellte Standardlesezeichen, und/oder erstellen Sie neue Lesezeichen.
Befolgen Sie dazu die Anweisungen unter „Definieren eines
Weblesezeichens“ auf Seite 327.
Definieren von Rolleneinstellungen: Web-URLs
Sie können Weblesezeichen auf zwei verschiedene Arten erstellen:
Create bookmarks through existing resource profiles (recommended) – Bei
dieser Methode füllt das IVE das Lesezeichen automatisch mit
Schlüsselparametern auf (z.B. die Webschnittstellen (NFuse)-URL). Dabei
werden die Einstellungen aus dem Ressourcenprofil verwendet. Darüber hinaus
führt Sie das IVE beim Erstellen des zugeordneten Ressourcenprofils auch
durch den Erstellvorgang aller erforderlichen Richtlinien für die Aktivierung des
Zugriffs auf das Lesezeichen. Konfigurationsanweisungen finden Sie unter
„Erstellen von Lesezeichen mit vorhandenen Ressourcenprofilen“ auf
Seite 340.
Create standard bookmarks – Wenn Sie diese Option wählen, müssen Sie alle
Lesezeichenparameter während der Konfiguration manuell eingeben.
Aktivieren Sie zudem den Zugriff auf die Webfunktion, und erstellen Sie
Ressourcenrichtlinien, die den Zugriff auf die im Lesezeichen definierten
Websites ermöglichen (wie in „Aufgabenzusammenfassung: Konfigurieren der
Funktion zum Neuschreiben von Webinhalt“ auf Seite 300 erläutert).
Konfigurationsanweisungen finden Sie unter „Erstellen von standardmäßigen
Weblesezeichen“ auf Seite 341.
Dieser Abschnitt enthält Informationen über die Konfiguration von Lesezeichen mit
den beiden genannten Methoden. Dieser Abschnitt enthält überdies Informationen
über die Definition von allgemeinen Rollenebeneneinstellungen für die Funktion
zum Neuschreiben von Webinhalt. Konfigurationsanweisungen finden Sie unter
„Angeben von allgemeinen Webbrowsingoptionen“ auf Seite 343.
Erstellen von Lesezeichen mit vorhandenen Ressourcenprofilen
So ordnen Sie einem vorhandenen Ressourcenprofil ein Lesezeichen zu:
1. Navigieren Sie zur Seite Users > User Roles > Rolle auswählen > Web >
Bookmarks der Administratorkonsole.
2. Klicken Sie auf New Bookmark.
3. Wählen Sie in der Liste Type Pick a Web Resource Profile aus.
340
Definieren von Rolleneinstellungen: Web-URLs
Kapitel 13: Neuschreiben von Webinhalt
HINWEIS: Das IVE zeigt diese Option nur an, wenn Sie zuvor ein
Webressourcenprofil erstellt haben.
4. Wählen Sie ein Ressourcenprofil.
5. Klicken Sie auf OK. (Wenn Sie die ausgewählte Rolle noch dem
Ressourcenprofil zugeordnet haben, führt das IVE diese Zuordnung
automatisch aus.)
6. Klicken Sie zum Hinzufügen einer weiteren Rolle auf Save Changes oder
Save + New.
7. Klicken Sie zum Ändern der Eigenschaften des Lesezeichens auf den Link in
der Spalte Resource der Rollenseite (optional). Klicken Sie anschließend auf
den Link für das Lesezeichen auf der Seite für Ressourcenprofile, und
aktualisieren Sie die Lesezeicheneinstellungen. Richten Sie sich dabei nach den
Anweisungen in „Definieren eines Weblesezeichens“ auf Seite 327.
Erstellen von standardmäßigen Weblesezeichen
HINWEIS: Die Informationen in diesem Abschnitt werden aus Gründen der
Abwärtskompatibilität bereitgestellt. Konfigurieren Sie den Zugriff auf die WebURLs und -Server stattdessen über die Ressourcenprofile, da sie eine einfachere
und einheitlichere Konfigurationsmethode bieten. Weitere Informationen hierzu
finden Sie unter „Definieren von Ressourcenprofilen: Benutzerdefinierte
Webanwendungen“ auf Seite 308 und „Definieren von Ressourcenprofilen: CitrixWebanwendungen“ auf Seite 329.
Auf der Registerkarte Bookmarks können Sie Lesezeichen erstellen, die für dieser
Rolle zugeordnete Benutzer auf der Willkommensseite angezeigt werden. Über
diese Seite können zwei Lesezeichentypen erstellt werden:
Lesezeichen für Web-URLs – Diese Lesezeichen sind Links zu Web-URLs im
World Wide Web oder im Firmenintranet. Sie können beim Erstellen von
Weblesezeichen den IVE-Benutzernamen eines Benutzers im URL-Pfad
einfügen, um Single Sign-on-Zugriff auf Back-End-Webanwendungen zu
ermöglichen. Richten Sie sich nach den folgenden Anweisungen, um
Weblesezeichen zu konfigurieren.
Lesezeichen für Java-Applets – Diese Lesezeichen stellen eine Verknüpfung zu
einem Java-Applet her, das vom Benutzer über die Seite Users > Resource
Profiles > Web > Hosted Java Applets der Administratorkonsole in das IVE
hochgeladen wird. Anweisungen für die Konfiguration von Lesezeichen für JavaApplets finden Sie unter „Definieren von Ressourcenprofilen: Gehostete JavaApplets“ auf Seite 392.
Wenn Sie einen dieser Lesezeichentypen erstellen, werden die entsprechenden
Links auf der Willkommensseite der Benutzer angezeigt, die dieser Rolle
zugeordnet sind.
Definieren von Rolleneinstellungen: Web-URLs
341
Juniper Networks Secure Access – Administratorhandbuch
So erstellen Sie ein Lesezeichen für eine Webressource:
1. Wählen Sie in der Administratorkonsole Users > User Roles > Rolle > Web >
Bookmarks.
2. Klicken Sie auf New Bookmark.
3. Geben Sie einen Namen und eine Beschreibung für das Lesezeichen ein (optional).
Diese Informationen werden anstelle der URL auf der IVE-Startseite angezeigt.
4. Wählen Sie Web URL.
5. Geben Sie die URL für das Lesezeichen ein. Wenn Sie den Benutzernamen des
Benutzers einfügen möchten, geben Sie an der entsprechenden Stelle in der
URL <username> ein. Informationen zu weiteren Systemvariablen und
Attributen, die in das Lesezeichen integriert werden, finden Sie unter
„Verwendung von Systemvariablen in Bereichen, Rollen und
Ressourcenrichtlinien“ auf Seite 929.
HINWEIS: Geben Sie in dieses Feld eine eindeutige URL ein. Werden zwei
Lesezeichen mit derselben URL erstellt, löscht das IVE eines der Lesezeichen aus
der Endbenutzeransicht. Die beiden Lesezeichen können nach wie vor angezeigt
werden, jedoch nur in der Administratorkonsole.
6. Klicken Sie unter Auto-allow auf Auto-allow Bookmark, um mit dem IVE
automatisch eine entsprechende Ressourcenrichtlinie für den Webzugriff zu
erstellen. Beachten Sie, dass diese Funktion nur für Rollenlesezeichen, nicht für
von Benutzern erstellte Lesezeichen gilt. Wählen Sie als Nächstes:„Definieren
von Rolleneinstellungen: Web-URLs“ auf Seite 340 aus.
Only this URL, um Benutzern nur den Zugriff auf die URL zu ermöglichen.
Everything under this URL, um dem Benutzer den Zugriff auf jeden Pfad
unter der URL zu ermöglichen.
HINWEIS: Die Option Auto-allow wird u. U. nicht angezeigt, wenn Sie eine neue
Installation verwenden oder ein Administrator diese Option ausgeblendet hat.
Weitere Informationen zu dieser Option finden Sie unter „Festlegen der
Systemoptionen“ auf Seite 619.
7. Klicken Sie unter Display options auf Open bookmark in a new window,
wenn das IVE automatisch die Webressource in einem neuen Browserfenster
öffnen soll. Beachten Sie, dass diese Funktion nur für Rollenlesezeichen, nicht
für von Benutzern erstellte Lesezeichen gilt. Wählen Sie als Nächstes:
342
Do not display the URL address bar – Wählen Sie diese Option aus, um
die Adressleiste aus dem Browserfenster zu entfernen. Diese Funktion
veranlasst die Weiterleitung des gesamten Webdatenverkehrs über das IVE,
indem verhindert wird, dass Benutzer in der angegebenen Rolle eine neue
URL in die Adresszeile eingeben, durch den das IVE umgangen wird.
Definieren von Rolleneinstellungen: Web-URLs
Kapitel 13: Neuschreiben von Webinhalt
Do not display the menu and the toolbar – Wählen Sie diese Option aus,
um das Menü und die Symbolleiste aus dem Browser zu entfernen. Diese
Funktion entfernt Menüs, Browserschaltflächen und Lesezeichen aus dem
Browserfenster, um nur das Browsen über das IVE zu ermöglichen.
8. Klicken Sie zum Hinzufügen eines weiteren Ressourcenprofils auf Save
Changes oder Save + New.
Angeben von allgemeinen Webbrowsingoptionen
Mit dem IVE können zahlreiche Webbrowsingoptionen für eine Benutzerrolle
konfiguriert werden. Dieser Abschnitt enthält Anweisungen für die Konfiguration
von standardmäßigen und erweiterten Webbrowsingoptionen.
Konfigurieren von standardmäßigen Webbrowsingoptionen
So konfigurieren Sie standardmäßige Webbrowsingoptionen für eine Rolle:
1. Wählen Sie in der AdministratorkonsoleUsers > User Roles > RollenName >
Web > Options.
2. Wählen Sie User can type URLs in IVE browse bar aus, um Benutzern das
Eingeben von URLs auf der Willkommensseite und das Navigieren zu
Internetsites zu ermöglichen.
3. Wählen Sie User can add bookmarks aus, um Benutzern die Erstellung von
persönlichen Weblesezeichen auf der IVE-Willkommensseite zu ermöglichen.
4. Wählen Sie die Option Mask hostnames while browsing aus, wenn das IVE die
Zielressourcen in den von Benutzern durchsuchten URLs verbergen soll. Wenn
Sie die Option auswählen, maskiert das IVE die IP-Adressen und Hostnamen für
den Benutzer an folgenden Stellen :
Adressleiste des Webbrowsers (wenn der Benutzer eine Seite aufruft)
Statusleiste des Webbrowsers (beim Führen des Mauszeigers über
einen Hyperlink)
HTML-Quelldateien (wenn der Benutzer View Source_ auswählt)
Durch die Hostnamencodierung (auch bezeichnet als Hostnamenverschleierung
oder URL-Verschleierung) wird verhindert, dass sich zufällige Besucher die URL
einer internen Ressource notieren können. Zu diesem Zweck wird der
Zielserver innerhalb der URL verborgen, ohne dass dabei der vollständige
Pfadname, die Zieldatei oder die Portnummer maskiert werden. Wenn ein
Benutzer beispielsweise www.msn.com aufruft, ohne dass selektives
Neuschreiben oder Hostnamencodierung aktiviert ist, zeigt das IVE eine
unverborgene URL in der Adressleiste des Webbrowsers an:
http://www.msn.com/
Wird anschließend das selektive Neuschreiben aktiviert, zeigt das IVE u.U. die
folgende URL an:
https://mycompanyserver.com/,DanaInfo=www.msn.com,SSO=U+
Definieren von Rolleneinstellungen: Web-URLs
343
Juniper Networks Secure Access – Administratorhandbuch
Wenn die Hostnamencodierung anschließend aktiviert wird und derselbe
Benutzer diese Site aufruft, wird eine URL mit verborgenem Hostnamen
(www.msn.com) angezeigt:
https://i5.asglab.juniper.net/,DanaInfo=.awxyCqxtGkxw,SSO=U+
Bei der Hostnamencodierung wird ein umkehrbarer Lightweight-Algorithmus
verwendet, sodass Benutzer codierte URLs als Lesezeichen festlegen können.
(Das IVE kann die codierte URL übersetzen und wieder in die ursprüngliche
URL auflösen.) Aus Kompatibilitätsgründen funktionieren zuvor erstellte
Lesezeichen für nicht maskierte URLs auch nach der Aktivierung der
Hostnamencodierung.
HINWEIS:
Wenn Sie das selektive Neuschreiben und die Hostnamencodierung
aktivieren, maskiert das IVE nur die Hostnamen und IP-Adressen der
ausgewählten Server, die Sie mit der Option für das selektive Neuschreiben
neu schreiben möchten.
Werden die gerahmte Symbolleiste und die Hostnamencodierung aktiviert,
verbirgt das IVE keine Hostnamen, die vom Benutzer in das Navigationsfeld
der gerahmten Symbolleiste eingegeben werden.
Das IVE verbirgt keine Hostnamen und IP-Adressen in Protokolleinträgen
(einschließlich Protokolleinträgen für die Hostnamencodierung).
5. Klicken Sie auf Save Changes.
Konfigurieren von erweiterten Webbrowsingoptionen
So konfigurieren Sie erweiterte Webbrowsingoptionen für eine Rolle:
1. Wählen Sie in der Administratorkonsole Users > User Roles > RollenName >
Web > Options.
2. Aktivieren Sie das Kontrollkästchen View advanced options.
3. Wählen Sie Allow Java applets aus, um Benutzern das Navigieren zu Webseiten
zu navigieren, die clientseitige Java-Applets enthalten, zu ermöglichen. Der IVEServer wird für den Anwendungsserver wie ein Browser über SSL behandelt.
Das IVE verarbeitet alle durch ein Java-Applet initiierten HTTP-Anforderungen
und TCP-Verbindungen transparent und verarbeitet signierte Java-Applets.
Wenn Sie diese Funktion aktivieren, können die Benutzer Java-Applets starten
und Anwendungen ausführen, die als clientseitige Java-Applets implementiert
wurden, z.B. VNC-Java-Client (Virtual Computing), Citrix NFuse Java-Client,
WRQ Reflections Web-Client und Lotus WebMail. Weitere Informationen finden
Sie unter „Definieren einer automatischen Richtlinie für die JavaZugriffssteuerung“ auf Seite 319.
344
Definieren von Rolleneinstellungen: Web-URLs
Kapitel 13: Neuschreiben von Webinhalt
4. Wählen Sie Allow Flash content aus, um mit dem IVE Flash-Inhalt über das
Modul für die Inhaltsvermittlung zu vermitteln. Das IVE bietet beschränkte
Unterstützung für ActionScript 2.0 und Flash Remoting und unterstützt keine
XMLSocket-Verbindungen.
5. Wählen Sie die Option Persistent cookies aus, um Benutzern mithilfe von
permanenten Cookies das Anpassen ihrer Navigation zu ermöglichen.
Standardmäßig löscht das IVE Webcookies, die während einer Benutzersitzung
gespeichert wurden. Bei Aktivierung dieser Option können Benutzer Cookies
über die Seite Advanced Preferences löschen.
6. Wählen Sie die Option Unrewritten pages open in new window aus, um das
IVE für das Öffnen von Inhalt in einem neuen Browserfenster zu konfigurieren,
wenn ein Benutzer auf eine nicht neu geschriebene Webseite zugreift. Durch
Öffnen von Inhalt in einem neuen Fenster wird der Benutzer daran erinnert,
dass er sich nach wie vor in einer sicheren Sitzung befindet. Wenn ein Benutzer
eine Ressource anfordert, auf die diese Option zutrifft, zeigt das IVE eine Seite
an, die einen Link mit der angeforderten Ressource enthält, und der Benutzer
wird aufgefordert, auf diesen Link zu klicken. Durch diesen Link wird die
Ressource in einem neuen Browserfenster geöffnet, und die Seite, von der die
Anforderung stammt, wird weiterhin im IVE angezeigt.
Wenn Sie dieses Kontrollkästchen deaktivieren, bemerken die Benutzer
möglicherweise nicht, dass ihre IVE-Sitzung noch aktiv ist und sie im Browser
auf die Schaltfläche Back klicken müssen, um zum IVE zurückzukehren. Zum
Abmelden müssen die Benutzer zum IVE zurückkehren. Wenn sie lediglich das
Browserfenster schließen, bleiben die Sitzungen bis zum Ablaufen der
Sitzungszeitbegrenzung aktiv.
7. Wählen Sie Allow browsing untrusted SSL Web servers aus, um Benutzern
den Zugriff auf nicht vertrauenswürdige Websites über das IVE zu ermöglichen
Bei nicht vertrauenswürdigen Websites handelt es sich um Sites, deren
Serverzertifikate nicht über die Registerkarte System > Configuration >
Certificates > Trusted Servers CAs der Administratorkonsole installiert
werden. Weitere Informationen finden Sie unter „Verwenden von vertrauten
Serverzertifizierungsstellen“ auf Seite 669.
Definieren von Rolleneinstellungen: Web-URLs
345
Juniper Networks Secure Access – Administratorhandbuch
Bei Auswahl dieser Option können Sie festlegen, welche Auswahlmöglichkeiten
das IVE Benutzern bereitstellt, wenn sie eine nicht vertraute Website aufrufen:
Warn users about the certificate problems – Wenn diese Option aktiviert
ist, zeigt das IVE einen Warnhinweis an, wenn der Benutzer zum ersten Mal
auf eine nicht vertraute Website zugreift. Der Benutzer wird darüber
informiert, weshalb dem Zertifikat der Website nicht vertraut wird, und er
hat die Möglichkeit, den Vorgang fortzusetzen oder abzubrechen.
Entscheidet sich der Benutzer fortzufahren, nachdem das IVE einen
Warnhinweis angezeigt hat, zeigt das IVE während der aktuellen IVESitzung keine weiteren Warnhinweise zu dieser Website an.
HINWEIS: Wenn Sie die Option Warn users about the certificate problems
auswählen und der Benutzer auf Nicht-HTML-Inhalte zugreift (z.B. Bilder, js- und
css-Dateien), die von einem anderen SSL-Server verarbeitet werden als die HTMLSeite, wird die Seite mit den Links u. U. nicht korrekt angezeigt. Sie können dieses
Problem umgehen, indem Sie diese Option deaktivieren oder ein gültiges SSLProduktionszertifikat auf die Server laden, die Nicht-HTML-Inhalte verarbeiten.
Allow users to bypass warnings on a server-by-server basis – Wenn diese
Option aktiviert ist, ermöglicht das IVE dem Benutzer, alle weiteren
Warnhinweise zu einer nicht vertrauenswürdigen Website zu unterdrücken.
Aktiviert ein Benutzer diese Option, wird für diese Website kein
Warnhinweis mehr angezeigt, vorausgesetzt, der Zugriff erfolgt über das
aktuelle IVE oder über einen Cluster.
HINWEIS: Wurde einem Benutzer erlaubt, auf nicht vertraute Websites
zuzugreifen, ohne dass ein Warnhinweis eingeblendet wird, fügt das IVE dem
Benutzerzugriffsprotokoll trotzdem einen Eintrag hinzu, wenn der Benutzer zu
einer nicht vertrauten Site navigiert. Unterdrückt ein Benutzer Warnhinweise,
kann er die permanenten Einstellungen der nicht vertrauten Websites mit der
Option Delete Passwords auf der Registerkarte System > Preferences >
Advanced in der Endbenutzerkonsole löschen.
8. Wählen Sie Rewrite file:// URLs aus, um das IVE für das Neuschreiben von
file://-URLs zu konfigurieren, damit diese über die Dateinavigations-CGI des
IVE geroutet werden.
9. Wählen Sie die Option Rewrite links in PDF files aus, um das IVE für das
Neuschreiben von Hyperlinks in PDFs zu konfigurieren.
10. Akzeptieren Sie unter HTTP Connection Timeout den Standardwert, oder
legen Sie die Dauer fest, um dem IVE mitzuteilen, wie lange vor dem Trennen
der Verbindung auf eine Antwort vom HTTP-Server gewartet werden soll.
Geben Sie einen Wert zwischen 30 und 1800 Sekunden an.
HINWEIS: Bei einem höheren Zeitüberschreitungswert werden u. U. IVE-
Ressourcen beansprucht, wenn Anwendungen Verbindungen nicht korrekt
beenden oder zum Trennen der Verbindungen zu viel Zeit benötigen. Verwenden
Sie den Standardwert, wenn eine Anwendung keinen höheren
Zeitüberschreitungswert erfordert.
346
Definieren von Rolleneinstellungen: Web-URLs
Kapitel 13: Neuschreiben von Webinhalt
11. Klicken Sie auf Save Changes.
Definieren von Ressourcenrichtlinien: Übersicht
Wenn Sie einer Rolle Zugriff auf das Web gewähren, müssen Sie
Ressourcenrichtlinien erstellen, die angeben, auf welche Ressourcen ein Benutzer
zugreifen darf, und ob das IVE den vom Benutzer angeforderten Inhalt neu schreiben
muss. Zudem müssen Sie Angaben zur Zwischenspeicherung, zum Applet oder zu
Anforderungen für die Einzelanmeldung machen. Für jede Webanforderung ermittelt
das IVE zuerst die konfigurierten1 Richtlinien für das Neuschreiben. Wenn der
Benutzer eine Ressource anfordert, die nicht neu geschrieben werden darf „Don’t
rewrite“, weil sie entweder selektiv neu geschrieben werden soll oder aufgrund einer
Ressourcenrichtlinie für Durchgangsproxy, leitet das IVE die Anforderung des
Benutzers an die entsprechende Back-End-Ressource weiter. Andernfalls setzt das IVE
die Auswertung der Ressourcenrichtlinien fort, die der Anforderung entsprechen, wie
z.B. Java-Ressourcenrichtlinien bei der Anforderung eines Java-Applet. Wenn das IVE
für eine Benutzeranforderung einer Ressource, die in der entsprechenden Richtlinie
aufgeführt ist, eine Übereinstimmung findet, führt es die für die Ressource
angegebene Aktion aus.
Sie können Ressourcenrichtlinien über die Standardbenutzeroberfläche (wie in diesem
Abschnitt beschrieben) oder über Ressourcenprofile (empfohlene Methode) erstellen.
Beim Schreiben einer Webressourcenrichtlinie müssen Sie die folgenden zentralen
Informationen angeben:
Ressourcen – Eine Ressourcenrichtlinie muss mindestens eine Ressource
angeben, auf die sich die Richtlinie bezieht. Beim Schreiben einer Webrichtlinie
müssen Sie wie in den folgenden Abschnitten beschrieben Webserver oder
bestimmte URLs angeben.
Rollen – Eine Ressourcenrichtlinie muss die Rollen angeben, auf die sie sich
bezieht. Wenn ein Benutzer eine Anforderung durchführt, ermittelt das IVE
zunächst die für die Rolle gültigen Richtlinien und wertet dann die Richtlinien
aus, die auf die Anforderung zutreffen.
Aktionen – Jeder Typ von Ressourcenrichtlinie führt eine bestimmte Aktion
aus: Zugriff auf eine Ressource gewähren bzw. verweigern oder eine Funktion,
wie Neuschreiben von Inhalten, Neusignieren von Applets, Bereitstellen von
Webdaten ausführen bzw. nicht ausführen. Sie können auch detaillierte Regeln
schreiben, mit denen Sie weitere Bedingungen für eine Benutzeranforderung
festlegen. Weitere Informationen finden Sie unter „Schreiben einer detaillierten
Regel“ auf Seite 93.
Für das IVE-Plattformmodul, das Ressourcenrichtlinien auswertet, müssen die in
der Liste Resources einer Richtlinie aufgelisteten Ressourcen wie unter „Angeben
von Ressourcen für eine Ressourcenrichtlinie“ auf Seite 87 beschrieben im
kanonischen Format aufgeführt sein.
In diesem Abschnitt werden spezielle Aspekte behandelt, die beim Angeben einer
Webressource im kanonischen Format beachtet werden müssen.
1. Wenn Sie kein Neuschreiben von Ressourcenrichtlinien „Rewriting“ konfigurieren, setzt das IVE die
Auswertung anhand der Richtlinien fort, die für die Anforderung des Benutzers gelten.
Definieren von Ressourcenrichtlinien: Übersicht
347
Juniper Networks Secure Access – Administratorhandbuch
Kanonisches Format:
[Protokoll://]Host[:Ports][/Pfad]
Die vier Bestandteile sind:
Protokoll (optional) – Mögliche Werte: http und https (Groß-/Kleinschreibung
wird nicht beachtet)
Wenn kein Protokoll angegeben ist, werden sowohl http als auch https
angenommen. Bei der Angabe eines Protokolls muss das Trennzeichen „://“
eingegeben werden. Sonderzeichen sind nicht zulässig.
Host (erforderlich) – Mögliche Werte:
DNS-Hostname – Beispiel: www.juniper.com
Die zulässigen Sonderzeichen werden in der folgenden Tabelle beschrieben:
Tabelle 23: Sonderzeichen für DNS-Hostname
*
Entspricht ALLEN Zeichen
%
Entspricht einem beliebigen Zeichen außer dem Punkt (.)
?
Entspricht genau einem Zeichen
IP-Adresse/Netzmaske – Die IP-Adresse muss in folgendem Format
angegeben werden: a.b.c.d
Die Netzmaske kann in einem der beiden folgenden Formate
angegeben werden:
Präfix: Obere Bits
IP: a.b.c.d
Beispiel: 10.11.149.2/24 or 10.11.149.2/255.255.255.0
Sonderzeichen sind nicht zulässig.
Ports – Wenn Sie eine IP-Adresse/Netzmaske als Ressource angeben, müssen
Sie einen Port festlegen. Bei einem DNS-Hostnamen ist der Port optional. Bei
der Angabe eines Ports muss das Trennzeichen „:“ eingegeben werden.
Beispiel: 10.11.149.2/255.255.255.0:*
Tabelle 24: Mögliche Werte für Port
348
*
Entspricht ALLEN Ports, andere Sonderzeichen sind nicht zulässig.
Port[,Port]*
Eine durch Kommata getrennte Liste einzelner Ports. Gültige
Portnummern sind [1-65535].
[Port 1]-[Port 2]
Ein Portbereich, von Port 1 bis einschließlich Port 2.
Definieren von Ressourcenrichtlinien: Übersicht
Kapitel 13: Neuschreiben von Webinhalt
HINWEIS: Sie können Portlisten und Portbereiche mischen. Beispiel:
80,443,8080-8090
Wenn kein Port angegeben ist, wird der Standardport 80 für http und 443 für
https zugewiesen.
Pfad (optional) – Wenn kein Pfad angegeben ist, wird von einem Sternchen (*)
ausgegangen, was bedeutet, dass ALLE Pfade zutreffen. Bei der Angabe eines
Pfads muss das Trennzeichen „/“ eingegeben werden. Es werden keine
weiteren Sonderzeichen unterstützt. Beispiel:
http://www.juniper.com:80/*
https://www.juniper.com:443/intranet/*
*.yahoo.com:80,443/*
%.danastreet.net:80/share/users/<username>/*
Definieren von Ressourcenrichtlinien: Webzugriff
Mit Ressoucenrichtlinien für den Webzugriff wird festgelegt, auf welche
Webressourcen Benutzer zugreifen können, um eine Verbindung zum Internet,
Intranet oder Extranet herzustellen. Sie können den Zugriff auf Webressourcen
nach URL oder IP-Bereich zulassen bzw. verweigern. für URLs können Sie die
Platzhalter „*“ und „?“ verwenden, um mehrere Hostnamen und Pfade anzugeben.
für mit dem Hostnamen angegebene Ressourcen können Sie außerdem HTTP,
HTTPS oder beide Protokolle auswählen.
So schreiben Sie eine Ressourcenrichtlinie für den Webzugriff:
1. Wählen Sie in der Administratorkonsole Users > Resource Policies > Web >
Access > Web ACL.
2. Klicken Sie auf der Seite Web Access Policies auf New Policy.
3. Geben Sie auf der Seite New Policy Folgendes ein:
a.
Eine Bezeichnung für diese Richtlinie.
b.
Eine Beschreibung der Richtlinie (optional).
4. Geben Sie im Abschnitt Resources die Ressourcen an, für die diese Richtlinie
gelten soll. Weitere Informationen finden Sie unter „Angeben von Ressourcen
für eine Ressourcenrichtlinie“ auf Seite 87. Informationen zum Aktivieren der
IP-basierten Zuordnung und der Zuordnung anhand von Groß- und
Kleinschreibung für diese Ressourcen finden Sie unter „Definieren von
Ressourcenrichtlinien: Allgemeine Optionen“ auf Seite 384.
5. Geben Sie im Bereich Roles Folgendes an:
Policy applies to ALL roles – Hiermit gilt die Richtlinie für alle Benutzer.
Definieren von Ressourcenrichtlinien: Webzugriff
349
Juniper Networks Secure Access – Administratorhandbuch
Policy applies to SELECTED roles – Hiermit gilt die Richtlinie nur für
Benutzer, die Rollen in der Liste Selected roles zugeordnet sind. Dieser
Liste müssen Rollen aus der Liste Available roles hinzugefügt werden.
Policy applies to all roles OTHER THAN those selected below – Hiermit
gilt die Richtlinie für alle Benutzer außer den Benutzern, die Rollen in der
Liste Selected roles zugeordnet sind. Dieser Liste müssen Rollen aus der
Liste Available roles hinzugefügt werden.
6. Geben Sie im Bereich Action Folgendes an:
Allow access – Hiermit erlauben Sie den Zugriff auf die Ressourcen, die in
der Liste Resources aufgeführt sind.
Deny access – Hiermit verweigern Sie den Zugriff auf die Ressourcen, die
in der Liste Resources aufgeführt sind.
Use Detailed Rules – Hiermit geben Sie eine oder mehrere detaillierte
Regeln für diese Richtlinie an. Weitere Informationen finden Sie unter
„Schreiben einer detaillierten Regel“ auf Seite 93.
7. Klicken Sie auf Save Changes.
8. Ordnen Sie die Richtlinien auf der Seite Web Access Policies in der Reihenfolge
an, in der sie vom IVE ausgewertet werden sollen. Hinweis: Wenn das IVE die
Ressource, die von einem Benutzer angefordert wurde, einer Ressource in der
Liste Resource für eine Richtlinie (oder ausführliche Regel) zuordnet, führt es
die angegebene Aktion aus und beendet die Richtlinienverarbeitung.
Ein Beispiel für eine Webressourcenrichtlinie finden Sie in den Abbildungen unter
„Definieren von Ressourcenrichtlinien: Übersicht“ auf Seite 347.
Definieren von Ressourcenrichtlinien: Single Sign-On
(Einzelanmeldung)
Mit Richtlinien für Single Sign-On (Einzelanmeldung) können Benutzerdaten
automatisch an die in der Richtlinie angegebene Webanwendung übertragen
werden. Single Sign-On-Richtlinien können so konfiguriert werden, dass sie
Standardauthentifizierungs- und NTLM-Anfragen abfangen, eine
zwischengeschaltete Anmeldeseite zum Sammeln von Anmeldedaten für die
Webressource anzeigen und anschließend die Anmeldedaten mit der vollständigen
Anfrage-/Antwortsequenz neu schreiben. Die angegebenen Anmeldedaten und
Header können allerdings auch an die Webanwendung gesendet werden.
Dieser Abschnitt enthält die folgenden Anweisungen für das Erstellen von
Ressourcenrichtlinien für Single Sign-Ons (Einzelanmeldungen):
350
„Schreiben einer Ressourcenrichtlinie zur Standardauthentifizierung bzw.
NTLM-Vermittlung“ auf Seite 351
„Schreiben einer Ressourcenrichtlinie für Remote-SSO-Form-POSTs“ auf Seite 353
Definieren von Ressourcenrichtlinien: Single Sign-On (Einzelanmeldung)
Kapitel 13: Neuschreiben von Webinhalt
„Schreiben einer Ressourcenrichtlinie für Remote-SSO-Header und -Cookies“
auf Seite 356
Schreiben einer Ressourcenrichtlinie zur Standardauthentifizierung bzw. NTLM-Vermittlung
Mit Ressourcenrichtlinien für Standardauthentifizierung oder NTLM-Vermittlung
wird die NTLM-Vermittlung im IVE gesteuert. Wenn ein Benutzer auf eine
Webressource zugreift, die eine Standardauthentifizierungsanfrage sendet, kann
das IVE die Anfrage abfangen, eine Anmeldeseite zur Eingabe der Anmeldedaten
für die Webressource anzeigen und dann die Anmeldedaten zusammen mit der
gesamten Anfrage-/Antwortsequenz neu schreiben.
So schreiben Sie eine Ressourcenrichtlinie zur Standardauthentifizierung bzw.
NTLM-Vermittlung:
1. Navigieren Sie in der Administratorkonsole zu Users > Resource Policies >
Web.
2. Ist die Administratoransicht noch nicht für das Anzeigen von SSO-Richtlinien
konfiguriert, nehmen Sie folgende Änderungen vor:
a.
Klicken Sie rechts oben auf der Seite auf die Schaltfläche Customize.
b.
Aktivieren Sie das Kontrollkästchen SSO.
c.
Aktivieren Sie das Kontrollkästchen Basic Auth/NTLM unter dem
Kontrollkästchen SSO.
d. Klicken Sie auf OK.
3. Klicken Sie auf die Registerkarte SSO > Basic Auth/NTLM.
4. Klicken Sie auf der Seite Basic Auth and NTLM policies auf New Policy.
5. Geben Sie auf der Seite New Policy einen Namen für diese Richtlinie
(erforderlich) und eine Beschreibung der Richtlinie (optional) ein.
6. Geben Sie im Abschnitt Resources die Ressourcen an, für die diese Richtlinie
gelten soll. Weitere Informationen finden Sie unter „Angeben von Ressourcen
für eine Ressourcenrichtlinie“ auf Seite 87. Informationen zum Aktivieren der
IP-basierten Zuordnung und der Zuordnung anhand von Groß- und
Kleinschreibung für diese Ressourcen finden Sie unter „Definieren von
Ressourcenrichtlinien: Allgemeine Optionen“ auf Seite 384.
HINWEIS: Wenn das IVE automatisch Werte an eine bestimmte URL senden soll,
wenn ein Endbenutzer auf ein IVE-Lesezeichen klickt, muss die hier eingegebene
Ressource genau mit der auf der Seite Users > User Roles > Rolle > Web >
Bookmarks angegebenen URL der Administratorkonsole übereinstimmen.
7. Geben Sie im Bereich Roles Folgendes an:
Policy applies to ALL roles – Hiermit gilt die Richtlinie für alle Benutzer.
Definieren von Ressourcenrichtlinien: Single Sign-On (Einzelanmeldung) 351
Juniper Networks Secure Access – Administratorhandbuch
Policy applies to SELECTED roles – Hiermit gilt die Richtlinie nur für
Benutzer, die zu Rollen in der Liste Selected roles zugeordnet sind. Dieser
Liste müssen Rollen aus der Liste Available roles hinzugefügt werden.
Policy applies to all roles OTHER THAN those selected below – Hiermit
gilt die Richtlinie für alle Benutzer außer den Benutzern, die Rollen in der
Liste Selected roles zugeordnet sind. Dieser Liste müssen Rollen aus der
Liste Available roles hinzugefügt werden.
8. Geben Sie im Bereich Action Folgendes an:
Basic – Diese Option gibt an, dass das IVE die
Standardauthentifizierungsvermittlung zum Steuern des SSO-Verhaltens
verwendet.
Enable Intermediation – Wenn Sie diese Option auswählen, müssen
Sie auch den Typ der Standardauthentifizierungsvermittlung angeben:
Use System Credentials for SSO, Use Specified Credentials for SSO
oder Disable SSO. Diese drei Optionen werden nachfolgend unter
NTLM_ erläutert.
Disable Intermediation – Wenn Sie diese Option auswählen,
vermittelt das IVE die Anfrage-/Antwortsequenz nicht.
HINWEIS:
Das IVE vermittelt immer Anfragen an Webproxys, die eine
Standardauthentifizierung erfordern. Dies gilt auch, wenn Sie Disable
Intermediation auswählen.
Obwohl Ihnen eine Option zum Deaktivieren der
Standardauthentifizierungsvermittlung zur Verfügung steht, empfehlen wir diese
Option nicht, da es sich um eine sehr unsichere Authentifizierungsmethode
handelt und in einigen Fällen Benutzeranmeldedaten als Klartext
(unverschlüsselt) über das Netzwerk übertragen werden können.
NTLM – Diese Option gibt an, dass das IVE die Microsoft NTLM-Vermittlung
zum Steuern des SSO-Verhaltens verwendet.
Use System Credentials for SSO – Das IVE vermittelt die
Anfrage-/Antwortsequenz, speichert die erfassten Anmeldedaten
zwischen und verwendet die Daten dann, um die Einzelanmeldung
(Single Sign-On) basierend auf den zuvor im IVE konfigurierten
Systemanmeldedaten zu aktivieren.
Use Specified Credentials for SSO – Das IVE vermittelt die
Anfrage-/Antwortsequenz, speichert die erfassten Anmeldedaten zwischen
und verwendet die Daten dann, um die SSO (Single Sign-On,
Einzelanmeldung) zu aktivieren. Bei Auswahl dieser Option müssen Sie auch
die folgenden Parameter für Vermittlungsanmeldedaten angeben:
Username – Gibt den SSO-Benutzernamen an, mit dem das IVE
Anmeldedaten überprüft.
352
Definieren von Ressourcenrichtlinien: Single Sign-On (Einzelanmeldung)
Kapitel 13: Neuschreiben von Webinhalt
Variable password – Gibt das SSO-Variablenkennwort an, mit dem das
IVE Anmeldedaten überprüft. Das Variablenkennwort ist der Text
_<PASSWORD>_ und bedeutet, dass das IVE beim Senden von
Anmeldedaten für SSO das Anmeldekennwort des Benutzers als
Authentifizierungsmethode verwendet.
Password – Gibt das statische SSO-Kennwort an, mit dem das IVE
Anmeldedaten überprüft. Sie können beispielsweise ein Kennwort wie
„open_sesame“ angeben, das beim Vermitteln von
Benutzeranmeldedaten vom IVE automatisch an den
Authentifizierungsserver sendet.
Domain – Gibt den Domänennamen an. Verwenden Sie für einen
LDAP-Server die Variable <userDN.DC>. Das IVE füllt diese Variable mit
dem Domänennamen. Wird die Domäne nicht ausgefüllt, sendet das
IVE die von der NTLM-Anforderung zurückgegebene Domäne als Teil
der NTLM-Antwort an den Server.
Disable SSO – Das IVE deaktiviert die automatische SSOAuthentifizierung für diese Benutzerrolle und fordert stattdessen den
Benutzer zur Eingabe der Anmeldedaten auf.
Use Detailed Rules – Hiermit geben Sie eine oder mehrere detaillierte
Regeln für diese Richtlinie an. Weitere Informationen finden Sie unter
„Schreiben einer detaillierten Regel“ auf Seite 93.
9. Klicken Sie auf Save Changes.
10. Ordnen Sie die Richtlinien auf der Seite Basic Auth and NTLM policies in der
Reihenfolge an, in der sie vom IVE ausgewertet werden sollen. Hinweis: Wenn
das IVE die Ressource, die von einem Benutzer angefordert wurde, einer
Ressource in der Liste Resource für eine Richtlinie (oder ausführliche Regel)
zuordnet, führt es die angegebene Aktion aus und beendet die
Richtlinienverarbeitung.
Ein Beispiel für eine Webressourcenrichtlinie finden Sie in den Abbildungen unter
„Definieren von Ressourcenrichtlinien: Übersicht“ auf Seite 347.
Schreiben einer Ressourcenrichtlinie für Remote-SSO-Form-POSTs
Ressourcenrichtlinien für Remote-SSO-Form-POSTs geben Webanwendungen an,
an die das IVE Daten überträgt. Diese Daten können den IVE-Benutzernamen und
das -Benutzerkennwort sowie die Systemdaten enthalten, die in Systemvariablen
gespeichert sind. Weitere Informationen finden Sie unter „Remote-SSO –
Übersicht“ auf Seite 304.
So schreiben Sie eine Ressourcenrichtlinie für Remote-SSO Form POST:
1. Navigieren Sie in der Administratorkonsole zu Users > Resource Policies >
Web.
2. Ist die Administratoransicht noch nicht für das Anzeigen von SSO-Richtlinien
konfiguriert, nehmen Sie folgende Änderungen vor:
a.
Klicken Sie rechts oben auf der Seite auf die Schaltfläche Customize.
Definieren von Ressourcenrichtlinien: Single Sign-On (Einzelanmeldung) 353
Juniper Networks Secure Access – Administratorhandbuch
b.
Aktivieren Sie das Kontrollkästchen SSO.
c.
Aktivieren Sie das Kontrollkästchen Form Post unter dem
Kontrollkästchen SSO.
d. Klicken Sie auf OK.
3. Klicken Sie auf die Registerkarte SSO> Form Post.
4. Klicken Sie auf der Seite Form POST Policies auf New Policy.
5. Geben Sie auf der Seite New Policy einen Namen für diese Richtlinie
(erforderlich) und eine Beschreibung der Richtlinie (optional) ein.
6. Geben Sie im Abschnitt Resources die Anmeldeseite der Anwendung an, wie
z.B. die folgende: http://yourcompany.com. Weitere Informationen finden Sie
unter „Angeben von Ressourcen für eine Ressourcenrichtlinie“ auf Seite 87.
Informationen zum Aktivieren der IP-basierten Zuordnung und der Zuordnung
anhand von Groß- und Kleinschreibung für diese Ressourcen finden Sie unter
„Definieren von Ressourcenrichtlinien: Allgemeine Optionen“ auf Seite 384.
HINWEIS: Wenn das IVE automatisch Werte an eine bestimmte URL senden soll,
wenn ein Endbenutzer auf ein IVE-Lesezeichen klickt, muss die hier eingegebene
Ressource genau mit der auf der Seite Users > User Roles > Rolle > Web >
Bookmarks angegebenen URL der Administratorkonsole übereinstimmen.
7. Geben Sie im Bereich Roles Folgendes an:
Policy applies to ALL roles – Hiermit gilt die Richtlinie für alle Benutzer.
Policy applies to SELECTED roles – Hiermit gilt die Richtlinie nur für
Benutzer, die zu Rollen in der Liste Selected roles zugeordnet sind. Dieser
Liste müssen Rollen aus der Liste Available roles hinzugefügt werden.
Policy applies to all roles OTHER THAN those selected below – Hiermit
gilt die Richtlinie für alle Benutzer außer den Benutzern, die Rollen in der
Liste Selected roles zugeordnet sind. Dieser Liste müssen Rollen aus der
Liste Available roles hinzugefügt werden.
8. Geben Sie im Bereich Action Folgendes an:
354
Perform the POST defined below – Wenn ein Benutzer den Zugriff auf
eine Ressource anfordert, die in der Liste Resources aufgeführt ist, führt
das IVE mit den Benutzerdaten, die im Bereich POST details angegeben
sind, einen Form-POST für die angegebene URL durch.
Do NOT perform the POST defined below – Das IVE führt keinen FormPOST mit den Benutzerdaten durch, die im Bereich POST details
angegeben wurden.
Use Detailed Rules – Hiermit geben Sie eine oder mehrere detaillierte
Regeln für diese Richtlinie an. Weitere Informationen finden Sie unter
„Schreiben einer detaillierten Regel“ auf Seite 93.
Definieren von Ressourcenrichtlinien: Single Sign-On (Einzelanmeldung)
Kapitel 13: Neuschreiben von Webinhalt
9. Geben Sie im Abschnitt POST details Folgendes an:
Geben Sie im Feld POST to URL die absolute URL an, in der die
Anwendung die Anmeldedaten des Benutzers bereitstellt (siehe
http://yourcompany.com/login.cgi): Sie können mithilfe eines TCP-Dump
oder durch Anzeigen der Anmeldeseite der Anwendung und Suchen nach
dem POST -Parameter im Tag FORM die geeignete URL bestimmen. (Das
IVE akzeptiert keine Platzhalterzeichen in diesem Feld.)
Aktivieren Sie das Kontrollkästchen Deny direct login for this resource,
wenn Benutzer nicht direkt auf die URL zugreifen sollen.
Aktivieren Sie das Kontrollkästchen Allow multiple POSTs to this
resource, wenn Sie mit dem IVE POST- und Cookie-Werte ggf. mehrmals an
die Ressource senden möchten. Wird diese Option nicht ausgewählt,
unternimmt das IVE keinen Single Sign-On-Versuch, wenn ein Benutzer
während derselben Sitzung dieselbe Ressource mehr als einmal anfordert.
Geben Sie die zu sendenden Benutzerdaten und die
Änderungsberechtigung für den Benutzer an:
User label – Text, der auf der Seite Preferences des Benutzers im IVE
angezeigt wird. Dieses Feld ist erforderlich, wenn Sie Benutzern
erlauben oder von ihnen fordern, Daten zu ändern, die an Back-EndAnwendungen gesendet werden.
Name – Dieser Name bezeichnet die Daten im Feld Value. (Dieser
Name wird vermutlich von der Back-End-Anwendung erwartet.)
Value – Der Wert, der für den angegebenen Name an das Formular
gesendet wird. Geben Sie statische Daten, eine Systemvariable (unter
„Systemvariablen und Beispiele“ auf Seite 920 finden Sie eine Liste mit
Variablen) oder IVE-Sitzungsvariablen ein, die Werte für den
Benutzernamen und das Kennwort enthalten (weitere Informationen
finden Sie unter „Anmeldedaten für mehrfaches Anmelden –
Übersicht“ auf Seite 205).
User modifiable? – Setzen Sie diese Einstellung auf Not modifiable,
wenn Benutzer keine Informationen im Feld Value ändern können
sollen. Setzen Sie sie auf User CAN change value, wenn Sie es
Benutzern ermöglichen möchten, Daten für eine Back-End-Anwendung
anzugeben. Setzen Sie diese Einstellung auf User MUST change value,
wenn Benutzer zusätzliche Daten eingeben müssen, um auf die BackEnd-Anwendung zugreifen zu können. Wenn Sie eine der letzteren
Einstellungen auswählen, wird auf der Benutzerseite Advanced
Preferences auf dem IVE ein Dateneingabefeld angezeigt. Dieses Feld
wird mit dem im Feld User label eingegebenen Text beschriftet. Wenn
Sie im Feld Value einen Wert angeben, wird dieser im Feld angezeigt,
kann jedoch geändert werden.
10. Klicken Sie auf Save Changes.
Definieren von Ressourcenrichtlinien: Single Sign-On (Einzelanmeldung) 355
Juniper Networks Secure Access – Administratorhandbuch
11. Ordnen Sie die Richtlinien auf der Seite Form POST Policies in der Reihenfolge
an, in der sie vom IVE ausgewertet werden sollen. Hinweis: Wenn das IVE die
Ressource, die von einem Benutzer angefordert wurde, einer Ressource in der
Liste Resource für eine Richtlinie (oder ausführliche Regel) zuordnet, führt es
die angegebene Aktion aus und beendet die Richtlinienverarbeitung.
Ein Beispiel für eine Webressourcenrichtlinie finden Sie in den Abbildungen unter
„Definieren von Ressourcenrichtlinien: Übersicht“ auf Seite 347.
Schreiben einer Ressourcenrichtlinie für Remote-SSO-Header und -Cookies
Ressourcenrichtlinien für Remote-SSO-Headers/-Cookies geben benutzerdefinierte
Webanwendungen an, an die das IVE benutzerdefinierte Header und Cookies
sendet. Weitere Informationen finden Sie unter „Remote-SSO – Übersicht“ auf
Seite 304.
HINWEIS: Beim Erstellen einer Richtlinie für Header/Cookies liest das IVE nicht die
in diesem Abschnitt eingegebenen Header aus bzw. es versteht diese nicht. Wird
z.B. ein Accept-Encoding: gzip- oder Accept-Encoding:deflate-Header hinzugefügt,
bedeutet dies nicht, dass das IVE gzip-Inhalt oder komprimierten Inhalt
verarbeiten kann.
So schreiben Sie eine Ressourcenrichtlinie für SSO-Header/Cookies:
1. Navigieren Sie in der Administratorkonsole zu Users > Resource Policies >
Web.
2. Ist die Administratoransicht noch nicht für das Anzeigen von SSO-Richtlinien
konfiguriert, nehmen Sie folgende Änderungen vor:
a.
Klicken Sie rechts oben auf der Seite auf die Schaltfläche Customize.
b.
Aktivieren Sie das Kontrollkästchen SSO.
c.
Aktivieren Sie das Kontrollkästchen Headers/Cookies unter dem
Kontrollkästchen SSO.
d. Klicken Sie auf OK.
3. Klicken Sie auf die Registerkarte SSO > Headers/Cookies.
4. Klicken Sie auf der Seite Headers/Cookies Policies auf New Policy.
5. Geben Sie auf der Seite New Policy Folgendes ein:
356
a.
Eine Bezeichnung für diese Richtlinie.
b.
Eine Beschreibung der Richtlinie (optional).
Definieren von Ressourcenrichtlinien: Single Sign-On (Einzelanmeldung)
Kapitel 13: Neuschreiben von Webinhalt
6. Geben Sie im Abschnitt Resources die Ressourcen an, für die diese Richtlinie
gelten soll. Weitere Informationen finden Sie unter „Angeben von Ressourcen
für eine Ressourcenrichtlinie“ auf Seite 87. Informationen zum Aktivieren der
IP-basierten Zuordnung und der Zuordnung anhand von Groß- und
Kleinschreibung für diese Ressourcen finden Sie unter „Definieren von
Ressourcenrichtlinien: Allgemeine Optionen“ auf Seite 384.
7. Geben Sie im Bereich Roles Folgendes an:
Policy applies to ALL roles – Hiermit gilt die Richtlinie für alle Benutzer.
Policy applies to SELECTED roles – Hiermit gilt die Richtlinie nur für
Benutzer, die Rollen in der Liste Selected roles zugeordnet sind. Dieser
Liste müssen Rollen aus der Liste Available roles hinzugefügt werden.
Policy applies to all roles OTHER THAN those selected below – Hiermit
gilt die Richtlinie für alle Benutzer außer den Benutzern, die Rollen in der
Liste Selected roles zugeordnet sind. Dieser Liste müssen Rollen aus der
Liste Available roles hinzugefügt werden.
8. Geben Sie im Bereich Action Folgendes an:
Append headers as defined below – Wenn ein Benutzer den Zugriff auf
eine Ressource anfordert, die in der Liste Resources aufgeführt ist, sendet
das IVE die Benutzerdaten, die im Bereich POST details angegeben sind,
an die angegebene URL.
Do NOT append headers as defined below – Wenn ein Benutzer den
Zugriff auf eine Ressource anfordert, die in der Liste Resources aufgeführt
ist, sendet das IVE die Benutzerdaten, die im Bereich POST details
angegeben sind, nicht an die angegebene URL.
Use Detailed Rules – Hiermit geben Sie eine oder mehrere detaillierte
Regeln für diese Richtlinie an. Weitere Informationen finden Sie unter
„Schreiben einer detaillierten Regel“ auf Seite 93.
9. Geben Sie im Bereich Headers and values Folgendes an:
Header name – Text, den das IVE als Headerdaten sendet.
Value – Wert für den angegebenen Header.
HINWEIS: Muss ein Cookie an einen Back-End-Server weitergeleitet werden, legen
Sie im Feld Header Name „Cookie“ und im Feld Value
„CookieName=CookieValue“ fest.
10. Klicken Sie auf Save Changes.
11. Ordnen Sie die Richtlinien auf der Seite Headers/Cookies Policies in der
Reihenfolge an, in der sie vom IVE ausgewertet werden sollen. Hinweis: Wenn
das IVE die Ressource, die von einem Benutzer angefordert wurde, einer
Ressource in der Liste Resource für eine Richtlinie (oder ausführliche Regel)
zuordnet, führt es die angegebene Aktion aus und beendet die
Richtlinienverarbeitung.
Definieren von Ressourcenrichtlinien: Single Sign-On (Einzelanmeldung) 357
Juniper Networks Secure Access – Administratorhandbuch
Ein Beispiel für eine Webressourcenrichtlinie finden Sie in den Abbildungen unter
„Definieren von Ressourcenrichtlinien: Übersicht“ auf Seite 347.
Definieren von Ressourcenrichtlinien: Caching
Mit Ressourcenrichtlinien für Zwischenspeicherung wird festgelegt, welcher
Webinhalt auf dem Computer eines Benutzers zwischengespeichert wird.
Dieser Abschnitt enthält die folgenden Informationen zu
Zwischenspeicherungsrichtlinien:
„Schreiben einer Ressourcenrichtlinie für die Zwischenspeicherung“ auf Seite 358
„Erstellen von OWA- und Lotus Notes-Ressourcenrichtlinien für die
Zwischenspeicherung“ auf Seite 361
„Angeben von allgemeinen Zwischenspeicherungsoptionen“ auf Seite 362
Schreiben einer Ressourcenrichtlinie für die Zwischenspeicherung
So schreiben Sie eine Ressourcenrichtlinie für die Webzwischenspeicherung:
1. Navigieren Sie in der Administratorkonsole zu Users > Resource Policies >
Web.
2. Ist die Administratoransicht noch nicht für das Anzeigen von
Zwischenspeicherungsrichtlinien konfiguriert, nehmen Sie folgende
Änderungen vor:
a.
Klicken Sie rechts oben auf der Seite auf die Schaltfläche Customize.
b.
Aktivieren Sie das Kontrollkästchen Caching.
c.
Aktivieren Sie das Kontrollkästchen Policies unter dem
Kontrollkästchen Caching.
d. Klicken Sie auf OK.
3. Klicken Sie auf die Registerkarte Caching > Policies.
4. Klicken Sie auf der Seite Web Caching Policies auf New Policy.
5. Geben Sie auf der Seite New Policy Folgendes ein:
358
a.
Eine Bezeichnung für diese Richtlinie.
b.
Eine Beschreibung der Richtlinie (optional).
Definieren von Ressourcenrichtlinien: Caching
Kapitel 13: Neuschreiben von Webinhalt
6. Geben Sie im Abschnitt Resources die Ressourcen an, für die diese Richtlinie
gelten soll. Weitere Informationen finden Sie unter „Schreiben einer
detaillierten Regel“ auf Seite 93. Informationen zum Aktivieren der IP-basierten
Zuordnung und der Zuordnung anhand von Groß- und Kleinschreibung für
diese Ressourcen finden Sie unter „Definieren von Ressourcenrichtlinien:
Allgemeine Optionen“ auf Seite 384.
7. Geben Sie im Bereich Roles Folgendes an:
Policy applies to ALL roles – Hiermit gilt die Richtlinie für alle Benutzer.
Policy applies to SELECTED roles – Hiermit gilt die Richtlinie nur für
Benutzer, die Rollen in der Liste Selected roles zugeordnet sind. Dieser
Liste müssen Rollen aus der Liste Available roles hinzugefügt werden.
Policy applies to all roles OTHER THAN those selected below – Hiermit
gilt die Richtlinie für alle Benutzer außer den Benutzern, die Rollen in der
Liste Selected roles zugeordnet sind. Dieser Liste müssen Rollen aus der
Liste Available roles hinzugefügt werden.
8. Wählen Sie im Abschnitt Action eine der folgenden Optionen aus:
Smart Caching (send headers appropriate for content and browser) –
Wählen Sie diese Option aus, um dem IVE das Senden eines cachecontrol:no-store-Headers oder eines cache-control:no-cache-Headers
basierend auf dem Webbrowser- und dem Inhaltstyp zu ermöglichen.
Bei Auswahl dieser Option erhöht das IVE die Zuverlässigkeit von Medienund Zip-Dateien, da die cache-control-Header des Ursprungsservers entfernt
werden. Die folgende Logik sucht z.B. in Benutzeragent-Headern nach
„msie“ oder „windows-media-player“, um cache- oder cache-control:no-storeAntwortheader zu entfernen und eine Zwischenspeicherung von Dateien
zu ermöglichen:
(if content type has "audio/x-pn-realaudio" OR
if content type begins with "video/" OR
if content type begins with "audio/" OR
if content type is "application/octet-stream" and the file extension begins
with "rm" or "ram"
)
Findet das IVE in den Benutzeragent-Headern „msie“ oder „windows-mediaplayer“, sind alle folgenden Dateitypen gültig:
Die Anforderung gilt für Flash-,.xls,.pps, und.ppt-Dateien.
Der Content-Type lautet application/, text/rtf, text/xml, model/
Der Ursprungsserver sendet einen Content-Disposition-Header.
Anschließend sendet das IVE den cache-control:no-store-Header und
entfernt den Cachesteuerungs-Header des Ursprungsservers.
Definieren von Ressourcenrichtlinien: Caching
359
Juniper Networks Secure Access – Administratorhandbuch
In allen anderen Fällen fügt das IVE pragma:no-cache- oder cache-control:nostore-Antwortheader hinzu.
HINWEIS: ICA-Dateien von Citrix und QuickPlace-Dateien werden anders
behandelt. ICA-Dateien von Citrix sind immer zwischenspeicherungsfähig und
erhalten auch den Header Cache-control-private. QuickPlace-Dateien, die keiner
festgelegten Regel (die Vorrang hat) entsprechen, erhalten die Header CCNS und
Cache-control:private.
Wenn Sie diese Option auswählen, die GZIP-Komprimierung aktivieren und mit
Domino Web Access 6.5 über Internet Explorer auf eine angehängte Textdatei
zugreifen, können Sie den Anhang nicht öffnen. Um Textanhänge zu öffnen,
müssen Sie entweder den Internet Explorer-Patch 323308 installieren oder die
Option Don't Cache (send „Cache Control: No Store“) aktivieren.
Don't Cache (send „Cache Control: No Store“) – Wählen Sie diese Option
aus, um Anhänge an Internet Explorer zu senden, ohne sie auf der Festplatte
zu speichern. (Der Browser schreibt die Dateien kurzfristig auf die Festplatte,
entfernt sie aber sofort wieder, sobald die Datei im Browser geöffnet wird.)
Wenn Sie diese Option auswählen, entfernt das IVE die CachesteuerungsHeader des Ursprungsservers und fügt stattdessen einen Antwortheader vom
Typ cache-control:no-store hinzu, falls die vom Browser gesendete UserAgent-Zeichenfolge „msie“ oder „windows-media-player“ enthält.
Diese Option kann jedoch auch zu einer Verlangsamung des Browsers
führen, weil sie zum wiederholten Abrufen von Inhalten führt. Bei sehr
langsamen Verbindungen können Probleme mit der Systemleistung
auftreten. Alternativ können Sie eine Richtlinie angeben, die gestattet, dass
einige Inhalte wie Bilder, die eine bestimmte Größenbeschränkung nicht
überschreiten, zwischengespeichert werden können.
Don't Cache (send „Pragma: No Cache“) – Verhindern Sie mit dieser
Option, dass der Browser des Benutzers Dateien auf dem Datenträger
zwischenspeichert. Bei Auswahl dieser Option fügt das IVE Antwortdateien
den standardmäßigen HTTP-pragma:no-cache-Header und den cachecontrol:no-cache (CCNC)-Header (HTTP 1.1) hinzu. Zudem leitet das IVE
nicht die Zwischenspeicherungsheader des Ursprungsservers weiter, wie
z.B. age, date, etag, last-modified, expires.
HINWEIS: Sind no-cache-Header in verschiedenen Anhangstypen enthalten (PDF,
PPT, Streamingdateien), bearbeitet Internet Explorer die Dokumente nicht
ordnungsgemäß, da der Bearbeitungsprozess ein zeitweiliges Zwischenspeichern
dieser Dateien durch den Browser erfordert.
Unchanged (do not add/modify caching headers) – Das IVE fügt die
pragma:no-cache- oder cache-control:no-store-Antwortheader nicht hinzu
und leitet die Zwischenspeicherungsheader des Ursprungsservers weiter.
Use Detailed Rules – Hiermit geben Sie eine oder mehrere detaillierte
Regeln für diese Richtlinie an. Weitere Informationen finden Sie unter
„Schreiben einer detaillierten Regel“ auf Seite 93.
9. Klicken Sie auf Save Changes.
360
Definieren von Ressourcenrichtlinien: Caching
Kapitel 13: Neuschreiben von Webinhalt
10. Ordnen Sie die Richtlinien auf der Seite Web Caching Policies in der
Reihenfolge an, in der sie vom IVE ausgewertet werden sollen. Hinweis: Wenn
das IVE die Ressource, die von einem Benutzer angefordert wurde, einer
Ressource in der Liste Resource für eine Richtlinie (oder ausführliche Regel)
zuordnet, führt es die angegebene Aktion aus und beendet die
Richtlinienverarbeitung.
Ein Beispiel für eine Webressourcenrichtlinie finden Sie in den Abbildungen unter
„Definieren von Ressourcenrichtlinien: Übersicht“ auf Seite 347.
Erstellen von OWA- und Lotus Notes-Ressourcenrichtlinien für die Zwischenspeicherung
Die folgenden Tabellen enthalten Beispiele für einige der Inhaltstypen, die das IVE
mit den Anwendungen Outlook Web Access (OWA) und Lotus iNotes unterstützt.
Darüber hinaus zeigen sie die Cachesteuerungsdirektiven, die Sie in Microsoft
Internet Explorer implementieren müssen, um das Öffnen und Speichern der
angegebenen Inhaltstypen zu unterstützen.
Aus Leistungsgründen empfehlen wir die Erstellung von
Zwischenspeicherungsrichtlinien für den gesamten Inhalt des iNotes-Verzeichnisses.
Tabelle 25: OWA-Ressourcenrichtlinien für Zwischenspeicherung
Anhangstyp
Öffnen des Anhangs:
Speichern des Anhangs:
zip
Cache
Smart Caching
ppt
Smart Caching
Smart Caching
doc
Smart Caching
Smart Caching
xls
Smart Caching
Smart Caching
pdf
Smart Caching
Smart Caching
txt
Cache
Cache control: No store
html
Smart Caching
Cache control: No store
Tabelle 26: iNotes-Ressourcenrichtlinien für Zwischenspeicherung
Anhangstyp
Öffnen des Anhangs:
Speichern des Anhangs:
zip
Cache control: No store
Cache control: No store
ppt
Cache control: No store
Cache control: No store
doc
Smart Caching
Smart Caching
xls
Cache control: No store
Cache control: No store
pdf
Cache control: No store
Cache control: No store
txt
Cache control: No store
Cache control: No store
html
Cache control: No store
Cache control: No store
andere Dateitypen
Cache control: No store
Cache control: No store
Definieren von Ressourcenrichtlinien: Caching
361
Juniper Networks Secure Access – Administratorhandbuch
Angeben von allgemeinen Zwischenspeicherungsoptionen
Mit den Zwischenspeicherungsoptionen können Sie die maximale Größe einer
Bilddatei angeben, die auf einem Client zwischengespeichert werden kann. Wenn
der „content-type“-Header des Ursprungsservers mit „image/“ beginnt und der
„content-length“-Header eine Größe angibt, die kleiner ist als die für diese Option
konfigurierte maximale Größe, leitet das IVE die Cacheheader des Ursprungsservers
weiter. Andernfalls behandelt das IVE die Anforderung wie bei deaktivierter
Zwischenspeicherung.
So geben Sie Zwischenspeicherungsoptionen an:
1. Navigieren Sie in der Administratorkonsole zu Users > Resource Policies >
Web.
2. Ist die Administratoransicht noch nicht für das Anzeigen von
Zwischenspeicherungsrichtlinien konfiguriert, nehmen Sie folgende
Änderungen vor:
a.
Klicken Sie rechts oben auf der Seite auf die Schaltfläche Customize.
b.
Aktivieren Sie das Kontrollkästchen Caching.
c.
Aktivieren Sie das Kontrollkästchen Options unter dem
Kontrollkästchen Caching.
d. Klicken Sie auf OK.
3. Klicken Sie auf die Registerkarte Caching > Options.
4. Legen Sie auf der Seite Caching Options unter Clients should cache all
images less than field eine maximal zulässige Bildgröße fest.
5. Klicken Sie auf Save Changes.
Definieren von Ressourcenrichtlinien: Externe Java-Applets
Dieser Abschnitt enthält die folgenden Informationen über das Neuschreiben von
Java-Applets auf einem externen Server:
„Schreiben einer Ressourcenrichtlinie für die Java-Zugriffssteuerung“ auf Seite 362
„Schreiben einer Ressourcenrichtlinie für die Java-Codesignatur“ auf Seite 364
HINWEIS: Information über das Hosten von Java-Applets direkt über das IVE
finden Sie unter „Gehostete Java-Applets“ auf Seite 387.
Schreiben einer Ressourcenrichtlinie für die Java-Zugriffssteuerung
Mit Ressourcenrichtlinien für die Java-Zugriffssteuerung wird festgelegt, zu welchen
Servern und Ports Java-Applets eine Verbindung herstellen können.
362
Definieren von Ressourcenrichtlinien: Externe Java-Applets
Kapitel 13: Neuschreiben von Webinhalt
So schreiben Sie eine Ressourcenrichtlinie für die Java-Zugriffssteuerung:
1. Navigieren Sie in der Administratorkonsole zu Users > Resource Policies >
Web.
2. Ist die Administratoransicht noch nicht für das Anzeigen von Java-Richtlinien
konfiguriert, nehmen Sie folgende Änderungen vor:
a.
Klicken Sie rechts oben auf der Seite auf die Schaltfläche Customize.
b.
Aktivieren Sie das Kontrollkästchen Java.
c.
Aktivieren Sie das Kontrollkästchen Access Control unter dem
Kontrollkästchen Java.
d. Klicken Sie auf OK.
3. Klicken Sie auf die Registerkarte Java > Access Control.
4. Klicken Sie auf der Seite Java Access Policies auf New Policy.
5. Geben Sie auf der Seite New Policy Folgendes ein:
a.
Eine Bezeichnung für diese Richtlinie.
b.
Eine Beschreibung der Richtlinie (optional).
6. Geben Sie im Abschnitt Resources die Ressourcen an, für die diese Richtlinie
gelten soll. Weitere Informationen finden Sie unter „Angeben von Ressourcen
für eine Ressourcenrichtlinie“ auf Seite 87. Informationen zum Aktivieren der
IP-basierten Zuordnung und der Zuordnung anhand von Groß- und
Kleinschreibung für diese Ressourcen finden Sie unter „Definieren von
Ressourcenrichtlinien: Allgemeine Optionen“ auf Seite 384.
7. Geben Sie im Bereich Roles Folgendes an:
Policy applies to ALL roles – Hiermit gilt die Richtlinie für alle Benutzer.
Policy applies to SELECTED roles – Hiermit gilt die Richtlinie nur für
Benutzer, die zu Rollen in der Liste Selected roles zugeordnet sind. Dieser
Liste müssen Rollen aus der Liste Available roles hinzugefügt werden.
Policy applies to all roles OTHER THAN those selected below —Hiermit
gilt die Richtlinie für alle Benutzer außer den Benutzern, die Rollen in der
Liste Selected roles zugeordnet sind. Dieser Liste müssen Rollen aus der
Liste Available roles hinzugefügt werden.
8. Geben Sie im Bereich Action Folgendes an:
Allow socket access – Erlaubt, dass Java-Applets eine Verbindung mit den
Servern (und ggf. Ports) in der Liste Resources herstellen.
Deny socket access – Verhindert, dass Java-Applets eine Verbindung mit
den Servern (und ggf. Ports) in der Liste Resources herstellen.
Definieren von Ressourcenrichtlinien: Externe Java-Applets
363
Juniper Networks Secure Access – Administratorhandbuch
Use Detailed Rules – Hiermit geben Sie eine oder mehrere detaillierte
Regeln für diese Richtlinie an. Weitere Informationen finden Sie unter
„Schreiben einer detaillierten Regel“ auf Seite 93.
9. Klicken Sie auf Save Changes.
10. Ordnen Sie die Richtlinien auf der Seite Java Access Policies in der Reihenfolge
an, in der sie vom IVE ausgewertet werden sollen. Hinweis: Wenn das IVE die
Ressource, die von einem Benutzer angefordert wurde, einer Ressource in der
Liste Resource für eine Richtlinie (oder ausführliche Regel) zuordnet, führt es
die angegebene Aktion aus und beendet die Richtlinienverarbeitung.
11. So verbessern Sie die Leistung Ihrer Java-Anwendungen (optional):
a.
Wählen Sie auf der Seite Enable Java instrumentation caching
Maintenance > System > Options der Administratorkonsole aus. Mit
dieser Option kann die Leistung beim Herunterladen von JavaAnwendungen verbessert werden. Weitere Informationen finden Sie unter
„Festlegen der Systemoptionen“ auf Seite 619.
b.
Nehmen Sie nach der Konfiguration des IVE eine Zwischenspeicherung Ihres
Java-Applets vor, und greifen Sie als Endbenutzer darauf zu. Durch diesen
Vorgang wird der beim Zugriff des ersten Endbenutzers auf das Applet im
Modul für Inhaltsvermittlung auftretende Performance-Hit gelöscht.
Ein Beispiel für eine Webressourcenrichtlinie finden Sie in den Abbildungen unter
„Definieren von Ressourcenrichtlinien: Übersicht“ auf Seite 347.
Schreiben einer Ressourcenrichtlinie für die Java-Codesignatur
Ressourcenrichtlinien für Java-Codesignatur geben an, wie das IVE Java-Applets
neu schreibt. Wenn das IVE ein signiertes Java-Applet vermittelt, signiert es das
Applet standardmäßig mit einem eigenen Zertifikat neu, das nicht mit einem
Standardstammzertifikat verkettet ist. Wenn ein Benutzer ein Applet anfordert,
das Aufgaben mit einem hohen Risikopotential durchführt, z.B. Zugreifen auf
Netzwerkserver, wird im Browser des Benutzers in einer Sicherheitswarnung
angezeigt, dass der Stamm nicht vertrauenswürdig ist. Um die Anzeige dieser
Warnung zu vermeiden, können Sie ein Codesignaturzertifikat importieren, mit
dem das IVE zu vermittelnde Applets neu signiert. Weitere Informationen zu
Codesignaturzertifikaten finden Sie unter „Verwenden von
Codesignaturzertifikaten“ auf Seite 672.
Geben Sie beim Konfigurieren der Ressourcenrichtlinien für die Java-Codesignatur
die Server ein, deren Applets Sie als vertrauenswürdig einstufen möchten. Sie
können die IP-Adresse oder den Domänennamen eines Servers eingeben. Das IVE
signiert nur Applets neu, die von vertrauenswürdigen Servern stammen. Wenn ein
Benutzer ein Applet anfordert, das von einem nicht in der Liste aufgeführten Server
stammt, verwendet das IVE nicht die importierten Produktionszertifikate zum
Signieren des Applets. Dies bedeutet, dass dem Benutzer im Browser eine
Sicherheitswarnung angezeigt wird. Für Benutzer der Sun JVM überprüft das IVE
außerdem, ob die Stammzertifizierungsstelle des ursprünglichen Appletzertifikats in
der Liste vertrauenswürdiger Stammzertifizierungsstellen aufgeführt ist.
364
Definieren von Ressourcenrichtlinien: Externe Java-Applets
Kapitel 13: Neuschreiben von Webinhalt
So schreiben Sie eine Ressourcenrichtlinie für die Java-Codesignatur:
1. Navigieren Sie in der Administratorkonsole zu Users > Resource Policies >
Web.
2. Ist die Administratoransicht noch nicht für das Anzeigen von Java-Richtlinien
konfiguriert, nehmen Sie folgende Änderungen vor:
a.
Klicken Sie rechts oben auf der Seite auf die Schaltfläche Customize.
b.
Aktivieren Sie das Kontrollkästchen Java.
c.
Aktivieren Sie das Kontrollkästchen Code-Signing unter dem
Kontrollkästchen Java.
d. Klicken Sie auf OK.
3. Klicken Sie auf die Registerkarte Java > Code-Signing.
4. Klicken Sie auf der Seite Java Signing Policies auf New Policy.
5. Geben Sie auf der Seite New Policy Folgendes ein:
a.
Eine Bezeichnung für diese Richtlinie.
b.
Eine Beschreibung der Richtlinie (optional).
6. Geben Sie im Abschnitt Resources die Ressourcen an, für die diese Richtlinie
gelten soll. Weitere Informationen finden Sie unter „Angeben von Ressourcen
für eine Ressourcenrichtlinie“ auf Seite 87. Informationen zum Aktivieren der
IP-basierten Zuordnung und der Zuordnung anhand von Groß- und
Kleinschreibung für diese Ressourcen finden Sie unter „Definieren von
Ressourcenrichtlinien: Allgemeine Optionen“ auf Seite 384.
7. Geben Sie im Bereich Roles Folgendes an:
Policy applies to ALL roles – Hiermit gilt die Richtlinie für alle Benutzer.
Policy applies to SELECTED roles – Hiermit gilt die Richtlinie nur für
Benutzer, die Rollen in der Liste Selected roles zugeordnet sind. Dieser
Liste müssen Rollen aus der Liste Available roles hinzugefügt werden.
Policy applies to all roles OTHER THAN those selected below – Hiermit
gilt die Richtlinie für alle Benutzer außer den Benutzern, die Rollen in der
Liste Selected roles zugeordnet sind. Dieser Liste müssen Rollen aus der
Liste Available roles hinzugefügt werden.
8. Geben Sie im Bereich Action Folgendes an:
Resign applets using applet certificate – Erlaubt, dass Java-Applets eine
Verbindung mit den Servern (und ggf. Ports) in der Liste Resources herstellen.
Definieren von Ressourcenrichtlinien: Externe Java-Applets
365
Juniper Networks Secure Access – Administratorhandbuch
Resign applets using default certificate – Verhindert, dass Java-Applets eine
Verbindung mit den Servern (und ggf. Ports) in der Liste Resources herstellen.
Use Detailed Rules – Hiermit geben Sie eine oder mehrere detaillierte
Regeln für diese Richtlinie an. Weitere Informationen finden Sie unter
„Schreiben einer detaillierten Regel“ auf Seite 93.
9. Klicken Sie auf Save Changes.
10. Ordnen Sie die Richtlinien auf der Seite Java Signing Policies in der
Reihenfolge an, in der sie vom IVE ausgewertet werden sollen. Hinweis: Wenn
das IVE die Ressource, die von einem Benutzer angefordert wurde, einer
Ressource in der Liste Resource für eine Richtlinie (oder ausführliche Regel)
zuordnet, führt es die angegebene Aktion aus und beendet die
Richtlinienverarbeitung.
Ein Beispiel für eine Webressourcenrichtlinie finden Sie in den Abbildungen unter
„Definieren von Ressourcenrichtlinien: Übersicht“ auf Seite 347.
Definieren von Ressourcenrichtlinien: Neuschreiben
Ressourcenrichtlinien für Neuschreibevorgänge steuern, welche Webdaten das IVE
mit dem Modul für Inhaltsvermittlung neu schreibt bzw. nicht neu schreibt. Dieser
Abschnitt enthält die folgenden Informationen über das Erstellen von
Ressourcenrichtlinien für Neuschreibevorgänge:
„Erstellen einer Ressourcenrichtlinie für selektives Neuschreiben“ auf Seite 366
„Erstellen einer Ressourcenrichtlinie für Durchgangsproxys“ auf Seite 369
„Erstellen einer Ressourcenrichtlinie für benutzerdefinierte Header“ auf Seite 372
„Erstellen einer Ressourcenrichtlinie für ActiveX-Parameter“ auf Seite 373
„Wiederherstellen von standardmäßigen IVE ActiveX-Ressourcenrichtlinien“
auf Seite 375
„Erstellen von Filtern für Neuschreibevorgänge“ auf Seite 377
Erstellen einer Ressourcenrichtlinie für selektives Neuschreiben
Ressourcenrichtlinien für selektives Neuschreiben ermöglichen die Definition einer
Liste von Hosts, für die das IVE Inhalte und Ausnahmen von dieser Liste vermitteln
soll. Standardmäßig vermittelt das IVE alle Benutzeranforderungen für Webhosts,
sofern Sie nicht die Anforderungsverarbeitung für bestimmte Hosts anhand eines
anderen Verfahrens konfiguriert haben, z.B. Secure Application Manager.
Erstellen Sie eine Richtlinie für das selektive Neuschreiben, wenn das IVE den
Datenverkehr von Websites vermitteln soll, die sich außerhalb des
Firmennetzwerks befinden, z.B. yahoo.com, oder wenn das IVE keinen
Datenverkehr für Client-/Serveranwendungen vermitteln soll, die Sie als
Webressourcen bereitgestellt haben, z.B. Microsoft OWA (Outlook Web Access).
366
Definieren von Ressourcenrichtlinien: Neuschreiben
Kapitel 13: Neuschreiben von Webinhalt
So schreiben Sie eine Ressourcenrichtlinie für selektives Neuschreiben:
1. Navigieren Sie in der Administratorkonsole zu Users > Resource Policies >
Web.
2. Ist die Administratoransicht noch nicht für das Anzeigen von
Neuschreiberichtlinien konfiguriert, nehmen Sie folgende Änderungen vor:
a.
Klicken Sie rechts oben auf der Seite auf die Schaltfläche Customize.
b.
Aktivieren Sie das Kontrollkästchen Rewriting.
c.
Aktivieren Sie das Kontrollkästchen Selective Rewriting unter dem
Kontrollkästchen Rewriting.
d. Klicken Sie auf OK.
3. Klicken Sie auf die Registerkarte Rewriting > Selective Rewriting.
4. Klicken Sie auf der Seite Web Rewriting Policies auf New Policy.
5. Geben Sie auf der Seite New Policy Folgendes ein:
a.
Eine Bezeichnung für diese Richtlinie.
b.
Eine Beschreibung der Richtlinie (optional).
6. Geben Sie im Abschnitt Resources die Ressourcen an, für die diese Richtlinie
gelten soll. Weitere Informationen finden Sie unter „Angeben von Ressourcen
für eine Ressourcenrichtlinie“ auf Seite 87. Informationen zum Aktivieren der
IP-basierten Zuordnung und der Zuordnung anhand von Groß- und
Kleinschreibung für diese Ressourcen finden Sie unter „Definieren von
Ressourcenrichtlinien: Allgemeine Optionen“ auf Seite 384.
7. Geben Sie im Bereich Roles Folgendes an:
Policy applies to ALL roles – Hiermit gilt die Richtlinie für alle Benutzer.
Policy applies to SELECTED roles – Hiermit gilt die Richtlinie nur für
Benutzer, die Rollen in der Liste Selected roles zugeordnet sind. Dieser
Liste müssen Rollen aus der Liste Available roles hinzugefügt werden.
Policy applies to all roles OTHER THAN those selected below – Hiermit
gilt die Richtlinie für alle Benutzer außer den Benutzern, die Rollen in der
Liste Selected roles zugeordnet sind. Dieser Liste müssen Rollen aus der
Liste Available roles hinzugefügt werden.
8. Geben Sie im Bereich Action Folgendes an:
Das Rewrite content vermittelt sämtliche Webinhalte der Ressourcen, die
in der Liste Resources angegeben sind.1
1. Neue IVE-Appliances werden mit einer anfänglichen Richtlinie für das Neuschreiben geliefert, die den gesamten
Inhalt für alle Rollen neu schreibt.
Definieren von Ressourcenrichtlinien: Neuschreiben
367
Juniper Networks Secure Access – Administratorhandbuch
Rewrite content as... – Das IVE vermittelt den gesamten Webinhalt von
den in der Liste Resources angegebenen Ressourcen und schreibt den
Inhalt neu, als würde es sich um den in der Dropdownliste angegebenen
Dateityp handeln.1 Folgende Optionen sind verfügbar:
HTML – Schreibt Inhalt als Hypertext Markup Language (HTML) neu.
XML – Schreibt Inhalt als Extensible Markup Language (XML) neu.
Javascript – Schreibt Inhalt als Java-Skriptsprache neu.
VBScript – Schreibt Inhalt als Virtual Basic-Skriptsprache neu.
CSS – Schreibt Inhalt als Cascading Style Sheets neu.
XSLT – Schreibt Inhalt als XML-Style Sheets neu.
Flash – Schreibt Inhalt als Shockwave Flash neu.
DTD – Schreibt Inhalt als Document Type Definitions (DTD) neu.
HTC – Schreibt Inhalt als HTML-Komponente neu.
Don’t rewrite content: Redirect to target Web server – Das IVE vermittelt
keinen Webinhalt von den in der Liste Resources angegebenen Ressourcen
und leitet die Anforderung automatisch an den Zielwebserver um. Die ist
die Standardoption für alle von Ihnen erstellten Ressourcenrichtlinien für
das Neuschreiben. Bei Auswahl dieser Option können Sie festlegen, dass
das IVE die nicht neu geschriebenen Seiten in einem neuen Fenster öffnet.
Verwenden Sie dazu die Optionen unter „Definieren von
Ressourcenrichtlinien: Allgemeine Optionen“ auf Seite 384.
HINWEIS: Aktivieren Sie diese Option nicht, wenn der angegebene Inhalt auf
Ressourcen im Firmennetzwerk zugreifen muss. Wenn Sie beispielsweise angeben,
dass das IVE eine bestimmte Datei nicht neu schreiben soll und diese Datei eine
andere Datei im Netzwerk aufruft, wird dem Benutzer ein Fehler angezeigt.
Don’t rewrite content: Do not redirect to target Web server – Das IVE
ruft den Inhalt vom ursprünglichen Webserver ab, ändert diesen jedoch
nicht. Diese Option ist hilfreich, wenn Benutzer nicht auf den
Ursprungsserver zugreifen können und damit die Umleitung deaktivieren.
(Wenn beispielsweise auf den Webserver über das öffentliche Internet nicht
zugegriffen werden kann, da er sich hinter einer Firewall befindet.)
HINWEIS: Mit der Option Don’t rewrite content: Do not redirect to target Web
server können Benutzer über das IVE Daten von Netzwerkressourcen
herunterladen, dabei jedoch das Rewriter-Modul des IVE umgehen. Es wird
empfohlen, diese Funktion nur beim Neuschreiben signierter Java-Applets und
keiner anderen Inhaltstypen zu verwenden. Verwenden Sie für andere
Inhaltstypen wie HTML und Javascript zum Herunterladen eines Applets über das
IVE die Option Don’t rewrite content: Redirect to target Web server, und
ermöglichen Sie dadurch direkte Verbindungen zu Netzwerkressourcen.
368
Definieren von Ressourcenrichtlinien: Neuschreiben
Kapitel 13: Neuschreiben von Webinhalt
Use Detailed Rules – Hiermit geben Sie eine oder mehrere detaillierte
Regeln für diese Richtlinie an. Weitere Informationen finden Sie unter
„Schreiben einer detaillierten Regel“ auf Seite 93.
9. Klicken Sie auf Save Changes.
10. Ordnen Sie die Richtlinien auf der Seite Web Rewriting Policies in der
Reihenfolge an, in der sie vom IVE ausgewertet werden sollen. Hinweis: Wenn
das IVE die Ressource, die von einem Benutzer angefordert wurde, einer
Ressource in der Liste Resource für eine Richtlinie (oder ausführliche Regel)
zuordnet, führt es die angegebene Aktion aus und beendet die
Richtlinienverarbeitung.
Ein Beispiel für eine Webressourcenrichtlinie finden Sie in den Abbildungen unter
„Definieren von Ressourcenrichtlinien: Übersicht“ auf Seite 347.
Erstellen einer Ressourcenrichtlinie für Durchgangsproxys
Ressourcenrichtlinien für Durchgangsproxys geben Webanwendungen an, für die
das IVE minimale Vermittlung durchführt (wie unter „Durchgangsproxy –
Überblick“ auf Seite 305 erläutert). Zum Erstellen einer Ressourcenrichtlinie für
Durchgangsproxys müssen Sie zwei Angaben machen:
Die Webanwendungen, die über den Durchgangsproxy vermittelt werden.
Die Art der Überwachung von Clientanforderungen an die Anwendungsserver
durch das IVE.
So schreiben Sie eine Ressourcenrichtlinie für Durchgangsproxys:
1. Navigieren Sie in der Administratorkonsole zu Users > Resource Policies >
Web.
2. Ist die Administratoransicht noch nicht für das Anzeigen von
Neuschreiberichtlinien konfiguriert, nehmen Sie folgende Änderungen vor:
a.
Klicken Sie rechts oben auf der Seite auf die Schaltfläche Customize.
b.
Aktivieren Sie das Kontrollkästchen Rewriting.
c.
Aktivieren Sie das Kontrollkästchen Passthrough Proxy unter dem
Kontrollkästchen Rewriting.
d. Klicken Sie auf OK.
3. Klicken Sie auf die Registerkarte Rewriting > Passthrough Proxy.
4. Klicken Sie auf der Seite Passthrough Proxy Policies auf New Application.
5. Geben Sie auf der Seite New Passthrough Application Folgendes ein:
a.
Eine Bezeichnung für diese Richtlinie.
b.
Eine Beschreibung der Richtlinie (optional).
Definieren von Ressourcenrichtlinien: Neuschreiben
369
Juniper Networks Secure Access – Administratorhandbuch
6. Geben Sie im Feld URL den Hostnamen des Anwendungsservers und den Port
für den internen Zugriff auf die Anwendung an. Sie können in dieses Feld
keinen Pfad eingeben.
7. Wählen Sie aus, wie die Durchgangsproxyfunktion aktiviert werden soll:
Use virtual hostname – Wenn Sie diese Option auswählen, müssen Sie
einen Hostnamenalias für den Anwendungsserver angeben. Wenn das IVE
eine Clientanforderung für den Hostnamenalias des Anwendungsservers
empfängt, leitet es die Anforderung an den angegebenen
Anwendungsserverport im Feld URL weiter.
HINWEIS:
Definieren Sie bei Auswahl dieser Option auch den IVE-Namen sowie den
Hostnamen im Abschnitt Network Identity der Registerkarte System >
Network > Internal Port.
Aktivieren Sie zur Sicherstellung einer ordnungsgemäßen Ausführung von
Sharepoint über das IVE in Internet Explorer das Kontrollkästchen
Automatische Cookiebehandlung aufheben unter
Extras/Internetoptionen > Datenschutz > Erweiterte
Datenschutzeinstellungen, falls die folgenden Bedingungen zutreffen:
Wählen Sie bei der Konfiguration des Durchgangsproxys die Option Use
virtual hostname aus.
Der in der Sharepoint-Konfiguration angegebene Hostname unterscheidet
sich von dem über das IVE-Setup konfigurierten Hostnamen (bei
unterschiedlichen Domänen).
Aktivieren Sie permanente Cookies auf der Seite Users > User Roles >
Rolle auswählen > General > Session Options der Administratorkonsole.
Use IVE port – Wenn Sie diese Option auswählen, müssen Sie einen
eindeutigen IVE-Port zwischen 11000-11099 angeben. Das IVE überwacht
auf dem angegebenen IVE-Port die Clientanforderungen an den
Anwendungsserver und leitet diese an den Anwendungsserverport weiter,
der im Feld URL angegeben wurde.
8. Geben Sie im Bereich Action die Methode an, die das IVE zum Vermitteln des
Datenverkehrs verwenden soll:
370
Rewrite XML – Bei Auswahl dieser Option schreibt das IVE im XML-Inhalt
enthaltene URLs neu. Wird diese Option deaktiviert, leitet das IVE den
XML-Inhalt „s is_“ an den Server weiter.
Rewrite external links – Bei Auswahl dieser Option schreibt das IVE alle
URLs neu. Wird diese Option deaktiviert, schreibt das IVE nur die URLs
neu, die einen in der Richtlinie für den Durchgangsproxy festgelegten
Hostnamen beinhalten.
Definieren von Ressourcenrichtlinien: Neuschreiben
Kapitel 13: Neuschreiben von Webinhalt
Block cookies from being sent to the browser – Bei Auswahl dieser
Option blockiert das IVE für den Browser des Clients vorgesehene Cookies.
Das IVE speichert die Cookies lokal und sendet sie auf Anforderung an
Anwendungen.
Host-Header forwarding – Bei Auswahl dieser Option leitet das IVE den
Hostnamen als Teil des Host-Headers statt der eigentlichen Host-ID weiter.
HINWEIS: Die Option Host-Header forwarding ist nur im virtuellen Hostmodus
von Durchgangsproxys gültig.
9. Klicken Sie auf Save Changes.
10. Ordnen Sie die Richtlinien auf der Seite Pass-through Proxy Policies in der
Reihenfolge an, in der sie vom IVE ausgewertet werden sollen. Hinweis: Wenn
das IVE die Anwendung, die von einem Benutzer angefordert wurde, zu einer in
der Liste Resource angegebenen Anwendung für eine Richtlinie (oder
ausführliche Regel) zuordnet, führt es die angegebene Aktion aus und beendet
die Richtlinienverarbeitung.
11. Wählen Sie eine der folgenden Optionen aus:
Use virtual hostname. In diesem Fall müssen Sie folgenden Vorgang
ausführen:
i.
Fügen Sie einen Eintrag für jeden Hostnamenalias eines
Anwendungsservers im externen DNS hinzu, der für das IVE aufgelöst wird.
ii.
Hochladen eines Serverzertifikats mit Platzhaltern in das IVE (empfohlen).
Weitere Informationen zu Platzhalterzertifikaten finden Sie unter
„Zuordnen eines Zertifikats zu einem virtuellen Port“ auf Seite 653.
Use IVE port. Sie müssen auch den Datenverkehr für den IVE-Port öffnen,
den Sie für den Anwendungsserver in der Firmenfirewall angegeben haben.
HINWEIS: Wenn die Anwendung mehrere Ports überwacht, konfigurieren Sie jeden
Anwendungsport als separaten Durchgangsproxyeintrag mit einem separaten IVEPort. Wenn Sie über verschiedene Hostnamen oder IP-Adressen auf den Server
zugreifen möchten, konfigurieren Sie jede dieser Optionen einzeln. In diesem Fall
können Sie denselben IVE-Port verwenden.
Ein Beispiel für eine Webressourcenrichtlinie finden Sie in den Abbildungen unter
„Definieren von Ressourcenrichtlinien: Übersicht“ auf Seite 347.
Definieren von Ressourcenrichtlinien: Neuschreiben
371
Juniper Networks Secure Access – Administratorhandbuch
Erstellen einer Ressourcenrichtlinie für benutzerdefinierte Header
Standardmäßig sendet das Rewriter-Modul des IVE nur ausgewählte benutzerdefinierte
Header an Browser (Clients) und Back-End-Server. Ressourcenrichtlinien für
benutzerdefinierte Header können jedoch verwendet werden, um benutzerdefinierte
Header für bestimmte Ressourcen zuzulassen oder abzulehnen.
HINWEIS: Benutzerdefinierte Ressourcenrichtlinien steuern keine
standardmäßigen HTTP-Header wie „Content-Type“.
So schreiben Sie eine Ressourcenrichtlinie für einen benutzerdefinierten Header:
1. Navigieren Sie in der Administratorkonsole zu Users > Resource Policies >
Web.
2. Ist die Administratoransicht noch nicht für das Anzeigen von
Neuschreiberichtlinien konfiguriert, nehmen Sie folgende Änderungen vor:
a.
Klicken Sie rechts oben auf der Seite auf die Schaltfläche Customize.
b.
Aktivieren Sie das Kontrollkästchen Rewriting.
c.
Aktivieren Sie das Kontrollkästchen Custom Headers unter dem
Kontrollkästchen Rewriting.
d. Klicken Sie auf OK.
3. Klicken Sie auf die Registerkarte Rewriting > Custom Headers.
4. Klicken Sie auf der Seite Custom Header Policies auf New Policy.
5. Geben Sie auf der Seite New Policy Folgendes ein:
a.
Eine Bezeichnung für diese Richtlinie.
b.
Eine Beschreibung der Richtlinie (optional).
6. Geben Sie im Abschnitt Resources die Ressourcen an, für die diese Richtlinie
gelten soll. Weitere Informationen finden Sie unter „Angeben von Ressourcen
für eine Ressourcenrichtlinie“ auf Seite 87. Informationen zum Aktivieren der
IP-basierten Zuordnung und der Zuordnung anhand von Groß- und
Kleinschreibung für diese Ressourcen finden Sie unter „Definieren von
Ressourcenrichtlinien: Allgemeine Optionen“ auf Seite 384.
7. Geben Sie im Bereich Roles Folgendes an:
372
Policy applies to ALL roles – Hiermit gilt die Richtlinie für alle Benutzer.
Policy applies to SELECTED roles – Hiermit gilt die Richtlinie nur für
Benutzer, die Rollen in der Liste Selected roles zugeordnet sind. Dieser
Liste müssen Rollen aus der Liste Available roles hinzugefügt werden.
Definieren von Ressourcenrichtlinien: Neuschreiben
Kapitel 13: Neuschreiben von Webinhalt
Policy applies to all roles OTHER THAN those selected below – Hiermit
gilt die Richtlinie für alle Benutzer außer den Benutzern, die Rollen in der
Liste Selected roles zugeordnet sind. Dieser Liste müssen Rollen aus der
Liste Available roles hinzugefügt werden.
8. Geben Sie im Bereich Action Folgendes an:
Allow Custom Headers – Wählen Sie diese Option aus, um das IVE daran zu
hindern, die Header für Browser (Clients) und Back-End-Server zu blockieren.
Deny Custom Headers – Wählen Sie diese Option aus, um das
standardmäßige Verhalten des benutzerdefinierten Headers im IVE zu
verwenden. Bei Auswahl dieser Option blockiert das IVE für mehr
Sicherheit benutzerdefinierte Header.
Use Detailed Rules – Hiermit geben Sie eine oder mehrere detaillierte
Regeln für diese Richtlinie an. Weitere Informationen finden Sie unter
„Schreiben einer detaillierten Regel“ auf Seite 93.
9. Klicken Sie auf Save Changes.
10. Ordnen Sie die Richtlinien auf der Seite Web Rewriting Policies in der
Reihenfolge an, in der sie vom IVE ausgewertet werden sollen. Hinweis: Wenn
das IVE die Ressource, die von einem Benutzer angefordert wurde, einer
Ressource in der Liste Resource für eine Richtlinie (oder ausführliche Regel)
zuordnet, führt es die angegebene Aktion aus und beendet die
Richtlinienverarbeitung.
Ein Beispiel für eine Webressourcenrichtlinie finden Sie in den Abbildungen unter
„Definieren von Ressourcenrichtlinien: Übersicht“ auf Seite 347.
Erstellen einer Ressourcenrichtlinie für ActiveX-Parameter
Wenn das IVE eine Webseite neu schreibt, werden dabei die in der Seite
eingebetteten ActiveX-Steuerelemente nicht neu geschrieben. Mit
Ressourcenrichtlinien können Sie jedoch festlegen, dass das IVE die URL- und
Hostnamenparameter neu schreibt, die von der Webseite an die ActiveXSteuerelemente weitergeleitet werden. Sie benötigen folgende Informationen, um
diese Ressourcenrichtlinien zu konfigurieren:
Class ID – Ein ActiveX-Steuerelement wird auf Webseiten in der Regel mithilfe
einer Klassen-ID eingebettet. Eine Klassen-ID ist eine eindeutige konstante
Zeichenfolge, die das ActiveX-Steuerelement eindeutig identifiziert.
Mit Internet Explorer 6 können Sie feststellen, welche Klassen-ID für ein
ActiveX-Objekt verwendet wird: Wählen Sie Tools > Internet Options aus,
klicken Sie auf Settings und anschließend auf View Objects. Wählen Sie das
ActiveX-Objekt aus, klicken Sie mit der rechten Maustaste, und wählen Sie
Properties aus. Die ID des ActiveX-Objekts wird hervorgehoben.
Definieren von Ressourcenrichtlinien: Neuschreiben
373
Juniper Networks Secure Access – Administratorhandbuch
Language – Für Webseiten muss statischer oder dynamischer HTML-Code
verwendet werden (d. h. Javascript), um ein Active X-Steuerelement
einzubetten. Bei Verwendung von statischem HTML-Code kann das IVE die
angegebenen ActiveX-Parameter auf dem IVE bei gleichzeitiger Vermittlung von
Datenverkehr selbst neu schreiben, da alle erforderlichen Informationen
zwischen dem Browser des Benutzers und dem Webserver der Anwendung
geleitet werden. Wird auf einer Webseite jedoch dynamischer HTML-Code zum
Einbetten eines ActiveX-Steuerelements verwendet, fordert die Seite hfig
Informationen vom Client an und generiert dann den HTML-Code, um das
ActiveX-Steuerelement einzubetten. Deshalb muss das IVE im Browser des
Benutzers Skripts ausführen, um die erforderlichen Informationen für das
Neuschreiben der angegebenen ActiveX-Parameter zu erhalten.
Parameter type – Wenn Sie das IVE für das Neuschreiben eines Parameters
konfigurieren, geben Sie an, ob der Parameter eine URL oder ein Hostname ist.
Das IVE unterstützt keine anderen Parametertypen.
Parameter name – Geben Sie den Namen des Parameters an, der vom IVE neu
geschrieben werden soll. Sie finden die Parameter durch Suchen nach dem
param-Tag in einem Objekt-Tag. Sie können z.B. einen auf einer Seite
eingebetteten Flash-Film mit folgendem Code finden:
<object classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000" > <param
name="movie" value="mymovie.swf" />
<param name="quality" value="high" />
</object>
Geben Sie beim Konfigurieren der entsprechenden Ressourcenrichtlinie ins
Feld Parameter name movie ein, da movie auf die URL verweist, die neu
geschrieben werden muss. Seiten enthalten hfig mehrere param-Tags, jedoch
müssen nicht alle neu geschrieben werden. In diesem Beispiel muss der
Parameter quality nicht neu geschrieben werden.
So schreiben Sie eine Ressourcenrichtlinie zum Neuschreiben von ActiveX-Parametern:
1. Navigieren Sie in der Administratorkonsole zu Users > Resource Policies >
Web.
2. Ist die Administratoransicht noch nicht für das Anzeigen von
Neuschreiberichtlinien konfiguriert, nehmen Sie folgende Änderungen vor:
a.
Klicken Sie rechts oben auf der Seite auf die Schaltfläche Customize.
b.
Aktivieren Sie das Kontrollkästchen Rewriting.
c.
Aktivieren Sie das Kontrollkästchen ActiveX Parameter Rewriting unter
dem Kontrollkästchen Rewriting.
d. Klicken Sie auf OK.
3. Klicken Sie auf die Registerkarte Rewriting > ActiveX Parameter Rewriting.
4. Klicken Sie auf der Seite ActiveX Parameter Rewriting Policies auf New Policy.
374
Definieren von Ressourcenrichtlinien: Neuschreiben
Kapitel 13: Neuschreiben von Webinhalt
5. Geben Sie auf der Seite New Policy Folgendes ein:
a.
Die Klassen-ID des ActiveX-Steuerelements, das mit der Richtlinie gesteuert
werden soll.
b.
Eine Beschreibung der Richtlinie (optional).
6. Geben Sie im Abschnitt Parameters die ActiveX-Parameter an, die Sie mit der
Richtlinie und den entsprechenden Aktionen steuern möchten. Mögliche
Aktionen sind:
Rewrite URL and response (Static HTML only) – Das IVE schreibt den
angegebenen URL-Parameter auf dem IVE um. Das IVE schreibt auch die
Antworten vom Webserver neu, der die URL anfordert. Wählen Sie diese
Option, wenn die Webseite das ActiveX-Steuerelement nur mit statischem
HTML einbettet.
Rewrite URL and response (Static and dynamic HTML) – Das IVE schreibt
die angegebene URL auf dem IVE und dem Client um. Das IVE schreibt
auch die Antworten vom Webserver neu, der die URL anfordert. Wählen
Sie diese Option, wenn die Webseite das ActiveX-Steuerelement mittels
dynamischem HTML einbettet.
Rewrite URL (Static HTML only) – Das IVE schreibt den angegebenen
URL-Parameter auf dem IVE um. Wählen Sie diese Option, wenn die
Webseite das ActiveX-Steuerelement nur mit statischem HTML einbettet.
Rewrite URL (Static and dynamic HTML) – Das IVE schreibt die
angegebene URL auf dem IVE und dem Client um. Wählen Sie diese
Option, wenn die Webseite das ActiveX-Steuerelement mittels
dynamischem HTML einbettet.
Rewrite hostname (Static HTML only) – Das IVE schreibt den
angegebenen Hostnamen-Parameter auf dem IVE um. Wählen Sie diese
Option, wenn die Webseite das ActiveX-Steuerelement nur mit statischem
HTML einbettet.
Rewrite hostname (Static and dynamic HTML) – Das IVE schreibt den
angegebenen Hostnamen auf dem IVE und dem Client um. Wählen Sie
diese Option, wenn die Webseite das ActiveX-Steuerelement mittels
dynamischem HTML einbettet.
Do not rewrite – Das IVE schreibt keine Parameter der ActiveXKomponente um.
7. Klicken Sie auf Save Changes.
Ein Beispiel für eine Webressourcenrichtlinie finden Sie in den Abbildungen unter
„Definieren von Ressourcenrichtlinien: Übersicht“ auf Seite 347.
Wiederherstellen von standardmäßigen IVE ActiveX-Ressourcenrichtlinien
Das IVE beinhaltet mehrere vordefinierte Ressourcenrichtlinien zum Neuschreiben
der Parameter häufig verwendeter ActiveX-Objekte. Wenn Sie gelöschte Richtlinien
wiederherstellen möchten, verwenden Sie hierzu die folgende Tabelle.
Definieren von Ressourcenrichtlinien: Neuschreiben
375
Juniper Networks Secure Access – Administratorhandbuch
Tabelle 27: Vordefinierte Ressourcenrichtlinien
Beschreibung
Klassen-ID
Parameter
Aktion
Citrix NFuse
xginen_EmbeddedApp object
238f6f83-b8b4-11cf-877100a024541ee3
ICAFile
Rewrite URL and response
(Static HTML only)
OrgPlus OrgViewer
DCB98BE9-88EE-4AD0-9790- URL
2B169E8D5BBB
Rewrite URL and response
(Static HTML only)
Quickplace
05D96F71-87C6-11D3-9BE400902742D6E0
GeneralURL
Rewrite URL and response
(Static and dynamic HTML)
General_ServerName
Rewrite host name (Static and
dynamic HTML)
FullURL
Rewrite URL and response
(Static and dynamic HTML)
iNotes Discussion
5BDBA960-6534-11D3-97C700500422B550
B20D9D6A-0DEC-4d76-9BEF- B20D9D6A-0DEC-4d76-9BEF- ServerURL
175896006B4A
175896006B4A
Error URL
Rewrite URL and response
(Static HTML only)
Rewrite URL and response
(Static HTML only)
Citrix NFuse Elite
2E687AA8-B276-4910-BBFB4E412F685379
ServerURL
Rewrite URL and response
(Static HTML only)
WebPhotos LEAD
00120000-B1BA-11CE-ABC6F5B2E79D9E3F
BitmapDataPath
Rewrite URL and response
(Static and dynamic HTML)
Shockwave Flash
D27CDB6E-AE6D-11cf-96B8444553540000
Src
Rewrite URL and response
(Static and dynamic HTML)
Movie
Rewrite URL and response
(Static and dynamic HTML)
iNotes Blue
376
3BFFE033-BF43-11d5-A27100A024A51325
General_URL
Rewrite URL and response
(Static and dynamic HTML)
General_ServerName
Rewrite host name (Static and
dynamic HTML)
Tabular Data Control
333C7BC4-460F-11D0-BC040080C7055A83
DataURL
Rewrite URL (Static HTML
only)
Windows Media Player
6BF52A52-394A-11D3-B15300C04F79FAA6
URL
Rewrite URL and response
(Static HTML only)
FlowPartPlace
4A266B8B-2BB9-47db-9B0E6226AF6E46FC
URL
Rewrite URL and response
(Static HTML only)
HTML Help
adb880a6-d8ff-11cf-937700aa003b7a11
Item1
Rewrite URL and response
(Static and dynamic HTML)
MS Media Player
22d6f312-b0f6-11d0-94ab0080c74c7e95
FileName
Rewrite URL and response
(Static HTML only)
CSV-Dateihandler
333c7bc4-460f-11d0-bc040080c7055a83
DataURL
Rewrite URL and response
(Static HTML only)
Spezielles ActiveXSteuerelement für Microsoft
OWA
D801B381-B81D-47a7-8EC4EFC111666AC0
mailboxUrl
Rewrite URL and response
(Static HTML only)
FlowPartPlace1
639325C9-76C7-4d6c-9B4A523BAA5B30A8
Url
Rewrite URL and response
(Static HTML only)
scriptx-Drucksteuerelement
5445be81-b796-11d2-b931002018654e2e
Path
Rewrite URL and response
(Static HTML only)
Definieren von Ressourcenrichtlinien: Neuschreiben
Kapitel 13: Neuschreiben von Webinhalt
Tabelle 27: Vordefinierte Ressourcenrichtlinien (Fortsetzung)
Beschreibung
Klassen-ID
Parameter
Aktion
94F40343-2CFD-42A1-A7744E7E48217AD4
94F40343-2CFD-42A1-A7744E7E48217AD4
HomeViewURL
Rewrite URL and response
(Static HTML only)
Microsoft License Manager
5220cb21-c88d-11cf-b34700aa00a28331
LPKPath
Rewrite URL and response
(Static HTML only)
Domino 7 beta 2
UploadControl
E008A543-CEFB-4559-912FC27C2B89F13B
General_URL
Rewrite URL and response
(Static and dynamic HTML)
General_ServerName
Rewrite host name (Static and
dynamic HTML)
General_URL
Rewrite URL and response
(Static and dynamic HTML)
General_ServerName
Rewrite host name (Static and
dynamic HTML)
iNotes
1E2941E3-8E63-11D4-9D5A00902742D6E0
ActiveCGM
F5D98C43-DB16-11CF-8ECA0000C0FD59C7
FileName
Rewrite URL and response
(Static HTML only)
00130000-B1BA-11CE-ABC6F5B2E79D9E3F
00130000-B1BA-11CE-ABC6F5B2E79D9E3F
BitmapDataPath
Rewrite URL and response
(Static and dynamic HTML)
Erstellen von Filtern für Neuschreibevorgänge
Verwenden Sie die Registerkarte Rewriting Filters nur, wenn Sie vom Juniper
Networks-Supportteam dazu aufgefordert werden.
Definieren von Ressourcenrichtlinien: Webkomprimierung
Dieser Abschnitt enthält die folgenden Informationen über das Definieren von
Ressourcenrichtlinien für Komprimierung:
„Schreiben einer Ressourcenrichtlinie für Webkomprimierung“ auf Seite 377
„Definieren einer Ressourcenrichtlinie für eine OWA-Komprimierung“ auf Seite 378
Schreiben einer Ressourcenrichtlinie für Webkomprimierung
Das IVE ist mit einer Webkomprimierungsrichtlinie (*:*/*) zur Komprimierung
aller entsprechenden Webdaten vorkonfiguriert. Aktivieren Sie diese Richtlinie über
die Seiten Users > Resource Policies > Web > Compression der
Administratorkonsole.
So schreiben Sie eine Ressourcenrichtlinie für die Webkomprimierung:
1. Navigieren Sie in der Administratorkonsole zu Users > Resource Policies >
Web.
2. Ist die Administratoransicht noch nicht für das Anzeigen von
Komprimierungsrichtlinien konfiguriert, nehmen Sie folgende Änderungen vor:
a.
Klicken Sie rechts oben auf der Seite auf die Schaltfläche Customize.
b.
Aktivieren Sie das Kontrollkästchen Compression.
Definieren von Ressourcenrichtlinien: Webkomprimierung
377
Juniper Networks Secure Access – Administratorhandbuch
c.
Klicken Sie auf OK.
3. Klicken Sie auf die Registerkarte Compression.
4. Klicken Sie auf der Seite Web Compression Policies auf New Policy.
5. Geben Sie auf der Seite New Policy Folgendes ein:
a.
Eine Bezeichnung für diese Richtlinie.
b.
Eine Beschreibung der Richtlinie (optional).
6. Geben Sie im Abschnitt Resources die URLs an, für die diese Richtlinie gelten
soll. Weitere Informationen finden Sie unter „Angeben von Ressourcen für eine
Ressourcenrichtlinie“ auf Seite 87. Informationen zum Aktivieren der IPbasierten Zuordnung und der Zuordnung anhand von Groß- und
Kleinschreibung für diese Ressourcen finden Sie unter „Definieren von
Ressourcenrichtlinien: Allgemeine Optionen“ auf Seite 384.
7. Geben Sie im Bereich Roles Folgendes an:
Policy applies to ALL roles – Hiermit gilt die Richtlinie für alle Benutzer.
Policy applies to SELECTED roles – Hiermit gilt die Richtlinie nur für
Benutzer, die zu Rollen in der Liste Selected roles zugeordnet sind. Dieser
Liste müssen Rollen aus der Liste Available roles hinzugefügt werden.
Policy applies to all roles OTHER THAN those selected below – Hiermit
gilt die Richtlinie für alle Benutzer außer den Benutzern, die Rollen in der
Liste Selected roles zugeordnet sind. Dieser Liste müssen Rollen aus der
Liste Available roles hinzugefügt werden.
8. Geben Sie im Bereich Action Folgendes an:
Compress – Das IVE komprimiert die unterstützten Inhaltstypen der
angegebenen Ressource.
Do not compress – Das IVE komprimiert die unterstützten Inhaltstypen
der angegebenen Ressource nicht.
Use Detailed Rules – Hiermit geben Sie eine oder mehrere detaillierte
Regeln für diese Richtlinie an. Weitere Informationen finden Sie unter
„Schreiben einer detaillierten Regel“ auf Seite 93.
9. Klicken Sie auf Save Changes.
Definieren einer Ressourcenrichtlinie für eine OWA-Komprimierung
Aufgrund von Cacheproblemen mit OWA wird das IVE mit den folgenden
Ressourcenrichtlinien geliefert, die festlegen, dass das IVE keine über OWA
gerouteten Javascript- oder CSS-Dateien komprimiert:
1. Do Not Compress *:*/exchWeb/controls/*.css (alle Rollen)
2. Do Not Compress *:*/exchWeb/controls/*.js (alle Rollen)
378
Definieren von Ressourcenrichtlinien: Webkomprimierung
Kapitel 13: Neuschreiben von Webinhalt
3. Do Not Compress *:*/exchWeb/*/controls/*.css (alle Rollen)
4. Do Not Compress *:*/exchWeb/*/controls/*.js (alle Rollen)
Die letzten zwei Richtlinien enthalten für die verschiedenen OWA-Versionen einen
Platzhalter (*) im Pfad.
Juniper Networks empfiehlt die Komprimierungsressourcenrichtlinien für OWA nur
zu ändern, wenn dies unbedingt notwendig ist.
Definieren von Ressourcenrichtlinien: Webproxy
Ressourcenrichtlinien für Webproxys geben Webproxyserver an, für die das Inhalt
vermitteln soll. Das IVE vermittelt Proxys in beiden Richtungen, es ermöglicht Single
Sign-Ons (Einzelanmeldungen) an einem Proxy jedoch nur, wenn Sie den Proxy mit
diesen Registerkarten konfigurieren und somit als vertrauenswürdig kennzeichnen.
Weitere Informationen finden Sie unter „Einzelanmeldung“ auf Seite 203.
Dieser Abschnitt enthält die folgenden Informationen über Ressourcenrichtlinien
für Webproxys:
„Schreiben einer Ressourcenrichtlinie für Webproxys“ auf Seite 379
„Angeben von Webproxyservern“ auf Seite 380
Schreiben einer Ressourcenrichtlinie für Webproxys
So schreiben Sie eine Ressourcenrichtlinie für Webproxys:
1. Navigieren Sie in der Administratorkonsole zu Users > Resource Policies >
Web.
2. Ist die Administratoransicht noch nicht für das Anzeigen von
Webproxyrichtlinien konfiguriert, nehmen Sie folgende Änderungen vor:
a.
Klicken Sie rechts oben auf der Seite auf die Schaltfläche Customize.
b.
Aktivieren Sie das Kontrollkästchen Web Proxy.
c.
Aktivieren Sie das Kontrollkästchen Policies unter dem Kontrollkästchen
Web Proxy.
d. Klicken Sie auf OK.
3. Klicken Sie auf die Registerkarte Web Proxy > Policies.
4. Klicken Sie auf der Seite Web Proxy Policies auf New Policy.
5. Geben Sie auf der Seite New Policy Folgendes ein:
a.
Eine Bezeichnung für diese Richtlinie.
b.
Eine Beschreibung der Richtlinie (optional).
Definieren von Ressourcenrichtlinien: Webproxy
379
Juniper Networks Secure Access – Administratorhandbuch
6. Geben Sie im Abschnitt Resources die Ressourcen an, für die diese Richtlinie
gelten soll. Weitere Informationen finden Sie unter „Angeben von Ressourcen
für eine Ressourcenrichtlinie“ auf Seite 87. Informationen zum Aktivieren der
IP-basierten Zuordnung und der Zuordnung anhand von Groß- und
Kleinschreibung für diese Ressourcen finden Sie unter „Definieren von
Ressourcenrichtlinien: Allgemeine Optionen“ auf Seite 384.
7. Geben Sie im Bereich Roles Folgendes an:
Policy applies to ALL roles – Hiermit gilt die Richtlinie für alle Benutzer.
Policy applies to SELECTED roles – Hiermit gilt die Richtlinie nur für
Benutzer, die Rollen in der Liste Selected roles zugeordnet sind. Dieser
Liste müssen Rollen aus der Liste Available roles hinzugefügt werden.
Policy applies to all roles OTHER THAN those selected below – Hiermit
gilt die Richtlinie für alle Benutzer außer den Benutzern, die Rollen in der
Liste Selected roles zugeordnet sind. Dieser Liste müssen Rollen aus der
Liste Available roles hinzugefügt werden.
8. Geben Sie im Bereich Action Folgendes an:
Access Web resources directly – Das IVE vermittelt die Anforderung des
Benutzers an einen Back-End-Server und die Antwort des Servers an den
Benutzer. Dies gilt für Anforderungen an eine Ressource, die in der Liste
Resources angegeben ist.
Access Web resources through a Web proxy – Geben Sie in der
Dropdownliste, die auf der Registerkarte Users > Resource Policies >
Web > Web Proxy > Servers definiert wurde, einen Webproxyserver an.
Informationen zum Definieren von Webproxyservern finden Sie unter
„Definieren von Ressourcenrichtlinien: Webproxy“ auf Seite 379.
Use Detailed Rules – Hiermit geben Sie eine oder mehrere detaillierte
Regeln für diese Richtlinie an. Weitere Informationen finden Sie unter
„Schreiben einer detaillierten Regel“ auf Seite 93.
9. Klicken Sie auf Save Changes.
10. Ordnen Sie die Richtlinien auf der Seite Web Proxy Policies in der Reihenfolge
an, in der sie vom IVE ausgewertet werden sollen. Hinweis: Wenn das IVE die
Ressource, die von einem Benutzer angefordert wurde, einer Ressource in der
Liste Resource für eine Richtlinie (oder ausführliche Regel) zuordnet, führt es
die angegebene Aktion aus und beendet die Richtlinienverarbeitung.
Ein Beispiel für eine Webressourcenrichtlinie finden Sie in den Abbildungen unter
„Definieren von Ressourcenrichtlinien: Übersicht“ auf Seite 347.
Angeben von Webproxyservern
Sie können alle vom IVE durchgeführten Webanforderungen an einen Webproxy
leiten, statt mit dem IVE direkt eine Verbindung mit den Webservern herzustellen.
Diese Funktion bietet sich an, wenn Ihre Richtlinien für die Netzwerksicherheit
diese Konfiguration erfordern oder wenn Sie zur Leistungssteigerung einen
Webproxy mit Zwischenspeicherung verwenden möchten.
380
Definieren von Ressourcenrichtlinien: Webproxy
Kapitel 13: Neuschreiben von Webinhalt
So geben Sie Ressourcenrichtlinien für Webproxys an:
1. Navigieren Sie in der Administratorkonsole zu Users > Resource Policies >
Web.
2. Ist die Administratoransicht noch nicht für das Anzeigen von
Webproxyrichtlinien konfiguriert, nehmen Sie folgende Änderungen vor:
a.
Klicken Sie rechts oben auf der Seite auf die Schaltfläche Customize.
b.
Aktivieren Sie das Kontrollkästchen Web Proxy.
c.
Aktivieren Sie das Kontrollkästchen Servers unter dem Kontrollkästchen
Web Proxy.
d. Klicken Sie auf OK.
3. Klicken Sie auf die Registerkarte Web Proxy > Servers.
4. Geben Sie unter Web Proxy Servers den Namen oder die IP-Adresse des
Webproxyservers sowie die Portnummer ein, an der der Proxyserver Daten
abfragt, und klicken Sie dann auf Add.
5. Wiederholen Sie diesen Schritt, um weitere Webproxyserver anzugeben.
Definieren von Ressourcenrichtlinien: Webproxy
381
Juniper Networks Secure Access – Administratorhandbuch
Definieren von Ressourcenrichtlinien: HTTP 1.1-Protokoll
Ressourcenrichtlinien für Protokolle aktivieren oder deaktivieren die HTTP-1.1Protokollunterstützung zwischen dem IVE und Back-End-Servern. Das IVE
unterstützt segmentierte Transferencodierung, gzip und komprimierte
Inhaltsencodierung, Verbindungsstabilität und Zwischenspeicherungsheader wie
„If-Modified-Since“, „If-None-Match“, „If-Unmodified-Since“ und „If-Match“. Das IVE
unterstützt bei Auswahl der Option Don’t rewrite content: Do not redirect to
target web server für selektives Neuschreiben Bereichsanforderungen mit
unvollständigem Inhalt.
HINWEIS:
Eine detaillierte Beschreibung des HTTP 1.1-Protokolls erhalten Sie unter
Hyptertext Transfer Protocol – HTTP 1.1-Spezifikation im erweiterten W3CProtokolldateiformat (World Wide Web Consortium).
Das IVE kommuniziert über HTTP 1.1 nur dann mit Netzwerkservern, wenn
auch der Client mithilfe von HTTP 1.1 kommuniziert. Verwendet der Client
HTTP 1.0, kommuniziert das IVE mit Back-End-Servern mithilfe von
HTTP 1.0. Dabei spielt es keine Rolle, ob 1.1 aktiviert ist oder nicht.
Möchten Sie HTTP 1.1 für eine bestimmte Ressource verwenden, aktivieren
Sie HTTP 1.1 für diese Richtlinie, und überprüfen Sie, ob die neue Richtlinie
über der Standardeinstellung in der Liste der konfigurierten Richtlinien
erscheint. Fügen Sie die HTTP 1.1-Richtlinie oben auf der Richtlinienliste
hinzu, da das Modul für die Richtlinienbewertung Richtlinien von oben nach
unten bewertet und beim Feststellen einer Übereinstimmung den
Bewertungsvorgang anhält. Weitere Informationen finden Sie unter
„Auswerten von Ressourcenrichtlinien“ auf Seite 90.
Das IVE wird mit einer standardmäßigen Richtlinie geliefert, die HTTP 1.1 für
alle Ressourcen deaktiviert. Möchten Sie HTTP 1.1 für alle Ressourcen
verwenden, muss zum Aktivieren von HTTP 1.1 entweder die Richtlinie
„*:*/*“ neu definiert oder die Standardrichtlinie muss gelöscht werden. Wird
diese Standardrichtlinie gelöscht (und alle anderen Richtlinien, die HTTP 1.1
deaktivieren), verwendet das IVE für alle Ressourcen HTTP 1.1.
So schreiben Sie eine Ressourcenrichtlinie für ein HTTP 1.1-Protokoll:
1. Navigieren Sie in der Administratorkonsole zu Users > Resource Policies >
Web.
2. Ist die Administratoransicht noch nicht für das Anzeigen von
Protokollrichtlinien konfiguriert, nehmen Sie folgende Änderungen vor:
382
a.
Klicken Sie rechts oben auf der Seite auf die Schaltfläche Customize.
b.
Aktivieren Sie das Kontrollkästchen Protocol.
c.
Klicken Sie auf OK.
Definieren von Ressourcenrichtlinien: HTTP 1.1-Protokoll
Kapitel 13: Neuschreiben von Webinhalt
3. Klicken Sie auf die Registerkarte Protocol.
4. Klicken Sie auf der Seite Web Protocol Policies auf New Policy.
5. Geben Sie auf der Seite New Policy Folgendes ein:
a.
Eine Bezeichnung für diese Richtlinie.
b.
Eine Beschreibung der Richtlinie (optional).
6. Geben Sie im Abschnitt Resources die URLs an, für die diese Richtlinie gelten
soll. Weitere Informationen finden Sie unter „Angeben von Ressourcen für eine
Ressourcenrichtlinie“ auf Seite 87. Informationen zum Aktivieren der IPbasierten Zuordnung und der Zuordnung anhand von Groß- und
Kleinschreibung für diese Ressourcen finden Sie unter „Definieren von
Ressourcenrichtlinien: Allgemeine Optionen“ auf Seite 384.
7. Geben Sie im Bereich Roles Folgendes an:
Policy applies to ALL roles – Hiermit gilt die Richtlinie für alle Benutzer.
Policy applies to SELECTED roles – Hiermit gilt die Richtlinie nur für
Benutzer, die Rollen in der Liste Selected roles zugeordnet sind. Dieser
Liste müssen Rollen aus der Liste Available roles hinzugefügt werden.
Policy applies to all roles OTHER THAN those selected below – Hiermit
gilt die Richtlinie für alle Benutzer außer den Benutzern, die Rollen in der
Liste Selected roles zugeordnet sind. Dieser Liste müssen Rollen aus der
Liste Available roles hinzugefügt werden.
8. Geben Sie im Bereich Action Folgendes an:
Disable HTTP 1.1 – Das IVE kommuniziert über das HTTP 1.0-Protokoll
automatisch mit Back-End-Servern.
Enable HTTP 1.1 – Das IVE kommuniziert über das HTTP 1.1-Protokoll
automatisch mit Back-End-Servern, sofern der Client ebenfalls das HTTP
1.1-Protokoll für die Kommunikation verwendet.
Use Detailed Rules – Hiermit geben Sie eine oder mehrere detaillierte
Regeln für diese Richtlinie an. Weitere Informationen finden Sie unter
„Schreiben einer detaillierten Regel“ auf Seite 93.
9. Klicken Sie auf Save Changes.
Definieren von Ressourcenrichtlinien: HTTP 1.1-Protokoll
383
Juniper Networks Secure Access – Administratorhandbuch
Definieren von Ressourcenrichtlinien: Allgemeine Optionen
Wenn Sie die in diesem Abschnitt beschriebenen Optionen für
Webressourcenrichtlinien aktivieren, kompiliert das IVE eine Liste von Hostnamen, die
im Feld Resources jeder Webressourcenrichtlinie angegeben wird. Das IVE wendet die
aktivierten Optionen dann auf diese umfassende Liste von Hostnamen an.
So geben Sie eine Webressourcenoption an:
1. Navigieren Sie in der Administratorkonsole zu Users > Resource Policies >
Web.
2. Ist die Administratoransicht noch nicht für das Anzeigen von Weboptionen
konfiguriert, nehmen Sie folgende Änderungen vor:
a.
Klicken Sie rechts oben auf der Seite auf die Schaltfläche Customize.
b.
Aktivieren Sie das Kontrollkästchen Options.
c.
Klicken Sie auf OK.
3. Klicken Sie auf die Registerkarte Options.
4. Wählen Sie IP based matching for Hostname based policy resources aus,
wenn das IVE jedem in einer Webressourcenrichtlinie angegebenen
Hostnamen entsprechende IP-Adressen suchen soll. Wenn ein Benutzer
versucht, auf einen Server zuzugreifen, indem er eine IP-Adresse anstelle des
Hostnamens angibt, vergleicht das IVE die IP mit einer zwischengespeicherten
Liste von IP-Adressen, um festzustellen, ob ein Hostname mit einer IP
übereinstimmt. Wenn eine Übereinstimmung vorliegt, akzeptiert das IVE diese
als eine Richtlinienübereinstimmung und führt die für die Ressourcenrichtlinie
angegebene Aktion durch.
HINWEIS: Diese Option wird nicht auf Hostnamen angewendet, die Platzhalter
und Parameter enthalten.
5. Wählen Sie die Option Case sensitive matching for the Path and Query string
components in Web resources aus, wenn Benutzer in eine Ressource eine URL
eingeben sollen, bei der Groß-/Kleinschreibung zu beachten ist. Verwenden Sie
diese Option beispielsweise beim Übergeben des Benutznamens oder des
Kennwortes in einer URL.
6. Klicken Sie auf Save Changes.
384
Definieren von Ressourcenrichtlinien: Allgemeine Optionen
Kapitel 13: Neuschreiben von Webinhalt
Verwalten von Ressourcenrichtlinien: Anpassen von
Benutzeroberflächenansichten
Sie können bestimmen, welche Konfigurationsseiten für Webressourcenrichtlinien
das IVE anzeigt, damit Sie nur die tatsächlich verwendeten Seiten anzeigen müssen.
Verfügen Sie über eine neue IVE-Version, können mit diesen Einstellungen
zusätzliche Seiten angezeigt werden (da das IVE neuen Benutzern nur die am
häufigsten verwendeten Ressourcenrichtlinienseiten anzeigt).
So legen Sie fest, welche Konfigurationsseiten für Webressourcenrichtlinien das
IVE anzeigt:
1. Navigieren Sie zu Users > Resource Policies > Web > Richtlinientyp.
2. Klicken Sie rechts oben auf der Konsole auf die Schaltfläche Customize View:
3. Geben Sie im Dialogfeld Customize View an, welche Webressourcenrichtlinien
in der Administratorkonsole angezeigt werden sollen. Einzelne
Kontrollkästchen können manuell aktiviert werden. Klicken Sie dazu auf All
Pages, um alle Konfigurationsseiten für Webressourcenrichtlinien anzuzeigen,
oder klicken Sie auf Common Pages, um die am häufigsten verwendeten
Konfigurationsseiten für Webressourcenrichtlinien anzuzeigen. (Die Seite Web
Access Policies kann mit dem IVE nicht ausgeblendet werden.)
4. Klicken Sie auf OK.
Verwalten von Ressourcenrichtlinien: Anpassen von Benutzeroberflächenansichten
385
Juniper Networks Secure Access – Administratorhandbuch
386
Verwalten von Ressourcenrichtlinien: Anpassen von Benutzeroberflächenansichten
Kapitel 14
Gehostete Java-Applets
Die IVE-Funktion zum Hochladen von Java-Applets ermöglicht das Speichern der
von Ihnen gewählten Java-Applets direkt im IVE, ohne dass ein separater Webserver
zum Hosten eingesetzt wird. Mit dieser Funktion laden Sie die Applets ins IVE hoch
(zusammen mit den zusätzlichen Dateien, auf die die Applets verweisen) und
erstellen über das IVE eine einfache Webseite mit Verweisen auf diese Dateien.
Anschließend vermittelt das IVE den Inhalt der Webseite und der Java-Applets
mithilfe des Moduls für die Inhaltsvermittlung.
Dieser Abschnitt enthält die folgenden Informationen über das Hosten von JavaApplets auf dem IVE:
„Lizenzierung: Verfügbarkeit der gehosteten Java-Applets“ auf Seite 387
„Aufgabenzusammenfassung: Hosten von Java-Applets“ auf Seite 387
„Übersicht über gehostete Java-Applets“ auf Seite 388
„Definieren von Ressourcenprofilen: Gehostete Java-Applets“ auf Seite 392
„Verwendungsbeispiel: Erstellen eines Lesezeichens für ein Java-Applet mit
Citrix JICA Version 8.0“ auf Seite 398
Lizenzierung: Verfügbarkeit der gehosteten Java-Applets
Das Hosten von Java-Applets ist eine Standardfunktion in allen Secure AccessAppliances, mit Ausnahme der SA 700. Wird eine SA-700-Appliance verwendet,
muss eine Aktualisierungslizenz für einen clientlosen Kernzugriff installiert werden.
Aufgabenzusammenfassung: Hosten von Java-Applets
Die IVE-Funktion zum Hochladen von Java-Applets ermöglicht das Speichern der
von Ihnen gewählten Java-Applets direkt im IVE, ohne dass ein separater Webserver
zum Hosten eingesetzt wird (siehe Beschreibung unter „Übersicht über gehostete
Java-Applets“ auf Seite 388).
Lizenzierung: Verfügbarkeit der gehosteten Java-Applets
387
Juniper Networks Secure Access – Administratorhandbuch
So hosten Sie Java-Applets auf dem IVE:
1. Geben Sie an, welche Applets hochgeladen werden sollen, erstellen Sie IVELesezeichen zum Verweisen auf die hochgeladenen Applets, und geben Sie an,
welche Rollen mithilfe der Einstellungen auf der Seite Users > Resource
Profiles > Web > Hosted Java Applets in der Administratorkonsole Zugriff auf
die Lesezeichen besitzen. Anweisungen hierfür finden Sie unter „Definieren
von Ressourcenprofilen: Gehostete Java-Applets“ auf Seite 392.
2. Sollen die Java-Applets signiert werden, verwenden Sie die Einstellungen auf der
Seite System > Configuration > Certificates > Code-Signing Certificates
der Administratorkonsole, um das Java-Zertifikat ins IVE hochzuladen (optional).
Wenn Sie diesen Schritt überspringen möchten, wird dem Benutzer jedes Mal
beim Zugriff auf das entsprechende Lesezeichen eine Warnmeldung angezeigt,
dass es sich um ein nicht vertrauenswürdiges Zertifikat handelt. Anweisungen
hierfür finden Sie unter „Verwenden von Codesignaturzertifikaten“ auf Seite 672.
3. So verbessern Sie die Leistung Ihrer Java-Anwendungen (optional):
a.
Wählen Sie auf der Seite Enable Java instrumentation caching
Maintenance > System > Options der Administratorkonsole aus. Mit
dieser Option kann die Leistung beim Herunterladen von Java-Anwendungen
verbessert werden. Weitere Informationen finden Sie unter „Festlegen der
Systemoptionen“ auf Seite 619.
b.
Nehmen Sie nach der Konfiguration des IVE eine Zwischenspeicherung Ihres
Java-Applets vor, und greifen Sie als Endbenutzer darauf zu. Durch diesen
Vorgang wird der beim Zugriff des ersten Endbenutzers auf das Applet im
Modul für Inhaltsvermittlung auftretende Performance-Hit gelöscht.
Übersicht über gehostete Java-Applets
Die IVE-Funktion zum Hochladen von Java-Applets ermöglicht das Speichern der
von Ihnen gewählten Java-Applets direkt im IVE, ohne dass ein separater Webserver
zum Hosten eingesetzt wird. Mit dieser Funktion laden Sie die Applets ins IVE hoch
(zusammen mit den zusätzlichen Dateien, auf die die Applets verweisen) und
erstellen über das IVE eine einfache Webseite mit Verweisen auf diese Dateien.
Anschließend vermittelt das IVE den Inhalt der Webseite und der Java-Applets
mithilfe des Moduls für die Inhaltsvermittlung.
388
Übersicht über gehostete Java-Applets
Kapitel 14: Gehostete Java-Applets
Beispiel: Sie möchten mithilfe des IVE Datenverkehr zwischen einem IBM AS/400System in Ihrem Netzwerk und einzelnen 5250-Terminalemulationen auf den
Computern der Benutzer vermitteln. Um das IVE zur Vermittlung dieses Verkehrs zu
konfigurieren, ermitteln Sie das Java-Applet der 5250-Terminalemulation.
Anschließend laden Sie dieses Applet ins IVE hoch und erstellen eine einfache
Webseite, die auf das Applet verweist. Nach dem Erstellen der Webseite über das
IVE erstellt das IVE ein entsprechendes Lesezeichen, auf das Benutzer über ihre
Startseiten zugreifen können.
HINWEIS: Beachten Sie die folgenden Hinweise:
Zur Verwendung dieser Funktion müssen Sie fundierte Kenntnisse über JavaApplets, Java-Applet-Parameter und HTML besitzen.
Weitere Informationen über die Vermittlung von Java-Applets, die auf einem
externen Server gehostet sind, finden Sie unter „Definieren von
Ressourcenrichtlinien: Externe Java-Applets“ auf Seite 362.
Die Konfigurationsoptionen der Funktion zum Hosten von Java-Applets
wurden auf die Seite Users > Resource Profiles > Web > Hosted Java
Applets in der Administratorkonsole verschoben. Wenn Sie das Produkt von
einer früheren Version 5.3 aktualisieren, erstellt das IVE automatisch
Ressourcenprofile aus Ihren alten Ressourcenrichtlinien. Wenn das alte
Lesezeichen auf mehrere Java-Applets verweisen hat, erstellt das IVE ein
einzelnes Archiv für diese Applets und ordnet das Archiv Ihrem neuen
Ressourcenprofil zu.
Die folgenden Abschnitte enthalten Informationen über das Hochladen, das
Aktivieren und den Zugriff auf Java-Applets über das IVE:
„Hochladen von Java-Applets in das IVE“ auf Seite 389
„Signieren von hochgeladenen Java-Applets“ auf Seite 390
„Erstellen von HTML-Seiten, die auf die hochgeladenen Java-Applets verweisen“
auf Seite 391
„Zugreifen auf Lesezeichen für Java-Applets“ auf Seite 391
„Verwendungsbeispiel: Erstellen eines Lesezeichens für ein Java-Applet mit
Citrix JICA Version 8.0“ auf Seite 398
Hochladen von Java-Applets in das IVE
Die IVE-Funktion zum Hochladen von Java-Applets ermöglicht das Speichern der
von Ihnen gewählten Java-Applets direkt im IVE, ohne dass ein separater Webserver
zum Hosten eingesetzt wird. Diese Applets können dann dazu verwendet werden,
Verkehr zwischen verschiedenen Arten von Anwendungen über das IVE zu
vermitteln. Laden Sie beispielsweise das 3270-Applet, das 5250-Applet oder das
Citrix Java-Applet ins IVE hoch. Diese Applets ermöglichen Benutzern das
Übersicht über gehostete Java-Applets
389
Juniper Networks Secure Access – Administratorhandbuch
Einrichten von Sitzungen mit IBM-Mainframes, AS/400-Computern und Citrix
MetaFrame-Servern über Terminalemulationen. (Beachten Sie, dass Sie zur
Aktivierung des Citrix-Java-ICA-Clients über eine IVE-Sitzung mehrere Citrix-Dateien
im Format .jar und .cab ins IVE hochladen müssen. Weitere Informationen hierzu
finden Sie unter „Verwendungsbeispiel: Erstellen eines Lesezeichens für ein JavaApplet mit Citrix JICA Version 8.0“ auf Seite 398.)
Das IVE ermöglicht das Hochladen einzelner Dateien im Format .jar und .cab oder
von Archivdateien im Format .zip, .cab oder .tar. Die Archivdateien enthalten JavaApplets und Dateien, auf die diese Applets verweisen. Das Java-Applet muss sich
innerhalb von .zip-, .cab- oder .tar-Dateien in der obersten Ebene im Archiv
befinden. Sie können eine beliebige Anzahl von Dateien ins IVE hochladen; die
Gesamtgröße darf allerdings 100 MB nicht überschreiten.
Sie müssen zur Gewährleistung der Kompatibilität mit Sun und Microsoft-JVMs (Java
Virtual Machines) .jar- und .cab-Dateien ins IVE hochladen. (Die Sun-JVM verwendet
.jar-Dateien, während die Microsoft-JVM Dateien des Formats .cab verwendet.)
HINWEIS:
Beim Hochladen von Java-Applets ins IVE werden Sie vor dem Abschließen
der Installation vom IVE zum Lesen einer Vereinbarung aufgefordert. Lesen
Sie diese Vereinbarung sorgfältig durch. Sie verpflichten sich dazu, die volle
Verantwortung für die Rechtmäßigkeit, den Betrieb und den Support der von
Ihnen hochgeladenen Applets zu übernehmen.
Maximal können Java-Applets mit einer Größe von insgesamt 100 MB in das IVE
geladen werden. Das IVE zeigt die Größe jedes in das IVE geladenen Applets auf
der Seite Java Applets an, sodass Sie bei Bedarf Applets löschen können.
Das Hochladen von Java-Applets erfordert die Aktivierung von signierten
ActiveX- bzw. signierten Java-Applets im Browser, damit die
Clientanwendungen heruntergeladen, installiert und gestartet werden können.
Laden Sie Java-Applets mithilfe von Ressourcenprofilen in das IVE hoch.
Anweisungen hierfür finden Sie unter „Definieren von Ressourcenprofilen:
Gehostete Java-Applets“ auf Seite 392.
Signieren von hochgeladenen Java-Applets
Im Gegensatz zu anderen Java-Applets, auf die Benutzer über das IVE zugreifen
können, müssen Sie für die ins IVE hochgeladenen Java-Applets keine separate
Codesignaturrichtlinie erstellen. Das IVE signiert sie automatisch (oder signiert sie
neu) unter Verwendung des entsprechenden Codesignaturzertifikats. Bei einem
Codesignaturzertifikat (auch Appletzertifikat genannt) handelt es sich um ein
serverseitiges Zertifikat, das die von einem IVE vermittelten Java-Applets neu
signiert. Eine Beschreibung hierzu finden Sie unter „Verwenden von
Codesignaturzertifikaten“ auf Seite 672.
390
Übersicht über gehostete Java-Applets
Kapitel 14: Gehostete Java-Applets
Das IVE signiert die gehosteten Java-Applets mit dem über die Seite System >
Configuration > Certificates > Code-signing Certificates in der
Administratorkonsole installierten Codesignaturzertifikat (oder signiert sie neu).
Falls Sie kein Codesignaturzertifikat im IVE installieren, verwendet das IVE zum
Signieren oder Neusignieren des Applets ein selbst signiertes Appletzertifikat. In
diesem Fall wird den Benutzern immer die Warnmeldung „untrusted certificate
issuer“ (nicht vertrauenswürdiger Zertifikataussteller) angezeigt, wenn Sie über das
IVE auf das Java-Applet zugreifen.
HINWEIS: Die hochgeladenen Java-Applets werden vom IVE neu eingerichtet und
signiert, wenn Sie das zugehörige Codesignaturzertifikat auf dem IVE ändern (d. h.
importieren, erneuern oder löschen).
Erstellen von HTML-Seiten, die auf die hochgeladenen Java-Applets verweisen
Sie müssen beim Hochladen eines Java-Applets ins IVE eine einfache Webseite
erstellen, die auf das Applet verweist. Die Benutzer können auf diese Webseite über
ein Lesezeichen auf den IVE-Startseiten oder von externen Webserver zugreifen
(wie beschrieben in „Zugreifen auf Lesezeichen für Java-Applets“ auf Seite 391).
Die Webseite muss eine einfache HTML-Seitendefinition mit Verweis auf das
hochgeladene Java-Applet enthalten. Die Webseite kann darüber hinaus
zusätzlichen HTML- und JavaScript-Code beinhalten. Das IVE kann einen Teil dieser
Webseite für Sie generieren, einschließlich der HTML-Seitendefinition und der
Verweise auf das Java-Applet. (Beachten Sie jedoch, dass das IVE nicht alle für Ihr
Applet erforderlichen speziellen Applet-Parameter generieren kann; Sie müssen
diese Parameter selbst suchen und ausfüllen.) Beim Generieren dieser HTMLInformationen erstellt das IVE Platzhalter für undefinierte Werte und fordert Sie auf,
die erforderlichen Werte einzugeben.
Erstellen Sie diese Webseiten durch Ressourcenprofile für das Hochladen von JavaApplets. Anweisungen hierfür finden Sie unter „Definieren eines Lesezeichens für
gehostete Java-Applets“ auf Seite 393.
Zugreifen auf Lesezeichen für Java-Applets
Die Benutzer können auf die von Ihnen ins IVE hochgeladenen Applets
folgendermaßen zugreifen:
Bookmarks on the IVE end user console – Wenn Sie eine Webseite mit
Verweisen auf die hochgeladenen Java-Applets erstellen, erstellt das IVE einen
entsprechenden Link zu der Webseite und zeigt diesen Link im Abschnitt
Bookmarks der IVE-Endbenutzerkonsole an. Die der geeigneten Rolle zugeordneten
Benutzer können durch Klicken auf den Link auf das Java-Applet zugreifen.
Links on external Web servers – Benutzer können unter Verwendung der
richtigen URLs von externen Webservern eine Verbindung zu den Lesezeichen
für Java-Applets herstellen. Wenn der Benutzer die URL eines Lesezeichens
eingibt (oder auf einen externen Link, der die URL enthält, klickt), wird er vom
IVE aufgefordert, seinen IVE-Benutzernamen und das Kennwort einzugeben. Ist
die Authentifizierung erfolgreich, ermöglicht das IVE den Zugriff auf das
Lesezeichen. Sie können die URL für das Lesezeichen für Java-Applets erstellen,
indem Sie die Syntax aus einer der folgenden Zeilen verwenden:
Übersicht über gehostete Java-Applets
391
Juniper Networks Secure Access – Administratorhandbuch
https://<IVE_hostname>/dana/home/launchWebapplet.cgi?bmname=<bookmark
Name>
https://<IVE_hostname>/dana/home/launchWebapplet.cgi?id=<resourceID>&b
mname=<bookmarkName>
(Legen Sie die ID eines Lesezeichens für Java-Applets fest, indem Sie über die
IVE-Startseite darauf zugreifen und die ID dann aus der Adressleiste des
Webbrowsers extrahieren.
HINWEIS:
Obwohl das IVE das Erstellen mehrerer Lesezeichen mit dem gleichen Namen
zulässt, empfehlen wir ausdrücklich die Verwendung eines eindeutigen Namens
für jedes Lesezeichen. Wenn ein Benutzer bei mehreren Lesezeichen mit dem
gleichen Namen mithilfe einer URL auf eines dieser Lesezeichen zugreift, die den
Parameter bmname enthält, wählt das IVE zufällig ein Lesezeichen aus den
identisch benannten Lesezeichen aus, und zeigt dies dem Benutzer an. Beachten
Sie auch, dass beim Parameter bmname die Groß- und Kleinschreibung
berücksichtigt wird.
Werden auf externen Servern Links zu Java-Applet-Lesezeichen im IVE erstellt,
und werden mehrere angepasste Anmelde-URLs verwendet, sind einige
Einschränkungen zu beachten. Weitere Informationen finden Sie unter
„Anmelderichtlinien“ auf Seite 193.
Informationen zum Erstellen von Lesezeichen finden Sie unter „Definieren eines
Lesezeichens für gehostete Java-Applets“ auf Seite 393.
Definieren von Ressourcenprofilen: Gehostete Java-Applets
So erstellen Sie ein Ressourcenprofil für gehostete Java-Applets:
1. Navigieren Sie zur Seite Users > Resource Profiles > Hosted Java Applet in
der Administratorkonsole.
2. Klicken Sie auf New Profile.
3. Geben Sie einen eindeutigen Namen und ggf. eine Beschreibung für das
Ressourcenprofil ein.
4. Geben Sie im Abschnitt Upload Applet Resources Folgendes an:
392
a.
Wählen Sie das Applet aus, das Sie in das IVE laden möchten. Sie können
Applets (.jar- oder .cab-Dateien) oder Archive (Dateien im Format .zip, .jar
und .tar ) hochladen, die Applets und alle für die Applets erforderlichen
Ressourcen enthalten.
b.
Aktivieren Sie das Kontrollkästchen Expand uploaded archive, wenn das
eigentliche Java-Applet in der oben angegebenen Datei archiviert ist.
Definieren von Ressourcenprofilen: Gehostete Java-Applets
Kapitel 14: Gehostete Java-Applets
5. Falls das Java-Applet Socketverbindungen herstellen muss, aktivieren Sie den
Zugriff mithilfe der Einstellungen im Abschnitt Autopolicy: Java Access
Control: Weitere detaillierte Anweisungen finden Sie unter „Definieren einer
automatischen Richtlinie für die Java-Zugriffssteuerung“ auf Seite 319.
6. Klicken Sie auf Save and Continue.
7. Wenn der folgende Vertrag angezeigt wird, lesen Sie ihn, und klicken Sie auf
OK, wenn Sie den Bedingungen zustimmen:
Sie sind dabei, Drittanbietersoftware auf ein Juniper-Produkt zu laden. Vorher
müssen Sie die folgenden Bedingungen lesen und ihnen in Ihrem Namen oder
dem des Unternehmens, das das Juniper-Produkt erworben hat, zustimmen.
Durch das Laden einer Drittanbietersoftware auf das Juniper-Produkt sind Sie für den
Erwerb aller notwendigen Rechte für die Verwendung, Vervielfältigung und/oder
Vertrieb dieser Software in oder mit einem Juniper-Produkt verantwortlich. Juniper ist
nicht für etwaige Rechtsansprüche haftbar, die aus dem Gebrauch von
Drittanbietersoftware entstehen, und bietet keine Unterstützung für diese Software.
Die Verwendung von Drittanbietersoftware kann die ordnungsgemäße Funktion des
Juniper-Produkts und/oder der Juniper-Software beeinträchtigen und die Garantie für
das Juniper-Produkt und/oder –Software erlöschen lassen.
Klicken Sie auf die Schaltfläche OK, wenn Sie einverstanden sind und
fortfahren möchten.
8. Lesen Sie die Details im Dialogfeld Upload Status, und klicken Sie anschließend
auf OK. Nachdem Sie die Vereinbarung akzeptiert haben, wird der Inhalt des
Java-Applets durch das IVE neu geschrieben und signiert. Dies kann zu
Verzögerungen führen (je nach Größe des Applets).
9. Wählen Sie auf der Registerkarte Roles die Rollen aus, auf die das Ressourcenprofil
angewendet werden soll, und klicken Sie auf Add.
Die ausgewählten Rollen übernehmen die durch das Ressourcenprofil erstellten AutoRichtlinien und Lesezeichen. Ist die Option Web noch nicht aktiviert, wird diese vom
IVE auf der Seite Users > User Roles > Rolle auswählen > General >
Overview der Administratorkonsole ebenso wie die Option Allow Java Applets auf
der Seite Users > User Roles > Rolle auswählen > Web > Options der
Administratorkonsole ebenfalls für alle ausgewählten Rollen automatisch aktiviert.
10. Klicken Sie auf Save Changes.
11. Erstellen Sie auf der Registerkarte Bookmarks Lesezeichen mithilfe der
Anweisungen in „Definieren eines Lesezeichens für gehostete Java-Applets“ auf
Seite 393.
Definieren eines Lesezeichens für gehostete Java-Applets
Damit Endbenutzer auf Ihre Applets zugreifen können, müssen Sie zuvor Lesezeichen
für die gehosteten Java-Applets erstellen. Weitere Informationen über Lesezeichen für
Ressourcenprofile finden Sie unter „Definieren von Lesezeichen“ auf Seite 82.
So konfigurieren Sie Ressourcenprofil-Lesezeichen für gehostete Java-Applets:
Definieren von Ressourcenprofilen: Gehostete Java-Applets
393
Juniper Networks Secure Access – Administratorhandbuch
1. Wenn Sie Lesezeichen für Ressourcenprofile über die standardmäßige
Ressourcenprofilseite erstellen möchten, gehen Sie folgendermaßen vor:
a.
Navigieren Sie zur Seite Users > Resource Profiles > Web > Hosted
Java Applets > Ressourcenprofil auswählen > Bookmarks in der
Administratorkonsole.
b.
Klicken Sie in der Spalte Bookmark auf den entsprechenden Link, wenn
Sie ein vorhandenes Lesezeichen bearbeiten möchten. Oder klicken Sie auf
New Bookmark, um ein zusätzliches Lesezeichen zu erstellen.
Wenn Sie stattdessen ein Lesezeichen für Ressourcenprofile über die Seite mit
den Benutzerrollen erstellen möchten, gehen Sie folgendermaßen vor:
a.
Navigieren Sie zur Seite Users > Roles > Rolle auswählen > Web >
Bookmarks in der Administratorkonsole.
b.
Klicken Sie auf New Bookmark.
c.
Wählen Sie in der Liste Type Pick an Applet Resource Profile aus. (Das IVE
zeigt diese Option nur an, wenn Sie zuvor ein Ressourcenprofil für gehostete
Java-Applets erstellt haben.)
d. Wählen Sie ein Ressourcenprofil.
e.
Klicken Sie auf OK. (Wenn Sie die ausgewählte Rolle noch dem
Ressourcenprofil zugeordnet haben, führt das IVE diese Zuordnung
automatisch aus.) Das IVE aktiviert zudem alle vom Ressourcenprofil
geforderten Zugriffssteuerungsrichtlinien für die Rolle.)
f.
Wenn diese Rolle noch nicht dem ausgewählten Ressourcenprofil zugeordnet
ist, zeigt das IVE eine entsprechende Meldung an. Wenn diese Meldung
angezeigt wird, klicken Sie auf Save Changes, um diese Rolle der Liste mit
den Rollen des Ressourcenprofils hinzuzufügen und die Auto-Richtlinien des
Profils entsprechend zu aktualisieren. Wiederholen Sie anschließend die
vorangegangenen Schritte, um das Lesezeichen zu erstellen.
HINWEIS: Wenn Sie ein Lesezeichen für ein Ressourcenprofil über die Seite mit den
Benutzerrollen erstellen (anstatt über die standardmäßige Ressourcenprofilseite),
ordnet das IVE nur das generierte Lesezeichen der ausgewählten Rolle zu. Das IVE
weist das Lesezeichen nicht allen Rollen zu, die dem ausgewählten Ressourcenprofil
zugeordnet sind.
2. Geben Sie einen Namen und (optional) eine Beschreibung für das Lesezeichen
ein. Diese Informationen werden auf der IVE-Startseite angezeigt. (In der
Standardeinstellung verwendet das IVE für das Lesezeichen den Namen des
entsprechenden Ressourcenprofils.)
394
Definieren von Ressourcenprofilen: Gehostete Java-Applets
Kapitel 14: Gehostete Java-Applets
HINWEIS: Wir empfehlen ausdrücklich die Verwendung eines eindeutigen Namens
für jedes Lesezeichen, damit Benutzer erkennen, auf welchen Link sie zugreifen.
Weitere Informationen finden Sie unter „Erstellen von HTML-Seiten, die auf die
hochgeladenen Java-Applets verweisen“ auf Seite 391.
3. Klicken Sie auf Generate HTML, um eine HTML-Seitendefinition mit Verweisen
auf die Java-Applets zu erstellen. Geben Sie anschließend die erforderlichen
Attribute und Parameter anhand der Richtlinien in den folgenden Abschnitten ein:
„Erforderliche Attribute für hochgeladene Java-Applets“ auf Seite 396
„Erforderliche Parameter für hochgeladene Java-Applets“ auf Seite 397
Sie können auch zusätzlichen HTML-Code oder JavaScript für diese
Webseitendefinition hinzufügen. Das IVE schreibt den gesamten in diesem Feld
eingegebenen Code neu.
HINWEIS: Geben Sie in dieses Feld eindeutigen HTML-Code ein. Werden zwei
Lesezeichen mit demselben HTML-Code erstellt, löscht das IVE eines der
Lesezeichen in der Endbenutzeransicht. Die beiden Lesezeichen können nach wie
vor angezeigt werden, jedoch nur in der Administratorkonsole.
4. Klicken Sie unter Display options auf Bookmark opens new window, wenn
das IVE automatisch die Webressource in einem neuen Browserfenster öffnen
soll. Beachten Sie, dass diese Funktion nur für Rollenlesezeichen, nicht für von
Benutzern erstellte Lesezeichen gilt. Wählen Sie als nächstes die folgenden
Optionen aus, wenn UI-Elemente für Benutzer ausgeblendet werden sollen:
Do not display the browser address bar – Wählen Sie diese Option aus,
um die Adressleiste aus dem Browserfenster zu entfernen. Diese Funktion
veranlasst die Weiterleitung des gesamten Webdatenverkehrs über das IVE,
indem verhindert wird, dass Benutzer in der angegebenen Rolle eine neue
URL in die Adresszeile eingeben, durch den das IVE umgangen wird.
Do not display the browser toolbar – Wählen Sie diese Option aus, um
das Menü und die Symbolleiste aus dem Browser zu entfernen. Diese
Funktion entfernt Menüs, Browserschaltflächen und Lesezeichen aus dem
Browserfenster, um nur das Browsen über das IVE zu ermöglichen.
5. Wenn Sie das Lesezeichen über die Ressourcenprofilseiten konfigurieren, geben
Sie unter Roles die Rollen an, für die Sie das Lesezeichen anzeigen möchten:
ALL selected roles – Wählen Sie diese Option, um das Lesezeichen für alle
dem Ressourcenprofil zugeordneten Rollen anzuzeigen.
Subset of selected roles – Wählen Sie diese Option, um das Lesezeichen
einem Teil der dem Ressourcenprofil zugeordneten Rollen anzuzeigen.
Wählen Sie anschließend aus der Liste ALL Selected Roles Rollen aus, und
klicken Sie auf Add, um die Rollen in die Liste Subset of selected roles zu
verschieben.
Definieren von Ressourcenprofilen: Gehostete Java-Applets
395
Juniper Networks Secure Access – Administratorhandbuch
6. Klicken Sie auf Save Changes.
Erforderliche Attribute für hochgeladene Java-Applets
Wenn Sie ein Lesezeichen für Java-Applets über das IVE erstellen, müssen Sie die
folgenden Attribute und entsprechenden Werte definieren. Bei Verwendung der
Funktion Generate HTML füllt das IVE einige dieser Informationen für Sie aus, und
es fügt den von Ihnen zu definierenden Attributen den Zusatz PLEASE_SPECIFY
hinzu. Verwenden Sie zum Angeben von Attributen und zugehörigen Werten das
Format attribute=„value“.
HINWEIS: Das IVE generiert alle Parameter, deren Notwendigkeit es kennt. Beachten
Sie jedoch, dass das IVE nicht alle für Ihr Applet erforderlichen speziellen AppletParameter generieren kann; Sie müssen diese Parameter selbst suchen und ausfüllen.
Folgende Attribute sind u. a. für das IVE erforderlich:
code – Gibt die im Java-Applet aufzurufende Klassendatei an. Verwenden Sie
diesen Wert, um auf die Hauptfunktion des Java-Applets zu verweisen. Beispiel:
applet code="com.citrix.JICA"
codebase – Gibt an, von wo der Webbrowser das Applet abrufen kann.
Verwenden Sie die Variable <<CODEBASE>>, die auf den Speicherort auf dem
IVE verweist, an dem das IVE das Java-Applet speichert. Beachten Sie, dass
beim Eingeben eines Pfads zur Datei <<CODEBASE>> einen
abschließenden Schrägstrich enthält; das folgende Beispiel ist also gültig:
<img src="<<CODEBASE>>path/to/file">
Dieses Beispiel ist jedoch nicht gültig:
<img src="<<CODEBASE>>/path/to/file">
archive – Gibt an, welche Archivdatei (d. h. .jar, .cab oder .zip-Dateien) der
Webbrowser abrufen soll. Beispiel:
archive="JICAEngN.jar"
width and height – Geben die Größe des Java-Appletfensters an (optional).
Beispiel:
width="640" height="480"
name – Gibt eine Beschriftung für das Java-Applet an (optional). Beispiel:
name="CitrixJICA"
align – Gibt die Ausrichtung das Java-Appletfensters im Browserfenster an
(optional). Beispiel:
align="top"
396
Definieren von Ressourcenprofilen: Gehostete Java-Applets
Kapitel 14: Gehostete Java-Applets
HINWEIS: Beachten Sie beim Definieren von Attributen und zugehörigen Werten
Folgendes:
Wir raten ausdrücklich von der Verwendung des Parameters useslibrarycabbase
im HTML-Code ab, weil dies zur dauerhaften Installation der CAB-Datei auf dem
Computer des Benutzers führt. Falls Sie eine CAB-Datei zu einem späteren
Zeitpunkt im IVE ändern, müssen alle Benutzer die CAB-Dateien auf Ihren
Computern löschen, damit Sie die neue Version vom IVE erhalten.
Alle über die Funktion document.write erstellten Applet-Tags werden nicht
unterstützt, weil der dynamische HTML-Code den Parser des IVE beeinträchtigt.
Relative Links zu URLs, Dokumenten oder Bilder in Ihrem HTML-Code werden
nicht unterstützt. Andernfalls schlagen diese Links fehl, wenn der Benutzer
versucht, über die IVE-Endbenutzerkonsole auf die Links zuzugreifen. Geben Sie
stattdessen absolute Links an. Wenn Sie eine Verknüpfung zu einem Dokument
oder einem Bild in der ZIP-Datei erstellen, verwenden Sie die Variable
<<CODEBASE>>, um anzugeben, dass das IVE die Datei in dem ins IVE
hochgeladenen ZIP-Archiv findet. Beispiel:
<img src="<<CODEBASE>>yourcompany_logo.gif" alt="YourCompany">
Erforderliche Parameter für hochgeladene Java-Applets
Wenn Sie über das IVE Lesezeichen für Java-Applet erstellen, müssen Sie Parameter
und Werte definieren, die das IVE an das Java-Applet übergeben soll. Diese
Parameter sind appletspezifisch. Verwenden Sie zum Festlegen von Parametern und
zugehörigen Werten das folgende Format:
<param name=„parameterName“ value=„valueName“>
Mit Ausnahme von Parametername und Wertname handelt es sich bei dem gesamten
Text um Literalzeichen.
Werte können mithilfe von IVE-Variablen an das Java-Applet übergeben werden.
Schließen Sie die Variablennamen hierzu in doppelte Klammern ein. Sie können
z.B. die Werte <<username>> und <<password>> an das Java-Applet übergeben.
Eine Liste der verfügbaren IVE-Variablen finden Sie unter „Systemvariablen und
Beispiele“ auf Seite 920.
Wenn Sie eine Webseite mit einem für Sie geeigneten Applet finden, rufen Sie die
Demosite auf, und zeigen Sie den Quellcode auf der Seite an, die das Java-Applet
ausführt. Suchen Sie im Quellcode nach dem Tag applet. Machen Sie das Attribut code
im Quellecode ausfindig, und überprüfen Sie, ob es spezielle Parameter enthält, die
an den Browser übergeben werden müssen. In den meisten Fällen können das
Attribut IVE und die entsprechenden Parameter kopiert und direkt in das HTML-Feld
für Ihr IVE-Lesezeichen eingefügt werden. Wenn ein Parameter jedoch auf eine
Ressource auf dem lokalen Webserver verweist, kann der Verweis nicht kopiert und in
das IVE-Lesezeichen eingefügt werden, da das IVE keinen Zugriff auf die lokalen
Ressourcen des anderen Webservers hat. Überprüfen Sie beim Kopieren/Einfügen
von Parametern aus einer anderen Quelle immer die Werte der Parameter.
Definieren von Ressourcenprofilen: Gehostete Java-Applets
397
Juniper Networks Secure Access – Administratorhandbuch
Verwendungsbeispiel: Erstellen eines Lesezeichens für ein JavaApplet mit Citrix JICA Version 8.0
In diesem Abschnitt wird beschrieben, wie unter Verwendung der Java-Version 8.0
des Citrix ICA-Clients (JICA) der Zugriff auf einen Citrix Metaframe-Server über das
IVE ermöglicht wird.
So aktivieren Sie den Citrix JICA-Client Version 8.0 unter Verwendung der JavaApplet-Hochladefunktion:
1. Importieren Sie Codesignaturzertifikate wie unter „Verwenden von
Codesignaturzertifikaten“ auf Seite 672 beschrieben.
2. Fassen Sie die folgenden .jar- und .cab-Dateien in einem einzelnen Archiv
zusammen:
JICA-configN.jar
JICA-coreN.jar
JICA-configM.cab
JICA-coreM.cab
(Diese Dateien stehen auf der Website von Citrix zur Verfügung.)
3. Erstellen Sie über die Seite Users > Resource Profiles > Web > Hosted Java
Applets in der Administratorkonsole ein Ressourcenprofil für gehostete JavaApplets. Führen Sie beim Definieren des Ressourcenprofils Folgendes aus:
a.
Laden Sie die Citrix-Archivdatei in das IVE.
b.
Aktivieren Sie das Kontrollkästchen Expand uploaded archive, da die
Archivdatei mehrere JAR- und CAB-Dateien enthält.
c.
Geben Sie beliebige Metaframe-Server an, mit denen diese Java-Applets
eine Verbindung herstellen können.
d. Weisen Sie das Ressourcenprofil den entsprechenden Rollen zu.
(Detaillierte Anweisungen finden Sie unter „Definieren von Ressourcenprofilen:
Gehostete Java-Applets“ auf Seite 392.)
4. Generieren Sie auf der Registerkarte Bookmarks des Ressourcenprofils die
Webseite für das Lesezeichen. Das IVE fügt nun automatisch alle .jar- und .cabDateien in die entsprechende Webseite ein. Geben Sie anschließend Parameter
für den Citrix-Client ein. Orientieren Sie sich dabei an folgendem Beispiel.
(Beachten Sie, dass das nachfolgende Lesezeichen Verweise auf die JAR- und
CAB-Dateien in der ZIP-Datei enthält.)
<html>
<head>
<title>CitrixJICA Applet.</title>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
398
Verwendungsbeispiel: Erstellen eines Lesezeichens für ein Java-Applet mit Citrix JICA Version 8.0
Kapitel 14: Gehostete Java-Applets
</head>
<body>
<applet code="com.citrix.JICA"
codebase="<< CODEBASE >>"
archive="JICA-configN.jar,JICA-coreN.jar"
width="640" height="480"
name="CitrixJICA" align="top">
<param name="code" value="com.citrix.JICA">
<param name="codebase" value="<< CODEBASE >>">
<param name="archive" value="JICA-configN.jar,JICA-coreN.jar">
<param name="cabbase" value="JICA-configM.cab,JICA-coreM.cab">
<param name="name" value="CitrixJICA">
<param name="width" value="640">
<param name="height" value="480">
<param name="align" value="top">
<!-Please specify additional params here after the comment.
<param name="paramname" value="paramvalue">
-->
<param name="Address" value="YourMetaFrameServer.YourCompany.net">
<param name="Username" value="<<USERNAME>>">
<param name="password" value="<<PASSWORD>>"> <param
name="initialprogram" value="#notepad">
<param name="EncryptionLevel" value="1">
<param name="BrowserProtocol" value="HTTPonTCP">
</applet>
</body>
</html>
Verwendungsbeispiel: Erstellen eines Lesezeichens für ein Java-Applet mit Citrix JICA Version 8.0 399
Juniper Networks Secure Access – Administratorhandbuch
400
Verwendungsbeispiel: Erstellen eines Lesezeichens für ein Java-Applet mit Citrix JICA Version 8.0
Kapitel 15
Neuschreiben von Dateien
Ein Dateiressourcenprofil steuert den Zugriff auf Ressourcen, die sich auf WindowsServerfreigaben oder Unix-Servern befinden. In diesem Abschnitt finden Sie die
folgenden Informationen über die Konfiguration der Optionen für das Neuschreiben
von Dateien:
„Lizenzierung: Verfügbarkeit der Funktion zum Neuschreiben von Dateien“ auf
Seite 401
„Definieren von Ressourcenprofilen: Neuschreiben von Dateien“ auf Seite 401
„Definieren von Rolleneinstellungen: Windows-Ressourcen“ auf Seite 409
„Definieren von Ressourcenrichtlinien: Windows-Dateiressourcen“ auf Seite 412
„Definieren von Rolleneinstellungen: UNIX/NFS-Dateiressourcen“ auf Seite 419
„Definieren von Ressourcenrichtlinien: UNIX/NFS-Dateiressourcen“ auf Seite 421
Lizenzierung: Verfügbarkeit der Funktion zum Neuschreiben von Dateien
Das Neuschreiben von Dateien ist eine Standardfunktion in allen Secure AccessAppliances, mit Ausnahme der SA 700. Wenn Sie eine SA-700-Appliance verwenden,
müssen Sie einen Aktualisierungslizenzschlüssel für den clientlosen Kernzugriff
installieren, damit Sie auf die Funktion zum Neuschreiben von Dateien zugreifen können.
Definieren von Ressourcenprofilen: Neuschreiben von Dateien
Ein Dateiressourcenprofil steuert den Zugriff auf Ressourcen, die sich auf WindowsServerfreigaben oder Unix-Servern befinden. (Weitere Informationen über
Ressourcenprofile finden Sie unter „Ressourcenprofile“ auf Seite 75.)
So erstellen Sie ein Ressourcenprofil für das Neuschreiben von Dateien:
1. Navigieren Sie zur Seite Users > Resource Profiles > Files in der
Administratorkonsole.
2. Klicken Sie auf New Profile.
3. Wählen Sie in der Liste Type Windows oder Unix aus.
Lizenzierung: Verfügbarkeit der Funktion zum Neuschreiben von Dateien
401
Juniper Networks Secure Access – Administratorhandbuch
4. Geben Sie einen eindeutigen Namen und ggf. eine Beschreibung für das
Ressourcenprofil ein. (Dieser Name ist der Standardname des Lesezeichens.)
5. Geben Sie die Ressource ein, deren Zugriff Sie steuern möchten. Beachten Sie
dabei, dass das Format der Ressource vom Typ des zu erstellenden
Ressourcenprofils abhängt:
Windows – Geben Sie den Servernamen oder die IP-Adresse, den
Freigabenamen und ggf. den Pfad ein, dessen Zugriff Sie steuern möchten,
ins Feld Server/share ein. Verwenden Sie beim Eingeben der Ressource das
folgende Format: \\Server[\Freigabe[\Pfad]].
Unix – Geben Sie den Servernamen oder die IP-Adresse und ggf. den Pfad,
dessen Zugriff Sie steuern möchten, ins Feld Server ein. Verwenden Sie
beim Eingeben der Ressource das folgende Format: Server[/Pfad]
Detaillierte Anweisungen finden Sie in „Definieren von Dateiressourcen“ auf
Seite 403. (Das IVE verwendet das angegebene Verzeichnis für das Definieren
des Standardlesezeichens für das Ressourcenprofil.)
6. Erstellen Sie im Abschnitt Autopolicy: Windows File Access Control oder
Autopolicy: Unix Access Control eine Richtlinie, die Benutzern den Zugriff auf
die im vorherigen Schritt angegebene Ressource gewährt oder verweigert. (Sie
müssen zumindest auf Add klicken, um die Zugriffssteuerungsrichtlinie zu
verwenden, die das IVE automatisch für Sie erstellt. Diese Richtlinie gewährt
den Zugriff auf das angegebene Verzeichnis und allen Unterverzeichnissen.)
Weitere detaillierte Anweisungen finden Sie unter „Definieren einer AutoRichtlinie für die Dateizugriffssteuerung“ auf Seite 404.
7. (Optional) Klicken Sie auf Show ALL autopolicy types, um zuszliche AutoRichtlinien zu erstellen, die den Zugriff auf die Ressource präzisieren. Erstellen Sie
dann die Auto-Richtlinien mithilfe der Anweisungen in den folgenden Abschnitten:
„Definieren einer Auto-Richtlinie für die Dateikomprimierung“ auf Seite 405
„Definieren einer Auto-Richtlinie für die Einzelanmeldung (nur Windows)“
auf Seite 405
HINWEIS: Weitere Informationen über das Festlegen von Codierungsoptionen für
Windows- oder Unix-Ressourcen finden Sie unter „Codieren von Dateien“ auf
Seite 904. (Die Codierung ist eine erweiterte Option, die zurzeit nur über
Ressourcenrichtlinien konfiguriert werden kann.)
8. Klicken Sie auf Save and Continue.
9. Wählen Sie auf der Registerkarte Roles die Rollen aus, auf die das Ressourcenprofil
angewendet werden soll, und klicken Sie auf Add.
402
Definieren von Ressourcenprofilen: Neuschreiben von Dateien
Kapitel 15: Neuschreiben von Dateien
Die ausgewählten Rollen übernehmen die durch das Ressourcenprofil erstellten
Auto-Richtlinien und Lesezeichen. Ist die Option Files, Windows oder Files,
UNIX/NFS noch nicht aktiviert, wird sie vom IVE auf der Seite Users > User
Roles > Rolle auswählen > General > Overview der Administratorkonsole
ebenfalls für alle ausgewählten Rollen automatisch aktiviert.
10. Klicken Sie auf Save Changes.
11. (Optional) Ändern Sie auf der Registerkarte Bookmarks das vom IVE erstellte
Standardlesezeichen, und/oder erstellen Sie neue Lesezeichen. Befolgen Sie
dazu die Anweisungen unter „Definieren eines Dateilesezeichens“ auf
Seite 407. (Standardmäßig erstellt das IVE ein Lesezeichen für die im Feld
Windows oder Unix definierte Ressource und zeigt es allen Benutzern an, die
der auf der Registerkarte Roles angegebenen Rolle zugeordnet sind.)
Definieren von Dateiressourcen
Beim Erstellen eines Dateiressourcenprofils (wie in „Definieren von Ressourcenprofilen:
Neuschreiben von Dateien“ auf Seite 401 beschrieben) müssen Sie die folgenden
Formate verwenden, wenn Sie die primäre Ressource der Ressourcenrichtlinie sowie
deren Auto-Richtlinienressourcen erstellen.
Windows-Ressourcen
\\server[\share[\path]]
Unix-Ressourcen:
server[/path]
Die drei Komponenten in diesen Formaten sind Folgende:
Server (erforderlich) – Mögliche Werte:
Hostname – Die Systemvariable <username> darf beim Definieren des
Hostnamens verwendet werden.
IP-Adresse – Die IP-Adresse muss in folgendem Format angegeben
werden: a.b.c.d
Die beiden vorangehenden umgekehrten Schrägstriche (\\) sind für WindowsRessourcen erforderlich, die nicht das NFS-Format aufweisen.
Freigabe (erforderlich, nur unter Windows) – Die Systemvariable <username>
darf verwendet werden. Beachten Sie, dass das IVE beim Herstellen einer
Verbindung zu einer Windows-Dateifreigabe die Ports 445 und 139 verwendet.
Pfad (optional) – Sonderzeichen sind zulässig, einschließlich:
Tabelle 28: Sonderzeichen im Pfad
*
Entspricht einem beliebigen Zeichen. Beachten Sie, dass Sie beim
Definieren der primären Ressource eines Ressourcenprofils (d. h. im
FeldServer/share für Windows-Ressourcen oder im Serverfeld für
Unix-Ressourcen) nicht das Platzhalterzeichen * verwenden dürfen.
Definieren von Ressourcenprofilen: Neuschreiben von Dateien
403
Juniper Networks Secure Access – Administratorhandbuch
Tabelle 28: Sonderzeichen im Pfad (Fortsetzung)
%
Entspricht einem beliebigen Zeichen außer dem Schrägstrich (/)
?
Entspricht genau einem Zeichen
Gültige Windows-Ressourcen:
\\juniper.com\dana
\\10.11.0.10\share\web
\\10.11.254.227\public\test.doc
Gültige Unix-Ressourcen:
juniper.com/dana
10.11.0.10/share/web
10.11.254.227/public/test.doc
Definieren einer Auto-Richtlinie für die Dateizugriffssteuerung
Durch Richtlinien für die Dateizugriffssteuerung werden die Ressourcen auf den
Dateiservern festgelegt, auf die Benutzer zugreifen dürfen. Beim Definieren eines
Dateiressourcenprofils müssen Sie eine entsprechende Auto-Richtlinie für die
Zugriffssteuerung erstellen, die den Zugriff auf die primäre Ressource des Profils
gewährt. Das IVE vereinfacht diesen Vorgang, indem es automatisch eine AutoRichtlinie erstellt, die den Zugriff auf das im Feld Server/share (Windows) bzw.
Server (Unix) angegebene Verzeichnis und dessen gesamte Unterverzeichnisse
gewährt. Um diese Auto-Richtlinie zu aktivieren, müssen Sie diese nur auswählen
und auf Add klicken.
Bei Bedarf können Sie diese standardmäßige Auto-Richtlinie auch ändern oder
zusätzliche Auto-Richtlinien für den Dateizugriff erstellen, die den Zugriff auf
weitere Ressourcen gewähren oder verweigern.
So erstellen Sie eine neue Auto-Richtlinie für die Dateizugriffssteuerung:
1. Erstellen Sie ein Dateiressourcenprofil, wie in „Definieren von
Ressourcenprofilen: Neuschreiben von Dateien“ auf Seite 401 beschrieben.
2. Aktivieren Sie ggf. das Kontrollkästchen Autopolicy: Windows File Access
Control oder Autopolicy: Unix Access Control.
3. Geben Sie im Feld Resource die Ressource an, für die diese Richtlinie gilt.
Verwenden Sie dabei folgendes Format: \\server[\share[\path]] für WindowsRessourcen und \\server[\path] für Unix-Ressourcen. Detaillierte Anweisungen
finden Sie in „Definieren von Dateiressourcen“ auf Seite 403.
4. Wählen Sie in der Liste Action eine der folgenden Optionen aus:
404
Allow – Wählen Sie diese Option, um den Zugriff auf die angegebene
Ressource zu gewähren.
Read-only – Wählen Sie diese Option, wenn die Benutzer die angegebene
Ressource anzeigen, aber nicht bearbeiten dürfen.
Definieren von Ressourcenprofilen: Neuschreiben von Dateien
Kapitel 15: Neuschreiben von Dateien
Deny – Wählen Sie diese Option, um den Zugriff auf die angegebene Ressource
zu verhindern.
5. Klicken Sie auf Add.
6. Klicken Sie auf Save Changes.
Definieren einer Auto-Richtlinie für die Dateikomprimierung
Die Auto-Richtlinien für die Komprimierung geben an, welche Dateidatentypen das
IVE komprimieren soll, wenn Sie auf der Seite Maintenance > System > Options
der Administratorkonsole die GZIP-Komprimierung aktivieren. Weitere
Informationen finden Sie unter „Ausführen der Komprimierung“ auf Seite 899.
So erstellen Sie eine Auto-Richtlinie für die Dateikomprimierung:
1. Erstellen Sie ein Dateiressourcenprofil, wie in „Definieren von Ressourcenprofilen:
Neuschreiben von Dateien“ auf Seite 401 beschrieben.
2. Klicken Sie auf Show ALL autopolicy types.
3. Aktivieren Sie das Kontrollkästchen Autopolicy: Windows File Compression
oder Autopolicy: Unix File Compression.
4. Geben Sie im Feld Resource die Ressource an, für die diese Richtlinie gilt.
Verwenden Sie dabei folgendes Format: \\server[\share[\path]] für WindowsRessourcen und \\server[\path] für Unix-Ressourcen. Detaillierte Anweisungen
finden Sie in „Definieren von Dateiressourcen“ auf Seite 403.
5. Wählen Sie im Feld Action eine der folgenden Optionen aus:
Compress – Wählen Sie diese Option, um Daten aus der angegebenen
Ressource zu komprimieren.
Do not compress – Wählen Sie diese Option, um die Komprimierung für
die angegebene Ressource zu deaktivieren.
Eine Liste der Datentypen für die Komprimierung durch das IVE finden Sie
unter „Unterstützte Datentypen“ auf Seite 900.
6. Klicken Sie auf Add.
Definieren einer Auto-Richtlinie für die Einzelanmeldung (nur Windows)
Durch Auto-Richtlinien für die Einzelanmeldung (SSO) wird das IVE für eine
automatische Übertragung der Anmeldedaten an eine Windows-Freigabe oder ein
Windows-Verzeichnis konfiguriert, damit der Benutzer seine Anmeldedaten nicht
erneut wie unter „Einzelanmeldung“ auf Seite 203 beschrieben eingeben muss.
So erstellen Sie eine Auto-Richtlinie für die Windows-Einzelanmeldung:
1. Erstellen Sie ein Dateiressourcenprofil für Windows, wie in „Definieren von
Ressourcenprofilen: Neuschreiben von Dateien“ auf Seite 401 beschrieben.
2. Klicken Sie auf Show ALL autopolicy types.
Definieren von Ressourcenprofilen: Neuschreiben von Dateien
405
Juniper Networks Secure Access – Administratorhandbuch
3. Aktivieren Sie das Kontrollktchen Autopolicy: Windows Server Single Sign-On.
4. Geben Sie im Feld Resource die Ressource an, für die diese Richtlinie gilt.
Verwenden Sie dabei folgendes Format: \\Server[\Freigabe[\Pfad]]. Detaillierte
Anweisungen finden Sie in „Definieren von Dateiressourcen“ auf Seite 403.
5. Wählen Sie eine der folgenden Optionen aus:
Use predefined credentials – Mit dieser Option legen Sie fest, dass die
Anmeldedaten an die Windows-Freigabe oder das Windows-Verzeichnis
weitergeleitet werden. Gehen Sie anschließend folgendermaßen vor:
i.
Geben Sie im Feld Username eine Variable (z.B. <USERNAME> ) oder
einen statischen Benutzernamen (z.B. administrator) ein, der an die
Windows-Freigabe oder das Windows-Verzeichnis übertragen werden
soll. Beim Eingeben einer Variablen können Sie auch eine Domäne
angeben. Beispiel: yourcompany.net\<USERNAME>.
ii.
Geben Sie eine IVE-Variable (z.B. <PASSWORD>) in das Feld Variable
Password oder ein statisches Kennwort in das Feld Variable ein. Das
IVE maskiert das hier eingegebene Kennwort mit Sternchen.
Beachten Sie bei der Eingabe statischer Anmeldedaten, dass der IVE-Server für
die Dateinavigation die Verbindungen mit einer Serverfreigabe offen hält,
sodass die Verbindung mit einem anderen Ordner auf derselben Freigabe über
ein anderes Konto möglicherweise nicht zuverlässig funktioniert.
Wenn die angegebenen Anmeldedaten fehlschlagen, sendet das IVE wie
unter „Anmeldedaten für mehrfaches Anmelden – Übersicht“ auf Seite 205
beschrieben alternative Anmeldedaten.
Disable SSO – Wählen Sie diese Option aus, wenn das IVE die
Anmeldedaten automatisch an die angegebene Windows-Freigabe oder das
angegebene Windows-Verzeichnis weiterleiten soll.
6. Klicken Sie auf Save Changes.
406
Definieren von Ressourcenprofilen: Neuschreiben von Dateien
Kapitel 15: Neuschreiben von Dateien
Definieren eines Dateilesezeichens
Beim Erstellen eines Dateiressourcenprofils erstellt das IVE automatisch ein
Lesezeichen auf die primäre Ressource, die Sie im Ressourcenprofil angegeben
haben. Das IVE ermöglicht das Bearbeiten dieses Lesezeichens und das Erstellen
zusätzlicher Lesezeichen in der gleichen Domäne.
HINWEIS: Beachten Sie beim Konfigurieren von Lesezeichen Folgendes:
Sie können Lesezeichen nur Rollen zuweisen, die Sie bereits dem Ressourcenprofil
zugeordnet haben. Sie können sie nicht allen Rollen im IVE zuweisen. Um die Liste
der dem Ressourcenprofil zugeordneten Rollen zu ändern, verwenden Sie die
Einstellungen auf der Registerkarte Roles des Profils.
Die Lesezeichen legen im Grunde genommen nur fest, welche Links das IVE den
Benutzern anzeigt. Sie legen nicht die Ressourcen fest, auf die der Benutzer
zugreifen kann. Wenn Sie beispielsweise den Zugriff auf ein Windows-Verzeichnis
gewähren, aber kein Lesezeichen für dieses Verzeichnis erstellt haben, können die
Benutzer über den Windows Explorer auf das Verzeichnis zugreifen.
Sie können keine Lesezeichen erstellen, die auf zusätzliche durch Auto-Richtlinien
für die Dateizugriffssteuerung definierte Server verweisen.
Wenn Sie zum Verweisen auf eine Dateiverknüpfung ein Lesezeichen verwenden,
zeigt das IVE nur Lesezeichen mit Verknüpfungen zu Dateien oder Ordnern auf
einer Netzwerkfreigabe (z.B. \\server5\share\users\jdoe\file.txt) an. Das IVE
zeigt jedoch keine Lesezeichen mit Verknüpfungen zu lokalen Verzeichnissen an
(z.B. C:\users\jdoe\file.txt).
Weitere Informationen über Lesezeichen für Ressourcenprofile finden Sie unter
„Definieren von Lesezeichen“ auf Seite 82.
So konfigurieren Sie Lesezeichen für Dateiressourcenprofile:
1. Wenn Sie Lesezeichen für Ressourcenprofile über die standardmäßige
Ressourcenprofilseite erstellen möchten, gehen Sie folgendermaßen vor:
a.
Navigieren Sie zur Seite Users > Resource Profiles > Files >
Ressourcenprofil auswählen > Bookmarks in der Administratorkonsole.
b.
Klicken Sie in der Spalte Bookmark auf den entsprechenden Link, wenn
Sie ein vorhandenes Lesezeichen bearbeiten möchten. Oder klicken Sie auf
New Bookmark, um ein zusätzliches Lesezeichen zu erstellen.
Wenn Sie stattdessen ein Lesezeichen für Ressourcenprofile über die Seite mit
den Benutzerrollen erstellen möchten, gehen Sie folgendermaßen vor:
a.
Navigieren Sie zur Seite Users > User Roles > Rolle auswählen> Files >
Windows Bookmarks|Unix Bookmarks in der Administratorkonsole.
b.
Klicken Sie auf New Bookmark.
c.
Wählen Sie in der Liste Type File Resource Profile aus. (Das IVE zeigt diese
Option nur an, wenn Sie zuvor ein Dateiressourcenprofil erstellt haben.)
Definieren von Ressourcenprofilen: Neuschreiben von Dateien
407
Juniper Networks Secure Access – Administratorhandbuch
d. Wählen Sie ein Ressourcenprofil.
e.
Klicken Sie auf OK. (Wenn Sie die ausgewählte Rolle noch dem
Ressourcenprofil zugeordnet haben, führt das IVE diese Zuordnung
automatisch aus.) Das IVE aktiviert zudem alle vom Ressourcenprofil
geforderten Zugriffssteuerungsrichtlinien für die Rolle.)
f.
Wenn diese Rolle noch nicht dem ausgewählten Ressourcenprofil zugeordnet
ist, zeigt das IVE eine entsprechende Meldung an. Wenn diese Meldung
angezeigt wird, klicken Sie auf Save Changes, um diese Rolle der Liste mit
den Rollen des Ressourcenprofils hinzuzufügen und die Auto-Richtlinien des
Profils entsprechend zu aktualisieren. Wiederholen Sie anschließend die
vorangegangenen Schritte, um das Lesezeichen zu erstellen.
HINWEIS: Wenn Sie ein Lesezeichen für ein Ressourcenprofil über die Seite mit den
Benutzerrollen erstellen (anstatt über die standardmäßige Ressourcenprofilseite),
ordnet das IVE nur das generierte Lesezeichen der ausgewählten Rolle zu. Das IVE
weist das Lesezeichen nicht allen Rollen zu, die dem ausgewählten Ressourcenprofil
zugeordnet sind.
2. Ändern Sie bei Bedarf den Namen und die Beschreibung des Lesezeichens. (In
der Standardeinstellung füllt das IVE die Namen des Lesezeichens unter
Verwendung des Ressourcenprofilnamens auf.)
3. Fügen Sie im Feld File Browsing Path der Ressource ein Suffix hinzu, wenn Sie
Links zu Unterverzeichnissen der im primären Ressourcenprofil definierten
Ressource erstellen möchten. Informationen zu Systemvariablen und Attributen,
die in das Lesezeichen integriert werden, finden Sie unter „Verwendung von
Systemvariablen in Bereichen, Rollen und Ressourcenrichtlinien“ auf Seite 929.
HINWEIS: Geben Sie in dieses Feld einen eindeutigen Server und einen
eindeutigen Pfad ein. Werden zwei Lesezeichen erstellt, die dieselbe verkettete
Zeichenfolge für Server und Pfad beinhalten, löscht das IVE eines der Lesezeichen
aus der Endbenutzeransicht. Die beiden Lesezeichen können nach wie vor
angezeigt werden, jedoch nur in der Administratorkonsole.
4. Wählen Sie im Abschnitt Appearance eine der folgenden Optionen aus:
408
Appear as bookmark on homepage and in file browsing – Wählen Sie
diese Option, wenn das Lesezeichen sowohl auf der Willkommensseite des
Benutzers als auch beim Navigieren durch Netzwerkdateien angezeigt
werden soll.
Appear in file browsing only – Wählen Sie diese Option, wenn das
Lesezeichen dem Benutzer nur beim Navigieren durch Netzwerkdateien
angezeigt werden soll.
Definieren von Ressourcenprofilen: Neuschreiben von Dateien
Kapitel 15: Neuschreiben von Dateien
5. Wenn Sie das Lesezeichen über die Ressourcenprofilseiten konfigurieren, geben
Sie unter Roles die Rollen an, für die Sie das Lesezeichen anzeigen möchten:
ALL selected roles – Wählen Sie diese Option, um das Lesezeichen für alle
dem Ressourcenprofil zugeordneten Rollen anzuzeigen.
Subset of selected roles – Wählen Sie diese Option, um das Lesezeichen
einem Teil der dem Ressourcenprofil zugeordneten Rollen anzuzeigen. Wählen
Sie anschließend aus der Liste ALL Selected Roles Rollen aus, und klicken Sie
auf Add, um die Rollen in die Liste Subset of selected roles zu verschieben.
6. Klicken Sie auf Save Changes.
Definieren von Rolleneinstellungen: Windows-Ressourcen
Sie können Lesezeichen für Windows-Dateien auf zwei verschiedene Arten erstellen:
Create bookmarks through existing resource profiles (recommended) – Bei
dieser Methode füllt das IVE das Lesezeichen automatisch mit Schlüsselparametern
auf (z.B. der primäre Server und die primäre Freigabe). Dabei werden die
Einstellungen aus dem Ressourcenprofil verwendet. Darüber hinaus führt Sie das
IVE beim Erstellen des zugeordneten Ressourcenprofils auch durch den
Erstellvorgang aller erforderlichen Richtlinien für die Aktivierung des Zugriffs auf
das Lesezeichen. Konfigurationsanweisungen finden Sie unter „Definieren eines
Dateilesezeichens“ auf Seite 407.
Create standard bookmarks – Wenn Sie diese Option wählen, müssen Sie alle
Lesezeichenparameter während der Konfiguration manuell eingeben. Darüber
hinaus müssen Sie den Zugriff auf die Datei gewähren, indem Sie zur Rollenebene
navigieren und Ressourcenrichtlinien erstellen, die den Zugriff auf die im Lesezeichen
definierten Server ermöglichen. Konfigurationsanweisungen finden Sie unter
„Erstellen von erweiterten Lesezeichen für Windows-Ressourcen“ auf Seite 410.
Sie können Windows-Lesezeichen erstellen, die für dieser Rolle zugeordnete
Benutzer auf der Willkommensseite angezeigt werden. Sie können den IVEBenutzernamen des Benutzers in den URL-Pfad einfügen, um so einen schnellen
Zugriff auf die Netzwerkverzeichn
