Secure Access Administrationshandbuch
Transcription
Secure Access Administrationshandbuch
Secure Access Administrationshandbuch Instant Virtual Extranet Platform Juniper Networks Secure Access Administrationshandbuch Version 5.4 Juniper Networks, Inc. 1194 North Mathilda Avenue Sunnyvale, CA 94089 USA 408-745-2000 www.juniper.net Teilenummer: 54A081806-DE This product includes the Envoy SNMP Engine, developed by Epilogue Technology, an Integrated Systems Company. Copyright © 1986–1997, Epilogue Technology Corporation. All rights reserved. This program and its documentation were developed at private expense, and no part of them is in the public domain. This product includes memory allocation software developed by Mark Moraes, copyright © 1988, 1989, 1993, University of Toronto. This product includes FreeBSD software developed by the University of California, Berkeley, and its contributors. All of the documentation and software included in the 4.4BSD and 4.4BSD-Lite Releases is copyrighted by The Regents of the University of California. Copyright © 1979, 1980, 1983, 1986, 1988, 1989, 1991, 1992, 1993, 1994. The Regents of the University of California. All rights reserved. GateD software copyright © 1995, The Regents of the University. All rights reserved. Gate Daemon was originated and developed through release 3.0 by Cornell University and its collaborators. Gated is based on Kirton’s EGP, UC Berkeley’s routing daemon (routed), and DCN’s HELLO routing protocol. Development of Gated has been supported in part by the National Science Foundation. Portions of the GateD software copyright © 1988, Regents of the University of California. All rights reserved. Portions of the GateD software copyright © 1991, D. L. S. Associates. Juniper Networks, the Juniper Networks logo, NetScreen, NetScreen Technologies, the NetScreen logo, NetScreen-Global Pro, ScreenOS, and GigaScreen are registered trademarks of Juniper Networks, Inc. in the United States and other countries. The following are trademarks of Juniper Networks, Inc.: ERX, E-series, ESP, Instant Virtual Extranet, Internet Processor, J2300, J4300, J6300, J-Protect, J-series, J-Web, JUNOS, JUNOScope, JUNOScript, JUNOSe, M5, M7i, M10, M10i, M20, M40, M40e, M160, M320, M-series, MMD, NetScreen-5GT, NetScreen-5XP, NetScreen-5XT, NetScreen-25, NetScreen-50, NetScreen-204, NetScreen-208, NetScreen-500, NetScreen-5200, NetScreen-5400, NetScreen-IDP 10, NetScreen-IDP 100, NetScreen-IDP 500, NetScreen-Remote Security Client, NetScreen-Remote VPN Client, NetScreen-SA 1000 Series, NetScreen-SA 3000 Series, NetScreen-SA 5000 Series, NetScreen-SA Central Manager, NetScreen Secure Access, NetScreen-SM 3000, NetScreen-Security Manager, NMC-RX, SDX, Stateful Signature, T320, T640, T-series, and TX Matrix. All other trademarks, service marks, registered trademarks, or registered service marks are the property of their respective owners. All specifications are subject to change without notice. Products made or sold by Juniper Networks or components thereof might be covered by one or more of the following patents that are owned by or licensed to Juniper Networks: U.S. Patent Nos. 5,473,599, 5,905,725, 5,909,440, 6,192,051, 6,333,650, 6,359,479, 6,406,312, 6,429,706, 6,459,579, 6,493,347, 6,538,518, 6,538,899, 6,552,918, 6,567,902, 6,578,186, and 6,590,785. Copyright © 2006, Juniper Networks, Inc. All rights reserved. Printed in USA. Juniper Networks Secure Access – Administratorhandbuch, Version 5.4 Writers: Paul Battaglia, Gary Beichler, Claudette Hobbart, Mark Smallwood Editor: Claudette Hobbart Juniper Networks assumes no responsibility for any inaccuracies in this document. Juniper Networks reserves the right to change, modify, transfer, or otherwise revise this publication without notice. Year 2000 Notice Juniper Networks hardware and software products are Year 2000 compliant. The JUNOS software has no known time-related limitations through the year 2038. However, the NTP application is known to have some difficulty in the year 2036. Software License The terms and conditions for using this software are described in the software license contained in the acknowledgment to your purchase order or, to the extent applicable, to any reseller agreement or end-user purchase agreement executed between you and Juniper Networks. By using this software, you indicate that you understand and agree to be bound by those terms and conditions. Generally speaking, the software license restricts the manner in which you are permitted to use the software and may contain prohibitions against certain uses. The software license may state conditions under which the license is automatically terminated. You should consult the license for further details. For complete product documentation, please see the Juniper Networks Web site at www.juniper.net/techpubs. End User License Agreement READ THIS END USER LICENSE AGREEMENT ("AGREEMENT") BEFORE DOWNLOADING, INSTALLING, OR USING THE SOFTWARE. BY DOWNLOADING, INSTALLING, OR USING THE SOFTWARE OR OTHERWISE EXPRESSING YOUR AGREEMENT TO THE TERMS CONTAINED HEREIN, YOU (AS CUSTOMER OR IF YOU ARE NOT THE CUSTOMER, AS A REPRESENTATIVE/AGENT AUTHORIZED TO BIND THE CUSTOMER) CONSENT TO BE BOUND BY THIS AGREEMENT. IF YOU DO NOT OR CANNOT AGREE TO THE TERMS CONTAINED HEREIN, THEN (A) DO NOT DOWNLOAD, INSTALL, OR USE THE SOFTWARE, AND (B) YOU MAY CONTACT JUNIPER NETWORKS REGARDING LICENSE TERMS. 1. The Parties. The parties to this Agreement are Juniper Networks, Inc. and its subsidiaries (collectively “Juniper”), and the person or organization that originally purchased from Juniper or an authorized Juniper reseller the applicable license(s) for use of the Software (“Customer”) (collectively, the “Parties”). 2. The Software. In this Agreement, “Software” means the program modules and features of the Juniper or Juniper-supplied software, and updates and releases of such software, for which Customer has paid the applicable license or support fees to Juniper or an authorized Juniper reseller. 3. License Grant. Subject to payment of the applicable fees and the limitations and restrictions set forth herein, Juniper grants to Customer a non-exclusive and non-transferable license, without right to sublicense, to use the Software, in executable form only, subject to the following use restrictions: a. Customer shall use the Software solely as embedded in, and for execution on, Juniper equipment originally purchased by Customer from Juniper or an authorized Juniper reseller, unless the applicable Juniper documentation expressly permits installation on non-Juniper equipment. b. Customer shall use the Software on a single hardware chassis having a single processing unit, or as many chassis or processing units for which Customer has paid the applicable license fees. c. Product purchase documents, paper or electronic user documentation, and/or the particular licenses purchased by Customer may specify limits to Customer’s use of the Software. Such limits may restrict use to a maximum number of seats, registered endpoints, concurrent users, sessions, calls, connections, subscribers, clusters, nodes, or transactions, or require the purchase of separate licenses to use particular features, functionalities, services, applications, operations, or capabilities, or provide throughput, performance, configuration, bandwidth, interface, processing, temporal, or geographical limits. Customer’s use of the Software shall be subject to all such limitations and purchase of all applicable licenses. The foregoing license is not transferable or assignable by Customer. No license is granted herein to any user who did not originally purchase the applicable license(s) for the Software from Juniper or an authorized Juniper reseller. 4. Use Prohibitions. Notwithstanding the foregoing, the license provided herein does not permit the Customer to, and Customer agrees not to and shall not: (a) modify, unbundle, reverse engineer, or create derivative works based on the Software; (b) make unauthorized copies of the Software (except as necessary for backup purposes); (c) rent, sell, transfer, or grant any rights in and to any copy of the Software, in any form, to any third party; (d) remove any proprietary notices, labels, or marks on or in any copy of the Software or any product in which the Software is embedded; (e) distribute any copy of the Software to any third party, including as may be embedded in Juniper equipment sold in the secondhand market; (f) use any ‘locked’ or key-restricted feature, function, service, application, operation, or capability without first purchasing the applicable license(s) and obtaining a valid key from Juniper, even if such feature, function, service, application, operation, or capability is enabled without a key; (g) distribute any key for the Software provided by Juniper to any third party; (h) use the Software in any manner that extends or is broader than the uses purchased by Customer from Juniper or an authorized Juniper reseller; (i) use the Software on non-Juniper equipment where the Juniper documentation does not expressly permit installation on non-Juniper equipment; (j) use the Software (or make it available for use) on Juniper equipment that the Customer did not originally purchase from Juniper or an authorized Juniper reseller; or (k) use the Software in any manner other than as expressly provided herein. 5. Audit. Customer shall maintain accurate records as necessary to verify compliance with this Agreement. Upon request by Juniper, Customer shall furnish such records to Juniper and certify its compliance with this Agreement. 6. Confidentiality. The Parties agree that aspects of the Software and associated documentation are the confidential property of Juniper. As such, Customer shall exercise all reasonable commercial efforts to maintain the Software and associated documentation in confidence, which at a minimum includes restricting access to the Software to Customer employees and contractors having a need to use the Software for Customer’s internal business purposes. 7. Ownership. Juniper and Juniper’s licensors, respectively, retain ownership of all right, title, and interest (including copyright) in and to the Software, associated documentation, and all copies of the Software. Nothing in this Agreement constitutes a transfer or conveyance of any right, title, or interest in the Software or associated documentation, or a sale of the Software, associated documentation, or copies of the Software. 8. Warranty, Limitation of Liability, Disclaimer of Warranty. The warranty applicable to the Software shall be as set forth in the warranty statement that accompanies the Software (the “Warranty Statement”). Nothing in this Agreement shall give rise to any obligation to support the Software. Support services may be purchased separately. Any such support shall be governed by a separate, written support services agreement. TO THE MAXIMUM EXTENT PERMITTED BY LAW, JUNIPER SHALL NOT BE LIABLE FOR ANY LOST PROFITS, LOSS OF DATA, OR COSTS OR PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES, OR FOR ANY SPECIAL, INDIRECT, OR CONSEQUENTIAL DAMAGES ARISING OUT OF THIS AGREEMENT, THE SOFTWARE, OR ANY JUNIPER OR JUNIPER-SUPPLIED SOFTWARE. IN NO EVENT SHALL JUNIPER BE LIABLE FOR DAMAGES ARISING FROM UNAUTHORIZED OR IMPROPER USE OF ANY JUNIPER OR JUNIPER-SUPPLIED SOFTWARE. EXCEPT AS EXPRESSLY PROVIDED IN THE WARRANTY STATEMENT TO THE EXTENT PERMITTED BY LAW, JUNIPER DISCLAIMS ANY AND ALL WARRANTIES IN AND TO THE SOFTWARE (WHETHER EXPRESS, IMPLIED, STATUTORY, OR OTHERWISE), INCLUDING ANY IMPLIED WARRANTY OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE, OR NONINFRINGEMENT. IN NO EVENT DOES JUNIPER WARRANT THAT THE SOFTWARE, OR ANY EQUIPMENT OR NETWORK RUNNING THE SOFTWARE, WILL OPERATE WITHOUT ERROR OR INTERRUPTION, OR WILL BE FREE OF VULNERABILITY TO INTRUSION OR ATTACK. In no event shall Juniper’s or its suppliers’ or licensors’ liability to Customer, whether in contract, tort (including negligence), breach of warranty, or otherwise, exceed the price paid by Customer for the Software that gave rise to the claim, or if the Software is embedded in another Juniper product, the price paid by Customer for such other product. Customer acknowledges and agrees that Juniper has set its prices and entered into this Agreement in reliance upon the disclaimers of warranty and the limitations of liability set forth herein, that the same reflect an allocation of risk between the Parties (including the risk that a contract remedy may fail of its essential purpose and cause consequential loss), and that the same form an essential basis of the bargain between the Parties. 9. Termination. Any breach of this Agreement or failure by Customer to pay any applicable fees due shall result in automatic termination of the license granted herein. Upon such termination, Customer shall destroy or return to Juniper all copies of the Software and related documentation in Customer’s possession or control. 10. Taxes. All license fees for the Software are exclusive of taxes, withholdings, duties, or levies (collectively “Taxes”). Customer shall be responsible for paying Taxes arising from the purchase of the license, or importation or use of the Software. 11. Export. Customer agrees to comply with all applicable export laws and restrictions and regulations of any United States and any applicable foreign agency or authority, and not to export or re-export the Software or any direct product thereof in violation of any such restrictions, laws or regulations, or without all necessary approvals. Customer shall be liable for any such violations. The version of the Software supplied to Customer may contain encryption or other capabilities restricting Customer’s ability to export the Software without an export license. 12. Commercial Computer Software. The Software is “commercial computer software” and is provided with restricted rights. Use, duplication, or disclosure by the United States government is subject to restrictions set forth in this Agreement and as provided in DFARS 227.7201 through 227.7202-4, FAR 12.212, FAR 27.405(b)(2), FAR 52.227-19, or FAR 52.227-14(ALT III) as applicable. 13. Interface Information. To the extent required by applicable law, and at Customer's written request, Juniper shall provide Customer with the interface information needed to achieve interoperability between the Software and another independently created program, on payment of applicable fee, if any. Customer shall observe strict obligations of confidentiality with respect to such information and shall use such information in compliance with any applicable terms and conditions upon which Juniper makes such information available. 14. Third Party Software. Any licensor of Juniper whose software is embedded in the Software and any supplier of Juniper whose products or technology are embedded in (or services are accessed by) the Software shall be a third party beneficiary with respect to this Agreement, and such licensor or vendor shall have the right to enforce this Agreement in its own name as if it were Juniper. In addition, certain third party software may be provided with the Software and is subject to the accompanying license(s), if any, of its respective owner(s). To the extent portions of the Software are distributed under and subject to open source licenses obligating Juniper to make the source code for such portions publicly available (such as the GNU General Public License (“GPL”) or the GNU Library General Public License (“LGPL”)), Juniper will make such source code portions (including Juniper modifications, as appropriate) available upon request for a period of up to three years from the date of distribution. Such request can be made in writing to Juniper Networks, Inc., 1194 N. Mathilda Ave., Sunnyvale, CA 94089, ATTN: General Counsel. You may obtain a copy of the GPL at http://www.gnu.org/licenses/gpl.html, and a copy of the LGPL at http://www.gnu.org/licenses/lgpl.html. 15. Miscellaneous. This Agreement shall be governed by the laws of the State of California without reference to its conflicts of laws principles. The provisions of the U.N. Convention for the International Sale of Goods shall not apply to this Agreement. For any disputes arising under this Agreement, the Parties hereby consent to the personal and exclusive jurisdiction of, and venue in, the state and federal courts within Santa Clara County, California. This Agreement constitutes the entire and sole agreement between Juniper and the Customer with respect to the Software, and supersedes all prior and contemporaneous agreements relating to the Software, whether oral or written (including any inconsistent terms contained in a purchase order), except that the terms of a separate written agreement executed by an authorized Juniper representative and Customer shall govern to the extent such terms are inconsistent or conflict with terms contained herein. No modification to this Agreement nor any waiver of any rights hereunder shall be effective unless expressly assented to in writing by the party to be charged. If any portion of this Agreement is held invalid, the Parties agree that such invalidity shall not affect the validity of the remainder of this Agreement. This Agreement and associated documentation has been written in the English language, and the Parties agree that the English version will govern. (For Canada: Les parties aux présentés confirment leur volonté que cette convention de même que tous les documents y compris tout avis qui s'y rattaché, soient redigés en langue anglaise. (Translation: The parties confirm that this Agreement and all related documentation is and will be in the English language)). Inhaltsverzeichnis Das Handbuch xxiii Zielgruppe................................................................................................... xxiii Weiterführende Informationen ................................................................... xxiii Administrator- und Entwicklerdokumentation ...................................... xxiii Dokumentation zur Fehlermeldung ...................................................... xxiv Hardwaredokumentation...................................................................... xxiv Produktdownloads................................................................................ xxiv Konventionen ............................................................................................. xxiv Dokumentation ............................................................................................ xxv Versionshinweise................................................................................... xxv Webzugriff............................................................................................. xxv Kundensupport ............................................................................................ xxv Teil 1 Erste Schritte Kapitel 1 Erste Überprüfung und Schlüsselkonzepte 3 Überprüfen der Verfügbarkeit für die Benutzer ................................................ 3 Anlegen eines Testszenarios, um die Grundlagen und empfohlenen Vorgehensweisen für das IVE kennen zu lernen ........................................ 5 Definieren einer Benutzerrolle...................................................................6 Definieren eines Ressourcenprofils............................................................ 8 Definieren eines Authentifizierungsservers.............................................. 10 Definieren eines Authentifizierungsbereichs............................................ 13 Definieren einer Anmelderichtlinie.......................................................... 16 Verwenden des Testszenarios.................................................................. 19 Konfigurieren der Standardeinstellungen für Administratoren .......................22 Kapitel 2 Einführung in das IVE 23 Was ist das IVE?............................................................................................. 23 Welchen Leistungsumfang bietet das IVE? ..................................................... 25 Kann ich das IVE zum Sichern des Datenverkehrs zu allen Anwendungen, Servern und Webseiten des Unternehmens verwenden? .................. 25 Kann ich zum Authentifizieren von IVE-Benutzern bereits bestehende Server verwenden?............................................................................ 27 Kann ich den Zugriff auf das IVE und die von ihm vermittelten Ressourcen eingrenzen?....................................................................................... 27 Kann ich eine nahtlose Integration zwischen IVE und den von ihm vermittelten Ressourcen erstellten?................................................... 29 Kann ich das IVE zum Schutz vor infizierten Computern und bei anderen Sicherheitsbedenken verwenden? ..................................................... 29 Inhaltsverzeichnis vii Juniper Networks Secure Access – Administratorhandbuch Kann ich die Redundanz in meiner IVE-Umgebung sicherstellen? ........... 30 Kann ich die IVE-Schnittstelle an die Darstellung des Unternehmens anpassen? ......................................................................................... 30 Können Benutzer auf mehreren Computern und Geräten das IVE verwenden? ...................................................................................... 31 Verfügen die internationalen Benutzer über sicheren Zugriff?.................. 31 Wie konfiguriere ich das IVE?......................................................................... 31 Teil 2 Zugriffsverwaltung – Umgebung Kapitel 3 Allgemeine Zugriffsverwaltung 35 Lizenzierung: Verfügbarkeit der Zugriffsverwaltung ....................................... 36 Richtlinien, Regeln und Einschränkungen sowie Bedingungen – Übersicht .... 36 Zugreifen auf Authentifizierungsbereiche ................................................ 36 Zugreifen auf Benutzerrollen ................................................................... 37 Zugreifen auf Ressourcenrichtlinien......................................................... 38 Richtlinien, Regeln und Einschränkungen sowie Bedingungen – Auswertung ..................................................................... 39 Dynamische Richtlinienauswertung ............................................................... 41 Informationen zur dynamischen Richtlinienauswertung.......................... 42 Informationen zur standardmäßigen Richtlinienauswertung ................... 42 Aktivieren der dynamischen Richtlinienauswertung ................................ 43 Konfigurieren von Sicherheitsanforderungen ................................................. 44 Angeben von Quell-IP-Zugriffseinschränkungen ...................................... 45 Angeben von Browserzugriffseinschränkungen ....................................... 47 Angeben von Zertifikatzugriffseinschränkungen ...................................... 49 Angeben von Kennwortzugriffseinschränkungen..................................... 51 Angeben von Host Checker-Zugriffseinschränkungen .............................. 52 Angeben von Cache Cleaner-Zugriffseinschränkungen ............................ 52 Angeben von Begrenzungsbeschränkungen............................................. 52 Kapitel 4 Benutzerrollen 53 Lizenzierung: Verfügbarkeit von Benutzerrollen ............................................. 54 Benutzerrollenbewertung ............................................................................... 54 Richtlinien für permissive Zusammenführungen ..................................... 55 Konfigurieren von Benutzerrollen .................................................................. 56 Konfigurieren allgemeiner Rollenoptionen .............................................. 57 Konfigurieren von Rolleneinschränkungen .............................................. 58 Festlegen von rollenbasierten Quell-IP-Aliasen ........................................ 59 Festlegen von Sitzungsoptionen .............................................................. 60 Festlegen von benutzerdefinierten Benutzeroberflächeneinstellungen..... 63 Festlegen von Standardoptionen für Benutzerrollen ................................ 68 Benutzeroberflächen zur Anpassung der Benutzerrollen ................................ 70 Kapitel 5 Ressourcenprofile 75 Lizenzierung: Verfügbarkeit von Ressourcenprofilen...................................... 76 Aufgabenzusammenfassung: Konfigurieren von Ressourcenprofilen ............. 76 Komponenten eines Ressourcenprofils .......................................................... 76 Definieren von Ressourcen...................................................................... 79 Definieren von Auto-Richtlinien............................................................... 80 viii Inhaltsverzeichnis Inhaltsverzeichnis Definieren von Rollen.............................................................................. 81 Definieren von Lesezeichen..................................................................... 82 Ressourcenprofilvorlagen............................................................................... 83 Kapitel 6 Ressourcenrichtlinien 85 Lizenzierung: Verfügbarkeit der Ressourcenrichtlinien................................... 86 Bestandteile einer Ressourcenrichtlinie.......................................................... 87 Angeben von Ressourcen für eine Ressourcenrichtlinie........................... 87 Auswerten von Ressourcenrichtlinien ............................................................ 90 Erstellen detaillierter Regeln für Ressourcenrichtlinien................................... 92 Schreiben einer detaillierten Regel .......................................................... 93 Benutzeroberflächen zur Anpassung der Ressourcenrichtlinien ..................... 94 Kapitel 7 Authentifizierungs- und Verzeichnisserver 95 Lizenzierung: Verfügbarkeit von Authentifizierungsservern............................ 96 Aufgabenzusammenfassung: Konfigurieren von Authentifizierungsservern ... 97 Definieren einer Authentifizierungsserverinstanz........................................... 98 Definieren einer Authentifizierungsserverinstanz .................................... 98 Ändern einer bestehenden Authentifizierungsserverinstanz .................... 99 Konfigurieren einer Instanz eines anonymen Servers .................................... 99 Beschränkungen von anonymen Servern ..............................................100 Definieren einer Instanz eines anonymen Servers.................................100 Konfigurieren einer ACE-/Serverinstanz .......................................................101 Festlegen einer ACE/Serverinstanz ........................................................102 Generieren einer ACE/Agent-Konfigurationsdatei...................................103 Konfigurieren einer Active Directory- oder einer NT-Domäneninstanz.........104 Definieren einer Active Directory- oder Windows NT-Domänenserverinstanz..............................................................105 Domänenübergreifende Benutzerauthentifizierung ...............................108 Unterstützung der Gruppensuche für Active Directory und NT ..............110 Konfigurieren einer Zertifikatserverinstanz ..................................................111 Konfigurieren einer LDAP-Serverinstanz ......................................................113 Festlegen einer LDAP-Serverinstanz ......................................................113 Konfigurieren von LDAP-Suchattributen für Konferenzersteller .............116 Anzeigen und Löschen von aktiven Benutzersitzungen..........................117 Aktivieren der LDAP-Kennwortverwaltung ............................................117 Konfigurieren einer lokalen Authentifizierungsserverinstanz........................121 Definieren einer lokalen Authentifizierungsserverinstanz ......................122 Erstellen von Benutzerkonten auf einem lokalen Authentifizierungsserver .................................................................124 Verwalten von Benutzerkonten..............................................................125 Delegieren von Benutzerverwaltungsrechten an Endbenutzer ...............126 Konfigurieren einer NIS-Serverinstanz .........................................................127 Konfigurieren einer RADIUS-Serverinstanz ..................................................128 Optionen für RADIUS-Benutzer..............................................................129 Konfigurieren des IVE für die Zusammenarbeit mit einem RADIUS-Server ................................................................................130 Aktivieren der RADIUS-Kontoverwaltung...............................................132 Konfigurieren einer Netegrity SiteMinder-Instanz.........................................142 Netegrity SiteMinder – Übersicht ...........................................................143 Konfigurieren von SiteMinder für die Zusammenarbeit mit dem IVE.....147 Konfigurieren des IVE für die Zusammenarbeit mit SiteMinder .............153 Debuggen von SiteMinder- und IVE-Problemen .....................................167 Inhaltsverzeichnis ix Juniper Networks Secure Access – Administratorhandbuch Konfigurieren einer SAML-Serverinstanz ......................................................168 Verwenden des Artifact- und des POST-Profils.......................................168 Konfigurieren einer SAML-Serverinstanz ...............................................173 Kapitel 8 Authentifizierungsbereiche 177 Lizenzierung: Verfügbarkeit von Authentifizierungsbereichen......................178 Erstellen eines Authentifizierungsbereichs ...................................................178 Definieren von Authentifizierungsrichtlinien ................................................180 Erstellen von Rollenzuordnungsregeln .........................................................181 Angeben von Rollenzuordnungsregeln für einen Authentifizierungsbereich ...............................................................182 Anpassen von Benutzeroberflächenansichten für Benutzerbereiche.............190 Kapitel 9 Anmelderichtlinien 193 Lizenzierung: Verfügbarkeit der Anmelderichtlinien und -seiten ..................195 Aufgabenzusammenfassung: Konfigurieren von Anmelderichtlinien............195 Konfigurieren von Anmelderichtlinien .........................................................195 Definieren von Benutzeranmelderichtlinien ..........................................196 Definieren von Konferenzanmelderichtlinien ........................................197 Aktivieren und Deaktivieren von Anmelderichtlinien.............................199 Festlegen der Reihenfolge, in der die Anmelderichtlinien ausgewertet werden............................................................................................199 Konfigurieren von Anmeldeseiten................................................................200 Konfigurieren von Standardanmeldeseiten............................................200 Kapitel 10 Einzelanmeldung 203 Lizenzierung: Verfügbarkeit der Einzelanmeldung .......................................203 Einzelanmeldung – Übersicht.......................................................................204 Anmeldedaten für mehrfaches Anmelden – Übersicht .................................205 Aufgabenzusammenfassung: Konfigurieren mehrerer Authentifizierungsserver .................................................................206 Aufgabenzusammenfassung: Aktivieren von SSO für Ressourcen mit Schutz durch Standardauthentifizierung..........................................206 Aufgabenzusammenfassung: Aktivieren von SSO für NTLM-geschützte Ressourcen .....................................................................................207 Anmeldedaten für mehrfaches Anmelden – Ausführung .......................208 Konfigurieren von SAML ..............................................................................214 Konfigurieren von SAML-SSO-Profilen..........................................................217 Erstellen eines Artifact-Profils ................................................................217 Erstellen eines POST-Profils...................................................................222 Erstellen einer Zugriffssteuerungsrichtlinie ............................................225 Herstellen einer Vertrauensstellung zwischen SAML-fähigen Systemen ........................................................................................229 Teil 3 Endpoint Defense Kapitel 11 Host Checker 237 Lizenzierung: Verfügbarkeit von Host Checker.............................................238 Aufgabenzusammenfassung: Konfigurieren von Host Checker.....................238 x Inhaltsverzeichnis Inhaltsverzeichnis Erstellen globaler Richtlinien für Host Checker.............................................240 Aktivieren vordefinierter clientseitiger Richtlinien (nur Windows) .........241 Erstellen und Konfigurieren neuer clientseitiger Richtlinien...................245 Aktivieren angepasster serverseitiger Richtlinien...................................258 Aktivieren von Secure Virtual Workspace (sicherer virtueller Arbeitsbereich) ......................................................................................260 Secure Virtual Workspace – Funktionen ................................................260 Secure Virtual Workspace – Einschränkungen und Standardeinstellungen.....................................................................261 Konfigurieren von Secure Virtual Workspace.........................................262 Implementieren von Host Checker-Richtlinien .............................................267 Ausführen von Host Checker-Richtlinien................................................268 Konfigurieren von Host Checker-Einschränkungen................................270 Korrigieren von Host Checker-Richtlinien ....................................................272 Host Checker-Hilfsoptionen für Benutzer...............................................273 Konfigurieren der Host Checker-Hilfsoption ..........................................274 Definieren von Host Checker-Zugriffstunnel für die Vorauthentifizierungen ..........................................................................276 Festlegen von Host Checker-Zugriffstunneldefinitionen für die Vorauthentifizierungen....................................................................277 Festlegen von allgemeinen Host Checker-Optionen .....................................280 Angeben von Installationsoptionen für Host Checker ...................................282 Verwendung von Host Checker mit der automatischen GINA-Anmeldefunktion ...................................................................283 Automatische Installation von Host Checker..........................................284 Manuelle Installation von Host Checker .................................................284 Verwenden der Host Checker-Protokolle......................................................284 Kapitel 12 Cache Cleaner 287 Lizenzierung: Verfügbarkeit von Cache Cleaner ...........................................287 Festlegen globaler Optionen für Cache Cleaner............................................288 Implementieren der Cache Cleaner-Optionen ..............................................291 Cache Cleaner ausführen .......................................................................292 Angeben von Cache Cleaner-Einschränkungen ......................................294 Festlegen von Installationsoptionen für Cache Cleaner ................................295 Verwenden von Cache Cleaner-Protokollen..................................................296 Teil 4 Remotezugriff Kapitel 13 Neuschreiben von Webinhalt 299 Lizenzierung: Neuschreiben von Webinhalt – Verfügbarkeit ........................300 Aufgabenzusammenfassung: Konfigurieren der Funktion zum Neuschreiben von Webinhalt.................................................................300 Neuschreiben von Web-URLs – Überblick ....................................................302 Remote-SSO – Übersicht .......................................................................304 Durchgangsproxy – Überblick ...............................................................305 Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen ................................................................................308 Definieren von Basis-URLs.....................................................................310 Inhaltsverzeichnis xi Juniper Networks Secure Access – Administratorhandbuch Definieren einer automatischen Richtlinie für die Webzugriffssteuerung .....................................................................310 Definieren von Webressourcen .............................................................311 Definieren einer automatischen Richtlinie für Single Sign-On (Einzelanmeldung) ..........................................................................313 Definieren einer automatischen Richtlinie für Zwischenspeicherung .....317 Definieren einer automatischen Richtlinie für die Java-Zugriffssteuerung.....................................................................319 Definieren einer automatischen Richtlinie für Neuschreibevorgänge .....321 Definieren einer automatischen Richtlinie für Webkomprimierung .......326 Definieren eines Weblesezeichens.........................................................327 Definieren von Ressourcenprofilen: Citrix-Webanwendungen .....................329 Definieren von Ressourcenprofilen: Microsoft OWA ....................................333 Definieren von Ressourcenprofilen: Lotus iNotes .........................................336 Definieren von Ressourcenprofilen: Microsoft Sharepoint............................338 Definieren von Rolleneinstellungen: Web-URLs ...........................................340 Erstellen von Lesezeichen mit vorhandenen Ressourcenprofilen...........340 Erstellen von standardmäßigen Weblesezeichen ...................................341 Angeben von allgemeinen Webbrowsingoptionen.................................343 Definieren von Ressourcenrichtlinien: Übersicht..........................................347 Definieren von Ressourcenrichtlinien: Webzugriff .......................................349 Definieren von Ressourcenrichtlinien: Single Sign-On (Einzelanmeldung)....350 Schreiben einer Ressourcenrichtlinie zur Standardauthentifizierung bzw. NTLM-Vermittlung ..................................................................351 Schreiben einer Ressourcenrichtlinie für Remote-SSO-Form-POSTs ......353 Schreiben einer Ressourcenrichtlinie für Remote-SSO-Header und -Cookies ...................................................................................356 Definieren von Ressourcenrichtlinien: Caching ............................................358 Schreiben einer Ressourcenrichtlinie für die Zwischenspeicherung .......358 Erstellen von OWA- und Lotus Notes-Ressourcenrichtlinien für die Zwischenspeicherung......................................................................361 Angeben von allgemeinen Zwischenspeicherungsoptionen ...................362 Definieren von Ressourcenrichtlinien: Externe Java-Applets ........................362 Schreiben einer Ressourcenrichtlinie für die Java-Zugriffssteuerung ......362 Schreiben einer Ressourcenrichtlinie für die Java-Codesignatur.............364 Definieren von Ressourcenrichtlinien: Neuschreiben ...................................366 Erstellen einer Ressourcenrichtlinie für selektives Neuschreiben ...........366 Erstellen einer Ressourcenrichtlinie für Durchgangsproxys ...................369 Erstellen einer Ressourcenrichtlinie für benutzerdefinierte Header........372 Erstellen einer Ressourcenrichtlinie für ActiveX-Parameter ...................373 Wiederherstellen von standardmäßigen IVE ActiveX-Ressourcenrichtlinien.........................................................375 Erstellen von Filtern für Neuschreibevorgänge ......................................377 Definieren von Ressourcenrichtlinien: Webkomprimierung .........................377 Schreiben einer Ressourcenrichtlinie für Webkomprimierung ...............377 Definieren einer Ressourcenrichtlinie für eine OWA-Komprimierung ....378 Definieren von Ressourcenrichtlinien: Webproxy ........................................379 Schreiben einer Ressourcenrichtlinie für Webproxys.............................379 Angeben von Webproxyservern ............................................................380 Definieren von Ressourcenrichtlinien: HTTP 1.1-Protokoll ...........................382 Definieren von Ressourcenrichtlinien: Allgemeine Optionen........................384 Verwalten von Ressourcenrichtlinien: Anpassen von Benutzeroberflächenansichten...............................................................385 xii Inhaltsverzeichnis Inhaltsverzeichnis Kapitel 14 Gehostete Java-Applets 387 Lizenzierung: Verfügbarkeit der gehosteten Java-Applets .............................387 Aufgabenzusammenfassung: Hosten von Java-Applets.................................387 Übersicht über gehostete Java-Applets .........................................................388 Hochladen von Java-Applets in das IVE..................................................389 Signieren von hochgeladenen Java-Applets............................................390 Erstellen von HTML-Seiten, die auf die hochgeladenen Java-Applets verweisen .......................................................................................391 Zugreifen auf Lesezeichen für Java-Applets............................................391 Definieren von Ressourcenprofilen: Gehostete Java-Applets.........................392 Definieren eines Lesezeichens für gehostete Java-Applets .....................393 Verwendungsbeispiel: Erstellen eines Lesezeichens für ein Java-Applet mit Citrix JICA Version 8.0 ...........................................................................398 Kapitel 15 Neuschreiben von Dateien 401 Lizenzierung: Verfügbarkeit der Funktion zum Neuschreiben von Dateien ..401 Definieren von Ressourcenprofilen: Neuschreiben von Dateien ...................401 Definieren von Dateiressourcen ............................................................403 Definieren einer Auto-Richtlinie für die Dateizugriffssteuerung..............404 Definieren einer Auto-Richtlinie für die Dateikomprimierung ................405 Definieren einer Auto-Richtlinie für die Einzelanmeldung (nur Windows) ................................................................................405 Definieren eines Dateilesezeichens........................................................407 Definieren von Rolleneinstellungen: Windows-Ressourcen ..........................409 Erstellen von erweiterten Lesezeichen für Windows-Ressourcen ...........410 Erstellen von Windows-Lesezeichen für die Zuordnung zu LDAP-Servern..................................................................................411 Definieren von allgemeinen Optionen zum Navigieren durch Dateien...412 Definieren von Ressourcenrichtlinien: Windows-Dateiressourcen................412 Kanonisches Format: Windows-Dateiressourcen ...................................413 Schreiben einer Ressourcenrichtlinie für Windows-Zugriff.....................414 Schreiben einer Ressourcenrichtlinie für die Windows-Einzelanmeldung.............................................................416 Schreiben einer Ressourcenrichtlinie für die Windows-Komprimierung ...............................................................417 Definieren von allgemeinen Optionen zum Schreiben von Dateien .......418 Definieren von Rolleneinstellungen: UNIX/NFS-Dateiressourcen ..................419 Erstellen von erweiterten Lesezeichen für Unix-Ressourcen ..................420 Definieren von allgemeinen Optionen zum Navigieren durch Dateien...421 Definieren von Ressourcenrichtlinien: UNIX/NFS-Dateiressourcen ...............421 Kanonisches Format: UNIX/NFS-Dateiressourcen ..................................422 Schreiben von UNIX/NFS-Ressourcenrichtlinien ....................................423 Schreiben einer Ressourcenrichtlinie für die Unix/NFS-Komprimierung ...............................................................424 Definieren von allgemeinen Optionen zum Schreiben von Dateien .......425 Kapitel 16 Secure Application Manager 427 Lizenzierung: Secure Application Manager-Verfügbarkeit .............................428 Aufgabenzusammenfassung: Konfigurieren von WSAM...............................428 W-SAM – Übersicht ......................................................................................429 Sichern von Client-/Serverdatenverkehr mit WSAM ...............................430 Kompatibilität mit Antiviren- und VPN-Clientanwendungen ..................432 Starten von Network Connect während einer WSAM-Sitzung ................433 Inhaltsverzeichnis xiii Juniper Networks Secure Access – Administratorhandbuch Debuggen von WSAM-Problemen..........................................................433 Definieren von Ressourcenprofilen: WSAM..................................................433 Erstellen von WSAM-Clientanwendungs-Ressourcenprofilen .................434 Erstellen von WSAM-Zielnetzwerkressourcenprofilen ............................436 Definieren von Rolleneinstellungen: WSAM .................................................436 Angeben von Anwendungen und Servern, die mit WSAM gesichert werden sollen .................................................................................437 Festlegen von Anwendungen, die WSAM umgehen müssen..................439 Festlegen von WSAM-Optionen auf Rollenebene ...................................441 Herunterladen von WSAM-Anwendungen .............................................442 Definieren von Ressourcenrichtlinien: WSAM ..............................................443 Festlegen von Anwendungsservern, auf die Benutzer Zugriff erhalten...443 Festlegen von WSAM-Optionen auf Ressourcenebene ...........................445 Verwenden des W-SAM-Startprogramms .....................................................445 Manuelles Ausführen von Skripts...........................................................447 Automatisches Ausführen von Skripts ...................................................448 Aufgabenzusammenfassung: Konfigurieren von JSAM .................................449 J-SAM Übersicht ...........................................................................................451 Verwenden von JSAM für die Client-/Serverkommunikation ..................451 Linux- und Macintosh-Unterstützung .....................................................460 Standardmäßige Anwendungsunterstützung: MS Outlook .....................460 Standardmäßige Anwendungsunterstützung: Lotus Notes .....................462 Standardmäßige Anwendungsunterstützung: Citrix Web Interface for MetaFrame (NFuse Classic) .............................................................464 Benutzerdefinierte Anwendungsunterstützung: Von Citrix veröffentlichte mit einem systemeigenen Client konfigurierte Anwendungen ........465 Benutzerdefinierte Anwendungsunterstützung: Citrix Secure Gateways ........................................................................................467 Definieren von Ressourcenprofilen: JSAM ....................................................468 Definieren von Rolleneinstellungen: JSAM ...................................................474 Angeben von Anwendungen, die mit JSAM gesichert werden sollen......474 Festlegen von JSAM-Optionen auf Rollenebene .....................................477 Definieren von Ressourcenrichtlinien: JSAM ................................................478 Automatisches Starten von JSAM ...........................................................479 Festlegen von Anwendungsservern, auf die Benutzer Zugriff erhalten...481 Festlegen von JSAM-Optionen auf Ressourcenebene .............................482 Kapitel 17 Telnet/SSH 485 Lizenzierung: Telnet/SSH – Verfügbarkeit ....................................................486 Aufgabenzusammenfassung: Konfigurieren der Funktion „Telnet/SSH“ .......486 Definieren von Ressourcenprofilen: Telnet/SSH ...........................................487 Definieren eines Lesezeichens für ein Telnet/SSH-Ressourcenprofil.......488 Definieren von Rolleneinstellungen: Telnet/SSH...........................................490 Erstellen von erweiterten Sitzungslesezeichen.......................................491 Konfigurieren allgemeiner Optionen für Telnet/SSH ..............................492 Definieren von Ressourcenrichtlinien: Telnet/SSH........................................493 Schreiben von Telnet/SSH-Ressourcenrichtlinien ...................................494 Abgleichen von IP-Adressen mit Hostnamen .........................................495 Kapitel 18 Terminal Services 497 Lizenzierung: Terminal Services – Verfügbarkeit..........................................497 Aufgabenzusammenfassung: Konfigurieren von Terminal Services..............497 Terminal Services – Übersicht......................................................................499 xiv Inhaltsverzeichnis Inhaltsverzeichnis Funktion „Terminal Services“ ...............................................................499 Ausführung von Terminal Services ........................................................501 Konfigurieren von Citrix für die Unterstützung von ICA-Lastenausgleich ........................................................................505 Vergleichen von IVE-Zugriffsmechanismen für die Konfiguration von Citrix ........................................................................................507 Definieren von Ressourcenprofilen: Terminal Services ................................508 Definieren eines Windows- oder Citrix-Profils mit den standardmäßigen ICA-Einstellungen................................................508 Definieren eines Citrix-Profils mit einer benutzerdefinierten ICA-Einstellung................................................................................514 Definieren von Rolleneinstellungen: Terminal Services ................................518 Erstellen von erweiterten Terminal Services-Sitzungslesezeichen ..........520 Erstellen von Links von einer externen Site zu einem Sitzungslesezeichen für Terminal Services ......................................524 Angeben von allgemeinen Terminal Services-Optionen .........................526 Definieren von Ressourcenrichtlinien: Terminal Services.............................528 Konfigurieren von Terminal Services-Ressourcenrichtlinien ..................528 Angeben der Ressourcenoption für Terminal Services ...........................530 Kapitel 19 Secure Meeting 531 Lizenzierung: Verfügbarkeit von Secure Meeting..........................................531 Aufgabenzusammenfassung: Konfigurieren von Secure Meeting .................532 Secure Meeting – Übersicht..........................................................................534 Konferenzplanung .................................................................................534 Benachrichtigungs-E-Mails .....................................................................536 Teilnahme an Konferenzen ...................................................................537 Konferenzteilnahme ..............................................................................538 Leiten von Konferenzen ........................................................................539 Präsentation von Konferenzen ..............................................................540 Erstellen von Sofortkonferenzen und Supportkonferenzen ....................541 Definieren von Rolleneinstellungen: Secure Meeting....................................542 Aktivieren und Konfigurieren von Secure Meeting.................................542 Richtlinien für permissive Zusammenführungen für Secure Meeting .....546 Festlegen von Authentifizierungsservern, auf die Konferenzersteller zugreifen können ............................................................................546 Definieren von Ressourcenrichtlinien: Secure Meeting.................................548 Fehlerbehebung bei Secure Meeting.............................................................550 Überwachung bei Secure Meeting ................................................................552 Kapitel 20 E-Mail-Client 553 Lizenzierung: Verfügbarkeit des E-Mail-Clients .............................................554 E-Mail-Client – Übersicht ..............................................................................554 Auswählen eines E-Mail-Clients..............................................................554 Arbeiten mit einem standardbasierten Mailserver .................................554 Arbeiten mit Microsoft Exchange Server................................................555 Arbeiten mit Lotus Notes und Lotus Notes Mail Server ..........................557 Definieren von Rolleneinstellungen: E-Mail-Client ........................................558 Definieren von Ressourcenrichtlinien: E-Mail-Client .....................................558 Kapitel 21 Network Connect 561 Lizenzierung: Verfügbarkeit von Network Connect.......................................563 Aufgabenzusammenfassung: Konfigurieren von Network Connect ..............563 Inhaltsverzeichnis xv Juniper Networks Secure Access – Administratorhandbuch Network Connect – Übersicht ......................................................................565 Network Connect – Ausführung.............................................................565 Network Connect-Verbindungsprofile mit Unterstützung für mehrere DNS-Einstellungen...........................................................................569 Bereitstellen Ihres Netzwerks für Network Connect ...............................570 Clientseitige Protokollierung ..................................................................571 Network Connect Proxy-Unterstützung..................................................571 Network Connect-Dienstgüte .................................................................572 Network Connect-Multicast-Unterstützung.............................................573 Definieren von Rolleneinstellungen: Network Connect.................................573 Definieren von Ressourcenrichtlinien: Network Connect .............................576 Definieren von Network Connect-Zugriffssteuerungsrichtlinien .............576 Definieren von Network Connect-Protokollierungsrichtlinien ................577 Erstellen von Network Connect-Verbindungsprofilen.............................578 Definieren von Network Connect-Richtlinien für geteilte Tunnel ...........584 Verwendungsbeispiel: Konfiguration von Network Connect-Ressourcenrichtlinien ........................................................586 Definieren von Systemeinstellungen: Network Connect ...............................587 Angeben von IP-Filtern ..........................................................................587 Herunterladen des Network Connect-Installationsprogramms ...............588 Abhängigkeiten des Network Connect-Installationsvorgangs .................589 Abhängigkeiten des Network Connect-Deinstallationsvorgangs .............591 Verwenden des Network Connect Launcher (NC Launcher) .........................592 Beheben von Fehlern bei Network Connect .................................................594 nc.windows.app.23792 .........................................................................594 Versionskonflikte durch Herunterstufen ................................................594 Teil 5 Systemverwaltung Kapitel 22 Allgemeine Systemverwaltung 599 Lizenzierung: Verfügbarkeit der Systemverwaltung......................................599 Aufgabenzusammenfassung: Konfigurieren von Verwaltungsfunktionen .....600 Konfigurieren von Netzwerkeinstellungen....................................................600 Bondingports .........................................................................................601 Konfigurieren allgemeiner Netzwerkeinstellungen.................................601 Konfigurieren interner und externer Ports.............................................603 Konfigurieren von SFP-Ports..................................................................605 Konfigurieren des Verwaltungsports ......................................................606 Konfigurieren von VLANs ......................................................................607 Konfigurieren virtueller Ports.................................................................609 Aufgabenzusammenfassung: Definieren von Subnetzzielen basierend auf Rollen .............................................................................................611 Konfigurieren von statischen Routen für den Netzwerkverkehr .............612 Erstellen von ARP-Caches ......................................................................613 Angeben von Hostnamen zur lokalen Auflösung durch das IVE .............614 Angeben von IP-Filtern ..........................................................................614 Verwenden von zentralen Verwaltungsfunktionen .......................................614 Ändern von Dashboarddiagrammen der Zentralverwaltung ..................615 Konfigurieren von Systemprogrammen .......................................................617 Überprüfen von Systemdaten ................................................................617 Aktualisieren oder Herunterstufen des IVE ...........................................618 xvi Inhaltsverzeichnis Inhaltsverzeichnis Festlegen der Systemoptionen...............................................................619 Herunterladen von Anwendungsinstallationsprogrammen ....................621 Lizenzierung, Sicherheit und NCP konfigurieren ..........................................624 Eingeben oder Aktualisieren von Lizenzen ...........................................624 Festlegen von Sicherheitsoptionen ........................................................632 Konfigurieren von NCP und JCP.............................................................634 Installieren eines Juniper-Softwaredienstpakets .....................................635 Konfigurieren und Verwenden des Verwaltungsports...................................636 Konfigurieren von Netzwerkeinstellungen für den Verwaltungsport ......637 Hinzufügen von statischen Routen zur Verwaltungsroutentabelle..........639 Zuordnen eines Zertifikats zum Verwaltungsport...................................639 Steuern des Administratoranmeldezugriffs ............................................639 Über den Verwaltungsport anmelden ....................................................640 Festlegen von Rollenzuordungsregeln mit benutzerdefinierten Ausdrücken .....................................................................................640 Probleme mit dem Verwaltungsport beheben .......................................641 Verwenden des Verwaltungsports in einem Cluster ...............................642 Importieren von Konfigurationen in ein System mit aktiviertem Verwaltungsport..............................................................................643 Kapitel 23 Zertifikate 645 Lizenzierung: Verfügbarkeit von Zertifikaten................................................646 Verwenden von Gerätezertifikaten ...............................................................646 Importieren von Zertifikaten in das IVE.................................................647 Herunterladen eines Gerätezertifikats vom IVE......................................650 Erstellen einer Zertifikatssignaturanforderung für ein neues Zertifikat...650 Verwenden von Serverzwischenzertifikaten ..........................................651 Verwenden mehrerer IVE-Gerätezertifikate ...........................................652 Verwenden von vertrauten Clientzertifizierungsstellen.................................654 Verwenden von vertrauten Clientzertifizierungsstellen ..........................655 Aktivieren der Hierarchien von Clientzertifizierungsstellen....................662 Aktivieren von CRLs ..............................................................................663 Aktivieren von OCSP .............................................................................667 Verwenden von vertrauten Serverzertifizierungsstellen................................669 Hochladen von CA-Zertifikaten vertrauenswürdiger Server....................670 Erneuern eines CA-Zertifikats vertrauenswürdiger Server ......................670 Löschen eines CA-Zertifikats des vertrauenswürdigen Servers ...............671 Anzeigen von Details des CA-Zertifikats des vertrauenswürdigen Servers............................................................................................671 Verwenden von Codesignaturzertifikaten.....................................................672 Weitere Hinweise für Benutzer der SUN JVM: ........................................673 Aufgabenzusammenfassung: Konfiguration des IVE zum Signieren oder Neusignieren von Java-Applets ................................................674 Importieren eines Codesignaturzertifikats .............................................674 Kapitel 24 Systemarchivierung 677 Lizenzierung: Verfügbarkeit der Systemarchivierung....................................677 Archivieren von binären IVE-Konfigurationsdateien .....................................678 Erstellen lokaler Sicherungskopien von IVE-Konfigurationsdateien ..............680 Importieren und Exportieren von IVE-Konfigurationsdateien .......................682 Exportieren einer Systemkonfigurationsdatei ........................................683 Importieren einer Systemkonfigurationsdatei........................................684 Exportieren von lokalen Benutzerkonten oder Ressourcenrichtlinien ....685 Inhaltsverzeichnis xvii Juniper Networks Secure Access – Administratorhandbuch Importieren von lokalen Benutzerkonten oder Ressourcenrichtlinien ....685 Importieren und Exportieren von XML-Konfigurationsdateien .....................686 Erstellen und Ändern von XML-Instanzen..............................................688 Einschränkungen der referenziellen Integrität .......................................692 Zuordnen der XML-Instanz zu Benutzeroberflächenkomponenten ........693 XML-Importmodi ...................................................................................694 Herunterladen der Schemadatei ............................................................696 Strategien für die Arbeit mit XML-Instanzen ..........................................697 XML Import/Export – Gebrauchsfälle .....................................................702 Importieren in ein System mit dem Verwaltungsport ............................708 Übertragen von Konfigurationen zwischen IVEs...........................................708 Definieren des Ziel-IVE ..........................................................................710 Übertragen der Konfigurationseinstellungen..........................................711 Kapitel 25 Protokollierung und Überwachung 715 Lizenzierung: Verfügbarkeit der Protokollierung und Überwachung .............715 Protokollierung und Überwachung – Übersicht ............................................716 Schweregrade der Protokolldatei ...........................................................717 Benutzerdefinierte Filterung von Protokolldateien .................................718 Dynamische Protokollfilter ....................................................................718 Anzeigen und Löschen von Benutzersitzungen ......................................718 Konfigurieren der Protokollierungs- und Überwachungsfunktion .................720 Konfigurieren von Ereignissen, Benutzerzugriffen, Administratorzugriffen, IDP-Sensoren und NC-Paketprotokollen.................................................720 Erstellen, Zurücksetzen oder Speichern einer dynamischen Protokollabfrage..............................................................................721 Angeben der in der Protokolldatei zu speichernden Ereignisse..............722 Erstellen, Bearbeiten oder Löschen von Protokollfiltern.........................724 Erstellen von benutzerdefinierten Filtern und Formaten für Protokolldateien..............................................................................724 Überwachen des IVE als SNMP-Agent ..........................................................725 Anzeigen der Systemstatistik .......................................................................731 Aktivieren von clientseitigen Protokollen .....................................................731 Aktivieren von clientseitiger Protokollierung und globalen Optionen.....732 Aktivieren des Hochladens von clientseitigen Protokollen .....................733 Anzeigen von hochgeladenen clientseitigen Protokollen........................734 Anzeigen des allgemeinen Status .................................................................735 Anzeigen der Auslastung der Systemkapazität.......................................735 Angeben des Zeitraums und der Daten, die in Diagrammen dargestellt werden sollen ................................................................736 Konfigurieren der Diagrammanzeige.....................................................736 Anzeigen kritischer Systemereignisse ....................................................737 Herunterladen des aktuellen Dienstpakets.............................................737 Bearbeiten von Systemdatum und -zeit .................................................737 Überwachen von aktiven Benutzern.............................................................738 Anzeigen und Absagen geplanter Konferenzen ............................................739 Kapitel 26 Fehlerbehebung 741 Lizenzierung: Verfügbarkeit der Fehlerbehebung .........................................741 Simulieren oder Verfolgen von Ereignissen ..................................................742 Simulieren von problemverursachenden Ereignissen ............................742 Verfolgen von Ereignissen mithilfe der Richtlinienverfolgung ................744 Aufzeichnen von Sitzungen ..........................................................................747 xviii Inhaltsverzeichnis Inhaltsverzeichnis Erstellen von Snapshots des IVE-Systemstatus .............................................748 Erstellen von TCP-Dumpdateien...................................................................749 Testen der IVE-Netzwerkverbindung ............................................................750 Address Resolution Protocol (ARP) ........................................................751 Ping .......................................................................................................751 Traceroute .............................................................................................751 NSlookup ...............................................................................................752 Remoteausführung von Debuggingtools.......................................................752 Erstellen von Debuggingprotokollen.............................................................753 Überwachen von Clusterknoten ...................................................................754 Konfigurieren der Gruppenkommunikationsüberwachung in einem Cluster ........................................................................................754 Konfigurieren der Netzwerkverbindungsüberwachung in einem Cluster ......756 Kapitel 27 Clustering 759 Lizenzierung: Verfügbarkeit von Clustering ..................................................760 Aufgabenzusammenfassung: Bereitstellen eines Clusters.............................760 Erstellen und Konfigurieren eines Clusters ...................................................762 Definieren und Initialisieren eines Clusters............................................763 Beitreten zu einem bestehenden Cluster ...............................................764 Konfigurieren von Clustereigenschaften.......................................................766 Bereitstellen von zwei Knoten in einem Aktiv/Passiv-Cluster .................767 Bereitstellen von zwei oder mehreren Einheiten in einem Aktiv/Aktiv-Cluster ..........................................................................768 Synchronisieren des Clusterstatus .........................................................770 Konfigurieren von Clustereigenschaften ................................................772 Verwalten und Konfigurieren von Clustern ..................................................775 Hinzufügen mehrerer Clusterknoten......................................................775 Verwalten von Netzwerkeinstellungen für Clusterknoten.......................776 Aktualisieren von Knoten im Cluster .....................................................776 Aktualisieren des Clusterdienstpakets....................................................777 Löschen eines Clusters...........................................................................778 Neustarten oder Neubooten von Knoten in einem Cluster .....................778 Verfahren für die Administratorkonsole.................................................779 Überwachen von Clustern......................................................................780 Fehlerbehebung bei Clustern .................................................................781 Verfahren für die serielle Konsole ................................................................783 Kapitel 28 Delegieren von Administratorrollen 789 Lizenzierung: Verfügbarkeit der delegierten Administrationsrolle ................790 Erstellen und Konfigurieren von Administratorrollen ...................................790 Erstellen von Administratorrollen ..........................................................791 Ändern von Administratorrollen ............................................................792 Löschen von Administratorrollen...........................................................792 Festlegen von zu löschenden Verwaltungsaufgaben .....................................792 Delegieren von Systemverwaltungsaufgaben.........................................793 Delegieren der Benutzer- und Rollenverwaltung ....................................793 Delegieren der Benutzerbereichsverwaltung..........................................794 Delegieren der Administratorverwaltung ...............................................795 Delegieren der Ressourcenrichtlinienverwaltung ...................................797 Delegieren der Ressourcenprofilverwaltung...........................................798 Definieren allgemeiner Einstellungen für Systemadministratorrollen ...........799 Definieren von Standardoptionen für Administratorenrollen .................799 Inhaltsverzeichnis xix Juniper Networks Secure Access – Administratorhandbuch Verwalten allgemeiner Einstellungen und Optionen für Rollen ..............800 Festlegen von Zugriffsverwaltungsoptionen für die Rolle .......................800 Festlegen allgemeiner Sitzungsoptionen ................................................801 Festlegen von Benutzeroberflächenoptionen .........................................802 Delegieren von Zugriff auf IVS-Systeme.................................................803 Kapitel 29 Instant Virtual System (IVS) 805 Lizenzierung: Verfügbarkeit des IVS .............................................................806 Bereitstellen eines IVS..................................................................................806 Architektur des virtuellen IVE ................................................................808 Anmelden am Stammsystem oder IVS.........................................................809 Anmelden mit dem Anmelde-URL-Präfix...............................................809 Anmelden über virtuelle Ports ...............................................................811 Anmeldung über eine VLAN-Schnittstelle...............................................812 Navigation zum IVS ...............................................................................812 Festlegen des Abonnentenprofils .................................................................812 IVS-Konfigurationsarbeitsblatt ...............................................................813 Verwalten des Stammsystems ...............................................................814 Konfigurieren des Stammadministrators ...............................................815 Bereitstellung eines IVS ................................................................................815 Informationen zum Bereitstellungsprozess...................................................816 Konfigurieren von Anmeldeports .................................................................818 Konfigurieren des externen Ports ..........................................................818 Konfigurieren eines virtuellen Ports für die Anmeldung über den externen Port ..................................................................................819 Konfigurieren eines virtuellen Ports für die Anmeldung über den internen Port...................................................................................819 Konfigurieren eines virtuellen LAN (VLAN)...................................................820 Konfigurieren von VLANs im virtuellen IVE ...........................................821 Hinzufügen von statischen Routen zur VLAN-Routentabelle ..................822 Löschen eines VLAN ..............................................................................823 Laden des Zertifikatservers ..........................................................................824 Erstellen eines virtuellen Systems (IVS-Profil)...............................................824 Erstellen eines neuen IVS-Profils............................................................824 Direkte Anmeldung am IVS als IVS-Administrator........................................826 Konfigurieren von rollenbasierten Quell-IP-Aliasen ......................................827 Zuordnen von Rollen zu VLANs und Quell-IP-Adressen..........................828 Konfigurieren von virtuellen Ports für ein VLAN ....................................828 Zuordnen von Rollen zu Quell-IP-Adressen in einem IVS .......................828 Konfigurieren von Richtlinien-Routingregeln im IVS ....................................829 Routingregeln ........................................................................................830 Überlappende IP-Adressbereiche ...........................................................831 Definieren von Ressourcenrichtlinien ....................................................831 Gruppieren eines virtuellen IVE....................................................................831 Konfigurieren des DNS für das IVS...............................................................832 Zugriff auf einen DNS-Server im MSP-Netzwerk ....................................833 Zugriff auf einen DNS-Server im Intranet einer Abonnentenfirma .........833 Konfigurieren von Network Connect für ein virtuelles IVE ...........................835 Konfigurieren des Network Connect-Verbindungsprofils........................835 Konfigurieren von Network Connect auf Back-End-Routern...................835 Konfigurieren eines zentralen DHCP-Servers ...............................................838 Konfigurieren von Authentifizierungsservern ...............................................840 Regeln für den Zugriff auf Authentifizierungsserver...............................840 Konfigurieren der Authentifizierung auf einem RADIUS-Server .............841 xx Inhaltsverzeichnis Inhaltsverzeichnis Konfigurieren der Authentifizierung in Active Directory ........................841 Delegieren von Verwaltungszugriff auf IVS-Systeme ....................................842 Zugriff auf eigenständige Installationsprogramme........................................842 Exportieren und Importieren von IVS-Konfigurationsdateien .......................843 Exportieren und Importieren der Stammsystemkonfiguration...............843 Überwachen von Abonnenten......................................................................845 Sperren des Abonnentenzugriffs auf das IVS .........................................845 Fehlerbehebung in VLANs............................................................................846 Ausführen von „TCPDump“ für ein VLAN ..............................................846 Verwenden von Befehlen in einem VLAN (Ping, traceroute, NSLookup, ARP) ..................................................847 IVS-Verwendungsbeispiele ...........................................................................847 Auflösung von Richtlinien-Routingregeln – Verwendungsbeispiel für IVS ..................................................................................................848 Konfigurieren eines globalen Authentifizierungsservers für mehrere Abonnenten ....................................................................................853 Konfigurieren einer DNS/WINS-Server-IP-Adresse für jeden Abonnenten ....................................................................................853 Konfigurieren des Webanwendungs- und Webbrowsing-Zugriffs für jeden Abonnenten .....................................................................854 Konfigurieren des Dateinavigationszugriffs für jeden Abonnenten.........855 Einrichten mehrerer Subnetz-IP-Adressen für Endbenutzer eines Abonnenten ....................................................................................857 Konfigurieren mehrerer IVS-Systeme für den Zugriff auf einen gemeinsam genutzten Server ..........................................................857 Kapitel 30 IVE und IDP-Interoperabilität 859 Lizenzierung: Verfügbarkeit von IDP ............................................................860 Bereitstellungsszenarios ...............................................................................860 Konfigurieren des IVE für die Zusammenarbeit mit einem IDP-Sensor ........861 Konfigurieren von IDP-Verbindungen ....................................................861 Manuelles Identifizieren und Verwalten von gesperrten Benutzern........866 Teil 6 Systemdienste Kapitel 31 IVE Serielle Konsole 871 Lizenzierung: Verfügbarkeit der seriellen Konsole........................................871 Herstellen einer Verbindung mit der seriellen Konsole der IVE-Appliance....871 Rollback zu einem vorherigen Systemzustand .............................................872 Rollback zu einem vorherigen Systemstatus über die Administratorkonsole......................................................................873 Rollback zu einem vorherigen Systemstatus über die serielle Konsole...873 Zurücksetzen einer IVE-Appliance auf die Werkseinstellungen.....................874 Durchführen gängiger Wiederherstellungsvorgänge .....................................877 Kapitel 32 Anpassbare Administrator- und Endbenutzeroberflächen 879 Lizenzierung: Verfügbarkeit der Funktionen zur Anpassung der Benutzeroberfläche................................................................................879 Benutzerdefinierte Elemente der Administratorkonsole – Übersicht ............880 Übersicht über die anpassbaren Elemente der Endbenutzeroberfläche ........881 Inhaltsverzeichnis xxi Juniper Networks Secure Access – Administratorhandbuch Kapitel 33 Secure Access 6000 883 Standardhardware .......................................................................................883 Austauschbare Einheiten des Secure Access 6000........................................884 Kapitel 34 Secure Access FIPS 887 Lizenzierung: Secure Access FIPS – Verfügbarkeit........................................887 Secure Access FIPS – Ausführung.................................................................888 Erstellen von Administratorkarten ...............................................................889 Administratorkarte – Sicherheitsmaßnahmen .......................................890 Bereitstellen eines Clusters in einer Secure Access FIPS-Umgebung .............891 Erstellen einer neuen Security World ...........................................................893 Erstellen einer Security World auf einem eigenständigen IVE................894 Erstellen einer Security World in einer Clusterumgebung ......................895 Ersetzen von Administratorkarten .........................................................895 Wiederherstellen einer archivierten Security World .....................................896 Importieren einer Security World in ein eigenständiges IVE ..................897 Importieren einer Security World in einen Cluster.................................898 Kapitel 35 Komprimierung 899 Lizenzierung: Verfügbarkeit der Kompression..............................................899 Ausführen der Komprimierung ....................................................................899 Unterstützte Datentypen ..............................................................................900 Aktivieren der Komprimierung auf Systemebene.........................................901 Erstellen von Komprimierungsressourcenprofilen und -richtlinien ...............902 Kapitel 36 Unterstützung mehrerer Sprachen 903 Lizenzierung: Verfügbarkeit der Unterstützung mehrerer Sprachen .............904 Codieren von Dateien ..................................................................................904 Lokalisierung der Benutzeroberfläche ..........................................................904 Lokalisierung benutzerdefinierter Anmelde- und Systemseiten ....................905 Kapitel 37 Handheldgeräte und PDAs 907 Lizenzierung: Verfügbarkeit der Unterstützung von Handheldgeräten und PDAs ..............................................................................................908 Aufgabenzusammenfassung: Konfigurieren des IVE für PDAs und Handhelds .............................................................................................908 Definieren von Clienttypen ..........................................................................910 Aktivieren von WSAM auf PDAs...................................................................912 Teil 7 Zusatzinformationen Anhang A Schreiben benutzerdefinierter Ausdrücke 915 Lizenzierung: Verfügbarkeit benutzerdefinierter Ausdrücke .........................915 Benutzerdefinierte Ausdrücke ......................................................................915 Platzhalterabgleich ................................................................................919 DN-Variablen und Funktionen ...............................................................920 Systemvariablen und Beispiele.....................................................................920 xxii Inhaltsverzeichnis Inhaltsverzeichnis Verwendung von Systemvariablen in Bereichen, Rollen und Ressourcenrichtlinien ............................................................................929 Verwendung von Attributen mit mehreren Werten ...............................930 Festlegen des fetch-Attributs in einem Bereich ......................................931 Angeben des homeDirectory-Attributs für LDAP....................................932 Inhaltsverzeichnis xxiii Juniper Networks Secure Access – Administratorhandbuch xxiv Inhaltsverzeichnis Das Handbuch In diesem Handbuch finden Sie die erforderlichen Informationen zum Konfigurieren und Verwalten eines Juniper Networks Instant Virtual Extranet (IVE). Folgende Themen werden behandelt: Übersicht über die Secure Access-Produkte und das zugrunde liegende Zugriffsverwaltungssystem Übersicht über Basis- und erweiterte Funktionen sowie über Aktualisierungsoptionen Anweisungen für die Konfiguration und Verwaltung der IVE-Appliance oder des IVE-Clusters Zielgruppe Dieses Handbuch wendet sich an Systemadministratoren, die für die Konfiguration von Secure Access und Secure Access FIPS-Produkten zuständig sind. Weiterführende Informationen Administrator- und Entwicklerdokumentation Besuchen Sie zum Herunterladen einer PDF-Version dieses Administratorhandbuchs die Seite für die IVE-BS-Produktdokumentation des Juniper Networks Customer Support Center. Informationen zu den Änderungen, die Secure Access-Clients an Clientcomputern vornehmen, darunter auch installierte Dateien und Registrierungsänderungen, sowie Hinweise zu den für die Installation und Ausführung von Secure Access-Clients erforderlichen Rechten finden Sie im Client-side Changes Guide. Informationen zur Entwicklung von Webanwendungen, die in Einklang mit dem IVE-Modul für die Inhaltsvermittlung stehen, finden Sie im Content Intermediation Engine Best Practices Guide. Informationen zur Anpassung der Darstellung der Vorauthentifizierungen, der Kennwortverwaltung und von Secure Meeting-Seiten, die das IVE Endbenutzern und Administratoren anzeigt, finden Sie im Custom Sign-In Pages Solution Guide. Zielgruppe xxv Juniper Networks Secure Access – Administratorhandbuch Informationen zum Schreiben und Durchführen von Lösungen mithilfe des Host Checker-Clients und der Server-APIs sowie Informationen zum Suchen nach bestimmten Drittanbieterlösungen über Host Checker finden Sie im J.E.D.I. Solution Guide. Dokumentation zur Fehlermeldung Informationen zu Fehlermeldungen, die Network Connect und WSAM Endbenutzern anzeigen, erhalten Sie unter Network Connect and WSAM Error Messages. Informationen zu Fehlermeldungen, die Secure Meeting Endbenutzern mit Administratorberechtigungen anzeigt, erhalten Sie unter Secure Meeting Error Messages. Hardwaredokumentation Informationen zur Installation können Sie dem Handbuch für den Schnellstart entnehmen, der dem Produkt beiliegt. Informationen zur Sicherheit von Secure Access und Secure Access FIPS erhalten Sie im Juniper Networks Security Products Safety Guide. Informationen zum Einbau von Festplatten, Netzteilen und Lüftern in Secure Access 6000-Appliances erhalten Sie im Secure Access 6000 Field Replaceable Units Guide. Besuchen Sie zum Herunterladen der neuesten Version des Secure Access- und Secure Access FIPS-Betriebssystems und der Versionshinweise die Seite für die IVE-Betriebssystemsoftware des Juniper Networks Customer Support Center. Produktdownloads Konventionen Tabelle 1 definiert in diesem Handbuch verwendete Hinweissymbole, und Tabelle 2 erläutert die im Handbuch geltenden Textkonventionen. Tabelle 1: Hinweissymbole Symbol xxvi Konventionen Bedeutung Beschreibung Informativer Hinweis Weist auf wichtige Funktionen oder Anweisungen hin. Vorsicht Weist auf die Möglichkeit von Datenverlusten oder Hardwarebeschädigung hin. Warnung Weist auf Verletzungsgefahr hin. : Tabelle 2: Textkonventionen (gilt nicht für Befehlssyntax) Konvention Beschreibung Beispiele Fett Wird für Schaltflächen, Feldnamen, Dialogfeldnamen und andere Benutzeroberflächenelemente verwendet. Verwenden Sie zum Planen einer Konferenz die Registerkarten Scheduling und Appointment. Plain sans serif typeface Stellt Folgendes dar: Beispiele: Code, Befehle und Schlüsselwörter Code: URLs, Dateinamen und Verzeichnisse certAttr.OU = 'Retail Products Group' URL: Laden Sie die JRE-Anwendung unter folgender Adresse herunter: http://java.sun.com/j2se/ Kursiv Stellt Folgendes dar: Beispiele: Im Text definierte Begriffe Definierter Begriff: Variable Elemente Buchnamen Ein RDP-Client ist eine Windows-Komponente, die eine Verbindung zwischen einem WindowsServer und dem Computer eines Benutzers ermöglicht. Variables Element : Verwenden Sie die Einstellungen auf der Seite Users > User Roles > Rolle auswählen > Terminal Services, um eine Terminalemulationssitzung zu erstellen. Buchname: Siehe das Dokument IVE Supported Platforms. Dokumentation Versionshinweise Versionshinweise sind in der Produktsoftware enthalten und im Internet verfügbar. In den Versionshinweisen finden Sie aktuellste Informationen zu Funktionen, Änderungen, bekannten und gelösten Problemen. Wenn die Informationen in den Versionshinweisen von den Angaben in der Dokumentation abweichen, haben die Versionshinweise Vorrang. Webzugriff Auf der folgenden Seite können Sie die Dokumentation im Internet anzeigen: http://www.juniper.net/techpubs/ Kundensupport Wenn Sie technischen Support benötigen, wenden Sie sich unter [email protected] oder 1-888-314-JTAC (in den USA) oder 408-745-9500 (außerhalb der USA) an Juniper Networks. Dokumentation xxvii Juniper Networks Secure Access – Administratorhandbuch xxviii Kundensupport Teil 1 Erste Schritte Die IVE ist eine so genannte Netzwerkappliance, die stabile Sicherheit bietet, indem sie als Zwischenglied für die Datenströme fungiert, die zwischen externen Benutzern und internen Ressourcen übertragen werden. Dieser Abschnitt enthält die folgenden Informationen über die ersten Schritte im Umgang mit dem IVE: „Erste Überprüfung und Schlüsselkonzepte“ auf Seite 3 „Einführung in das IVE“ auf Seite 23 1 Juniper Networks Secure Access – Administratorhandbuch 2 Kapitel 1 Erste Überprüfung und Schlüsselkonzepte In diesem Abschnitt werden die nach der Erstinstallation und -konfiguration des IVE durchzuführenden Aufgaben erläutert. Dieser Abschnitt setzt voraus, dass Sie die im Task Guide beschriebenen Schritte bereits auf der Administratorkonsole ausgeführt haben, um Ihr Softwareabbild zu aktualisieren und Ihren Secure Access-Lizenzschlüssel zu generieren und anzuwenden. Überprüfen der Verfügbarkeit für die Benutzer Sie können auf dem System-Authentifizierungsserver einfach ein Benutzerkonto anlegen, mit dem Sie die Verfügbarkeit des IVE für die Benutzer testen können. Legen Sie das Konto zunächst über die Administratorkonsole an, und melden Sie sich dann auf der Benutzeranmeldeseite des IVE als dieser Benutzer an. So überprüfen Sie die Verfügbarkeit für die Benutzer: 1. Wählen Sie in der Administratorkonsole Authentication > Auth. Servers. 2. Wählen Sie System Local. 3. Wählen Sie die Registerkarte Users. 4. Klicken Sie auf New. 5. Geben Sie auf der Seite New Local User „testbenutzer1“ als Benutzername sowie ein Kennwort ein, und klicken Sie anschließend auf Save Changes. Das IVE legt das Konto „testbenutzer1“ an. 6. Geben Sie in einem anderen Browser die Geräte-URL ein, um zur Benutzeranmeldeseite zu navigieren. Die URL weist folgendes Format auf: https://a.b.c.d, wobei a.b.c.d die IP-Adresse des Geräts ist, die Sie während der Erstkonfiguration des IVE eingegeben haben. Wenn Sie in einer Sicherheitswarnung gefragt werden, ob Sie ohne signiertes Zertifikat fortfahren möchten, klicken Sie auf Yes. Wenn die Benutzeranmeldeseite angezeigt wird, haben Sie das IVE ordnungsgemäß mit dem Netzwerk verbunden. Überprüfen der Verfügbarkeit für die Benutzer 3 Juniper Networks Secure Access – Administratorhandbuch Abbildung 1: Benutzeranmeldeseite 7. Geben Sie auf der Anmeldeseite die für das Benutzerkonto angelegten Anmeldedaten (Benutzername und Kennwort) ein, und klicken Sie dann auf Sign In, um auf die IVE-Startseite für Benutzer zu wechseln. Abbildung 2: Benutzerstartseite (Standard) 4 Überprüfen der Verfügbarkeit für die Benutzer Kapitel 1: Erste Überprüfung und Schlüsselkonzepte 8. Geben Sie im Feld Address des Browsers die URL zu einem internen Webserver ein, und klicken Sie auf Browse. Das IVE öffnet die Webseite in demselben Browserfenster. Kehren Sie daher zur IVE-Startseite zurück, und klicken Sie auf der Navigationssymbolleiste, die auf der Zielwebseite angezeigt wird, auf das Symbol in der Mitte. Abbildung 3: Beispiel für interne Webseite mit Navigationssymbolleiste 9. Geben Sie auf der IVE-Startseite die URL zur externen Firmensite ein, und klicken Sie auf Browse. Das IVE öffnet die Webseite in demselben Browserfenster. Kehren Sie daher über die Navigationssymbolleiste zur IVE-Startseite zurück. 10. Klicken Sie auf der IVE-Startseite auf Browsing > Windows Files, um verfügbare Windows-Dateifreigaben zu suchen, oder auf Browsing > UNIX/NFS Files, um verfügbare UNIX/NFS-Dateifreigaben zu suchen. Nachdem Sie die Verfügbarkeit für die Benutzer überprüft haben, kehren Sie zur Administratorkonsole zurück, um wie unter „Anlegen eines Testszenarios, um die Grundlagen und empfohlenen Vorgehensweisen für das IVE kennen zu lernen“ auf Seite 5 beschrieben an einer Einführung in die Schlüsselkonzepte teilzunehmen. Anlegen eines Testszenarios, um die Grundlagen und empfohlenen Vorgehensweisen für das IVE kennen zu lernen Das IVE bietet ein flexibles Zugriffsverwaltungssystem, mit dem der Remotezugriff eines Benutzers problemlos anhand von Rollen, Ressourcenrichtlinien, Authentifizierungsservern, Authentifizierungsbereichen und Anmelderichtlinien individuell angepasst werden kann. Damit Sie zügig mit diesen Elementen arbeiten können, sind für diese im IVE werksseitig bereits Standardvorgaben eingestellt. In diesem Abschnitt werden die Systemstandardvorgaben erläutert, und es wird dargestellt, wie die einzelnen Einheiten anhand der folgenden Schritte eingerichtet werden: Anlegen eines Testszenarios, um die Grundlagen und empfohlenen Vorgehensweisen für das IVE kennen zu lernen 5 Juniper Networks Secure Access – Administratorhandbuch „Definieren einer Benutzerrolle“ auf Seite 6 „Definieren eines Ressourcenprofils“ auf Seite 8 „Definieren eines Authentifizierungsservers“ auf Seite 10 „Definieren eines Authentifizierungsbereichs“ auf Seite 13 „Definieren einer Anmelderichtlinie“ auf Seite 16 „Verwenden des Testszenarios“ auf Seite 19 HINWEIS: Das IVE unterstützt zwei Arten von Benutzern: Administratoren – Ein Administrator darf die Konfigurationseinstellungen des IVE anzeigen und ändern. Das erste Administratorenkonto wird über die serielle Konsole angelegt. Benutzer – Ein Benutzer verwendet das IVE, um auf Firmenressourcen zuzugreifen, die vom Administrator konfiguriert wurden. Das erste Benutzerkonto (testbenutzer1) legen Sie in „Überprüfen der Verfügbarkeit für die Benutzer“ auf Seite 3 an. Im folgenden Testszenario werden die Zugriffsverwaltungselemente des IVE in erste Linie für die Konfiguration von Zugriffsparametern für einen Benutzer verwendet. Informationen zu Systemstandardeinstellungen für Administratoren finden Sie unter „Konfigurieren der Standardeinstellungen für Administratoren“ auf Seite 22. Definieren einer Benutzerrolle Das IVE ist mit einem Benutzerbereich namens „Users“ vorkonfiguriert. Diese vordefinierte Rolle aktiviert die Zugriffsfunktionen für Webbrowsing und Dateinavigation, sodass jeder Benutzer, der der Rolle „Users“ zugeordnet ist, auf das Internet, Firmenwebserver und alle verfügbaren Windows- und UNIX/NFS-Dateiserver zugreifen darf. Diese Rolle wird auf der Seite Users > User Roles angezeigt. HINWEIS: Nachdem Sie eine Zugriffsfunkion für eine Rolle aktiviert haben (auf der Seite Users > User Roles > Rollenname), konfigurieren Sie die entsprechenden Optionen nach Bedarf. Dies erfolgt über die Konfigurationsregisterkarte der jeweiligen Zugriffsfunktion. So definieren Sie eine Benutzerrolle: 1. Wählen Sie in der Administratorkonsole Users > User Roles. 2. Klicken Sie auf der Seite Roles auf New Role. 3. Geben Sie auf der Seite New Role im Feld Name „Test Role“ ein, und klicken Sie anschließend auf Save Changes. Warten Sie, bis das IVE die Seite General > Overview für die Testrolle anzeigt. 6 Anlegen eines Testszenarios, um die Grundlagen und empfohlenen Vorgehensweisen für das IVE kennen zu lernen Kapitel 1: Erste Überprüfung und Schlüsselkonzepte 4. Aktivieren Sie auf der Seite Overview unter Access features das Kontrollkästchen Web, und klicken Sie anschließend auf Save Changes. 5. Wählen Sie Web > Options. 6. Aktivieren Sie das Kontrollkästchen User can type URLs in the IVE browser bar, und klicken Sie anschließend auf Save Changes. Nach Abschluss dieser Schritte haben Sie die Benutzerrolle definiert. Wenn Sie Ressourcenprofile anlegen, können Sie sie dieser Rolle zuordnen. Sie können Benutzer dieser Rolle auch anhand von Rollenzuordnungsregeln, die für einen Authentifizierungsbereich definiert wurden, festlegen. HINWEIS: Sie können eine Benutzerrolle mit aktivierten Funktionen für Webbrowsing und Dateinavigation ganz einfach anlegen, indem Sie die Rolle „Users“ doppelt anlegen und dann nach Bedarf weitere Zugriffsfunktionen aktivieren. Abbildung 4: Seite „Users > User Roles > New Role“ Anlegen eines Testszenarios, um die Grundlagen und empfohlenen Vorgehensweisen für das IVE kennen zu lernen 7 Juniper Networks Secure Access – Administratorhandbuch Abbildung 5: Users > User Roles > Test Role > General > Overview Definieren eines Ressourcenprofils Bei einem Ressourcenprofil handelt es sich um einen Satz von Konfigurationsoptionen, die alle Ressourcenrichtlinien, Rollenzuordnungen und Endbenutzerlesezeichen enthalten, die für den Zugriff auf eine einzelne Ressource notwendig sind. Innerhalb eines Ressourcenprofils gibt eine Ressourcenrichtlinie die Ressourcen an, auf die die Richtlinie angewendet wird (z.B. URLs, Server und Dateien). Des Weiteren wird angegeben, ob das IVE Zugriff auf eine Ressource gewährt oder eine Aktion ausführt. Das IVE ist mit zwei Arten von Ressourcenrichtlinien vorkonfiguriert: 8 Webzugriff – Die vordefinierte Ressourcenrichtlinie für Webzugriff erlaubt allen Benutzern, über das IVE auf das Internet und sämtliche Firmenwebserver zuzugreifen. Diese Ressourcenrichtlinie gilt standardmäßig für die Rolle „Users“. Windows-Zugriff – Die vordefinierte Ressourcenrichtlinie für Windows-Zugriff erlaubt allen Benutzern, die der Rolle „Users“ zugeordnet sind, auf sämtliche Windows-Dateiserver der Firma zuzugreifen. Diese Ressourcenrichtlinie gilt standardmäßig für die Rolle „Users“. Anlegen eines Testszenarios, um die Grundlagen und empfohlenen Vorgehensweisen für das IVE kennen zu lernen Kapitel 1: Erste Überprüfung und Schlüsselkonzepte HINWEIS: Wenn Sie nicht möchten, dass Benutzer auf den gesamten Web- und Dateiinhalt zugreifen können, löschen Sie die Standardressourcenrichtlinien für Web- und Dateizugriff. Sie können auf die standardmäßigen Web- und Dateiressourcenrichtlinien auf den Seiten Users > Resource Policies > Web > Access und Users > Resource Policies > Files > Access > Windows zugreifen. So definieren Sie ein Ressourcenprofil: 1. Wählen Sie in der Administratorkonsole Users > Resource Profiles > Web > Web Applications/Pages. 2. Klicken Sie auf der Seite Web Applications Resource Profile auf New Profile. 3. Gehen Sie auf der Seite New Web Applications Resource Profile folgendermaßen vor: a. Behalten Sie im Feld Type die Standardoption (Custom) bei. b. Geben Sie ins Feld Name „Test Web Access“ ein. c. Geben Sie ins Feld Base URL „http://www.google.com“ ein. d. Aktivieren Sie im Abschnitt Autopolicy: Web Access Control das Kontrollkästchen neben der vom IVE erstellten Standardrichtlinie (http://www.google.com:80/*), und wählen Sie Delete. e. Geben Sie im Abschnitt Autopolicy: Web Access Control „http://www.google.com“ ins Feld Resource ein, wählen Sie Deny aus der Liste Action, und klicken Sie auf Add. f. Klicken Sie auf Save and Continue. 4. Gehen Sie auf der Registerkarte Roles folgendermaßen vor: a. Wählen Sie im Feld Available Roles „Test Role“, und klicken Sie zum Verschieben ins Feld Selected Roles auf Add. b. Klicken Sie auf Save Changes. Das IVE fügt „Test Web Access“ zur Seite Web Application Resource Policies hinzu und erstellt automatisch ein entsprechendes Lesezeichen mit einer Verknüpfung zu google.com. Nach Abschluss dieser Schritte haben Sie ein Ressourcenprofil für den Webzugriff konfiguriert. Das IVE wird zwar mit einer Ressourcenrichtlinie geliefert, die den Zugriff auf alle Webressourcen ermöglicht, die „Test Role“ zugeordneten Benutzer können jedoch trotzdem nicht auf http://www.google.com zugreifen. Diesen Benutzern wird der Zugriff verweigert, da die während der Konfiguration des Ressourcenprofils erstellte automatische Richtlinie Vorrang vor der mit dem IVE mitgelieferten standardmäßigen Webzugriffsrichtlinie hat. Anlegen eines Testszenarios, um die Grundlagen und empfohlenen Vorgehensweisen für das IVE kennen zu lernen 9 Juniper Networks Secure Access – Administratorhandbuch Abbildung 6: Users > Resource Profiles > Web > Web Applications/Pages > New Profile Definieren eines Authentifizierungsservers Ein Authentifizierungsserver ist eine Datenbank, in der Anmeldeinformationen für Benutzer (Benutzername und Kennwort) und normalerweise Gruppen- und Attributinformationen gespeichert werden. Wenn sich ein Benutzer an der IVE anmeldet, gibt er einen Authentifizierungsbereich an, der einem Authentifizierungsserver zugeordnet ist. Das IVE leitet die Anmeldedaten des Benutzers an diesen Authentifizierungsserver weiter, um die Identität des Benutzers zu überprüfen. Das IVE unterstützt die gängigsten Authentifizierungsserver, z.B. Windows NTDomäne, Active Directory, RADIUS, LDAP, NIS, RSA ACE/Server, SAML Server und Netegrity SiteMinder. Sie können eine oder mehrere lokale Datenbanken für Benutzer anlegen, die vom IVE authentifiziert werden. Das IVE ist mit einem lokalen Authentifizierungsserver für Benutzer namens „System Local“ vorkonfiguriert. Dabei handelt es sich um eine IVE-Datenbank, mit der Sie schnell Benutzerkonten für die Benutzerauthentifizierung anlegen können. Diese Funktion gibt Ihnen Flexibilität beim Testen und beim Einrichten des Zugriffs für Dritte, da keine Benutzerkonten auf einem externen Authentifizierungsserver angelegt werden müssen. 10 Anlegen eines Testszenarios, um die Grundlagen und empfohlenen Vorgehensweisen für das IVE kennen zu lernen Kapitel 1: Erste Überprüfung und Schlüsselkonzepte Der lokale Standardauthentifizierungsserver kann auf der Seite Authentication > Auth. Servers angezeigt werden. HINWEIS: Das IVE unterstützt auch Autorisierungsserver. Ein Autorisierungsserver (oder Verzeichnisserver) ist eine Datenbank, in der Benutzerattribut- und Benutzergruppeninformationen gespeichert werden. Sie können einen Authentifizierungsbereich so konfigurieren, dass ein Verzeichnisserver Benutzerattribut- oder Benutzergruppeninformationen abruft, die in Rollenzuordnungsregeln und Ressourcenrichtlinien verwendet werden. So definieren Sie einen Authentifizierungsserver: 1. Wählen Sie in der Administratorkonsole Authentication > Auth. Servers. 2. Wählen Sie auf der Seite Authentication Servers aus der Liste New Local Authentication, und klicken Sie dann auf New Server. 3. Geben Sie auf der Seite New Local Authentication ins Feld Name „Test Server“ ein, und klicken Sie anschließend auf Save Changes. Warten Sie, bis das IVE meldet, dass die Änderungen gespeichert wurden. Anschließend werden weitere Konfigurationsregisterkarten angezeigt. 4. Klicken Sie auf die Registerkarte Users und anschließend auf New. 5. Geben Sie auf der Seite New Local User im Feld Username „testuser2“ ein, geben Sie ein Kennwort ein, und klicken Sie anschließend auf Save Changes, um das Benutzerkonto im Authentifizierungsserver „Test Server“ anzulegen. Nach dem Abschluss dieser Schritte haben Sie einen Authentifizierungsserver mit einem Benutzerkonto angelegt. Dieser Benutzer kann sich an einem Authentifizierungsbereich anmelden, der den Authentifizierungsserver „Test Server“ verwendet. HINWEIS: In der Administratorkonsole wird die aktuelle Zugriffsstatistik für jedes Benutzerkonto auf den entsprechenden Authentifizierungsserverseiten auf der Registerkarte Users unter mehreren Spalten mit der Bezeichnung Last Sign-in Statistic angezeigt. Die Statistik enthält unter anderem Datum und Zeit der letzten erfolgreichen Anmeldung für jeden Benutzer, die IP-Adresse des Benutzers sowie Typ und Version des Agenten bzw. Browsers. Anlegen eines Testszenarios, um die Grundlagen und empfohlenen Vorgehensweisen für das IVE kennen zu lernen 11 Juniper Networks Secure Access – Administratorhandbuch Abbildung 7: Authentication > Auth. Servers > New Server Abbildung 8: Authentication > Auth. Servers > Test Server > Users > New 12 Anlegen eines Testszenarios, um die Grundlagen und empfohlenen Vorgehensweisen für das IVE kennen zu lernen Kapitel 1: Erste Überprüfung und Schlüsselkonzepte Abbildung 9: Authentication > Auth. Servers > Test Server > Users Definieren eines Authentifizierungsbereichs Als Authentifizierungsbereich wird eine Gruppierung von Authentifizierungsressourcen bezeichnet, einschließlich: Eines Authentifizierungsserver, der die Identität des Benutzers überprüft. Das IVE leitet die Anmeldedaten, die von einer Anmeldeseite abgesendet wurden, an einen Authentifizierungsserver weiter. Eine Authentifizierungsrichtlinie, die die Sicherheitsanforderungen des Bereichs angibt, die erfüllt sein müssen, damit das IVE die Anmeldedaten eines Benutzers zur Überprüfung an einen Authentifizierungsserver weiterleitet. Einen Verzeichnisserver, d.h. einen LDAP-Server, der dem IVE Benutzer- und Gruppenattributinformationen bereitstellt, die für Rollenzuordnungsregen und Ressourcenrichtlinien verwendet werden. Rollenzuordnungsregeln, die die Bedingungen angeben, die ein Benutzer erfüllen muss, damit ihn das IVE einer oder mehreren Rollen zuweist. Diese Bedingungen beruhen auf Informationen, die der Verzeichnisserver des Bereichs zurückgibt, dem Benutzernamen des Benutzers oder Zertifikatattributen. Anlegen eines Testszenarios, um die Grundlagen und empfohlenen Vorgehensweisen für das IVE kennen zu lernen 13 Juniper Networks Secure Access – Administratorhandbuch Das IVE ist mit einem Benutzerbereich namens „Users“ vorkonfiguriert. Dieser vordefinierte Bereich verwendet den Authentifizierungsserver „System Local“, eine Authentifizierungsrichtlinie, bei der eine Mindestkennwortlänge von vier Zeichen und kein Verzeichnisserver gegeben sein müssen. Sie enthält eine Rollenzuordnungsregel, die alle Benutzer, die sich am Bereich „Users“ anmelden, der Rolle „Users“ zuordnet. Das Konto „testbenutzer1“, das Sie in „Überprüfen der Verfügbarkeit für die Benutzer“ auf Seite 3 anlegen, gehört zum Bereich „Users“, da dieses Konto auf dem Authentifizierungsserver „System Local“ angelegt wird. Das Konto „testbenutzer2“, das Sie in „Definieren eines Authentifizierungsservers“ auf Seite 10 anlegen, gehört nicht zum Bereich „Users“, da dieses Konto auf dem neuen Authentifizierungsserver „Test Server“ angelegt wird, der vom Bereich „Users“ nicht verwendet wird. Der standardmäßige Benutzerauthentifizierungsbereich kann auf der Seite Users > User Realms angezeigt werden. So definieren Sie einen Authentifizierungsbereich: 1. Wählen Sie in der Administratorkonsole User Realms. 2. Klicken Sie auf der Seite User Authentication Realms auf New. 3. Gehen Sie auf der Seite New Authentication Realm folgendermaßen vor: a. Geben Sie ins Feld Name Folgendes ein: Testbereich b. Wählen Sie unter Servers in der Liste Authentication den Eintrag „Test Server“ aus. c. Klicken Sie auf Save Changes. Warten Sie, bis das IVE meldet, dass die Änderungen gespeichert wurden. Anschließend werden die Konfigurationsregisterkarten für den Bereich angezeigt. 4. Klicken Sie auf der Registerkarte Role Mapping auf New Rule. 5. Gehen Sie auf der Seite Role Mapping Rule folgendermaßen vor: a. Geben Sie unter Rule: If username... „testbenutzer2“ in das Wertfeld ein. b. Wählen Sie im Feld Available Roles unter ...then assign these roles „Test Role“, und klicken Sie zum Verschieben ins Feld Selected Roles auf Add. c. Klicken Sie auf Save Changes. Nach Abschluss dieser Schritte haben Sie einen Authentifizierungsbereich definiert. Dieser Bereich verwendet „Test Server“ für die Benutzerauthentifizierung und eine Rollenzuordnungsregel, um „testbenutzer2“ zu „Test Role“ zuzuordnen. Da für „Test Role“ die Ressourcenrichtlinie „Test Web Access“ gilt, können die Benutzer, die dieser Rolle zugeordnet sind, nicht auf „http://www.google.com“ zugreifen. 14 Anlegen eines Testszenarios, um die Grundlagen und empfohlenen Vorgehensweisen für das IVE kennen zu lernen Kapitel 1: Erste Überprüfung und Schlüsselkonzepte Abbildung 10: Users > User Realms > New Realm Anlegen eines Testszenarios, um die Grundlagen und empfohlenen Vorgehensweisen für das IVE kennen zu lernen 15 Juniper Networks Secure Access – Administratorhandbuch Abbildung 11: Users > User Realms > Test Server > New Rule Definieren einer Anmelderichtlinie Eine Anmelderichtlinie ist eine Systemregel, die Folgendes angibt: eine URL, unter dem sich ein Benutzer am IVE anmelden kann eine Anmeldeseite, die für den Benutzer angezeigt wird ob der Benutzer einen Authentifizierungsbereich eingeben oder auswählen muss, an den das IVE die Anmeldedaten sendet die Authentifizierungsbereiche, für die die Anmelderichtlinie gilt Alle Secure Access und Secure Series FIPS IVEs sind mit einer Anmelderichtlinie vorkonfiguriert, die für Benutzer gilt: */. Diese Standardanmelderichtlinie für Benutzer (*/) legt Folgendes fest: Wenn ein Benutzer die URL für das IVE eingibt, zeigt das IVE die Standardanmeldeseite für Benutzer an und fordert den Benutzer auf, einen Authentifizierungsbereich auszuwählen (sofern mehrere Bereiche vorhanden sind). Die Anmelderichtlinie */ gilt für den Authentifizierungsbereich „Users“ und gilt daher nicht für den Authentifizierungsbereich, den Sie im Schritt „Definieren eines Authentifizierungsbereichs“ auf Seite 13 erstellen. 16 Anlegen eines Testszenarios, um die Grundlagen und empfohlenen Vorgehensweisen für das IVE kennen zu lernen Kapitel 1: Erste Überprüfung und Schlüsselkonzepte Die Standardanmelderichtlinie für Benutzer kann auf der Seite Authentication > Authentication > Signing In Policies angezeigt werden. Wenn das IVE über die Secure Meeting Upgrade-Lizenz verfügt, wird auf dieser Seite auch die Anmelderichtlinie */meeting aufgeführt. Mit dieser Richtlinie können Sie die Anmeldeseite für sichere Konferenzen individuell anpassen. Die Standardanmelderichtlinie gilt für alle Benutzer. Sie können die URL der IVEAnmeldeseite für Benutzer ändern, indem Sie zum Pfad beispielsweise „*/mitarbeiter“ hinzufügen, Sie können jedoch keine weiteren Anmelderichtlinien hinzufügen. Hierfür müssen Sie die Lizenz „Advanced“ für das IVE erwerben. So definieren Sie eine Anmelderichtlinie: 1. Wählen Sie in der Administratorkonsole Authentication > Signing in > Sign-in Policies. 2. Klicken Sie auf der Seite Sign-in Policies auf */. 3. Gehen Sie auf der Seite */ folgendermaßen vor: a. Geben Sie im Feld Sign-in URL nach „*/“ den Eintrag „Test“ ein: b. Wählen Sie unter Authentication realm User picks from a list of authentication realms, und wählen Sie im Feld Available Roles „Test Realm“ aus. Klicken Sie zum Verschieben ins Feld Selected Realms auf Add. (Wiederholen Sie diesen Vorgang für die Rolle „Users“, sofern sich diese nicht bereits im Feld Selected Realms befindet.) c. Klicken Sie auf Save Changes. Nach Abschluss dieser Schritte haben Sie die Bearbeitung der Standardanmelderichtlinie für Benutzer beendet. Optional: 1. Wählen Sie Authentication > Authentication > Signing In Pages, und klicken Sie anschließend auf New Page. 2. Geben Sie auf der Seite New Sign-In Page ins Feld Name „Test Sign-in Page“ und ins Feld Background color „#FF0000“ (rot) ein, und klicken Sie anschließend auf Save Changes. 3. Wählen Sie Authentication > Authentication > Signing In Policies, und klicken Sie anschließend auf New URL. 4. Geben Sie auf der Seite New Sign-in Policy ins Feld Name „*/test/“ ein, wählen Sie im Feld Sign-in Page Default Sign-in Page aus, und klicken Sie danach auf Save Changes. 5. Wählen Sie Authentication > Authentication > Signing In Policies, und klicken Sie anschließend unter User URLs auf */test/. 6. Wählen Sie auf der Seite */test/ aus der Liste Sign-in page „Test Sign-in Page“, und klicken Sie anschließend auf Save Changes. Anlegen eines Testszenarios, um die Grundlagen und empfohlenen Vorgehensweisen für das IVE kennen zu lernen 17 Juniper Networks Secure Access – Administratorhandbuch Nach Abschluss dieser optionalen Schritte haben Sie eine neue Anmeldeseite definiert, die der Anmelderichtlinie „*/test/“ zugeordnet ist. Abbildung 12: Authentication > Authentication > Signing In Policies > */ 18 Anlegen eines Testszenarios, um die Grundlagen und empfohlenen Vorgehensweisen für das IVE kennen zu lernen Kapitel 1: Erste Überprüfung und Schlüsselkonzepte Abbildung 13: Authentication > Authentication > Signing In Policies > */test/ – Verwenden der Seite „New Sign-in“ Verwenden des Testszenarios Dieses Testszenario gibt Ihnen folgende Möglichkeiten: Zugriff auf die Benutzerkonsole über die geänderte Standardanmelderichtlinie Anmeldung am Testbereich als der Benutzer, der in „Test Server“ erstellt wurde Testen der Webbrowsingfunktionen, die von der ordnungsgemäßen Konfiguration von der Testrolle und dem Testwebzugriff abhängen So verwenden Sie das Testszenario: 1. Öffnen Sie die Benutzeranmeldeseite, indem Sie in einem Browser die GeräteURL, gefolgt von „/test“ eingeben. Die URL weist folgendes Format auf: https://a.b.c.d/test, wobei a.b.c.d die IP-Adresse des Geräts ist, die Sie während der Erstkonfiguration in die serielle Konsole eingegeben haben. Wenn Sie in einer Sicherheitswarnung gefragt werden, ob Sie ohne signiertes Zertifikat fortfahren möchten, klicken Sie auf Yes. Wenn die Benutzeranmeldeseite angezeigt wird, haben Sie das IVE ordnungsgemäß mit dem Netzwerk verbunden. Anlegen eines Testszenarios, um die Grundlagen und empfohlenen Vorgehensweisen für das IVE kennen zu lernen 19 Juniper Networks Secure Access – Administratorhandbuch Abbildung 14: Benutzeranmeldeseite HINWEIS: Wenn Sie in „Definieren einer Anmelderichtlinie“ auf Seite 16 die optionalen Konfigurationsschritte durchgeführt haben, wird der Header in rot angezeigt. 2. Geben Sie auf der Anmeldeseite die Anmeldedaten (Benutzername und Kennwort) ein, die Sie für das Benutzerkonto in „Test Server“ angelegt haben, wählen Sie im Feld Realm „Test Realm“ aus, und klicken Sie danach auf Sign In, um die IVEBenutzerstartseite zu öffnen. Das IVE leitet die Anmeldedaten an „Test Realm“ weiter, der für die Verwendung von „Test Server“ konfiguriert ist. Nach der erfolgreichen Überprüfung durch diesen Authentifizierungsserver verarbeitet das IVE die Rollenzuordnungsregel, die für „Test Realm“ definiert ist. Dieser ordnet „testbenutzer2“ der „Test Role“ zu. Die Testrolle erlaubt Benutzern das Webbrowsing. Abbildung 15: Benutzerstartseite 20 Anlegen eines Testszenarios, um die Grundlagen und empfohlenen Vorgehensweisen für das IVE kennen zu lernen Kapitel 1: Erste Überprüfung und Schlüsselkonzepte 3. Geben Sie im Feld Address des Browsers die URL zur Firmenwebsite ein, und klicken Sie auf Browse. Das IVE öffnet die Webseite in demselben Browserfenster. Kehren Sie daher zur IVE-Startseite zurück, und klicken Sie auf der Navigationssymbolleiste, die auf der Zielwebseite angezeigt wird, auf das Symbol in der Mitte. 4. Geben Sie auf der IVE-Startseite „www.google.com“ ein, und klicken Sie auf Browse. Das IVE zeigt eine Fehlermeldung an, da die Ressourcenrichtlinie „Test Web Access“ Benutzern, die der Testrolle zugeordnet sind, den Zugriff auf diese Site verweigert. Abbildung 16: Beispiel für eine Fehlermeldung bei Zugriffsverweigerung 5. Kehren Sie auf die IVE-Startseite zurück, klicken Sie auf Sign Out, und kehren Sie dann auf die Benutzeranmeldeseite zurück. 6. Geben Sie die Anmeldedaten für „testbenutzer1“ ein, wählen Sie den Bereich Users aus, und klicken Sie anschließend auf Sign In. 7. Geben Sie auf der IVE-Startseite „www.google.com“ ein, und klicken Sie auf Browse. Das IVE öffnet die Webseite in demselben Browserfenster. Das Testszenario veranschaulicht die grundlegenden IVE-Mechanismen der Zugriffsverwaltung. Sie können ausgefeilte Rollenzuordnungsregeln und Ressourcenrichtlinien anlegen, mit denen der Benutzerzugriff anhand von Elementen wie der Authentifizierungsrichtlinie eines Bereichs, der Gruppenmitgliedschaft eines Benutzers und anderen Variablen gesteuert werden kann. Wenn Sie sich intensiver mit der IVE-Zugriffsverwaltung befassen möchten, sollten Sie sich etwas Zeit nehmen und sich mit den Themen der Onlinehilfe vertraut machen. HINWEIS: Wenn Sie das IVE für Ihr Unternehmen konfigurieren, empfehlen wir Ihnen, bei der Konfiguration des Benutzerzugriffs die in diesem Abschnitt dargestellte Reihenfolge einzuhalten. Ausführliche Informationen zur Konfiguration finden Sie in den Anweisungen in den anderen Abschnitten dieses Handbuchs. Bevor Sie den Zugriff auf Ihr IVE von externen Standorten freigeben, empfehlen wir Ihnen, ein signiertes digitales Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle zu importieren. Anlegen eines Testszenarios, um die Grundlagen und empfohlenen Vorgehensweisen für das IVE kennen zu lernen 21 Juniper Networks Secure Access – Administratorhandbuch Konfigurieren der Standardeinstellungen für Administratoren Das IVE bietet Ihnen, genau wie den Benutzern, Standardeinstellungen, mit denen Sie schnell Administratorkonten konfigurieren können. In dieser Liste werden die Systemstandardeinstellungen für Administratoren aufgeführt: Administratorrollen .Administrators – Diese vorkonfigurierte Rolle erlaubt Administratoren die Verwaltung sämtlicher Aspekte des IVE. Der Administrator-Benutzer, den Sie über die serielle Konsole anlegen, wird dieser Rolle zugeordnet. .Read-Only Administrators – Diese vorkonfigurierte Rolle erlaubt es den zugeordneten Benutzern, sämtliche Einstellungen des IVE anzuzeigen, jedoch nicht zu konfigurieren. Wenn Sie den Zugriff von Administratoren einschränken möchten, müssen Sie sie dieser Rolle zuordnen. HINWEIS: Zum Anlegen weiterer Administratorrollen benötigen Sie die Lizenz „Advanced“. 22 Lokaler Authentifizierungsserver „Administrators“ – Der AdministratorAuthentifizierungsserver ist eine IVE-Datenbank, in der die Administratorkonten gespeichert werden. Das erste Administratorenkonto in diesem Server wird über die serielle Konsole angelegt. (Das IVEfür alle Administratorenkonten, die über die serielle Konsole angelegt wurden, zu diesem Server hinzu.) Dieser lokale Server kann nicht gelöscht werden. Authentifizierungsbereich „Admin Users“ – Der Authentifizierungsbereich „Admin Users“ verwendet den Standard-Authentifizierungsserver „Administrators“, eine Authentifizierungsrichtlinie mit einer Mindestkennwortlänge von vier Zeichen und keinen Verzeichnisserver. Er enthält eine Rollenzuordnungsregel, die alle Benutzer, die sich am Bereich „Admin Users“ anmelden, der Rolle „.Administrators“ zuordnet. Das Administratorkonto, das Sie über die serielle Konsole anlegen, gehört zum Bereich „Admin Users“. Anmelderichtlinie „*/“ – Die Standardanmelderichtlinie für Administratoren (*/admin) legt Folgendes fest: Wenn ein Benutzer die URL zum IVE, gefolgt von „/admin“ eingibt, zeigt das IVE die Standardanmeldeseite für Administratoren an. Außerdem muss der Administrator einen Authentifizierungsbereich auswählen (sofern mehrere Bereiche vorhanden sind). Die Anmelderichtlinie „*/“ gilt für den Authentifizierungsbereich „Admin Users“ und gilt daher für das Administratorkonto, das Sie über die serielle Konsole anlegen. Konfigurieren der Standardeinstellungen für Administratoren Kapitel 2 Einführung in das IVE Die Juniper Networks Instant Virtual Extranet (IVE)-Plattform liegt den Juniper Networks SSL VPN-Appliances als Hard- und Software zugrunde. Mit diesen Produkten können Sie Mitarbeitern, Partnern und Kunden über einen beliebigen Webbrowser überall sicheren und kontrollierten Zugriff auf Unternehmensdaten und -anwendungen (einschließlich Datei- und Webserver des Unternehmens, systemeigener Nachrichten- und E-Mail-Clients, gehosteter Server und weiterer Anwendungen von außerhalb des vertrauenswürdigen Netzwerks) gewähren. Dieser Abschnitt enthält die folgenden Informationen über das IVE: „Was ist das IVE?“ auf Seite 23 „Welchen Leistungsumfang bietet das IVE?“ auf Seite 25 „Wie konfiguriere ich das IVE?“ auf Seite 31 Was ist das IVE? Das IVE ist ein Netzwerkbetriebssystem, das als Plattform für alle Juniper Networks Secure Access-Produkte fungiert. Diese Appliances bieten ein hohes Maß an Skalierbarkeit für Unternehmen, hohe Verfügbarkeit sowie Sicherheitsfunktionen, um den sicheren Zugriff auf Netzwerkressourcen zu erweitern. Das IVE bietet stabile Sicherheit, indem es als Zwischenglied für die Daten fungiert, die zwischen externen Benutzern und internen Unternehmensressourcen übertragen werden. Die Benutzer erhalten über eine durch die Appliance gehostete Extranetsitzung einen authentifizierten Zugriff auf autorisierte Ressourcen. Während der Vermittlung empfängt das IVE sichere Anforderungen von externen, authentifizierten Benutzern und stellt dann im Auftrag dieser Benutzer Anforderungen an die internen Ressourcen. Bei der Vermittlung auf diese Art wird es mithilfe des IVE überflüssig, in einer herkömmlichen DMZ Toolkits für Extranets bereitzustellen oder den Mitarbeitern ein VPN (Virtual Private Network) für Remotezugriffe zur Verfügung zu stellen. Ihre Mitarbeiter, Partner und Kunden benötigen zum Zugreifen auf die IVE-Startseite lediglich einen Webbrowser mit SSL-Unterstützung und eine Internetverbindung. Diese Seite enthält das Fenster, über das die Benutzer Web- oder Dateiserver sicher durchsuchen, HTML-fähige Unternehmensanwendungen verwenden, den Client-/Serveranwendungsproxy starten, eine Windows-, Citrix- oder Telnet/SSHTerminalsitzung beginnen, auf E-Mail-Server des Unternehmens zugreifen, einen gesicherten Tunnel auf Layer 3 (Ebene 3) starten oder ein sicheres Online-Meeting planen bzw. daran teilnehmen können.1 1. Die verfügbaren Funktionen hängen von dem erworbenen Juniper Networks Secure Access-Produkt und den erworbenen Aktualisierungsoptionen ab. Was ist das IVE? 23 Juniper Networks Secure Access – Administratorhandbuch Abbildung 17: Das IVE innerhalb eines LAN Sie können eine Juniper Networks Secure Access-Appliance für Folgendes konfigurieren: Benutzern sicheren Zugriff auf eine Vielzahl von Ressourcen zur Verfügung stellen. Das IVE vermittelt den Zugriff auf verschiedenste Arten von Anwendungen und Ressourcen, z.B. webbasierte Unternehmensanwendungen, Java-Anwendungen, Dateifreigaben, Terminalhosts und andere Client-/Serveranwendungen wie Microsoft Outlook, Lotus Notes, den Citrix ICA-Client und pcAnywhere. Des Weiteren können Administratoren eine Zugriffsmethode einrichten, die vollständige Layer 3 (Ebene 3)-Verbindung gewährleistet und dieselbe Zugriffsebene bietet, die ein Benutzer im Unternehmens-LAN erhält. Grenzen Sie den Benutzerzugriff auf die Appliance, Ressourcentypen oder einzelne Ressourcen anhand von Faktoren wie Gruppenmitgliedschaft, IP-Quelladresse, Zertifikatattribute und Endpunktsicherheitsstatus ein. Verwenden Sie beispielsweise die 2-Faktor-Authentifizierung und clientseitige digitale Zertifikate, um Benutzer für das IVE zu authentifizieren, und die LDAP-Gruppenmitgliedschaft, um Benutzer für den Zugriff auf einzelne Anwendungen zu autorisieren. Überprüfen Sie den Sicherheitsstatus der Benutzercomputer, indem Sie nach Endpoint Defense-Tools suchen wie z.B. nach aktueller Antivirensoftware, Firewalls und Sicherheitspatches. Gewähren oder verweigern Sie anschließend basierend auf dem Sicherheitsstatus des Computers den Benutzerzugriff auf die Appliance, die Ressourcentypen oder einzelne Ressourcen. Die IVE arbeitet als sicheres Gateway auf Anwendungsebene, das sämtliche Anforderungen zwischen dem öffentlichen Internet und internen Unternehmensressourcen vermittelt. Auf sämtliche Anforderungen, die das IVE erhält, wurde bereits durch den Browser des Endbenutzers eine 128-Bit- oder 168Bit-SSL/HTTPS-Verschlüsselung angewendet. Unverschlüsselte Anforderungen werden verworfen. Da das IVE eine stabile Sicherheitsschicht zwischen dem öffentlichen Internet und den internen Ressourcen zur Verfügung stellt, müssen Administratoren nicht fortwährend Sicherheitsrichtlinien verwalten und Sicherheitslücken für zahlreiche verschiedene Anwendungen und Webserver beheben, die in dem öffentlichen DMZ bereitgestellt werden. 24 Was ist das IVE? Kapitel 2: Einführung in das IVE Welchen Leistungsumfang bietet das IVE? Das IVE bietet eine Vielzahl an Funktionen, die zum Sichern der Unternehmensressourcen und zur einfachen Verwaltung der Umgebung verwendet werden können. Die folgenden Abschnitte enthalten Antworten auf Fragen, die möglicherweise zur Sicherheit des IVE und zu Verwaltungsfunktionen auftreten: „Kann ich das IVE zum Sichern des Datenverkehrs zu allen Anwendungen, Servern und Webseiten des Unternehmens verwenden?“ auf Seite 25 „Kann ich zum Authentifizieren von IVE-Benutzern bereits bestehende Server verwenden?“ auf Seite 27 „Kann ich den Zugriff auf das IVE und die von ihm vermittelten Ressourcen eingrenzen?“ auf Seite 27 „Kann ich eine nahtlose Integration zwischen IVE und den von ihm vermittelten Ressourcen erstellten?“ auf Seite 29 „Kann ich das IVE zum Schutz vor infizierten Computern und bei anderen Sicherheitsbedenken verwenden?“ auf Seite 29 „Kann ich die Redundanz in meiner IVE-Umgebung sicherstellen?“ auf Seite 30 „Kann ich die IVE-Schnittstelle an die Darstellung des Unternehmens anpassen?“ auf Seite 30 „Können Benutzer auf mehreren Computern und Geräten das IVE verwenden?“ auf Seite 31 „Verfügen die internationalen Benutzer über sicheren Zugriff?“ auf Seite 31 Kann ich das IVE zum Sichern des Datenverkehrs zu allen Anwendungen, Servern und Webseiten des Unternehmens verwenden? Mit den Remotezugriffsfunktionen des IVE besitzen Sie sicheren Zugriff auf zahlreiche Anwendungen, Server und andere Ressourcen. Nach Auswahl der zu sichernden Ressource kann anschließend der geeignete Zugriffsmechanismus bestimmt werden. Möchten Sie z.B. den Zugriff auf Microsoft Outlook sichern, verwenden Sie den Secure Application Manager (SAM). Der Secure Application Manager vermittelt den Datenverkehr zwischen Client-, bzw. Serveranwendungen einschließlich Microsoft Outlook, Lotus Notes und Citrix. Der Zugriff auf das firmeninterne Intranet kann mit der Funktion für das Neuschreiben von Webinhalt gesichert werden. Diese Funktion vermittelt Datenverkehr zwischen webbasierten Anwendungen und Webseiten mithilfe des IVE-Moduls für Inhaltsvermittlung. Welchen Leistungsumfang bietet das IVE? 25 Juniper Networks Secure Access – Administratorhandbuch Das IVE enthält Remotezugriffsmechanismen, die die folgenden Datenverkehrsarten vermitteln: 26 Webbasierter Datenverkehr, einschließlich Webseiten und webbasierten Anwendungen: Verwenden Sie die Funktion zum Neuschreiben von Webinhalt, um diese Art von Inhalt zu vermitteln. Die Funktion zum Neuschreiben von Webinhalt beinhaltet Vorlagen, die die Zugriffskonfiguration auf Anwendungen wie Citrix, OWA, Lotus iNotes und Sharepoint erleichtert. Sie können außerdem die benutzerdefinierte Konfigurationsoption für das Neuschreiben von Webinhalt verwenden, um Datenverkehr von vielen zusätzlichen webbasierten Anwendungen und Webseiten, einschließlich benutzerdefinierter Webanwendungen, zu vermitteln. Java-Applets, einschließlich Webanwendungen, die Java-Applets verwenden: Verwenden Sie die Funktion für gehostete Java-Applets, um diese Art von Inhalt zu vermitteln. Diese Funktion ermöglicht anstelle der Verwaltung eines separaten Java-Servers das Hosten von Java-Applets und den HTMLSeiten, auf die sie direkt im IVE verweisen. Dateiverkehr, einschließlich Dateiserver und -verzeichnisse: Verwenden Sie die Funktion zum Neuschreiben von Dateien, um den Zugriff auf Dateifreigaben zu vermitteln und diesen dynamisch über das Internet zu ermöglichen. Die Funktion zum Neuschreiben von Dateien ermöglicht den sicheren Datenverkehr zu einer Vielzahl von Windows- und Unix-basierten Servern, Verzeichnissen und Dateifreigaben. Client-/Server-Anwendungen: Verwenden Sie die Funktion „Secure Application Manager“, um diese Art von Inhalt zu vermitteln. Secure Application Manager steht in zwei Varianten (Windows- und Java-Versionen oder WSAM und JSAM) zur Verfügung. Die WSAM- und JSAM-Funktionen umfassen Vorlagen, die die einfache Konfiguration des Zugriffs auf Anwendungen wie Lotus Notes, Microsoft Outlook, NetBIOS-Dateinavigation und Citrix ermöglichen. Sie können außerdem die Optionen für die benutzerdefinierte WSAM- und JSAM-Konfiguration verwenden, um Datenverkehr von zahlreichen zusätzlichen Client-/Serveranwendungen und Zielnetzwerke zu vermitteln. Telnet/SSH-Terminalemulationssitzungen: Verwenden Sie die Telnet/SSHFunktion, um diese Art von Inhalt zu vermitteln. Diese Funktion ermöglicht die einfache Konfiguration des Zugriffs auf eine Reihe von vernetzten Geräten, beispielsweise UNIX-Server, im Netzwerk betriebene Geräte und Legacyanwendungen, die Terminalsitzungen verwenden. Windows Terminal Servers und Citrix-Server – Terminalemulationssitzungen: Verwenden Sie die Funktion „Terminal Services“, um diese Art von Inhalt zu vermitteln. Diese Funktion ermöglicht die einfache Konfiguration des Zugriffs auf Windows Terminal Servers, Citrix MetaFrame-Server und Citrix Presentation Servers (früher als Nfuse-Server bezeichnet). Diese Funktion kann auch zum Bereitstellen von Clients für Terminal Services direkt über das IVE verwendet werden. Dadurch ist zum Hosten der Clients kein weiterer Webserver erforderlich. Welchen Leistungsumfang bietet das IVE? Kapitel 2: Einführung in das IVE E-Mail-Clients auf Basis von IMAP4-, POP3- und SMTP-Protokollen: Verwenden Sie die E-Mail-Client-Funktion, um diese Art von Inhalt zu vermitteln. Diese Funktion ermöglicht die einfache Konfiguration des Zugriffs auf Firmenmailserver mit IMAP4-, POP3- und SMTP-Protokollen, wie z.B. Microsoft Exchange Server und Lotus Notes Mail-Server. Gesamter Netzwerkverkehr: Verwenden Sie die Funktion Network Connect zur Erstellung eines sicheren Layer 3 (Ebene 3)-Tunnels über die SSL-Verbindung. Dadurch wird der Zugriff auf alle im Firmennetzwerk verfügbaren Anwendungstypen ermöglicht. Diese Funktion ermöglicht die einfache Verbindung von Remotebenutzern mit dem Netzwerk durch Tunnelnetzwerkverkehr über Port 443. Benutzer haben dadurch vollen Zugriff auf alle Netzwerkressourcen, ohne dass der Zugriff auf einzelne Server, Anwendungen und Ressourcen konfiguriert werden muss. Weitere Informationen zum sicheren Datenverkehr über IVERemotezugriffsmechanismen finden Sie unter „Remotezugriff“ auf Seite 297. Kann ich zum Authentifizieren von IVE-Benutzern bereits bestehende Server verwenden? Sie können das IVE einfach so konfigurieren, dass bereits vorhandene Server zur Authentifizierung von Endbenutzern verwendet werden. Benutzer benötigen zum Zugreifen aufs IVE keinen neuen Benutzernamen und kein neues Kennwort. Das IVE unterstützt die Integration mit LDAP, RADIUS, NIS, Windows NT Domain, Active Directory, Netegrity SiteMinder, SAML und RSA ACE/Server. Möchten Sie keinen dieser Standardserver verwenden, können Sie Benutzernamen und Anmeldedaten direkt im IVE speichern und das IVE selbst als Authentifizierungsserver einsetzen. Des Weiteren können Sie Benutzer anhand von in Authentifizierungsassertionen enthaltenen Attributen authentifizieren, die von SAML-Autoritäten oder clientseitigen Zertifikaten erstellt wurden. Wenn die Anmeldung der Benutzer am IVE nicht erforderlich sein soll, können Sie den anonymen IVE-Authentifizierungsserver verwenden, der den Zugriff der Benutzer auf das IVE ohne Angabe eines Benutzernamens oder Kennworts ermöglicht. Weitere Informationen zur Sicherung des Zugriffs auf das IVE mithilfe von Authentifizierungsservern finden Sie unter „Authentifizierungs- und Verzeichnisserver“ auf Seite 95. Kann ich den Zugriff auf das IVE und die von ihm vermittelten Ressourcen eingrenzen? Der Zugriff auf das IVE erfolgt nicht nur mithilfe von Authentifizierungsservern, sondern der Zugriff auf das IVE und die von ihm vermittelten Ressourcen wird auch mithilfe einer Reihe von zusätzlichen clientseitigen Prüfungen gesteuert. Das IVE ermöglicht die Erstellung eines vielschichtigen Ansatzes zum Sichern des IVE und der Ressourcen: 1. Führen Sie zunächst Vorauthentifizierungen durch, die den Benutzerzugriff auf die IVE-Anmeldeseite steuern. Konfigurieren Sie beispielsweise das IVE so, dass überprüft wird, ob auf dem Computer des Benutzers eine bestimmte Version von Norton Antivirus ausgeführt wird. Wird diese Version nicht ausgeführt, können Sie festlegen, dass der Computer des Benutzers nicht sicher ist, und den Zugriff auf die IVE-Anmeldeseite verweigern, bis der Benutzer die Antivirensoftware aktualisiert hat. Welchen Leistungsumfang bietet das IVE? 27 Juniper Networks Secure Access – Administratorhandbuch 2. Hat der Benutzer auf die IVE-Anmeldeseite zugegriffen, können Prüfungen auf Bereichsebene durchgeführt werden, um zu ermitteln, ob der Zugriff auf die IVE-Endbenutzerstartseite zugelassen ist. Die am weitesten verbreitete Prüfung auf Bereichsebene wird mithilfe eines Authentifizierungsservers durchgeführt. (Der Server ermittelt, ob der Benutzer einen gültigen Benutzernamen und ein gültiges Kennwort eingibt.) Sie können andere Arten von Prüfungen auf Bereichsebene durchführen; so können Sie z.B. prüfen, ob sich die IP-Adresse des Benutzers im Netzwerk befindet oder ob der Benutzer den angegebenen Webbrowser verwendet. Besteht der Benutzer die angegebenen Prüfungen auf Bereichsebene, kann er auf die IVE-Endbenutzerstartseite zugreifen. Andernfalls verweigert ihm das IVE die Anmeldung oder zeigt eine vereinfachte Version der von Ihnen erstellten IVE-Startseite an. Den Benutzern stehen mit dieser vereinfachten Version bedeutend weniger Funktionen zur Verfügung als den Standardbenutzern, da sie nicht alle Authentifizierungskriterien bestanden haben. Das IVE bietet außerordentlich flexible Richtliniendefinitionen und ermöglicht Ihnen die dynamische Änderung des Endbenutzerzugriffs auf Ressourcen basierend auf Firmensicherheitsrichtlinien. 3. Nach dem Zuordnen eines Benutzers zu einem Bereich durch das IVE weist die Appliance den Benutzer basierend auf Ihren Auswahlkriterien einer Rolle zu. Eine Rolle gibt an, auf welche Zugriffsmechanismen eine ausgewählte Gruppe von Benutzern zugreifen kann. Die Rolle steuert auch die Sitzungs- und UIOptionen für diese Gruppe von Benutzern. Ihnen steht eine Reihe von Kriterien zum Zuweisen von Benutzern zu Rollen zur Verfügung. Sie können beispielsweise Benutzer verschiedenen Rollen basierend auf Endpunktsicherheitsprüfungen oder Attributen von LDAP-Servern oder clientseitigen Zertifikaten zuweisen. 4. In den meisten Fällen steuern die Rollenzuweisungen eines Benutzers seinen Zugriff auf die einzelnen Ressourcen. Konfigurieren Sie beispielsweise den Zugriff auf die Firmenintranetseite mithilfe eines Webressourcenprofils, und legen Sie anschließend fest, dass alle Mitglieder der Rolle „Employees“ auf diese Ressource zugreifen können. Der Zugriff auf einzelne Ressourcen kann jedoch noch feiner abgestimmt werden. Sie können Mitgliedern der Rolle „Employees“ beispielsweise den Zugriff auf das Firmenintranet ermöglichen (siehe weiter oben), fügen jedoch eine detaillierte Regel für eine Ressourcenrichtlinie hinzu, die von Benutzern die Erfüllung zusätzlicher Kriterien zum Zugreifen auf die Ressource verlangt. Sie können beispielsweise festlegen, dass Benutzer Mitglieder der Rolle „Employees“ sein und sich während der Geschäftszeiten am IVE anmelden müssen, um auf das Firmenintranet zuzugreifen. Weitere Informationen zum Eingrenzen des Zugriffs auf das IVE und die von ihm vermittelten Ressourcen finden Sie unter „Zugriffsverwaltung – Umgebung“ auf Seite 33. 28 Welchen Leistungsumfang bietet das IVE? Kapitel 2: Einführung in das IVE Kann ich eine nahtlose Integration zwischen IVE und den von ihm vermittelten Ressourcen erstellten? In einer typischen IVE-Konfiguration können Sie Lesezeichen direkt der IVEEndbenutzerstartseite hinzufügen. Diese Lesezeichen stellen Links zu den Ressourcen dar, die vom IVE vermittelt werden sollen. Das Hinzufügen dieser Lesezeichen ermöglicht Benutzern die Anmeldung an einem Standort (dem IVE) und das Suchen einer vollständigen Liste aller für sie verfügbaren Ressourcen. In dieser typischen Konfiguration können Sie durch das Aktivieren von Single SignOn (SSO) die Integration zwischen dem IVE und den vermittelten Ressourcen optimieren. SSO ist ein Vorgang, der es vorauthentifizierten IVE-Benutzern ermöglicht, auf von einem anderen Zugriffsverwaltungssystem geschützte Ressourcen oder andere Anwendungen zuzugreifen, ohne die jeweiligen Anmeldedaten erneut eingeben zu müssen. Sie können während der IVEKonfiguration SSO aktivieren, indem Sie Benutzeranmeldedaten angeben, die das IVE an die vermittelten Ressourcen weiterleiten soll. Weitere Informationen finden Sie unter „Einzelanmeldung“ auf Seite 203. Wenn Sie die Benutzerressourcen auf der IVE-Endbenutzerstartseite nicht zentralisieren möchten, können Sie Links von einer anderen Webseite zu den vom IVE vermittelten Ressourcen erstellen. Sie können beispielsweise Lesezeichen im IVE konfigurieren und diesen Lesezeichen anschließend Links aus dem Firmenintranet hinzufügen. Die Benutzer melden sich am Firmenintranet an und klicken zum Zugreifen auf vermittelte Ressourcen auf die Links, ohne zuerst auf die IVE-Startseite zuzugreifen. Bei IVE-Standardlesezeichen können Sie für diese externen Links SSO aktivieren. Kann ich das IVE zum Schutz vor infizierten Computern und bei anderen Sicherheitsbedenken verwenden? Das IVE ermöglicht mithilfe der Host Checker-Funktion den Schutz vor Viren, Angriffen und anderen Sicherheitsrisiken. Mit Host Checker werden auf Clients, die mit dem IVE eine Verbindung herstellen, Sicherheitsprüfungen durchgeführt. Verwenden Sie Host Checker beispielsweise, um zu überprüfen, ob auf den Systemen von Endbenutzern aktuelle Antivirensoftware, Firewalls, wichtige Softwarepatches und andere Anwendungen installiert sind, die den Computer des Benutzers schützen. Gewähren oder verweigern Sie basierend auf den von Host Checker zurückgegebenen Ergebnissen Benutzern den Zugriff auf die IVE-Anmeldeseiten, -Bereiche, -Rollen und -Ressourcen. Sie können auch Hilfsanweisungen für Benutzer anzeigen, um die Computer mit den Sicherheitsanforderungen in Einklang zu bringen. Verwenden Sie Host Checker auch zum Erstellen eines geschützten Arbeitsbereichs auf Clients mit Windows 2000 oder Windows XP. Sie können über Host Checker die Funktion für Secure Virtual Workspace (SVW) aktivieren, mit der ein geschützter Arbeitsbereich auf dem Clientdesktop erstellt wird. Somit wird sichergestellt, dass alle Endbenutzer, die sich am Intranet anmelden, alle Interaktionen in einer vollkommen sicheren Umgebung ausführen. Secure Virtual Workspace verschlüsselt die Informationen, die die Anwendungen auf die Festplatte oder in die Registrierung schreiben, und vernichtet nach der Sitzung alle eigenen oder zur IVE-Sitzung gehörenden Dateien. Welchen Leistungsumfang bietet das IVE? 29 Juniper Networks Secure Access – Administratorhandbuch Schützen Sie das Netzwerk vor feindlichen Eindringungsversuchen auch durch die Integration eines Juniper Networks Intrusion Detection and Prevention (IDP)Sensors in das IVE. Verwenden Sie IDP-Geräte, um die meisten auf Softwarelücken basierenden Netzwerkwürmer, nicht auf Dateien basierenden trojanischen Pferde, die Auswirkungen von Spyware, Adware und Keylogger-Software, viele Arten von Malware und Zero-Day-Angriffe durch die Funktion zum Erkennen von Unregelmäßigkeiten zu identifizieren und zu blockieren. Weitere Informationen zu Host Checker und anderen systemeigenen Endpoint Defense-Mechanismen des IVE finden Sie unter „Endpoint Defense“ auf Seite 235. Weitere Informationen über die Integration des IVE in IDP finden Sie unter „IVE und IDP-Interoperabilität“ auf Seite 859. Kann ich die Redundanz in meiner IVE-Umgebung sicherstellen? Stellen Sie die Redundanz in der IVE-Umgebung mithilfe der IVE-Clusteringfunktion sicher. Mithilfe dieser Funktion können Sie mindestens zwei Appliances als Cluster bereitstellen. Dadurch wird keine Ausfallzeit für die Benutzer im seltenen Fall eines Systemausfalls und „Stateful Peering“ sichergestellt, durch das die Benutzereinstellungen, die Systemeinstellungen und die Sitzungsdaten der Benutzer synchronisiert werden. Diese Appliances unterstützen Aktiv/Passiv- oder Aktiv/Aktiv-Konfigurationen in einem LAN oder einem WAN. Im Aktiv/Passiv-Modus bearbeitet ein IVE aktiv Benutzeranforderungen, während das andere IVE passiv im Hintergrund ausgeführt wird, um Statusdaten zu synchronisieren. Wird das aktive IVE offline geschaltet, beginnt das Standby-IVE automatisch mit der Bearbeitung der Benutzeranforderungen. Im Aktiv/Aktiv-Modus verarbeiten alle IVEs im Cluster aktiv die Benutzeranforderungen, die von einem externen Load-Balancer oder nach dem Rotationsprinzip über DNS gesendet wurden. Der Load-Balancer hostet die Cluster-VIP und leitet Benutzeranforderungen auf der Grundlage von SIP-Weiterleitung (Source-IP) an ein in seiner Clustergruppe definiertes IVE weiter. Wenn ein IVE offline geschaltet wird, passt der Load-Balancer die Datenlast auf den aktiven IVEs an. Kann ich die IVE-Schnittstelle an die Darstellung des Unternehmens anpassen? Das IVE ermöglicht das Anpassen verschiedener Elemente auf der Endbenutzeroberfläche. Mithilfe der Funktionen für die benutzerdefinierte Einrichtung kann die Darstellung der IVE-Endbenutzerkonsole aktualisiert werden, sodass sie wie eine der standardmäßigen Firmenwebseiten oder -anwendungen aussieht. Passen Sie beispielsweise die vom IVE auf der IVE-Anmeldeseite und der Endbenutzerkonsole angezeigten Kopfzeilen, Hintergrundfarben und Logos an, sodass sie dem Stil Ihres Unternehmens entsprechen. Sie können außerdem die Reihenfolge der vom IVE angezeigten Lesezeichen sowie das dem Benutzer vom IVE angezeigte Hilfesystem anpassen. Soll die IVE-Endbenutzerstartseite den Benutzern nicht angezeigt werden (in Standardansicht oder benutzerdefinierter Ansicht), können Benutzer bei ihrer ersten Anmeldung an der IVE-Konsole auf eine andere Seite umgeleitet werden (z.B. in das Firmenintranet). Wenn Sie diese Option verwenden, möchten Sie u. U. auf der neuen Seite Links zu den IVE-Lesezeichen hinzufügen, wie in „Kann ich eine nahtlose Integration zwischen IVE und den von ihm vermittelten Ressourcen erstellten?“ auf Seite 29 beschrieben. 30 Welchen Leistungsumfang bietet das IVE? Kapitel 2: Einführung in das IVE Möchten Sie die IVE-Anmeldeseite weiter anpassen, verwenden Sie die Funktion für benutzerdefinierte IVE-Anmeldeseiten. Im Gegensatz zu den Standardoptionen zur Anpassung, die über die IVE-Verwaltungskonsole konfiguriert werden, können mithilfe der Funktion für benutzerdefinierte Anmeldeseiten die Seiten beliebig oft angepasst werden. Sie können mithilfe dieser Funktion einen HTML-Editor zur Erstellung einer Anmeldeseite verwenden, die genau Ihren Anforderungen entspricht. Weitere Informationen zum Anpassen der Darstellung des IVE finden Sie unter „Anpassbare Administrator- und Endbenutzeroberflächen“ auf Seite 879. Können Benutzer auf mehreren Computern und Geräten das IVE verwenden? Zusätzlich zur Zugriffsmöglichkeit für Benutzer auf das IVE über Standardarbeitsstationen und Kioske mit Windows-, Macintosh- und Linux-Betriebssystemen ermöglicht das IVE den Endbenutzern, auf das IVE über verbundene PDAs, Handhelds und Smart Phones zuzugreifen, z.B. i-Mode und Pocket PC. Wenn von einem Benutzer über ein PDA- oder Handheld-Gerät eine Verbindung hergestellt wird, ermittelt das IVE, welche IVE-Seiten und -Funktionen anzuzeigen sind. Dies erfolgt entsprechend den von Ihnen konfigurierten Einstellungen. Weitere Informationen dazu, welche Seiten das IVE auf verschiedenen Geräten anzeigt, finden Sie im Dokument „IVE Supported Platforms“ auf der Seite für die IVE-Betriebssystemsoftware des Juniper Networks Customer Support Center. Weitere Informationen zu den vom IVE unterstützten Betriebssystemen, PDAs und Handheldgeräten finden Sie unter „Handheldgeräte und PDAs“ auf Seite 907. Verfügen die internationalen Benutzer über sicheren Zugriff? Das IVE unterstützt Englisch (USA), Französisch, Deutsch, Spanisch, Chinesisch (vereinfacht und traditionell), Japanisch und Koreanisch. Das IVE erkennt bei der Anmeldung der Benutzer am IVE anhand der Webbrowsereinstellung des Benutzers automatisch die anzuzeigende Sprache. Verwenden Sie alternativ Endbenutzerlokalisierungsoptionen sowie Optionen für benutzerdefinierte Anmeldeseiten, um die den Benutzern anzuzeigende Sprache manuell festzulegen. Weitere Informationen zur Lokalisierung finden Sie unter „Unterstützung mehrerer Sprachen“ auf Seite 903. Wie konfiguriere ich das IVE? Führen Sie die folgenden grundlegenden Schritte aus, um Benutzern die Verwendung der Secure Access-Appliance zu ermöglichen: 1. Stecken Sie die Appliance ein, schließen Sie sie ans Netzwerk an, und konfigurieren Sie die System- und Netzwerkeinstellungen. Dieser einfache und schnelle Vorgang ist im Secure Access Quick Start Guide genauer erläutert. 2. Nach dem Anschließen des IVE ans Netzwerk müssen Sie Systemdatum und -zeit angeben und das aktuelle Service Pack sowie die Produktlizenzen installieren. Bei der ersten Anmeldung an der Verwaltungskonsole zeigt das IVE einen Task Guide für die Erstkonfiguration an, der Sie durch diesen Vorgang führt. Wie konfiguriere ich das IVE? 31 Juniper Networks Secure Access – Administratorhandbuch 3. Nach der Installation der Produktlizenzen muss die Zugriffsverwaltungsumgebung eingerichtet werden, damit die Benutzer authentifiziert werden und auf Ressourcen zugreifen können. Konfigurationsschritte: a. Definieren eines Authentifizierungsservers, der Namen und Kennwörter der Benutzer überprüft. b. Erstellen von Benutzerrollen, die Zugriffsmechanismen sowie Sitzungs- und UI-Optionen für Benutzergruppen ermöglichen. c. Erstellen eines Authentifizierungsbereichs, der die Bedingungen festlegt, die Benutzer für die Anmeldung am IVE erfüllen müssen. d. Definieren einer Anmelderichtlinie, die die URL enthält, auf die Benutzer zum Anmelden am IVE zugreifen müssen, sowie die Seite, die bei der Anmeldung angezeigt wird. e. Erstellen eines Ressourcenprofils, das den Zugriff auf Ressourcen steuert, angibt, welche Benutzerrollen darauf zugreifen dürfen und Lesezeichen enthält, die auf die Ressourcen verweisen. Das IVE enthält einen Task Guide in der Verwaltungskonsole, der Sie durch diesen Vorgang führt. Klicken Sie zum Aufrufen des Task Guide auf den Link Guidance. Wählen Sie unter Recommended Task Guides Base Configuration aus: Sie können alternativ die Anleitung in diesem Handbuch verwenden. Weitere Informationen finden Sie unter „Erste Überprüfung und Schlüsselkonzepte“ auf Seite 3. Nach dem Ausführen der grundlegenden Schritte kann die Secure Access-Appliance verwendet werden. Verwenden Sie diese unverändert, oder konfigurieren Sie zusätzliche erweiterte Funktionen wie Endpoint Defense und Clustering. 32 Wie konfiguriere ich das IVE? Teil 2 Zugriffsverwaltung – Umgebung Das IVE schützt Ressourcen mit den folgenden Zugriffsverwaltungsmechanismen: Authentication realm – Der Zugriff auf Ressourcen beginnt im Authentifizierungsbereich. Ein Authentifizierungsbereich gibt Bedingungen an, denen Benutzer entsprechen müssen, um sich am IVE anzumelden. Eine Spezifikation für einen Authentifizierungsbereich umfasst mehrere Komponenten, darunter einen Authentifizierungsserver, der die Identität des Benutzers überprüft. Der Benutzer muss die für die Authentifizierungsrichtlinien des Bereichs angegebenen Sicherheitsanforderungen erfüllen, andernfalls leitet das IVE die Anmeldedaten des Benutzers nicht an den Authentifizierungsserver weiter. User roles – Die Rollenkonfiguration bildet die zweite Ebene der Ressourcenzugriffssteuerung. Eine Rolle ist eine definierte Einheit, die IVESitzungseigenschaften für die Benutzer angibt, die der Rolle zugeordnet sind. Eine Rolle gibt nicht nur die Zugriffsmechanismen an, die einem Benutzer zur Verfügung stehen, sondern auch Beschränkungen, denen Benutzer entsprechen müssen, um einer Rolle zugeordnet werden zu können. Resource policies – Eine Ressourcenrichtlinie bildet die dritte Ebene der Ressourcenzugriffssteuerung. Eine Ressourcenrichtlinie stellt eine Reihe von Ressourcennamen (wie URLs, Hostnamen und Kombinationen aus IP-Adresse und Netzmaske) dar, denen der Zugriff oder die Ausführung anderer ressourcenspezifischer Aktionen wie Neuschreiben oder Zwischenspeicherung gewährt oder verweigert wird. Eine Rolle gewährt den Zugriff auf bestimmte Zugriffsfunktionen und Ressourcen (wie Lesezeichen und Anwendungen), wohingegen eine Ressourcenrichtlinie den Benutzerzugriff auf eine bestimmte Ressource steuert. Beachten Sie, dass Sie während der Konfiguration des Ressourcenprofils separate oder automatische Ressourcenrichtlinien (AutoRichtlinien) erstellen können (empfohlen). Dieser Abschnitt enthält folgende Informationen über die Zugriffsverwaltungsumgebung des IVE: „Allgemeine Zugriffsverwaltung“ auf Seite 35 „Benutzerrollen“ auf Seite 53 „Ressourcenprofile“ auf Seite 75 „Ressourcenrichtlinien“ auf Seite 85 „Authentifizierungs- und Verzeichnisserver“ auf Seite 95 33 Juniper Networks Secure Access – Administratorhandbuch 34 „Authentifizierungsbereiche“ auf Seite 177 „Anmelderichtlinien“ auf Seite 193 „Einzelanmeldung“ auf Seite 203 Kapitel 3 Allgemeine Zugriffsverwaltung Das IVE ermöglicht es Ihnen, die Ressourcen Ihres Unternehmens mithilfe von Authentifizierungsrichtlinien, Benutzerprofilen und Ressourcenrichtlinien zu sichern. Mit diesen drei Zugriffsstufen können Sie den Zugriff von einer weit gefassten Ebene (z.B. wer sich am IVE anmelden kann) bis hinunter auf einer sehr eng gefassten Ebene steuern (z.B. welche authentifizierten Benutzer auf eine bestimmte URL oder eine bestimmte Datei zugreifen können). Sie können Sicherheitsanforderungen angeben, die Benutzer erfüllen müssen, um sich beim IVE anzumelden und auf IVEFunktionen oder bestimmte URLs, Dateien und weitere Serverressourcen zugreifen zu können. Das IVE setzt die konfigurierten Richtlinien, Regeln und Einschränkungen sowie die Bedingungen durch, mit deren Hilfe die Benutzer daran gehindert werden, Verbindungen mit nicht autorisierten Ressourcen und Inhalten herzustellen oder diese herunterzuladen. Dieser Abschnitt enthält folgende Informationen über die Zugriffsverwaltungsumgebung: „Lizenzierung: Verfügbarkeit der Zugriffsverwaltung“ auf Seite 36 „Richtlinien, Regeln und Einschränkungen sowie Bedingungen – Übersicht“ auf Seite 36 „Richtlinien, Regeln und Einschränkungen sowie Bedingungen – Auswertung“ auf Seite 39 „Dynamische Richtlinienauswertung“ auf Seite 41 „Konfigurieren von Sicherheitsanforderungen“ auf Seite 44 35 Juniper Networks Secure Access – Administratorhandbuch Lizenzierung: Verfügbarkeit der Zugriffsverwaltung Die IVE Zugriffsverwaltungsumgebung ist in allen Secure Access-Produkten verfügbar. Die Zugriffsverwaltungsfunktionen, einschließlich der Bereiche, Rollen, Ressourcenrichtlinien und Server, sind die Grundlage der IVE-Plattform, auf der alle Secure Access-Produkte aufgebaut sind. Richtlinien, Regeln und Einschränkungen sowie Bedingungen – Übersicht Das IVE ermöglicht es Ihnen, die Ressourcen Ihres Unternehmens mithilfe von Authentifizierungsrichtlinien, Benutzerprofilen und Ressourcenrichtlinien zu sichern. Mit diesen drei Zugriffsstufen können Sie den Zugriff von einer weit gefassten Ebene (z.B. wer sich am IVE anmelden kann) bis hinunter auf einer sehr eng gefassten Ebene steuern (z.B. welche authentifizierten Benutzer auf eine bestimmte URL oder eine bestimmte Datei zugreifen können). Dieser Abschnitt enthält folgende Informationen über Zugriffsverwaltungsrichtlinien, Regeln, Einschränkungen und Bedingungen: „Zugreifen auf Authentifizierungsbereiche“ auf Seite 36 „Zugreifen auf Benutzerrollen“ auf Seite 37 „Zugreifen auf Ressourcenrichtlinien“ auf Seite 38 Zugreifen auf Authentifizierungsbereiche Der Zugriff auf Ressourcen beginnt im Authentifizierungsbereich. Als Authentifizierungsbereich wird eine Gruppierung von Authentifizierungsressourcen bezeichnet, einschließlich: 36 Ein Authentifizierungsserver, durch den die Identität des Benutzers überprüft wird. Das IVE leitet die Anmeldedaten eines Benutzers von der Anmeldeseite an einen Authentifizierungsserver weiter. Weitere Informationen finden Sie unter „Authentifizierungs- und Verzeichnisserver“ auf Seite 95. Einer Authentifizierungsrichtlinie, die die Sicherheitsanforderungen des Bereichs angibt, die erfüllt sein müssen, damit das IVE die Anmeldedaten eines Benutzers zur Überprüfung an einen Authentifizierungsserver weiterleitet. Weitere Informationen finden Sie unter „Definieren von Authentifizierungsrichtlinien“ auf Seite 180. Ein Verzeichnisserver ist ein LDAP-Server, der dem IVE Benutzer- und Gruppeninformationen bereitstellt, mit denen das IVE Benutzer einer oder mehreren Benutzerrollen zuordnet. Weitere Informationen finden Sie unter „Authentifizierungs- und Verzeichnisserver“ auf Seite 95. Lizenzierung: Verfügbarkeit der Zugriffsverwaltung Kapitel 3: Allgemeine Zugriffsverwaltung Rollenzuordnungsregeln geben die Bedingungen an, die ein Benutzer erfüllen muss, damit er vom IVE Rollen zugewiesen wird. Diese Bedingungen beruhen entweder auf den Benutzerinformationen, die der Verzeichnisserver des Bereichs zurückgibt, oder auf dem Benutzernamen des Benutzers. Weitere Informationen finden Sie unter „Erstellen von Rollenzuordnungsregeln“ auf Seite 181. Ordnen Sie einer IVE-Anmeldeseite mehrere Authentifizierungsbereiche zu. Wenn mehrere Bereiche für eine Anmeldeseite vorhanden sind, muss der Benutzer vor der Übermittlung der Anmeldedaten einen Bereich angeben. Wenn der Benutzer die Anmeldedaten übermittelt hat, überprüft das IVE die Authentifizierungsrichtlinie des gewählten Bereichs. Der Benutzer muss die für die Authentifizierungsrichtlinien des Bereichs angegebenen Sicherheitsanforderungen erfüllen, andernfalls leitet das IVE die Anmeldedaten des Benutzers nicht an den Authentifizierungsserver weiter. Auf Bereichsebene können Sie Sicherheitsanforderungen angeben, die auf verschiedenen Elementen basieren, wie z.B. auf der IP-Quelladresse des Benutzers oder dem Besitz eines clientseitigen Zertifikats. Wenn der Benutzer die Anforderungen der Authentifizierungsrichtlinie für den Bereich erfüllt, leitet das IVE die Anmeldedaten des Benutzers an den entsprechenden Authentifizierungsserver weiter. Wenn der Benutzer durch den Server authentifiziert wurde, wertet das IVE die Rollenzuordnungsregeln für den Bereich aus und ermittelt, welche Rollen dem Benutzer zugeordnet werden. Weitere Informationen finden Sie unter „Authentifizierungsbereiche“ auf Seite 177. Zugreifen auf Benutzerrollen Eine Rolle ist eine definierte Einheit, die die IVE-Sitzungseigenschaften für die Benutzer angibt, die der Rolle zugeordnet sind. Zu diesen Sitzungseigenschaften gehören Informationen wie beispielsweise Sitzungszeitbegrenzungen und aktivierte Zugriffsfunktionen. Die Rollenkonfiguration bildet die zweite Ebene der Ressourcenzugriffssteuerung. Eine Rolle gibt nicht nur die Zugriffsmechanismen an, die einem Benutzer zur Verfügung stehen, sondern auch Beschränkungen, denen Benutzer entsprechen müssen, um einer Rolle zugeordnet werden zu können. Der Benutzer muss diese Sicherheitsanforderungen erfüllen, andernfalls ordnet ihn das IVE keiner Rolle zu. Auf Bereichsebene können Sie Sicherheitsanforderungen auf der Grundlage von Elementen angeben, z.B. basierend auf der IP-Quelladresse des Benutzers oder auf dem Besitz eines clientseitigen Zertifikats. Wenn der Benutzer die Anforderungen erfüllt, die von einer Rollenzuordnungsregel oder den Einschränkungen einer Rolle angegeben sind, ordnet das IVE den Benutzer der Rolle zu. Wenn ein Benutzer eine Anforderung an die für die Rolle verfügbaren Back-End-Ressourcen sendet, wertet das IVE die entsprechenden Ressourcenrichtlinien für die Zugriffsfunktion aus. Beachten Sie, dass Sicherheitsanforderungen für eine Rolle an zwei Stellen angegeben werden können: in den Rollenzuordnungsregeln eines Authentifizierungsbereichs (mit benutzerdefinierten Ausdrücken) oder durch die Angabe von Einschränkungen in der Rollendefinition. Das IVE wertet die angegebenen Anforderungen an beiden Positionen aus. Dies gewährleistet, dass nur Benutzer einer Rolle zugeordnet werden, die die Anforderungen erfüllen. Weitere Informationen finden Sie unter „Benutzerrollen“ auf Seite 53. Richtlinien, Regeln und Einschränkungen sowie Bedingungen – Übersicht 37 Juniper Networks Secure Access – Administratorhandbuch Zugreifen auf Ressourcenrichtlinien Eine Ressourcenrichtlinie stellt eine Reihe von Ressourcennamen (wie URLs, Hostnamen und Kombinationen aus IP-Adresse und Netzmaske) dar, denen der Zugriff oder die Ausführung anderer ressourcenspezifischer Aktionen wie Neuschreiben oder Zwischenspeicherung gewährt oder verweigert wird. Eine Ressourcenrichtlinie bildet die dritte Ebene der Ressourcenzugriffssteuerung. Eine Rolle gewährt den Zugriff auf bestimmte Zugriffsfunktionen und Ressourcen (wie Lesezeichen und Anwendungen), wohingegen eine Ressourcenrichtlinie den Benutzerzugriff auf eine bestimmte Ressource steuert. Mithilfe dieser Richtlinien können sogar Bedingungen angegeben werden, die, sofern erfüllt, den Benutzerzugriff auf eine Serverfreigabe oder Datei verweigern oder gewähren. Derartige Bedingungen können auf den von Ihnen angegebenen Sicherheitsanforderungen basieren. Der Benutzer muss diese Sicherheitsanforderungen erfüllen, andernfalls wird die Benutzeranforderung vom IVE nicht verarbeitet. Auf Ressourcenebene können Sie Sicherheitsanforderungen auf der Grundlage von Elementen angeben, wie z.B. auf der Grundlage der IP-Quelladresse des Benutzers oder auf der Grundlage des Besitzes eines clientseitigen Zertifikats. Wenn der Benutzer die Anforderungen erfüllt, die in den Bedingungen einer Ressourcenrichtlinie angegeben sind, verweigert oder gewährt das IVE den Zugriff auf die angeforderte Ressource. Sie können z.B. Webzugriff auf Rollenebene aktivieren, sodass ein der Rolle zugewiesener Benutzer eine Webanforderung ausführen kann. Sie können auch eine Webressourcenrichtlinie so konfigurieren, dass Anforderungen an eine bestimmte URL oder Pfad verweigert werden, wenn Host Checker auf dem Benutzercomputer eine inakzeptable Datei findet. In diesem Szenario überprüft das IVE, ob Host Checker ausgeführt wird, und gibt dann an, dass der Benutzercomputer der erforderlichen Host Checker-Richtlinie entspricht. Wenn dies der Fall ist, d. h. die inakzeptable Datei nicht gefunden wurde, gewährt das IVE dem Benutzer Zugriff auf die angeforderte Webressource. Beachten Sie, dass Sie während der Konfiguration des Ressourcenprofils separate oder automatische Ressourcenrichtlinien (Auto-Richtlinien) erstellen können (empfohlen). Weitere Informationen finden Sie unter: 38 „Ressourcenprofile“ auf Seite 75 „Komponenten eines Ressourcenprofils“ auf Seite 76 Richtlinien, Regeln und Einschränkungen sowie Bedingungen – Übersicht Kapitel 3: Allgemeine Zugriffsverwaltung Richtlinien, Regeln und Einschränkungen sowie Bedingungen – Auswertung Die folgende Abbildung zeigt die Sicherheitsprüfungen für die Zugriffsverwaltung, die beim Zugreifen eines Benutzers auf Ressourcen über das IVE vom IVE ausgeführt werden. Eine genaue Beschreibung der Schritte finden Sie unter der Abbildung. Abbildung 18 : Vom IVE während einer Benutzersitzung ausgeführte Sicherheitsprüfungen 1. Der Benutzer gibt die URL der IVE-Endbenutzerkonsole (z.B. http://employees.yourcompany.com/marketing) in einen Webbrowser ein. 2. Das IVE wertet die Anmelderichtlinien (beginnend bei den Administrator-URLs bis hin zu den Benutzer-URLs) aus, bis sie dem vom Benutzer eingegebenen Hostname entsprechen. Richtlinien, Regeln und Einschränkungen sowie Bedingungen – Auswertung 39 Juniper Networks Secure Access – Administratorhandbuch 3. Das IVE wertet die Einschränkungen der Vorauthentifizierung aus und ermittelt, ob das System des Benutzers Hostprüfungen besteht und weitere Anforderungen erfüllt. Schlagen die Vorauthentifizierungsprüfungen fehl, verweigert das IVE dem Benutzer den Zugriff. Werden die Prüfungen bestanden, wird der Benutzer vom IVE zur Eingabe von Benutzername und Kennwort für die Bereiche aufgefordert, deren Vorauthentifizierungsprüfungen erfolgreich waren. (Der Benutzer wird zur Eingabe zweier Sets von Anmeldedaten aufgefordert, falls dies für den Bereich erforderlich ist.) Sind mehrere Bereiche vorhanden, muss der Benutzer einen Bereich eingeben oder einen Bereich aus einer Liste auswählen. 4. Das IVE wertet die Einschränkungen für die Prüfungen nach der Authentifizierung aus und ermittelt, ob das Benutzerkennwort den festgelegten Einschränkungen und Anforderungen entspricht. Schlagen die Prüfungen nach der Authentifizierung fehl, verweigert das IVE dem Benutzer den Zugriff. Werden die Prüfungen bestanden, leitet das IVE die Anmeldedaten des Benutzers an den Authentifizierungsserver des Bereichs weiter. 5. Das IVE leitet den Benutzernamen und das Kennwort des Benutzers an den Authentifizierungsserver weiter. Diese Daten werden entweder angenommen oder abgelehnt. (Ein RADIUS- oder SiteMinder-Authentifizierungsserver gibt auch Attribute zurück, die vom IVE bei der Rollenzuordnung verwendet werden.) Lehnt der Authentifizierungsserver die Daten ab, verweigert das IVE dem Benutzer den Zugriff. Nimmt der Server die Daten an, speichert das IVE die Anmeldedaten des Benutzers. Besitzt der Bereich einen separaten LDAP-Autorisierungsserver fordert das IVE beim LDAP-Server Attribut- und Gruppeninformationen an und speichert diese. Verfügt der Bereich über einen zweiten Authentifizierungsserver, wiederholt das IVE diesen Vorgang beim zweiten Server. 6. Das IVE wertet die Rollenzuordnungsregeln des Bereichs aus und ermittelt die für den Benutzer zulässigen Rollen. Das IVE ermittelt die Zulässigkeit mithilfe der Informationen vom LDAP- oder RADIUS-Server oder des Benutzernamens. 7. Das IVE wertet die Einschränkungen der zulässigen Rollen aus und ermöglicht dem Benutzer den Zugriff auf die Rollen, deren Einschränkungen vom Computer des Benutzers erfüllt werden. Zu den Einschränkungen gehören Quell-IP, Browsertyp, clientseitiges Zertifikat, Host Checker und Cache Cleaner. 8. Das IVE erstellt eine Sitzungsrolle und ermittelt die Sitzungsberechtigungen des Benutzers. Bei aktivierter permissiver Zusammenführung ermittelt das IVE die Sitzungsberechtigungen, indem es alle gültigen Rollen zusammenführt und die zulässigen Ressourcen aller gültigen Rollen gewährt. Wird die Zusammenführung deaktiviert, weist das IVE den Benutzer der ersten Rolle zu, der er zugeordnet ist. Weitere Informationen finden Sie unter „Benutzerrollenbewertung“ auf Seite 54. 9. Wenn ein Benutzer eine Ressource anfordert, überprüft das IVE, ob die entsprechende Zugriffsfunktion für die Benutzerrolle der Sitzung aktiviert ist. Andernfalls verweigert das IVE dem Benutzer den Zugriff. Bei aktivierter Zugriffsfunktion werden die Ressourcenrichtlinien ausgewertet. 40 Richtlinien, Regeln und Einschränkungen sowie Bedingungen – Auswertung Kapitel 3: Allgemeine Zugriffsverwaltung 10. Das IVE wertet die mit der Benutzeranforderung zusammenhängenden Ressourcenprofile und -richtlinien aus. Dabei werden alle Profile und Richtlinien nacheinander verarbeitet, bis das Profil oder die Richtlinie gefunden wird, dessen bzw. deren Ressourcenliste und designierte Rollen der Anforderung des Benutzers entsprechen. Das IVE verweigert dem Benutzer den Zugriff auf die Ressource, wenn dies vom Profil oder von der Richtlinie so angegeben wird. Das IVE vermittelt die Benutzeranfrage, wenn das Profil oder die Richtlinie den Zugriff zulässt. Weitere Informationen finden Sie unter „Auswerten von Ressourcenrichtlinien“ auf Seite 90. 11. Das IVE vermittelt die Benutzeranfrage und leitet diese sowie ggf. die Anmeldedaten des Benutzers an den entsprechenden Server weiter. Das IVE leitet anschließend die Antwort vom Server an den Benutzer weiter. 12. Der Benutzer greift auf die angeforderte Ressource oder den angeforderten Anwendungsserver zu. Die Benutzersitzung wird bei Abmeldung des Benutzers oder bei Zeitüberschreitung der Sitzung aufgrund von Zeitbegrenzungen oder Inaktivität beendet. Das IVE zwingt den Benutzer auch möglicherweise zum Beenden der Sitzung, wenn die dynamische Richtlinienauswertung aktiviert ist und der Benutzer eine Richtlinie nicht erfüllt. Weitere Informationen finden Sie unter „Dynamische Richtlinienauswertung“ auf Seite 41. HINWEIS: Bei aktivierter dynamischer Richtlinienauswertung führt das IVE neben den hier aufgeführten Prüfungen weitere Prüfungen aus. Weitere Informationen finden Sie unter „Dynamische Richtlinienauswertung“ auf Seite 41. Dynamische Richtlinienauswertung Die dynamische Richtlinienauswertung ermöglicht die automatische oder manuelle Aktualisierung der zugewiesenen Rollen von Benutzern durch Auswertung der Authentifizierungsrichtlinie, der Rollenzuordnungen, Rolleneinschränkungen und Ressourcenrichtlinien eines Bereichs. Beim Ausführen einer dynamischen Auswertung überprüft das IVE, ob sich der Clientstatus geändert hat. (Der Host Checker-Status des Client hat sich z.B. möglicherweise geändert. Bei Roaming des Benutzers hat sich die IP-Adresse des Computers u. U. geändert.) Hat sich der Status geändert, ermöglicht oder verweigert das IVE dem Benutzer dementsprechend den Zugriff auf die abhängigen Bereiche, Rollen oder Ressourcenrichtlinien. HINWEIS: Das IVE prüft bei der Ausführung einer dynamischen Richtlinienauswertung nicht auf Änderungen der Benutzerattribute von einem RADIUS-, LDAP- oder SiteMinder-Server. Stattdessen wertet das IVE Regeln und Richtlinien neu aus, ausgehend von den ursprünglichen, bei der Anmeldung des Benutzers am IVE übermittelten Benutzerattributen. Dieser Abschnitt enthält die folgenden Informationen zur dynamischen Richtlinienauswertung: „Informationen zur dynamischen Richtlinienauswertung“ auf Seite 42 „Informationen zur standardmäßigen Richtlinienauswertung“ auf Seite 42 „Aktivieren der dynamischen Richtlinienauswertung“ auf Seite 43 Dynamische Richtlinienauswertung 41 Juniper Networks Secure Access – Administratorhandbuch Informationen zur dynamischen Richtlinienauswertung Während der dynamischen Richtlinienauswertung wertet das IVE die folgenden Typen von Ressourcenrichtlinien aus: Windows Secure Application Manager Java Secure Application Manager Network Connect Telnet/SSH Terminal Services (Windows und Citrix) Java Access Codesignatur (für Java-Applet) HINWEIS: Das IVE wertet Web- und Files-Ressourcenrichtlinien immer aus, wenn der Benutzer eine Ressource anfordert. Eine dynamische Auswertung ist für diese Richtlinien daher nicht erforderlich. Das IVE verwendet die dynamische Richtlinienauswertung nicht für Meetings- und E-Mail Client-Ressourcenrichtlinien. Stellt das IVE nach einer dynamischen Richtlinienauswertung fest, dass ein Benutzer die Sicherheitsanforderungen einer Richtlinie oder Rolle nicht mehr erfüllt, beendet das IVE unverzüglich die Verbindung zum Benutzer. Das Schließen einer TCP-Verbindung oder Anwendungsverbindung oder das Beenden einer Benutzersitzung für Network Connect, Secure Application Manager, Terminal oder Telnet/SSH wird möglicherweise angezeigt. Der Benutzer muss die erforderlichen Schritte unternehmen, um die Sicherheitsanforderungen der Richtlinie oder Rolle zu erfüllen, und sich dann erneut am IVE anmelden. Das IVE protokolliert Informationen über die Richtlinienauswertung und Rollenoder Zugriffsänderungen im Ereignisprotokoll. Informationen zur standardmäßigen Richtlinienauswertung Wenn Sie die dynamische Richtlinienauswertung nicht verwenden, wertet das IVE Richtlinien und Rollen nur bei den folgenden Ereignissen aus: 42 Wenn der Benutzer das erste Mal auf die IVE-Anmeldeseite zugreifen möchte, wertet das IVE die Host Checker- und Cache Cleaner-Richtlinien (falls vorhanden) für einen Bereich aus. Unmittelbar nach der erstmaligen Authentifizierung des Benutzers wertet das IVE die Bereichseinschränkungen des Benutzers in der Authentifizierungsrichtlinie, in den Rollenzuordnungsregeln und Rolleneinschränkungen aus. Jedes Mal, wenn der Benutzer eine Ressource anfordert, wertet der IVE Ressourcenrichtlinien aus. Dynamische Richtlinienauswertung Kapitel 3: Allgemeine Zugriffsverwaltung Jedes Mal, wenn sich der Host Checker- und Cache Cleaner-Status des Computers ändert, wertet das IVE die Host Checker- und Cache Cleaner-Richtlinien (falls vorhanden) für eine Rolle aus. Wenn Sie die dynamische Richtlinienauswertung nicht verwenden und Änderungen an einer Authentifizierungsrichtlinie, an Rollenzuordnungsregeln, Rolleneinschränkungen oder Ressourcenrichtlinien vornehmen, setzt das IVE diese Änderungen nur durch, wenn die oben beschriebenen Ereignisse auftreten. (Weitere Informationen hierzu finden Sie unter „Richtlinien, Regeln und Einschränkungen sowie Bedingungen – Auswertung“ auf Seite 39.) Wenn Sie die dynamische Richtlinienauswertung verwenden, setzt das IVE Änderungen beim Eintreten der oben beschriebenen Ereignisse und zu den angegebenen Zeiten durch. Weitere Informationen finden Sie unter „Aktivieren der dynamischen Richtlinienauswertung“ auf Seite 43. Aktivieren der dynamischen Richtlinienauswertung Sie können die dynamische Richtlinienauswertung folgendermaßen verwenden: Alle angemeldeten Benutzer in einem Bereich auswerten – Sie können die Rollen aller derzeit angemeldeten Benutzer eines Bereichs automatisch oder manuell mithilfe der Registerkarte General auf der Seite Administrators > Admin Realms > Bereich auswählen or Users > User Realms > Bereich auswählen aktualisieren. Sie können das IVE eine dynamische Richtlinienauswertung auf Bereichsebene folgendermaßen ausführen lassen: Mit einem automatischen Timer – Legen Sie durch ein Aktualisierungsintervall fest, wie oft das IVE eine automatische Richtlinienauswertung aller derzeit angemeldeten Bereichsbenutzer ausführt (z.B. alle 30 Minuten). Bei Verwendung des Aktualisierungsintervalls können Sie auch die IVE-Leistung feiner abstimmen, indem Sie angeben, ob Rollen und Ressourcenrichtlinien sowie die Authentifizierungsrichtlinie, die Rollenzuordnungsregeln und Rolleneinschränkungen aktualisiert werden sollen oder nicht. Nach Bedarf – Sie können die Authentifizierungsrichtlinie, die Rollenzuordnungsregeln, Rolleneinschränkungen und Ressourcenrichtlinien aller derzeit angemeldeten Bereichsbenutzer jederzeit manuell auswerten. Diese Vorgehensweise ist besonders dann von Vorteil, wenn Sie Änderungen an einer Authentifizierungsrichtlinie, an Rollenzuordnungsregeln, Rolleneinschränkungen oder Ressourcenrichtlinien vornehmen möchten, und die Rollen der Benutzer dieses Bereichs sofort aktualisiert werden sollen. Alle angemeldeten Benutzer in allen Bereichen auswerten – Die Rollen aller derzeit angemeldeten Benutzer in allen Bereichen können mithilfe der Einstellungen auf der Seite System > Status >Active Users manuell aktualisiert werden. Informationen hierzu finden Sie unter „Überwachen von aktiven Benutzern“ auf Seite 738. Dynamische Richtlinienauswertung 43 Juniper Networks Secure Access – Administratorhandbuch Einzelne Benutzer auswerten – Sie können die Rollen einzelner Benutzer automatisch aktualisieren, indem Sie auf der Seite Authentication > Endpoint Security > Host Checker die dynamische Richtlinienauswertung für Host Checker aktivieren. Host Checker kann das IVE veranlassen, bei jeder Änderung des Host Checker-Status eines Benutzers Ressourcenrichtlinien auszuwerten. (Wenn die dynamische Richtlinienauswertung für Host Checker nicht aktiviert ist, wertet das IVE zwar keine Ressourcenrichtlinien aus, die Authentifizierungsrichtlinie, Rollenzuordnungsregeln und Rolleneinschränkungen werden dennoch bei jeder Änderung des Host Checker-Status eines Benutzers ausgewertet.) Weitere Informationen finden Sie unter „Festlegen von allgemeinen Host Checker-Optionen“ auf Seite 280. Konfigurieren von Sicherheitsanforderungen Mit dem IVE können Sicherheitsanforderungen für Administratoren und Benutzer ganz einfach über die in den folgenden Abschnitten beschriebenen Optionen und Funktionen angegeben werden: 44 „Angeben von Quell-IP-Zugriffseinschränkungen“ auf Seite 45 „Angeben von Browserzugriffseinschränkungen“ auf Seite 47 „Angeben von Zertifikatzugriffseinschränkungen“ auf Seite 49 „Angeben von Kennwortzugriffseinschränkungen“ auf Seite 51 „Angeben von Host Checker-Zugriffseinschränkungen“ auf Seite 52 „Angeben von Cache Cleaner-Zugriffseinschränkungen“ auf Seite 52 Konfigurieren von Sicherheitsanforderungen Kapitel 3: Allgemeine Zugriffsverwaltung Angeben von Quell-IP-Zugriffseinschränkungen Mit einer Quell-IP-Einschränkung kann gesteuert werden, von welcher IP-Adresse aus Benutzer auf eine IVE-Anmeldeseite oder eine Ressource zugreifen oder einer Rolle zugeordnet werden können. Sie können den Zugriff auf die Ressourcen anhand der Quell-IP einschränken. Wenn sich Administratoren oder Benutzer am IVE anmelden möchten – Der Benutzer muss sich an einem Computer anmelden, dessen Kombination aus IPAdresse und Netzmaske die angegebenen IP-Quelladressanforderungen für den ausgewählten Authentifizierungsbereich erfüllt. Verfügt der Benutzercomputer nicht über eine für den Bereich erforderliche Kombination aus IP-Adresse und Netzmaske, leitet das IVE die Anmeldedaten des Benutzers nicht an den Authentifizierungsserver weiter, und dem Benutzer wird der Zugriff auf das IVE verweigert. Sie können den Zugriff auf das IVE für alle Kombinationen von IP-Adresse und Netzmaske gewähren oder verweigern. So können Sie beispielsweise den Zugriff auf das IVE für alle Benutzer eines drahtlosen Netzwerkes (10.64.4.100) verweigern, und allen anderen Netzwerkbenutzern (0.0.0.0) den Zugriff gewähren. Wenn Administratoren oder Benutzer einer Rolle zugeordnet werden – Der authentifizierte Benutzer muss sich von einem Computer aus anmelden, dessen Kombination aus IP-Adresse und Netzmaske den angegebenen IPQuelladressanforderungen für alle Rollen entspricht, denen das IVE den Benutzer zuordnet. Verfügt der Benutzercomputer nicht über eine Kombination aus IP-Adresse und Netzmaske, die für eine Rolle erforderlich ist, ordnet das IVE den Benutzer dieser Rolle nicht zu. Wenn Benutzer eine Ressource anfordern – Der authentifizierte, autorisierte Benutzer kann eine Ressourcenanforderung nur von einem Computer durchführen, dessen Kombination aus IP-Adresse und Netzmaske den im Zusammenhang mit der Benutzeranforderung angegebenen IPQuelladressanforderungen für die Ressourcenrichtlinie entspricht. Verfügt der Benutzercomputer nicht über die für eine Ressource erforderliche Kombination aus IP-Adresse und Netzmaske, gewährt das IVE dem Benutzer keinen Zugriff auf die Ressource. So geben Sie IP-Quelladresseinschränkungen an: 1. Wählen Sie die Ebene aus, auf der die IP-Einschränkungen implementiert werden sollen: Bereichsebene – Wählen Sie: Administrators > Admin Realms > BereichAuswählen > Authentication Policy > Source IP Users > User Realms > BereichAuswählen > Authentication Policy > Source IP Rollenebene – Wählen Sie: Administrators > Admin Roles > Rolle auswählen > General > Restrictions > Source IP Konfigurieren von Sicherheitsanforderungen 45 Juniper Networks Secure Access – Administratorhandbuch Users > User Roles > Rolle auswählen > General > Restrictions > Source IP Ressourcenrichtlinienebene – Wählen Sie: Users > Resource Policies > Ressource auswählen > Richtlinie auswählen > Detailed Rules > Regel auswählen|erstellen > Bedingungsfeld 2. Wählen Sie eine der folgenden Optionen aus: Benutzern die Anmeldung von einer beliebigen IP-Adresse aus gewähren – Hiermit können sich Benutzer von einer beliebigen IP-Adresse aus beim IVE anmelden, um die Anforderungen für die Zugriffsverwaltung zu erfüllen. Benutzern Zugriff von folgenden IP-Adressen gewähren oder verweigern – Gibt an, ob Benutzern auf Grundlage ihrer Einstellungen der Zugriff auf das IVE von allen aufgeführten IP-Adressen gewährt oder verweigert wird. So legen Sie den Zugriff von einer IP-Adresse fest: i. Geben Sie die IP-Adresse und Netzmaske ein. ii. Wählen Sie eine der folgenden Optionen aus: Allow, um Benutzern die Anmeldung von der angegebenen IP-Adresse aus zu gewähren. Deny, um Benutzern die Anmeldung von der angegebenen IP-Adresse aus zu verweigern. iii. Klicken Sie auf Add. iv. Wenn Sie mehrere IP-Adressen hinzufügen, verschieben Sie die Einschränkungen mit der höchsten Priorität an den Anfang der Liste. Aktivieren Sie dazu das Kontrollkästchen neben der entsprechenden IP-Adresse, und klicken Sie dann auf den Pfeil nach oben. Wenn Sie beispielsweise den Zugriff für alle Benutzer eines drahtlosen Netzwerkes (10.64.4.100) verweigern und allen anderen Netzwerkbenutzern (0.0.0.0) den Zugriff gewähren möchten, verschieben Sie die IP-Adresse des drahtlosen Netzwerkes (10.64.4.100) an den Anfang der Liste und das Netzwerk (0.0.0.0) unter das drahtlose Netzwerk. Enable administrators to sign in on the external port – Ermöglicht es Administratoren, sich über die externe Schnittstelle am IVE anzumelden. Der externe Port muss vor der Auswahl dieser Option aktiviert werden. 3. Klicken Sie zum Speichern der Einstellungen auf Save Changes. 46 Konfigurieren von Sicherheitsanforderungen Kapitel 3: Allgemeine Zugriffsverwaltung Angeben von Browserzugriffseinschränkungen Mit einer Browsereinschränkung kann gesteuert werden, von welchen Webbrowsern aus Benutzer auf eine IVE-Anmeldeseite oder eine Ressource zugreifen oder einer Rolle zugeordnet werden können. Wenn ein Benutzer versucht, sich am IVE über einen nicht unterstützten Browser anzumelden, schlägt der Anmeldeversuch fehl, und es wird in einer Meldung angezeigt, dass ein nicht unterstützter Browser verwendet wird. Mit dieser Funktion können Sie auch sicherstellen, dass sich Benutzer am IVE über Browser anmelden, die mit Firmenanwendungen kompatibel oder von Firmensicherheitsrichtlinien zugelassen sind. Sie können den Zugriff auf das IVE und auf Ressourcen anhand des Browsertyps einschränken: Wenn sich Administratoren oder Benutzer am IVE anmelden möchten – Der Benutzer muss sich über einen Browser anmelden, dessen Benutzer-AgentZeichenfolge dem für den ausgewählten Authentifizierungsbereich angegebenen Zeichenfolgenmuster entspricht. Wenn die Benutzer-AgentZeichenfolge des Browsers für den Bereich zulässig ist, leitet das IVE die Anmeldedaten an den Authentifizierungsserver weiter. Wenn die BenutzerAgent-Zeichenfolge des Browsers für den Bereich nicht zulässig ist, leitet das IVE die Anmeldedaten nicht an den Authentifizierungsserver weiter. Wenn Administratoren oder Benutzer einer Rolle zugeordnet werden – Der authentifizierte Benutzer muss sich über einen Browser anmelden, dessen Benutzer-Agent-Zeichenfolge den jeweils angegebenen Zeichenfolgenmustern für die einzelnen Rollen entspricht, denen der Benutzer durch das IVE zugeordnet werden kann. Wenn die Benutzer-Agent-Zeichenfolge nicht den Zulassungsanforderungen für eine Rolle entspricht, ordnet das IVE den Benutzer dieser Rolle nicht zu. Wenn Benutzer eine Ressource anfordern – Der authentifizierte, autorisierte Benutzer kann eine Ressourcenanforderung nur über einen Browser durchführen, dessen Benutzer-Agent-Zeichenfolge den im Zusammenhang mit der Benutzeranforderung angegebenen Zulassungsanforderungen für die Ressourcenrichtlinie entspricht. Wenn die Benutzer-Agent-Zeichenfolge nicht den Zulassungsanforderungen für eine Ressource entspricht, verweigert das IVE dem Benutzer den Zugriff auf die Ressource. HINWEIS: Die Funktion zur Browsereinschränkung dient nicht als strikte Zugriffssteuerung, da die Zeichenfolgen für Benutzer-Agenten des Browsers von einem technischen Benutzer geändert werden können. Sie dient als beratende Zugriffssteuerung für normale Nutzungsszenarien. Konfigurieren von Sicherheitsanforderungen 47 Juniper Networks Secure Access – Administratorhandbuch Angeben von Browsereinschränkungen So geben Sie Browsereinschränkungen an: 1. Wählen Sie die Ebene aus, auf der die Browsereinschränkungen implementiert werden sollen: Bereichsebene – Wählen Sie: Administrators > Admin Realms > Bereich auswählen > Authentication Policy > Browser Users > User Realms > Bereich auswählen > Authentication Policy > Browser Rollenebene – Wählen Sie: Administrators > Admin Realms > Bereich auswählen > Role Mapping > Rolle auswählen/erstellen > Benutzerdefinierte Ausdrücke Administrators > Admin Roles > Rolle auswählen > General > Restrictions > Browser Users > User Realms > Bereich auswählen > Role Mapping > Regel auswählen/erstellen > Benutzerdefinierter Ausdruck Users > User Roles > Rolle auswählen > General > Restrictions > Browser Ressourcenrichtlinienebene – Wählen Sie: Users > Resource Policies > Ressource auswählen > Richtlinie auswählen > Detailed Rules > Regel auswählen|erstellen > Bedingungsfeld 2. Wählen Sie eine der folgenden Optionen aus: Allow all users matching any user-agent string sent by the browser – Ermöglicht Benutzern den Zugriff auf das IVE oder auf Ressourcen mit einem beliebigen unterstützten Webbrowser. Nur Benutzer zulassen, die die folgende Benutzer-Agent-Richtlinie erfüllen – Ermöglicht Ihnen die Definition von Regeln für die Browserzugriffssteuerung. So erstellen Sie eine Regel: i. Geben Sie für User-agent string pattern eine Zeichenfolge in folgendem Format an: *<browser_zeichenfolge>* wobei Start (*) ein optionales Zeichen ist, das für ein beliebiges Zeichen steht, und <browser_zeichenfolge> ein Muster darstellt (Groß-/Kleinschreibung wird berücksichtigt), das mit einer Teilzeichenfolge in dem vom Browser gesendeten „user-agent“-Header übereinstimmen muss. Hinweis: Escape-Zeichen (\) können in Browsereinschränkungen nicht hinzugefügt werden. ii. 48 Konfigurieren von Sicherheitsanforderungen Wählen Sie eine der folgenden Optionen aus: Kapitel 3: Allgemeine Zugriffsverwaltung Allow, um Benutzern die Verwendung eines Browsers mit einem „user-agent“-Header zu ermöglichen, der die Teilzeichenfolge <browser_string> enthält. Deny, um Benutzern die Verwendung eines Browsers mit einem „user-agent“-Header zu verweigern, der die Teilzeichenfolge <browser_string> enthält. iii. Klicken Sie auf Add. 3. Klicken Sie zum Speichern der Einstellungen auf Save Changes. HINWEIS: Regeln werden der Reihenfolge nach angewendet, d.h., die erste übereinstimmende Regel wird angewendet. Bei Literalzeichen in Regeln wird die Groß- und Kleinschreibung beachtet, Leerzeichen sind dabei zulässig. Die Zeichenfolge *Netscape* findet z.B. alle Benutzer-Agent-Zeichenfolgen mit der Teilzeichenfolge Netscape. Der folgende Regelsatz ermöglicht Ressourcenzugriff nur dann, wenn Benutzer über Internet Explorer 5.5x oder Internet Explorer 6.x angemeldet sind. In diesem Beispiel werden einige wichtige andere Browser als Internet Explorer berücksichtigt, die die Teilzeichenfolge „MSIE“ im „user-agent“-Header senden: *Opera*Deny *AOL*Deny *MSIE 5.5*Allow *MSIE 6.*Allow * Deny Angeben von Zertifikatzugriffseinschränkungen Bei der Installation eines clientseitigen Zertifikats im IVE über die Seite System > Configuration > Certificates > Trusted Client CAs der Administratorkonsole können Sie den Zugriff auf das IVE und die Ressource durch die Anforderung clientseitiger Zertifikate einschränken: Wenn sich Administratoren oder Benutzer am IVE anmelden möchten – Der Benutzer kann sich nur an einem Computer anmelden, der das angegebene clientseitige Zertifikat besitzt (von der richtigen Zertifizierungsstelle ausgestellt und mit optional angegebenen Anforderungen für Feld-WertPaare). Wenn der Benutzercomputer nicht über die für den Bereich erforderlichen Zertifikatinformationen verfügt, kann der Benutzer auf die Anmeldeseite zugreifen, doch sobald vom IVE festgestellt wird, dass der Benutzerbrowser das Zertifikat nicht besitzt, werden die Anmeldedaten des Benutzers vom IVE nicht an den Authentifizierungsserver übermittelt, sodass der Benutzer nicht auf die Funktionen des IVE zugreifen kann. Konfigurieren von Sicherheitsanforderungen 49 Juniper Networks Secure Access – Administratorhandbuch Um Zertifikateinschränkungen auf Bereichsebene zu implementieren, navigieren Sie zu: Administrators > Admin Realms > BereichAuswählen > Authentication Policy > Certificate Users > User Realms > BereichAuswählen > Authentication Policy > Certificate Wenn Administratoren oder Benutzer einer Rolle zugeordnet werden – Der authentifizierte Benutzer muss sich an einem Computer anmelden, der die angegebenen Anforderungen des clientseitigen Zertifikats (von der richtigen Zertifizierungsstelle ausgestellt und mit optional angegebenen Anforderungen für Feld-Wert-Paare) für alle Rollen erfüllt, denen das IVE den Benutzer zuordnet. Besitzt der Benutzercomputer nicht die Zertifikatinformationen, die für eine Rolle erforderlich sind, ordnet das IVE den Benutzer dieser Rolle nicht zu. Um Zertifikateinschränkungen auf Rollenebene zu implementieren, navigieren Sie zu: Administrators > Admin Roles > RolleAuswählen > General > Restrictions > Certificate Users > User Realms > BereichAuswählen > Role Mapping > Regel auswählen|erstellen > BenutzerdefinierterAusdruck Users > User Roles > RolleAuswählen > General > Restrictions > Certificate Wenn Benutzer eine Ressource anfordern – Der authentifizierte, autorisierte Benutzer muss eine Ressourcenanforderung von einem Computer ausführen, der die angegebenen Anforderungen des clientseitigen Zertifikats (von der richtigen Zertifizierungsstelle ausgestellt und mit optional angegebenen Anforderungen für Feld-Wert-Paare) für die Ressourcenrichtlinie erfüllt, die für die Benutzeranforderung angegeben wurde. Besitzt der Benutzercomputer nicht die Zertifikatinformationen, die für eine Ressource erforderlich sind, verweigert das IVE dem Benutzer den Zugriff auf die Ressource. Um Zertifikateinschränkungen auf Ressourcenrichtlinienebene zu implementieren, navigieren Sie zu: Users > Resource Policies > RessourceAuswählen > RichtlinieAuswählen > Detailed Rules > Regel auswählen|erstellen > Bedingungsfeld 50 Konfigurieren von Sicherheitsanforderungen Kapitel 3: Allgemeine Zugriffsverwaltung Angeben von Kennwortzugriffseinschränkungen Sie können den Zugriff auf das IVE und auf Ressourcen anhand der Kennwortlänge einschränken, wenn sich Administratoren oder Benutzer am IVE anmelden möchten. Der Benutzer muss ein Kennwort eingeben, das der Mindestkennwortlänge entspricht, die für den Bereich angegeben wurde. Beachten Sie, dass die Datensätze für lokale Benutzer und Administratoren auf dem IVE-Authentifizierungsserver gespeichert werden. Auf diesem Server müssen Kennwörter mindestens 6 Zeichen lang sein, unabhängig von dem Wert, der für die Authentifizierungsrichtlinie des Bereichs angegeben wurde. So geben Sie Kennworteinschränkungen an: 1. Wählen Sie einen Administrator- oder Benutzerbereich aus, für den Sie die Kennworteinschränkungen implementieren wollen. Wählen Sie: Administrators > Admin Realms >Bereich auswählen > Authentication Policy > Password Users > User Realms > Bereich auswählen > Authentication Policy > Password 2. Wählen Sie eine der folgenden Optionen aus: Allow all users (passwords of any length) – Für die Benutzer, die sich am IVE anmelden, werden keine Beschränkungen für die Kennwortlänge angewendet. Only allow users that have passwords of a minimum length – Bei dieser Option muss das einzugebende Kennwort eine festgelegte Anzahl von Zeichen lang sein. 3. Aktivieren Sie das Kontrollkästchen Enable Password Management, wenn Sie die Kennwortverwaltung aktivieren möchten. Zusätzlich müssen Sie die Kennwortverwaltung auf der Konfigurationsseite des IVE-Authentifizierungsservers (lokaler Authentifizierungsserver) oder über einen LDAP-Server konfigurieren. Weitere Informationen zur Kennwortverwaltung finden Sie unter „Aktivieren der LDAP-Kennwortverwaltung“ auf Seite 117. 4. Wenn Sie einen sekundären Authentifizierungsserver aktiviert haben, legen Sie mithilfe der oben angegebenen Einschränkungen Beschränkungen für die Kennwortlänge fest. 5. Klicken Sie zum Speichern der Einstellungen auf Save Changes. HINWEIS: Für das IVE müssen die auf der Anmeldeseite eingegebenen Benutzerkennwörter standardmäßig mindestens vier Zeichen lang sein. Für den zur Überprüfung der Anmeldedaten eines Benutzers verwendeten Authentifizierungsserver ist unter Umständen eine andere Mindestlänge erforderlich. Für die lokale Authentifizierungsdatenbank von IVE müssen die Benutzerkennwörter beispielsweise mindestens sechs Zeichen lang sein. Konfigurieren von Sicherheitsanforderungen 51 Juniper Networks Secure Access – Administratorhandbuch Angeben von Host Checker-Zugriffseinschränkungen Weitere Informationen über die auf dem Host Checker-Status basierende Einschränkung des Benutzerzugriffs auf das IVE, eine Rolle oder eine Ressource finden Sie unter „Implementieren von Host Checker-Richtlinien“ auf Seite 267. Angeben von Cache Cleaner-Zugriffseinschränkungen Weitere Informationen zur auf dem Cache Cleaner-Status basierenden Einschränkung des Benutzerzugriffs auf das IVE, eine Rolle oder eine Ressource finden Sie unter „Implementieren der Cache Cleaner-Optionen“ auf Seite 291. Angeben von Begrenzungsbeschränkungen Neben den Zugriffsverwaltungsoptionen, die Sie für eine Authentifizierungsrichtlinie festlegen können, können Sie auch die Höchstanzahl gleichzeitig angemeldeter Benutzer festlegen. Nur wenn ein Benutzer, der auf einer der Anmeldeseiten dieses Bereichs eine URL eingibt, alle für die Authentifizierungsrichtlinie festgelegten Benutzeranforderungen hinsichtlich Zugriffsverwaltung und gleichzeitig angemeldeter Benutzer erfüllt, öffnet das IVE die Anmeldeseite. Legen Sie mithilfe von Begrenzungsbeschränkungen die Mindestanzahl und maximale Anzahl für gleichzeitig angemeldete Benutzer im Bereich fest. So geben Sie Begrenzungsbeschränkungen an: 1. Wählen Sie einen Administrator- oder Benutzerbereich aus, für den Sie die Begrenzungseinschränkungen implementieren wollen. Wählen Sie: Administrators > Admin Realms >BereichAuswählen > Authentication Policy > Limits Users > User Realms > BereichAuswählen > Authentication Policy > Limits 2. Wenn Sie die Anzahl gleichzeitig angemeldeter Benutzer im Bereich begrenzen möchten, aktivieren Sie Limit the number of concurrent users, und geben Sie die Begrenzungswerte für die folgenden Optionen an: a. Guaranteed minimum – Sie können eine beliebige Anzahl an Benutzern zwischen null (0) und der für den Bereich definierten maximalen Anzahl gleichzeitig angemeldeter Benutzer angeben oder die Anzahl auf das laut Ihrer Lizenz zulässige Maximum setzen, falls für den Bereich kein Maximum existiert. b. Maximum (optional) – Sie können eine beliebige Anzahl gleichzeitig angemeldeter Benutzern zwischen der angegebenen Mindestanzahl und der maximalen Anzahl lizenzierter Benutzer angeben. Wenn Sie im Feld Maximum eine Null (0) eingeben, kann sich kein Benutzer am Bereich anmelden. 3. Klicken Sie auf Save Changes. 52 Konfigurieren von Sicherheitsanforderungen Kapitel 4 Benutzerrollen Eine Benutzerrolle ist eine Einheit, die die folgenden Einstellungen festlegt: Parameter für Benutzersitzungen (Sitzungseinstellungen und -optionen), individuelle Einstellungen (benutzerdefinierte Einrichtung der Oberfläche und Lesezeichen) und aktivierte Zugriffsfunktionen (Web-, Datei-, Anwendungs-, Telnet/SSH-, Terminal-, Dienst-, Netzwerk-, Konferenz- und E-Mail-Zugriff). Eine Benutzerrolle steuert weder den Ressourcenzugriff noch gibt sie andere ressourcenbasierte Optionen für einzelne Anforderungen an. Mithilfe einer Benutzerrolle kann z.B. definiert werden, ob ein Benutzer über die Berechtigung zum Webbrowsing verfügt. Die einzelnen Webressourcen, auf die ein Benutzer zugreifen darf, werden jedoch durch Webressourcenrichtlinien definiert, die separat konfiguriert werden. Das IVE unterstützt zwei Arten von Benutzerrollen: Administrators – Eine Administratorrolle ist eine Einheit, die die IVEVerwaltungsfunktionen und -Sitzungseigenschaften für Administratoren angibt, die der Rolle zugeordnet sind. Sie können eine Administratorrolle anpassen, indem Sie Gruppen von IVE-Funktionen und Benutzerrollen auswählen, die Mitglieder der Administratorrolle anzeigen und verwalten dürfen. Sie erstellen und konfigurieren Administratorrollen auf der Seite Administrators > Admin Roles der Administratorkonsole. Users – Eine Benutzerrolle ist eine Einheit, die Parameter für Benutzersitzungen, individuelle Einstellungen und aktivierte Zugriffsfunktionen definiert. Sie können eine Benutzerrolle anpassen, indem Sie bestimmte IVEZugriffsfunktionen aktivieren, Web-, Anwendungs- und Sitzungs-Lesezeichen definieren und Sitzungseinstellungen für die aktivierten Zugriffsfunktionen konfigurieren. Sie erstellen und konfigurieren Benutzerrollen auf der Seite Users > User Roles der Administratorkonsole. Dieser Abschnitt enthält die folgenden Informationen über Rollen „Lizenzierung: Verfügbarkeit von Benutzerrollen“ auf Seite 54 „Benutzerrollenbewertung“ auf Seite 54 „Konfigurieren von Benutzerrollen“ auf Seite 56 „Benutzeroberflächen zur Anpassung der Benutzerrollen“ auf Seite 70 53 Juniper Networks Secure Access – Administratorhandbuch Lizenzierung: Verfügbarkeit von Benutzerrollen Benutzerrollen sind ein integraler Bestandteil der IVE-Zugriffsverwaltungsumgebung und daher in allen Secure Access-Produkten verfügbar. Sie können jedoch nur auf Funktionen über eine Benutzerrolle zugreifen, wenn Sie für diese Funktion über eine Lizenz verfügen. Wenn Sie beispielsweise eine SA-700-Appliance verwenden und keinen Aktualisierungslizenzschlüssel für den clientlosen Kernzugriff erworben haben, können Sie Web Rewriting für eine Benutzerrolle nicht aktivieren. Benutzerrollenbewertung Das IVE-Rollenzuordnungsmodul bestimmt die Sitzungsrolle eines Benutzers bzw. kombinierte Berechtigungen, die für eine Benutzersitzung gültig sind (siehe Abbildung im folgenden Diagramm): Eine genaue Beschreibung der Schritte finden Sie unter der Abbildung. Abbildung 19: Vom IVE ausgeführte Sicherheitsprüfungen zur Erstellung einer Sitzungsrolle 1. Das IVE beginnt die Regelbewertung mit der ersten Regel auf der Registerkarte Role Mapping des Authentifizierungsbereichs, in dem sich der Benutzer erfolgreich anmeldet. Bei der Bewertung ermittelt das IVE, ob der Benutzer die Regelbedingungen erfüllt. Wenn dies der Fall ist, werden folgende Schritte ausgeführt: a. 54 Das IVE fügt die entsprechenden Rollen einer Liste von „zulässigen Rollen“ hinzu, die dem Benutzer zur Verfügung stehen. Lizenzierung: Verfügbarkeit von Benutzerrollen Kapitel 4: Benutzerrollen b. 2. Das IVE berücksichtigt dabei, ob konfiguriert wurde, dass die Verarbeitung bei einem Treffer beendet werden soll (Option „Stop on Match“). Wenn dies der Fall ist, fährt das Modul mit Schritt 5 fort. Das IVE wertet die nächste Regel auf der Registerkarte Role Mapping des Authentifizierungsbereichs gemäß des Vorgangs im vorigen Schritt aus und wiederholt diesen Vorgang für jede weitere Regel. Wenn das IVE alle Rollenzuordnungsregeln auswertet, entsteht eine umfassende Liste möglicher Rollen. 3. Das IVE wertet die Definitionen aller Rollen in der Liste der zulässigen Rollen aus und überprüft, ob der Benutzer Rolleneinschränkungen unterliegt. Das IVE verwendet diese Informationen zum Erstellen einer Liste mit gültigen Rollen, deren Anforderungen vom Benutzer ebenfalls erfüllt werden. Wenn die Liste gültiger Rollen nur eine Rolle enthält, ordnet das IVE den Benutzer dieser Rolle zu. Andernfalls setzt das IVE die Auswertung fort. 4. Für Benutzer, die mehreren Rollen zugeordnet sind, wertet das IVE die Einstellung aus, die auf der Registerkarte Role Mapping angegeben ist. Merge settings for all assigned roles – Wenn Sie diese Option auswählen, führt das IVE eine permissive Zusammenführung aller gültigen Benutzerrollen durch, um die Gesamtrolle (Netzrolle) für eine Benutzersitzung zu ermitteln. User must select from among assigned roles – Wenn Sie diese Option auswählen, gibt das IVE einem authentifizierten Benutzer eine Liste zulässiger Rollen aus. Der Benutzer muss eine Rolle aus der Liste auswählen, und das IVE weist den Benutzer dann für die Dauer der Benutzersitzung dieser Rolle zu. User must select the sets of merged roles assigned by each rule – Bei Auswahl dieser Option präsentiert das IVE einem authentifizierten Benutzer eine Liste gültiger Regeln (d.h. Regeln, deren Bedingungen der Benutzer erfüllt hat). Der Benutzer muss in der Liste eine Regel auswählen, und das IVE führt eine permissive Zusammenführung aller Rollen aus, die dieser Regel zugewiesen sind. HINWEIS: Bei Verwendung der automatischen (zeitgesteuerten) dynamischen oder der manuellen Richtlinienauswertung wiederholt das IVE die in diesem Abschnitt beschriebene Rollenauswertung. Weitere Informationen finden Sie unter „Dynamische Richtlinienauswertung“ auf Seite 41. Richtlinien für permissive Zusammenführungen Eine permissive Zusammenführung ist eine Zusammenführung mehrerer Rollen, die aktivierte Funktionen und Einstellungen anhand der folgenden Richtlinien kombiniert: Die Aktivierung einer Zugriffsfunktion in einer Rolle hat Vorrang vor der Deaktivierung der gleichen Funktion in einer anderen Rolle. Beispiel: Ist ein Benutzer zwei Rollen zugewiesen, und zwar einer Rolle, die Secure Meeting deaktiviert, und einer weiteren Rolle, die Secure Meeting aktiviert, erlaubt das IVE dem Benutzer die Verwendung von Secure Meeting für diese Sitzung. Benutzerrollenbewertung 55 Juniper Networks Secure Access – Administratorhandbuch Bei Secure Application Manager aktiviert das IVE die Version, die der ersten Rolle entspricht, für die diese Funktion aktiviert ist. Außerdem führt das IVE die Einstellungen aller Rollen zusammen, die der ausgewählten Version entsprechen. Im Fall von Benutzeroberflächenoptionen wendet das IVE die Einstellungen an, die mit der ersten Rolle des Benutzers übereinstimmen. Bei Überschreitungen der Sitzungsdauer wendet das IVE den höchsten Wert aller Rollen auf die Benutzersitzung an. Ist die Funktion Roaming Session für mehrere Rollen aktiviert, führt das IVE die Netzmasken zusammen, um die Netzmaske für die Sitzung zu erweitern. Beim Zusammenführen von zwei Rollen, denen der Benutzer zugeordnet ist (einer, bei der Lesezeichen in einem neuen Fenster geöffnet werden, und einer anderen, durch die Lesezeichen in demselben Fenster geöffnet werden), öffnet die kombinierte Rolle Lesezeichen in demselben Fenster. Wenn Sie zwei Rollen zusammenführen, von denen die erste die Browsersymbolleiste deaktiviert und die zweite die gerahmte oder StandardSymbolleiste aktiviert, werden von der kombinierten Rolle die Einstellungen der zweiten Rolle übernommen und die festgelegte Browsersymbolleiste angezeigt. Die zusammengeführte Rolle verwendet den höchsten für HTTP Connection Timeout auf der Seite Users > User Roles > Rolle auswählen > Web > Options angegebenen Wert. Konfigurieren von Benutzerrollen So erstellen Sie eine Benutzerrolle: 1. Wählen Sie in der Administratorkonsole Users > User Roles. 2. Klicken Sie auf New Role, und geben Sie einen Namen und optional eine Beschreibung ein. Dieser Name wird auf der Seite Roles in der Liste Roles angezeigt. Nachdem Sie eine Rolle erstellt haben, können Sie auf den Namen der Rolle klicken und mit ihrer Konfiguration beginnen. Verwenden Sie dazu die Anweisungen in den folgenden Abschnitten: 56 „Konfigurieren allgemeiner Rollenoptionen“ auf Seite 57 „Konfigurieren von Rolleneinschränkungen“ auf Seite 58 „Festlegen von rollenbasierten Quell-IP-Aliasen“ auf Seite 59 „Festlegen von Sitzungsoptionen“ auf Seite 60 „Festlegen von benutzerdefinierten Benutzeroberflächeneinstellungen“ auf Seite 63 „Festlegen von Standardoptionen für Benutzerrollen“ auf Seite 68 Konfigurieren von Benutzerrollen Kapitel 4: Benutzerrollen HINWEIS: Beim Löschen einer Rolle können die persönlichen Lesezeichen, SAMEinstellungen und andere Einstellungen unter Umständen nicht entfernt werden. Daher können, wenn Sie eine neue Rolle mit dem gleichen Namen hinzufügen, der neuen Rolle hinzugefügte Benutzer eventuell die alten Lesezeichen und Einstellungen erlangen. Im Allgemeinen erzwingt das IVE Regeln zur referenziellen Integrität und gestattet das Löschen von Objekten, auf die an anderer Stelle verwiesen wird, nicht. Wenn beispielsweise eine Rolle in einer der Rollenzuordnungsregeln des Bereichs verwendet wird, verweigert das IVE das Löschen der Rolle, wenn Sie die Rollenzuordnungsregeln nicht ändern oder löschen. Zur Erstellung einzelner Benutzerkonten müssen Sie die Benutzer über den entsprechenden Authentifizierungsserver (nicht die Rolle) hinzufügen. Anweisungen erhalten Sie unter „Erstellen von Benutzerkonten auf einem lokalen Authentifizierungsserver“ auf Seite 124 für lokale Authentifizierungsserver. Anweisungen zur Erstellung von Benutzern auf Servern von Drittanbietern finden Sie auch in der mit dem Produkt mitgelieferten Dokumentation. Konfigurieren allgemeiner Rollenoptionen Auf der Registerkarte Overview können Sie den Namen und die Beschreibung von Rollen bearbeiten, Sitzungs- und Benutzeroberflächenoptionen an- und ausschalten sowie Zugriffsfunktionen aktivieren. Wenn Sie eine Zugriffsfunktion aktivieren, müssen Sie auch entsprechende Ressourcenrichtlinien erstellen. So verwalten Sie allgemeine Einstellungen und Optionen für Rollen: 1. Wählen Sie in der Administratorkonsole Users > User Roles > Rollenname > General > Overview. 2. Überprüfen Sie den Namen und die Beschreibung, und klicken Sie anschließend auf Save Changes. (Dies ist optional.) 3. Aktivieren Sie unter Options die rollenspezifischen Optionen, die Sie für die Rolle verwenden möchten. Werden keine rollenspezifischen Optionen ausgewählt, verwendet das IVE die Standardeinstellungen (siehe „Festlegen von Standardoptionen für Benutzerrollen“ auf Seite 68). Rollenspezifische Optionen umfassen Folgendes: VLAN/Source IP – Wählen Sie diese Option aus, um die auf der Registerkarte General > VLAN/Source IP konfigurierten Einstellungen auf die Rolle anzuwenden. Weitere Informationen finden Sie unter „Festlegen von rollenbasierten Quell-IP-Aliasen“ auf Seite 59. Session Options – Wählen Sie diese Option aus, um die Einstellungen auf der Registerkarte General > Session Options auf die Rolle anzuwenden. Weitere Informationen finden Sie unter „Festlegen von Sitzungsoptionen“ auf Seite 60. Konfigurieren von Benutzerrollen 57 Juniper Networks Secure Access – Administratorhandbuch UI Options – Wählen Sie diese Option aus, um die Einstellungen auf der Registerkarte General > UI Options auf die Rolle anzuwenden. Weitere Informationen finden Sie unter „Festlegen von benutzerdefinierten Benutzeroberflächeneinstellungen“ auf Seite 63. 4. Aktivieren Sie unter Access features die für die Rolle vorgesehenen Funktionen. Folgende Optionen stehen zur Verfügung: Web – Weitere Informationen hierzu finden Sie unter „Neuschreiben von Webinhalt“ auf Seite 299. Files (Windows- oder UNIX/NFS-Version) – Weitere Informationen finden Sie unter „Neuschreiben von Dateien“ auf Seite 401 Secure Application Manager (Windows- oder Java-Version) – Weitere Informationen finden Sie unter „Secure Application Manager“ auf Seite 427 Telnet/SSH – Weitere Informationen hierzu finden Sie unter „Telnet/SSH“ auf Seite 485. Terminal Services – Weitere Informationen hierzu finden Sie unter „Terminal Services“ auf Seite 497. Meetings – Weitere Informationen hierzu finden Sie unter „Secure Meeting“ auf Seite 531. Email Client – Weitere Informationen hierzu finden Sie unter „E-MailClient“ auf Seite 553. Network Connect – Weitere Informationen hierzu finden Sie unter „Network Connect“ auf Seite 561. 5. Klicken Sie auf Save Changes, um die Einstellungen auf die Rolle anzuwenden. Konfigurieren von Rolleneinschränkungen Auf der Registerkarte Restrictions können Sie Zugriffsverwaltungsoptionen für die Rolle festlegen. Das IVE berücksichtigt diese Beschränkungen, wenn es ermittelt, ob ein Benutzer einer Rolle zugeordnet wird. Benutzer werden der Rolle vom IVE nur dann zugeordnet, wenn Sie die angegebenen Beschränkungen erfüllen. Weitere Informationen finden Sie unter „Allgemeine Zugriffsverwaltung“ auf Seite 35. Für die Rolle kann eine beliebige Anzahl von Zugriffsverwaltungsoptionen konfiguriert werden. Wenn ein Benutzer nicht alle Beschränkungen erfüllt, ordnet das IVE ihn der Rolle nicht zu. So legen Sie Zugriffsverwaltungsoptionen für die Rolle fest: 1. Wählen Sie in der Administratorkonsole Users > User Roles > Rollenname > General > Restrictions. 58 Konfigurieren von Benutzerrollen Kapitel 4: Benutzerrollen 2. Klicken Sie auf die Registerkarte der Option, die Sie für die Rolle konfigurieren möchten, und konfigurieren Sie sie gemäß den Anweisungen in den folgenden Abschnitten: „Angeben von Quell-IP-Zugriffseinschränkungen“ auf Seite 45 „Angeben von Browserzugriffseinschränkungen“ auf Seite 47 „Angeben von Zertifikatzugriffseinschränkungen“ auf Seite 49 „Angeben von Kennwortzugriffseinschränkungen“ auf Seite 51 „Angeben von Host Checker-Zugriffseinschränkungen“ auf Seite 52 „Angeben von Cache Cleaner-Zugriffseinschränkungen“ auf Seite 52 Festlegen von rollenbasierten Quell-IP-Aliasen Auf der Registerkarte VLAN/Source IP können Sie rollenbasierte Quell-IPAliasnamen festlegen. Wenn Sie den Verkehr basierend auf Rollen an bestimmte Sites senden möchten, können Sie für jede Rolle einen Quell-IP-Alias definieren. Sie verwenden diese Aliase zum Konfigurieren virtueller Ports, die Sie für die IPQuelladresse der internen Schnittstelle definieren. Ein Back-End-Gerät kann den Endbenutzerverkehr basierend auf diesen Aliasen senden, solange Sie das BackEnd-Gerät (z.B. eine Firewall) so konfigurieren, dass anstatt der IP-Quelladresse der internen Schnittstelle die Aliase erwartet werden. Diese Funktion ermöglicht Ihnen das Zuweisen verschiedener Endbenutzer zu definierten Sites basierend auf ihren Rollen, auch wenn der gesamte Endbenutzerverkehr dieselbe IP-Quelladresse der internen Schnittstelle besitzt. HINWEIS: Für die Verwendung von rollenbasierten Quell-IP-Aliasen müssen Sie virtuelle Ports definieren. Weitere Informationen zu virtuellen Ports finden Sie unter „Konfigurieren interner und externer Ports“ auf Seite 603 und „Konfigurieren virtueller Ports“ auf Seite 609. So legen Sie einen Quell-IP-Alias für die Rolle fest: 1. Wählen Sie in der Administratorkonsole Users > User Roles > Rollenname > General > VLAN/Source IP. 2. Sind auf dem System VLAN-Ports festgelegt, wählen Sie das gewünschte VLAN im Dropdownmenü VLAN aus. Wurden keine VLAN-Ports festgelegt, wird für die Option standardmäßig die IPAdresse für den internen Port verwendet. Verfügen Sie über bereitgestellte IVSSysteme, wurden VLAN-Ports festgelegt und sollen alle VLAN-Ports in diesem Dropdownmenü angezeigt werden, müssen die VLAN-Ports auf der Stamm-IVSKonfigurationsseite im Textfeld Selected VLANs eingetragen werden. 3. Wählen Sie im Dropdownmenü eine Quell-IP-Adresse aus. Konfigurieren von Benutzerrollen 59 Juniper Networks Secure Access – Administratorhandbuch 4. Klicken Sie auf Save Changes, um die Einstellungen auf die Rolle anzuwenden. HINWEIS: Wenn ein Endbenutzer mehreren Rollen zugeordnet ist und das IVE Rollen zusammenführt, ordnet das IVE die für die erste Rolle konfigurierte Quell-IPAdresse in der Liste der zusammengeführten Rolle zu. Eine Quell-IP-Adresse kann für mehrere Rollen angegeben werden. Es ist jedoch nicht möglich, mehrere Quell-IP-Adressen für eine Rolle anzugeben. Festlegen von Sitzungsoptionen Auf der Registerkarte Session können Sie Sitzungszeitbegrenzungen, Roamingfunktionen, die Sitzungs- und Kennwortbeständigkeit, Optionen zur Anforderungsverfolgung sowie Anwendungsaktivitäten bei Leerlaufzeitüberschreitungen festlegen. Aktivieren Sie auf der Registerkarte Overview das Kontrollkästchen Session Options, um diese Einstellungen für die Rolle zu aktivieren. So legen Sie allgemeine Sitzungsoptionen fest: 1. Wählen Sie in der Administratorkonsole Users > User Roles > Rollenname > General > Session Options. 2. Geben Sie unter Session Lifetime Werte für folgende Optionen an: 60 Konfigurieren von Benutzerrollen Idle Timeout – Geben Sie die Anzahl der Minuten an, die sich eine nicht administrative Benutzersitzung im Leerlauf befinden kann, bevor sie beendet wird. Die Mindestzeit beträgt drei Minuten. Die Leerlaufzeitbegrenzung für Sitzungen beträgt in der Standardeinstellung zehn Minuten, d. h., eine Benutzersitzung, die zehn Minuten lang inaktiv ist, wird vom IVE beendet, und das Ereignis wird im Systemprotokoll protokolliert (sofern Sie nicht die unten beschriebenen Warnungen bei Sitzungszeitüberschreitung aktivieren). Max. Session Length – Geben Sie die Anzahl der Minuten an, die eine aktive nicht administrative Benutzersitzung geöffnet bleiben kann, bevor sie beendet wird. Die Mindestzeit beträgt drei Minuten. Die Standardzeitbegrenzung für eine Benutzersitzung beträgt sechzig Minuten. Nach dieser Zeitspanne beendet das IVE die Benutzersitzung und protokolliert das Ereignis im Systemprotokoll. Während einer Endbenutzersitzung fordert das IVE den Benutzer vor dem Ablauf der maximalen Sitzungsdauer auf, die Authentifizierungsanmeldedaten erneut einzugeben. Auf diese Weise wird die Benutzersitzung nicht einfach ohne Warnung beendet. Kapitel 4: Benutzerrollen Reminder Time – Geben Sie den Zeitpunkt an, zu dem das IVE Benutzer (außer Administratoren) wegen einer bevorstehenden Sitzungs- oder Leerlaufzeitüberschreitung warnen soll. Geben Sie die Anzahl von Minuten vor Erreichen der Überschreitung an. HINWEIS: Bei der Verwendung von Secure Meeting können Sie auf der Seite Users > Resource Policies > Meetings der Administratorkonsole Konferenzsitzungsbegrenzungen konfigurieren. Weitere Informationen finden Sie unter „Definieren von Ressourcenrichtlinien: Secure Meeting“ auf Seite 548. 3. Gehen Sie unter Enable session timeout warning folgendermaßen vor: a. Wählen Sie die Option Enabled aus, um Benutzer ohne Administratorberechtigungen über das Erreichen eines Sitzungs- oder Leerlaufzeitlimits zu benachrichtigen. In diesen Warnungen werden Benutzer aufgefordert, kurz vor Erreichen der Sitzungsbegrenzung oder des Leerlaufzeitlimits eine geeignete Aktion durchzuführen, um gerade in Verarbeitung befindliche Formulardaten speichern zu können, die andernfalls verloren gehen würden. Benutzer, die sich dem Leerlaufzeitlimit nähern, werden zum Reaktivieren der Sitzung aufgefordert. Benutzer, die sich der Sitzungszeitbegrenzung nähern, werden zum Speichern der Daten aufgefordert. Ein IVE-Benutzer kann z.B. bei der Arbeit mit einem für die Zusammenarbeit mit dem IVE konfigurierten E-Mail-Client unwissentlich das Leerlaufzeitlimit für seine Rolle erreichen, da das IVE während des Verfassens der E-Mail keine Daten empfängt. Wenn Warnungen bei Sitzungszeitüberschreitung aktiviert sind, fordert das IVE den Benutzer jedoch auf, die IVE-Sitzung vor Ablauf der Zeitbegrenzung zu reaktivieren und erzwingt das Beenden der IVE-Sitzung des Benutzers. Diese Warnung gibt dem Benutzer die Möglichkeit, die teilweise verfasste E-Mail zu speichern. b. Aktivieren Sie das Kontrollkästchen Display sign-in page on max session time out, um dem Endbenutzer bei Ablauf der Sitzungszeit eine neue Browseranmeldeseite anzuzeigen. Diese Option wird nur dann angezeigt, wenn Sie die Warnung bei Sitzungszeitüberschreitung aktivieren. HINWEIS: Wenn Sie diese Option nicht auswählen, zeigt das IVE die Ablaufmeldungen den Benutzern nur an, und gibt Ihnen keine Möglichkeit, ihre Sitzungen zu verlängern. Stattdessen müssen die Benutzer die IVE-Anmeldeseite aufrufen und eine neue Sitzung authentifizieren. Diese Option gilt nur für vom Browser des Endbenutzers, nicht von anderen Clients wie WSAM oder Network Connect, angezeigte Ablaufmeldungen. Konfigurieren von Benutzerrollen 61 Juniper Networks Secure Access – Administratorhandbuch 4. Geben Sie unter Roaming session Folgendes an: Enabled – Ermöglicht Roamingbenutzersitzungen für Benutzer, die dieser Rolle zugeordnet sind. Eine Roamingbenutzersitzung funktioniert über Quell-IP-Adressen, wodurch sich mobile Benutzer (Benutzer von Laptops) mit dynamischen IP-Adressen von einem Standort aus beim IVE anmelden können und ihre Arbeit von einem anderen Standort fortsetzen können. Einige Browser weisen jedoch eventuell Schwachstellen auf, über die durch bösartigen Code Benutzercookies gestohlen werden können. Ein böswilliger Benutzer kann dann ein gestohlenes IVE-Sitzungscookie verwenden, um sich beim IVE anzumelden. Limit to subnet – Beschränkt die Roamingsitzung auf das lokale Subnetz, das im Feld Netmask angegeben ist. Benutzer können sich von einer IPAdresse aus anmelden und ihre Sitzungen mit einer anderen IP-Adresse fortsetzen, sofern sich die neue IP-Adresse in demselben Subnetz befindet. Disabled – Mit dieser Option werden Roamingbenutzersitzungen für Benutzer, die dieser Rolle zugeordnet sind, deaktiviert. Benutzer, die sich von einer IP-Adresse aus anmelden, können eine aktive IVE-Sitzung nicht von einer anderen IP-Adresse aus fortsetzen. Benutzersitzungen sind an die ursprüngliche Quell-IP-Adresse gebunden. 5. Wählen Sie unter Persistent session die Option Enabled aus, um das IVESitzungscookie auf die Festplatte des Clients zu schreiben, sodass die Anmeldeinformationen des IVE-Benutzers für die Dauer der IVE-Sitzung gespeichert werden. Standardmäßig wird das IVE-Sitzungscookie aus dem Speicher des Browsers gelöscht, wenn der Browser geschlossen wird. Die IVE-Sitzungsdauer wird sowohl vom Wert des Leerlaufzeitlimits als auch dem Wert der Höchstsitzungsdauer bestimmt, die Sie für die Rolle angeben. Die IVE-Sitzung wird nicht beendet, wenn ein Benutzer den Browser schließt. Eine IVE-Sitzung wird erst dann beendet, wenn sich ein Benutzer vom IVE abmeldet. HINWEIS: Wird die Option Persistent session ausgewählt und schließt ein Benutzer das Browserfenster, ohne sich abzumelden, kann jeder beliebige Benutzer eine andere Instanz desselben Browsers öffnen, um auf das IVE zuzugreifen, ohne gültige Anmeldedaten zu senden, wodurch ein potentielles Sicherheitsrisiko entsteht. Wir empfehlen, diese Funktion nur für Rollen zu aktivieren, deren Mitglieder den Zugriff auf Anwendungen benötigen, für die IVE-Anmeldedaten erforderlich sind. Zudem sollten Sie dafür sorgen, dass sich diese Benutzer der Bedeutung der Abmeldung vom IVE nach Abschluss der Sitzung bewusst sind. 6. Aktivieren Sie unter Persistent password caching die Option Enabled, damit zwischengespeicherte Kennwörter über mehrere Sitzungen für eine Rolle erhalten bleiben können. 62 Konfigurieren von Benutzerrollen Kapitel 4: Benutzerrollen Das IVE unterstützt die NTLM- und HTTP-Standardauthentifizierung sowie Server, die sowohl für NTLM-Anmeldungen als auch für anonyme Anmeldungen eingerichtet sind. Das IVE speichert von Benutzern eingegebene Kennwörter für die NTLM- und HTTP-Standardauthentifizierung im Cache, sodass die Benutzer nicht wiederholt aufgefordert werden, die Anmeldedaten einzugeben, die bereits bei der Anmeldung am IVE-Server oder einer anderen Ressource in der NT-Domäne verwendet wurden. Standardmäßig leert der IVE-Server zwischengespeicherte Kennwörter aus dem Cache, wenn sich ein Benutzer abmeldet. Ein Benutzer kann zwischengespeicherte Kennwörter über die Seite Advanced Preferences löschen. 7. Wählen Sie unter Browser request follow-through die Option Enabled aus, sodass vom IVE Benutzeranforderungen verarbeitet werden können, die nach Ablauf einer Benutzersitzung und erneuter Authentifizierung des Benutzers vorgenommen wurden. 8. Wählen Sie unter Idle timeout application activity die Option Enabled, damit durch Webanwendungen initiierte Aktivitäten (wie E-Mail-Abfragen) ignoriert werden, wenn ermittelt werden soll, ob eine Sitzung aktiv ist. Wenn Sie diese Option deaktivieren, kann durch regelmäßiges Ausführen von Ping-Befehlen oder durch andere Anwendungsaktivitäten das Überschreiten eines Leerlaufzeitlimits verhindert werden. 9. Wählen Sie unter Upload Logs die Option Enable Upload Logs aus, um Benutzern das Übertragen (Hochladen) von Clientprotokollen auf das IVE zu ermöglichen. HINWEIS: Aktivieren Sie zudem auf der Seite System > Log/Monitoring > Client Logs > Settings clientseitige Protokolle, um diese Option den Benutzern vollständig zur Verfügung zu stellen. Weitere Informationen finden Sie unter „Aktivieren von clientseitigen Protokollen“ auf Seite 731. 10. Klicken Sie auf Save Changes, um die Einstellungen auf die Rolle anzuwenden. Festlegen von benutzerdefinierten Benutzeroberflächeneinstellungen Auf der Registerkarte UI Options können Sie benutzerdefinierte Einstellungen für die IVE-Willkommensseite von Benutzern angeben, die dieser Rolle zugeordnet sind. Die IVE-Willkommensseite (oder Startseite) ist die Weboberfläche, die authentifizierten IVE-Benutzern angezeigt wird. Aktivieren Sie auf der Registerkarte Overview das Kontrollkästchen UI Options, um benutzerdefinierte Einstellungen für die Rolle zu aktivieren. Andernfalls verwendet das IVE die Standardeinstellungen. Individuelle Einstellungen, einschließlich Anmeldeseite, Kopf- und Fußzeile der Seiten sowie Anzeige der Browsing-Symbolleiste. Wenn der Benutzer mehreren Rollen zugeordnet ist, zeigt das IVE die Benutzeroberfläche entsprechend der ersten Rolle an, der der Benutzer zugeordnet wurde. So passen Sie die IVE-Willkommensseite für Benutzer mit Rollen an: 1. Wählen Sie Users > User Roles > RollenName > General > UI Options aus. Konfigurieren von Benutzerrollen 63 Juniper Networks Secure Access – Administratorhandbuch 2. Legen Sie unter Header ein benutzerdefiniertes Logo und eine alternative Hintergrundfarbe für den Kopfbereich der IVE-Willkommensseite fest (optional): Klicken Sie auf die Schaltfläche Browse, und machen Sie die benutzerdefinierte Bilddatei ausfindig. Im Fenster Current appearance wird das neue Logo erst nach Speichern der Änderungen angezeigt. HINWEIS: Für ein benutzerdefiniertes Logo kann nur eine JPEG- oder GIF-Datei angegeben werden. Andere Grafikformate werden auf einigen Betriebssystemplattformen im JSAM-Statusfenster nicht korrekt dargestellt. Geben Sie die Hexadezimalzahl für die Hintergrundfarbe ein, oder klicken Sie auf das Symbol Color Palette, und wählen Sie die gewünschte Farbe aus. Das Fenster Current appearance wird umgehend aktualisiert. 3. Wählen Sie unter Sub-headers neue Hintergrund- und Textfarben aus (optional): Geben Sie die Hexadezimalzahl für Background color ein, oder klicken Sie auf das Symbol Color Palette, und wählen Sie die gewünschte Farbe aus. Das Fenster Current appearance wird umgehend aktualisiert. Geben Sie die Hexadezimalzahl für Text color ein, oder klicken Sie auf das Symbol Color Palette, und wählen Sie die gewünschte Farbe aus. Das Fenster Current appearance wird umgehend aktualisiert. 4. Geben Sie unter Start page die Startseite an, die Benutzern angezeigt werden soll, wenn sie nach der Anmeldung auf der Symbolleiste auf Home klicken: Bookmarks page – Bei Auswahl dieser Option wird die standardmäßige IVE-Lesezeichenseite angezeigt. Custom page – Wählen Sie diese Option, wenn eine benutzerdefinierte Startseite angezeigt werden soll, und legen Sie dann die URL der Seite fest. Das IVE schreibt die URL neu und erstellt eine Zugriffssteuerungsregel, um Benutzern den Zugriff auf die URL zu gewähren. (Benutzer können die benutzerdefinierte URL auch in das IVE-Navigationsfeld auf der Symbolleiste eingeben.) Das IVE wertet die Zugriffssteuerungsregel nach allen anderen Regeln aus, d. h., eine andere Richtlinie kann den Zugriff auf die URL verweigern. Also allow access to directories below this url – Wählen Sie diese Option aus, um Benutzern den Zugriff auf die Unterverzeichnisse der benutzerdefinierten -Seiten-URL zu ermöglichen. Bei Angabe von http://www.domain.com/ können Benutzer auch auf http://www.domain.com/dept/ zugreifen. 5. Ordnen Sie unter Bookmarks Panel Arrangement die Fenster so an, wie sie auf der Lesezeichenseite des Benutzers angezeigt werden sollen: a. 64 Konfigurieren von Benutzerrollen Wählen Sie in der Liste Left Column oder Right Column den Namen eines Fensters aus. Kapitel 4: Benutzerrollen b. Klicken Sie zum Anordnen eines Fensters über oder unter den anderen Fenstern auf Move Up oder Move Down. c. Wenn Sie das Fenster auf die andere Seite der Lesezeichenseite des Benutzers verschieben möchten, klicken Sie auf Move > oder < Move. HINWEIS: Das IVE zeigt unter Bookmarks Panel Arrangement die Fenster für alle lizenzierten Funktionen an, unabhängig davon, ob Sie die entsprechende Funktion oder Rolle aktivieren. 6. Wählen Sie unter Help page Optionen zum Steuern der über die Schaltfläche „Help“ auf der Symbolleiste aufgerufenen Hilfeseite auf: Disable help link – Wählen Sie diese Option, um zu verhindern, dass Benutzer die Hilfe anzeigen, indem Sie die Hilfeschaltfläche von der Symbolleiste entfernen. Standard help page – Bei Auswahl dieser Option wird die standardmäßige IVE-Endbenutzerhilfe angezeigt. Custom help page – Wählen Sie diese Option, wenn eine benutzerdefinierte Hilfeseite angezeigt werden soll. Geben Sie die URL der benutzerdefinierten Hilfeseite an, und legen Sie dann ggf. die Breite und Höhe für das Fenster der Hilfeseite fest. Das IVE schreibt die URL neu und erstellt eine Zugriffssteuerungsregel, um Benutzern den Zugriff auf die URL zu gewähren. (Benutzer können die benutzerdefinierte URL auch in das IVE-Navigationsfeld auf der Symbolleiste eingeben.) Das IVE wertet die Zugriffssteuerungsregel nach allen anderen Regeln aus, d. h., eine andere Richtlinie kann den Zugriff auf die URL verweigern. (Wenn Sie diese Option auswählen, deaktiviert das IVE den Link Tips neben dem Feld „Browse“.) Also allow access to directories below this url – Wählen Sie diese Option aus, um Benutzern den Zugriff auf die Unterverzeichnisse der URL der benutzerdefinierten -Hilfeseite zu ermöglichen. Bei Angabe von http://www.domain.com/help können Benutzer auch auf http://www.domain.com/help/pdf/ zugreifen. 7. Wählen Sie unter User toolbar Optionen für die Symbolleiste auf der IVELesezeichenseite und anderen sicheren Gatewayseiten auf dem IVE aus: Home – Wählen Sie diese Option aus, um das Startsymbol auf der IVELesezeichenseite und anderen sicheren Gatewayseiten auf dem IVE anzuzeigen: Preferences – Bei Auswahl dieser Option wird die Schaltfläche Preferences angezeigt. Session Counter – Bei Auswahl dieser Option wird ein Zeitwert auf der Benutzersymbolleiste angezeigt, der die maximal verbleibende Zeit in der aktuellen Sitzung des Benutzers angibt. Beachten Sie, dass eine Benutzerinaktivität die aktuelle Sitzung auch beenden kann, bevor diese maximal verbleibende Zeit abläuft. Konfigurieren von Benutzerrollen 65 Juniper Networks Secure Access – Administratorhandbuch Client Application Sessions – Bei Auswahl dieser Option wird die Schaltfläche Client Apps auf der Symbolleiste des Benutzers angezeigt. Über diese Schaltfläche können Benutzer die Seite Client Application Sessions aufrufen, auf der Sie Clientanwendungen wie Network Connect oder Secure Application Manager starten können. Wenn Sie diese Option nicht auswählen, zeigt das IVE das Fenster Client Application Sessions auf der IVE-Lesezeichenseite an. 8. Wählen Sie unter Browsing toolbar Optionen für die Symbolleiste aus, die angezeigt wird, wenn Benutzer Seiten außerhalb des IVE durchsuchen, z.B. externe Websites: 66 Konfigurieren von Benutzerrollen Show the browsing toolbar – Bei Auswahl dieser Option wird die Navigationssymbolleiste Show the browsing toolbar angezeigt. Toolbar type – Wählen Sie den gewünschten Navigationssymbolleistentyp aus: Standard – Benutzer können diese Symbolleiste an die obere linke oder rechte Seite des Browserfensters verschieben. Zudem können Benutzer die Symbolleiste reduzieren und erweitern. Wenn die Symbolleiste reduziert ist, wird nur das benutzerdefinierte Logo angezeigt. Standardmäßig wird die Symbolleiste erweitert oben rechts im Browserfenster angezeigt. Framed – Diese Symbolleiste wird in einem gerahmten Abschnitt oben auf der Seite fixiert. Toolbar logo und Toolbar logo (mobile) – Geben Sie ein benutzerdefiniertes Logo an (z.B. das Logo Ihrer Firma), das auf der Standardsymbolleiste und der fixierten Symbolleiste angezeigt werden soll. Wählen Sie hierzu die Bilddatei aus (optional). Wenn der Benutzer auf das Logo klickt, wird die für Logo links to angegebene Seite angezeigt. Das aktuelle Logo für die Navigationssymbolleiste wird neben diesen Optionen angezeigt. Logo links to – Wählen Sie eine Option aus, um das Logo der Navigationssymbolleiste mit einer beim Klicken auf das Logo angezeigten Seite zu verknüpfen: Bookmarks page – Verknüpft das Logo mit der IVE-Lesezeichenseite. „Start Page“ settings – Stellt für das Logo eine Verknüpfung zur im Abschnitt Start Page angegebenen benutzerdefinierten Startseite her. Custom URL – Verknüpft das Logo mit der im zugehörigen Textfeld eingegebenen URL (optional). Diese Ressource muss für das IVE zugänglich sein. Das IVE schreibt die URL neu und erstellt eine Zugriffssteuerungsregel, um Benutzern den Zugriff auf die URL zu gewähren. (Benutzer können die benutzerdefinierte URL auch in das IVE-Navigationsfeld auf der Symbolleiste eingeben.) Das IVE wertet die Zugriffssteuerungsregel nach allen anderen Regeln aus, d. h., eine andere Richtlinie kann den Zugriff auf die URL verweigern. Also allow access to directories below this url – Wählen Sie diese Option aus, um Benutzern den Zugriff auf die Unterverzeichnisse der benutzerdefinierten URL zu ermöglichen. Kapitel 4: Benutzerrollen Legen Sie die auf der Navigationssymbolleiste anzuzeigenden Elemente fest: Enable „Home“ link – Wählen Sie diese Option zum Anzeigen der mit der IVE-Lesezeichenseite verknüpften Schaltfläche Home Page aus. Enable „Add Bookmark“ link – Bei Auswahl dieser Option wird die Schaltfläche Bookmark this Page angezeigt. Enable „Bookmark Favorites“ link – Bei Auswahl dieser Option wird die Schaltfläche Bookmark Favorites angezeigt. Wenn der Benutzer auf diese Schaltfläche klickt, zeigt das IVE eine Dropdownliste der Lesezeichen an, die der Benutzer auf der Seite Add Web Bookmark des sicheren Gateways als Favoriten festgelegt hat. Display Session Counter – Bei Auswahl dieser Option wird ein Zeitwert auf der Navigationssymbolleiste angezeigt, der die maximal verbleibende Zeit in der aktuellen Sitzung des Benutzers angibt. Beachten Sie, dass eine Benutzerinaktivität die aktuelle Sitzung auch beenden kann, bevor diese maximal verbleibende Zeit abläuft. Enable „Help“ link – Wählen Sie diese Option zum Anzeigen der Schaltfläche Help aus, die mit der unter Help page angegebenen Hilfeseite verknüpft ist. HINWEIS: Wird die Auswahl der Option User can add bookmarks auf der Seite Users > User Roles > RollenName > Web > Options aufgehoben, zeigt das IVE auf der Navigationssymbolleiste nicht die Schaltflächen Bookmark this Page und Bookmark Favorites an, und zwar unabhängig davon, ob die Optionen Enable „Add Bookmark“ link und Enable „Bookmark Favorites“ link ausgewählt wurden oder nicht.) 9. Legen Sie unter Personalized greeting eine Begrüßungs- und Benachrichtigungsmeldung für die IVE-Lesezeichenseite fest (optional): Wählen Sie Enabled aus, um die persönliche Begrüßung anzuzeigen. Das IVE zeigt den Benutzernamen an, wenn der vollständige Name nicht konfiguriert wurde. Konfigurieren von Benutzerrollen 67 Juniper Networks Secure Access – Administratorhandbuch Wählen Sie Show notification message, und geben Sie einen Meldungstext in das entsprechende Textfeld ein (optional). Die Meldung wird oben auf der IVE-Lesezeichenseite angezeigt, nachdem Sie die Änderungen gespeichert haben und der Benutzer diese Seite aktualisiert. Sie können die folgenden HTML-Tags verwenden, um den Text zu formatieren und Links hinzuzufügen: <i>, <b>, <br>, <font> und <a href>. Allerdings schreibt das IVE Links auf der Anmeldeseite (aufgrund der noch nicht erfolgten Benutzerauthentifizierung) nicht neu. Folglich sollten Sie nur Verweise auf externe Sites erstellen. Links zu Sites hinter einer Firewall funktionieren nicht. Sie können auch die IVE-Systemvariablen und -attribute in diesem Feld verwenden (siehe „Verwendung von Systemvariablen in Bereichen, Rollen und Ressourcenrichtlinien“ auf Seite 929). HINWEIS: Die Länge der persönlichen Begrüßung darf nicht 12.000 bzw. 12.288 Zeichen überschreiten. Wenn Sie in der benutzerdefinierten Meldung nicht unterstützte HTML-Tags verwenden, zeigt das IVE die IVE-Startseite des Benutzers möglicherweise nicht korrekt an. 10. Legen Sie fest, ob der Copyright-Hinweis in der Fußzeile angezeigt wird (optional). Diese Einstellung betrifft nur Benutzer, deren Lizenz das Ausblenden des Copyright-Hinweises zulässt. Weitere Informationen über diese Funktion erhalten Sie vom Juniper Networks-Support. 11. Klicken Sie auf Save Changes. Die Änderungen werden sofort wirksam, doch möglicherweise muss bei den aktuellen Browsersitzungen von Benutzern eine Aktualisierung durchgeführt werden, damit die Änderungen angezeigt werden. 12. Klicken Sie auf Restore Factory Defaults, um alle Optionen für die Benutzeroberfläche auf die Standardeinstellungen zurückzusetzen (optional). Festlegen von Standardoptionen für Benutzerrollen Sie können Standardoptionen für alle Benutzerrollen genau so wie für delegierte Administratorrollen festlegen. Die Optionen umfassen unter anderem die folgenden: 68 Konfigurieren von Benutzerrollen Sitzungsoptionen Session lifetime – Diese Option legt das Leerlaufzeitlimit und die Höchstsitzungsdauer in Minuten fest. Session timeout warning – Diese Option überprüft, ob die Warnmeldung und die Anmeldeseite angezeigt werden. Roaming session – Diese Option legt die Ebene des Mobilitätszugriffs fest. Persistent session – Diese Option legt den Status für Browserinstanzen fest. Cookie state at session termination – Diese Option definiert den Cookiestatus. Kapitel 4: Benutzerrollen Persistent password caching – Diese Option definiert sitzungsübergreifend den Kennwortstatus. Browser request follow-through – Diese Option definiert die Reaktion auf das Ablaufen der Browsersitzung. Basic authentication intermediation – Diese Option definiert die Vermittlung der Authentifizierung. Idle timeout application activity – Diese Option definiert die IVE-Antwort auf Aktivitäten bei Anwendungssitzungen. Cache Cleaner frequency – Diese Option definiert die Frequenz der Cache Cleaner-Überprüfung. Optionen der Benutzeroberfläche Header Sub-headers Start page Bookmarks panel arrangement Help page User toolbar Browsing toolbar Personalized greeting Festlegen von Standardoptionen für Benutzerrollen So legen Sie die Standardoptionen für alle Benutzerrollen fest: 1. Wählen Sie Users > User Roles. 2. Klicken Sie auf Default Options. 3. Ändern Sie anhand der Anweisungen unter „Konfigurieren allgemeiner Rollenoptionen“ auf Seite 57 und „Anpassen von Meldungen“ auf Seite 70 die Einstellungen auf den Registerkarten Session Options, UI Options und Custom Messages. 4. Klicken Sie auf Save Changes. Diese Einstellungen werden die neuen Standardeinstellungen für alle neuen Benutzerrollen. HINWEIS: Wenn der Copyright-Hinweis für Benutzerrollen ausgeblendet werden soll, können Sie die Option auch allgemein in den Default Settings für Benutzerrollen deaktivieren. Damit wird das Anzeigen des Hinweises auf der Endbenutzeroberfläche in allen nachfolgend erstellten Rollen unterdrückt. Konfigurieren von Benutzerrollen 69 Juniper Networks Secure Access – Administratorhandbuch Anpassen von Meldungen Sie können drei Grundmeldungen anpassen, die den Endbenutzern bei der Anmeldung am IVE angezeigt werden können. Ändern Sie bei Bedarf den Text der Meldung und fügen Sie zusätzlich zur englischen Version internationalisierte Versionen von Meldungen in den Sprachen Chinesisch (Vereinfacht), Chinesisch (Traditionell), Französisch, Deutsch, Japanisch, Koreanisch und Spanisch hinzu. So passen Sie Meldungen an: 1. Wählen Sie Users > User Roles. 2. Klicken Sie auf der Seite Roles auf Default Options. 3. Wählen Sie die Registerkarte Custom Messages. 4. Wählen Sie die zu verwendende Sprache aus dem Dropdownmenü aus. 5. Geben Sie Ihren Text in das Feld Custom Message unter der Standardmeldung ein, die Sie überschreiben möchten. 6. Klicken Sie auf Save Changes. 7. Wiederholen Sie die Schritte, um Meldungen in zusätzlichen Sprachen zu erstellen. Benutzeroberflächen zur Anpassung der Benutzerrollen Verwenden Sie die Anpassungsoptionen auf der Seite Roles, um einen schnellen Überblick über die Einstellungen zu erhalten, die einer bestimmten Rolle oder einem Satz von Rollen zugeordnet sind. Sie können beispielsweise alle Benutzerrollen und alle Web-Lesezeichen anzeigen, die Sie diesen Benutzerrollen zugeordnet haben. Darüber hinaus können Sie diese angepassten Ansichten verwenden, um die Lesezeichen und andere einer Rolle zugeordnete Konfigurationseinstellungen schnell aufzurufen. So zeigen Sie einen Teil der Daten auf der Seite Roles an: 1. Navigieren Sie zu Users > User Roles. 2. Wählen Sie oben auf der Seite im Menü View eine Option aus. Weitere Informationen zu diesen Optionen finden Sie unter Tabelle 3. 3. Wählen Sie aus der Liste for eine der folgenden Optionen aus: 70 All roles – Zeigt die ausgewählten Lesezeichen für alle Benutzerrollen an. Selected roles – Zeigt die ausgewählten Lesezeichen für ausgewählte Benutzerrollen an. Aktivieren Sie bei Auswahl dieser Option mindestens ein Kontrollkästchen in der Liste Role. Benutzeroberflächen zur Anpassung der Benutzerrollen Kapitel 4: Benutzerrollen 4. Klicken Sie auf Update. Tabelle 3: Anzeigen von Menüoptionen Option Beschreibung Enabled Settings Zeigt ein Diagramm mit den Remotezugriffsmechanismen und allgemeinen Optionen an, die Sie für bestimmte Rolle aktiviert haben. Zeigt auch Links an, (die Häkchen) mit denen auf die entsprechenden Konfigurationsseiten für Remotezugriff und allgemeine Optionen zugegriffen werden kann. Restrictions Zeigt Host Checker- und Cache Cleaner-Einschränkungen an, die Sie für die angegebenen Rollen aktiviert haben. Darüber hinaus werden Links angezeigt, über die Sie auf die entsprechenden Konfigurationsseiten für Host Checker und Cache Cleaner zugreifen können. Meetings Zeigt Secure Meeting-Einstellungen an, die für die angegebenen Rollen konfiguriert wurden. Darüber hinaus werden Links angezeigt, über die Sie auf die entsprechenden Secure MeetingKonfigurationsseiten zugreifen können. Network Connect Zeigt Secure Meeting-Einstellungen an, die für die angegebenen Rollen konfiguriert wurden. Darüber hinaus werden Links angezeigt, über die Sie auf die entsprechenden Network ConnectKonfigurationsseiten zugreifen können. Role Mapping Rule & Realms Zeigt die zugewiesenen Authentifizierungsbereiche, Rollenzuordnungsbedingungen und permissiven Zusammenführungseinstellungen für die angegebenen Rollen an. Zeigt zudem Links an, über die auf die entsprechenden Konfigurationsseiten für Bereichs- und Rollenzuordnung zugegriffen wird. Bookmarks: All Zeigt die Namen und Typen aller Lesezeichen an, die Sie für die angegebenen Rollen aktiviert haben. Darüber hinaus werden Links angezeigt, über die Sie auf die entsprechenden Konfigurationsseiten für das Lesezeichen zugreifen können. (Beachten Sie, dass der Link in der Spalte Resource angezeigt wird, wenn das Lesezeichen über ein Ressourcenprofil erstellt wurde. Andernfalls erscheint der Link in der Spalte Bookmark.) Bookmarks: Web Zeigt die Weblesezeichen an, die Sie für die angegebenen Rollen aktiviert haben. Darüber hinaus werden Links angezeigt, über die Sie auf die entsprechenden Konfigurationsseiten für das Lesezeichen zugreifen können. (Beachten Sie, dass der Link in der Spalte Resource angezeigt wird, wenn das Lesezeichen über ein Ressourcenprofil erstellt wurde. Andernfalls erscheint der Link in der Spalte Web Bookmark.) Bookmarks: Files (Windows) Zeigt die Lesezeichen für Windows-Dateien an, die Sie für die angegebenen Rollen aktiviert haben. Darüber hinaus werden Links angezeigt, über die Sie auf die entsprechenden Konfigurationsseiten für das Lesezeichen zugreifen können. (Beachten Sie, dass der Link in der Spalte Resource angezeigt wird, wenn das Lesezeichen über ein Ressourcenprofil erstellt wurde. Andernfalls erscheint der Link in der Spalte Windows File Bookmark.) Bookmarks: Files (UNIX) Zeigt die Lesezeichen für UNIX-/NFS-Dateien an, die Sie für die angegebenen Rollen aktiviert haben. Darüber hinaus werden Links angezeigt, über die Sie auf die entsprechenden Konfigurationsseiten für das Lesezeichen zugreifen können. (Beachten Sie, dass der Link in der Spalte Resource angezeigt wird, wenn das Lesezeichen über ein Ressourcenprofil erstellt wurde. Andernfalls erscheint der Link in der Spalte UNIX File Bookmark.) Benutzeroberflächen zur Anpassung der Benutzerrollen 71 Juniper Networks Secure Access – Administratorhandbuch Tabelle 3: Anzeigen von Menüoptionen 72 Option Beschreibung Bookmarks: Telnet Zeigt die Telnet/SSH-Lesezeichen an, die Sie für die angegebenen Rollen aktiviert haben. Darüber hinaus werden Links angezeigt, über die Sie auf die entsprechenden Konfigurationsseiten für das Lesezeichen zugreifen können. (Beachten Sie, dass der Link in der Spalte Resource angezeigt wird, wenn das Lesezeichen über ein Ressourcenprofil erstellt wurde. Andernfalls erscheint der Link in der Spalte Telnet/SSH Session.) Bookmarks: Terminal Services Zeigt die Terminal Services-Lesezeichen an, die Sie für die angegebenen Rollen aktiviert haben. Darüber hinaus werden Links angezeigt, über die Sie auf die entsprechenden Konfigurationsseiten für das Lesezeichen zugreifen können. (Beachten Sie, dass der Link in der Spalte Resource angezeigt wird, wenn das Lesezeichen über ein Ressourcenprofil erstellt wurde. Andernfalls erscheint der Link in der Spalte Terminal Services Session.) ACL Resource Policies: All Zeigt die Ressourcenrichtlinien an, die den angegebenen Rollen zugeordnet sind. Beinhaltet Typ, Name, Beschreibung, Aktion und Ressourcen für jede Richtlinie. Darüber hinaus werden Links angezeigt, über die Sie auf die entsprechenden Konfigurationsseiten für Richtlinien zugreifen können. ACL Resource Policies: Web Zeigt die Webressourcenrichtlinien an, die den angegebenen Rollen zugeordnet sind. Beinhaltet Typ, Name, Beschreibung, Aktion und Ressourcen für jede Richtlinie. Darüber hinaus werden Links angezeigt, über die Sie auf die entsprechenden Konfigurationsseiten für Richtlinien zugreifen können. ACL Resource Policies: Files (Windows) Zeigt die Ressourcenrichtlinien für Windows-Dateien an, die den angegebenen Rollen zugeordnet sind. Beinhaltet Typ, Name, Beschreibung, Aktion und Ressourcen für jede Richtlinie. Darüber hinaus werden Links angezeigt, über die Sie auf die entsprechenden Konfigurationsseiten für Richtlinien zugreifen können. ACL Resource Policies: Files (UNIX) Zeigt die Ressourcenrichtlinien für UNIX-Dateien an, die den angegebenen Rollen zugeordnet sind. Beinhaltet Typ, Name, Beschreibung, Aktion und Ressourcen für jede Richtlinie. Darüber hinaus werden Links angezeigt, über die Sie auf die entsprechenden Konfigurationsseiten für Richtlinien zugreifen können. ACL Resource Policies: SAM Zeigt die JSAM- und WSAM-Ressourcenrichtlinien an, die den angegebenen Rollen zugeordnet sind. Beinhaltet Typ, Name, Beschreibung, Aktion und Ressourcen für jede Richtlinie. Darüber hinaus werden Links angezeigt, über die Sie auf die entsprechenden Konfigurationsseiten für Richtlinien zugreifen können. ACL Resource Policies: Telnet Zeigt die Telnet-/SSH-Ressourcenrichtlinien an, die den angegebenen Rollen zugeordnet sind. Beinhaltet Typ, Name, Beschreibung, Aktion und Ressourcen für jede Richtlinie. Darüber hinaus werden Links angezeigt, über die Sie auf die entsprechenden Konfigurationsseiten für Richtlinien zugreifen können. ACL Resource Policies: Terminal Services Zeigt die Terminal Services-Ressourcenrichtlinien an, die den angegebenen Rollen zugeordnet sind. Beinhaltet Typ, Name, Beschreibung, Aktion und Ressourcen für jede Richtlinie. Darüber hinaus werden Links angezeigt, über die Sie auf die entsprechenden Konfigurationsseiten für Richtlinien zugreifen können. ACL Resource Policies: Network Connect Zeigt die Network Connect-Ressourcenrichtlinien an, die den angegebenen Rollen zugeordnet sind. Beinhaltet Typ, Name, Beschreibung, Aktion und Ressourcen für jede Richtlinie. Darüber hinaus werden Links angezeigt, über die Sie auf die entsprechenden Konfigurationsseiten für Richtlinien zugreifen können. Benutzeroberflächen zur Anpassung der Benutzerrollen Kapitel 4: Benutzerrollen Tabelle 3: Anzeigen von Menüoptionen Option Beschreibung Resource Profiles: All Zeigt die Ressourcenprofile an, die den angegebenen Rollen zugeordnet sind. Beinhaltet Typ, Name, Lesezeichen und unterstützende Richtlinien für jedes Profil. Darüber hinaus werden Links angezeigt, über die Sie auf die entsprechenden Konfigurationsseiten für Ressourcenprofile zugreifen können. Resource Profiles: Web Applications Zeigt die Ressourcenprofile für Webanwendungen an, die den angegebenen Rollen zugeordnet sind. Beinhaltet Name, Lesezeichen und unterstützende Richtlinien für jedes Profil. Darüber hinaus werden Links angezeigt, über die Sie auf die entsprechenden Konfigurationsseiten für Ressourcenprofile zugreifen können. Resource Profiles: Web Hosted Java Applets Zeigt die gehosteten Ressourcenprofile für Java-Applets an, die den angegebenen Rollen zugeordnet sind. Beinhaltet Name, Lesezeichen und unterstützende Richtlinien für jedes Profil. Darüber hinaus werden Links angezeigt, über die Sie auf die entsprechenden Konfigurationsseiten für Ressourcenprofile zugreifen können. Resource Profiles: Files (Windows) Zeigt die Ressourcenprofile für Windows-Dateien an, die den angegebenen Rollen zugeordnet sind. Beinhaltet Name, Lesezeichen und unterstützende Richtlinien für jedes Profil. Darüber hinaus werden Links angezeigt, über die Sie auf die entsprechenden Konfigurationsseiten für Ressourcenprofile zugreifen können. Resource Profiles: Files (UNIX) Zeigt die Ressourcenprofile für UNIX-Dateien an, die den angegebenen Rollen zugeordnet sind. Beinhaltet Name, Lesezeichen und unterstützende Richtlinien für jedes Profil. Darüber hinaus werden Links angezeigt, über die Sie auf die entsprechenden Konfigurationsseiten für Ressourcenprofile zugreifen können. Resource Profiles: SAM Client Applications Zeigt die JSAM- und WSAM-Ressourcenprofile an, die den angegebenen Rollen zugeordnet sind. Beinhaltet Name, Lesezeichen und unterstützende Richtlinien für jedes Profil. Darüber hinaus werden Links angezeigt, über die Sie auf die entsprechenden Konfigurationsseiten für Ressourcenprofile zugreifen können. Resource Profiles: SAM WSAM destinations Zeigt die Ressourcenprofile für WSAM-Ziele an, die den angegebenen Rollen zugeordnet sind. Beinhaltet Name, Lesezeichen und unterstützende Richtlinien für jedes Profil. Darüber hinaus werden Links angezeigt, über die Sie auf die entsprechenden Konfigurationsseiten für Ressourcenprofile zugreifen können. Resource Profiles: Telnet/SSH Zeigt die Telnet/SSH-Ressourcenprofile an, die den angegebenen Rollen zugeordnet sind. Beinhaltet Name, Lesezeichen und unterstützende Richtlinien für jedes Profil. Darüber hinaus werden Links angezeigt, über die Sie auf die entsprechenden Konfigurationsseiten für Ressourcenprofile zugreifen können. Resource Profiles: Terminal Services Zeigt die Terminal Services-Ressourcenprofile an, die den angegebenen Rollen zugeordnet sind. Beinhaltet Name, Lesezeichen und unterstützende Richtlinien für jedes Profil. Darüber hinaus werden Links angezeigt, über die Sie auf die entsprechenden Konfigurationsseiten für Ressourcenprofile zugreifen können. Benutzeroberflächen zur Anpassung der Benutzerrollen 73 Juniper Networks Secure Access – Administratorhandbuch 74 Benutzeroberflächen zur Anpassung der Benutzerrollen Kapitel 5 Ressourcenprofile Ein Ressourcenprofil enthält alle Ressourcenrichtlinien, Rollenzuordnungen und Endbenutzerlesezeichen, die für den Zugriff auf eine einzelne Ressource notwendig sind. Die Ressourcenprofile vereinfachen die Ressourcenkonfiguration, indem sie die für eine einzelne Ressource relevanten Einstellungen auf einer einzelnen Seite in der Administratorkonsole zusammenfassen. Das IVE verfügt über zwei Typen von Ressourcenprofilen: Standardressourcenprofile ermöglichen das Konfigurieren der Einstellungen für eine Vielzahl von Ressourcentypen, wie z.B. Websites, Client/Server-Anwendungen, Verzeichnisserver und Terminalserver. Bei dieser Methode wählen Sie ein Profil, das Ihrer einzelnen Ressource entspricht, und geben dann Informationen über die Ressource an. Ressourcenprofilvorlagen ermöglichen das Konfigurieren der Einstellungen für bestimmte Anwendungen. Bei dieser Methode wählen Sie ein bestimmte Anwendung (z.B. Citrix NFuse Version 4.0). Anschließend füllt das IVE eine Reihe von Werten vorab für Sie aus. Diese basieren auf der ausgewählten Anwendung. Bei Bedarf werden Sie aufgefordert, zusätzliche Einstellungen zu konfigurieren. HINWEIS: Administratoren, die an frühere Versionen des IVE-Produkts (vor Version 5.3) gewöhnt sind, sollten wissen, dass die Verwendung der IVE-Umgebung für Rollen- und Ressourcenrichtlinien zum Erstellen von Lesezeichen und zugewiesenen Richtlinien weiterhin möglich ist. Wir empfehlen jedoch stattdessen die Verwendung von Ressourcenprofilen, da sie eine einfachere und einheitlichere Konfigurationsstruktur bieten. Dieser Abschnitt enthält die folgenden Informationen über Ressourcenprofile: „Lizenzierung: Verfügbarkeit von Ressourcenprofilen“ auf Seite 76 „Aufgabenzusammenfassung: Konfigurieren von Ressourcenprofilen“ auf Seite 76 „Komponenten eines Ressourcenprofils“ auf Seite 76 „Ressourcenprofilvorlagen“ auf Seite 83 75 Juniper Networks Secure Access – Administratorhandbuch Lizenzierung: Verfügbarkeit von Ressourcenprofilen Ressourcenprofile sind ein integraler Bestandteil der IVE-Zugriffsverwaltungsumgebung und daher in allen Secure Access-Produkten verfügbar. Sie können jedoch nur auf Ressourcenprofiltypen zugreifen, die Ihren lizenzierten Funktionen entsprechen. Wenn Sie beispielsweise eine SA-700-Appliance verwenden und keinen Aktualisierungslizenzschlüssel für den clientlosen Kernzugriff erworben haben, können Sie keine Webressourcenprofile erstellen. Aufgabenzusammenfassung: Konfigurieren von Ressourcenprofilen So erstellen Sie Ressourcenprofile: 1. Erstellen Sie Benutzerrollen über die Seite Users > User Roles der Administratorkonsole. Anweisungen hierfür finden Sie unter „Konfigurieren von Benutzerrollen“ auf Seite 56. 2. Erstellen Sie Ressourcenprofile über die Seite Users > Resource Profiles der Administratorkonsole. Geben Sie beim Erstellen des Ressourcenprofils die Ressource an, erstellen Sie Auto-Richtlinien, ordnen Sie das Profil den Benutzerrollen zu und erstellen bei Sie Bedarf Lesezeichen. Weitere Informationen finden Sie unter „Komponenten eines Ressourcenprofils“ auf Seite 76. Komponenten eines Ressourcenprofils Ressourcenprofile enthalten die folgenden Komponenten: 76 Ressourcen – Sie müssen beim Definieren eines Ressourcenprofils exakt die Ressource angeben, die Sie konfigurieren möchten (z.B. die Intranetsite Ihrer Firma oder eine Lotus Notes-Anwendung). Alle weiteren wichtigen Einstellungen in dem Profil verzweigen sich von dieser Ressource. Sie können eine Vielzahl von Ressourcentypen konfigurieren, wie z.B. Websites, Client/Server-Anwendungen, Verzeichnisserver und Terminalserver. Weitere Informationen finden Sie unter „Definieren von Ressourcen“ auf Seite 79. Auto-Richtlinien – Beim Definieren eines Ressourcenprofils erstellen Sie in der Regel Auto-Richtlinien, die die Zugriffsvoraussetzungen und weitere Einstellungen für die angegebene Ressource festlegen. Der häufigste Typ von Auto-Richtlinien ermöglicht den Zugriff auf die primäre Ressource, die im Profil definiert ist. Andere Richtlinientypen (wie Richtlinien für die Komprimierung und Zwischenspeicherung) präzisieren die Datenübermittlung des IVE zu und von der angegebenen Ressource. Weitere Informationen finden Sie unter „Definieren von Auto-Richtlinien“ auf Seite 80. Rollen – Beim Definieren eines Ressourcenprofils ordnen Sie das Profil in der Regel Benutzerrollen zu. Die ausgewählten Rollen übernehmen dann die im Ressourcenprofil definierten Auto-Richtlinien und (optional) Lesezeichen. Weitere Informationen finden Sie unter „Definieren von Rollen“ auf Seite 81. Lizenzierung: Verfügbarkeit von Ressourcenprofilen Kapitel 5: Ressourcenprofile Lesezeichen – Sie können beim Definieren eines Ressourcenprofils optional ein Lesezeichen für die primäre Ressource des Profils erstellen (z.B. die Hauptseite Ihres Firmenintranets). Darüber hinaus können Sie zusätzliche Lesezeichen für verschiedene Sites in der Domäne der Ressource erstellen (z.B. den Intranetseiten von Vertrieb und Marketing). Diese Lesezeichen werden dann durch das IVE den Benutzern angezeigt, die Sie den angegebenen Benutzerrollen zugeordnet haben. Weitere Informationen finden Sie unter „Definieren von Lesezeichen“ auf Seite 82. In den folgenden Diagrammen wird dargestellt, wie Ressourcenprofile die Konfiguration einzelner Ressourcen vereinfachen. Das erste Diagramm zeigt, wie Ressourcen mithilfe von Rollen und Ressourcenrichtlinien konfiguriert werden. Zum Aktivieren eines Lesezeichens für mehrere Benutzerrollen muss das Lesezeichen manuell neu erstellt und der geeignete Zugriffsmechanismus für jede Rolle aktiviert werden. Verwenden Sie zudem eine Reihe von Seiten in der Administratorkonsole, um zugeordnete Ressourcenrichtlinien erstellen, mit denen der Zugriff auf die Ressource und andere Konfigurationsoptionen ermöglicht wird. Das zweite Diagramm zeigt, wie die Ressourcen mithilfe von Ressourcenprofilen konfiguriert werden. Sie können ein Lesezeichen erstellen, dieses mehreren Benutzerrollen zuordnen und die zugeordneten Auto-Richtlinien erstellen, um somit über nur einen Abschnitt in der Administratorkonsole den Zugriff auf die Ressource und andere Konfigurationsoptionen zu ermöglichen. Das IVE aktiviert im Übrigen auch automatisch den geeigneten Zugriffsmechanismus für die Rollen, denen das Lesezeichen zugewiesen wird. Komponenten eines Ressourcenprofils 77 Juniper Networks Secure Access – Administratorhandbuch Abbildung 20: Verwenden von Rollen und Ressourcenrichtlinien zum Konfigurieren von Ressourcen 78 Komponenten eines Ressourcenprofils Kapitel 5: Ressourcenprofile Abbildung 21: Verwenden von Ressourcenprofilen zum Konfigurieren von Ressourcen Definieren von Ressourcen Beim Definieren eines Ressourcenprofils müssen Sie exakt die Ressource angeben, die Sie konfigurieren möchten. Der Typ des ausgewählten Profils hängt vom Typ der Ressource ab, die Sie konfigurieren möchten. Dies ist in der folgenden Tabelle beschrieben: Tabelle 4: Ressourcenprofiltypen und Konfigurationsinformationen Verwenden Sie diesen Ressourcenprofiltyp: Um diesen Ressourcentyp zu konfigurieren: Konfigurationsanweisungen finden Sie unter: Webanwendung/Webseiten URLs zu Webanwendungen, Webservern und Webseiten; Java-Applets, die auf Servern Dritter gespeichert sind „Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen“ auf Seite 308 Gehostetes Java-Applet Java-Applets, die Sie direkt in das IVE laden „Definieren von Ressourcenprofilen: Gehostete Java-Applets“ auf Seite 392 Dateinavigation Windows- und UNIX/NFSServer, -Freigaben und Dateipfade „Definieren von Ressourcenprofilen: Neuschreiben von Dateien“ auf Seite 401 SAM-Clientanwendung Client/ServerAnwendungen „Definieren von Ressourcenprofilen: WSAM“ auf Seite 433 und „Definieren von Ressourcenprofilen: JSAM“ auf Seite 468 Komponenten eines Ressourcenprofils 79 Juniper Networks Secure Access – Administratorhandbuch Tabelle 4: Ressourcenprofiltypen und Konfigurationsinformationen Verwenden Sie diesen Ressourcenprofiltyp: Um diesen Ressourcentyp zu konfigurieren: WSAM-Ziel Zielnetzwerke oder -server „Definieren von Ressourcenprofilen: WSAM“ auf Seite 433 Telnet/SSH Telnet oder SSH-Server „Definieren von Ressourcenprofilen: Telnet/SSH“ auf Seite 487 Terminal Services Windows- und CitrixTerminalserver „Definieren von Ressourcenprofilen: Terminal Services“ auf Seite 508 Konfigurationsanweisungen finden Sie unter: HINWEIS: Sie können mithilfe von Ressourcenprofilen keine Anwendungen über Network Connect konfigurieren. Stattdessen müssen Rollen und Ressourcenrichtlinien verwenden. Weitere Informationen finden Sie unter „Network Connect“ auf Seite 561. Beim Definieren von Ressourcen können Sie IVE-Variablen (z.B. <user>) verwenden, um Benutzer dynamisch mit der korrekten Ressource zu verknüpfen. Sie können beispielsweise die folgende Webressource angeben, um Benutzer zu ihren einzelnen Intranetseiten zu leiten: http://yourcompany.intranet/<user> Definieren von Auto-Richtlinien Beim Definieren eines Ressourcenprofils erstellen Sie in der Regel Auto-Richtlinien, die die Zugriffsvoraussetzungen und weitere Einstellungen für die angegebene Ressource festlegen. Der häufigste Typ von Auto-Richtlinien ermöglicht den Zugriff auf die primäre Ressource, die im Profil definiert ist. Andere Richtlinientypen (wie Richtlinien für die Komprimierung und Zwischenspeicherung) präzisieren die Datenübermittlung des IVE zu und von der angegebenen Ressource. Beim Erstellen von Ressourcenprofilen zeigt das IVE nur die Auto-Richtlinien an, die für den Ressourcenprofiltyp relevant sind. Nehmen wir an, Sie gewähren den Zugriff auf eine Client-/Server-Anwendung über ein WSAM-Ressourcenprofil. Das IVE zeigt dann die Auto-Richtlinien an, die Sie für das Gewähren des Zugriffs auf den angegebenen Server der Anwendung verwenden können. Andererseits zeigt das IVE keine Auto-Richtlinien für die Java-Zugriffssteuerung an, da JavaEinstellungen für WSAM nicht gelten. 80 Komponenten eines Ressourcenprofils Kapitel 5: Ressourcenprofile Zusätzlich fasst das IVE alle relevanten Optionen für Auto-Richtlinien auf einer einzelnen Seite der Benutzeroberfläche zusammen, sodass Sie alle Konfigurationsmöglichkeiten und -anforderungen für einen bestimmten Ressourcentyp leicht erkennen können. HINWEIS: Die Auto-Richtlinien für die Zugriffssteuerung basieren in der Regel auf der primären Ressource, die Sie im Ressourcenprofil definieren. Wenn Sie die primäre Ressource des Profils ändern, werden die entsprechenden Auto-Richtlinien jedoch nicht unbedingt durch das IVE aktualisiert. Sie sollten die Auto-Richtlinien nach Ändern der primären Ressource des Profils erneut auswerten. Administratoren, die an frühere Versionen des IVE-Produkts (vor Version 5.3) gewöhnt sind, sollten beachten, dass es sich bei Auto-Richtlinien um Ressourcenrichtlinien handelt. Das IVE ermöglicht das Sortieren und Anordnen von Auto-Richtlinien zusammen mit den Standardressourcenrichtlinien auf den Seiten Users > Resource Policies der Administratorkonsole. Allerdings ermöglicht das IVE nicht den Zugriff auf detaillierte Konfigurationsoptionen für Auto-Richtlinien über diesen Abschnitt der Administratorkonsole. Wenn Sie die Konfiguration einer Auto-Richtlinie ändern möchten, müssen stattdessen über das entsprechende Ressourcenprofil auf diese zugreifen. Administratoren, die an frühere Versionen des IVE-Produkts (vor Version 5.3) gewöhnt sind, sollten wissen, dass durch die Aktivierung der Option Autoallow auch ein automatisches Erstellen von Ressourcenrichtlinien auf der Rollenebene möglich ist. Beachten Sie jedoch, dass wir stattdessen die Verwendung von Auto-Richtlinien empfehlen, da diese sich im Gegensatz zu allen anderen Ressourcen eines bestimmten Typs direkt auf die Ressource beziehen, die Sie konfigurieren. (Sie können ebenfalls die Option Auto-allow für eine Funktion auf Rollenebene aktivieren und Auto-Richtlinien für Ressourcen des gleichen Typs erstellen. Dabei erstellt das IVE Richtlinien für beide und zeigt diese auf der entsprechenden Seite für Ressourcenrichtlinien der Administratorkonsole an.) Definieren von Rollen In einem Ressourcenprofil können Sie dem Profil Benutzerrollen zuweisen. Sie erstellen beispielsweise ein Ressourcenprofil, das angibt, dass Mitglieder der Rolle „Customers“ auf das Supportcenter Ihrer Firma zugreifen können und Mitglieder der Rolle „Evaluators“ nicht. Beim Zuweisen von Benutzerrollen zu einem Ressourcenprofil, übernehmen die Rollen alle im Ressourcenprofil definierten AutoRichtlinien und Lesezeichen. Komponenten eines Ressourcenprofils 81 Juniper Networks Secure Access – Administratorhandbuch Da die Ressourcenprofilumgebung keine Optionen für das Erstellen von Rollen enthält, müssen Sie Benutzerrollen vor dem Zuweisen zu Ressourceprofilen erstellen. Die Ressourcenprofilumgebung enthält jedoch einige Konfigurationsoptionen für Benutzerrollen. Wenn Sie beispielsweise eine Benutzerrolle einem Webressourcenprofil zuweisen, aber das Web Rewriting für die Rolle nicht aktiviert haben, nimmt das IVE diese Aktivierung automatisch vor. HINWEIS: Beachten Sie, dass Sie Rollen einem Ressourcenprofil über die IVE- Rollenumgebung und über die Ressourcenprofilumgebung zuweisen können. Definieren von Lesezeichen Beim Definieren eines Ressourcenprofils erstellt das IVE in der Regel ein Lesezeichen für die primäre Ressource des Profils1 (z.B. die Hauptseite Ihres Firmenintranets). Darüber hinaus können Sie optional zusätzliche Lesezeichen für verschiedene Sites in der Domäne der primären Ressource erstellen (z.B. den Intranetseiten von Sales und Marketing). Beim Erstellen dieser Lesezeichen können Sie diese Lesezeichen Benutzerrollen zuweisen und dabei steuern, welche Lesezeichen den Benutzern angezeigt werden, wenn sie sich bei der IVEEndbenutzerkonsole anmelden. Sie erstellen beispielsweise ein Ressourcenprofil, dass den Zugriff auf Ihr Firmenintranet steuert. In dem Profil geben Sie Folgendes an: Ressourcenprofilname: Ihr Intranet Primäre Ressource: http://intranet.com Auto-Richtlinie für die Webzugriffssteuerung: Zugriff gewähren auf http://intranet.com:80/* Rollen: Sales, Engineering Beim Erstellen dieser Richtlinie erstellt das IVE automatisch ein Lesezeichen mit dem Namen „Ihr Intranet“, gewährt Zugriff auf http://intranet.com und zeigt das Lesezeichen allen Mitgliedern der Rollen „Sales“ und „Engineering“ an. Sie können dann die folgenden zusätzlichen Lesezeichen erstellen, die dem Ressourcenprofil verknüpft sind: Lesezeichen „Sales Intranet“: Erstellt einen Link zur Seite http://intranet.com/sales und zeigt den Link den Mitgliedern der Rolle „Sales“ an. 1. WSAM- und JSAM-Ressourcenprofile enthalten keine Lesezeichen, da das IVE die in den Ressourcenprofilen angegebenen Anwendungen nicht starten kann. 82 Komponenten eines Ressourcenprofils Kapitel 5: Ressourcenprofile Lesezeichen „Engineering Intranet“: Erstellt einen Link zur Seite http://intranet.com/engineering und zeigt den Link den Mitgliedern der Rolle „Engineering“ an. HINWEIS: Beachten Sie beim Konfigurieren von Lesezeichen Folgendes: Sie können Lesezeichen nur Rollen zuweisen, die Sie bereits dem Ressourcenprofil zugeordnet haben. Sie können sie nicht allen Rollen im IVE zuweisen. Um die Liste der dem Ressourcenprofil zugeordneten Rollen zu ändern, verwenden Sie die Einstellungen auf der Registerkarte Roles des Profils. Die Lesezeichen legen im Grunde genommen nur fest, welche Links das IVE den Benutzern anzeigt. Sie legen nicht die Ressourcen fest, auf die der Benutzer zugreifen kann. In dem Beispiel oben würde einem Mitglied der Rolle „Sales“ beispielsweise kein Link zur Seite „Engineering Intranet“ angezeigt. Das Mitglied könnte aber durch Eingabe von http://intranet.com/engineering in der Adressleiste des Webbrowsers auf die Seite zugreifen. Gleiches gilt beim Löschen eines Lesezeichens; die Benutzer können weiterhin auf die im Profil definierte Ressource zugreifen. Sie können im IVE mehrere Lesezeichen für die gleiche Ressource erstellen. Wenn Sie jedoch der gleichen Benutzerrolle doppelte Lesezeichen zuweisen, zeigt das IVE den Benutzern nur ein Lesezeichen an. Die Lesezeichen sind mit der primären Ressource verknüpft, die Sie im Ressourcenprofil definiert haben (oder mit einem Unterverzeichnis der primären Ressource). Wenn Sie die primäre Ressource des Profils ändern, werden die entsprechenden Lesezeichen durch das IVE aktualisiert. Ressourcenprofilvorlagen Ressourcenprofilvorlagen ermöglichen das Konfigurieren der Einstellungen für bestimmte Anwendungen. Bei dieser Methode wählen Sie ein bestimmte Anwendung (z.B. Citrix NFuse Version 4.0). Anschließend füllt das IVE eine Reihe von Werten vorab für Sie aus. Diese basieren auf der ausgewählten Anwendung. Bei Bedarf werden Sie aufgefordert, zusätzliche Einstellungen zu konfigurieren. Zurzeit enthält das IVE Vorlagen für die folgenden Drittanbieteranwendungen: Citrix – Weitere Informationen finden Sie unter „Definieren von Ressourcenprofilen: Citrix-Webanwendungen“ auf Seite 329. Lotus Notes – Weitere Informationen finden Sie unter „Definieren von Ressourcenprofilen: WSAM“ auf Seite 433 und „Definieren von Ressourcenprofilen: JSAM“ auf Seite 468. Microsoft Outlook – Weitere Informationen finden Sie unter „Definieren von Ressourcenprofilen: WSAM“ auf Seite 433 und „Definieren von Ressourcenprofilen: JSAM“ auf Seite 468. Ressourcenprofilvorlagen 83 Juniper Networks Secure Access – Administratorhandbuch 84 Ressourcenprofilvorlagen NetBIOS-Dateinavigation – Weitere Informationen finden Sie unter „Definieren von Ressourcenprofilen: WSAM“ auf Seite 433 und „Definieren von Ressourcenprofilen: JSAM“ auf Seite 468. Kapitel 6 Ressourcenrichtlinien Eine Ressourcenrichtlinie ist eine Systemregel, die Ressourcen und Aktionen für eine bestimmte Zugriffsfunktion angibt. Eine Ressource kann entweder ein Server oder eine Datei sein, auf die über eine IVE-Appliance zugegriffen werden kann. Mithilfe einer Aktion wird einer Ressource „erlaubt“ oder „verboten“, eine Funktion durchzuführen. Jede Zugriffsfunktion verfügt über mindestens einen Richtlinientyp, der die Antwort der IVE-Appliance auf eine Benutzeranfrage oder die Art bestimmt, wie eine Zugriffsfunktion aktiviert wird (im Fall von Secure Meeting and Email Client). Sie können auch detaillierte Regeln für eine Ressourcenrichtlinie definieren, mit denen Sie zusätzliche Anforderungen für bestimmte Benutzeranforderungen auswerten können. Sie können mit den Resource Policies -Seiten des IVE die folgenden Arten von Ressourcenrichtlinien erstellen: Webressourcenrichtlinien – Die Webressourcenrichtlinien legen die Webressourcen fest, die Benutzer durchsuchen dürfen bzw. nicht durchsuchen dürfen. Sie enthalten auch zusätzliche Spezifikationen, wie z.B. Anforderungen der Cacheheader, Server, auf die Java-Applets zugreifen können, Codesignaturzertifikate, die das IVE zum Signieren von Java-Applets verwenden soll, Ressourcen, die das IVE überschreiben bzw. nicht überschreiben soll, Anwendungen, für die das IVE eine minimale Vermittlung durchführt und Optionen für die Einzelanmeldung. Dateiressourcenrichtlinien – Die Dateiressourcenrichtlinien legen die Windows-, UNIX- und NFS-Dateiressourcen fest, die Benutzer durchsuchen dürfen bzw. nicht durchsuchen dürfen. Sie enthalten auch zusätzliche Spezifikationen, wie z.B. Dateiressourcen, für die Benutzer zusätzliche Anmeldedaten angeben müssen. Secure Application Manager-Ressourcenrichtlinien – Die Secure Application Manager-Ressourcenrichtlinien gewähren oder verweigern den Zugriff auf Anwendungen, die zum Verwenden von JSAM oder WSAM für die Herstellung von Socketverbindungen konfiguriert sind. Telnet/SSH-Ressourcenrichtlinien – Die Telnet/SSH-Ressourcenrichtlinien gewähren oder verweigern den Zugriff auf angegebene Server. Terminal Services-Richtlinien – Die Terminal Services-Richtlinien gewähren oder verweigern den Zugriff auf angegebene Windows-Server oder Citrix Metaframe-Server. 85 Juniper Networks Secure Access – Administratorhandbuch Network Connect-Ressourcenrichtlinien – Die Network ConnectRessourcenrichtlinien gewähren oder verweigern den Zugriff auf die angegebenen Server und legen IP-Adressenpools fest. Secure Meeting-Ressourcenrichtlinien – Die Secure MeetingRessourcenrichtlinien ermöglichen das Aktivieren verschiedener Funktionen wie E-Mail-Benachrichtigungen, Sitzungslimits, Umstellung der Uhrzeit und Einstellen der Farbtiefe. Secure Email Client-Ressourcenrichtlinien – Die Secure Email ClientRessourcenrichtlinien ermöglichen das Aktivieren oder Deaktivieren der E-MailClient-Unterstützung. HINWEIS: Sie können auch Ressourcenrichtlinien als Teil des Konfigurationsvorgangs für Ressourcenprofile erstellen. In diesem Fall werden die Ressourcenrichtlinien als „erweiterte Richtlinien“ bezeichnet. Weitere Informationen finden Sie unter „Ressourcenprofile“ auf Seite 75. Dieser Abschnitt beinhaltet folgende Informationen: „Lizenzierung: Verfügbarkeit der Ressourcenrichtlinien“ auf Seite 86 „Bestandteile einer Ressourcenrichtlinie“ auf Seite 87 „Auswerten von Ressourcenrichtlinien“ auf Seite 90 „Erstellen detaillierter Regeln für Ressourcenrichtlinien“ auf Seite 92 „Benutzeroberflächen zur Anpassung der Ressourcenrichtlinien“ auf Seite 94 Lizenzierung: Verfügbarkeit der Ressourcenrichtlinien Ressourcenrichtlinien sind ein integraler Bestandteil der IVEZugriffsverwaltungsumgebung und daher in allen Secure Access-Produkten verfügbar. Sie können jedoch nur auf Ressourcenrichtlinientypen zugreifen, die Ihren lizenzierten Funktionen entsprechen. Wenn Sie beispielsweise eine SA-700Appliance verwenden und keinen Aktualisierungslizenzschlüssel für den clientlosen Kernzugriff erworben haben, können Sie keine Webressourcenrichtlinien erstellen. 86 Lizenzierung: Verfügbarkeit der Ressourcenrichtlinien Kapitel 6: Ressourcenrichtlinien Bestandteile einer Ressourcenrichtlinie Eine Ressourcenrichtlinie enthält die folgenden Informationen: Ressourcen: Eine Reihe von Ressourcennamen (URLs, Hostnamen oder Kombinationen aus IP-Adresse/Netzmaske), die die Ressourcen angeben, für die die Richtlinie gilt. Sie können eine Ressource mit einem Platzhalterpräfix angeben, das für einen Hostnamen steht. Die Standardressource für eine Richtlinie wird durch ein Sternchen (*) angegeben, d. h., die Richtlinie gilt für alle entsprechenden Ressourcen. Weitere Informationen finden Sie unter „Angeben von Ressourcen für eine Ressourcenrichtlinie“ auf Seite 87. Rollen: Eine optionale Liste von Benutzerrollen, für die diese Richtlinie gilt. Standardmäßig gilt die Richtlinie für alle Rollen. Aktion: Die Aktion, die von einem IVE durchgeführt wird, wenn ein Benutzer die Ressource entsprechend der Liste Resource anfordert. Eine Aktion kann angeben, ob der Zugriff auf eine Ressource erlaubt oder verboten ist oder ob eine Aktion durchgeführt wird (z.B. das Neuschreiben von Webinhalt oder das Zulassen von Java-Socketverbindungen). Detaillierte Regeln: Eine optionale Liste von Elementen, die Ressourcendetails angibt (z.B. bestimmte URLs, Verzeichnispfade, Dateien oder Dateitypen), auf die eine andere Aktion angewendet werden soll oder für die vor der Anwendung der Aktion Bedingungen ausgewertet werden sollen. Sie können eine oder mehrere Regeln definieren und die Reihenfolge angeben, in der das IVE diese auswertet. Weitere Informationen finden Sie unter „Erstellen detaillierter Regeln für Ressourcenrichtlinien“ auf Seite 92. Angeben von Ressourcen für eine Ressourcenrichtlinie Für das IVE-Plattformmodul, das Ressourcenrichtlinien auswertet, müssen die in der Liste Resources einer Richtlinie aufgelisteten Ressourcen im kanonischen Format aufgeführt sein. In diesem Abschnitt werden die kanonischen Formate beschrieben, die zum Angeben von Web-, Datei- und Serverressourcen verfügbar sind. Wenn ein Benutzer versucht, auf eine bestimmte Ressource zuzugreifen, vergleicht eine IVE-Appliance die angeforderte Ressource mit den in den entsprechenden Richtlinien angegebenen Ressourcen. Es beginnt dabei mit der ersten Richtlinie in der Richtlinienliste. Wenn das Modul eine angeforderte Ressource mit einer in der Liste Resources einer Richtlinie angegebenen Ressource abgleicht, wertet es weitere Richtlinieneinschränkungen aus und gibt die entsprechende Aktion an die Appliance zurück (es werden keine weiteren Richtlinien ausgewertet). Wenn keine Richtlinie zutrifft, wertet die Appliance Lesezeichen für automatische Erlaubnis (sofern definiert) aus, andernfalls wird die Standardaktion für die Richtlinie zurückgegeben. HINWEIS: Die Auto-allow-Option wird u. U. nicht angezeigt, wenn Sie eine neue Installation verwenden, Ressourcenprofile anstatt Ressourcenrichtlinien verwenden oder ein Administrator diese Option ausgeblendet hat. Weitere Informationen zu dieser Option finden Sie unter „Festlegen der Systemoptionen“ auf Seite 619. Bestandteile einer Ressourcenrichtlinie 87 Juniper Networks Secure Access – Administratorhandbuch Allgemeine Anmerkungen zu kanonischen Formaten Wenn eine Pfadkomponente mit einem Schrägstrich und einem Sternchen endet (/*), entspricht dies dem untergeordneten Knoten und allen weiteren Unterverzeichnissen. Wenn eine Pfadkomponente mit einem Schrägstrich und einem Prozentzeichen endet (/%), entspricht dies dem untergeordneten Knoten und allen Elementen, die sich genau eine Ebene darunter befinden. Beispiel: /intranet/* entspricht: /intranet /intranet/home.html /intranet/elee/public/index.html /intranet/% entspricht: /intranet /intranet/home.html but NOT /intranet/elee/public/index.html Der Hostname und die IP-Adresse einer Ressource werden gleichzeitig an das Richtlinienmodul weitergegeben. Wenn ein Server in der Liste Resources einer Richtlinie als IP-Adresse angegeben ist, erfolgt die Auswertung anhand der IPAdresse. Andernfalls versucht das Modul, die beiden Hostnamen abzugleichen. Es führt kein Reverse-DNS-Lookup zur Ermittlung der IP-Adresse durch. Wenn ein Hostname in der Liste Resources einer Richtlinie nicht vollständig qualifiziert ist, wenn z.B. „juniper“ anstelle von „intranet.juniper.net“ angegeben ist, führt das Modul die Auswertung anhand der vorliegenden Angaben durch. Der Hostname wird nicht weiter qualifiziert. Angeben von Serverressourcen Beachten Sie bei der Angabe von Serverressourcen für Telnet/SSH-, Terminal Services- oder Network Connect-Ressourcenrichtlinien Folgendes. Kanonisches Format: [protocol://] host [:ports] Die Bestandteile sind: Protokoll (optional) – Mögliche Werte (Groß- oder Kleinschreibung wird nicht berücksichtigt): tcp udp icmp Wenn kein Protokoll angegeben ist, werden alle Protokolle angenommen. Bei der Angabe eines Protokolls muss das Trennzeichen „://“ eingegeben werden. Sonderzeichen sind nicht zulässig. 88 Bestandteile einer Ressourcenrichtlinie Kapitel 6: Ressourcenrichtlinien HINWEIS: Nur für Network Connect-Richtlinien verfügbar. Für weitere Ressourcenrichtlinien für Zugriffsfunktionen wie Secure Application Manager oder Telnet/SSH ist die Angabe dieser Bestandteile ungültig. Host (erforderlich) – Mögliche Werte: IP-Adresse/Netzmaske – Die IP-Adresse muss in folgendem Format angegeben werden: a.b.c.d Die Netzmaske kann eines der folgenden beiden Formate aufweisen: Präfix: Obere Bits IP: a.b.c.d Beispiel: 10.11.149.2/24 oder 10.11.149.2/255.255.255.0 Sonderzeichen sind nicht zulässig. DNS-Hostname – Beispiel: www.juniper.com Sonderzeichen sind zulässig, einschließlich: Tabelle 5: Sonderzeichen für DNS-Hostname * Entspricht ALLEN Zeichen % Entspricht einem beliebigen Zeichen außer dem Punkt (.) ? Entspricht genau einem Zeichen HINWEIS: Für eine Network Connect-Ressourcenrichtlinie kann kein Hostname angegeben werden. Es kann lediglich eine IP-Adresse angegeben werden. Ports (optional) – Mögliche Werte: Tabelle 6: Mögliche Werte für Port * Entspricht ALLEN Ports, andere Sonderzeichen sind nicht zulässig. Port[,Port]* Eine durch Kommata getrennte Liste einzelner Ports. Gültige Portnummern sind [1-65535]. [Port 1]-[Port 2] Ein Portbereich, von Port 1 bis einschließlich Port 2. HINWEIS: Sie können Portlisten und Portbereiche mischen. Beispiel: 80,443,80808090 Bestandteile einer Ressourcenrichtlinie 89 Juniper Networks Secure Access – Administratorhandbuch Wenn kein Port angegeben ist, wird der Standardport 80 für http und 443 für https zugewiesen. Bei der Angabe eines Ports muss das Trennzeichen „:“ eingegeben werden. Beispiel: <username>.danastreet.net:5901-5910 10.10.149.149:22,23 tcp://10.11.0.10:80 udp://10.11.0.10:* Auswerten von Ressourcenrichtlinien Wenn eine IVE-Appliance eine Benutzeranforderung erhält, wertet sie die dem Anforderungstyp entsprechenden Ressourcenrichtlinien aus. Beim Verarbeiten der Richtlinie, die der angeforderten Ressource entspricht, führt sie die angegebene Aktion für die Anforderung aus. Diese Aktion ist auf der Registerkarte General oder Detailed Rules der Richtlinie festgelegt. Wenn ein Benutzer beispielsweise eine Webseite anfordert, „weiß“ das IVE, wie die Webressourcenrichtlinien zu verwenden sind. Im Fall von Webanforderungen startet das IVE immer mit den Richtlinien für „Web Rewriting“ (Neuschreiben von Webinhalt), „Selective Rewriting“ (selektives Neuschreiben) und „Pass Through Proxy“ (Durchgangsproxy), um zu bestimmen, ob die Anforderung verarbeitet werden soll. Wenn keine dieser Richtlinien angewendet werden kann (oder keine definiert ist), wertet das IVE die Richtlinien für „Web Access“ (Webzugriff) aus, bis es eine findet, die zur angefragten Ressource gehört. Eine IVE-Appliance wertet eine Gruppe von Ressourcenrichtlinien für eine Zugriffsfunktion von oben nach unten aus, d. h., sie startet mit der ersten Richtlinie und durchläuft dann die Liste, bis eine passende Richtlinie gefunden wird. Wenn Sie detaillierte Regeln für die passende Richtlinie definiert haben, wertet das IVE die Regeln von oben nach unten aus und stoppt, wenn es in der Liste Resource der Regel eine passende Ressource findet. In der folgenden Abbildung werden die allgemeinen Schritte der Richtlinienauswertung dargestellt: Abbildung 22: Schritte bei der Auswertung von Ressourcenrichtlinien 90 Auswerten von Ressourcenrichtlinien Kapitel 6: Ressourcenrichtlinien Details der einzelnen Auswertungsschritte: 1. Das IVE empfängt eine Benutzeranforderung und bewertet die Sitzungsrolle des Benutzers, um festzustellen, ob die entsprechende Zugriffsfunktion aktiviert ist. Die „Sitzungsrolle“ eines Benutzers beruht auf der Rolle bzw. den Rollen, der bzw. denen er während des Authentifizierungsvorgangs zugewiesen wird. Die für einen Benutzer aktivierten Zugriffsfunktionen werden durch eine Rollenzuordnungskonfiguration des Authentifizierungsbereichs bestimmt. (Weitere Informationen hierzu finden Sie unter „Benutzerrollenbewertung“ auf Seite 54.) 2. Das IVE bestimmt, welche Richtlinien der Anforderung entsprechen. Das IVE bewertet die mit der Benutzeranforderung in Zusammenhang stehenden Ressourcenrichtlinien und verarbeitet aufeinanderfolgend jede Richtlinie, bis eine Richtlinie gefunden wird, deren Ressourcenliste und designierte Rollen der Anforderung entsprechen. (Wird das IVE mit den Ressourcenprofilen konfiguriert, bewertet das IVE die als Teil des Ressourcenprofils konfigurierten erweiterten Richtlinien.) Die Funktionen für Web- und Dateizugriff verfügen über mehrere Typen von Richtlinien. Das IVE ermittelt daher zunächst den Anforderungstyp (z.B. auf eine Webseite, ein Java-Applet oder eine UNIX-Datei) und wertet anschließend die der Anforderung entsprechenden Richtlinien aus. Für die Webzugriffsfunktion werden z.B. für jede Webanforderung zuerst die Richtlinien zum Neuschreiben ausgewertet. Die verbleibenden fünf Zugriffsfunktionen Secure Application Manager, Secure Terminal Access, Secure Meeting und Secure Email Client verfügen über nur eine Ressourcenrichtlinie. 3. Das IVE bewertet die in den Abgleichrichtlinien angegebenen Regeln und führt diese aus. Richtlinienregeln können für zwei Vorgänge konfiguriert werden: Ressourcen, für die eine Aktion gilt, können auf einer genaueren Ebene angegeben werden. Wenn Sie z.B. in den Hauptrichtlinien-Einstellungen einer Webzugriffs-Ressourcenrichtlinie einen Webserver angeben, können Sie eine detaillierte Regel definieren, die einen bestimmte Pfad auf diesem Server angibt, und dann die Aktion für diesen Pfad ändern. Es kann vom Benutzer verlangt werden, dass er zum Anwenden der Aktion bestimmte Bedingungen erfüllt, die in Form boolescher Ausdrücke oder benutzerdefinierter Ausdrücke geschrieben wurden. Weitere Informationen finden Sie unter „Erstellen detaillierter Regeln für Ressourcenrichtlinien“ auf Seite 92). 4. Das IVE beendet die Verarbeitung von Ressourcenrichtlinien, sobald die angeforderte Ressource in der Liste Resource einer Richtlinie oder in einer detaillierten Regel gefunden wird. HINWEIS: Bei Verwendung der automatischen (zeitgesteuerten) dynamischen oder der manuellen Richtlinienauswertung wiederholt das IVE den in diesem Abschnitt beschriebenen Ressourcenauswertungsvorgang. Weitere Informationen finden Sie unter „Dynamische Richtlinienauswertung“ auf Seite 41. Auswerten von Ressourcenrichtlinien 91 Juniper Networks Secure Access – Administratorhandbuch Erstellen detaillierter Regeln für Ressourcenrichtlinien Mit den Zugriffsfunktionen für Web, Dateien, Secure Application Manager, Telnet/SSH und Network Connect können Sie Ressourcenrichtlinien für einzelne Web-, Datei-, Anwendungs- und Telnet-Server angeben. Die Zugriffsfunktionen für Secure Meeting and Email Client verfügen jeweils über eine global anwendbare Richtlinie. Für diese beiden Richtlinien geben Sie Servereinstellungen an, die für alle Rollen verwendet werden, durch die diese Zugriffsfunktionen ermöglicht werden. Für alle anderen Zugriffsfunktionen können Sie eine beliebige Anzahl von Ressourcenrichtlinien angeben und für jede eine oder mehrere detaillierte Regeln definieren. Eine detaillierte Regel ist eine Erweiterung einer Ressourcenrichtlinie, die Folgendes angeben kann: Zusätzliche1 Ressourceninformationen (wie bestimmte Pfade, Dateien oder Dateitypen) für Ressourcen, die auf der Registerkarte General aufgelistet sind. Eine Aktion, die von der auf der Registerkarte General angegebenen Aktion abweicht (obwohl die Optionen übereinstimmen). Bedingungen, die erfüllt sein müssen, damit die detaillierte Regel angewendet werden kann. In vielen Fällen ermöglicht die Basisressourcenrichtlinie, d. h. die auf der Registerkarte General einer Ressourcenrichtlinie angegebenen Informationen, ausreichende Zugriffssteuerung für eine Ressource: Wenn ein Benutzer, der (definierte_Rollen) angehört, versucht, auf (definierte_Ressourcen) zuzugreifen, FÜHRE die angegebene (Ressourcen_Aktion) aus. Sie können eine oder mehrere detaillierte Rollen für eine Richtlinie definieren, wenn Sie eine Aktion durchführen möchten, die auf einer Kombination anderer Informationen basiert, zu denen die folgenden gehören können: Die Eigenschaften einer Ressource, beispielsweise Header, Inhaltstyp oder Dateityp Die Eigenschaften eines Benutzers, beispielsweise der Benutzername und die Rollen, denen er zugeordnet ist Die Eigenschaften einer Sitzung, beispielsweise die Quell-IP oder der Browsertyp eines Benutzers, ob der Benutzer die Hostprüfung oder Cachebereinigung ausführt, die Uhrzeit oder Zertifikatattribute Mit detaillierten Regeln kann die Ressourcenzugriffssteuerung flexibler gestaltet werden, sodass bestehende Ressourcen- oder Berechtigungsinformationen zum Angeben anderer Anforderungen für andere Benutzer verwendet können, auf die die Basisressourcenrichtlinie angewendet wird. 1. Beachten Sie, dass Sie die gleiche Ressourcenliste (wie auf der Registerkarte „General“) auch als detaillierte Regel angeben können, wenn deren einziger Zweck die Anwendung von Bedingungen auf eine Benutzeranforderung ist. 92 Erstellen detaillierter Regeln für Ressourcenrichtlinien Kapitel 6: Ressourcenrichtlinien Schreiben einer detaillierten Regel Mit detaillierten Regeln kann die Ressourcenzugriffssteuerung flexibler gestaltet werden, sodass bestehende Ressourcen- oder Berechtigungsinformationen zum Angeben anderer Anforderungen für andere Benutzer verwendet können, auf die die Basisressourcenrichtlinie angewendet wird. So schreiben Sie eine detaillierte Regel für eine Ressourcenrichtlinie: 1. Geben Sie auf der Seite New Policy für eine Ressourcenrichtlinie die erforderlichen Ressourcen- und Rolleninformationen ein. 2. Wählen Sie im Abschnitt Action Use Detailed Rules aus, und klicken Sie anschließend auf Save Changes. 3. Klicken Sie auf der Registerkarte Detailed Rules auf New Rule. 4. Gehen Sie auf der Seite Detailed Rule folgendermaßen vor: a. Konfigurieren Sie im Abschnitt Action die auszuführende Aktion, wenn die Benutzeranforderung einer Ressource in der Liste Resource entspricht (optional). Beachten Sie, dass die auf der Registerkarte General angegebene Aktion standardmäßig übertragen wird. b. Geben Sie im Bereich Resources eine der folgenden Optionen an (erforderlich): c. Die vollständige oder einen Teil der Ressourcenliste, die auf der Registerkarte General angegeben ist. Einen bestimmten Pfad oder eine bestimmte Datei auf den Servern, die auf der Registerkarte General angegeben sind. Gegebenenfalls können Platzhalter verwendet werden. Informationen zum Verwenden von Platzhaltern in einer Resources-Liste finden Sie in der Dokumentation der entsprechenden Ressourcenrichtlinie. Einen Dateityp, dem gegebenenfalls ein Pfad vorangestellt ist, oder geben Sie einfach */*.file_extension an, um Dateien mit der angegebenen Erweiterung innerhalb aller Pfade auf den Servern anzuzeigen, die auf der Registerkarte General angegeben sind. Geben Sie im Abschnitt Conditions mindestens einen Ausdruck an, der für die Ausführung der Aktion ausgewertet wird (optional): Boolesche Ausdrücke: Schreiben Sie unter Verwendung von Systemvariablen mindestens einen booleschen Ausdruck mit den Operatoren NOT, OR oder AND. Eine Liste der in Ressourcenrichtlinien verfügbaren Variablen finden Sie unter „Systemvariablen und Beispiele“ auf Seite 920. Benutzerdefinierte Ausdrücke: Schreiben Sie unter Einhaltung der entsprechenden Syntax mindestens einen benutzerdefinierten Ausdruck. Informationen zur Syntax und zu Variablen finden Sie unter „Benutzerdefinierte Ausdrücke“ auf Seite 915. Beachten Sie, dass benutzerdefinierte Ausdrücke nur mit der erweiterten Lizenz verfügbar sind. Erstellen detaillierter Regeln für Ressourcenrichtlinien 93 Juniper Networks Secure Access – Administratorhandbuch HINWEIS: Sie können die Ersatzvariable <USER> in ACLs für Webseiten, Telnet, Dateien und SAM verwenden. In Network Connect-ACLs kann die Variable nicht verwendet werden. d. Klicken Sie auf Save Changes. 5. Ordnen Sie die Regeln auf der Registerkarte Detailed Rules in der Reihenfolge an, in der sie vom IVE ausgewertet werden sollen. Sobald das IVE für die vom Benutzer angeforderte Ressource eine entsprechende Ressource in der Liste Resource für eine Regel findet, wird die angegebene Aktion durchgeführt und die Verarbeitung der Regeln (und weiterer Ressourcenrichtlinien) beendet. Benutzeroberflächen zur Anpassung der Ressourcenrichtlinien Sie können die Ressourcenrichtlinien begrenzen, die das IVE auf einer bestimmten Ressourcenrichtlinienseite basierend auf Benutzerrollen anzeigt. Sie können beispielsweise die Seite Users > Resource Policies > Web der Administratorkonsole so konfigurieren, dass auf dieser Seite nur die Ressourcenrichtlinien angezeigt werden, die der Benutzerrolle „Sales“ zugeordnet sind. So steuern Sie, welche Ressourcenrichtlinien das IVE anzeigt: 1. Navigieren Sie zu Users > Resource Policies > Richtlinientyp. 2. Wählen Sie in der Liste Show all policies that apply to All Roles oder eine einzelne Rolle aus. 3. Klicken Sie auf Update. Das IVE zeigt die Ressourcenrichtlinien an, die den ausgewählten Rollen zugeordnet sind. 94 Benutzeroberflächen zur Anpassung der Ressourcenrichtlinien Kapitel 7 Authentifizierungs- und Verzeichnisserver Bei einem Authentifizierungsserver handelt es sich um eine Datenbank, in der Anmeldedaten für Benutzer (Benutzername und Kennwort) und normalerweise Gruppeninformationen gespeichert werden. Wenn sich ein Benutzer am IVE anmeldet, gibt er einen Authentifizierungsbereich an, der einem Authentifizierungsserver zugeordnet ist. Wenn der Benutzer die Anforderungen der Authentifizierungsrichtlinie erfüllt, leitet das IVE die Anmeldedaten des Benutzers an den zugeordneten Authentifizierungsserver weiter. Der Authentifizierungsserver überprüft die Existenz und Identität der Benutzer. Anschließend sendet der Authentifizierungsserver die Bestätigung und, wenn der Server in dem Bereich auch als Verzeichnis-/Attributserver verwendet wird, auch die Gruppeninformationen des Benutzers oder andere Benutzerattributinformationen an das IVE. Das IVE ermittelt die Rollenzuordnungsregeln für den Bereich und die Benutzerrollen, denen ein Benutzer zugeordnet werden kann. Die Juniper Networks Instant Virtual Extranet-Plattform unterstützt die gängigsten Authentifizierungsserver, z.B. Windows NT-Domäne, Active Directory, RADIUS, LDAP, NIS, RSA ACE/Server und Netegrity SiteMinder. Sie können eine oder mehrere lokale Datenbanken für vom IVE authentifizierte Benutzer erstellen. Eine Übersicht über Server und Informationen zur Konfiguration finden Sie unter „Authentifizierungs- und Verzeichnisserver“ auf Seite 95. Ein Verzeichnisserver ist eine Datenbank, in der Benutzer- und meistens Gruppeninformationen gespeichert werden. Sie können einen Authentifizierungsbereich so konfigurieren, dass ein Verzeichnisserver Benutzer- oder Gruppeninformationen abruft, die in Rollenzuordnungsregeln und Ressourcenrichtlinien verwendet werden. Gegenwärtig unterstützt das IVE hierfür LDAP-Server; ein LDAP-Server kann daher zur Authentifizierung und Autorisierung verwendet werden. Sie müssen nur eine Serverinstanz definieren, dann wird der Name der LDAP-Serverinstanz in den Dropdownlisten Authentication und Directory/Attribute auf der Registerkarte General des Bereichs angezeigt. Sie können denselben Server für eine unbeschränkte Anzahl von Bereichen verwenden. 95 Juniper Networks Secure Access – Administratorhandbuch Neben einem LDAP-Server können Benutzerattribute auch mit einem RADIUS- oder SiteMinder-Server abgerufen werden, um sie in Rollenzuordnungsregeln zu verwenden. Ein RADIUS- oder SiteMinder-Serverinstanzenname wird jedoch im Gegensatz zu einer LDAP-Serverinstanz nicht in der Dropdownliste Directory/Attribute des Bereichs angezeigt. Um einen RADIUS- oder Siteminder-Server zum Abrufen von Benutzerinformationen zu verwenden, müssen Sie nur seinen Instanzennamen in der Liste Authentication auswählen. Wählen Sie anschließend in der Liste Directory/Attribute die Option Same as Above aus. Anschließend konfigurieren Sie Rollenzuordnungsregeln, um Attribute des RADIUS- oder SiteMinder-Servers zu verwenden, die in einer Attributliste auf der Seite Role Mapping Rule verfügbar sind, nachdem Rule based on User attribute ausgewählt wurde. Dieser Abschnitt enthält die folgenden Informationen über Authentifizierungs- und Verzeichnisserver: „Lizenzierung: Verfügbarkeit von Authentifizierungsservern“ auf Seite 96 „Aufgabenzusammenfassung: Konfigurieren von Authentifizierungsservern“ auf Seite 97 „Definieren einer Authentifizierungsserverinstanz“ auf Seite 98 „Konfigurieren einer Instanz eines anonymen Servers“ auf Seite 99 „Konfigurieren einer ACE-/Serverinstanz“ auf Seite 101 „Konfigurieren einer Active Directory- oder einer NT-Domäneninstanz“ auf Seite 104 „Konfigurieren einer Zertifikatserverinstanz“ auf Seite 111 „Konfigurieren einer LDAP-Serverinstanz“ auf Seite 113 „Konfigurieren einer lokalen Authentifizierungsserverinstanz“ auf Seite 121 „Konfigurieren einer NIS-Serverinstanz“ auf Seite 127 „Konfigurieren einer RADIUS-Serverinstanz“ auf Seite 128 „Konfigurieren einer Netegrity SiteMinder-Instanz“ auf Seite 142 „Konfigurieren einer SAML-Serverinstanz“ auf Seite 168 Lizenzierung: Verfügbarkeit von Authentifizierungsservern Authentifizierungsserver sind ein wesentlicher Bestandteil der IVEZugriffsverwaltungsumgebung und daher in allen Secure Access-Produkten verfügbar. Beachten Sie jedoch, dass der Netegrity Siteminder-Server in der SA 700Appliance nicht verfügbar ist. In den anderen Secure Access-Appliances steht er nur mit einer speziellen Lizenz zur Verfügung. 96 Lizenzierung: Verfügbarkeit von Authentifizierungsservern Kapitel 7: Authentifizierungs- und Verzeichnisserver Aufgabenzusammenfassung: Konfigurieren von Authentifizierungsservern Zum Angeben eines Authentifizierungsservers, der für einen Bereich verwendet werden kann, müssen Sie zunächst auf der Seite Authentication > Auth. Servers eine Serverinstanz konfigurieren. Wenn Sie die Servereinstellungen speichern, wird der Servername (der der Instanz zugewiesene Name) auf der Registerkarte General des Bereichs in der Dropdownliste Authentication angezeigt. Es gibt zwei Möglichkeiten: LDAP- oder Active Directory-Server – Der Instanzenname wird auch in der Dropdownliste Directory/Attribute auf der Registerkarte General des Bereichs angezeigt. Sie können den gleichen LDAP- oder Active Directory-Server sowohl für die Authentifizierung als auch für die Autorisierung des Bereichs verwenden. Außerdem können Sie diese Server für die Autorisierung einer beliebigen Anzahl von Bereichen verwenden, die unterschiedliche Authentifizierungsserver verwenden. RADIUS -Server – Der Instanzenname wird auch in der Dropdownliste Accounting auf der Registerkarte General des Bereichs angezeigt. Sie können den gleichen RADIUS-Server sowohl für die Authentifizierung als auch für die Kontoverwaltung des Bereichs verwenden. Außerdem können Sie diese Server für die Verwaltung einer beliebigen Anzahl von Bereichen verwenden, die unterschiedliche Authentifizierungsserver verwenden. So konfigurieren Sie Authentifizierungsserver: 1. Richten Sie den Authentifizierungs-/Autorisierungsserver entsprechend der Anweisungen des Anbieters ein. 2. Erstellen Sie eine Instanz für den Server; beginnen Sie mit der Erstellung auf der Seite Authentication > Authentication > Auth. Servers in der Administratorkonsole. 3. Erstellen Sie mit den Einstellungen auf der Seite Users > User Realms oder Administrators > Admin Realms der Administratorkonsole einen Authentifizierungsbereich. Anweisungen hierfür finden Sie unter „Erstellen eines Authentifizierungsbereichs“ auf Seite 178. 4. Nur für lokale Authentifizierungsserver: Fügen Sie mit den Einstellungen auf der Seite Authentication > Auth. Servers > Lokalen Server auswählen> Users der Administratorkonsole dem Server Benutzer hinzu. Anweisungen hierfür finden Sie unter „Erstellen von Benutzerkonten auf einem lokalen Authentifizierungsserver“ auf Seite 124. 5. Nur für die Kennwortverwaltung: Richten Sie Kennwortverwaltungsoptionen mithilfe der Anweisungen unter „Aktivieren der LDAP-Kennwortverwaltung“ auf Seite 117 ein. HINWEIS: Ein Authentifizierungsserver muss eine Verbindung mit dem IVE herstellen können. Wenn ein Authentifizierungsserver wie RSA ACE/Server keine IP-Adressen für die Agentenhosts verwendet, muss er den IVE-Hostnamen über einen DNS-Eintrag oder einen Eintrag in der eigenen Hostdatei auflösen können. Aufgabenzusammenfassung: Konfigurieren von Authentifizierungsservern 97 Juniper Networks Secure Access – Administratorhandbuch HINWEIS: Beachten Sie bei der Auswahl des Servertyps Folgendes: Sie können nur eine Netegrity Siteminder-Serverinstanz pro IVE erstellen. Sie können den Active Directory-Server mit folgenden Protokollen authentifizieren: NTLM-Protokoll – Wählen Sie Active Directory/Windows NT Domain aus. Weitere Informationen finden Sie unter „Konfigurieren einer ACE/Serverinstanz“ auf Seite 101. LDAP-Protokoll – Wählen Sie LDAP Server aus. Weitere Informationen finden Sie unter „Konfigurieren einer LDAP-Serverinstanz“ auf Seite 113. Wenn Sie eine lokale Authentifizierungsserverinstanz zum Authentifizieren von Benutzeradministratoren erstellen, müssen Sie Local Authentication auswählen. Weitere Informationen finden Sie unter „Konfigurieren einer lokalen Authentifizierungsserverinstanz“ auf Seite 121. Definieren einer Authentifizierungsserverinstanz Die Seite Auth. Servers dient zum Definieren von Authentifizierungsserverinstanzen. Authentifizierungsserver authentifizieren Anmeldedaten der Benutzer, während Autorisierungsserver Benutzerinformationen bereitstellen, die das IVE zur Ermittlung von Benutzerberechtigungen im System verwendet. Sie können z.B. eine Zertifikatserverinstanz angeben, die Benutzer anhand ihrer clientseitigen Zertifikatsattribute authentifiziert, und dann eine LDAP-Serverinstanz erstellen, die Benutzer anhand der Werte autorisiert, die in einer Zertifikatsperrliste (Certificate Revocation List, CRL) aufgeführt sind. Weitere Informationen zu Authentifizierungsservern finden Sie unter „Authentifizierungs- und Verzeichnisserver“ auf Seite 95. Dieser Abschnitt enthält die folgenden Informationen über Authentifizierungsserver: „Definieren einer Authentifizierungsserverinstanz“ auf Seite 98 „Ändern einer bestehenden Authentifizierungsserverinstanz“ auf Seite 99 Definieren einer Authentifizierungsserverinstanz So definieren Sie eine Authentifizierungsserverinstanz: 1. Wählen Sie in der Administratorkonsole Authentication > Auth. Servers. 2. Wählen Sie im Dropdownmenü New einen Servertyp aus. 3. Klicken Sie auf New Server. 4. Legen Sie entsprechend dem ausgewählten Server Einstellungen für die Serverinstanz fest. 98 Definieren einer Authentifizierungsserverinstanz Kapitel 7: Authentifizierungs- und Verzeichnisserver 5. Geben Sie die Bereiche an, die der Server für die Authentifizierung und Autorisierung von Administratoren und Benutzern verwenden soll. Weitere Informationen finden Sie unter „Definieren von Authentifizierungsrichtlinien“ auf Seite 180. 6. Wenn Sie den lokalen IVE-Authentifizierungsserver konfigurieren, müssen Sie lokale Benutzerkonten festlegen. Anweisungen hierfür finden Sie unter „Konfigurieren einer lokalen Authentifizierungsserverinstanz“ auf Seite 121. Ändern einer bestehenden Authentifizierungsserverinstanz So ändern Sie eine Authentifizierungsserverinstanz: 1. Wählen Sie in der Administratorkonsole Authentication > Auth. Servers. 2. Klicken Sie auf den Link für den zu ändernden Server. 3. Nehmen Sie Ihre Änderungen auf der entsprechenden Serverseite vor. 4. Klicken Sie auf Save Changes. Konfigurieren einer Instanz eines anonymen Servers Ein anonymer Server ermöglicht Benutzern den Zugriff auf das IVE ohne Angabe von Benutzername oder Kennwort. Wenn ein Benutzer die URL einer Anmeldeseite eingibt, für die die Authentifizierung durch einen anonymen Server konfiguriert ist, umgeht das IVE die IVE-Standardanmeldeseite und zeigt dem Benutzer sofort die IVE-Willkommensseite an. Sie können anonyme Authentifizierung auswählen, wenn Sie es nicht für notwendig halten, dass die Ressourcen auf dem IVE sehr hohen Sicherheitsanforderungen unterliegen oder wenn Sie die anderen Sicherheitsmaßnahmen auf dem IVE für ausreichend halten. Sie können z.B. eine Benutzerrolle mit beschränktem Zugriff auf interne Ressourcen erstellen und diese Rolle dann mithilfe einer Richtlinie authentifizieren, die nur verlangt, dass sich Benutzer von einer IP-Adresse aus Ihrem internen Netzwerk anmelden. Bei dieser Methode wird davon ausgegangen, dass ein Benutzer, der zum Zugriff auf das interne Netzwerk berechtigt ist, auch die Ressourcen anzeigen darf, die im Rahmen dieser Benutzerrolle bereitgestellt werden. Dieser Abschnitt enthält die folgenden Informationen über anonyme Server: „Beschränkungen von anonymen Servern“ auf Seite 100 „Definieren einer Instanz eines anonymen Servers“ auf Seite 100 Konfigurieren einer Instanz eines anonymen Servers 99 Juniper Networks Secure Access – Administratorhandbuch Beschränkungen von anonymen Servern Beachten Sie bei der Definition und Überwachung einer Instanz eines anonymen Servers Folgendes: Sie können nur eine Konfiguration für anonyme Server hinzufügen. Administratoren können nicht mithilfe eines anonymen Servers authentifiziert werden. Bei der Konfiguration müssen Sie auf der Registerkarte Users > User Realms > General den anonymen Server als Authentifizierungsserver und als Verzeichnis-/Attributserver auswählen. Weitere Informationen finden Sie unter „Erstellen eines Authentifizierungsbereichs“ auf Seite 178. Beim Erstellen von Rollenzuordnungsregeln auf der Registerkarte Users > User Realms > Role Mapping gestattet das IVE keine Erstellung von Zuordnungsregeln, die für bestimmte Benutzer gelten (z.B. „Joe“), da auf einem anonymen Server keine Informationen zu Benutzernamen gespeichert werden. Sie können Rollenzuordnungsregeln erstellen, die auf einem Standardbenutzernamen (*), Zertifikatattributen oder benutzerdefinierten Ausdrücken basieren. Aus Sicherheitsgründen können Sie ggf. die Anzahl der Benutzer beschränken, die sich gleichzeitig über einen anonymen Server anmelden. Verwenden Sie dazu die Option auf der Registerkarte Users > User Realms > [Bereich] > Authentication Policy > Limits (dabei ist [Bereich] der Bereich, der für die Benutzerauthentifizierung durch den anonymen Server konfiguriert ist). Weitere Informationen finden Sie unter „Angeben von Begrenzungsbeschränkungen“ auf Seite 52. Sie können die Sitzungen von anonymen Benutzern (im Gegensatz zu anderen Authentifizierungsservern) nicht löschen und nicht über die Registerkarte Users anzeigen, da keine Benutzernamen eingegeben wurden und das IVE daher keine individuellen Sitzungsdaten anzeigen kann. Definieren einer Instanz eines anonymen Servers So definieren Sie einen anonymen Server: 1. Wählen Sie in der Administratorkonsole Authentication > Auth. Servers. 2. Führen Sie einen der folgenden Vorgänge aus: Um eine neue Serverinstanz auf dem IVE zu erstellen, wählen Sie in der Liste New den Eintrag Anonymous Server aus, und klicken Sie anschließend auf New Server. Klicken Sie zum Aktualisieren einer vorhandenen Serverinstanz auf den entsprechenden Link in der Liste Authentication/Authorization Servers. 3. Geben Sie einen Namen ein, um die Serverinstanz zu bezeichnen. 4. Klicken Sie auf Save Changes. 100 Konfigurieren einer Instanz eines anonymen Servers Kapitel 7: Authentifizierungs- und Verzeichnisserver 5. Geben Sie die Bereiche an, die der Server für die Autorisierung von Benutzern verwenden soll. Weitere Informationen finden Sie unter „Definieren von Authentifizierungsrichtlinien“ auf Seite 180. Konfigurieren einer ACE-/Serverinstanz Wenn die Benutzerauthentifizierung über einen RSA ACE/Server erfolgt, können sich Benutzer mit zwei Methoden anmelden: Verwenden eines Hardwaretokens und der standardmäßigen IVEAnmeldeseite – Der Benutzer ruft die IVE-Standardanmeldeseite auf und gibt dann den Benutzernamen und das Kennwort ein (bestehend aus der Kombination von PIN und dem aktuellen Wert des RSA SecurIDHardwaretokens). Das IVE leitet diese Anmeldedaten des Benutzers dann an ACE/Server weiter. Verwenden eines Softwaretokens und der benutzerdefinierten SoftIDAnmeldeseite für IVE – Der Benutzer ruft die benutzerdefinierte SoftIDAnmeldeseite auf. Unter Verwendung des SoftID-Plug-Ins gibt er seinen Benutzernamen und die PIN ein. Das SoftID-Plug-In erstellt ein Kennwort durch Verketten der Benutzer-PIN und des Tokens und leitet das Kennwort weiter an das IVE. Weitere Informationen zum Aktivieren der benutzerdefinierten SoftIDAnmeldeseiten finden Sie im Custom Sign-In Pages Solution Guide. Wenn ACE/Server den Benutzer authentifiziert hat, wird der Zugriff auf die IVE gewährt. Andernfalls führt der ACE/Server folgende Aktionen aus: Der Benutzerzugriff auf das System wird verweigert, wenn die Anmeldedaten des Benutzers nicht erkannt werden. Der Benutzer wird aufgefordert, eine neue PIN zu generieren (New PIN-Modus), wenn er sich erstmals am IVE anmeldet. (Dem Benutzer werden je nach verwendetem Anmeldeverfahren unterschiedliche Aufforderungen angezeigt. Bei Anmeldung mit dem SoftID-Plug-In werden die RSA-Aufforderungen zum Erstellen einer neuen PIN angezeigt. Andernfalls werden die IVEAufforderungen angezeigt.) Der Benutzer wird aufgefordert, das nächste Token einzugeben (Next TokenModus), wenn das vom Benutzer eingegebene Token nicht mit dem vom ACE/Server erwarteten Token übereinstimmt. (Der Next Token-Modus ist für Benutzer transparent, die sich mit dem SoftID-Token anmelden. Die RSA SecurID-Software übergibt das Token über das IVE und ohne Benutzerinteraktion an ACE/Server.) Der Benutzer wird an die IVE-Standardanmeldeseite umgeleitet (nur SoftID), wenn er versucht, sich auf einem Computer ohne installierte SecurID-Software an der Seite RSA SecurID Authentication anzumelden. Wenn der Benutzer die neue PIN oder das nächste Token eingibt (je nach Modus), bleiben drei Minuten für die Eingabe der erforderlichen Informationen. Danach bricht das IVE die Transaktion ab und fordert den Benutzer zur erneuten Eingabe der Anmeldedaten auf. Konfigurieren einer ACE-/Serverinstanz 101 Juniper Networks Secure Access – Administratorhandbuch Das IVE kann bis zu 200 ACE/Server-Transaktionen gleichzeitig verarbeiten. Eine Transaktion dauert nur so lange wie die Authentifizierung bei ACE/Server. Wenn sich ein Benutzer z.B. am IVE anmeldet, wird die ACE/Server-Transaktion beim Senden der Anforderung durch den Benutzer initiiert. Die Transaktion wird beendet, sobald ACE/Server die Verarbeitung der Anforderung beendet hat. Der Benutzer kann mit der IVE-Sitzung fortfahren, obwohl die ACE/Server-Transaktion beendet wurde. Das IVE unterstützt die folgenden ACE/Server-Funktionen: New PIN-Modus, Next Token-Modus, DES/SDI-Verschlüsselung, AES-Verschlüsselung, Unterstützung untergeordneter ACE/Server, Namenssperrungen und Clustering. Das IVE unterstützt über das RADIUS-Protokoll auch die New PIN- und Next Token-Modi von RSA SecurID. HINWEIS: Wegen der Einschränkungen der ACE/Server-Bibliothek unter UNIX können Sie u. U. nur eine ACE/Server-Konfiguration festlegen. Informationen zum Erzeugen einer ACE/Agent-Konfigurationsdatei für das IVE auf dem ACE-Server finden Sie unter „Generieren einer ACE/Agent-Konfigurationsdatei“ auf Seite 103. Dieser Abschnitt enthält die folgenden Informationen über ACE/Server: „Festlegen einer ACE/Serverinstanz“ auf Seite 102 „Generieren einer ACE/Agent-Konfigurationsdatei“ auf Seite 103 Festlegen einer ACE/Serverinstanz HINWEIS: Sie können nur eine ACE/Serverinstanz hinzufügen. So definieren Sie einen ACE/Server: 1. Erzeugen Sie eine ACE/Agent-Konfigurationsdatei (sdconf.rec) für das IVE auf dem ACE-Server. Weitere Informationen finden Sie unter „Generieren einer ACE/Agent-Konfigurationsdatei“ auf Seite 103. 2. Wählen Sie in der Administratorkonsole Authentication > Auth. Servers. 3. Führen Sie einen der folgenden Vorgänge aus: Um eine neue Serverinstanz auf dem IVE zu erstellen, wählen Sie in der Liste New den Eintrag ACE Server aus, und klicken Sie anschließend auf New Server. Klicken Sie zum Aktualisieren einer vorhandenen Serverinstanz auf den entsprechenden Link in der Liste Authentication/Authorization Servers. 4. Geben Sie einen Namen ein, um die Serverinstanz zu bezeichnen. 5. Geben Sie im Feld ACE Port einen Standardport an. Das IVE verwendet diese Einstellung nur, wenn in der Datei sdconf.rec kein Port angegeben ist. 102 Konfigurieren einer ACE-/Serverinstanz Kapitel 7: Authentifizierungs- und Verzeichnisserver 6. Importieren Sie die RSA ACE/Agent-Konfigurationsdatei. Aktualisieren Sie diese Datei im IVE unbedingt bei jeder Änderung an der Quelldatei. Wenn Sie die Instanzdatei aus dem IVE löschen, müssen Sie ebenfalls zur Konfigurationsverwaltungsanwendung für ACE-Server wechseln, wie unter „Generieren einer ACE/Agent-Konfigurationsdatei“ auf Seite 103 beschrieben, und das Kontrollkästchen Sent Node Secret deaktivieren. 7. Klicken Sie auf Save Changes. Wenn Sie zum ersten Mal eine Serverinstanz erstellen, werden die Registerkarten Settings und Users angezeigt. 8. Geben Sie die Bereiche an, die der Server für die Authentifizierung und Autorisierung von Administratoren und Benutzern verwenden soll. Weitere Informationen finden Sie unter „Definieren von Authentifizierungsrichtlinien“ auf Seite 180. HINWEIS: Informationen zum Überwachen und Löschen von Sitzungen von Benutzern, die gegenwärtig über den Server angemeldet sind, finden Sie unter „Überwachen von aktiven Benutzern“ auf Seite 738. Generieren einer ACE/Agent-Konfigurationsdatei Wenn Sie ACE/Server für die Authentifizierung verwenden, müssen Sie auf dem ACE-Server eine ACE/Agent-Konfigurationsdatei (sdconf.rec) für das IVE generieren. So generieren Sie eine ACE/Agent-Konfigurationsdatei 1. Starten Sie die Konfigurationsverwaltungsanwendung für ACE/Server, und klicken Sie auf Agent Host. 2. Klicken Sie auf Add Agent Host. 3. Geben Sie unter Name einen Namen für den IVE-Agenten ein. 4. Geben Sie unter Network Address die IP-Adresse des IVE ein. 5. Geben Sie eine auf dem ACE-Server konfigurierte Site ein. 6. Wählen Sie für Agent Type Communication Server aus. 7. Wählen Sie für Encryption Type DES aus. 8. Vergewissern Sie sich, ob Sent Node Secret (beim Erstellen eines neuen Agenten) deaktiviert ist. Wenn der ACE-Server eine vom IVE gesendete Anforderung erfolgreich authentifiziert, wählt der ACE-Server Sent Node Secret aus. Wenn der ACEServer später einen neuen Knotenschlüssel an das IVE senden soll, gehen Sie bei der nächsten Authentifizierungsanforderung folgendermaßen vor: a. Klicken Sie auf das Kontrollkästchen Sent Node Secret, um dieses zu deaktivieren. b. Melden Sie sich an der Administratorkonsole an, und wählen Sie Authentication > Auth. Servers aus. Konfigurieren einer ACE-/Serverinstanz 103 Juniper Networks Secure Access – Administratorhandbuch c. Klicken Sie in der Liste Authentication/Authorization Servers auf den Namen des entsprechenden ACE-Servers. d. Aktivieren Sie unter Node Verification File das entsprechende Kontrollkästchen, und klicken Sie auf Delete. Durch diese Schritte wird sichergestellt, dass der IVE-Server und der ACE-Server synchronisiert sind. Entsprechend sollten Sie auf dem ACE-Server das Kontrollkästchen Sent Node Secret deaktivieren, wenn Sie die Überprüfungsdatei aus dem IVE löschen. 9. Klicken Sie auf Assign Acting Servers, und wählen Sie den ACE-Server aus. 10. Klicken Sie auf Generate Config File. Wenn Sie den ACE-Server zum IVE hinzufügen, wird diese Konfigurationsdatei importiert. Konfigurieren einer Active Directory- oder einer NT-Domäneninstanz Wenn die Benutzerauthentifizierung über einen primären NT-Domänencontroller (PDC) oder Active Directory erfolgt, melden sich Benutzer mit dem für den Zugriff auf den eigenen Windows-Desktop verwendeten Benutzernamen und Kennwort am IVE an. Das IVE unterstützt die Windows NT-Authentifizierung und Active Directory mit NTLM- oder Kerberos-Authentifizierung. Wenn Sie einen systemeigenen Active Directory-Server konfigurieren, können Sie Gruppeninformationen vom Server für die Verwendung in den Rollenzuordnungsregeln eines Bereichs abrufen. In diesem Fall legen Sie den Active Directory-Server als den Authentifizierungsserver des Bereichs fest, und anschließend erstellen Sie eine Rollenzuordnungsregel auf Grundlage der Gruppenmitgliedschaft. Das IVE zeigt alle Gruppen des konfigurierten Domänencontrollers und dessen vertrauter Domänen an. Das IVE enthält ein separates Kontrollkästchen für jedes der primären Authentifizierungprotokolle: Kerberos, NTLMv2 und NTLMv1. Dadurch können diese Protokolle unabhängig von einander aktivieren oder deaktivieren. Diese genauere Steuerung der Authentifizierungsprozesses verhindert ein unnötiges Erhöhen der Zählrichtlinie für fehlgeschlagene Anmeldungen in Active Directory und ermöglicht ein präzises Anpassen der Protokolle an Ihre Systemanforderungen. 104 Konfigurieren einer Active Directory- oder einer NT-Domäneninstanz Kapitel 7: Authentifizierungs- und Verzeichnisserver Weitere Informationen finden Sie unter „Erstellen von Rollenzuordnungsregeln“ auf Seite 181. HINWEIS: Das IVE berücksichtigt Vertrauensstellungen in Active Directory und Windows NT-Umgebungen. Beim Senden von Benutzeranmeldedaten an einen Active DirectoryAuthentifzierungsserver verwendet das IVE die auf der Seite „New Active Directory/Windows NT“ festgelegte Authentifizierungsmethode. Das IVE geht die Authentifizierungsserver der Reihe nach durch. Das bedeutet, wenn Sie die Kontrollkästchen für Kerberos und NTLMv2 aktiviert haben, sendet das IVE die Anmeldedaten an Kerberos. Falls dies nicht unterstützt wird, verwendet das IVE NTLMv2, das nächste Protokoll in der Reihenfolge. Wenn Kerberos funktioniert, sendet das IVE die Anmeldedaten nicht an NTLMv2. Die Konfiguration richtet eine Abstufung ein, wenn Sie die mehrere Kontrollkästchen aktivieren. Weitere Informationen finden Sie unter „Definieren von Ressourcenrichtlinien: UNIX/NFS-Dateiressourcen“ auf Seite 421. Das IVE unterstützt lokale und globale Gruppen in der Domäne sowie universelle Gruppen, die in der Active Directory-Gesamtstruktur definiert sind. Unterstützt werden auch lokale und globale Gruppen der Domäne für NT4-Server. Das IVE lässt nur Active Directory-Sicherheitsgruppen zu, keine Verteilergruppen. Mit Sicherheitsgruppen können Sie einen Gruppentyp sowohl für das Zuweisen von Berechtigungen als auch für E-Mail-Verteilerlisten verwenden. Dieser Abschnitt enthält die folgenden Informationen über Active Directory- and NT-Domänenserver: „Definieren einer Active Directory- oder Windows NT-Domänenserverinstanz“ auf Seite 105 „Domänenübergreifende Benutzerauthentifizierung“ auf Seite 108 „Unterstützung der Gruppensuche für Active Directory und NT“ auf Seite 110 Definieren einer Active Directory- oder Windows NT-Domänenserverinstanz So legen Sie einen Active Directory-Server oder einen Windows NT-Domänenserver fest: 1. Wählen Sie in der Administratorkonsole Authentication > Auth. Servers. 2. Führen Sie einen der folgenden Vorgänge aus: Um eine neue Serverinstanz auf dem IVE zu erstellen, wählen Sie in der Liste New den Eintrag Active Directory/Windows NT aus, und klicken Sie anschließend auf New Server. Klicken Sie zum Aktualisieren einer vorhandenen Serverinstanz auf den entsprechenden Link in der Liste Authentication/Authorization Servers. 3. Geben Sie einen Namen ein, um die Serverinstanz zu bezeichnen. Konfigurieren einer Active Directory- oder einer NT-Domäneninstanz 105 Juniper Networks Secure Access – Administratorhandbuch 4. Geben Sie den Namen oder die IP-Adresse des primären Domänencontrollers oder von Active Directory an. 5. Geben Sie die IP-Adresse des Sicherungsdomänencontrollers oder von Active Directory an. (Dies ist optional.) 6. Geben Sie den Domänennamen für die Benutzer ein, denen Sie den Zugriff gewähren möchten. 7. Wenn Sie einen Computernamen angeben möchten, geben Sie diesen in das Feld Computer Name ein. Anderenfalls behalten Sie die Standard-ID bei, die das System eindeutig identifiziert. HINWEIS: Sie haben wahrscheinlich bemerkt, dass der Computername vorab mit einem Eintrag im Format vcNNNNHHHHHHHH ausgefüllt wurde, wobei NNNN in einem IVS-System die IVS-ID darstellt (vorausgesetzt, Sie verfügen über eine IVSLizenz) und HHHHHHHH die hexadezimale Darstellung der IP-Adresse. Durch einen eindeutigen Namen (entweder die Standard-ID oder ein eigener Name) können Sie Ihre Systeme einfacher in Active Directory identifizieren. Wenn es sich nicht um ein IVS-System handelt, werden die ersten sechs Zeichen des Namens als vc0000 angezeigt, weil keine anzeigbare IVS-ID vorhanden ist. In diesem Fall könnte der Name etwa folgendermaßen angezeigt werden: „vc0000a1018dF2“. In einer Clusterumgebung mit dem gleichen AD-Authentifizierungsserver ist dieser Name ebenfalls eindeutig in allen Clusterknoten, und das IVE zeigt alle IDs für alle hinzugefügten Clusterknoten an. 8. Aktivieren Sie das Kontrollkästchen Allow domain to be specified as part of username, um Benutzern die Eingabe eines Domänennamens im Feld Username auf der IVE-Anmeldeseite in folgendem Format zu ermöglichen: domaene\benutzername. 9. Aktivieren Sie das Kontrollkästchen Allow trusted domains, um Gruppeninformationen von allen vertrauten Domänen innerhalb einer Gesamtstruktur abzurufen. 10. Geben Sie für Admin Username und Admin Password einen Administratorbenutzernamen und ein -kennwort für den AD- oder NT-Server ein. HINWEIS: 106 Stellen Sie sicher, dass es sich beim angegebenen Administrator um einen Domänenadministrator handelt, der sich in derselben Domäne befindet wie der AD- oder NT-Server. Geben Sie im Feld Admin Username keinen Domänennamen mit dem Serveradministrator-Benutzernamen Admin Username ein. Nach dem Speichern von Änderungen wird das Administratorkennwort unabhängig von der Kennwortlänge vom IVE mit fünf Sternchen maskiert. Konfigurieren einer Active Directory- oder einer NT-Domäneninstanz Kapitel 7: Authentifizierungs- und Verzeichnisserver 11. Legen Sie unter Authentication Protocol das Protokoll fest, das das IVE während der Authentifizierung verwenden soll. 12. Gehen Sie unter Kerberos Realm Name folgendermaßen vor: Wählen Sie Use LDAP to get Kerberos realm name aus, wenn das IVE mit den angegebenen Administratoranmeldedaten den KerberosBereichsnamen vom Active Directory-Server abrufen soll. Wenn Ihnen der Bereichsname bekannt ist, geben Sie den KerberosBereichsnamen im Feld Specify Kerberos realm name ein. 13. Aktivieren Sie das Kontrollkästchen Advanced Settings, um vertrauenswürdige Domänen und geschachtelte Gruppen zu suchen und so die Gruppenmitgliedschaft eines Benutzers zu bestimmen. HINWEIS: Wählen Sie diese Optionen nur aus, wenn die Rollenzuordnungsregel für Authentifizierungen auf Gruppenmitgliedschaften basiert. Weitere Informationen finden Sie unter „Angeben von Rollenzuordnungsregeln für einen Authentifizierungsbereich“ auf Seite 182. Das Auswählen dieser Optionen hat u.U. Auswirkungen auf den Anmeldevorgang – muss das IVE eine umfangreiche Active Directory-Bereitstellung abfragen, führt dies ggf. zu längeren Anmeldezeiten. Aktivieren Sie das Kontrollkästchen User may belong to trusted domains’ groups, um beim Suchen nach Benutzergruppen alle vertrauenswürdigen Domänen zu berücksichtigen. Aktivieren Sie das Kontrollkästchen User’s group(s) may contain (nested) groups, um in einer Gruppe eine hierarchische Suche durchzuführen. Legen Sie im Feld Nested Group Level fest, wie viele Ebenen innerhalb einer Gruppe nach Benutzern durchsucht werden sollen. Je höher die Zahl ist, desto mehr Zeit nimmt die Abfrage in Anspruch. Durchsuchen Sie nicht mehr als zwei Ebenen (empfohlen). 14. Klicken Sie auf Test Configuration, um die Konfigurationseinstellungen für den Active Directory-Server zu überprüfen. Dabei wird geprüft, ob die angegebene Domäne vorhanden ist, ob es sich bei den angegebenen Controllern um Active Directory-Domänencontroller handelt, ob das ausgewählte Authentifizierungsprotokoll funktioniert usw. (Dies ist optional.) 15. Klicken Sie auf Save Changes. Wenn Sie zum ersten Mal eine Serverinstanz erstellen, werden die Registerkarten Settings und Users angezeigt. Konfigurieren einer Active Directory- oder einer NT-Domäneninstanz 107 Juniper Networks Secure Access – Administratorhandbuch 16. Geben Sie die Bereiche an, die der Server für die Authentifizierung und Autorisierung von Administratoren und Benutzern verwenden soll. Weitere Informationen finden Sie unter „Erstellen eines Authentifizierungsbereichs“ auf Seite 178. HINWEIS: Informationen zum Überwachen und Löschen von Sitzungen von Benutzern, die gegenwärtig über den Server angemeldet sind, finden Sie unter „Überwachen von aktiven Benutzern“ auf Seite 738. In der Administratorkonsole wird die aktuelle Zugriffsstatistik für jedes Benutzerkonto auf verschiedenen Users-Registerkarten der Konsole unter mehreren Spalten mit der Bezeichnung Last Sign-in Statistic angezeigt. Die Statistik enthält unter anderem Datum und Zeit der letzten erfolgreichen Anmeldung für jeden Benutzer, die IP-Adresse des Benutzers sowie Typ und Version des Agenten bzw. Browsers. Domänenübergreifende Benutzerauthentifizierung Das IVE ermöglicht die domänenübergreifende Authentifizierung für Active Directory und Windows NT. Das IVE authentifiziert in der auf der Seite Authentication > Auth. Servers > New Active Directory / Windows NT konfigurierten Domäne Benutzer, Benutzer in untergeordneten Domänen und Benutzer in allen Domänen, die von der konfigurierten Domäne als vertrauenswürdig eingestuft wurden. Nachdem Sie die Adresse eines Domänencontrollers und eine Standarddomäne in der Active Directory-Serverkonfiguration des IVE festgelegt haben, verwenden Benutzer in der Standarddomäne für die Authentifizierung beim IVE entweder nur ihren Benutzernamen oder den Standarddomänen- und den Benutzernamen im folgenden Format: standarddomaene\benutzername. Wenn Sie die Authentifizierung für vertrauenswürdige Domänen aktivieren, können Benutzer in vertrauenswürdigen oder untergeordneten Domänen für die Authentifizierung beim IVE den Namen der vertrauenswürdigen bzw. untergeordneten Domäne und den Benutzernamen im folgenden Format verwenden: vertrauensürdigedomaene\benutzername. Durch das Aktivieren der Authentifizierung für vertrauenswürdige Domänen verlängert sich die Antwortzeit des Servers. Domänenübergreifende Authentifizierung für Windows 2000 und Windows 2003 Das IVE unterstützt die Kerberos-basierte Active Directory-Authentifizierung mit Windows 2000- und Windows 2003-Domänencontrollern. Wenn sich ein Benutzer am IVE anmeldet, erfolgt die Kerberos-Authentifizierung. Dabei versucht das IVE, den Kerberos-Bereichsnamen für den Domänencontroller sowie alle untergeordneten und vertrauenswürdigen Bereiche mithilfe von LDAP-Aufrufen abzurufen. 108 Konfigurieren einer Active Directory- oder einer NT-Domäneninstanz Kapitel 7: Authentifizierungs- und Verzeichnisserver Als Alternative könnten Sie den Kerberos-Bereichsnamen beim Konfigurieren eines Active Directory-Authentifizierungsservers festlegen, aber diese Methode wird aus folgenden zwei Gründen nicht empfohlen: Sie können nur einen Bereichsnamen festlegen. Das IVE kann deshalb keine Authentifizierung durch die untergeordneten oder vertrauenswürdigen Bereiche des von Ihnen festgelegten Bereichs ausführen. Wenn Sie den Bereichsnamen falsch eingeben, kann das IVE Benutzer nicht für den korrekten Bereich authentifizieren. Domänenübergreifende Authentifizierung für Windows NT4 Das IVE unterstützt nicht die Kerberos-basierte Authentifizierung in Windows NT4Domänencontrollern. Anstelle von Kerberos wird die NTLM-Authentifizierung verwendet. HINWEIS: Für die Benutzerauthentifizierung stellt das IVE eine Verbindung mit dem Standard-Domänencontrollerserver her, wobei für den Computernamen das Format <IVEIVE-IPaddress> verwendet wird. HINWEIS: Stellen Sie bei Änderungen der DNS-Konfiguration auf dem Windows NT4-Domänencontroller sicher, dass das IVE weiterhin Namen (untergeordnete und vertraute Domänen) mittels WINS, DNS oder der Hostdateien, die die Namen vor der Konfigurationsänderung auflösen konnten, auflösen kann. Benutzernormalisierung für NT Zur Unterstützung der domänenübergreifenden Authentifizierung verwendet das IVE „normalisierte“ NT-Anmeldedaten für die Authentifizierung über einen Active Directory- oder NT4-Domänencontroller. Zu den normalisierten NT-Anmeldedaten gehören der Domänenname und der Benutzername: domaene\benutzername. Unabhängig davon, wie sich der Benutzer am IVE anmeldet – mit dem Benutzernamen oder dem Format domaene\benutzername –, das IVE verarbeitet den Benutzernamen immer im Format domaene\benutzername. Wenn ein Benutzer versucht, sich nur mit dem Benutzernamen zu authentifizieren, normalisiert das IVE die NT-Anmeldedaten immer im Format standarddomaene\benutzername. Die Authentifizierung ist nur erfolgreich, wenn der Benutzer Mitglied in der Standarddomäne ist. Für einen Benutzer, der sich mit dem Format domaene\benutzername am IVE anmeldet, versucht das IVE immer, den Benutzer als Mitglied der von ihm angegebenen Domäne zu authentifizieren. Die Authentifizierung ist nur erfolgreich, wenn die vom Benutzer angegebene Domäne eine vertrauenswürdige oder untergeordnete Domäne der Standarddomäne ist. Gibt der Benutzer eine ungültige oder nicht vertrauenswürdige Domäne an, schlägt die Authentifizierung fehl. Konfigurieren einer Active Directory- oder einer NT-Domäneninstanz 109 Juniper Networks Secure Access – Administratorhandbuch Zwei Variablen, <NTUser> und <NTDomain>, ermöglichen Ihnen die individuelle Bezugnahme auf Domänen- und NT-Benutzernamenwerte. Das IVE gibt in diese beiden Variablen die Domäne und den NT-Benutzernamen ein. HINWEIS: Wenn Sie vorhandene Rollenzuordnungsreglen verwenden oder eine neue Rollenzuordnungsregel für die Active Directory-Authentifizierung mittels USER = beliebigerbenutzername schreiben, behandelt das IVE diese Regel semantisch als NTUser = beliebigerbenutzername AND NTDomain = standarddomaene. Dadurch kann das IVE vorhandene Rollenzuordnungsregeln nahtlos einsetzen. Unterstützung der Gruppensuche für Active Directory und NT Das IVE unterstützt die Benutzergruppensuche in lokalen und globalen Gruppen der Domäne sowie in universellen Gruppen in der Active Directory-Gesamtstruktur als auch in lokalen und globalen Gruppen in der Domäne für NT4-Server. HINWEIS: Damit die Gruppensuche für NT/AD funktioniert, versucht das IVE zuerst, den Domänencontroller dem Computernamen neoterisive$ hinzuzufügen. Damit dieser Vorgang erfolgreich ausgeführt werden kann, müssen Sie in der Konfiguration des Active Directory-Servers auf dem IVE gültige Anmeldedaten für den Domänenadministrator angeben. Active Directory-Suche – Anforderungen Das IVE unterstützt die Benutzergruppensuche in lokalen, globalen und universellen Gruppen in der Standarddomäne sowie in untergeordneten und in allen vertrauenswürdigen Domänen. Das IVE erhält die Gruppenmitgliedschaft über eine von drei Methoden, die unterschiedliche Merkmale aufweisen: Gruppeninformationen im Sicherheitskontext des Benutzers – Gibt Informationen über die globalen Gruppen in der Domäne des Benutzers zurück. Gruppeninformationen durch LDAP-Suchaufrufe – Gibt Informationen über die globalen Gruppen in der Domäne und die universellen Gruppen des Benutzers zurück, wenn das IVE den globalen Katalogserver abfragt. Gruppeninformationen durch native RPC-Aufrufe – Gibt Informationen über die lokale Gruppe in der Domäne des Benutzers zurück. Hinsichtlich der Rollenzuordnungsregeln versucht das IVE die Gruppensuche in der folgenden Reihenfolge: 110 Das IVE sucht unter Verwendung des Sicherheitskontexts des Benutzers nach allen globalen Gruppen in der Domäne. Wenn das IVE nicht feststellen kann, dass der Benutzer ein Mitglied in den Gruppen ist, auf die sich die Rollenzuordnungsregeln beziehen, stellt das IVE über eine LDAP-Abfrage den Status der Gruppenmitgliedschaft des Benutzers fest. Wenn das IVE nicht feststellen kann, dass der Benutzer ein Mitglied in den Gruppen ist, auf die sich die Rollenzuordnungsregeln beziehen, stellt das IVE über eine RPC-Suche den Status der Mitgliedschaft des Benutzers in der lokalen Domäne fest. Konfigurieren einer Active Directory- oder einer NT-Domäneninstanz Kapitel 7: Authentifizierungs- und Verzeichnisserver NT4-Gruppensuche – Anforderungen Das IVE unterstützt die Gruppensuche in lokalen und globalen Gruppen, die in der Standarddomäne erstellt wurden, sowie in allen untergeordneten und in anderen vertrauenswürdigen Domänen. Das IVE ermittelt die Informationen der globalen Gruppe über den Sicherheitskontext des Benutzers und die lokalen Domäneninformationen über RPC-Aufrufe. In der NT4-Umgebung verwendet das IVE keine LDAP-basierten Suchaufrufe. Konfigurieren einer Zertifikatserverinstanz Der Zertifikatserver ermöglicht die Authentifizierung von Benutzern anhand von Attributen in clientseitigen Zertifikaten. Sie können den Zertifikatserver allein oder in Verbindung mit einem anderen Server verwenden, um Benutzer zu authentifizieren und sie Rollen zuzuordnen. Sie könnten Benutzer z.B. allein anhand ihrer Zertifikatattribute authentifizieren. Wenn das IVE ermittelt, dass das Benutzerzertifikat gültig ist, wird der Benutzer anhand der von Ihnen festgelegten Zertifikatattribute angemeldet, ohne aufgefordert zu werden, einen Benutzernamen oder ein Kennwort einzugeben. Sie können Benutzer auch authentifizieren, indem Sie ihre Clientzertifikatattribute an einen zweiten Authentifizierungsserver (wie LDAP) weiterleiten. In diesem Szenario ermittelt der Zertifikatserver zunächst, ob das Benutzerzertifikat gültig ist. Anschließend kann das IVE Zuordnungsregeln der Bereichsebene verwenden, um die Zertifikatattribute mit den LDAP-Attributen des Benutzers zu vergleichen. Wenn keine entsprechende Übereinstimmung gefunden wird, kann der Benutzerzugriff entsprechend Ihren Angaben vom IVE verweigert oder eingeschränkt werden. HINWEIS: Bei Verwendung clientseitiger Zertifikate ist dringend zu empfehlen, die Endbenutzer anzuweisen, ihre Webbrowser nach dem Abmelden vom IVE zu schließen. Andernfalls können andere Benutzer über deren geöffnete Browsersitzungen auf durch Zertifikate geschützte Ressourcen auf dem IVE ohne erneute Authentifizierung zugreifen. (Nach dem Laden eines clientseitigen Zertifikats werden die Anmeldedaten und der private Schlüssel des Zertifikats von Internet Explorer und Netscape zwischengespeichert. Diese Informationen bleiben in den Browsern zwischengespeichert, bis der Browser vom Benutzer geschlossen wird (in manchen Fällen, bis die Arbeitsstation neu gestartet wird). Ausführliche Informationen finden Sie unter: http://support.microsoft.com/?kbid=290345.) Sie können die Benutzer daran erinnern, ihren Browser zu schließen, indem Sie die Meldung für die Abmeldung auf der Registerkarte Authentication > Authentication > Signing In Pages ändern. Gehen Sie zum Festlegen eines Zertifikatservers auf dem IVE folgendermaßen vor: 1. Importieren Sie mit den Einstellungen auf der Registerkarte System > Configuration > Certificates > CA Certificates das Zertifizierungsstellenzertifikat, mit dem clientseitige Zertifikate signiert werden. 2. Konfigurieren Sie eine Zertifikatserverinstanz: a. Navigieren Sie zu Authentication > Auth. Servers. Konfigurieren einer Zertifikatserverinstanz 111 Juniper Networks Secure Access – Administratorhandbuch b. Wählen Sie aus der Liste New Certificate Server aus, und klicken Sie anschließend auf New Server. c. Geben Sie einen Namen ein, um die Serverinstanz zu bezeichnen. d. Geben Sie im Feld User Name Template an, wie das IVE einen Benutzernamen erstellen soll. Sie können jede beliebige Kombination von Zertifikatsvariablen in spitzen Klammern und Klartext verwenden. Eine Liste von Zertifikatsvariablen finden Sie unter „Systemvariablen und Beispiele“ auf Seite 920. HINWEIS: Wenn Sie ein Zertifikatattribut mit mehr als einem Wert auswählen, verwendet das IVE den ersten übereinstimmenden Wert. Wenn Sie z.B. <certDN.OU> eingeben und dem Benutzer zwei Werte für das Attribut vorliegen (ou=management, ou=sales), verwendet das IVE den Wert „management“. Wenn alle Werte verwendet werden sollen, fügen Sie der Variable das Attribut SEP hinzu. Wenn Sie z.B. <certDN.OU SEP=“:“> eingeben, verwendet das IVE „management:sales“. e. Klicken Sie auf Save Changes. Wenn Sie zum ersten Mal eine Serverinstanz erstellen, werden die Registerkarten Settings und Users angezeigt. HINWEIS: Informationen zum Überwachen und Löschen von Sitzungen von Benutzern, die gegenwärtig über den Server angemeldet sind, finden Sie unter „Überwachen von aktiven Benutzern“ auf Seite 738. 3. Wenn Zertifikatattribute mithilfe eines LDAP-Servers überprüft werden sollen, erstellen Sie anhand der Einstellungen auf der Seite Authentication > Auth. Servers eine LDAP-Serverinstanz. Beachten Sie, dass Sie zum Abrufen der benutzerspezifischen Attribute, die über das Zertifikat überprüft werden sollen, den Abschnitt Finding user entries auf der LDAP-Konfigurationsseite verwenden müssen. 4. Geben Sie mit den Einstellungen auf der Registerkarte Users > User Realms > BereichsName > General oder Administrators > Admin Realms > BereichsName > General an, welche Bereiche den Zertifikatserver zur Authentifizierung von Benutzern verwenden sollen. (Anhand der Einstellungen dieser Registerkarten können Sie auch Bereiche angeben, die einen LDAPServer zum Überprüfen von Zertifikatattributen verwenden sollen.) 5. Ordnen Sie anhand der Einstellungen auf der Seite Authentication > Authentication > Signing In Policies die im vorherigen Schritt konfigurierten Bereiche einzelnen Anmelde-URLs zu. 6. Wenn der Benutzerzugriff auf Bereiche, Rollen oder Ressourcenrichtlinien auf Grundlage einzelner Zertifikatattribute eingeschränkt werden soll, verwenden Sie die unter „Angeben von Zertifikatzugriffseinschränkungen“ auf Seite 49 beschriebenen Einstellungen. 112 Konfigurieren einer Zertifikatserverinstanz Kapitel 7: Authentifizierungs- und Verzeichnisserver Konfigurieren einer LDAP-Serverinstanz Das IVE unterstützt zwei LDAP-spezifische Authentifizierungsoptionen: Unencrypted – Das IVE sendet den Benutzernamen und das Kennwort in einfachem Klartext an den LDAP-Verzeichnisdienst. LDAPS – Das IVE verschlüsselt die Daten in der LDAP-Authentifizierungssitzung mit dem SSL-Protokoll (Secure Socket Layer), bevor sie an den LDAPVerzeichnisdienst gesendet werden. Das IVE führt umfangreiche Eingabeüberprüfungen für die folgenden Elemente durch: LDAP-Server – Das IVE gibt eine Warnung aus, wenn der Server nicht erreichbar ist. LDAP-Port – Das IVE gibt eine Warnung aus, wenn der LDAP-Server nicht erreichbar ist. Administratoranmeldedaten – Das IVE gibt eine Fehlermeldung aus, wenn die Überprüfung der Administratoranmeldedaten fehlschlägt. Basis-DN für Benutzer – Das IVE gibt eine Fehlermeldung aus, wenn die Suche auf Basisebene nach dem Basis-DN-Wert fehlschlägt. Basis-DN für Gruppen – Das IVE gibt eine Fehlermeldung aus, wenn die Suche auf Basisebene nach dem Basis-DN-Wert fehlschlägt. Dieser Abschnitt enthält die folgenden Informationen über LDAP-Server: „Festlegen einer LDAP-Serverinstanz“ auf Seite 113 „Konfigurieren von LDAP-Suchattributen für Konferenzersteller“ auf Seite 116 „Anzeigen und Löschen von aktiven Benutzersitzungen“ auf Seite 117 „Aktivieren der LDAP-Kennwortverwaltung“ auf Seite 117 Festlegen einer LDAP-Serverinstanz So definieren Sie eine LDAP-Serverinstanz: 1. Wählen Sie in der Administratorkonsole Authentication > Auth. Servers. 2. Führen Sie einen der folgenden Vorgänge aus: Um eine neue Serverinstanz auf dem IVE zu erstellen, wählen Sie in der Liste New den Eintrag LDAP Server aus, und klicken Sie anschließend auf New Server. Klicken Sie zum Aktualisieren einer vorhandenen Serverinstanz auf den entsprechenden Link in der Liste Authentication/Authorization Servers. 3. Geben Sie einen Namen ein, um die Serverinstanz zu bezeichnen. Konfigurieren einer LDAP-Serverinstanz 113 Juniper Networks Secure Access – Administratorhandbuch 4. Geben Sie den Namen oder die IP-Adresse des LDAP-Servers an, der vom IVE zur Überprüfung von Benutzern verwendet wird. 5. Geben Sie den Port an, den der LDAP-Server überwacht. Dies ist bei Verwendung einer unverschlüsselten Verbindung normalerweise Port 389 und bei Verwendung von SSL Port 636. 6. Geben Sie Parameter für LDAP-Sicherungsserver an (optional). Das IVE verwendet die angegebenen Server für die Failover-Verarbeitung. Jede Authentifizierungsanforderung wird zuerst an den primären LDAP-Server und dann an den oder die angegebenen Sicherungsserver weitergeleitet, falls der primäre Server nicht erreichbar ist. HINWEIS: LDAP-Sicherungsserver müssen dieselbe Version wie der primäre LDAP- Server aufweisen. Darüber hinaus empfiehlt es sich, nicht den Hostnamen, sondern die IP-Adresse eines LDAP-Sicherungsservers anzugeben, denn dadurch kann die Failover-Verarbeitung beschleunigt werden, da der Hostname nicht in eine IP-Adresse aufgelöst werden muss. 7. Geben Sie den Typ des LDAP-Servers an, über den Sie Benutzer authentifizieren möchten. 8. Geben Sie an, ob die Verbindung zwischen dem IVE und dem LDAPVerzeichnisdienst unverschlüsselt sein soll oder ob SSL (LDAPs) oder TLS verwendet werden soll. 9. Legen Sie fest, wie lange das IVE auf eine Verbindung mit dem primären LDAPServer warten soll, und geben Sie dann nacheinander die Wartezeit für jeden Backup-LDAP-Server an. 10. Legen Sie fest, wie lange das IVE auf Suchergebnisse von einem verbundenen LDAP-Server warten soll. 11. Klicken Sie auf Test Connection, um die Verbindung zwischen der IVEAppliance und den angegebenen LDAP-Servern zu überprüfen. (Dies ist optional.) 12. Aktivieren Sie das Kontrollkästchen Authentication required to search LDAP, wenn das IVE über das LDAP-Verzeichnis authentifiziert werden soll, um eine Suche durchzuführen oder Kennwörter mithilfe der Kennwortverwaltungsfunktion zu ändern. Geben Sie anschließend einen Administrator-DN und ein Kennwort ein. Weitere Informationen zur Kennwortverwaltung finden Sie unter „Aktivieren der LDAP-Kennwortverwaltung“ auf Seite 117. Beispiel: CN=Administrator,CN=Users,DC=eng,DC=Juniper,DC=com 13. Geben Sie unter Finding user entries Folgendes an: Base DN, von dem an nach Benutzereinträgen gesucht werden soll. Beispiel: DC=eng,DC=Juniper,DC=com 114 Konfigurieren einer LDAP-Serverinstanz Kapitel 7: Authentifizierungs- und Verzeichnisserver Filter, wenn die Suche eingegrenzt werden soll. Beispiel: samAccountname=<username> oder cn=<username> Fügen Sie zur Verwendung des Benutzernamens, der auf der Anmeldeseite für die Suche eingegeben wurde, im Filter die Zeichenfolge <username> ein. Geben Sie einen Filter an, der keinen (0) oder einen (1) Benutzer-DN pro Benutzer zurückgibt. Falls mehrere DNs zurückgegeben werden, verwendet das IVE den ersten zurückgegebenen DN. 14. Das IVE unterstützt sowohl statische als auch dynamische Gruppen. (Das IVE unterstützt nur dynamische Gruppen mit LDAP-Servern.) Zum Aktivieren der Gruppensuche müssen Sie angeben, wie das IVE den LDAP-Server nach einer Gruppe durchsuchen soll. Geben Sie unter Determining group membership Folgendes an: Base DN, von dem an nach Benutzergruppen gesucht werden soll. Filter, wenn die Suche nach einer Benutzergruppe optimiert werden soll. Member Attribute, um alle Mitglieder einer statischen Gruppe zu identifizieren. Beispiel: member uniquemember (iPlanet-spezifisch) Query Attribute, um eine LDAP-Abfrage anzugeben, die die Mitglieder einer dynamischen Gruppe zurückgibt. Beispiel: memberURL Nested Group Level, um anzugeben, wie viele Ebenen innerhalb einer Gruppe nach dem Benutzer durchsucht werden sollen. Beachten Sie Folgendes: Je höher die Anzahl, desto länger die Abfragezeit. Daher wird empfohlen, für die Suche nicht mehr als zwei Ebenen anzugeben. Nested Group Search, um nach folgenden Optionen zu suchen: Nested groups in the LDAP Server Catalog. Diese Option ist schneller, da die Suche innerhalb impliziter Grenzen der geschachtelten Gruppe erfolgen kann. Search all nested groups. Mit dieser Option durchsucht das IVE zuerst den Server Catalog. Falls das IVE im Katalog keinen Treffer findet, fragt es LDAP ab, um festzustellen, ob ein Gruppenmitglied eine Untergruppe ist. HINWEIS: Da das IVE im Server Catalog sucht, um festzustellen, ob ein Mitglied einer übergeordneten Gruppe ein Benutzer- oder Gruppenobjekt ist, müssen Sie dem Server Catalog die übergeordnete und alle untergeordneten (geschachtelten) Gruppen hinzufügen. Konfigurieren einer LDAP-Serverinstanz 115 Juniper Networks Secure Access – Administratorhandbuch 15. Wählen Sie unter Bind Options Folgendes aus: Simple bind, um die Anmeldedaten eines Benutzers im Klartext (unverschlüsselt) an den LDAP-Verzeichnisdienst zu senden. StartTLS bind, um die Anmeldedaten eines Benutzers über das TLSProtokoll (Transport Layer Security) zu verschlüsseln, bevor das IVE die Daten an den LDAP-Verzeichnisdienst sendet. 16. Klicken Sie auf Save Changes. Wenn Sie zum ersten Mal eine Serverinstanz erstellen, werden die Registerkarten Settings und Users angezeigt. 17. Geben Sie die Bereiche an, die der Server für die Authentifizierung und Autorisierung von Administratoren und Benutzern verwenden soll. Weitere Informationen finden Sie unter „Definieren von Authentifizierungsrichtlinien“ auf Seite 180. Wenn Sie ein Windows-Dateilesezeichen erstellen möchten, das automatisch die Zuordnung zum LDAP-Basisverzeichnis eines Benutzers vornimmt, finden Sie weitere Informationen unter „Erstellen von Windows-Lesezeichen für die Zuordnung zu LDAP-Servern“ auf Seite 411. HINWEIS: Das IVE unterstützt die Verweisverfolgung, falls auf dem LDAP-Server aktiviert. Konfigurieren von LDAP-Suchattributen für Konferenzersteller Legen Sie mit den Optionen auf der Registerkarte Meetings einzelne LDAP-Attribute fest, die ein Konferenzersteller beim Planen einer Konferenz zur Suche nach IVEBenutzern verwenden kann. So konfigurieren Sie Secure Meeting-Suchattribute: 1. Wählen Sie in der Administratorkonsole Authentication > Auth. Servers. 2. Klicken Sie auf eine LDAP-Server-Instanz. 3. Klicken Sie auf die Registerkarte Meetings. 4. Geben Sie das Benutzernamenattribut für diesen Server im Feld User Name ein. Geben Sie z. B SamAccountName für einen Active Directory-Server oder uid für einen iPlanet-Server ein. 5. Geben Sie das E-Mail-Attribut für diesen Server im Feld Email Address ein. 6. Geben Sie im Feld Display Name, Attributes weitere LDAP-Attribute ein, deren Inhalt Konferenzersteller sehen sollen (optional). (Geben Sie beispielsweise ein Attribut zur Kennzeichnung der Abteilung von Benutzern ein, damit der Konferenzersteller Teilnehmer mit gleichem Namen leichter unterscheiden kann.) Geben Sie jedes zusätzliche Attribut auf einer eigenen Zeile wie im folgenden Format ein: Anzeigename,Attributname. Sie können bis zu 10 Attribute eingeben. 7. Klicken Sie auf Save Changes. 116 Konfigurieren einer LDAP-Serverinstanz Kapitel 7: Authentifizierungs- und Verzeichnisserver Anzeigen und Löschen von aktiven Benutzersitzungen Informationen zum Überwachen und Löschen von Sitzungen von Benutzern, die gegenwärtig über den Server angemeldet sind, finden Sie unter „Überwachen von aktiven Benutzern“ auf Seite 738. HINWEIS: In der Administratorkonsole wird die aktuelle Zugriffsstatistik für jedes Benutzerkonto auf verschiedenen Users-Registerkarten der Konsole unter mehreren Spalten mit der Bezeichnung Last Sign-in Statistic angezeigt. Die Statistik enthält unter anderem Datum und Zeit der letzten erfolgreichen Anmeldung für jeden Benutzer, die IP-Adresse des Benutzers sowie Typ und Version des Agenten bzw. Browsers. Aktivieren der LDAP-Kennwortverwaltung Mithilfe der IVE-Kennwortverwaltung können Benutzer, die sich über einen LDAPServer authentifizieren, ihre Kennwörter anhand der auf dem LDAP-Server definierten Richtlinien über das IVE zu verwalten. Beispiel: Ein Benutzer verwendet für die Anmeldung am IVE ein Kennwort, dessen Gültigkeit in Kürze abläuft. Das IVE fängt die Benachrichtigung über das abgelaufene Kennwort ab, zeigt sie dem Benutzer in der IVE-Oberfläche an und leitet dann die Antwort des Benutzers an den LDAP-Server zurück, ohne dass sich der Benutzer separat am LDAP-Server anmelden muss. Benutzer, Administratoren und Supportadministratoren, die in Umgebungen tätig sind, in denen zeitlich begrenzte Kennwörter verwendet werden, werden die Funktion zur Kennwortverwaltung hilfreich finden. Sind Benutzer über das Ablaufen ihres Kennwortes nicht informiert, können diese ihr Kennwort über das IVE selbst ändern, anstatt sich an den Support zu wenden. Mit der Kennwortverwaltungsfunktion können die Benutzer ihre Kennwörter ändern, wenn sie dazu aufgefordert werden oder aus einem anderen Grund ein neues Kennwort wünschen. Beispiel: Während der Anmeldung wird der Benutzer vom IVE darüber informiert, dass das Kennwort bald abläuft oder bereits abgelaufen ist. Ist das Kennwort bereits abgelaufen, fordert das IVE den Benutzer auf, das Kennwort zu ändern. Ist das Kennwort nicht abgelaufen, ermöglicht das IVE dem Benutzer die Anmeldung am IVE mit seinem aktuellen Kennwort. Nach der Anmeldung kann der Benutzer sein Kennwort auf der Seite Preferences ändern. Mit der Kennwortverwaltungsfunktion können die Benutzer ihre Kennwörter ändern, wenn sie dazu aufgefordert werden oder aus einem anderen Grund ein neues Kennwort wünschen. Beispiel: Während der Anmeldung wird der Benutzer vom IVE darüber informiert, dass das Kennwort bald abläuft oder bereits abgelaufen ist. Ist das Kennwort bereits abgelaufen, fordert das IVE den Benutzer auf, das Kennwort zu ändern. Ist das Kennwort nicht abgelaufen, ermöglicht das IVE dem Benutzer die Anmeldung am IVE mit seinem aktuellen Kennwort. Nach der Anmeldung kann der Benutzer sein Kennwort auf der Seite Preferences ändern. Nach der Aktivierung führt das IVE eine Reihe von Abfragen durch, um Benutzerkontoinformationen wie das Datum, an dem das Benutzerkennwort festgelegt wurde, das Ablaufdatum des Kontos usw. festzustellen. Das IVE verwendet hierzu seinen internen LDAP- oder Samba-Client. Viele Server wie z.B. Microsoft Active Directory oder Sun iPlanet verfügen über eine Verwaltungskonsole zum Konfigurieren von Konto- und Kennwortoptionen. Konfigurieren einer LDAP-Serverinstanz 117 Juniper Networks Secure Access – Administratorhandbuch Dieser Abschnitt enthält die folgenden Themen mit Informationen über die LDAPKennwortverwaltung: „Aufgabenzusammenfassung: Aktivieren der LDAP-Kennwortverwaltung“ auf Seite 118 „Unterstützte LDAP-Verzeichnisse und -Server“ auf Seite 118 „Unterstützte Funktionen für die LDAP-Kennwortverwaltung“ auf Seite 119 Aufgabenzusammenfassung: Aktivieren der LDAP-Kennwortverwaltung So aktivieren Sie die Kennwortverwaltung über das IVE: 1. Installieren Sie auf der Seite System > Configuration > Licensing der Administratorkonsole eine UPG-Password Management Integration-Lizenz oder die Advanced-Lizenz. 2. Erstellen Sie über die Seite Authentication> Auth. Servers der Administratorkonsole eine Instanz für den LDAP-Server. 3. Weisen Sie dem LDAP-Server über die Seite Administrators/Users > User Realms > [Bereich] > General der Administratorkonsole einen Bereich zu. 4. Aktivieren Sie auf der Seite Administrators/Users > User Realms > [Bereich] > Authentication Policy >Password der Administratorkonsole die Kennwortverwaltung. Die Option Enable Password Management ist nur verfügbar, wenn der Authentifizierungsserver des Bereichs ein LDAP- oder NT/AD-Server ist. Unterstützte LDAP-Verzeichnisse und -Server Das IVE unterstützt die Kennwortverwaltung mit den folgenden LDAPVerzeichnissen: Microsoft Active Directory/Windows NT Sun iPlanet Novell eDirectory Generische LDAP-Verzeichnisse wie IBM Secure Directory und OpenLDAP Das IVE unterstützt außerdem die Kennwortverwaltung mit den folgenden Windows-Servern: Microsoft Active Directory Microsoft Active Directory 2003 Windows NT 4.0 Die folgenden Abschnitt enthält Informationen zu einzelnen Servertypen. 118 Konfigurieren einer LDAP-Serverinstanz Kapitel 7: Authentifizierungs- und Verzeichnisserver Microsoft Active Directory Die Übertragung von Änderungen der Sicherheitsrichtlinie für die Active Directory-Domäne auf Active Directory-Domänencontroller dauert mindestens 5 Minuten. Diese Informationen werden nicht auf den Domänencontroller übertragen, auf dem sie ursprünglich konfiguriert wurden. Hierbei handelt es sich um eine Einschränkung von Active Directory. Beim Ändern von Kennwörtern in Active Directory mit LDAP wechselt IVE automatisch zu LDAPS, selbst wenn LDAPS nicht die konfigurierte LDAPMethode ist. Zur Unterstützung von LDAPS auf dem Active Directory-Server müssen Sie im persönlichen Zertifikatspeicher des Servers ein gültiges SSLZertifikat installieren. Das Zertifikat muss von einer vertrauten Zertifizierungsstelle signiert sein, und der allgemeine Name (CN) im Feld Subject des Zertifikats muss den Hostnamen des Active Directory-Servers enthalten. Beispiel: adsrv1.firma.com. Zum Installieren des Zertifikats wählen Sie das Snap-In „Certificates“ der Microsoft Management Console (MMC). Die Option Account Expires auf der Registerkarte User Account Properties wird nur bei Ablauf des Kontos, nicht jedoch bei Ablauf des Kennworts geändert. Wie unter „Unterstützte Funktionen für die LDAP-Kennwortverwaltung“ auf Seite 119 erklärt, berechnet Microsoft Active Directory das Kennwortablaufdatum mit den Werten Maximum Password Age und Password Last Set, die aus dem Benutzerrichtlinien- und dem Domänensicherheitsrichtlinien-LDAP-Objekt abgerufen werden. Sun iPlanet Ist auf dem iPlanet-Server die Option User must change password after reset aktiviert, müssen Sie das Benutzerkennwort zurücksetzen. Erst dann ist diese Funktion wirksam. Hierbei handelt es sich um eine Einschränkung von iPlanet. Allgemein Das IVE zeigt nur dann einen Warnhinweis über den Kennwortablauf an, wenn das Kennwort in maximal 14 Tagen abläuft. Das IVE zeigt die Meldung während der Anmeldung am IVE an. Der Warnhinweis enthält die verbleibenden Tage, Stunden und Minuten bis zum Ablauf des Kennworts auf dem Server. Standardmäßig werden 14 Tage festgelegt; diese Gültigkeitsdauer kann jedoch auf der Konfigurationsseite Administrators|Users > Admin Realms|User Realms> Authorization > Password der Administratorkonsole geändert werden. Unterstützte Funktionen für die LDAP-Kennwortverwaltung Die folgende Matrix beschreibt die von Juniper Networks unterstützt Kennwortverwaltungsfunktionen, die entsprechenden Funktionsnamen in den einzelnen LDAP-Verzeichnissen und alle zusätzlichen relevanten Details. Diese Funktionen müssen durch den LDAP-Server selbst festgelegt werden, bevor das IVE die entsprechenden Meldungen, Funktionen und Beschränkungen an Endbenutzer weitergeben kann. Bei der Authentifizierung mit einem generischen LDAP-Server wie IBM Secure Directory unterstützt das IVE nur die Authentifizierung und erlaubt es Benutzern, ihre Kennwörter zu ändern. Konfigurieren einer LDAP-Serverinstanz 119 Juniper Networks Secure Access – Administratorhandbuch Tabelle 7: Unterstützte Funktionen für die Kennwortverwaltung Funktion Active Directory iPlanet Novell eDirectory Generisch Authenticate user unicodePwd userPassword userPassword userPassword Allow user to change password if licensed and if enabled Server informiert in BindAntwort (verwendet ntSecurityDescriptor) If passwordChange == ON If passwordAllowChange == TRUE Yes Log out user after password change Yes Yes Yes Yes Force password change at next login If pwdLastSet == 0 If passwordMustChange == ON If pwdMustChange == TRUE Password expired notification userAccountControl== 0x80000 If Bind Response includes date/time-Wert in OID 2.16.840.1.113730.3.4.4 == 0 überprüfen Password expiration notification (in X days/hours) 120 if pwdLastSet - now() < maxPwdAge - 14 days If Bind Response includes control OID ((maxPwdAge wird aus Domänenattributen gelesen) (IVE zeigt Warnhinweis an, wenn kürzer als 14 Tage) (beinhaltet Datum/Zeit) (IVE zeigt Warnhinweis an, wenn kürzer als 14 Tage) 2.16.840.1.113730.3.4.5 passwordExpirationTime If now() passwordExpirationTime< 14 days (IVE zeigt Warnhinweis an, wenn kürzer als 14 Tage) Disallow authentication if „account disabled/locked“ userAccountControl== 0x2 (Disabled) accountExpires userAccountControl == 0x10 (Locked) lockoutTime Bind ErrorCode: 53 „Account Inactivated“ Bind Error Code: 19 „Exceed Password Retry Limit“ Bind ErrorCode: 53 „Account Expired“ Bind ErrorCode: 53 „Login Lockout“ Honor „password history“ Server informiert in BindAntwort Server informiert in BindAntwort Server informiert in BindAntwort Enforce „minimum password length“ Wenn festgelegt, informiert Wenn festgelegt, informiert Wenn festgelegt, informiert das IVE den Benutzer über das IVE den Benutzer über das IVE den Benutzer über passwordMinimumLength passwordMinLength minPwdLength Disallow user from changing password too soon If pwdLastSet - now() < minPwdAge, then we disallow Honor „password complexity“ If pwdProperties == 0x1, Server informiert in Bindthen enabled. Komplexität Antwort bedeutet, dass das neue Kennwort nicht den Benutzernamen, den Voroder Nachnamen enthalten darf und Zeichen aus drei der folgenden vier Kategorien enthalten muss: Großbuchstaben, Kleinbuchstaben, Ziffern und nichtalphabetische Zeichen (z.B. !, $, %) Konfigurieren einer LDAP-Serverinstanz Server informiert in BindIf passwordMinAge > 0, then if now() is earlier than Antwort passwordAllowChangeTime, then we disallow Server informiert in BindAntwort Kapitel 7: Authentifizierungs- und Verzeichnisserver AD/NT-Kennwortverwaltungsmatrix Die folgende Matrix beschreibt die von Juniper Networks unterstützten Kennwortverwaltungsfunktionen. Tabelle 8: AD/NT-Kennwortverwaltungsmatrix Funktion Active Directory Active Directory 2003 Windows NT Authenticate user Yes Yes Yes Allow user to change password if licensed and if enabled Yes Yes Yes Log out user after password change Yes Yes Yes Force password change at next login Yes Yes Yes Password expired notification Yes Yes Yes Account disabled Yes Yes Yes Account expired Yes Yes Yes Yes Yes Yes Fehlerbehebung bei der LDAP-Kennwortverwaltung im IVE Senden Sie uns zur Fehlerbehebung alle zutreffenden IVE-Protokolle, Serverprotokolle, Konfigurationsinformationen und eine TCP-Ablaufverfolgung vom IVE zu. Wechseln Sie bei der Verwendung von LDAPS in der IVE-LDAP-Serverkonfiguration zur LDAPOption „Unencrypted“, während Sie die LDAP-TCP-Ablaufverfolgung durchführen. Konfigurieren einer lokalen Authentifizierungsserverinstanz Im IVE können Sie eine oder mehrere lokale Datenbanken für vom IVE authentifizierte Benutzer erstellen. Sie können lokale Benutzerdatensätze für Benutzer erstellen, die normalerweise von einem externen Authentifizierungsserver überprüft werden, den Sie deaktivieren möchten. Dies bietet sich auch an, wenn Sie eine Gruppe von temporären Benutzern erstellen möchten. Hinweis: Alle Administratorenkonten werden als lokale Datensätze gespeichert, Administratoren können jedoch über einen externen Server authentifiziert werden. Anweisungen hierfür finden Sie unter „Definieren von Authentifizierungsrichtlinien“ auf Seite 180. Dieser Abschnitt enthält die folgenden Informationen über lokale Authentifizierungsserver: „Definieren einer lokalen Authentifizierungsserverinstanz“ auf Seite 122 „Erstellen von Benutzerkonten auf einem lokalen Authentifizierungsserver“ auf Seite 124 „Verwalten von Benutzerkonten“ auf Seite 125 „Delegieren von Benutzerverwaltungsrechten an Endbenutzer“ auf Seite 126 Konfigurieren einer lokalen Authentifizierungsserverinstanz 121 Juniper Networks Secure Access – Administratorhandbuch Definieren einer lokalen Authentifizierungsserverinstanz Beim Definieren einer neuen lokalen Authentifizierungsserverinstanz müssen Sie einen eindeutigen Namen für den Server eingeben und neben den Kennwortoptionen auch die Kennwortverwaltung konfigurieren. Mit den Kennwortoptionen haben Sie die Möglichkeit, die Länge des Kennworts, seine Zusammensetzung und Eindeutigkeit zu kontrollieren. Bei Bedarf können Sie Benutzern das Ändern ihres Kennworts ermöglichen, und sie zwingen, Kennwörter nach einer bestimmten Anzahl von Tagen zu ändern. Sie können die Benutzer auch einige Tage vor dem Ablaufdatum des Kennworts auffordern, das Kennwort zu ändern. So definieren Sie eine lokale Authentifizierungsserverinstanz: 1. Wählen Sie in der Administratorkonsole Authentication > Auth. Servers. 2. Führen Sie einen der folgenden Vorgänge aus: Um eine neue Serverinstanz auf dem IVE zu erstellen, wählen Sie in der Liste New den Eintrag Local Authentication aus, und klicken Sie anschließend auf New Server. Klicken Sie zum Aktualisieren einer vorhandenen Serverinstanz auf den entsprechenden Link in der Liste Authentication/Authorization Servers. 3. Geben Sie zur Bezeichnung der neuen Serverinstanz einen Namen ein, oder ändern Sie den aktuellen Namen eines vorhandenen Servers. 4. Kennwortoptionen angeben: a. Legen Sie unter Password options die Mindestzeichenzahl für Kennwörter fest. b. Legen Sie die maximale Zeichenzahl für Kennwörter fest (optional). Die maximale Zeichenzahl kann nicht kleiner als die Mindestlänge sein. Für die maximale Zeichenzahl gibt es keine Obergrenze. HINWEIS: Wenn die auf dem Authentifizierungsserver eingestellte Zeichenzahl kürzer als die auf dem IVE angegebene maximale Zeichenzahl ist, erhalten Sie möglicherweise eine Fehlermeldung, wenn Sie ein längeres Kennwort eingeben, als auf dem Authentifizierungsserver festgelegt wurde. Die Administratorkonsole ermöglicht die Eingabe von Kennwörtern beliebiger Länge, allerdings bestimmt das Maximum für den Authentifizierungsserver die Gültigkeit der Kennwortlänge. Wenn Sie möchten, dass alle Kennwörter dieselbe Länge haben, legen Sie für die Mindestlänge und für die maximale Länge denselben Wert fest. c. 122 Aktivieren Sie das Kontrollkästchen Password must have at least_digits, und geben Sie die erforderliche Ziffernzahl für Kennwörter an (optional). Die erforderliche Ziffernzahl darf den Wert der Option Maximum length nicht überschreiten. Konfigurieren einer lokalen Authentifizierungsserverinstanz Kapitel 7: Authentifizierungs- und Verzeichnisserver d. Aktivieren Sie das Kontrollkästchen Password must have at least_letters, und geben Sie die erforderliche Buchstabenzahl für Kennwörter an (optional). Die erforderliche Anzahl von Buchstaben darf den Wert der Option Maximum length nicht überschreiten. Wenn Sie die vorhergehende Option aktiviert haben, darf die Summe der beiden Optionen den in der Option Maximum length angegebenen Wert nicht überschreiten. e. Aktivieren Sie das Kontrollkästchen Password must have mix of UPPERCASE and lowercase letters, wenn alle Kennwörter eine Mischung aus Groß- und Kleinbuchstaben beinhalten sollen (optional). HINWEIS: Wenn Sie sowohl Groß- als auch Kleinbuchstaben verlangen, muss die geforderte Buchstabenzahl für Kennwörter mindestens zwei betragen. f. Aktivieren Sie das Kontrollkästchen Password must be different from username, wenn sich das Kennwort vom Benutzernamen unterscheiden soll (optional). g. Aktivieren Sie das Kontrollkästchen New passwords must be different from previous password, wenn sich das neue Kennwort vom vorangegangenen Kennwort unterscheiden soll (optional). 5. Optionen für die Kennwortverwaltung angeben: a. Aktivieren Sie unter Password management das Kontrollkästchen Allow users to change their passwords, wenn Sie Benutzern das Ändern ihrer Kennwörter ermöglichen möchten (optional). b. Aktivieren Sie das Kontrollkästchen Force password change after _ days, und geben Sie die Anzahl von Tagen an, nach denen ein Kennwort abläuft (optional). HINWEIS: Die Standardeinstellung ist 64 Tage, kann aber beliebig geändert werden. c. Aktivieren Sie das Kontrollkästchen Prompt users to change their password _ days before current password expires, und geben Sie die Anzahl der Tage an, an denen der Benutzer darüber informiert wird, wann das Kennwort abläuft (optional). HINWEIS: Die Standardeingabe ist 14 Tage, aber Sie können den Wert ändern und jede Zahl kleiner als die in der vorhergehenden Option angegebene Zahl eintragen. Konfigurieren einer lokalen Authentifizierungsserverinstanz 123 Juniper Networks Secure Access – Administratorhandbuch 6. Klicken Sie auf Save Changes. Wenn Sie zum ersten Mal eine Serverinstanz erstellen, werden die Registerkarten Users und Admin Users angezeigt. HINWEIS: Nachdem Sie Kennwortoptionen und Optionen zur Kennwortverwaltung festgelegt haben, müssen Sie angeben, welche Bereiche vom Server für die Authentifizierung und Autorisierung von Administratoren und Benutzern verwendet werden sollen. Legen Sie mithilfe der Optionen auf der Seite Enable Password Management option on the Administrators|Users > Admin Realms|User Realms > Bereich > Authentication Policy > Password fest, ob der Bereich die Kennwortverwaltungseinstellungen von der lokalen Authentifizierungsserverinstanz übernimmt. Informationen über das Aktivieren der Kennwortverwaltung finden Sie unter „Angeben von Kennwortzugriffseinschränkungen“ auf Seite 51. Erstellen von Benutzerkonten auf einem lokalen Authentifizierungsserver Wenn Sie eine lokale Authentifizierungsserverinstanz erstellen, müssen Sie für diese Datenbank Datensätze für lokale Benutzer definieren. Lokale Benutzerdatensätze bestehen aus einem Benutzernamen, dem vollständigen Namen und dem Kennwort des Benutzers. Sie können lokale Benutzerdatensätze für Benutzer erstellen, die normalerweise von einem externen Authentifizierungsserver überprüft werden, den Sie deaktivieren möchten. Dies bietet sich auch an, wenn Sie schnell eine Gruppe von temporären Benutzern erstellen möchten. So erstellen Sie lokale Benutzerdatensätze für einen lokalen Authentifizierungsserver: 1. Wählen Sie in der Administratorkonsole Authentication > Auth. Servers. 2. Klicken Sie auf die IVE-Datenbank, der Sie ein Benutzerkonto hinzufügen möchten. 3. Wählen Sie die Registerkarte Users aus, und klicken Sie auf New. 4. Geben Sie einen Benutzernamen und den vollständigen Namen des Benutzers ein. Hinweis: In Benutzernamen darf die Zeichenkombination „~~“ nicht enthalten sein. Wenn Sie den Benutzernamen eines Benutzers nach dem Erstellen seines Kontos ändern möchten, müssen Sie ein neues Konto erstellen. 5. Geben Sie das Kennwort ein, und bestätigen Sie es. Das Kennwort muss den für die zugehörige lokale Authentifizierungsserverinstanz definierten Kennwortoptionen entsprechen. 6. Wählen Sie One-time use (disable account after the next successful sign-in) aus, um einem Benutzer nur eine Anmeldung zu ermöglichen. Nach einer erfolgreichen Anmeldung wird der Anmeldestatus des Benutzers Disabled gesetzt, und dem Benutzer wird bei nachfolgenden Anmeldeversuchen eine Fehlermeldung angezeigt. Sie können diese Option jedoch in der Administratorkonsole manuell zurücksetzen, um demselben Benutzer eine erneute Anmeldung zu gestatten. Wenn diese Option deaktiviert bleibt, heißt das, dass Sie einen permanenten Benutzer erstellen. 124 Konfigurieren einer lokalen Authentifizierungsserverinstanz Kapitel 7: Authentifizierungs- und Verzeichnisserver 7. Wählen Sie Enabled aus, falls noch nicht geschehen. Diese Option wird vom Administrator verwendet, um selektiv einen Benutzer zu aktivieren bzw. zu deaktivieren (einmalig oder permanent). In der Standardeinstellung ist die Option aktiviert. Falls die Option One-time use aktiviert ist, ändert sie sich nach der erfolgreichen Anmeldung des Benutzers in Disabled. Wenn ein permanenter oder einmaliger Benutzer angemeldet ist und Sie diese Option deaktivieren, wird der Benutzer sofort abgemeldet, und ihm wird eine Fehlermeldung angezeigt. 8. Wählen Sie die Option Require user to change password at next sign in aus, um den Benutzer bei der nächsten Anmeldung zur Änderung seines Kennworts zu zwingen. HINWEIS: Wird der Benutzer zur Änderung des Kennworts aufgefordert, muss auch die Option Allow users to change their passwords ausgewählt werden. Legen Sie mit den Optionen auf der Seite Administrators|Users > Admin Realms|User Realms > [Bereich] > Authentication Policy > Password fest, für welche Bereiche die Kennwortverwaltungsfunktionen des Servers übernommen werden soll. 9. Klicken Sie auf Save Changes. Der Benutzerdatensatz wird der IVE-Datenbank hinzugefügt. HINWEIS: In der Administratorkonsole wird die aktuelle Zugriffsstatistik für jedes Benutzerkonto auf verschiedenen Users-Registerkarten der Konsole unter mehreren Spalten mit der Bezeichnung Last Sign-in Statistic angezeigt. Die Statistik enthält unter anderem Datum und Zeit der letzten erfolgreichen Anmeldung für jeden Benutzer, die IP-Adresse des Benutzers sowie Typ und Version des Agenten bzw. Browsers. Verwalten von Benutzerkonten So verwalten Sie ein lokales Benutzerkonto: 1. Wählen Sie in der Administratorkonsole Authentication > Auth. Servers. 2. Klicken Sie in der Liste Authentication/Authorization Servers auf die geeignete Serververbindung. 3. Wählen Sie die Registerkarte Users. 4. Führen Sie eine der folgenden Aufgaben durch: Geben Sie im Feld Show users named einen Benutzernamen ein, und klicken Sie auf Update, um nach einem bestimmten Benutzer zu suchen. Konfigurieren einer lokalen Authentifizierungsserverinstanz 125 Juniper Networks Secure Access – Administratorhandbuch Sie können auch ein Sternchen (*) als Platzhalter verwenden, das für eine beliebige Anzahl von Zeichen steht (null, eins oder mehrere). Wenn Sie z.B. nach allen Benutzernamen suchen möchten, die die Buchstaben jo enthalten, geben Sie im Feld Show users named field die Zeichenfolge *jo* ein. Bei der Suche wird die Groß- und Kleinschreibung berücksichtigt. Wenn Sie wieder die gesamte Liste der Gruppenkonten anzeigen möchten, geben Sie * ein, oder löschen Sie den Feldinhalt, und klicken Sie dann auf Update. Geben Sie im Feld Show N users eine Zahl ein, und klicken Sie auf Update, um die Anzahl von Benutzern anzugeben, die auf der Seite angezeigt werden. Aktivieren Sie das Kontrollkästchen neben den jeweiligen Benutzern, und klicken Sie anschließend auf Delete, um deren IVE-Sitzungen zu beenden. Delegieren von Benutzerverwaltungsrechten an Endbenutzer Benutzeradministratoren können lokale Authentifizierungsserver verwalten. Benutzeradministratoren können keine Bereiche oder Rollenzuordnungen verwalten. Daher wird die Aktivierung der Funktion „User Admin“ nur empfohlen, wenn die Rollenzuordnungsregeln des Authentifizierungsbereichs es nicht zugeordneten Benutzern (*) erlauben, sich am IVE anzumelden, sodass der Benutzeradministrator neue Benutzer ohne Eingreifen des Administrators hinzufügen kann. (Wenn die Rollenzuordnungen automatisch erfolgen, können Benutzeradministratoren die neuen Benutzer ohne Hilfe des Administrators manuell einer Rolle zuordnen.) So delegieren Sie Benutzerverwaltungsrechte an einen Endbenutzer: 1. Wählen Sie in der Administratorkonsole Authentication > Auth. Servers. 2. Wählen Sie die lokale Authentifizierungsserverinstanz aus, die vom Benutzeradministrator verwaltet werden soll, und klicken Sie anschließend auf die Registerkarte Admin Users. HINWEIS: Benutzeradministratoren können nur lokale Authentifizierungsserver verwalten. 3. Geben Sie den Username des Benutzers ein, der Konten für den ausgewählten Authentifizierungsserver verwalten soll. Dieser Benutzer muss auf dem Server, den er verwaltet, nicht als lokaler Benutzer hinzugefügt werden. HINWEIS: Achten Sie bei der Eingabe des Benutzernamens des Benutzeradministrators auf die exakte Zeichenfolge. Diese muss genau übereinstimmen. 4. Wählen Sie den Authentication Realm aus, dem der Benutzeradministrator zugeordnet wird, wenn er sich am IVE anmeldet. 5. Klicken Sie auf Add. Das IVE fügt den neuen Benutzeradministrator der Liste User Admins im folgenden Format hinzu: Benutzername@Servername. 126 Konfigurieren einer lokalen Authentifizierungsserverinstanz Kapitel 7: Authentifizierungs- und Verzeichnisserver 6. Wenn der angegebene Benutzeradministrator mehreren Bereichen zugeordnet ist, wiederholen Sie ggf. die Schritte 3 bis 5, sodass der Benutzer den Server unabhängig von dem Konto verwalten kann, über das er sich am IVE anmeldet. 7. Um dem Benutzer die Verwaltungsrechte wieder zu entziehen, wählen Sie in der Liste User Admins den entsprechenden Namen aus, und klicken Sie auf Remove. HINWEIS: Informationen zum Verwalten von Benutzern über die Startseite des sicheren Gateways finden Sie in der Hilfe für den Endbenutzer im Thema „Hinzufügen und Ändern von Benutzern“. Die Hilfe steht dem Endbenutzer nach der Anmeldung am IVE zur Verfügung. Konfigurieren einer NIS-Serverinstanz Beim Authentifizieren von Benutzern mit einem UNIX/NIS-Server überprüft das IVE, ob der auf der Anmeldeseite eingegebene Benutzername und das Kennwort einem gültigen Paar aus Benutzer-ID und Kennwort auf dem NIS-Server entsprechen. Beachten Sie, dass der an das IVE gesendete Benutzername keine zwei aufeinander folgenden Tilden (~~) enthalten darf. HINWEIS: Sie können NIS-Authentifizierung nur mit dem IVE verwenden, wenn die Kennwörter auf dem NIS-Server im Crypt- oder MD5-Format gespeichert sind. Außerdem können Sie dem IVE nur eine NIS-Serverkonfiguration hinzufügen, mit der jedoch eine beliebige Anzahl von Bereichen authentifiziert werden kann. So legen Sie eine NIS-Serverinstanz fest: 1. Wählen Sie in der Administratorkonsole Authentication > Auth. Servers. 2. Führen Sie einen der folgenden Vorgänge aus: Um eine neue Serverinstanz auf dem IVE zu erstellen, wählen Sie in der Liste New den Eintrag NIS Server aus, und klicken Sie anschließend auf New Server. Klicken Sie zum Aktualisieren einer vorhandenen Serverinstanz auf den entsprechenden Link in der Liste Authentication/Authorization Servers. 3. Geben Sie einen Namen ein, um die Serverinstanz zu bezeichnen. 4. Geben Sie den Namen oder die IP-Adresse des NIS-Servers an. 5. Geben Sie den Domänennamen für den NIS-Server an. 6. Klicken Sie auf Save Changes. Wenn Sie zum ersten Mal eine Serverinstanz erstellen, werden die Registerkarten Settings und Users angezeigt. Konfigurieren einer NIS-Serverinstanz 127 Juniper Networks Secure Access – Administratorhandbuch 7. Geben Sie die Bereiche an, die der Server für die Authentifizierung und Autorisierung von Administratoren und Benutzern verwenden soll. Weitere Informationen finden Sie unter „Definieren von Authentifizierungsrichtlinien“ auf Seite 180. HINWEIS: Informationen zum Überwachen und Löschen von Sitzungen von Benutzern, die gegenwärtig über den Server angemeldet sind, finden Sie unter „Überwachen von aktiven Benutzern“ auf Seite 738. Konfigurieren einer RADIUS-Serverinstanz Ein RADIUS-Server (Remote Authentication Dial-In User Service) ermöglicht Ihnen, die Authentifizierung und Kontoverwaltung für Remotebenutzer zu zentralisieren. Beim Authentifizieren von IVE-Benutzern mit einem RADIUS-Server müssen Sie den Server so konfigurieren, dass das IVE als Client erkannt wird. Außerdem müssen Sie für den RADIUS-Server einen gemeinsamen geheimen Schlüssel zur Verwendung bei der Authentifizierung der Clientanforderung angeben. Das IVE unterstützt die RADIUS-Standardauthentifizierungsschemas. Zu diesen gehören folgende: Access-Request Access-Accept Access-Reject Access-Challenge Das IVE unterstützt auch RSA ACE/Server unter Verwendung des RADIUS-Protokolls und eines SecurID-Tokens (erhältlich von Security Dynamics). Wenn Sie für die Authentifizierung von Benutzern SecurID verwenden, müssen die Benutzer ihre Benutzer-ID und die Kombination aus PIN und dem Tokenwert angeben. Beim Festlegen eines RADIUS-Servers gibt das IVE Administratoren die Möglichkeit, entweder hartcodierte Anfrageausdrücke (Standard) zu verwenden, die Defender 4.0 und einige RADIUS-Server-Implementierungen unterstützen (wie SteelbeltedRADIUS und RSA RADIUS), oder benutzerdefinierte Anfrageausdrücke einzugeben, die dem ermöglichen, mit vielen verschiedenen RADIUS-Implementierungen und neuen Versionen vom RADIUS-Server wie Defender 5.0 zu arbeiten. Das IVE sucht die Antwort im Access-Challenge-Paket vom Server und gibt eine Anfrage nach dem nächsten Token, einer neuen PIN oder einem generischen Kenncode an den Benutzer aus. Dieser Abschnitt enthält die folgenden Informationen über RADIUS-Server: 128 „Optionen für RADIUS-Benutzer“ auf Seite 129 „Konfigurieren des IVE für die Zusammenarbeit mit einem RADIUS-Server“ auf Seite 130 „Aktivieren der RADIUS-Kontoverwaltung“ auf Seite 132 Konfigurieren einer RADIUS-Serverinstanz Kapitel 7: Authentifizierungs- und Verzeichnisserver Optionen für RADIUS-Benutzer Für den Benutzer unterscheidet sich das Authentifizierungsverhalten abhängig davon, ob Sie einen PassGo Defender RADIUS-Server oder die CASQUEAuthentifizierung verwenden. Verwenden eines PassGo Defender RADIUS-Servers Wenn Sie einen PassGo Defender-RADIUS-Server verwenden, erfolgt die Benutzeranmeldung folgendermaßen: 1. Der Benutzer meldet sich am IVE mit einem Benutzernamen und einem Kennwort an. Das IVE leitet diese Anmeldedaten an Defender weiter. 2. Defender sendet eine eindeutige Anfragezeichenfolge an das IVE, und im IVE wird diese Anfragezeichenfolge dem Benutzer angezeigt. 3. Der Benutzer gibt die Anfragezeichenfolge in einem Defender-Token ein, und das Token erzeugt eine Antwortzeichenfolge. 4. Der Benutzer gibt die Antwortzeichenfolge im IVE ein und klickt auf Sign In. Verwenden der CASQUE-Authentifizierung Die CASQUE-Authentifizierung verwendet einen tokenbasierten Anfrage/AntwortAuthentifizierungsmechanismus, bei dem ein auf dem Clientsystem installierter CASQUE-Player zur Anwendung kommt. Nachdem der RADIUS-Server mit der CASQUE-Authentifizierung konfiguriert wurde, gibt er eine Anfrage mit einer auf den benutzerdefinierten Anfrageausdruck passenden Antwort aus (:([0-9a-zAZ/+=]+):). Das IVE erstellt dann eine zwischengeschaltete Seite, die den auf dem System des Benutzers installierten CASQUE-Player automatisch startet. HINWEIS: Sollte der CASQUE-Player nicht automatisch gestartet werden, klicken Sie auf den Link Launch CASQUE Player. Die Benutzer müssen dann ihre CASQUE Optical Responder-Tokens zur Erstellung des entsprechenden Kenncodes verwenden, den Kenncode im Feld Response eingeben und auf Sign In klicken. Abbildung 23: Anfrage/Antwort-Seite für CASQUE-Authentifizierung mit CASQUE-Player Konfigurieren einer RADIUS-Serverinstanz 129 Juniper Networks Secure Access – Administratorhandbuch Konfigurieren des IVE für die Zusammenarbeit mit einem RADIUS-Server Dieser Abschnitt enthält die folgenden Anweisungen zur Konfiguration des IVE und des RADIUS-Servers für die Zusammenarbeit: „Festlegen einer IVE-RADIUS-Serverinstanz“ auf Seite 130 „Konfigurieren des RADIUS-Servers für die Erkennung des IVEs“ auf Seite 132 Festlegen einer IVE-RADIUS-Serverinstanz So konfigurieren Sie eine Verbindung zum RADIUS-Server auf dem IVE: 1. Wählen Sie in der Administratorkonsole Authentication > Auth. Servers. 2. Führen Sie einen der folgenden Vorgänge aus: Um eine neue Serverinstanz auf dem IVE zu erstellen, wählen Sie in der Liste New den Eintrag Radius Server aus, und klicken Sie anschließend auf New Server. Klicken Sie zum Aktualisieren einer vorhandenen Serverinstanz auf den entsprechenden Link in der Liste Authentication/Authorization Servers. 3. Geben Sie oben auf der Seite Radius Server zum Identifizieren der Serverinstanz einen Namen an. 4. Geben Sie den Namen oder die IP-Adresse des RADIUS-Servers an. 5. Geben Sie den Wert für den Authentifizierungsport für den RADIUS-Server ein. Normalerweise ist dies Port 1812, einige Legacyserver könnten jedoch auch Port 1645 verwenden. 6. Geben Sie eine Zeichenfolge für den gemeinsamen geheimen Schlüssel ein. Sie müssen diese Zeichenfolge auch eingeben, wenn Sie den RADIUS-Server für die Erkennung des IVE-Geräts als Client konfigurieren. 7. Geben Sie den Wert für den Kontoführungsport für den RADIUS-Server ein. Normalerweise ist dies Port 1813, einige Legacyserver könnten jedoch auch Port 1646 verwenden. 8. Geben Sie die NAS-IP-Adresse ein. Damit können Sie den an RADIUS-Anforderungen übermittelten NAS-IP-Adressenwert steuern. Wenn Sie dieses Feld nicht ausfüllen, wird die interne IP-Adresse des IVE an RADIUS-Anforderungen übermittelt. Wenn Sie die NAS-IP-Adresse konfigurieren, wird dieser Wert unabhängig davon übermittelt, welcher Clusterknoten die Anforderung sendet. 9. Geben Sie die Zeitspanne ein, für die das IVE auf eine Antwort vom RADIUSServer bis zur Zeitüberschreitung für die Verbindung warten soll. 10. Geben Sie die Anzahl der weiteren Verbindungsversuche ein, die das IVE nach dem ersten fehlgeschlagenen Versuch ausführen soll. 130 Konfigurieren einer RADIUS-Serverinstanz Kapitel 7: Authentifizierungs- und Verzeichnisserver 11. Aktivieren Sie das Kontrollkästchen Users authenticate using tokens or onetime passwords, wenn das vom Benutzer eingegebene Kennwort nicht an andere SSO-kompatible Anwendungen gesendet werden soll. In der Regel sollten Sie diese Option auswählen, wenn Benutzer Einmal-Kennwörter im IVE eingeben. Weitere Informationen finden Sie unter „Anmeldedaten für mehrfaches Anmelden – Übersicht“ auf Seite 205. 12. Geben Sie im Abschnitt Backup Server einen sekundären RADIUS-Server an, der vom IVE verwendet werden soll, wenn der in dieser Instanz definierte primäre Server nicht erreichbar ist. Geben Sie für den sekundären Server folgende Angaben ein: a. Name oder IP-Adresse b. Authentifizierungsport c. Gemeinsamer geheimer Schlüssel d. Kontoführungsport 13. Wenn Sie das Benutzeraufkommen für IVE mithilfe dieser Instanz des RADIUSServers ermitteln wollen, geben Sie im Abschnitt Radius Accounting folgende Informationen ein: a. Geben Sie in das Feld NAS-Identifier den Namen des IVE Network Access Server (NAS)-Client ein, der mit dem RADIUS-Server kommuniziert. Wenn Sie dieses Feld leer lassen, verwendet das IVE den Wert, der im Feld Hostname auf der Seite System > Network > Overview in der Administratorkonsole festgelegt wurde. Sollte im Feld Hostname kein Wert festgelegt sein, verwendet das IVE den Wert „Juniper IVE“. b. Geben Sie im Feld User-Name die Benutzerinformationen ein, die vom IVE an den RADIUS-Kontoführungsserver gesendet werden sollen. Geben Sie nach Belieben unter „Systemvariablen und Beispiele“ auf Seite 920 beschriebene, zutreffende Sitzungsvariablen ein. Zu den zutreffenden Variablen zählen die nach der Anmeldung und Rollenzuordnung des Benutzers festgelegten Variablen. Die Standardvariablen für dieses Feld lauten: <username> protokolliert den IVE-Benutzernamen des Benutzers auf dem Kontoführungsserver. <REALM> protokolliert den IVE-Bereich des Benutzers auf dem Kontoführungsserver. <ROLE> protokolliert die IVE-Rolle des Benutzers auf dem Kontoführungsserver. Wird der Benutzer mehreren Rollen zugeordnet, trennt das IVE die Rollen durch Kommas. 14. Fügen Sie eine Interim Update Level hinzu (in Minuten). Mithilfe der Interimaktualisierungsebene können Sie eine genauere Abrechnung bei bewährten Sitzungsclients sowie beim Ausfall des Netzwerks erreichen. Weitere Informationen finden Sie unter „Informationen zur Interimaktualisierungsfunktion“ auf Seite 142. Konfigurieren einer RADIUS-Serverinstanz 131 Juniper Networks Secure Access – Administratorhandbuch 15. Fügen Sie einen benutzerdefinierten Anfrageausdruck hinzu (optional). Es werden grundsätzlich drei Typen von Anfrageausdrücken unterschieden, wobei jeder automatisch auf die voreingestellten Standardeinstellungen gesetzt wird. Mit der benutzerdefinierten Option kann der Administrator das jeweilige Zeichenfolgemuster auf einen der drei Typen abgleichen. Um einen benutzerdefinierten Ausdruck hinzuzufügen, wählen Sie das Optionsfeld Custom unter dem entsprechenden Anfrageausdrucktyp, und fügen Sie im entsprechenden Textfeld einen benutzerdefinierten Ausdruck hinzu. HINWEIS: Geben Sie bei Verwendung der CASQUE-Authentifizierung :([0-9a-zA-Z/+=]+): als benutzerdefinierten Ausdruck für Generic Login Challenge Expression an. 16. Klicken Sie auf Save Changes. Wenn Sie zum ersten Mal eine Serverinstanz erstellen, werden die Registerkarten Settings und Users angezeigt. 17. Geben Sie die Bereiche an, die der Server für die Authentifizierung, Autorisierung oder Kontoführung von Administratoren und Benutzern verwenden soll. Weitere Informationen finden Sie unter „Definieren von Authentifizierungsrichtlinien“ auf Seite 180. HINWEIS: Informationen zum Überwachen und Löschen der Sitzungen von Benutzern, die gegenwärtig über den Server angemeldet sind, finden Sie unter „Überwachen von aktiven Benutzern“ auf Seite 738. Konfigurieren des RADIUS-Servers für die Erkennung des IVEs Sie müssen den RADIUS-Server durch folgende Angaben so konfigurieren, dass er den IVE-Server erkennt: Hostname des IVE. Netzwerk-IP-Adresse des IVE. Clienttyp des IVE (sofern vorhanden). Wenn diese Option verfügbar ist, wählen Sie „Single Transaction Server“ oder die entsprechende Option. Verschlüsselungstyp für die Authentifizierung der Clientkommunikation. Die ausgewählte Option muss mit dem Clienttyp übereinstimmen. Der gemeinsame geheime Schlüssel, der in der Administratorkonsole auf der Seite Authentication > Auth. Servers > Radius Server für den RADIUS-Server eingegeben wurde. Aktivieren der RADIUS-Kontoverwaltung Das IVE kann so konfiguriert werden, dass es Meldungen über den Sitzungsstart und das Sitzungsende an einen RADIUS-Kontoführungsserver sendet. Das IVE erkennt zwei Kategorien von Sitzungen – Benutzersitzungen und Subsitzungen. Eine Benutzersitzung kann mehrere Subsitzungen enthalten. Das IVE erkennt die folgenden Arten von Subsitzungen: 132 JSAM Konfigurieren einer RADIUS-Serverinstanz Kapitel 7: Authentifizierungs- und Verzeichnisserver WSAM Network Connect Das IVE sendet eine Meldung über den Benutzersitzungsstart, nachdem sich der Benutzer erfolgreich angemeldet hat und ihm vom IVE eine Rolle zugeordnet wurde. Das IVE sendet eine Meldung über den Subsitzungsstart, wenn die Subsitzung aktiv wird, z.B. nach dem Start von JSAM. Das IVE sendet eine Meldung über das Subsitzungsende, wenn der Benutzer explizit die Beendigung einer Subsitzung anfordert oder die Benutzersitzung beendet wird. Wenn eine Benutzersitzung beendet wird, sendet das IVE eine Meldung über das Benutzersitzungsende an den Kontoführungsserver. Eine Benutzersitzung wird in den folgenden Fällen beendet: Der Benutzer meldet sich manuell vom IVE ab. Die Verbindung des Benutzers mit dem IVE läuft aufgrund von Inaktivität oder einer Überschreitung der maximalen Sitzungsdauer ab. Dem Benutzer wird der Zugriff aufgrund von Host Checker- oder Cache Cleaner-Einschränkungen auf Rollenebene verweigert. Die Verbindung des Benutzers mit dem IVE wird manuell von einem Administrator oder aufgrund einer dynamischen Richtlinienauswertung getrennt. Das IVE sendet auch Beendigungsmeldungen für alle aktiven Subsitzungen. Die Beendigungsmeldungen für die Subsitzungen werden vor den Beendigungsmeldungen für die Benutzersitzung gesendet. . HINWEIS: Wenn Ihre Benutzer an einem IVE-Cluster angemeldet sind, wird in den Kontoführungsmeldungen von RADIUS u. U. angezeigt, dass sich die Benutzer an einem Knoten anmelden und an einem anderen abmelden. Die folgenden drei Tabellen beschreiben die gemeinsamen Attribute von Start- und Beendigungsmeldungen, die speziellen Attribute von Startmeldungen und die speziellen Attribute von Beendigungsmeldungen. Tabelle 9: Attribute von Start- und Beendigungsmeldungen Attribut Beschreibung User-Name (1) Während der RADIUS-Serverkonfiguration vom IVE-Administrator festgelegte Zeichenfolge NAS-IP-Addresse (4) IP-Adresse des IVE NAS-Port (5) Das IVE setzt dieses Attribut auf 0, wenn sich der Benutzer an einem internen Port angemeldet hat, und im Fall eines externen Ports auf 1. Framed-IP-Address (8) Quell-IP-Adresse des Benutzers NAS-Identifier (32) Konfigurierter Name für den IVE-Client unter der RADIUSServerkonfiguration Konfigurieren einer RADIUS-Serverinstanz 133 Juniper Networks Secure Access – Administratorhandbuch Tabelle 9: Attribute von Start- und Beendigungsmeldungen (Fortsetzung) Attribut Beschreibung Acct-Status-Type (40) Das IVE setzt dieses Attribut für eine Startmeldung in einer Benutzeroder Subsitzung auf 1 und für eine Beendigungsmeldung auf 2. Acct-Session-Id (44) Eindeutige Kontoführungs-ID, die Start- und Beendigungsmeldungen mit einer Benutzer- oder Subsitzung abgleicht Acct-Multi-Session-Id (50) Eindeutige Kontoführungs-ID, mit der mehrere verwandte Sitzungen verknüpft werden können. Jeder verknüpften Sitzung muss eine eindeutige „Acct-Session-Id“ und die gleiche „Acct-MultiSession-Id“ zugewiesen sein. Acct-Link-Count (51) Die Anzahl von Links in einer Sitzung mit mehreren Links zu dem Zeitpunkt, zu dem das IVE den Kontoführungsdatensatz erstellt Tabelle 10: Startattribute Attribut Beschreibung Acct-Authentic (45) Das IVE stellt dieses Attribut wie folgt ein: RADIUS – wenn der Benutzer mit einem RADIUS-Server authentifiziert wird. Local – wenn der Benutzer mit einem lokalen Authentifizierungsserver authentifiziert wird. Remote – für allen anderen Authentifizierungsmethoden. Tabelle 11: Beendigungsattribute Attribut Beschreibung Acct-Session-Time (46) Dauer der Benutzer- oder Subsitzung Acct-Terminate-Cause (49) Das IVE verwendet einen der folgenden Werte, um das Ereignis anzugeben, das zur Beendigung einer Benutzer- oder Subsitzung geführt hat: User Request (1) – Manuelle Abmeldung des Benutzers Idle Timeout (4) – Leerlaufzeitlimit für Benutzer überschritten Session Timeout (5) – Sitzungszeitlimit für Benutzer überschritten Admin Reset (6) – Benutzer zum Beenden der Seite Active Users gezwungen 134 Acct-Input-Octets Oktett-basierter Zähler der JSAM/WSAM/NC-Sitzungsebene, wenn die Sitzung beendet wurde, und der -Benutzersitzungsebene, wenn die Sitzung beendet und die Interimaktualisierungszeit erreicht wurde. Vom IVE zum Client. Acct-Output-Octets Oktett-basierter Zähler der JSAM/WSAM/NC-Sitzungsebene, wenn die Sitzung beendet wurde, und der -Benutzersitzungsebene, wenn die Sitzung beendet und die Interimaktualisierungszeit erreicht wurde. Vom Client zum IVE. Konfigurieren einer RADIUS-Serverinstanz Kapitel 7: Authentifizierungs- und Verzeichnisserver Sie können eine Benutzersitzung und die in ihr enthaltenen Subsitzungen anhand der Attribute „Acct-Session-Id“ und „Acct-Multi-Session-Id“ unterscheiden. In einer Benutzersitzung sind diese beiden Attribute identisch. In einer Subsitzung ist das Attribut „Acct-Multi-Session-Id“ mit dem Attribut für die übergeordnete Benutzersitzung identisch, und das IVE kennzeichnet die Subsitzung durch eines der folgenden Suffixe im Attribut „Acct-Session-Id“: „JSAM“ für JSAM-Sitzungen „WSAM“ für WSAM-Sitzungen „NC“ für Network Connect-Sitzungen Unterstützte RADIUS-Attribute Die folgenden RADIUS-Attribute werden bei der RADIUS-Rollenzuordnung unterstützt. Weitere Informationen finden Sie in den vollständigen Beschreibungen (von denen die vorliegenden Beschreibungen abgeleitet wurden) auf der FreeRADIUS-Website unter http://www.freeradius.org/rfc/attributes.html. Tabelle 12: RADIUS-Rollenzuordnungsattribute Attribut Beschreibung ARAP-Challenge-Response Wird in einem Access-Accept-Paket mit FramedProtocol von ARAP gesendet und enthält die Antwort auf die Anfrage des DFÜ-Clients. ARAP-Features Wird in einem Access-Accept-Paket mit FramedProtocol von ARAP gesendet. Enthält Kennwortinformationen, die der NAS an den Benutzer in einem ARAP-Feature-Flags-Paket senden muss. ARAP-Password Wird in einem Access-Request-Paket mit einem Framed-Protocol von ARAP gesendet. Nur jeweils User-Password, CHAP-Password oder ARAP-Password muss in einer Access-Request- bzw. einer oder mehreren EAP-Meldungen enthalten sein. ARAP-Security Identifiziert das ARAP-Sicherheitsmodul für ein Access-Challenge-Paket. ARAP-Security-Data Enthält eine Sicherheitsmodulanfrage oder -antwort und ist in Access-Challenge- und Access-RequestPaketen enthalten. ARAP-Zone-Access Gibt die Verwendung der ARAP-Zonenliste für den Benutzer an. Access-Accept Stellt spezielle Konfigurationsinformationen bereit, die zum Starten des Dienstes an den Benutzer erforderlich sind. Access-Challenge Zum Senden einer Benutzeranfrage, die eine Antwort erfordert, muss der RADIUS-Server auf Access-Request durch Übertragen eines Pakets mit auf „11“ gesetztem Feld „Code“ antworten (Access-Challenge). Access-Reject Falls ein Wert der empfangenen Attribute nicht akzeptabel ist, muss der RADIUS-Server ein Paket mit auf „3“ gesetztem Feld „Code“ übertragen (Access-Reject). Access-Request Teilt Informationen mit, die den Benutzerzugriff auf einen speziellen NAS sowie für diesen Benutzer angeforderte spezielle Dienste angeben. Konfigurieren einer RADIUS-Serverinstanz 135 Juniper Networks Secure Access – Administratorhandbuch Tabelle 12: RADIUS-Rollenzuordnungsattribute (Fortsetzung) 136 Attribut Beschreibung Accounting-Request Teilt Informationen mit, mit denen die Kontoführung für einen dem Benutzer gelieferten Dienst bereitgestellt wird. Accounting-Response Bestätigt, dass der Accounting-Request erfolgreich empfangen und aufgezeichnet wurde. Acct-Authentic Gibt an, wie der Benutzer authentifiziert wurde, entweder durch RADIUS, den NAS selbst oder ein anderes Remoteauthentifizierungsprotokoll. Acct-Delay-Time Gibt an, wie viele Sekunden lang der Client versucht hat, diesen Datensatz zu senden. Acct-Input-Gigawords Gibt an, wie oft der Acct-Input-Octets-Zähler im Verlauf dieses gelieferten Dienstes um 2^32 umgeschlagen wurde. Acct-Input-Octets Gibt an, wie viele Oktetts während der aktuellen Sitzung vom Port empfangen wurden. Acct-Input-Packets Gibt an, wie viele Pakete vom Port während der Sitzung an einen Framed User empfangen wurden. Acct-Interim-Interval Gibt die Zeit in Sekunden zwischen jeder Interimaktualisierung für diese spezielle Sitzung an. Acct-Link-Count Die Anzahl von Links in einer bestimmten Sitzung mit mehreren Links zu dem Zeitpunkt, zu dem der Kontoführungsdatensatz erstellt wird. Acct-Multi-Session-Id Eine eindeutige Kontoführungs-ID, mit der mehrere verwandte Sitzungen in einer Protokolldatei verknüpft werden können. Acct-Output-Gigawords Gibt an, wie oft der Acct-Output-Octets-Zähler während der aktuellen Sitzung um 2^32 umgeschlagen wurde. Acct-Output-Octets Gibt an, wie viele Oktetts während dieser Sitzung an den Port gesendet wurden. Acct-Output-Packets Gibt an, wie viele Pakete während dieser Sitzung an einen Framed User an den Port gesendet wurden. Acct-Session-Id Eine eindeutige Kontoführungs-ID zum Abgleichen von Start- und Beendigungsdatensätzen in einer Protokolldatei. Acct-Session-Time Zeigt an, wie viele Sekunden der Benutzer den Dienst empfangen hat. Acct-Status-Type Zeigt an, ob dieses Accounting-Request den Start des Benutzerdienstes (Start) oder das Ende (Stop) markiert. Acct-Terminate-Cause Zeigt an, wie die Sitzung beendet wurde. Acct-Tunnel-Connection Zeigt den der Tunnelsitzung zugewiesenen Bezeichner an. Acct-Tunnel-Packets-Lost Zeigt die Anzahl der auf einem bestimmten Link verloren gegangenen Pakete an. CHAP-Challenge Enthält die vom NAS an einen PPP Challenge-Handshake Authentication Protocol (CHAP)-Benutzer gesendete CHAP-Anfrage. Konfigurieren einer RADIUS-Serverinstanz Kapitel 7: Authentifizierungs- und Verzeichnisserver Tabelle 12: RADIUS-Rollenzuordnungsattribute (Fortsetzung) Attribut Beschreibung CHAP-Password Der Antwortwert von einem PPP ChallengeHandshake Authentication Protocol (CHAP)-Benutzer auf die Anfrage. Callback-Id Der Name einer aufzurufenden Position, den der NAS interpretieren muss. Callback-Number Die für den Rückruf zu verwendende Wählzeichenfolge. Called-Station-Id Ermöglicht dem NAS das Senden der vom Benutzer gewählten Telefonnummer mit Dialed Number Identification (DNIS) oder einer ähnlichen Technologie. Calling-Station-Id Ermöglicht dem NAS das Senden der Telefonnummer, von der der Anruf kam, mit Automatic Number Identification (ANI) oder einer ähnlichen Technologie. Class Wird vom Server an den Client in einem Access-Accept gesendet und anschließend vom Client unverändert als Teil des Accounting-Request-Pakets an den Kontoführungsserver sendet, falls die Kontoführung unterstützt wird. Configuration-Token Zur Verwendung in großen verteilten Authentifizierungsnetzwerken, basierend auf Proxy. Connect-Info Wird vom NAS gesendet, um die Art der Benutzerverbindung anzugeben. EAP-Message Kapselt Extended Access Protocol [3]-Pakete, mit deren Hilfe der NAS DFÜ-Benutzer über EAP authentifizieren kann, ohne das EAP-Protokoll zu verstehen. Filter-Id Der Name der Filterliste für diesen Benutzer. Framed-AppleTalk-Link Die für den seriellen Link zum Benutzer verwendete AppleTalk-Netzwerknummer (ein weiterer AppleTalk-Router). Framed-AppleTalk-Network Die AppleTalk-Netzwerknummer, die der NAS zum Zuweisen eines AppleTalk-Knotens für den Benutzer sondieren kann. Framed-AppleTalk-Zone Die für diesen Benutzer zu verwendende AppleTalkStandardzone. Framed-Compression Ein für den Link zu verwendendes Komprimierungsprotokoll. Framed-IP-Address Die für den Benutzer zu konfigurierende Adresse. Framed-IP-Netmask Die für den Benutzer zu konfigurierende IP-Netzmaske, wenn der Benutzer ein Router zu einem Netzwerk ist. Framed-IPv6-Pool Enthält den Namen eines zugewiesenen Pools, mit dem ein IPv6-Präfix für den Benutzer zugewiesen wurde. Framed-IPv6-Route Für den Benutzer auf dem NAS zu konfigurierende Routinginformationen. Framed-IPX-Network Die für den Benutzer zu konfigurierende IPXNetzwerknummer. Framed-MTU Die für den Benutzer zu konfigurierende Maximum Transmission Unit, wenn sie nicht anderweitig (z.B. über PPP) ausgehandelt wird. Konfigurieren einer RADIUS-Serverinstanz 137 Juniper Networks Secure Access – Administratorhandbuch Tabelle 12: RADIUS-Rollenzuordnungsattribute (Fortsetzung) 138 Attribut Beschreibung Framed-Pool Der Name eines zugewiesenen Adresspools, mit dem eine Adresse für den Benutzer zugewiesen wurde. Framed-Protocol Das für Framed-Zugriff zu verwendende Framing. Framed-Route Für den Benutzer auf dem NAS zu konfigurierende Routinginformationen. Framed-Routing Die Routingmethode für den Benutzer, wenn der Benutzer ein Router zu einem Netzwerk ist. Idle-Timeout Legt die maximale Anzahl aufeinander folgender Sekunden von Leerlauf fest, die für den Benutzer vor der Beendigung der Sitzung oder einer Eingabeaufforderung zulässig sind. Keep-Alives Verwendet SNMP statt Keep-Alives. Login-IP-Host Zeigt das System an, mit dem der Benutzer verbunden wird, wenn das Attribut Login-Service enthalten ist. Login-LAT-Group Enthält eine Zeichenfolge zur Bezeichnung der LATGruppencodes, für deren Verwendung dieser Benutzer autorisiert ist. Login-LAT-Node Zeigt den Knoten an, mit dem der Benutzer durch LAT automatisch verbunden werden soll. Login-LAT-Port Zeigt den Port an, mit dem der Benutzer durch LAT verbunden werden soll. Login-LAT-Service Zeigt das System an, mit dem der Benutzer durch LAT verbunden werden soll. Login-Service Zeigt den Dienst an, über den der Benutzer mit dem Anmeldehost verbunden werden soll. Login-TCP-Port Zeigt den TCP-Port an, mit dem der Benutzer verbunden werden soll, wenn das Attribut LoginService ebenfalls vorhanden ist. MS-ARAP-Challenge Nur in einem Access-Request-Paket vorhanden, das ein Framed-Protocol-Attribut mit dem Wert 3 enthält (ARAP). MS-ARAP-Password-Change-Reason Zeigt den Grund für eine vom Server initiierte Kennwortänderung an. MS-Acct-Auth-Type Stellt die Methode zur Authentifizierung des DFÜBenutzers dar. MS-Acct-EAP-Type Stellt den zur Authentifizierung des DFÜ-Benutzers verwendeten Extensible Authentication Protocol (EAP) [15]-Typ dar. MS-BAP-Usage Beschreibt, ob die Verwendung von BAP für Anrufe mit mehreren Links zulässig, nicht zulässig oder erforderlich ist. MS-CHAP-CPW-1 Gestattet dem Benutzer das Ändern eines abgelaufenen Kennworts. MS-CHAP-CPW-2 Gestattet dem Benutzer das Ändern eines abgelaufenen Kennworts. MS-CHAP-Challenge Enthält die von einem NAS an einen Microsoft Challenge-Handshake Authentication Protocol (MSCHAP)-Benutzer gesendete Anfrage. Konfigurieren einer RADIUS-Serverinstanz Kapitel 7: Authentifizierungs- und Verzeichnisserver Tabelle 12: RADIUS-Rollenzuordnungsattribute (Fortsetzung) Attribut Beschreibung MS-CHAP-Domain Zeigt die Windows NT-Domäne an, in der der Benutzer authentifiziert wurde. MS-CHAP-Error Enthält Fehlerdaten zum vorhergehenden MS-CHAPAustausch. MS-CHAP-LM-Enc-PW Enthält das neue, mit dem alten LAN ManagerKennwort-Hash verschlüsselte Windows NT-Kennwort. MS-CHAP-MPPE-Keys Enthält zwei Sitzungsschlüssel für das Microsoft Pointto-Point Encryption Protocol (MPPE). MS-CHAP-NT-Enc-PW Enthält das neue, mit dem alten Windows NTKennwort-Hash verschlüsselte Windows NT-Kennwort. MS-CHAP-Response Enthält den Antwortwert von einem PPP Microsoft Challenge-Handshake Authentication Protocol (MSCHAP)-Benutzer auf die Anfrage. MS-CHAP2-CPW Gestattet dem Benutzer das Ändern eines abgelaufenen Kennworts. MS-CHAP2-Response Enthält den Antwortwert von einem MS- CHAP-V2Peer auf die Anfrage. MS-CHAP2-Success Enthält eine 42-Oktett-AuthentifiziererAntwortzeichenfolge. MS-Filter Wird zur Übertragung von Datenverkehrfiltern verwendet. MS-Link-Drop-Time-Limit Zeigt die Länge der Zeit (in Sekunden) an, die ein Link nicht ausreichend verwendet werden muss, bis er abgebrochen wird. MS-Link-Utilization-Threshold Stellt den Prozentsatz der verfügbaren Bandbreitenverwendung dar, unter die der Link fallen muss, bis er zur Beendigung berechtigt ist. MS-MPPE-Encryption-Policy Gibt an, ob die Verwendung einer Verschlüsselung zulässig oder erforderlich ist. MS-MPPE-Encryption-Types Gibt die Verschlüsselungstypen an, die für MPPE verfügbar sind. MS-MPPE-Recv-Key Enthält einen Sitzungsschlüssel für das Microsoft Point-to-Point Encryption Protocol (MPPE). MS-MPPE-Send-Key Enthält einen Sitzungsschlüssel für das Microsoft Point-to-Point Encryption Protocol (MPPE). MS-New-ARAP-Password Überträgt das neue ARAP-Kennwort beim Ändern eines ARAP-Kennworts. MS-Old-ARAP-Password Überträgt das alte ARAP-Kennwort beim Ändern eines ARAP-Kennworts. MS-Primary-DNS-Server Zeigt die Adresse des vom PPP-Peer zu verwendenden primären Domain Name Server (DNS) [16, 17]-Servers an. MS-Primary-NBNS-Server Zeigt die Adresse des vom PPP-Peer zu verwendenden primären NetBIOS Name Server (NBNS) [18]-Servers an. MS-RAS-Vendor Zeigt den Hersteller des RADIUS-Clientcomputers an. MS-RAS-Version Zeigt die Version der RADIUS-Clientsoftware an. MS-Secondary-DNS-Server Zeigt die Adresse des vom PPP-Peer zu verwendenden sekundären NBNS-Servers an. Konfigurieren einer RADIUS-Serverinstanz 139 Juniper Networks Secure Access – Administratorhandbuch Tabelle 12: RADIUS-Rollenzuordnungsattribute (Fortsetzung) 140 Attribut Beschreibung MS-Secondary-NBNS-Server Zeigt die Adresse des vom PPP-Peer zu verwendenden sekundären NBNS-Servers an. NAS-IP-Address Zeigt die identifizierende IP-Adresse des NAS an, die die Authentifizierung des Benutzers anfordert, und muss innerhalb des RADIUS-Servers für den NAS eindeutig sein. NAS-Identifier Enthält eine Zeichenfolge zur Bestimmung des NAS, von dem die Access-Request stammt. NAS-Port Zeigt die Nummer des physischen Ports des NAS an, der den Benutzer authentifiziert. NAS-Port-Id Enthält eine Textzeichenfolge, die den Port des NAS identifiziert, der den Benutzer authentifiziert. NAS-Port-Type Zeigt den Typ des physischen Ports des NAS an, der den Benutzer authentifiziert. Password-Retry Zeigt an, wie viele Authentifizierungsversuche für einen Benutzer zulässig sind, bis die Verbindung abgebrochen wird. Port-Limit Legt die maximale Anzahl an Ports fest, die dem Benutzer vom NAS zur Verfügung gestellt werden. Prompt Zeigt dem NAS an, ob er bei der Eingabe ein Echo für die Antwort des Benutzers erstellen soll. Proxy-State Ein Proxyserver kann bei der Weiterleitung eines Access-Request dieses Attribut an einen anderen Server senden. Das Attribut muss unverändert in Access-Accept, Access-Reject oder Access-Challenge zurückgegeben werden. Reply-Message Text, der dem Benutzer angezeigt werden kann. Service-Type Der Typ des Dienstes, den der Benutzer angefordert hat bzw. der bereitgestellt wird. Session-Timeout Legt die maximale Anzahl an Sekunden des Dienstes fest, die dem Benutzer vor der Beendigung der Sitzung oder der Eingabeaufforderung bereitgestellt wird. State Ein Paket darf nur über null oder ein State-Attribut verfügen. Die Verwendung des State-Attributs hängt von der Implementierung ab. Telephone-number Mithilfe der Attribute Calling-Station-Id und CalledStation-Id RADIUS können die Autorisierungs- und folgenden Tunnelattribute auf der Telefonnummer, von der der Anruf kam, oder der angerufenen Telefonnummer basieren. Termination-Action Die Aktion, die der NAS nach Abschluss des angegebenen Dienstes ausführen soll. Tunnel-Assignment-ID Zeigt den Tunnelinitiator des bestimmten Tunnels an, dem eine Sitzung zugewiesen werden soll. Tunnel-Client-Auth-ID Gibt den während der Authentifizierungsphase der Tunneleinrichtung vom Tunnelinitiator verwendeten Namen an. Tunnel-Client-Endpoint Enthält die Adresse des Initiatorendes des Tunnels. Konfigurieren einer RADIUS-Serverinstanz Kapitel 7: Authentifizierungs- und Verzeichnisserver Tabelle 12: RADIUS-Rollenzuordnungsattribute (Fortsetzung) Attribut Beschreibung Tunnel-Link-Reject Markiert die Zurückweisung der Einrichtung eines neuen Links in einem vorhandenen Tunnel. Tunnel-Link-Start Markiert die Erstellung eines Tunnellinks. Tunnel-Link-Stop Markiert die Beendigung eines Tunnellinks. Tunnel-Medium-Type Das Transportmedium beim Erstellen eines Tunnels für Protokolle (wie L2TP), die über mehrere Transporte funktionieren können. Tunnel-Medium-Type Das Transportmedium beim Erstellen eines Tunnels für Protokolle (wie L2TP), die über mehrere Transporte funktionieren können. Tunnel-Password Ein Kennwort zur Authentifizierung eines Remoteservers. Tunnel-Preference Falls der RADIUS-Server mehr als einen Satz Tunnelattribute an den Tunnelinitiator zurückgibt, sollten Sie dieses Attribut in jeden Satz aufnehmen, um die jedem Tunnel zugewiesene relative Priorität anzuzeigen. Tunnel-Private-Group-ID Die Gruppen-ID für eine bestimmte Tunnelsitzung. Tunnel-Reject Markiert die Zurückweisung der Einrichtung eines Tunnels mit einem weiteren Knoten. Tunnel-Server-Auth-ID Gibt den während der Authentifizierungsphase der Tunneleinrichtung vom Tunnelterminator verwendeten Namen an. Tunnel-Server-Endpoint Die Adresse des Serverendes des Tunnels. Tunnel-Start Markiert die Einrichtung eines Tunnels mit einem weiteren Knoten. Tunnel-Stop Markiert die Beendigung eines Tunnels zu oder von einem weiteren Knoten. Tunnel-Type Die zu verwendenden Tunnelprotokolle (für einen Tunnelinitiator) bzw. das verwendete Tunnelprotokoll (für einen Tunnelterminator). User-Name Der Name des zu authentifizierenden Benutzers. User-Password Das Kennwort für den zu authentifizierenden Benutzer bzw. die Eingabe des Benutzers nach einer AccessChallenge. Informationen zu Clusteringproblemen Kontoführungsmeldungen werden dem RADIUS-Server von jedem Clusterknoten ohne Konsolidierung gesendet. Die RADIUS-Kontoführung auf dem IVE folgt den folgenden Annahmen: Falls der Cluster aktiv/passiv ist, werden alle Benutzer gleichzeitig mit einem Knoten verbunden. Falls der Cluster aktiv/aktiv ist und keinen Balancer verwendet, werden Benutzer mit verschiedenen Knoten verbunden, sind jedoch statisch. Falls der Cluster aktiv/aktiv ist und einen Balancer verwendet, erzwingt der Balancer normalerweise ein permanentes Quell-IP. In diesem Fall werden Benutzer immer mit dem gleichen Knoten verbunden. Konfigurieren einer RADIUS-Serverinstanz 141 Juniper Networks Secure Access – Administratorhandbuch Das IVE unterstützt den Lastausgleich für RADIUS nicht. Informationen zur Interimaktualisierungsfunktion Falls ein Server Interimkontoführungsmeldungen empfangen soll, können Sie einen Interimwert auf dem Client statisch konfigurieren. In diesem Fall hat der lokal konfigurierte Wert Vorrang vor jedem in der RADIUS-Access-Accept-Meldung enthaltenen Wert. Die in der Kontoführungsmeldung enthaltene Oktett-Anzahl ist die kumulative Gesamtzahl seit dem Beginn der Benutzersitzung. Der Byte-Zähler der Interimaktualisierung wird nur basierend auf einer Benutzersitzung unterstützt, nicht für SAM- oder NC-Sitzungen. Konfigurieren einer Netegrity SiteMinder-Instanz Wenn Sie das IVE für die Authentifizierung von Benutzern mit einem Netegrity SiteMinder-Richtlinienserver konfigurieren, leitet das IVE die Anmeldedaten des Benutzers während der Authentifizierung an SiteMinder weiter. Nachdem SiteMinder die Anmeldedaten erhalten hat, kann er die Standardauthentifizierung über Benutzername und Kennwort, ACE SecurID-Token oder clientseitige Zertifikate zum Authentifizieren der Anmeldedaten verwenden (wie unter „Authentifizierung mit verschiedenen Authentifizierungsschemas“ auf Seite 145 erläutert). Das IVE leitet während der Authentifizierung auch eine geschützte Ressource an SiteMinder weiter, um zu ermitteln, welcher SiteMinder-Bereich zum Authentifizieren des Benutzers verwendet werden soll. Wenn das IVE die geschützte Ressource weiterleitet, autorisiert SiteMinder die URL des Benutzers mit dem zugeordneten Bereich der Ressource und ermöglicht dem Benutzer den nahtlosen Zugriff auf alle Ressourcen, deren Sicherheitsebenen der vom IVE weitergeleiteten Ressource entsprechen oder eine niedrigere Sicherheitsebene aufweisen (siehe „Konfigurieren des IVE, um Benutzern Zugriff auf verschiedene geschützte Ressourcen zu gewähren“ auf Seite 155). Wenn der Benutzer versucht, auf eine Webressource mit einer höheren Sicherheitsebene zuzugreifen, wird die Anforderung entweder von SiteMinder oder vom IVE verarbeitet (wie unter „Erneute Authentifizierung von Benutzern mit unzureichenden Sicherheitsebenen“ auf Seite 146 erläutert). Dieser Abschnitt enthält die folgenden Informationen über Netegrity SiteMinder-Server: 142 „Netegrity SiteMinder – Übersicht“ auf Seite 143 „Konfigurieren von SiteMinder für die Zusammenarbeit mit dem IVE“ auf Seite 147 „Konfigurieren des IVE für die Zusammenarbeit mit SiteMinder“ auf Seite 153 Konfigurieren einer Netegrity SiteMinder-Instanz Kapitel 7: Authentifizierungs- und Verzeichnisserver Netegrity SiteMinder – Übersicht Das IVE ermöglicht Single Sign-On über das IVE bei geschützten SiteMinderRessourcen mithilfe von SMSESSION-Cookies. Bei einem SMSESSION -Cookie handelt es sich um einen Sicherheitstoken, der SiteMinder-Sitzungsinformationen kapselt. Je nach Konfiguration erstellt entweder der SiteMinder-Web-Agent oder das IVE ein SMSESSION-Cookie und sendet das Cookie an die folgenden Verzeichnisse, damit sich der Benutzer nicht erneut authentifizieren muss, wenn er auf weitere Ressourcen zugreifen möchte: Das IVE: Wenn der Benutzer versucht, innerhalb der IVE-Sitzung (z.B. über die IVE-Dateinavigationsseite) auf eine SiteMinder-Ressource zuzugreifen, leitet das IVE das zwischengespeicherte SMSESSION-Cookie zwecks Authentifizierung an den Web-Agent weiter. Der Webbrowser des Benutzers: Wenn der Benutzer versucht, außerhalb der IVE-Sitzung (z.B. bei Verwendung einer geschützten Ressource auf einem Standardagent) auf eine SiteMinder-Ressource zuzugreifen, verwendet SiteMinder das zwischengespeicherte SMSESSION-Cookie, das im Webbrowser des Benutzers gespeichert ist, um den Benutzer zu authentifizieren bzw. zu autorisieren. Wenn Sie die Option Automatic Sign-In aktivieren (wie unter „Automatic Sign-In“ auf Seite 158 erläutert), kann das IVE auch ein SMSESSION-Cookie verwenden, das von einem anderen Agent erzeugt wurde, um die Einzelanmeldung über eine SiteMinder-Ressource beim IVE zu ermöglichen. Greift ein Benutzer mit einem SMSESSION -Cookie auf die IVE-Anmeldeseite zu, überprüft das IVE das SMSESSION-Cookie. Bei einer erfolgreichen Überprüfung richtet das IVE für den Benutzer eine IVE-Sitzung ein. Bei der automatischen Anmeldung über das IVE können die folgenden Authentifizierungsmechanismen verwendet werden: Benutzerdefinierter Agent: Das IVE authentifiziert den Benutzer mit dem Richtlinienserver und erstellt ein SMSESSION-Cookie. Bei Auswahl dieser Option wird SSO auf anderen SiteMinder-Agenten, die denselben Richtlinienserver verwenden, aktiviert. Aktualisieren Sie zum Aktivieren von SSO jeden Agenten, um Drittanbieter-Cookies zu akzeptieren (wie unter „Authenticate using custom agent“ auf Seite 159 erläutert). Wird diese Option ausgewählt und gibt der Benutzer seine IVE-Sitzung mit einem SMSESSIONCookie ein, versucht das IVE bei Eingabe der IVE-Sitzung durch den Benutzer eine automatische Anmeldung. HTML-Form-POST: Das IVE sendet Anmeldeinformationen an einen StandardWeb-Agent, den Sie bereits konfiguriert haben. Anschließend erstellt der WebAgent SMSESSION-Cookies. Wenn Sie diese Option auswählen, können Sie die SecurID New Pin- und Next Token-Modi bzw. die clientseitige Zertifikatauthentifizierung nicht verwenden (siehe „Authenticate using HTML form post“ auf Seite 160). Wird diese Option ausgewählt und gibt der Benutzer seine IVE-Sitzung mit einem SMSESSION-Cookie ein, versucht das IVE bei Eingabe der IVE-Sitzung durch den Benutzer eine automatische Anmeldung. Konfigurieren einer Netegrity SiteMinder-Instanz 143 Juniper Networks Secure Access – Administratorhandbuch Delegierte Authentifizierung: Das IVE delegiert die Authentifizierung an einen Standardagenten. Bei Auswahl dieser Option versucht das IVE die der geschützten Ressource zugewiesene FCC-URL zu bestimmen. Das IVE leitet den Benutzer anschließend an die FCC-URL um, wobei die IVE-Anmelde-URL als TARGET angegeben wird. Bei erfolgreicher Authentifizierung wird der Benutzer mit einem SMSESSION -Cookie zurück an das IVE geleitet. Das IVE nimmt für den Benutzer eine automatische Anmeldung vor (siehe „Delegate authentication to a standard agent“ auf Seite 161). HINWEIS: 144 Zur Zeit der Drucklegung dieses Dokuments bietet Juniper Networks Unterstützung für Netegrity SiteMinder-Server, Version 6.0 und Version 5.5 mit den standardmäßigen Agentversionen 6 und 5QMR5. Wenn Sie ältere Agenten als die unterstützten ausführen, können Probleme bei der Cookie-Validerung auftreten, darunter gekreuzte Protokolleinträge und teilweise Benutzerzeitlimits. Sie können beim Erstellen einer Serverinstanz die Netegrity SiteMinderServerversion auswählen, die Sie unterstützen möchten. Wählen Sie Version 5.5, die sowohl Version 5.5 als auch 6.0 unterstützt, oder wählen Sie Version 6.0, die nur Version 6.0 unterstützt. SiteMinder speichert die IP-Adresse nicht im SMSESSION-Cookie und kann sie daher nicht an die IVE-Appliance weiterleiten. SiteMinder sendet das SMSESSION-Cookie als dauerhaftes Cookie an das IVE. Um ein Höchstmaß an Sicherheit zu gewährleisten, setzt das IVE das dauerhafte Cookie nach Abschluss der Authentifizierung zu einem Sitzungscookie zurück. Wenn Sie zur Authentifizierung SiteMinder verwenden, ignoriert das IVE sämtliche IVE-Sitzungs- und Leerlaufzeitüberschreitungen und verwendet stattdessen die über den SiteMinder-Bereich festgelegten Sitzungs- und Leerlaufzeitüberschreitungen. Das IVE protokolliert SiteMinder-Fehlercodes auf der Seite System > Log/Monitoring > User Access. Informationen zu den SiteMinderFehlercodes finden Sie in der SiteMinder-Dokumentation. Konfigurieren einer Netegrity SiteMinder-Instanz Kapitel 7: Authentifizierungs- und Verzeichnisserver Authentifizierung mit verschiedenen Authentifizierungsschemas Ein Authentifizierungsschema bietet in SiteMinder eine Möglichkeit, Anmeldinformationen zu sammeln und die Identität eines Benutzers zu ermitteln. Sie können verschiedene Authentifizierungsschemas erstellen und ihnen jeweils verschiedene Sicherheitsebenen zuordnen. Sie können z.B. zwei Schemas erstellen: eins, das Benutzer nur auf Grundlage ihrer clientseitigen Zertifikate authentifiziert und sie mit einer niedrigen Sicherheitsebene versieht, und ein zweites, das ACE SecurIDTokenauthentifizierung verwendet und eine höhere Sicherheitsebene bereitstellt. Das IVE funktioniert mit folgenden Arten von SiteMinder-Authentifizierungsschemas: Basic username and password authentication – Benutzername und Kennwort werden an den SiteMinder-Richtlinienserver weitergeleitet. Der Richtlinienserver kann diese dann selbst authentifizieren oder zur Authentifizierung an einen anderen Server weiterleiten. ACE SecurID token authentication – Der SiteMinder-Richtlinienserver authentifiziert Benutzer auf Grundlage von Benutzername und Kennwort, die von einem ACE SecurID-Token generiert werden. Client-side certificate authentication – Der SiteMinder-Richtlinienserver authentifiziert Benutzer auf Grundlage ihrer Anmeldeinformationen des clientseitigen Zertifikats. Wenn Sie diese Authentifizierungsmethode auswählen, zeigt der Webbrowser eine Liste von Clientzertifikaten an, in der Benutzer eine Auswahl treffen können. HINWEIS: Wenn Benutzer anhand dieser Methode authentifiziert werden sollen, müssen Sie das Clientzertifikat über die Registerkarte System > Certificates > Trusted Client CAs in das IVE importieren. Weitere Informationen finden Sie unter „Verwenden von vertrauten Clientzertifizierungsstellen“ auf Seite 654. Wenn für Benutzer nicht die IVE-Standardanmeldeseite angezeigt werden soll, können Sie dies mithilfe der Funktion für benutzerdefinierbare Anmeldeseiten ändern. Weitere Informationen finden Sie im Custom Sign-In Pages Solution Guide. Die SiteMinder-Authentifizierung über clientseitige Zertifikate läuft getrennt von der IVE-Authentifizierung über clientseitige Zertifikate. Wenn Sie beide Optionen auswählen, nimmt zuerst das IVE die Authentifizierung mithilfe der IVEKonfigurationsparameter vor. Bei erfolgreichem Verlauf leitet es anschließend die Zertifikatwerte zwecks Authentifizierung an SiteMinder weiter. Konfigurationsinformationen finden Sie unter: „Erstellen eines SiteMinder-Authentifizierungsschemas für das IVE“ auf Seite 148 „Konfigurieren des IVE für die Verwendung mehrerer Authentifizierungsschemas“ auf Seite 154 Konfigurieren einer Netegrity SiteMinder-Instanz 145 Juniper Networks Secure Access – Administratorhandbuch Erneute Authentifizierung von Benutzern mit unzureichenden Sicherheitsebenen Während der Konfiguration des IVE müssen Sie eine geschützte Ressource angeben, um die für die SiteMinder-Sitzung des Benutzers zulässige Sicherheitsebene zu steuern (wie unter „Netegrity SiteMinder – Übersicht“ auf Seite 143 erläutert). Wenn ein Benutzer versucht, auf eine Webressource zuzugreifen, die eine höhere Sicherheitsebene erfordert als seine Zugriffsrechte erlauben, kann die erneute Authentifizierung auch über das IVE erfolgen, indem dieses ihn zu einer zwischengeschalteten Seite weiterleitet. Dies setzt jedoch voraus, dass Sie bei der Konfiguration des IVE die Option Resource for insufficient protection level aktiviert haben. Weitere Informationen finden Sie unter „Resource for insufficient protection level“ auf Seite 163. Die zwischengeschaltete IVE-Seite enthält zwei Optionen: Continue – Wenn ein Benutzer diese Option auswählt, meldet das IVE ihn von der aktuellen Sitzung ab, und er wird zur Eingabe der für die Ressource mit höherer Sicherheitsebene erforderlichen Anmeldedaten aufgefordert. Wenn die Anmeldedaten authentifiziert werden können, wird der Benutzer zu der Seite weitergeleitet, auf die er ursprünglich zugreifen wollte. (Wenn der Benutzer Host Checker oder Cache Cleaner ausführt und die Anmeldedaten nicht eingibt, wenn das IVE ihn zur erneuten Authentifizierung auffordert, wird Host Checker bzw. Cache Cleaner auf dem System des Benutzers ausgeführt, bis die IVESitzung des Benutzers abläuft.) Cancel – Wenn der Benutzer diese Option auswählt, wird er zur vorherigen Seite umgeleitet. Wenn Sie sich hingegen festlegen, dass keine erneute Authentifizierung über das IVE erfolgen soll, hängt der erneute Authentifizierungsprozess davon ab, ob der Richtlinienserver eine Authentifizierungsschema-URL an den Benutzer zurückgibt. Wenn auf dem Richtlinienserver Folgendes vorgeht: Keine Rückgabe einer Authentifizierungsschema-URL – Das IVE sendet eine Meldung über die fehlgeschlagene Validierung an den Benutzer zurück und führt die erneute Authentifizierung über die IVE-Standardanmeldeseite durch. Der Benutzer wird aufgefordert, sich erneut anzumelden, wobei ihm allerdings die ursprüngliche Sicherheitsebene zugeordnet wird und er möglicherweise immer noch keinen Zugriff auf die gewünschte Seite hat. Rückgabe einer Authentifizierungsschema-URLs – Das IVE leitet den Benutzer zu einem Standard-Web-Agent um, den Sie im IVE zur Verarbeitung der erneuten Authentifizierung angeben. Informationen zum Konfigurieren des IVE für die erneute Authentifizierung finden Sie unter „Erstellen eines SiteMinder-Authentifizierungsschemas für das IVE“ auf Seite 148. Ermitteln des Benutzernamens des jeweiligen Benutzers Wenn verschiedene Authentifizierungsschemas und Anmeldepunkte verfügbar sind, kann das IVE einen Benutzernamen von unterschiedlichen Quellen abrufen, z.B. von einem Richtlinienserverheader, einem Zertifikatattribut oder von der IVEAnmeldeseite. Im Folgenden werden die verschiedenen Methoden aufgelistet, die ein Benutzer zum Zugreifen auf das IVE anwenden kann, und es wird erläutert, wie dabei das IVE jeweils den entsprechenden Benutzernamen ermittelt. Wenn ein Benutzer Folgendes vornimmt: 146 Konfigurieren einer Netegrity SiteMinder-Instanz Kapitel 7: Authentifizierungs- und Verzeichnisserver Er meldet sich über die IVE-Standardanmeldeseite an – Das IVE überprüft zunächst den vom Richtlinienserver im OnAuthAccept-Antwortheader zurückgegebenen Benutzernamen. Wenn SiteMinder keinen Benutzernamen definiert, verwendet das IVE den vom Benutzer bei der Anmeldung eingegebenen Benutzernamen. Wenn jedoch weder von SiteMinder noch vom Benutzer ein Benutzername bereitgestellt wird, weil sich der Benutzer mit einem Clientzertifikat authentifiziert, verwendet das IVE den vom Richtlinienserver festgelegten Wert UserDN. Er meldet sich automatisch mit SiteMinder-Anmeldedaten am IVE an – Das IVE überprüft zunächst den vom Richtlinienserver im OnAuthAcceptAntwortheader zurückgegebenen Benutzernamen. Wenn SiteMinder keinen Benutzernamen definiert, überprüft das IVE das SMSESSION-Cookie. Wenn SiteMinder den Antwortheader oder das SMSESSION-Cookie jedoch nicht mit einem Benutzernamen auffüllt, überprüft das IVE den Wert UserDN im SMSESSION-Cookie. Nachdem das IVE den zu verwendenden Benutzernamen ermittelt hat, speichert es diesen Benutzernamen im zugehörigen Sitzungscache und verweist darauf, wenn ein Benutzer auf weitere Ressourcen zugreifen möchte (wie unter „Netegrity SiteMinder – Übersicht“ auf Seite 143 erläutert). Damit stets der richtige Benutzername an das IVE zurückgegeben wird, sollten Sie die Antwort OnAuthAccept auf dem SiteMinder-Richtlinienserver entsprechend konfigurieren (wie unter „Erstellen eines Regel-/Antwortpaares zur Weiterleitung von Benutzernamen an das IVE“ auf Seite 151 erläutert). Konfigurieren von SiteMinder für die Zusammenarbeit mit dem IVE Im Folgenden wird erläutert, wie Sie einen SiteMinder-Richtlinienserver für die Zusammenarbeit mit dem IVE konfigurieren. Es handelt sich hierbei jedoch nicht um vollständige Konfigurationsanweisungen für SiteMinder. Diese Anweisungen dienen lediglich dazu, Sie beim Einrichten von SiteMinder für die Zusammenarbeit mit dem IVE zu unterstützen. Detaillierte Informationen zur Konfiguration von SiteMinder finden Sie in der Dokumentation zu Ihrem SiteMinder-Richtlinienserver. HINWEIS: Die hier aufgeführten Anweisungen beziehen sich auf den SiteMinderRichtlinienserver, Version 5.5. Bei Verwendung einer anderen Produktversion können die Anweisungen geringfügig abweichen. Gehen Sie zum Konfigurieren von SiteMinder für die Arbeit mit dem IVE folgendermaßen vor: 1. „Konfigurieren des SiteMinder-Agenten“ auf Seite 148 2. „Erstellen eines SiteMinder-Authentifizierungsschemas für das IVE“ auf Seite 148 3. „Erstellen einer SiteMinder-Domäne für das IVE“ auf Seite 150 4. „Erstellen eines SiteMinder-Bereichs für das IVE“ auf Seite 151 5. „Erstellen eines Regel-/Antwortpaares zur Weiterleitung von Benutzernamen an das IVE“ auf Seite 151 Konfigurieren einer Netegrity SiteMinder-Instanz 147 Juniper Networks Secure Access – Administratorhandbuch 6. „Erstellen einer SiteMinder-Richtlinie für die Domäne“ auf Seite 153 Konfigurieren des SiteMinder-Agenten Ein SiteMinder-Agent filtert Benutzeranforderungen, um Zugriffssteuerungen zu erzwingen. Wenn ein Benutzer z.B. eine geschützte Ressource anfordert, wird er vom Agent zur Eingabe von Anmeldedaten auf der Grundlage eines bestimmten Authentifizierungsschemas aufgefordert. Anschließend werden die Anmeldedaten an einen SiteMinder-Richtlinienserver gesendet. Ein Web-Agent ist ein Agent, der mit einem Webserver kooperiert. Beim Konfigurieren von SiteMinder für die Zusammenarbeit mit dem IVE müssen Sie in den meisten Fällen das IVE als WebAgent konfigurieren. HINWEIS: Bei Auswahl der Option Delegate authentication to a standard agent müssen die folgenden Optionen im Agentkonfigurationsobjekt des standardmäßigen Web-Agentenhosts der FCC-URL festgelegt werden: EncryptAgentName=no FCCCompatMode=no So konfigurieren Sie das IVE als Web-Agent auf dem SiteMinder-Richtlinienserver: 1. Wählen Sie auf der SiteMinder-Verwaltungsoberfläche die Registerkarte System aus. 2. Klicken Sie mit der rechten Maustaste auf den Link Agents, und wählen Sie Create Agent aus. 3. Geben Sie einen Namen für den Web-Agent und (optional) eine Beschreibung ein. Beachten Sie, dass Sie diesen Namen eingeben müssen, wenn Sie einen SiteMinder-Bereich erstellen (siehe „Erstellen eines SiteMinder-Bereichs für das IVE“ auf Seite 151) und das IVE konfigurieren (siehe „Agent Name, Secret“ auf Seite 157). 4. Sie müssen die Option Support 5.x agents auswählen, um die Kompatibilität mit dem IVE sicherzustellen. 5. Wählen Sie unter Agent Type SiteMinder und anschließend in der Dropdownliste Web Agent aus. Sie müssen diese Einstellung für die Kompatibilität mit dem IVE auswählen. 6. Geben Sie unter IP Address or Host Name den Namen oder die IP-Adresse des IVE ein. 7. Geben Sie in den Feldern Shared Secret einen geheimen Schlüssel für den WebAgent ein, und bestätigen Sie diesen. Beachten Sie, dass Sie diesen geheimen Schlüssel beim Konfigurieren des IVE eingeben müssen (siehe „Agent Name, Secret“ auf Seite 157). 8. Klicken Sie auf OK. Erstellen eines SiteMinder-Authentifizierungsschemas für das IVE Ein Authentifizierungsschema bietet in SiteMinder die Möglichkeit, Anmeldeinformationen zu sammeln und die Identität eines Benutzers zu ermitteln. 148 Konfigurieren einer Netegrity SiteMinder-Instanz Kapitel 7: Authentifizierungs- und Verzeichnisserver So konfigurieren Sie ein SiteMinder-Authentifizierungsschema für das IVE: 1. Wählen Sie auf der SiteMinder-Verwaltungsoberfläche die Registerkarte System aus. 2. Klicken Sie mit der rechten Maustaste auf den Link Authentication Schemes, und wählen Sie Create Authentication Scheme aus. 3. Geben Sie einen Namen für das Schema und (optional) eine Beschreibung ein. Beachten Sie, dass Sie diesen Namen beim Konfigurieren des SiteMinderBereichs eingeben müssen (siehe „Erstellen eines SiteMinder-Bereichs für das IVE“ auf Seite 151). 4. Wählen Sie unter Authentication Scheme Type eine der folgenden Optionen aus: Basic Template HTML Form Template SecurID HTML Form Template1 X509 Client Cert Template X509 Client Cert and Basic Authentication HINWEIS: Das IVE unterstützt nur die hier aufgelisteten Authentifizierungsschematypen. Sie müssen die Option HTML Form Template auswählen, wenn die erneute Authentifizierung über das IVE erfolgen soll (wie unter „Erneute Authentifizierung von Benutzern mit unzureichenden Sicherheitsebenen“ auf Seite 146 beschrieben). Bei Auswahl von X509 Client Cert Template oder X509 Client Cert and Basic Authentication muss das Zertifikat über die Registerkarte System > Certificates > Trusted Client CAs in das IVE importiert werden. Weitere Informationen finden Sie unter „Verwenden von vertrauten Clientzertifizierungsstellen“ auf Seite 654. 5. Geben Sie eine Sicherheitsebene für das Schema ein. Diese Sicherheitsebene wird auf den SiteMinder-Bereich übertragen, den Sie diesem Schema zuordnen. Weitere Informationen finden Sie unter „Erstellen eines SiteMinder-Bereichs für das IVE“ auf Seite 151. 6. Wählen Sie Password Policies Enabled for this Authentication Scheme aus, um Benutzer neu zu authentifizieren, die Ressourcen mit einer Schutzebene anfordern, die höher ist als es den Berechtigungen dieser Benutzer entspricht. 7. Geben Sie auf der Registerkarte Scheme Setup die für den jeweiligen Authentifizierungsschematyp erforderlichen Optionen ein. 1. Wenn Sie die SecurID-Authentifizierung verwenden, müssen Sie die Option „SecurID HTML Form Template“ (anstelle von „SecurID Template“) auswählen. Durch Auswählen dieser Option kann der Richtlinienserver ACEAnmeldungsfehlercodes an das IVE senden. Konfigurieren einer Netegrity SiteMinder-Instanz 149 Juniper Networks Secure Access – Administratorhandbuch Wenn das IVE Benutzer, die Ressourcen mit einer höheren Sicherheitsebene anfordern als es die entsprechenden Zugriffsrechte erlauben, erneut authentifizieren soll, müssen Sie die folgenden Einstellungen vornehmen: Geben Sie unter Server Name den Hostnamen des IVE ein (z.B. vertrieb.firmenname.net). Aktivieren Sie das Kontrollkästchen Use SSL Connection. Geben Sie unter Target die im ersten Schritt dieser Aufzählung definierte Anmelde-URL des IVE und den Parameter „ive=1“ ein (z.B. „/highproturl?ive=1“). (Im IVE muss eine Anmelderichtlinie definiert sein, die */highproturl als Anmelde-URL enthält und nur den entsprechenden SiteMinder-Authentifizierungsbereich verwendet.) HINWEIS: Wenn Sie Änderungen speichern, wird ive=1 nicht mehr für das Ziel angezeigt. Das ist richtig. Der Richtlinienserver fügt ive=1 in die vollständige Authentifizierungsschema-URL ein, den er an das IVE sendet, wie auf der Registerkarte Advanced im Feld Parameter ersichtlich ist. Deaktivieren Sie das Kontrollkästchen Allow Form Authentication Scheme to Save Credentials. Lassen Sie Additional Attribute List leer. 8. Klicken Sie auf OK. HINWEIS: Beim Ändern eines SiteMinder-Authentifizierungsschemas auf dem Richtlinienserver muss der Zwischenspeicher mithilfe der Option Flush Cache auf der Registerkarte Advanced geleert werden. Informationen zum Konfigurieren des IVE für die Verwendung mehrerer Authentifizierungsschemas finden Sie unter „Konfigurieren des IVE für die Verwendung mehrerer Authentifizierungsschemas“ auf Seite 154. Erstellen einer SiteMinder-Domäne für das IVE In SiteMinder ist eine Richtliniendomäne eine logische Gruppierung von Ressourcen, die einem oder mehreren Benutzerverzeichnissen zugeordnet sind. Richtliniendomänen umfassen Bereiche, Antworten und Richtlinien. Beim Konfigurieren des IVE für die Zusammenarbeit mit SiteMinder müssen Sie den IVEBenutzern Zugriff auf eine SiteMinder-Ressource innerhalb eines Bereichs gewähren und den Bereich anschließend in einer Domäne gruppieren. Zum Konfigurieren einer SiteMinder-Domäne für das IVE wählen Sie auf der SiteMinder-Verwaltungsoberfläche die Registerkarte System aus. Klicken Sie anschließend mit der rechten Maustaste auf Domains, und wählen Sie Create Domain aus. Oder klicken Sie auf Domains, und wählen Sie eine vorhandene SiteMinder-Domäne aus. Dieser Domäne müssen Sie einen Bereich hinzufügen (siehe „Erstellen eines SiteMinder-Bereichs für das IVE“ auf Seite 151). 150 Konfigurieren einer Netegrity SiteMinder-Instanz Kapitel 7: Authentifizierungs- und Verzeichnisserver Erstellen eines SiteMinder-Bereichs für das IVE In SiteMinder ist ein Bereich ein Cluster von Ressourcen innerhalb einer Richtliniendomäne, die nach Sicherheitsanforderungen gruppiert sind. Beim Konfigurieren von SiteMinder für die Zusammenarbeit mit dem IVE müssen Sie Bereiche definieren, um festzulegen, auf welche Ressourcen die IVE-Benutzer zugreifen dürfen. So konfigurieren Sie einen SiteMinder-Bereich für das IVE: 1. Wählen Sie auf der SiteMinder-Verwaltungsoberfläche die Registerkarte Domains aus. 2. Erweitern Sie die Domäne, die Sie für das IVE erstellt haben. Weitere Informationen finden Sie unter „Erstellen einer SiteMinder-Domäne für das IVE“ auf Seite 150. 3. Klicken Sie mit der rechten Maustaste auf den Link Realms, und wählen Sie Create Realm aus. 4. Geben Sie einen Namen für den Bereich und (optional) eine Beschreibung ein. 5. Wählen Sie im Feld Agent den Web-Agent aus, den Sie für das IVE erstellt haben. Weitere Informationen finden Sie unter „Konfigurieren des SiteMinderAgenten“ auf Seite 148. 6. Geben Sie im Feld Resource Filter eine geschützte Ressource ein. Diese Ressource erbt die im zugehörigen Authentifizierungsschema angegebene Sicherheitsebene. Geben Sie für die Standardsicherheitsebene Folgendes ein: /ive-authentication. Beachten Sie, dass Sie diese Ressource beim Konfigurieren des IVE eingeben müssen (siehe „Protected Resource“ auf Seite 157). Wenn Sie Anmelderichtlinien mit nicht standardmäßigen URLs wie */nete oder */cert verwenden, müssen Sie der SiteMinder-Konfiguration entsprechende Ressourcenfilter hinzufügen. 7. Wählen Sie in der Liste Authentication Schemes das Schema aus, das Sie für das IVE erstellt haben (siehe „Erstellen eines SiteMinderAuthentifizierungsschemas für das IVE“ auf Seite 148). 8. Klicken Sie auf OK. Erstellen eines Regel-/Antwortpaares zur Weiterleitung von Benutzernamen an das IVE In SiteMinder können Sie Regeln verwenden, um Antworten auszulösen, wenn Authentifizierungs- oder Autorisierungsereignisse stattfinden. Eine Antwort leitet DN-Attribute, statischen Text oder benutzerdefinierte aktive Antworten vom SiteMinder-Richtlinienserver an einen SiteMinder-Agent weiter. Beim Konfigurieren von SiteMinder für die Zusammenarbeit mit dem IVE müssen Sie eine Regel erstellen, die ausgelöst wird, wenn sich ein Benutzer erfolgreich authentifiziert. Anschließend müssen Sie eine entsprechende Antwort erstellen, die den Benutzernamen des jeweiligen Benutzers an den IVE-Web-Agent weiterleitet. So erstellen Sie eine neue Regel: 1. Wählen Sie auf der SiteMinder-Verwaltungsoberfläche die Registerkarte Domains aus. Konfigurieren einer Netegrity SiteMinder-Instanz 151 Juniper Networks Secure Access – Administratorhandbuch 2. Erweitern Sie die Domäne, die Sie für das IVE erstellt haben (siehe „Erstellen einer SiteMinder-Domäne für das IVE“ auf Seite 150), und erweitern Sie dann Realms. 3. Klicken Sie mit der rechten Maustaste auf den für das IVE erstellten Bereich (wie unter „Erstellen eines SiteMinder-Bereichs für das IVE“ auf Seite 151 erläutert), und wählen Sie Create Rule under Realm aus. 4. Geben Sie einen Namen für die Regel und (optional) eine Beschreibung ein. 5. Wählen Sie unter Action Authentication Events und anschließend in der Dropdownliste OnAuthAccept aus. 6. Wählen Sie Enabled. 7. Klicken Sie auf OK. So erstellen Sie eine neue Antwort: 1. Wählen Sie auf der SiteMinder-Verwaltungsoberfläche die Registerkarte Domains aus. 2. Erweitern Sie die Domäne, die Sie für das IVE erstellt haben (siehe „Erstellen einer SiteMinder-Domäne für das IVE“ auf Seite 150). 3. Klicken Sie mit der rechten Maustaste auf den Link Responses, und wählen Sie Create Response aus. 4. Geben Sie einen Namen für die Antwort und (optional) eine Beschreibung ein. 5. Wählen Sie SiteMinder aus, und wählen Sie anschließend den IVE-Web-Agent aus (siehe „Konfigurieren des SiteMinder-Agenten“ auf Seite 148). 6. Klicken Sie auf Create. 7. Wählen Sie in der Liste Attribute WebAgent-HTTP-Header-Variable aus. 8. Wählen Sie unter Attribute Kind Static aus: 9. Geben Sie unter Variable Name IVEUSERNAME. ein. 10. Geben Sie unter Variable Value einen Benutzernamen ein. 11. Klicken Sie auf OK. Erstellen von SiteMinder-Benutzerattributen für die IVE-Rollenzuordnung Wenn Sie SiteMinder-Benutzerattribute auf einem SiteMinder-Richtlinienserver erstellen, können Sie diese Benutzerattribute in IVE-Rollenzuordnungsregeln verwenden, um Benutzer Rollen zuzuordnen. Angenommen, Sie möchten Benutzer basierend auf ihrer Abteilung verschiedenen IVE-Rollen zuordnen. Zur Verwendung eines SiteMinder-Benutzerattributs in einer Rollenzuordnungsregel verweisen Sie auf den Cookienamen im SiteMinder-Benutzerattributcookie. Das folgende Verfahren muss nur ausgeführt werden, wenn Sie SiteMinderBenutzerattribute in IVE-Rollenzuordnungsregeln verwenden möchten. 152 Konfigurieren einer Netegrity SiteMinder-Instanz Kapitel 7: Authentifizierungs- und Verzeichnisserver So erstellen Sie Benutzerattribute auf einem SiteMinder-Server: 1. Wählen Sie auf der SiteMinder-Verwaltungsoberfläche die Registerkarte Domains aus. 2. Erweitern Sie die Domäne, die Sie für das IVE erstellt haben (siehe „Erstellen einer SiteMinder-Domäne für das IVE“ auf Seite 150). 3. Klicken Sie mit der rechten Maustaste auf den Link Responses, und wählen Sie Create Response aus. 4. Geben Sie einen Namen für die Antwort und (optional) eine Beschreibung ein. 5. Wählen Sie SiteMinder aus, und wählen Sie anschließend den IVE-Web-Agent aus (siehe „Konfigurieren des SiteMinder-Agenten“ auf Seite 148). 6. Klicken Sie auf Create. 7. Wählen Sie in der Liste Attribute WebAgent-HTTP-Cookie-Variable aus. 8. Wählen Sie unter Attribute Kind User Attribute aus: 9. Geben Sie für Cookie Name einen Namen für das Cookie ein, z.B. Abteilung. Auf diesen Cookienamen können Sie in einer IVE-Rollenzuordnungsregel verweisen. 10. Geben Sie für Attribute Name den Namen des Attributs im SiteMinderBenutzerverzeichnis ein. (Dies ist das Attribut in dem von SiteMinder verwendeten LDAP-Server.) 11. Klicken Sie auf OK. 12. Weisen Sie die Antwort von User Attribute einer OnAuthAccept-Typenregel zu. (Siehe „Erstellen eines Regel-/Antwortpaares zur Weiterleitung von Benutzernamen an das IVE“ auf Seite 151.) 13. Verweisen Sie in einer Rollenzuordnungsregel für einen IVE-Bereich, der den SiteMinder-Richtlinienserver verwendet, auf den Cookienamen. Anweisungen hierfür finden Sie unter „Verwenden von SiteMinder-Benutzerattributen für die IVE-Rollenzuordnung“ auf Seite 165. Erstellen einer SiteMinder-Richtlinie für die Domäne In SiteMinder ordnet eine Richtlinie Benutzern Regeln zu. Zum Konfigurieren einer SiteMinder-Richtlinie für eine Domäne wählen Sie auf der SiteMinderVerwaltungsoberfläche die Registerkarte Domains aus. Wählen Sie anschließend die Domäne aus, der Sie eine Richtlinie hinzufügen möchten, klicken Sie mit der rechten Maustaste auf Policies, und wählen Sie Create Policy aus. Konfigurieren des IVE für die Zusammenarbeit mit SiteMinder Dieser Abschnitt enthält die folgenden Anweisungen für das Konfigurieren des IVE für die Zusammenarbeit mit einem SiteMinder-Richtlinienserver: „Konfigurieren des IVE für die Verwendung mehrerer Authentifizierungsschemas“ auf Seite 154 Konfigurieren einer Netegrity SiteMinder-Instanz 153 Juniper Networks Secure Access – Administratorhandbuch „Konfigurieren des IVE, um Benutzern Zugriff auf verschiedene geschützte Ressourcen zu gewähren“ auf Seite 155 „Definieren einer Netegrity SiteMinder-Serverinstanz“ auf Seite 156 „Definieren eines SiteMinder-Bereichs für die automatische Anmeldung“ auf Seite 166 Konfigurieren des IVE für die Verwendung mehrerer Authentifizierungsschemas Zum Konfigurieren des IVE für die Verwendung mehrerer SiteMinderAuthentifizierungsschemas gehen Sie folgendermaßen vor: 1. Konfigurieren Sie die Authentifizierungsschemas auf dem SiteMinderRichtlinienserver. Anweisungen hierfür finden Sie unter „Erstellen eines SiteMinder-Authentifizierungsschemas für das IVE“ auf Seite 148. 2. Erstellen Sie eine IVE-Instanz des SiteMinder-Richtlinienservers für alle zu verwendenden SiteMinder-Authentifizierungsschemas. Anweisungen hierfür finden Sie unter „Definieren einer Netegrity SiteMinder-Serverinstanz“ auf Seite 156. 3. Legen Sie fest, welcher IVE-Bereich die IVE-Instanz des SiteMinderRichtlinienservers zum Authentifizieren und Autorisieren von Administratoren und Benutzern verwenden soll. Anweisungen hierfür finden Sie unter „Erstellen eines Authentifizierungsbereichs“ auf Seite 178. 4. Erstellen Sie für jede geschützte Ressource auf dem SiteMinderRichtlinienserver eine IVE-Anmelderichtlinie. Gehen Sie auf der Seite Authentication > Authentication > Signing In Policies > New Sign-In Policy folgendermaßen vor: Geben Sie eine IVE-Anmelde-URL an, der der URL der von SiteMinder geschützten Ressource auf dem Richtlinienserver entspricht. Die Pfadkomponente der URL muss dem SiteMinder-Ressourcenfilter in der SiteMinder-Bereichskonfiguration entsprechen. Sie können z.B. */ACE/ als IVE-Anmelde-URL für einen SiteMinder-URL XYZ/ACE angeben. Dabei ist XYZ der Name des Bereichs. Wählen Sie den IVE-Bereich aus, den Sie zur Verwendung des SiteMinderRichtlinienservers angegeben haben. Anweisungen hierfür finden Sie unter „Konfigurieren von Anmelderichtlinien“ auf Seite 195. Der Benutzer meldet sich mit einer der IVE-Anmelde-URLs am IVE an. Das IVE sendet die URL der geschützten Ressource an SiteMinder, und SiteMinder ermittelt anhand der Ressource, welcher Schematyp zum Authentifizieren des Benutzers verwendet werden soll. Das IVE sammelt dann die für das Authentifizierungsschema erforderlichen Anmeldedaten und leitet sie zur Authentifizierung an SiteMinder weiter. 154 Konfigurieren einer Netegrity SiteMinder-Instanz Kapitel 7: Authentifizierungs- und Verzeichnisserver Konfigurieren des IVE, um Benutzern Zugriff auf verschiedene geschützte Ressourcen zu gewähren Wenn Sie das IVE konfigurieren möchten, um Benutzern Zugriff auf verschiedene geschützte SiteMinder-Ressourcen (nach Zuordnung und unterschiedlichen Sicherheitsebenen) zu gewähren, müssen Sie folgendermaßen vorgehen: 1. Definieren Sie die vom SiteMinder-Server zu schützenden Ressourcen. Jede dieser Ressourcen erbt eine Sicherheitsebene eines zugehörigen SiteMinderAuthentifizierungsschemas. Anweisungen hierfür finden Sie unter „Erstellen eines SiteMinder-Bereichs für das IVE“ auf Seite 151. 2. Erstellen Sie eine IVE-Instanz des SiteMinder-Richtlinienservers für alle geschützten Ressourcen und entsprechenden Sicherheitsebenen, die Sie zulassen möchten. Anweisungen hierfür finden Sie unter „Definieren einer Netegrity SiteMinder-Serverinstanz“ auf Seite 156. 3. Legen Sie fest, welcher IVE-Bereich die IVE-Instanz des SiteMinderRichtlinienservers verwenden soll. Anweisungen hierfür finden Sie unter „Erstellen eines Authentifizierungsbereichs“ auf Seite 178. 4. Erstellen Sie für jede Ressource auf dem SiteMinder-Richtlinienserver eine IVEAnmelderichtlinie für jeden Ressourcenfilter auf Bereichsebene. Geben Sie auf der Konfigurationsseite der Anmelderichtlinie Folgendes an: Geben Sie eine IVE-Anmelde-URL an, die der URL der geschützten Ressource auf dem Richtlinienserver entspricht. Die Pfadkomponente der URL muss dem SiteMinder-Ressourcenfilter entsprechen. Sie können beispielsweise folgende URLs definieren: https://employees.yourcompany.com/sales https://employees.yourcompany.com/engineering Wenn sich Benutzer über die erste URL anmelden, können sie auf die geschützte Ressource „Sales“ zugreifen, und wenn sie sich über die zweite URL anmelden, wird ihnen der Zugriff auf die geschützte Ressource „Engineering“ gewährt. Zum Definieren einer Standardressource (ive-authentication) geben Sie im Pfadabschnitt der URL ein Sternchen (*) ein. Wählen Sie den IVE-Bereich aus, den Sie zur Verwendung des SiteMinderRichtlinienservers angegeben haben. Anweisungen hierfür finden Sie unter „Konfigurieren von Anmelderichtlinien“ auf Seite 195. Während der Produktion meldet sich der Benutzer mit einer der URLs beim IVE an. Das IVE extrahiert die geschützte Ressource aus der URL und authentifiziert den Benutzer anhand des entsprechenden Bereichs. Konfigurieren einer Netegrity SiteMinder-Instanz 155 Juniper Networks Secure Access – Administratorhandbuch Definieren einer Netegrity SiteMinder-Serverinstanz Eine SiteMinder-Instanz ist ein Satz von Konfigurationseinstellungen im IVE, die definieren, wie das IVE mit dem SiteMinder-Richtlinienserver interagiert. Nach dem Definieren der SiteMinder-Serverinstanz legen Sie die IVE-Bereiche fest, die die IVEInstanz des SiteMinder-Richtlinienservers zum Authentifizieren und Autorisieren von Administratoren und Benutzern verwenden sollen. Anweisungen hierfür finden Sie unter „Erstellen eines Authentifizierungsbereichs“ auf Seite 178. So legen Sie eine Netegrity SiteMinder-Serverinstanz fest: 1. Wählen Sie in der Administratorkonsole Authentication > Auth. Servers. 2. Führen Sie einen der folgenden Vorgänge aus: Um eine neue Serverinstanz auf dem IVE zu erstellen, wählen Sie in der Liste New den Eintrag SiteMinder Server aus, und klicken Sie anschließend auf New Server. Klicken Sie zum Aktualisieren einer vorhandenen Serverinstanz auf den entsprechenden Link in der Liste Authentication/Authorization Servers. 3. Konfigurieren Sie den Server mit den in Tabelle 13 beschriebenen Einstellungen. 4. So fügen Sie der SiteMinder-Serverinstanz SiteMinder-Benutzerattribute hinzu: a. Klicken Sie auf Server Catalog, um den Serverkatalog anzuzeigen. b. Geben Sie im Serverkatalog den Cookienamen für das SiteMinderBenutzerattribut ins Feld Attribute ein, und klicken Sie anschließend auf Add Attribute. (Weitere Informationen zu Cookies für SiteMinderBenutzerattribute finden Sie unter „Erstellen von SiteMinderBenutzerattributen für die IVE-Rollenzuordnung“ auf Seite 152.) c. Klicken Sie nach dem Hinzufügen der Cookienamen auf OK. Die Cookienamen der SiteMinder-Benutzerattribute werden vom IVE auf der Seite Role Mapping Rule in der Liste Attribute angezeigt. Konfigurationsanweisungen finden Sie unter „Verwenden von SiteMinderBenutzerattributen für die IVE-Rollenzuordnung“ auf Seite 165. 5. Klicken Sie auf Save Changes. 6. Legen Sie ggf. erweiterte SiteMinder-Konfigurationsoptionen mithilfe der in Tabelle 14 beschriebenen Einstellungen fest. HINWEIS: Informationen zum Überwachen und Löschen von Sitzungen von Benutzern, die gegenwärtig über den Server angemeldet sind, finden Sie unter „Überwachen von aktiven Benutzern“ auf Seite 738. 156 Konfigurieren einer Netegrity SiteMinder-Instanz Kapitel 7: Authentifizierungs- und Verzeichnisserver Tabelle 13: NetegritySiteMinder-Konfigurationsoptionen Option Beschreibung Name Geben Sie einen Namen ein, um die Serverinstanz zu bezeichnen. Policy Server Geben Sie den Namen oder die IP-Adresse des SiteMinder-Richtlinienservers ein, den Sie zum Authentifizieren von Benutzern verwenden möchten. Backup Server(s), Failover Mode Geben Sie eine durch Kommas getrennte Liste von Richtliniensicherungsservern ein (optional). Wählen Sie dann einen Failover-Modus aus: Wählen Sie Yes aus, damit die IVE-Appliance den Hauptrichtlinienserver verwendet, sofern dieser betriebsbereit ist. Wählen Sie No aus, damit die IVE-Appliance einen Lastenausgleich zwischen allen Richtlinienservern vornimmt. Agent Name, Secret Geben Sie den gemeinsamen geheimen Schlüssel und den Agentnamen ein (wie unter „Konfigurieren des SiteMinder-Agenten“ auf Seite 148 angegeben). Berücksichtigen Sie bei diesen Angaben die Groß- und Kleinschreibung. Compatible with Wählen Sie eine SiteMinder-Serverversion. Version 5.5 unterstützt die Versionen 5.5 und 6.0. Version 6.0 unterstützt nur Version 6.0 der SiteMinder-Server-API. Der Standardwert lautet Richtlinienserver 5.5. On logout, redirect to Geben Sie eine URL an, zu der Benutzer bei der Abmeldung vom IVE umgeleitet werden (optional). Wenn Sie dieses Feld leer lassen, wird Benutzern die IVE-Standardanmeldeseite angezeigt. Hinweis: Das Feld On logout, redirect to wurde aus Gründen der Abwärtskompatibilität in dieser Produktversion berücksichtigt, in zukünftigen Versionen wird es jedoch nicht mehr enthalten sein. Wenn Sie Benutzer nach der Abmeldung zu einer anderen Anmeldeseite umleiten möchten, empfiehlt es sich dringend, stattdessen die Funktion für benutzerdefinierbare Anmeldeseiten zu verwenden. Weitere Informationen finden Sie im Custom Sign-In Pages Solution Guide. Protected Resource Geben Sie eine unter „Erstellen eines SiteMinder-Bereichs für das IVE“ auf Seite 151 angegebene geschützte Standardressource an. Wenn Sie keine Anmelderichtlinien für SiteMinder erstellen, verwendet das IVE diese Standard-URL, um die Sicherheitsebene des Benutzers für die Sitzung festzulegen. Das IVE verwendet diese Standard-URL auch, wenn Sie die Option Automatic Sign-In auswählen. Wenn die Benutzer sich an der URL „*“ (IVE-Standardanmeldeseite) anmelden, geben Sie eine beliebige URL ein („/IVE-authentication“ ist die Standard-URL), um die Sicherheitsebene auf den IVE-Standardwert einzustellen. Wenn Sie Anmelderichtlinien für SiteMinder erstellen, verwendet das IVE diese Richtlinien anstelle der Standard-URL. Hinweis: Sie müssen einen Schrägstrich (/) vor der Ressource eingeben (z.B. „/ive-authentication“). Resource Action (Schreibgeschützt) Bei neuen SiteMinder-Serverinstanzen legt das IVE die Ressourcenaktion auf GET fest. Wenn die SiteMinder-Instanz von einer 3.x-Instanz aktualisiert wird, verwendet das IVE die zuvor ausgewählte Ressourcenaktion (z.B. GET, POST oder PUT). Wenn Sie eine vorhandene Ressourcenaktion in GET ändern möchten, müssen Sie die alte SiteMinder-Serverinstanz löschen und anschließend eine neue Instanz erstellen, die GET verwendet. Konfigurieren einer Netegrity SiteMinder-Instanz 157 Juniper Networks Secure Access – Administratorhandbuch Tabelle 13: NetegritySiteMinder-Konfigurationsoptionen (Fortsetzung) Option Beschreibung SMSESSION cookie settings Cookie Domain Geben Sie die Cookiedomäne des IVE ein. (Eine Cookiedomäne ist eine Domäne, in der die Cookies des Benutzers aktiv sind. Das IVE sendet Cookies an den Browser des Benutzers in dieser Domäne.) Hinweis: Für mehrere Domänen sollten ein vorangestellter Punkt und Kommas als Trennzeichen verwendet werden. Beispiel: vertrieb.eigeneorg.com, marketing.eigeneorg.com Bei Domänennamen wird die Groß- und Kleinschreibung berücksichtigt. Es dürfen keine Platzhalterzeichen verwendet werden. Wenn Sie z.B. „.juniper.net“ definieren, muss der Benutzer über „http://ive.juniper.net“ auf das IVE zugreifen, um sicherzustellen, dass das zugehörige SMSESSION-Cookie an das IVE zurückgesendet wird. Protocol (Schreibgeschützt) Gibt an, dass das IVE Cookies mit dem HTTPSProtokoll an den Webbrowser des Benutzers sendet. IVE Cookie Domain Geben Sie die Internetdomäne(n) ein, an die das IVE das SMSESSIONCookie sendet. Hierfür gelten dieselben Richtlinien, die bereits für das Feld Cookie Domain erörtert wurden. (Eine IVE-Cookiedomäne ermöglicht die Einzelanmeldung bei mehreren Cookiedomänen.) Dabei sind beim Navigieren von einer Domäne zu einer anderen stets die Informationen eines Benutzers verfügbar.) Wenn Sie für einen Cookieanbieter die Einzelanmeldung über mehrere Cookiedomänen aktiviert haben, geben Sie den Namen des Cookieanbieters ein. Andernfalls geben Sie die Domäne(n) der Web-Agents ein, für die eine Einzelanmeldung erfolgen soll. Beispiel: .juniper.net Protocol Wählen Sie HTTPS, um Cookies sicher zu senden, sofern andere WebAgenten für den Empfang sicherer Cookies eingerichtet sind, oder wählen Sie HTTP, um Cookies ungesichert zu senden. SiteMinder-Authentifizierungseinstellungen Automatic Sign-In Wählen Sie die Option Automatic Sign-In aus, um Benutzer, die über ein gültiges SMSESSION-Cookie verfügen, automatisch am IVE anzumelden. Wählen Sie dann den Authentifizierungsbereich aus, dem die Benutzer zugeordnet werden. Beachten Sie bei Auswahl dieser Option Folgendes: Wenn die Sicherheitsebene des SMSESSION-Cookies eines Benutzers von der Sicherheitsebene des IVE-Bereichs abweicht, verwendet das IVE die Sicherheitsebene, die dem Cookie zugeordnet ist. Damit die Einzelanmeldung (Single Sign-on) von einem anderen Web- Agent beim IVE möglich ist, muss das IVE ein vorhandenes von einem Standard-Web-Agent erstelltes SMSESSION-Cookie überprüfen. Das IVE unterstützt die folgenden Bereichs- und Rollenbeschränkungen der Funktion Automatic Sign-in: Host Checker, Cache Cleaner und Überprüfung von IP-Adresse, Browser und Beschränkung für gleichzeitige Benutzer. Zertifikat- und Kennwortbeschränkungen werden nicht unterstützt, da sie bei automatisch angemeldeten Benutzern nicht zutreffen. Das IVE unterstützt nicht die Funktion Automatic Sign in für Administratorrollen. Diese Funktion ist nur für Endbenutzer verfügbar. Bei Auswahl der Option Automatic Sign-In müssen auch die folgenden Unteroptionen konfiguriert werden: 158 Konfigurieren einer Netegrity SiteMinder-Instanz Kapitel 7: Authentifizierungs- und Verzeichnisserver Tabelle 13: NetegritySiteMinder-Konfigurationsoptionen (Fortsetzung) Option Beschreibung To assign user roles, use this authentication realm Wählen Sie einen Authentifizierungsbereich für automatisch angemeldete Benutzer aus. Das IVE ordnet dem Benutzer eine Rolle auf Grundlage der im ausgewählten Bereich definierten Rollenzuordnungsregeln zu. Hinweis:Wenn Sie Benutzern Rollen auf Grundlage von Benutzernamen zuordnen möchten, finden Sie unter „Ermitteln des Benutzernamens des jeweiligen Benutzers“ auf Seite 146 Informationen zu dem vom IVE verwendeten Benutzernamen. If Automatic Sign In fails, redirect to Geben Sie wie unter „Automatic Sign-In“ auf Seite 158 beschrieben eine alternative URL für Benutzer ein, die sich über den Mechanismus zur automatischen Anmeldung am IVE anmelden. Das IVE leitet Benutzer zur angegebenen URL um, wenn das IVE die Benutzer nicht authentifizieren kann und vom SiteMinder-Richtlinienserver keine Antwort zum Umleiten empfangen wird. Wenn Sie dieses Feld leer lassen, werden die Benutzer aufgefordert, sich erneut am IVE anzumelden. Hinweis: Benutzer, die sich über die IVE-Anmeldeseite anmelden, werden grundsätzlich wieder zurück zur IVE-Anmeldeseite umgeleitet, wenn keine Authentifizierung erfolgen kann. Wenn Sie die im Custom Sign-In Pages Solution Guide beschriebene Option für die Anpassung der Benutzeroberfläche verwenden, leitet das IVE noch in zwei weiteren Fällen auf die Seite welcome.cgi um. Sie müssen beide Sonderfälle in Ihrer benutzerdefinierten Seite berücksichtigen: Ablauf der Sitzungs- oder Leerlaufhöchstdauer: /danana/auth/welcome.cgi?p=timed-out Fehlgeschlagene Cookievalidierung: /danana/auth/welcome.cgi?p=failed Authenticate using custom agent Wählen Sie diese Option aus, wenn die Authentifizierung über den benutzerdefinierten Web-Agent des IVE erfolgen soll. Beachten Sie, dass Sie bei Auswahl dieser Option außerdem folgende Aufgaben durchführen müssen: Aktualisieren aller Standard-Web-Agents mit dem entsprechenden Siteminder Agent Quarterly Maintenance Release (QMR), damit die vom IVE erstellten Cookies akzeptiert werden. Wenn Sie SiteMinderWeb-Agents, Version 5, ausführen, verwenden Sie den auf der Netegrity-Website verfügbaren QMR5-Hotfix. Das IVE ist mit SiteMinder-Agenten der Version 5.x und höher kompatibel. Bei älteren Versionen von SiteMinder-Agenten können Fehler bei der Cookie-Validierung auftreten. Legen Sie das Attribut AcceptTPCookie (Cookie von Drittanbietern akzeptieren) in der Konfigurationsdatei des Web-Agent (webagent.conf) auf „yes“ oder in der Windows-Registrierung für den IIS-Webserver auf „1“ fest. Der Speicherort des Attributs hängt von der verwendeten SiteMinder-Version und vom verwendeten Webserver ab. Weitere Informationen finden Sie in der Dokumentation zu Ihrem SiteMinder-Server. Konfigurieren einer Netegrity SiteMinder-Instanz 159 Juniper Networks Secure Access – Administratorhandbuch Tabelle 13: NetegritySiteMinder-Konfigurationsoptionen (Fortsetzung) Option Beschreibung Authenticate using HTML form post Wählen Sie diese Option aus, wenn Sie die Benutzeranmeldedaten an einen bereits konfigurierten Standard-Web-Agent senden möchten, statt direkt mit dem SiteMinder-Richtlinienserver zu kommunizieren. Wenn Sie diese Option auswählen, kommuniziert der Web-Agent mit dem Richtlinienserver, um die jeweilige Anmeldeseite zu ermitteln, die dem Benutzer angezeigt werden soll. Damit Sie das IVE so konfigurieren können, dass es „wie ein Browser fungiert“, der Anmeldedaten an den Standard-Web-Agent sendet, müssen Sie die unten definierten Informationen eingeben. Sie können diese Informationen problemlos finden, indem Sie folgendermaßen vorgehen: 1. Öffnen Sie einen Webbrowser, und geben Sie die URL des StandardWeb-Agent ein, den Sie verwenden möchten, z.B. http://webagent.juniper.net. 2. Notieren Sie sich die URL der angezeigten SiteMinder-Anmeldeseite. Beispiel: http://webagent.juniper.net/siteminderagent/forms/login.fcc?TYPE=3 3554433&REALMOID=06-2525fa65-5a7f-11d5-9ee00003471b786c&GUID=&SMAUTHREASON=0&TARGET=$SM$http %3a%2f%2fwebagent%2ejuniper%2enet%2fportal%2findex%2ejsp 3. Extrahieren Sie die entsprechenden Informationen aus der URL, um die folgenden Felder auszufüllen. Hinweis: Sie können die SecurID New Pin- und Next Token-Modi, die clientseitige Zertifikatauthentifizierung und SNMP-Traps nicht in Verbindung mit der Option Authenticate using HTML form post verwenden. Die Option Authorize While Authenticating ist mit der Option HTML form post nicht vereinbar. Benutzer können mit dieser Option authentifiziert werden, eine zusätzliche Autorisierung der Benutzer erfordert jedoch das Auswählen der Option Authenticate using custom agent. Bei Auswahl der Option Authenticate using HTML form post müssen auch die folgenden Unteroptionen konfiguriert werden: Target URL auf dem externen, Netegrity-fähigen Webserver. In der URL der Anmeldeseite des Web-Agent wird das Ziel im Anschluss an &TARGET=$SM$ angezeigt. In der unter „Authenticate using HTML form post“ auf Seite 160 gezeigten URL lautet das Ziel z.B. wie folgt: http%3a%2f%2fwebagent%2ejuniper%2enet%2fportal%2findex%2ejsp Nach der Konvertierung von Sonderzeichen (%3a = Doppelpunkt, %2f = umgekehrter Schrägstrich, %2e = Punkt) lautet das Ziel folgendermaßen: http://webagent.juniper.net/portal/index.jsp Protocol Protokoll für die Kommunikation zwischen IVE und dem angegebenen Web-Agenten. Verwenden Sie HTTP für die nicht sichere Kommunikation oder HTTPS für die sichere Kommunikation. In der URL der Anmeldeseite des Web-Agent wird zuerst das Protokoll angezeigt. In der unter „Authenticate using HTML form post“ auf Seite 160 gezeigten URL wird z.B. HTTP verwendet. 160 Konfigurieren einer Netegrity SiteMinder-Instanz Kapitel 7: Authentifizierungs- und Verzeichnisserver Tabelle 13: NetegritySiteMinder-Konfigurationsoptionen (Fortsetzung) Option Beschreibung Web Agent Name des Web-Agenten, von dem das IVE SMSESSION-Cookies abrufen soll. Eine IP-Adresse kann in diesem Feld nicht eingegeben werden. (Wenn die IP-Adresse als Web-Agent angegeben wird, können einige Browser keine Cookies akzeptieren.) In der URL der Anmeldeseite des Web-Agent wird der Web-Agent im Anschluss an das Protokoll angezeigt. In der unter „Authenticate using HTML form post“ auf Seite 160 gezeigten URL heißt der Web-Agent z.B. folgendermaßen: webagent.juniper.net Port Port 80 für HTTP oder Port 443 für HTTPS. Path Pfad der Anmeldeseite des Web-Agenten. Beachten Sie, dass der Pfad mit einem umgekehrten Schrägstrich (/) beginnen muss. In der URL der Anmeldeseite des Web-Agenten wird der Pfad im Anschluss an den Web-Agent angezeigt. In der unter „Authenticate using HTML form post“ auf Seite 160 gezeigten URL lautet der Pfad z.B. wie folgt: /siteminderagent/forms/login.fcc Parameters Post-Parameter, die bei der Anmeldung eines Benutzers gesendet werden. Zu den häufig verwendeten SiteMinder-Variablen zählen _ _USER_ _, _ _PASS_ _ und _ _TARGET_ _. Diese Variablen werden durch den vom Benutzer auf der Anmeldeseite des Web-Agenten eingegebenen Benutzernamen und das Kennwort sowie durch den im Feld Target angegebenen Wert ersetzt. Es handelt sich hierbei um die Standardparameter für login.fcc. Wenn Sie Anpassungen vorgenommen haben, müssen Sie diese Parameter möglicherweise ändern. Delegate authentication to a standard agent Wählen Sie diese Option aus, um die Authentifizierung an einen Standardagenten zu delegieren. Greift der Benutzer auf die IVEAnmeldeseite zu, bestimmt das IVE die dem Authentifizierungsschema der geschützten Ressource zugewiesene FCC-URL. Das IVE leitet den Benutzer zu dieser URL um und legt die IVE-Anmelde-URL als Ziel fest. Nach erfolgreicher Authentifizierung mit dem Standardagenten wird im Browser des Benutzers ein SMSESSION-Cookie eingerichtet und der Benutzer wird zurück zum IVE geleitet. Das IVE meldet den Benutzer anschließend automatisch an und richtet eine IVE-Sitzung ein. Informationen zum Konfigurieren des Authentifizierungsschemas finden Sie unter „Erstellen eines SiteMinder-Authentifizierungsschemas für das IVE“ auf Seite 148. HINWEIS: Wählen Sie zum Verwenden dieser Funktion die Option Automatic Sign-In aus. Wird diese Option ausgewählt und verfügt ein Benutzer beim Versuch auf eine Ressource zuzugreifen bereits über ein SMSESSION-Cookie, versucht das IVE mit dem vorhandenen SMSESSION-Cookie eine automatische Anmeldung. Ist das Cookie ungültig, löscht das IVE das SMSESSION-Cookie und die entsprechenden IVE-Cookies und zeigt dem Benutzer eine Seite für Zeitlimits an. Das IVE delegiert erfolgreich Authentifizierung, wenn der Benutzer auf die Option für erneutes Anmelden klickt. Bei Auswahl dieser Option ist für das Authentifizierungsschema eine zugewiesene FCC-URL erforderlich. Konfigurieren einer Netegrity SiteMinder-Instanz 161 Juniper Networks Secure Access – Administratorhandbuch Tabelle 13: NetegritySiteMinder-Konfigurationsoptionen (Fortsetzung) 162 Option Beschreibung Authorize requests against SiteMinder policy server Aktivieren Sie diese Option, wenn die Regeln des SiteMinderRichtlinienservers für die Autorisierung der Benutzeranforderungen von Webressourcen verwendet werden sollen. Wenn Sie diese Option auswählen, müssen Sie in SiteMinder die entsprechenden Regeln erstellen, die mit dem Servernamen gefolgt von einem Schrägstrich beginnen, z.B.: „www.yahoo.com/“, „www.yahoo.com/*“ und „www.yahoo.com/r/f1“. Weitere Informationen finden Sie in der Dokumentation zu Ihrem SiteMinder-Server. If authorization fails, redirect to Geben Sie eine alternative URL ein, zu dem Benutzer umgeleitet werden, wenn das IVE die Benutzer nicht autorisieren kann und vom SiteMinder-Richtlinienserver keine Antwort zum Umleiten empfangen wird. Wenn Sie dieses Feld leer lassen, werden die Benutzer aufgefordert, sich erneut am IVE anzumelden. Konfigurieren einer Netegrity SiteMinder-Instanz Kapitel 7: Authentifizierungs- und Verzeichnisserver Tabelle 13: NetegritySiteMinder-Konfigurationsoptionen (Fortsetzung) Option Beschreibung Resource for insufficient protection level Geben Sie eine Ressource des Web-Agent ein, zu der das IVE die Benutzer umleitet, wenn sie nicht über die erforderlichen Berechtigungen verfügen. Wenn ein Benutzer auf eine Ressource zugreift, die eine höhere Sicherheitsebene als das SMSESSION-Cookie des Benutzers aufweist, wird eine gesicherte Anmeldeseite geöffnet. Nach der erneuten Authentifizierung erhält der Benutzer dann ein SMSESSION-Cookie mit einer höheren Sicherheitsebene und wird zu einer Webseite umgeleitet. Der jeweils vom IVE angezeigte Webseitentyp richtet sich nach der von Ihnen verwendeten Methode für die erneute Authentifizierung von Benutzern*: Ein standardmäßiger Web-Agent mit „FCCCompatMode = yes“ Wenn Sie den Kompatibilitätsmodus für den FormularanmeldedatenCollector des Web-Agent (Forms Credential Collector, FCC)** auf „yes“ festlegen, werden die Benutzer zu der von Ihnen im Feld Resource for insufficient protection level angegebenen Seite umgeleitet. Hinweis: - Sie müssen die Benutzer zu einer Seite des Standard-Web-Agenten umleiten. Das IVE kann den Benutzer nicht zu der Ressource weiterleiten, auf die er ursprünglich zugreifen wollte. - Sie müssen dabei nicht die gesamte URL der Ressource (z.B. https://vertrieb.eigenefirma.com/,DanaInfo=www.stdwebagent.com+ind ex.html), sondern nur die Ressource (index.html) eingeben. Ein standardmäßiger Web-Agent mit „FCCCompatMode = no“ Wenn Sie den Kompatibilitätsmodus für den FormularanmeldedatenCollector des Web-Agent (Forms Credential Collector, FCC)** auf „no“ festlegen, werden die Benutzer zu der von Ihnen im Feld Resource for insufficient protection level angegebenen Seite umgeleitet. Wenn Sie dieses Feld leer lassen, wird der Benutzer zu der Ressource umgeleitet, auf die er ursprünglich zugreifen wollte. Das IVE Wenn die erneute Authentifizierung der Benutzer über das IVE erfolgt, werden die Benutzer zu einer zwischengeschalteten IVE-Seite umgeleitet (siehe „Erneute Authentifizierung von Benutzern mit unzureichenden Sicherheitsebenen“ auf Seite 146). Soll das IVE den Benutzer zu einer originalen Ressource umleiten, auf die er zugreifen möchte, muss die Option Browser request follow through auf der Seite Users > User Roles > [Rolle] > General > Session Options der Administratorkonsole ausgewählt werden. (Wenn Sie dieses Feld leer lassen und die Option Browser request follow through nicht aktivieren, leitet das IVE den Benutzer zu der IVE-Seite um, die der Benutzer als Standardlesezeichen festgelegt hat.) * Informationen zum Festlegen einer Methode für die erneute Authentifizierung finden Sie unter „Erstellen eines SiteMinderAuthentifizierungsschemas für das IVE“ auf Seite 148. ** Wenn ein Benutzer eine geschützte Ressource anfordert, wird er von SiteMinder an einen Formularanmeldedaten-Collector (FCC) weitergeleitet, der dann auf dem Richtlinienserver ein Webformular zum Erfassen der Anmeldedaten aufruft. Ignore authorization for files with extensions Geben Sie Dateierweiterungen ein, die den Dateitypen entsprechen, für die keine Autorisierung erforderlich ist. Sie müssen die Erweiterung jedes einzelnen Dateityps eingeben, der ignoriert werden soll, und diese durch Kommas trennen. Geben Sie beispielsweise „gif, .jpeg, .jpg, .bmp“ ein, um verschiedene Bilddateitypen zu ignorieren. Es dürfen keine Platzhalterzeichen (wie *, *.* oder .*) verwendet werden, um eine ganze Gruppe von Dateitypen zu ignorieren. Konfigurieren einer Netegrity SiteMinder-Instanz 163 Juniper Networks Secure Access – Administratorhandbuch Tabelle 14: Erweiterte NetegritySiteMinder-Konfigurationsoptionen Option Beschreibung Poll Interval Geben Sie das Intervall ein, nach dessen Ablauf das IVE den SiteMinderRichtlinienserver auf neue Schlüssel überprüft. Max. Connections Steuert die maximale Anzahl gleichzeitiger Verbindungen, die das IVE mit dem Richtlinienserver herstellen kann. Die Standardeinstellung ist 20. Max. Requests/ Connection Steuert die maximale Anzahl von Anforderungen, die von der Richtlinienserververbindung verarbeitet werden, bevor das IVE die Verbindung trennt. Sie können diese Einstellung ggf. ändern, um die Leistungsfähigkeit zu erhöhen. Die Standardeinstellung ist 1000. Idle Timeout Steuert die maximale Anzahl der Minuten, die sich eine Verbindung mit dem Richtlinienserver im Leerlauf befinden kann (wobei die Verbindung keine Anforderungen verarbeitet), bevor das IVE die Verbindung trennt. Die Standardeinstellung „none“ gibt an, dass es keine zeitliche Begrenzung gibt. Authorize while Authenticating Legt fest, dass das IVE unmittelbar nach der Authentifizierung auf dem Richtlinienserver nach Benutzerattributen suchen soll, um zu ermitteln, ob der Benutzer tatsächlich authentifiziert wurde. Wenn beispielsweise der Netegrity-Server Benutzer auf der Grundlage einer LDAPServereinstellung authentifiziert, können Sie diese Option auswählen, um anzugeben, dass das IVE Benutzer über den Netegrity-Server authentifizieren und anschließend über den LDAP-Server autorisieren soll, bevor den Benutzern der Zugriff gewährt wird. Wenn der Benutzer nicht authentifiziert oder autorisiert werden kann, wird er zu der auf dem Richtlinienserver konfigurierten Seite umgeleitet. Hinweis: Wenn Sie diese Option nicht auswählen und die Autorisierungsoptionen mithilfe des RichtlinienserverKonfigurationsprogramms auf der Registerkarte Policy Users > Exclude festgelegt haben, kann sich ein Benutzer, dem Sie den Zugriff verweigert haben, erfolgreich auf dem IVE authentifizieren. Erst wenn der Benutzer versucht, auf eine geschützte Ressource zuzugreifen, überprüft das IVE seine Autorisierungsrechte und verweigert ihm den Zugriff. Das IVE sendet sowohl zur Autorisierung als auch zur Authentifizierung dieselbe Ressource an den Richtlinienserver. Diese Option wird nicht mit der unter „Authenticate using HTML form post“ auf Seite 160 beschriebenen Option Authenticate using HTML form post oder der unter „Automatic Sign-In“ auf Seite 158 beschriebenen Option Automatic sign-in unterstützt. Enable Session Grace Period, Validate cookie every N seconds 164 Konfigurieren einer Netegrity SiteMinder-Instanz Sie können den mit dem Überprüfen des SMSESSION-Cookies eines Benutzers bei jeder Anforderung derselben Ressource verbundenen Aufwand erheblich reduzieren, indem Sie festlegen, dass das IVE das Cookie für einen bestimmten Zeitraum als gültig betrachten soll. In dieser Zeit geht das IVE davon aus, dass das zwischengespeicherte Cookie gültig ist, sodass keine erneute Überprüfung über den Richtlinienserver erfolgt. Wenn Sie diese Option nicht auswählen, überprüft das IVE das SMSESSION-Cookie des Benutzers bei jeder Anforderung. Beachten Sie, dass der hier eingegebene Wert keinen Einfluss auf die Überprüfung von Sitzungs- oder Leerlaufzeitüberschreitungen hat. Kapitel 7: Authentifizierungs- und Verzeichnisserver Tabelle 14: Erweiterte NetegritySiteMinder-Konfigurationsoptionen (Fortsetzung) Option Beschreibung Ignore Query Data Wenn ein Benutzer eine Ressource anfordert, sendet das IVE standardmäßig die gesamte URL (einschließlich der Abfrageparameter) für diese Ressource an den Richtlinienserver (einschließlich des Abfrageparameters, sofern dieser vorhanden ist) und speichert die URL zwischen. Das IVE sendet u.U. die folgende URL an den Richtlinienserver: http://foo/bar?param=value. (Abfragedaten werden nach dem Zeichen „?“ in der URL angezeigt. In dieser URL stellt param=value den Abfrageparameter dar.) Das IVE nimmt anschließend eine zehnminütige Zwischenspeicherung des Ergebnisses der Autorisierungsanforderung vor (einschließlich des Abfrageparameters). Fordert der Benutzer anschließend dieselbe Ressource an, die in der zwischengespeicherten URL angegeben ist, schlägt die Anforderung fehl, da der Abfrageteil der zwischengespeicherten URL nicht der neuen Anforderung entspricht. Das IVE muss nun erneut eine Verbindung zum Richtlinienserver herstellen, um eine den neuen Abfrageparameter enthaltende Anforderung zu stellen. Bei Auswahl der Option Ignore Query Data nimmt das IVE keine Zwischenspeicherung des Abfrageparameters in den URLs vor. Fordert ein Benutzer dieselbe Ressource, die in der zwischengespeicherten URL angegeben ist, an, schlägt die Anforderung in der Regel nicht fehl. Wird z.B. die Option Ignore Query Data aktiviert, werden beide der folgenden URLs als dieselbe Ressource eingestuft: http://foo/bar?param=value1 http://foo/bar?param=value2 Durch Aktivieren dieser Option wird u.U. die Leistung verbessert. Accounting Port Der Wert in diesem Feld muss mit dem über die Netegrity Policy Server Management Console eingegebenen Wert für den Accounting Port übereinstimmen. Standardmäßig stimmt dieses Feld mit der Standardeinstellung des Richtlinienservers (44441) überein. Authentication Port Der Wert in diesem Feld muss mit dem über die Netegrity Policy Server Management Console eingegebenen Wert für den Authentifizierungsport übereinstimmen. Standardmäßig stimmt dieses Feld mit der Standardeinstellung des Richtlinienservers (44442) überein. Authorization Port Der Wert in diesem Feld muss mit dem über die Netegrity Policy Server Management Console eingegebenen Wert für den Autorisierungsport übereinstimmen. Standardmäßig stimmt dieses Feld mit der Standardeinstellung des Richtlinienservers (44443) überein. Flush Cache Hiermit kann der Ressourcencache des IVE gelöscht werden, in dem Ressourcenautorisierungsdaten 10 Minuten lang zwischengespeichert werden. Verwenden von SiteMinder-Benutzerattributen für die IVERollenzuordnung Nachdem Sie Benutzerattribute auf einem SiteMinder-Richtlinienserver erstellt haben (siehe „Erstellen von SiteMinder-Benutzerattributen für die IVE-Rollenzuordnung“ auf Seite 152), können Sie diese Attribute in Rollenzuordnungsregeln für einen Bereich verwenden, der den SiteMinder-Richtlinienserver verwendet. So verwenden Sie SiteMinder-Benutzerattribute für die IVE-Rollenzuordnung: 1. Wählen Sie in der Administratorkonsole Administrators > Admin Realms oder Users > User Realms aus. Konfigurieren einer Netegrity SiteMinder-Instanz 165 Juniper Networks Secure Access – Administratorhandbuch 2. Wählen Sie auf der Registerkarte General der Seite Authentication Realms für den den SiteMinder-Richtlinienserver verwendenden IVE-Bereich in der Liste Directory/Attribute Same as Above aus. (Anweisungen hierfür finden Sie unter „Erstellen eines Authentifizierungsbereichs“ auf Seite 178.) HINWEIS: Wird anstelle von Same as Above in der Liste Directory/Attribute LDAP ausgewählt, können bei den Rollenzuordnungsregeln sowohl SiteMinder- als auch LDAP-Attribute verwendet werden. 3. Erstellen Sie auf der IVE-Registerkarte Role Mapping basierend auf IVEBenutzerattributen eine Regel, die ein SiteMinder-Benutzerattributcookie referenziert. Um auf ein SiteMinder-Benutzerattributcookie namens department zu verweisen, fügen Sie der Liste der IVE-Benutzerattribute auf der IVE-Registerkarte Role Mapping z.B. department hinzu. Geben Sie anschließend einen Wert für das SiteMinder-Benutzerattributcookie an, z.B. sales. Anweisungen hierfür finden Sie unter „Erstellen von Rollenzuordnungsregeln“ auf Seite 181. Sie können auch die folgende Syntax verwenden, um in einem benutzerdefinierten Ausdruck für eine Rollenzuordnungsregel auf ein SiteMinder-Benutzerattributcookie zu verweisen: userAttr.<cookie-name> Beispiel: userAttr.department = ("sales" and "eng") Definieren eines SiteMinder-Bereichs für die automatische Anmeldung Die automatische SiteMinder-Anmeldung erfordert einen Bereich, dessen Authentifizierungsserver der SiteMinder-Server ist. Wenn Sie eine Aktualisierung vornehmen und für die automatische Anmeldung bereits einen Bereich definiert haben, in dem der SiteMinder-Server nicht für die Authentifizierung angegeben ist, und Sie den SiteMinder-Server konfiguriert haben, gilt Folgendes: Die Bereiche werden nicht in der SiteMinder-Bereichsliste unter den SiteMinderAuthentifizierungseinstellungen in der Administratorkonsole angezeigt. Durch den Aktualisierungsprozess wird ein neuer Bereich namens „NetegrityAuto-Login-Realm“ erstellt, der auf dem vorhandenen Bereich basiert, jedoch den SiteMinder-Server als seinen Authentifizierungsserver konfiguriert. So konfigurieren Sie den SiteMinder-Bereich in einer neuen Installation: 1. Wählen Sie Authentication > Auth. Servers. 2. Wählen Sie in der Liste New SiteMinder aus, und klicken Sie auf New Server. 3. Legen Sie die gewünschten Einstellungen wie unter „Definieren einer Netegrity SiteMinder-Serverinstanz“ auf Seite 156 beschrieben fest. 4. Klicken Sie auf Save Changes. 166 Konfigurieren einer Netegrity SiteMinder-Instanz Kapitel 7: Authentifizierungs- und Verzeichnisserver 5. Konfigurieren Sie den Bereich wie unter „Erstellen eines Authentifizierungsbereichs“ auf Seite 178 beschrieben, und wählen Sie den SiteMinder-Server als Authentifizierungsserver aus. 6. Wählen Sie Authentication > Auth. Servers. 7. Wählen Sie den zuvor definierten SiteMinder-Server aus. 8. Aktivieren Sie unter SiteMinder authentication settings das Kontrollkästchen Automatic Sign In: 9. Wählen Sie in der Liste der Benutzerauthentifizierungsbereiche den eben konfigurierten Bereich aus. 10. Klicken Sie auf Save Changes. HINWEIS: Die Liste der Benutzerauthentifizierungsbereiche auf der Seite für den SiteMinder-Server enthält nur die für SiteMinder konfigurierten Bereiche. Wenn Sie keine SiteMinder-Bereiche konfiguriert haben, ist das Dropdownmenü leer. Debuggen von SiteMinder- und IVE-Problemen In einigen Fällen stoßen Sie möglicherweise auf Probleme beim Konfigurieren der Netegrity SiteMinder-Serverinteraktionen mit dem IVE. Zur Identifizierung und Lösung von Problemen können Sie eine Reihe von Debuggingtools verwenden: Überprüfen Sie die IVE-Protokolldatei. Das IVE verfolgt Fehler bei der CookieValidierung, bei Autorisierungsanforderungen und durch Tasten-Rollover. Überprüfen Sie die Protokolldateien der Authentifizierung und Autorisierung durch die Richtlinienserver. Überprüfen Sie die Protokolldatei des standardmäßigen Web-Agenten, wenn die Option Authentication using HTLM Form POST ausgewählt wurde. Stellen Sie sicher, dass das IVE das richtige Suffix enthält, das Sie im Feld Cookie Domain definiert haben. Falls das IVE nicht korrekt adressiert ist, leitet der Browser u. U. nicht das richtige SMSESSION-Cookie an das IVE weiter und Sie können sich nicht anmelden. Sie müssen im Browser den FQDN des IVE eingeben, und nicht die IP-Adresse des IVE, da die Anmeldung sonst fehlschlägt. Stellen Sie sicher, dass die IVE-Systemzeit mit der Systemzeit des SiteMinderServers synchronisiert ist. Wenn die beiden Systemzeiten zu sehr voneinander abweichen, funktionieren die Zeitlimiteinstellungen möglicherweise nicht ordnungsgemäß und Ihre Anmeldeversuche werden abgewiesen. Bestätigen Sie im SiteMinder-Server, dass im Dialogfeld Siteminder Realm die richtigen Optionen für Session Timeout max timeout und idle festgelegt wurden. Konfigurieren einer Netegrity SiteMinder-Instanz 167 Juniper Networks Secure Access – Administratorhandbuch Wenn Sie sich beim IVE anmelden und zu einem durch Netegrity geschützten Web-Agenten wechseln, und dann die Netegrity-Anmeldeseite anstatt der Seite für die Einzelanmeldung (SSO) angezeigt wird, überprüfen Sie den Wert IVE Cookie Domain, um sicherzustellen, dass die Domäne mit der Domäne des durch Netegrity geschützten Webagenten übereinstimmt. Überprüfen Sie die Einstellung für die Option Send Cookie Securely. Wenn Send Cookie Securely auf yes gesetzt ist, funktioniert die Einzelanmeldung nur bei gesicherten Seiten (https://). Wenn Send Cookie Securely auf no gesetzt ist, funktioniert die Einzelanmeldung bei gesicherten und nicht gesicherten Seiten (http:// und https://). Konfigurieren einer SAML-Serverinstanz Das IVE akzeptiert mit einem Artifact-Profil oder einem POST-Profil die von einer SAML-Stelle erstellten Authentifizierungsassertionen. Dank dieser Funktion kann sich ein Benutzer an einer Quell-Site oder einem Portal anmelden, ohne zuerst über das IVE zu gehen und dann mit Einzelanmeldung (SSO) über den SAML Consumer Service auf das IVE zuzugreifen. Als Ergebnis kann der Benutzer, der sich an anderer Stelle authentifiziert, ohne erneute Anmeldung auf Ressourcen hinter dem IVE zugreifen. Verwenden des Artifact- und des POST-Profils Die zwei unterstützten Profile bieten verschiedene Methoden zur Durchführung derselben Aufgabe. Ziel des Endbenutzers ist die einmalige Anmeldung an allen gewünschten Ressourcen, ohne für verschiedene Ressourcen oder Anwendungen mehrere Anmeldeseiten aufrufen zu müssen. Auch wenn sich der Endbenutzer Transparenz wünscht, sind Sie als Administrator bestrebt, für alle Ressourcen im System absolute Sicherheit zu gewährleisten, unabhängig von den dargestellten Servern oder Sites. Das Artifact-Profil erfordert die Einrichtung einer automatisierten AnforderungAntwort-HTTP-Meldung, die der Browser anhand einer „HTTP GET“-Anforderung abrufen kann. Informationen zu dieser Methode finden Sie unter „Verwenden des Szenarios für Artifact-Profile“ auf Seite 168. Das POST-Profil erfordert die Erstellung eines HTML-Formulars, das dieselbe SAMLAssertion beinhalten und mithilfe der HTTP-POST-Methode von einer Endbenutzeroder einer Skriptaktion gesendet werden kann. Weitere Informationen zu dieser Methode finden Sie unter „Verwenden des Szenarios für POST-Profile“ auf Seite 169. Verwenden des Szenarios für Artifact-Profile Der SAML-Server unterstützt im Allgemeinen das folgende Artifact-Profil: 1. Der Benutzer greift über einen Browser auf eine Quell-Site zu. Bei der Quell-Site kann es sich um ein Unternehmensportal mit einem anderen Authentifizierungs-Zugriffsverwaltungssystem als IVE handeln. 2. Die Quell-Site fragt den Benutzernamen und das Kennwort des Benutzers ab. 168 Konfigurieren einer SAML-Serverinstanz Kapitel 7: Authentifizierungs- und Verzeichnisserver 3. Der Benutzer gibt den Benutzernamen und das Kennwort an, die die Quell-Site durch Abruf von einem LDAP-Verzeichnis oder einem anderen Authentifizierungsserver authentifiziert. 4. Der Benutzer klickt anschließend auf einen Link auf der Quell-Site, der auf eine Ressource auf einem Server verweist, die hinter dem IVE geschützt ist. 5. Der Link leitet den Benutzer zur Intersite Transfer Service URL auf der QuellSite um. Die Quell-Site ruft eine Authentifizierungsbestätigungsmeldung aus ihrem Cache ab und fügt sie in eine SOAP-Meldung ein. Die Quell-Site erstellt ein SAML-Artifact (eine Base64-Zeichenfolge), das zusammen mit der Ziel- und Assertionadresse in einer URL an den Browser zurückgegeben wird. 6. Die Ziel-Site fragt die authentifizierte Assertion von der Quell-Site ab, basierend auf dem von der Quell-Site empfangenen Artifact. 7. Falls die abgelaufene Zeit innerhalb der Zeit für „Allowable Clock Skew“ liegt, das IVE die Assertion als gültige Authentifizierung akzeptiert und der Benutzer alle anderen IVE-Richtlinieneinschränkungen erfüllt, gewährt das IVE dem Benutzer den Zugriff auf die angeforderte Ressource. Folgende Aufgaben, die zur Unterstützung des IVE als Relying Party mit dem Artifact-Profil auszuführen sind, gehören zu den Hauptaufgaben: Implementieren des Assertion Consumer Service, in dem folgende Vorgänge ablaufen: Empfangen der Umleitungs-URL mit dem Artifact Erstellen und Senden der SAML-Anforderung Empfangen und Verarbeiten der SAML-Antwort Integrieren des Assertion Consumer Service mit dem vorhandenen IVE-Prozess, in dem folgende Vorgänge ausgeführt werden: Zuordnen der SAML-Assertion zu einem lokalen Benutzer Erstellen einer IVE-Benutzersitzung Ausführen einer lokalen Autorisierung Bedienen der Ressource oder Verweigern des Zugriffs Verwenden des Szenarios für POST-Profile Der SAML-Server unterstützt im Allgemeinen das POST-Profil-Szenario auf folgende Art und Weise: 1. Der Endbenutzer greift auf die Quell-Website zu; diese wird nachfolgend als Quellsite bezeichnet. 2. Die Quellsite überprüft, ob der Benutzer an einer aktuellen Sitzung teilnimmt. Konfigurieren einer SAML-Serverinstanz 169 Juniper Networks Secure Access – Administratorhandbuch 3. Ist dies nicht der Fall, fordert die Quellsite den Benutzer dazu auf, die Anmeldedaten einzugeben. 4. Der Benutzer gibt seine Anmeldedaten, wie z.B. Benutzername und Kennwort ein. 5. Verläuft die Authentifizierung erfolgreich, erstellt der Authentifizierungsserver für die Quellsite eine Sitzung für den Benutzer und zeigt die entsprechende Willkommensseite der Portalanwendung an. 6. Der Benutzer wählt anschließend eine Menüoption oder einen Link aus, der auf eine Ressource oder Anwendung auf einer Ziel-Website verweist. 7. Die Portalanwendung leitet die Anforderung zum lokalen Inter-Site Transfer Service, der auf der Quellsite gehostet werden kann. Die Anforderung beinhaltet die URL der Ressource auf der Zielsite, d.h. die ZIEL-URL. 8. Der Inter-Site Transfer Service sendet ein HTML-Formular zurück an den Browser. Das HTML-Formular beinhaltet eine SAML-Antwort, innerhalb der sich eine SAML-Assertion befindet. Die Antwort muss digital signiert werden. Normalerweise beinhaltet das HTML-Formular eine Eingabe- oder eine Übermittlungsaktion, die zu einem HTTP-POST führt. Dabei kann es sich um eine für den Benutzer per Mausklick auswählbare Schaltfläche mit der Bezeichnung Submit oder um ein Skript handeln, das den HTTP-POST programmatisch initiiert. 9. Der Browser sendet – entweder aufgrund einer Benutzeraktion oder aufgrund einer Aktion für automatisches Senden – einen HTTP-POST mit der SAMLAntwort auf den Assertion Consumer Service der Ziel-Website. 10. Der Assertion Consumer des Antwortenden (in diesem Fall auf der ZielWebsite) überprüft die digitale Signatur auf der SAML-Antwort. 11. Ist die Signatur gültig, sendet der Assertion Consumer eine Umleitung an den Browser, und sorgt damit für den Zugriff des Browsers auf die Zielressource. 12. Das IVE auf der Zielsite überprüft, ob der Benutzer über die Berechtigung verfügt, auf die Zielsite und die Zielquelle zuzugreifen. 13. Verfügt der Benutzer über die Berechtigung für den Zugriff auf die Zielsite und die Zielressource, gibt das IVE die Zielressource an den Browser zurück. Die Hauptaufgaben, die zur Unterstützung des IVE als Relying Party mit dem POSTProfil auszuführen sind, umfassen folgende: 170 Implementieren des Assertion Consumer Service, der das POST-Formular empfängt und verarbeitet Integrieren des Assertion Consumer Service mit dem vorhandenen IVE-Prozess, in dem folgende Vorgänge ausgeführt werden: Zuordnen der SAML-Assertion zu einem lokalen Benutzer Erstellen einer IVE-Benutzersitzung Ausführen einer lokaler Autorisierung Konfigurieren einer SAML-Serverinstanz Kapitel 7: Authentifizierungs- und Verzeichnisserver Bedienen der Ressource oder Verweigern des Zugriffs Verstehen von Assertions Jede Partei in der Anfrage-Antwort-Kommunikation muss bestimmte Anforderungen erfüllen. Die Anforderungen bieten eine prognostizierbare Infrastruktur, damit die Assertions und Artifacts korrekt verarbeitet werden können. Das Artifact ist eine Base-64-codierte Zeichenfolge mit 40 Byte. Ein Artifact agiert als Token, das auf eine Assertion auf der Quell-Site verweist. Somit kann der Artifact-Inhaber – das IVE – einen Benutzer authentifizieren, der sich an der Quell-Site angemeldet hat und nun auf eine vom IVE geschützte Ressource zugreifen möchte. Die Quell-Site sendet das Artifact an das IVE in einer Umleitung, nachdem der Benutzer versucht hat, auf eine vom IVE geschützte Ressource zuzugreifen. Das Artifact enthält Folgendes: TypeCode – 2-Byte-Hex-Code 0x0001, der den Artifacttyp identifiziert. SourceID – Verschlüsselte 20-Byte-Zeichenfolge, die die Identität und Adresse der Quell-Site bestimmt. Das IVE verwaltet eine Tabelle von SourceID-Werten und die URL für den entsprechenden SAML-Responder. Das IVE und die Quell-Site tauschen diese Informationen in einem Backchannel aus. Beim Empfang des SAML-Artifacts bestimmt das IVE, ob die SourceID zu einer bekannten Quell-Site gehört, und ermittelt, wenn dies der Fall ist, die Adresse der Site vor dem Senden einer SAML-Anforderung. Die Quell-Site erzeugt die SourceID durch Berechnen des SHA-1-Hash der URL der Quell-Site. AssertionHandle – Zufälliger 20-Byte-Wert, der eine durch die Quell-Site gespeicherte oder erzeugte Assertion identifiziert. Mindestens 8 Byte dieses Werts müssen von einem kryptografisch sicheren RNG oder PRNG abgerufen werden. Der Inter-Site Transfer Service ist die URL zur Angabe der Identität auf der Quell-Site (nicht das IVE). Durch das Angeben dieser URL in der IVEAdministratorkonsole kann das IVE eine Authentifizierungsanforderung an die Quell-Site mit den Anmeldedaten des Benutzers im Zwischenspeicher erzeugen. Die Anforderung ist ähnlich dem folgenden Beispiel: GET http://<inter-site transfer host name and path>?TARGET=<Target>…<HTTPVersion><other HTTP 1.0 or 1.1 components> In diesem Beispiel besteht <Inter-Site Transferhostname und -Pfad> aus dem Hostnamen, der Portnummer und den Pfadkomponenten des Inter-Site Transfer URL auf der Quell-Site, und Target=<Target> gibt die angeforderte Zielressource auf der (von IVE geschützten) Ziel-Site an. Die Anforderung könnte wie folgt aussehen: GET http://10.56.1.123:8002/xferSvc?TARGET=http://www.dest.com/sales.htm Der Inter-Site Transfer Service leitet den Browser des Benutzers zum Assertion Consumer Service auf der Ziel-Site um, in diesem Fall das IVE. Die HTTPAntwort vom Inter-Site Transfer Service auf der Quell-Site muss folgendes Format aufweisen: Konfigurieren einer SAML-Serverinstanz 171 Juniper Networks Secure Access – Administratorhandbuch <HTTP-Version> 302 <Reason Phrase> <other headers> Location : http://<assertion consumer host name and path>?<SAML searchpart><other HTTP 1.0 or 1.1 components> In diesem Beispiel geben <Assertion Consumer-Hostname und -Pfad> den Hostnamen, die Portnummer und Pfadkomponenten einer Assertion Consumer-URL auf der Ziel-Site an, und <SAML searchpart>= …TARGET=<Ziel> …SAMLart=<SAML-Artifact>… besteht aus einer Zielbeschreibung, die in der Komponente <SAML searchpart> enthalten sein muss. Mindestens ein SAMLArtifact muss in der SAML-Komponente <SAML searchpart> enthalten sein. Die Asserting Party kann mehrere SAML-Artifacts enthalten. HINWEIS: Sie können mit dem Statuscode 302 angeben, dass sich die angeforderte Ressource vorübergehend unter einer anderen URL befindet. Falls <SAML searchpart> mehr als ein Artifact enthält, nutzen alle Artifacts die gleicheSourceID. Die Umleitung kann wie folgt aussehen: HTTP/1.1 302 Found Location: http://www.ive.com:5802/artifact?TARGET=/www.ive.com/&SAMLart=artifact Der Browser des Benutzers greift auf den Assertion Consumer Service zu, wobei ein SAML-Artifact die der URL hinzugefügten Authentifizierungsinformationen des Benutzers darstellt. Die HTTP-Anforderung muss wie folgt angezeigt werden: GET http://<assertion consumer host name and path>?<SAML searchpart> <HTTP-Version><other HTTP 1.0 or 1.1 request components> In diesem Beispiel gibt <Assertion Consumer-Hostname und -Pfad> den Hostnamen, die Portnummer und Pfadkomponenten einer Assertion Consumer-URL auf der Ziel-Site an. <SAML searchpart>= …TARGET=<Target>…SAMLart=<SAML artifact> … In der Komponente <SAML searchpart> MUSS die Beschreibung eines einzelnen Ziels enthalten sein. Mindestens ein SAML-Artifact MUSS in der Komponente <SAML searchpart> enthalten sein; mehrere SAML-Artifacts KÖNNEN enthalten sein. Befindet sich mehr als ein Artifact in <SAML searchpart>, MÜSSEN alle Artifacts dieselbe SourceID aufweisen. Senden Sie die Assertion Consumer-URL nur über SSL 3.0 oder TLS 1.0. Andernfalls können übertragene Artifacts Angreifern als Klartext zur Verfügung stehen. 172 Konfigurieren einer SAML-Serverinstanz Kapitel 7: Authentifizierungs- und Verzeichnisserver Der issuer value ist in der Regel die URL der Quellsite. Sie können die Variable <ISSUER> angeben, die den Ausstellerwert (issuer value) aus der Assertion zurückgibt. Die user name template ist ein Verweis auf das Bezeichnerelement des SAMLNamens, mit dem die Asserting Party ein Format für den Benutzernamen angeben kann. Die SAML-Spezifikation gestattet Werte in den folgenden Formaten: Unspecified – Zeigt an, dass die Interpretation des Inhalts den einzelnen Implementierungen überlassen ist. In diesem Fall können Sie die Variable assertionName verwenden. Email Address – Zeigt an, dass der Inhalt die Form einer E-Mail-Adresse hat. In diesem Fall können Sie die Variable assertionName verwenden. X.509 Subject Name – Zeigt an, dass der Inhalt die Form eines X.509Subjektnamens hat. In diesem Fall können Sie die Variable assertionNameDN.<RDN> verwenden. Windows Domain Qualified Name – Zeigt an, dass der Inhalt eine Zeichenfolge in Form von DomänenName\Benutzername darstellt. Definieren Sie die Benutzernamenvorlage so, dass sie den in der SAML-Assertion enthaltenen Typ von Benutzernamen akzeptiert. Um das Ausspionieren des SAML-Artifacts zu verhindern, sollten die Quell- und Ziel-Site ihre Uhren möglichst exakt synchronisieren. Das IVE enthält das Attribut Allowed Clock Skew, das den maximal zulässigen Zeitunterschied zwischen dem IVE und der Quell-Site festlegt. Das IVE verweigert alle Assertions, die diesen Zeitunterschied überschreiten. Konfigurieren einer SAML-Serverinstanz So erstellen Sie eine neue SAML-Serverinstanz und konfigurieren die gemeinsamen Elemente: 1. Wählen Sie in der Administratorkonsole Authentication > Auth. Servers aus. 2. Wählen Sie aus der Liste New SAML Server aus, und klicken Sie anschließend auf New Server. 3. Geben Sie einen Namen ein, um die Serverinstanz zu bezeichnen. 4. Geben Sie unter Settings Source Site Inter-Site Transfer Service URL an: 5. Geben Sie den issuer value für die Quell-Site an. Dies ist normalerweise die URL bzw. Hostname des Ausstellers der Assertion. 6. Geben Sie die user name template an, eine Zuordnungszeichenfolge aus der SAML-Assertion zu einem IVE-Benutzerbereich. Geben Sie beispielsweise <assertionNameDN.CN>, womit der Benutzername aus dem CN-Wert in der Assertion abgeleitet wird. Weitere Informationen zu zulässigen Werten für dieses Objekt finden Sie unter „Konfigurieren einer SAML-Serverinstanz“ auf Seite 168. Konfigurieren einer SAML-Serverinstanz 173 Juniper Networks Secure Access – Administratorhandbuch 7. Geben Sie den Wert Allowed Clock Skew in Minuten an. Dieser Wert legt die maximal zulässige Zeitdifferenz zwischen der IVE-Uhr und der Quell-Site-Uhr fest. 8. Definieren Sie die Konfiguration entweder für das Artifact-Profil (wie unter „Konfigurieren der SAML-Serverinstanz für die Verwendung eines ArtifactProfils“ auf Seite 174 beschrieben) oder für das POST-Profile (wie unter „Konfigurieren der SAML-Serverinstanz für die Verwendung eines POST-Profils“ auf Seite 174 beschrieben). Konfigurieren der SAML-Serverinstanz für die Verwendung eines ArtifactProfils Setzen Sie den folgenden Vorgang aus dem letzten Schritt in „Konfigurieren einer SAML-Serverinstanz“ auf Seite 173 fort, um den SAML-Server für die Verwendung eines Artifact-Profils zu verwenden. 1. Geben Sie auf der Seite New SAML Server Source ID ein: Die Quell-ID ist der 20-byte-Bezeichner, mit dem das IVE eine Assertion von einer bestimmten Quell-Site erkennt. 2. Geben Sie die Source SOAP Responder Service URL ein. Geben Sie diese URL als HTTPS: Protokoll an. 3. Wählen Sie den Typ der SOAP Client Authentication aus. Wenn Sie HTTP Basic wählen, müssen Sie Benutzernamen und Kennwort eingeben und das Kennwort bestätigen. Wählen Sie bei Auswahl von SSL Client Certificate im Dropdownmenü ein IVE-Zertifikat aus. 4. Klicken Sie auf Save Changes. Wenn Sie zum ersten Mal eine Serverinstanz erstellen, werden die Registerkarten Settings und Users angezeigt. Die Registerkarte Settings ermöglicht das Ändern all dieser Einstellungen, die sich auf die SAML-Serverinstanz und das Artifact-Profil beziehen. Auf der Registerkarte Users werden gültige Benutzer des Servers aufgeführt. Konfigurieren der SAML-Serverinstanz für die Verwendung eines POSTProfils Setzen Sie den folgenden Vorgang aus dem letzten Schritt in „Konfigurieren einer SAML-Serverinstanz“ auf Seite 173 fort, um den SAML-Server für die Verwendung eines POST-Profils zu verwenden. 1. Wählen Sie auf der Seite New SAML Server Post aus: 2. Geben Sie den Namen des Antwortsignaturzertifikats, oder navigieren Sie zu diesem bzw. suchen Sie dieses. Dabei handelt es sich um das mit PEMFormatierung versehene Signaturzertifikat, das für die Überprüfung der SAMLAntwortsignatur geladen wird. 174 Konfigurieren einer SAML-Serverinstanz Kapitel 7: Authentifizierungs- und Verzeichnisserver Das ausgewählte Zertifikat sollte mit dem für das Signieren der SAML-Antwort auf der Quellsite verwendeten Zertifikat übereinstimmen. Die Quellsite sendet dieses Zertifikat abhängig von der Konfiguration der Quellsite ggf. mit der SAML-Antwort. Standardmäßig führt das System Signaturüberprüfungen der SAML-Antwort zunächst auf dem lokal konfigurierten Zertifikat aus. Ist ein Zertifikat lokal nicht im SAML-Authentifizierungsserver konfiguriert, führt das System die Signaturüberprüfung mit dem in der SAML-Antwort von der Quellsite enthaltenen Zertifikat aus. 3. Wählen Sie die Option Enable Signing Certificate status checking aus, wenn das IVE die Gültigkeit des im POST-Profil des SAML-Authentifizierungsservers konfigurierten Signaturzertifikats überprüfen soll. Möglicherweise ist das Zertifikat bereits abgelaufen oder es wurde gesperrt. 4. Wurde bereits ein Zertifikat geladen und möchten Sie ein anderes verwenden, suchen Sie das Zertifikat, und klicken Sie anschließend auf Delete. Nun kann ein weiteres Zertifikat installiert werden. 5. Klicken Sie auf Save Changes. Wenn Sie zum ersten Mal eine Serverinstanz erstellen, werden die Registerkarten Settings und Users angezeigt. Die Registerkarte Settings ermöglicht das Ändern all dieser Einstellungen, die sich auf die SAML-Serverinstanz und das Artifact-Profil beziehen. Auf der Registerkarte Users werden gültige Benutzer des Servers aufgeführt. Konfigurieren einer SAML-Serverinstanz 175 Juniper Networks Secure Access – Administratorhandbuch 176 Konfigurieren einer SAML-Serverinstanz Kapitel 8 Authentifizierungsbereiche Ein Authentifizierungsbereich legt die Bedingungen fest, die Benutzer und Administratoren für die Anmeldung am IVE erfüllen müssen. Ein Authentifizierungsbereich besteht aus einer Gruppe von Authentifizierungsressourcen, einschließlich: Einem Authentifizierungsserver, durch den die Identität des Benutzers überprüft wird. Das IVE leitet die Anmeldedaten eines Benutzers von der Anmeldeseite an einen Authentifizierungsserver weiter. Weitere Informationen finden Sie unter „Authentifizierungs- und Verzeichnisserver“ auf Seite 95. Einem Verzeichnisserver, d.h. einem LDAP-Server, der dem IVE Benutzer- und Gruppeninformationen bereitstellt, mit denen das IVE Benutzer einer oder mehreren Benutzerrollen zuordnet. Weitere Informationen finden Sie unter „Authentifizierungs- und Verzeichnisserver“ auf Seite 95. Einer Authentifizierungsrichtlinie, die die Sicherheitsanforderungen des Bereichs angibt, die erfüllt sein müssen, damit das IVE die Anmeldedaten eines Benutzers zur Überprüfung an einen Authentifizierungsserver weiterleitet. Weitere Informationen finden Sie unter „Definieren von Authentifizierungsrichtlinien“ auf Seite 180. Rollenzuordnungsregeln, die die Bedingungen angeben, die ein Benutzer erfüllen muss, damit er vom IVE Rollen zugewiesen wird. Diese Bedingungen beruhen entweder auf den Benutzerinformationen, die der Verzeichnisserver des Bereichs zurückgibt, oder auf dem Benutzernamen des Benutzers. Weitere Informationen finden Sie unter „Erstellen von Rollenzuordnungsregeln“ auf Seite 181. Dieser Abschnitt enthält die folgenden Informationen über Authentifizierungsbereiche: „Lizenzierung: Verfügbarkeit von Authentifizierungsbereichen“ auf Seite 178 „Erstellen eines Authentifizierungsbereichs“ auf Seite 178 „Definieren von Authentifizierungsrichtlinien“ auf Seite 180 „Erstellen von Rollenzuordnungsregeln“ auf Seite 181 „Anpassen von Benutzeroberflächenansichten für Benutzerbereiche“ auf Seite 190 177 Juniper Networks Secure Access – Administratorhandbuch Lizenzierung: Verfügbarkeit von Authentifizierungsbereichen Authentifizierungsbereiche sind ein integraler Bestandteil der IVEZugriffsverwaltungsumgebung und daher in allen Secure Access-Produkten verfügbar. Beachten Sie jedoch, dass benutzerdefinierte Ausdrücke in der SA 700Appliance nicht verfügbar sind. In allen anderen Secure Access-Produkten stehen sie nur mit einer speziellen Lizenz zur Verfügung. Daher können nicht alle Administratoren beim Erstellen eines Bereichs erweiterte Rollenzuordnungsregeln unter Verwendung benutzerdefinierter Ausdrücke erstellen. Erstellen eines Authentifizierungsbereichs So erstellen Sie einen Authentifizierungsbereich: 1. Wählen Sie in der Administratorkonsole Administrators > Admin Realms oder Users > User Realms aus. 2. Klicken Sie auf der jeweiligen Seite Authentication Realms auf New. Oder wählen Sie einen Bereich, und klicken Sie auf Duplicate, um Ihren Bereich auf einen bestehenden Bereich aufzubauen. 3. Geben Sie einen Namen als Bezeichnung für diesen Bereich und (optional) eine Beschreibung ein. 4. Wenn Sie einen bestehenden Bereich kopieren, klicken Sie auf Duplicate. Wenn Sie anschließend einige seiner Einstellungen ändern möchten, klicken Sie auf den Namen des Bereichs, um in den Bearbeitungsmodus zu wechseln. 5. Wählen Sie When editing, start on the Role Mapping page aus, um die Registerkarte Role Mapping auszuwählen, wenn der Bereich zur Bearbeitung geöffnet wird. 6. Geben Sie unter Servers Folgendes an: Einen Authentifizierungsserver, der zum Authentifizieren von Benutzern verwendet werden soll, die sich bei diesem Bereich anmelden. Einen Verzeichnis-/Attributserver zum Abrufen von Benutzerattributen und Gruppeninformationen für Rollenzuordnungsregeln und Ressourcenrichtlinien. (Dies ist optional.) Einen RADIUS-Server, der festhält, wann sich ein Benutzer im IVE anmeldet und sich daraus wieder abmeldet (optional). HINWEIS: Wenn der LDAP-Server heruntergefahren wurde, schlägt die Benutzerauthentifizierung fehl. In den Ereignisprotokolldateien finden Sie Meldungen und Warnungen. Wenn ein Attributserver heruntergefahren wurde, schlägt die Benutzerauthentifizierung nicht fehl. Stattdessen ist die Gruppen/Attributeliste für die Rollenzuordnung und Richtlinienauswertung leer. 178 Lizenzierung: Verfügbarkeit von Authentifizierungsbereichen Kapitel 8: Authentifizierungsbereiche 7. Wenn Sie sekundäre Anmeldedaten für eine SSO-fähige Ressource übermitteln oder für den Zugriff auf das IVE die zweistufige Authentifizierung aktivieren möchten (nähere Informationen hierzu finden Sie unter „Anmeldedaten für mehrfaches Anmelden – Übersicht“ auf Seite 205), wählen Sie Additional authentication server. Gehen Sie anschließend folgendermaßen vor: a. Wählen Sie den Namen des zweiten Authentifizierungsservers. Die Auswahl eines anonymen Servers, Zertifikatservers oder Netegrity SiteMinderServers ist nicht möglich. b. Wählen Sie Username is specified by user on sign-in page, um den Benutzer beim IVE-Anmeldevorgang zum manuellen Senden seines Benutzernamens an den sekundären Server aufzufordern. Wenn andernfalls automatisch ein Benutzername an den zweiten Server übermittelt werden soll, geben Sie ins Feld predefined as statischen Text oder eine gültige Variable ein. Das IVE übermittelt standardmäßig die Sitzungsvariable <username>, die denselben Benutzernamen enthält, der auch zur Anmeldung am primären Authentifizierungsserver verwendet wird. c. Wählen Sie Password is specified by user on sign-in page, um den Benutzer beim IVE-Anmeldevorgang zum manuellen Senden seines Kennworts an den sekundären Server aufzufordern. Wenn andernfalls automatisch ein Kennwort an den zweiten Server übermittelt werden soll, geben Sie ins Feld predefined as statischen Text oder eine gültige Variable ein. d. Wählen Sie die Option End session if authentication against this server fails aus, um den Zugriff auf das IVE basierend auf der erfolgreichen Authentifizierung der sekundären Anmeldedaten des Benutzers zu steuern. 8. Wenn Sie die dynamische Richtlinienauswertung für diesen Bereich verwenden möchten (siehe Beschreibung unter „Dynamische Richtlinienauswertung“ auf Seite 41), wählen Sie Dynamic policy evaluation, um einen automatischen Timer für die dynamische Richtlinienauswertung der Authentifizierungsrichtlinie, Rollenzuordnungsregeln und Rolleneinschränkungen dieses Bereichs zu aktivieren. Gehen Sie anschließend folgendermaßen vor: a. Verwenden Sie die Option Refresh interval, um festzulegen, wie oft das IVE eine automatische Richtlinienauswertung aller aktuell angemeldeten Bereichsbenutzer durchführen soll. Geben Sie die Anzahl der Minuten an (5 bis 1440). b. Wählen Sie die Option Refresh roles, um auch die Rollen aller Benutzer in diesem Bereich zu aktualisieren. (Diese Option wirkt sich nicht auf die Funktion der Schaltfläche Refresh Now aus.) c. Wählen Sie Refresh resource policies, um die Ressourcenrichtlinien (Konferenz- und E-Mail-Client nicht eingeschlossen) aller Benutzer in diesem Bereich ebenfalls zu aktualisieren. (Diese Option wirkt sich nicht auf die Funktion der Schaltfläche Refresh Now aus.) HINWEIS: Wird Dynamic policy evaluation ausgewählt, Refresh roles und Refresh resource policies jedoch nicht, bewertet das IVE nur die Authentifizierungsrichtlinie des Bereichs, Rollenzuordnungsregeln und Rollenbeschränkungen. Erstellen eines Authentifizierungsbereichs 179 Juniper Networks Secure Access – Administratorhandbuch d. Klicken Sie auf Refresh Now, um die Authentifizierungsrichtlinie, die Rollenzuordnungsregeln, Rolleneinschränkungen, Benutzerrollen und Ressourcenrichtlinien des Bereichs für alle aktuell angemeldeten Bereichsbenutzer manuell auszuwerten. Verwenden Sie diese Schaltfläche, wenn Sie Änderungen an einer Authentifizierungsrichtlinie, an Rollenzuordnungsregeln, Rolleneinschränkungen oder Ressourcenrichtlinien vornehmen möchten, und die Rollen der Benutzer dieses Bereichs sofort aktualisiert werden sollen. HINWEIS: Da die dynamische Richtlinienauswertung die Systemleistung möglicherweise beeinträchtigt, beachten Sie folgende Richtlinien: Da das automatische (timerbasierte) Aktualisieren von Benutzerrollen und Ressourcenrichtlinien die Systemleistung beeinträchtigen kann, haben Sie die Möglichkeit, die Leistung zu verbessern, indem Sie eine der Optionen oder die beiden Optionen Refresh roles und Refresh resource policies deaktivieren; so werden die Auswirkungen der Aktualisierung gemindert. Zur Verbesserung der Leistung setzen Sie die Option Refresh interval auf ein längeres Zeitintervall. Verwenden Sie die Schaltfläche Refresh Now, wenn die Benutzer davon nicht betroffen sein sollen. 9. Klicken Sie auf Save Changes, um den Bereich auf dem IVE zu erstellen. Die Registerkarten General, Authentication Policy und Role Mapping für den Authentifizierungsbereich werden angezeigt. 10. Führen Sie die nächsten Konfigurationsschritte aus: a. Konfigurieren Sie mindestens eine Rollenzuordnungsregel wie unter „Erstellen von Rollenzuordnungsregeln“ auf Seite 181 beschrieben. b. Konfigurieren Sie eine Authentifizierungsrichtlinie für den Bereich wie unter „Definieren von Authentifizierungsrichtlinien“ auf Seite 180 beschrieben. Definieren von Authentifizierungsrichtlinien Eine Authentifizierungsrichtlinie besteht aus einer Reihe von Regeln für einen Aspekt der Zugriffsverwaltung, die steuern, ob dem Benutzer eine Anmeldeseite für den Bereich angezeigt wird. Eine Authentifizierungsrichtlinie ist Bestandteil der Konfiguration eines Authentifizierungsbereichs. Sie gibt die Regeln für das IVE an, die vor dem Anzeigen einer Anmeldeseite berücksichtigt werden müssen. Wenn der Benutzer die Anforderungen der Authentifizierungsrichtlinie für den Bereich erfüllt, zeigt das IVE dem Benutzer die Anmeldeseite an und leitet die Anmeldedaten des Benutzers an den entsprechenden Authentifizierungsserver weiter. Wenn der Benutzer durch den Server authentifiziert wird, beginnt das IVE mit der Rollenauswertung. So geben Sie eine Richtlinie für einen Authentifizierungsbereich an: 1. Wählen Sie in der Administratorkonsole Administrators > Admin Realms oder Users > User Realms aus. 180 Definieren von Authentifizierungsrichtlinien Kapitel 8: Authentifizierungsbereiche 2. Klicken Sie auf der jeweiligen Seite Authentication Realms auf einen Bereich, und klicken Sie anschließend auf die Registerkarte Authentication Policy. 3. Konfigurieren Sie auf der Seite Authentication Policy mindestens eine der in den folgenden Abschnitten beschriebenen Zugriffsverwaltungsoptionen: „Angeben von Quell-IP-Zugriffseinschränkungen“ auf Seite 45 „Angeben von Browserzugriffseinschränkungen“ auf Seite 47 „Angeben von Zertifikatzugriffseinschränkungen“ auf Seite 49 „Angeben von Kennwortzugriffseinschränkungen“ auf Seite 51 „Angeben von Host Checker-Zugriffseinschränkungen“ auf Seite 52 „Angeben von Cache Cleaner-Zugriffseinschränkungen“ auf Seite 521 „Angeben von Begrenzungsbeschränkungen“ auf Seite 52 Erstellen von Rollenzuordnungsregeln Rollenzuordnungsregeln geben die Bedingungen an, die ein Benutzer erfüllen muss, damit er vom IVE Rollen zugewiesen wird. Diese Bedingungen beruhen entweder auf den Benutzerinformationen, die der Verzeichnisserver des Bereichs zurückgibt, oder auf dem Benutzernamen des Benutzers. Geben Sie die Rollenzuordnungsdirektiven im folgenden Format an: If the specified condition is|is not true, then map the user to the selected roles. Sie erstellen eine Rollenzuordnungsregel auf der Registerkarte Role Mapping eines Authentifizierungsbereichs. (Administratoren erstellen Rollenzuordnungsregeln auf der Registerkarte Administrators > Admin Realms > [Bereich] > Role Mapping. (Benutzer erstellen Rollenzuordnungsregeln auf der Registerkarte Users > User Realms > [Bereich] > Role Mapping. Wenn Sie auf dieser Registerkarte auf New Rule klicken, wird die Seite Role Mapping Rule angezeigt. Sie enthält einen integrierten Editor für die Definition von Regeln. Der Editor führt Sie durch die drei Schritte, die zum Erstellen einer Regel notwendig sind: 1. Geben Sie den Bedingungstyp an, auf dem die Regel beruhen soll. Folgende Optionen stehen zur Verfügung: Benutzername Benutzerattribut Zertifikat oder Zertifikatsattribut Gruppenmitgliedschaft Benutzerdefinierte Ausdrücke 1. In Administratorbereichen nicht verfügbar. Erstellen von Rollenzuordnungsregeln 181 Juniper Networks Secure Access – Administratorhandbuch 2. Geben Sie die auszuwertende Bedingung an, die sich folgendermaßen zusammensetzt: a. Angeben von einem oder mehreren Benutzernamen, Benutzerattributen, Zertifikatsattributen, Gruppen (LDAP) oder Ausdrücken, die von dem in Schritt 1 ausgewählten Bedingungstyp abhängen. b. Angeben der Wertentsprechungen. Dies kann auch eine Liste von Benutzernamen, Benutzerattributswerten von einem RADIUS- oder LDAPServer, clientseitigen Zertifikatswerten (statisch oder im Vergleich mit LDAPAttributen), LDAP-Gruppen oder vordefinierten Ausdrücken umfassen. 3. Geben Sie die Rollen an, die dem authentifizierten Benutzer zugewiesen werden sollen. Das IVE stellt eine Liste aller zulässigen Rollen zusammen, denen ein Benutzer zugeordnet werden kann. Diese Rollen ergeben sich aus den Rollenzuordnungsregeln, denen ein Benutzer entspricht. Anschließend wertet das IVE die Definitionen der einzelnen Rollen aus, um festzustellen, ob der Benutzer Rolleneinschränkungen unterliegt. Das IVE erstellt anhand dieser Informationen eine Liste der gültigen Rollen, d. h. der Rollen, für die der Benutzer zusätzliche Anforderungen erfüllt. Abschließend führt das IVE entweder eine permissive Zusammenführung der gültigen Rollen durch oder zeigt dem Benutzer eine Liste gültiger Rollen an. Dies hängt von der Konfiguration ab, die auf der Registerkarte Role Mapping des Bereichs angegeben ist. Weitere Informationen über Rollen finden Sie unter „Benutzerrollen“ auf Seite 53. Weitere Informationen über das Angeben von Rollenzuordnungsregeln finden Sie unter „Angeben von Rollenzuordnungsregeln für einen Authentifizierungsbereich“ auf Seite 182. Angeben von Rollenzuordnungsregeln für einen Authentifizierungsbereich Zum Erstellen einer neuen Regel, die LDAP- oder SiteMinder-Benutzerattribute, LDAP-Gruppeninformationen oder benutzerdefinierte Ausdrücke verwendet, müssen Sie den Serverkatalog verwenden. Informationen zu diesem Katalog finden Sie unter „Verwenden des LDAP-Serverkatalogs“ auf Seite 185. So geben Sie Rollenzuordnungsregeln für einen Authentifizierungsbereich an: 1. Wählen Sie in der Administratorkonsole Administrators > Admin Realms oder Users > User Realms aus. 2. Wählen Sie auf der jeweiligen Seite Authentication Realms einen Bereich aus, und klicken Sie anschließend auf die Registerkarte Role Mapping. 3. Klicken Sie auf New Rule, um auf die Seite Role Mapping Rule zuzugreifen. Diese Seite stellt einen integrierten Editor für die Definition von Regeln bereit. 4. Wählen Sie in der Liste Rule based on eine der folgenden Optionen aus: 182 Erstellen von Rollenzuordnungsregeln Username – Benutzername ist der IVE-Benutzername, der auf der Anmeldeseite eingegeben wird. Wählen Sie diese Option aus, wenn Benutzer anhand ihrer IVE-Benutzernamen zu Rollen zugeordnet werden sollen. Dieser Regeltyp ist für alle Bereiche verfügbar. Kapitel 8: Authentifizierungsbereiche User attribute – Benutzerattribut ist ein Benutzerattribut, das aus einem RADIUS-, einem LDAP- oder einem SiteMinder-Server stammt. Wählen Sie diese Option aus, wenn Benutzer anhand eines Attributs vom entsprechenden Server Rollen zugeordnet werden sollen. Dieser Regeltyp steht nur für Bereiche zur Verfügung, die einen RADIUS-Server als Authentifizierungsserver oder einen LDAP- oder SiteMinder-Server als Authentifizierungs- bzw. Verzeichnisserver verwenden. Klicken Sie nach dem Auswählen der Option User attribute auf Update, um die Liste Attribute und die Schaltfläche Attributes anzuzeigen. Zum Anzeigen des Serverkatalogs klicken Sie auf die Schaltfläche Attributes. Zum Hinzufügen von SiteMinder-Benutzerattributen geben Sie den Cookienamen des SiteMinder-Benutzerattributs im Serverkatalog in das Feld Attribute ein, und klicken Sie auf Add Attribute. Klicken Sie nach dem Hinzufügen der Cookienamen auf OK. Die Cookienamen der SiteMinder-Benutzerattribute werden vom IVE auf der Seite Role Mapping Rule in der Liste Attribute angezeigt. Informationen zum Hinzufügen von LDAP-Benutzerattributen unter Verwendung des Serverkatalogs finden Sie unter „Verwenden des LDAP-Serverkatalogs“ auf Seite 185). Certificate or Certificate attribute – Zertifikat oder Zertifikatattribut ist ein Attribut, das vom clientseitigen Zertifikat des Benutzers unterstützt wird. Wählen Sie diese Option, wenn Benutzer anhand ihrer Zertifikatsattribute Rollen zugeordnet werden sollen. Die Option Certificate ist für alle Bereiche verfügbar, während die Option Certificate attribute nur für Bereiche verfügbar ist, die einen LDAP-Authentifizierungs- oder Verzeichnisserver verwenden. Nach dem Auswählen dieser Option klicken Sie auf Update, um das Textfeld Attribute anzuzeigen. Group membership – Gruppenmitgliedschaft ist eine Angabe zur Gruppe von einem LDAP-Server oder systemeigenen Active Directory-Server, die Sie der Registerkarte Groups des Serverkatalogs hinzufügen. Wählen Sie diese Option aus, wenn Benutzer anhand der LDAP- bzw. Active DirectoryGruppeninformationen Rollen zugeordnet werden sollen. Dieser Regeltyp steht nur für Bereiche zur Verfügung, die einen LDAP-Server als Authentifizierungsoder Verzeichnisserver verwenden oder die einen Active Directory-Server für die Authentifizierung verwenden. (Ein Active Directory-Server kann nicht als Autorisierungsserver für einen Bereich angegeben werden.) Erstellen von Rollenzuordnungsregeln 183 Juniper Networks Secure Access – Administratorhandbuch I Custom Expressions – Benutzerdefinierte Ausdrücke sind benutzerdefinierte Ausdrücke, die Sie im Serverkatalog definieren. Wählen Sie diese Option aus, wenn Benutzer anhand benutzerdefinierter Ausdrücke Rollen zugeordnet werden sollen. Dieser Regeltyp ist für alle Bereiche verfügbar. Nach dem Auswählen dieser Option klicken Sie auf Update, um die Listen Expressions anzuzeigen. Klicken Sie auf die Schaltfläche Expressions, um die Registerkarte Expressions des Serverkatalogs anzuzeigen. HINWEIS: Wenn Sie derselben Regel mehr als einen benutzerdefinierten Ausdruck hinzufügen, erstellt das IVE eine „ODER“-Regel für die Ausdrücke. Sie können zum Beispiel einer einzelnen Regel die folgenden Ausdrücke hinzufügen: Ausdruck 1: cacheCleanerStatus = 1 Ausdruck 2: loginTime = (8:00AM TO 5:00PM) Basierend auf diesen Ausdrücken entspricht ein Benutzer dieser Regel, wenn Cache Cleaner in seinem System ausgeführt wird, ODER wenn er sich zwischen 8:00 und 17:00 Uhr am IVE angemeldet hat. 5. Geben Sie unter Rule die auszuwertende Bedingung an, die dem ausgewählten Regeltyp entspricht und folgende Punkte umfasst: a. Angeben von mindestens einem Benutzernamen, einem Namen eines SiteMinder-Benutzerattributcookies, einem RADIUS- oder LDAPBenutzerattribut, Zertifikatsattribut, einer LDAP-Gruppe oder einem benutzerdefinierten Ausdruck. b. Angeben der Wertentsprechungen. Dies kann auch eine Liste von IVEBenutzernamen, Benutzerattributswerten von einem RADIUS-, SiteMinderoder LDAP-Server, clientseitigen Zertifikatswerten (statische oder LDAPAttributwerte), LDAP-Gruppen oder benutzerdefinierten Ausdrücken umfassen. Sie können beispielsweise in der Liste Attribute ein SiteMinderBenutzerattributcookie namens department auswählen. Wählen Sie anschließend in der Operatorliste is aus, und geben Sie anschließend in das Textfeld „sales“ und „eng“ ein. Sie haben zudem die Möglichkeit eine Regel für einen benutzerdefinierten Ausdruck einzugeben, die auf das SiteMinder-Benutzerattributcookie mit der Bezeichnung department verweist: userAttr.department = ("sales" and "eng") 6. Gehen Sie unter ...then assign these roles folgendermaßen vor: 184 a. Geben Sie die Rollen an, die Sie dem authentifizierten Benutzer zuordnen möchten, indem Sie Rollen der Liste Selected Roles hinzufügen. b. Wählen Sie Stop processing rules when this rule matches aus, um die Bewertung der Rollenzuordnungsregeln durch das IVE zu beenden, sobald der Benutzer die für diese Regel festgelegten Bedingungen erfüllt. Erstellen von Rollenzuordnungsregeln Kapitel 8: Authentifizierungsbereiche 7. Klicken Sie auf Save Changes, um die Regel auf der Registerkarte Role Mapping zu erstellen. Gehen Sie nach dem Abschluss der Regelerstellung folgendermaßen vor: Bringen Sie die Regeln unbedingt in die Reihenfolge, in der das IVE diese auswerten soll. Diese ist besonders dann wichtig, wenn die Verarbeitung der Rollenzuordnungsregeln bei einer Übereinstimmung angehalten werden soll. Geben Sie an, ob die Einstellungen für alle zugeordneten Rollen zusammengeführt werden sollen. Weitere Informationen finden Sie unter „Richtlinien für permissive Zusammenführungen“ auf Seite 55. Verwenden des LDAP-Serverkatalogs Der LDAP-Server Catalog ist ein sekundäres Fenster, in dem Sie LDAPZusatzinformationen angeben können, die das IVE für die Zuordnung von Benutzern zu Rollen verwendet, darunter: Attributes – Die Registerkarte Server Catalog Attributes zeigt eine Liste allgemeiner LDAP-Attribute wie cn, uid, uniquemember und memberof. an. Diese Registerkarte ist nur beim Zugriff auf den Serverkatalog eines LDAP-Servers verfügbar. Auf dieser Registerkarte können Sie die Attribute eines LDAP-Servers verwalten, indem Sie seinem IVE-Serverkatalog benutzerdefinierte Werte hinzufügen oder Werte aus diesem löschen. Beachten Sie, dass das IVE eine lokale Kopie der LDAP-Serverwerte aufbewahrt. Attribute werden dem Wörterbuch weder hinzugefügt noch aus diesem gelöscht. Gruppen – Über die Registerkarte Server Catalog Groups können Gruppeninformationen einfach von einem LDAP-Server abgefragt und dem Serverkatalog eines IVE-Servers hinzugefügt werden. Sie geben den BaseDN der Gruppen und ggf. einen Filter an, um die Suche zu starten. Wenn Ihnen der genaue Container der Gruppen nicht bekannt ist, können Sie den Domänenstamm als BaseDN festlegen, z.B. dc=juniper, dc=com. Die Suchseite gibt eine Gruppenliste vom Server zurück, aus der Sie Gruppen auswählen können, die in die Liste Groups eingegeben werden. HINWEIS: Der auf der Konfigurationsseite des LDAP-Servers unter „Finding user entries“ angegebene BaseDN-Wert ist der Standard-BaseDN-Wert. Der Filterwert ist standardmäßig auf (cn=*) gesetzt. Sie können Gruppen auch auf der Registerkarte Groups angeben. Sie müssen den FQDN (Fully Qualified Distinguished Name) einer Gruppe angeben, z.B. cn=Manager, ou=Zentrale, ou=Juniper, o=com, c=DE, können dieser Gruppe jedoch eine Bezeichnung zuordnen, die in der Liste Groups angezeigt wird. Beachten Sie, dass diese Registerkarte nur beim Zugriff auf den Serverkatalog eines LDAP-Servers aufgerufen werden kann. Ausdrücke – Auf der Registerkarte Server Catalog Expressions können Sie benutzerdefinierte Ausdrücke für die Rollenzuordnungsregel schreiben. Weitere Informationen zu benutzerdefinierten Ausdrücken finden Sie unter „Schreiben benutzerdefinierter Ausdrücke“ auf Seite 915. Erstellen von Rollenzuordnungsregeln 185 Juniper Networks Secure Access – Administratorhandbuch So zeigen Sie den LDAP-Serverkatalog an: 1. Klicken Sie nach dem Auswählen der Option User attribute auf der Seite Role Mapping Rule (siehe „Angeben von Rollenzuordnungsregeln für einen Authentifizierungsbereich“ auf Seite 182) zum Anzeigen der Liste Attribute auf Update und auf die Schaltfläche Attributes. 2. Zum Anzeigen des LDAP-Serverkatalogs klicken Sie auf die Schaltfläche Attributes. (Klicken Sie nach Auswählen der Option Group membership auf Groups, oder klicken Sie nach Auswählen der Option Custom Expressions auf Expressions.) Abbildung 24: Registerkarte „Server Catalog > Attributes“ – Hinzufügen eines Attributs für LDAP Abbildung 25: Das im Serverkatalog hinzugefügte Attribut steht für die Rollenzuordnungsregel zur Verfügung. 186 Erstellen von Rollenzuordnungsregeln Kapitel 8: Authentifizierungsbereiche Abbildung 26: Registerkarte „Server Catalog > Groups“ – Hinzufügen von LDAP-Gruppen Erstellen von Rollenzuordnungsregeln 187 Juniper Networks Secure Access – Administratorhandbuch Abbildung 27: Registerkarte „Server Catalog > Groups“ – Hinzufügen von Active Directory-Gruppen 188 Erstellen von Rollenzuordnungsregeln Kapitel 8: Authentifizierungsbereiche Abbildung 28: Registerkarte „Server Catalog > Expressions“ – Hinzufügen eines benutzerdefinierten Ausdrucks Erstellen von Rollenzuordnungsregeln 189 Juniper Networks Secure Access – Administratorhandbuch Abbildung 29: Der im Serverkatalog hinzugefügte benutzerdefinierte Ausdruck steht für die Rollenzuordnungsregel zur Verfügung. Anpassen von Benutzeroberflächenansichten für Benutzerbereiche Verwenden Sie die Optionen zur Anpassung auf der Seite User Authentication Realms, um einen schnellen Überblick über die Einstellungen zu erhalten, die einem bestimmten Bereich oder einem Satz von Bereichen zugeordnet sind. Sie können z.B. die Rollenzuordnungsregeln anzeigen, die Sie allen Benutzerbereichen zugeordnet haben. Zudem können Sie mit diesen angepassten Ansichten einfach eine Verknüpfung zu den einem Benutzerbereich zugeordneten Authentifizierungsrichtlinien, Servern, Rollenzuordnungsregeln und Rollen erstellen. So zeigen Sie einen Teil der Daten auf der Seite User Authentication Realms an: 1. Navigieren Sie zu Users > User Realms. 2. Wählen Sie im Menü View eine der folgenden Optionen aus: 190 Overview – Zeigt die Authentifizierungsserver und dynamischen Richtlinienbewertungseinstellungen an, die Sie für die angegebenen Benutzerbereiche festgelegt haben. Stellen Sie mithilfe dieser Einstellung z.B. eine Verknüpfung zu den angegebenen Serverkonfigurationsseiten her. Anpassen von Benutzeroberflächenansichten für Benutzerbereiche Kapitel 8: Authentifizierungsbereiche Authentication Policy – Zeigt Host Checker- und Cache CleanerEinschränkungen an, die Sie für die angegebenen Benutzerbereiche aktiviert haben. Stellen Sie mithilfe dieser Einstellung z.B. eine Verknüpfung zu den angegebenen Konfigurationsseiten für Host Checker und Cache Cleaner her. Role Mapping – Zeigt die für die angegebenen Benutzerbereiche aktivierten Regelbedingungen und die entsprechenden Rollenzuordnungen an. Stellen Sie mithilfe dieser Einstellung z.B. eine Verknüpfung zu den angegebenen Konfigurationsseiten für Regelbedingungen und Rollenzuordnungen her. Servers – Zeigt die für die angegebenen Benutzerbereiche aktivierten Authentifizierungsservernamen und die entsprechenden Typen an. Stellen Sie mithilfe dieser Einstellung z.B. eine Verknüpfung zu den angegebenen Serverkonfigurationsseiten her. Roles – Zeigt die für die angegebenen Benutzerbereiche aktivierten Rollenzuordnungen und die entsprechenden permissiven Zusammenführungseinstellungen an. 3. Wählen Sie aus der Liste for eine der folgenden Optionen aus: All realms – Zeigt die ausgewählten Einstellungen für alle Benutzerbereiche an. Selected realms – Zeigt die ausgewählten Einstellungen für die ausgewählten Benutzerbereiche an. Aktivieren Sie bei der Auswahl dieser Option mindestens ein Kontrollkästchen in der Liste Authentication Realm. 4. Klicken Sie auf Update. Anpassen von Benutzeroberflächenansichten für Benutzerbereiche 191 Juniper Networks Secure Access – Administratorhandbuch 192 Anpassen von Benutzeroberflächenansichten für Benutzerbereiche Kapitel 9 Anmelderichtlinien Anmelderichtlinien definieren die URLs, die Benutzer und Administratoren für den Zugriff auf das IVE und die ihnen angezeigte Anmeldeseite verwenden können. Das IVE ist für Benutzer und Administratoren mit jeweils einer Anmelderichtlinie ausgestattet. Bei der Konfiguration dieser Richtlinien weisen Sie jeder Richtlinie die passenden Bereiche, Anmeldeseiten und URLs zu. Um die Anmeldung beim IVE für alle Benutzer zuzulassen, müssen Sie der Benutzeranmelderichtlinie alle Benutzerauthentifizierungsbereiche hinzufügen. Sie können auch die Standard-URL ändern, den Benutzer für den Zugriff auf das IVE und die ihnen angezeigte Anmeldeseite verwenden. Wenn Sie über die erforderliche Lizenz verfügen, können Sie mehrere Anmelderichtlinien für Benutzer erstellen und somit unterschiedlichen Benutzern die Anmeldung bei unterschiedlichen URLs und Seiten ermöglichen. Darüber hinaus verfügen mit einer Secure Meeting-Lizenz ausgestattete Appliances über eine Konferenz-URL. Mithilfe dieser URL wird die Anmeldeseite gesteuert, die Benutzern bei der Anmeldung bei der IVE-Appliance angezeigt wird. Wenn Sie über die erforderliche Lizenz verfügen, können Sie auch zusätzliche Konferenzanmeldeseiten erstellen und somit unterschiedlichen Secure Meeting-Benutzern die Anmeldung bei unterschiedlichen URLs und Seiten ermöglichen. Wenn Sie über die Lizenz „Advanced“ verfügen, können Sie mehrere Anmelderichtlinien erstellen, über die unterschiedliche Anmeldeseiten unterschiedlichen URLs zugeordnet werden. Bei der Konfiguration einer Anmelderichtlinie müssen Sie diese mindestens einem Bereich zuordnen. Es können sich dann nur Mitglieder des/der angegebenen Authentifizierungsbereiche(s) über die URL anmelden, der in der Richtlinie festgelegt ist. Sie können in der Anmelderichtlinie auch unterschiedliche Anmeldeseiten festlegen und sie unterschiedlichen URLs zuordnen. So können Sie z.B. Anmelderichtlinien erstellen, die Folgendes angeben: Mitglieder des Bereichs „Partner“ können sich über folgende URLs beim IVE anmelden: partner1.yourcompany.com und partner2.yourcompany.com. Für Benutzer, die sich über die erste URL anmelden, öffnet sich die Anmeldeseite „partner1“; für Benutzer, die sich über die zweite URL anmelden, öffnet sich die Anmeldeseite „partner2“. Mitglieder der Bereiche „Local“ und „Remote“ können sich über die folgende URL beim IVE anmelden: employees.yourcompany.com. Bei der Anmeldung wird die Anmeldeseite „Employees“ geöffnet. 193 Juniper Networks Secure Access – Administratorhandbuch Mitglieder des Bereichs „Admin Users“ können sich über die folgende URL beim IVE anmelden: access.yourcompany.com/super. Bei der Anmeldung wird die Anmeldeseite „Administrators“ geöffnet. Bei der Definition von Anmelderichtlinien dürfen verschiedene Hostnamen (wie z.B. partners.yourcompany.com und employees.yourcompany.com) oder verschiedene Pfade (wie z.B. yourcompany.com/partners und yourcompany.com/employees) verwendet werden, um zwischen URLs unterscheiden zu können. HINWEIS: Wenn beim Anmeldeversuch eines Benutzers eine andere Benutzersitzung mit den gleichen Anmeldedaten aktiv ist, zeigt das IVE eine Warnmeldung mit der IPAdresse der vorhandenen Sitzung und zwei Schaltflächen an: Continue und Cancel. Durch Klicken auf Cancel beendet das IVE den aktuellen Anmeldevorgang und leitet den Benutzer zurück zur Seite Sign-in. Durch Klicken auf Continue erstellt das IVE die neue Benutzersitzung und beendet die laufende Sitzung. HINWEIS: Beim Aktivieren von mehreren Anmelde-URLs muss das IVE in manchen Fällen auf dem Computer des Benutzers Cookies verwenden, um festzustellen, welche Anmelde-URL und welche entsprechende Anmeldeseite dem Benutzer anzuzeigen ist. Das IVE erstellt diese Cookies, wenn sich der Benutzer am IVE anmeldet. (Meldet sich ein Benutzer am IVE an, antwortet das IVE mit einem Cookie, das die Anmeldedomäne der URL beinhaltet. Das IVE hängt dieses Cookie anschließend an jede vom Benutzer eingereichte IVE-Anforderung an.) Im Allgemeinen wird durch diese Cookies sichergestellt, dass das IVE dem Benutzer die korrekte Anmelde-URL und -seite anzeigt. Meldet sich ein Benutzer z.B. mit der URL http://yourcompany.net/employees am IVE an und läuft anschließend das Sitzungszeitlimit ab, stellt das IVE mit dem Cookie fest, dass dem Benutzer die Anmelde-URL und die entsprechende Anmeldeseite http://yourcompany.net/employees angezeigt werden muss, wenn eine weitere IVERessource angefordert wird. In seltenen Fällen entspricht das Cookie auf dem Computer des Benutzers u.U. nicht der Ressource, auf die es zuzugreifen versucht. Der Benutzer kann sich an einer URL anmelden und anschließend versuchen, auf eine Ressource zuzugreifen, die von einer anderen URL geschützt wird. In diesem Fall zeigt das IVE die Anmelde-URL und die entsprechende Anmeldeseite an, an der sich der Benutzer zuletzt angemeldet hat. Ein Benutzer meldet sich z.B. mit der AnmeldeURL http://yourcompany.net/employees am IVE an. Anschließend kann der Benutzer versuchen, mit einem Link auf einem externen Server (z.B. https://yourcompany.net/partners/dana/term/winlaunchterm.cgi?host=<termsrvIP >) auf eine IVE-Ressource zuzugreifen. Eine weitere Möglichkeit besteht darin, ein bei einer anderen Sitzung erstelltes Lesezeichen zu verwenden (z.B. https://yourcompany.net/partners/,DanaInfo=.awxyBmszGr3xt1r5O3v.,SSO=U+). In diesen Fällen zeigt das IVE dem Benutzer die Anmelde-URL http://yourcompany.net/employees und die entsprechende Seite an, und nicht die Anmelde-URL oder -seite, die dem externen Link oder dem gespeicherten Lesezeichen zugeordnet ist, auf den bzw. das ein Zugriff versucht wurde. 194 Kapitel 9: Anmelderichtlinien Dieser Abschnitt enthält folgende Informationen zu Anmelderichtlinien: „Lizenzierung: Verfügbarkeit der Anmelderichtlinien und -seiten“ auf Seite 195 „Aufgabenzusammenfassung: Konfigurieren von Anmelderichtlinien“ auf Seite 195 „Konfigurieren von Anmelderichtlinien“ auf Seite 195 „Konfigurieren von Anmeldeseiten“ auf Seite 200 Lizenzierung: Verfügbarkeit der Anmelderichtlinien und -seiten Anmelderichtlinien und -seiten sind ein integraler Bestandteil der IVEZugriffsverwaltungsumgebung und daher in allen Secure Access-Produkten verfügbar. Beachten Sie jedoch, dass die nachfolgenden erweiterten Anmeldefunktionen in der SA 700-Appliance nicht verfügbar sind. In allen anderen Secure Access-Produkten stehen sie nur mit einer speziellen Lizenz zur Verfügung. Das Erstellen von mehreren Anmelderichtlinien Das Erstellen von Anmeldeseiten für Secure Meeting-Benutzer Das Erstellen und Hochladen von benutzerdefinierten Anmeldeseiten in das IVE Aufgabenzusammenfassung: Konfigurieren von Anmelderichtlinien Gehen Sie zur Konfiguration von Anmelderichtlinien folgendermaßen vor: 1. Erstellen Sie über eine der Seiten Administrators > Admin Realms oder Users > User Realms der Administratorkonsole einen Authentifizierungsbereich. 2. Ändern Sie eine vorhandene Anmeldeseite, oder erstellen Sie mithilfe der Optionen auf der Seite Authentication > Signing In > Sign-in Pages der Administratorkonsole eine neue (optional). 3. Bestimmen Sie eine Anmelderichtlinie, die einen Bereich, eine Anmelde-URL und eine Anmeldeseite zuweist, mithilfe der Einstellungen auf der Seite Authentication > Signing In > Sign-in Policies der Administratorkonsole. 4. Wenn Sie die URLs anhand von Hostnamen unterscheiden, müssen Sie jedem Hostnamen ein eigenes Zertifikat zuordnen oder ein Platzhalterzertifikat anhand von Optionen auf der Seite System > Configuration > Certificates > Device Certificates hochladen. Konfigurieren von Anmelderichtlinien Anmelderichtlinien definieren wie unter „Anmelderichtlinien“ auf Seite 193 beschrieben die URLs, die Benutzer und Administratoren für den Zugriff auf das IVE verwenden können. Lizenzierung: Verfügbarkeit der Anmelderichtlinien und -seiten 195 Juniper Networks Secure Access – Administratorhandbuch Dieser Abschnitt enthält folgende Informationen zu Anmelderichtlinien: „Definieren von Benutzeranmelderichtlinien“ auf Seite 196 „Definieren von Konferenzanmelderichtlinien“ auf Seite 197 „Festlegen der Reihenfolge, in der die Anmelderichtlinien ausgewertet werden“ auf Seite 199 „Aktivieren und Deaktivieren von Anmelderichtlinien“ auf Seite 199 Definieren von Benutzeranmelderichtlinien So erstellen und konfigurieren Sie Administrator- oder Benutzeranmelderichtlinien: 1. Wählen Sie in der Administratorkonsole Authentication > Signing In > Signin Policies aus. 2. Klicken Sie zum Erstellen einer neuen Anmelderichtlinie auf New URL. Wenn Sie eine vorhandene Richtlinie bearbeiten möchten, klicken Sie in der Spalte Administrator URLs oder User URLs auf eine URL. 3. Legen Sie durch Auswahl von Users oder Administrators fest, welcher Benutzertyp sich mit dieser Richtlinie am IVE anmelden kann. 4. Geben Sie im Feld Sign-in URL die URL ein, die Sie der Richtlinie zuordnen möchten. Verwenden Sie das Format <host>/<path>, in dem es sich bei <host> um den Hostnamen des IVE und bei <path> um jede Zeichenfolge handelt, die vom Benutzer eingegeben werden soll. Beispiel: partner1.yourcompany.com/outside. Verwenden Sie zum Angeben mehrerer Hosts das Platzhalterzeichen *. Beispiel: Um anzugeben, dass alle Administrator-URLs innerhalb des festgelegten Bereichs bzw. der festgelegten Bereiche die Anmeldeseite verwenden müssen, geben Sie */admin ein. Um anzugeben, dass alle Endbenutzer-URLs innerhalb des festgelegten Bereichs bzw. der festgelegten Bereiche die Anmeldeseite verwenden müssen, geben Sie */ ein. HINWEIS: Platzhalterzeichen (*) können nur am Anfang der Hostnamenkomponente der URL verwendet werden. Das IVE erkennt keine Platzhalter im URL-Pfad. 5. Geben Sie unter Description eine Beschreibung für die Richtlinie ein (optional). 6. Wählen Sie in der Liste Sign-in Page die Seite aus, die Sie der Richtlinie zuordnen möchten. Sie können die Standardseite für das IVE auswählen, eine Variation der Standardanmeldeseite oder eine benutzerdefinierte Seite, die Sie mithilfe der Funktion „Customizable UI“ erstellen. Weitere Informationen finden Sie unter „Konfigurieren von Standardanmeldeseiten“ auf Seite 200. 7. (Nur-Benutzer-URLs) Wählen Sie im Feld Meeting URL die Konferenz-URL aus, die Sie dieser Anmelderichtlinie zuordnen möchten. Das IVE wendet die angegebene Konferenz-URL auf jede von einem Benutzer, der sich mit dieser Benutzer-URL anmeldet, erstellte Konferenz an. 196 Konfigurieren von Anmelderichtlinien Kapitel 9: Anmelderichtlinien 8. Legen Sie unter Authentication realm fest, welche Bereiche der Richtlinie zugeordnet werden sollen und wie Benutzer und Administratoren Bereiche auswählen sollen. Wählen Sie eine der folgenden Optionen aus: User types the realm name – Das IVE ordnet die Anmelderichtlinie allen Authentifizierungsbereichen zu, stellt jedoch keine Bereichsliste bereit, aus der ein Benutzer oder Administrator auswählen kann. Stattdessen muss der Benutzer oder Administrator seinen Bereichsnamen manuell auf der Anmeldeseite eingeben. User picks from a list of authentication realms – Das IVE ordnet die Anmelderichtlinie nur dem von Ihnen gewählten Authentifizierungsbereich zu. Das IVE zeigt dem Benutzer oder Administrator diese Bereichsliste bei der Anmeldung am IVE an und ermöglicht die Auswahl eines in der Liste aufgeführten Bereichs. (Wenn die URL nur ein einziger Bereich zugeordnet ist, zeigt das IVE keine Dropdownliste von Authentifizierungsbereichen an. Stattdessen verwendet es automatisch den von Ihnen festgelegten Bereich.) HINWEIS: Wenn Sie dem Benutzer die Auswahl aus mehreren Bereichen erlauben und einer dieser Bereiche einen anonymen Authentifizierungsserver verwendet, zeigt das IVE diesen Bereich nicht in der Dropdownliste mit den Bereichen an. Um die Anmelderichtlinie effektiv einem anonymen Bereich zuzuordnen, müssen Sie diesen Bereich nur der Liste Authentication realm hinzufügen. 9. Klicken Sie auf Save Changes. Definieren von Konferenzanmelderichtlinien So erstellen und konfigurieren Sie Konferenzanmelderichtlinien: 1. Wählen Sie in der Administratorkonsole Authentication > Authentication > Signing In Policies aus. 2. Klicken Sie zum Erstellen einer neuen Anmelderichtlinie auf New URL. Wenn Sie eine vorhandene Richtlinie bearbeiten möchten, klicken Sie in der Spalte Meeting URLs auf eine URL. 3. Wählen Sie Meeting. 4. Geben Sie im Feld Sign-in URL die URL ein, die Sie der Konferenzrichtlinie zuordnen möchten. Verwenden Sie das Format <host>/<path>, in dem es sich bei <host> um den Hostnamen des IVE und bei <path> um jede Zeichenfolge handelt, die vom Benutzer eingegeben werden soll. Beispiel: Partner1.YourCompany.com/OnlineConference. Beachten Sie beim Erstellen einer Konferenz-URL Folgendes: Die mit dem Produkt gelieferte URL der Standardkonferenz-URL (*/meeting) kann nicht geändert werden. Konfigurieren von Anmelderichtlinien 197 Juniper Networks Secure Access – Administratorhandbuch Wenn Sie Benutzern die Anmeldung an Konferenzen mit allen in der zugehörigen Benutzer-URL definierten Hostnamen ermöglichen möchten, verwenden Sie das *-Platzhalterzeichen in der Konferenz-URL-Definition. Sie können der Benutzer-URL z.B. die folgenden Hosts zuordnen: YourInternalServer.YourCompany.net YourExternalServer.YourCompany.com Wenn Sie anschließend eine Konferenz-URL-Definition für */OnlineConference erstellen und dem Benutzer-URL zuordnen, können Benutzer mit den folgenden URLs auf die Konferenzanmeldeseite zugreifen: http://YourInternalServer.YourCompany.net/OnlineConference http://YourExternalServer.YourCompany.com/OnlineConference Wenn Sie eine Konferenz-URL mit einem *-Platzhalter erstellen und E-MailBenachrichtigungen aktivieren, erstellt das IVE die Konferenz-URL in der Benachrichtigungs-E-Mail unter Verwendung des vom Benutzer bei der Anmeldung am IVE eingegebenen Hostnamens. Ein Benutzer kann sich z.B. mit der URL aus dem vorhergehenden Beispiel am IVE anmelden: http://YourInternalServer.YourCompany.net Wenn der Benutzer dann eine Konferenz erstellt, verwendet das IVE in der E-Mail-Benachrichtigung die folgende Anmelde-URL für diese Konferenz: http://YourInternalServer.YourCompany.net/OnlineConference Das der E-Mail-Link auf einen internen Server verweist, können netzexterne Benutzer nicht auf die Konferenz zugreifen. Wenn Sie Benutzern die Anmeldung an Konferenzen nur mit einem Teil der in der zugehörigen Benutzer-URL definierten Hostnamen ermöglichen möchten oder wenn Benutzer eine vollständig andere URL für die Anmeldung an Konferenzen verwenden sollen, schließen Sie nicht den *Platzhalter in Ihre Konferenz-URL-Definition ein. Erstellen Sie stattdessen eine eindeutige und spezifische Konferenz-URL-Definition. Sie können z.B. die folgende Konferenz-URL-Definition erstellen und der Benutzer-URL aus dem vorherigen Beispiel zuordnen, damit alle Konferenzen nur Links zum externen Server enthalten: YourExternalServer.YourCompany.com/OnlineConference 5. Geben Sie unter Description eine Beschreibung für die Richtlinie ein (optional). 6. Wählen Sie in der Liste Sign-in Page die Anmeldeseiten aus, die für Benutzer angezeigt werden sollen, die anhand dieser Richtlinie auf Konferenzen zugreifen. Sie können die Standardseiten des IVE, eine Variation der Standardanmeldeseiten oder mit der Funktion zur Anpassung der Benutzeroberfläche erstellte Seiten auswählen. Weitere Informationen finden Sie unter „Konfigurieren von Standardanmeldeseiten“ auf Seite 200. 7. Klicken Sie auf Save Changes. 198 Konfigurieren von Anmelderichtlinien Kapitel 9: Anmelderichtlinien Aktivieren und Deaktivieren von Anmelderichtlinien So aktivieren und deaktivieren Sie Anmelderichtlinien: 1. Wählen Sie in der Administratorkonsole Authentication > Signing In > Signin Policies. 2. So gehen Sie für die Aktivierung oder Deaktivierung vor: Einzelne Richtlinie – Aktivieren Sie das Kontrollkästchen neben der Richtlinie, die Sie ändern möchten, und klicken Sie dann auf Enable oder Disable. Alle Benutzer- und Konferenzrichtlinien – Aktivieren oder deaktivieren Sie oben auf der Seite das Kontrollkästchen Restrict access to administrators only. 3. Klicken Sie auf Save Changes. Festlegen der Reihenfolge, in der die Anmelderichtlinien ausgewertet werden Das IVE wertet Anmelderichtlinien für Administratoren in der Reihenfolge aus, in der sie auf der Seite Sign-in Policies aufgeführt sind. Wenn es eine exakt übereinstimmende URL findet, bricht es die Auswertung ab und öffnet die entsprechende Anmeldeseite für den Administrator bzw. Benutzer. Sie können z.B. zwei Anmelderichtlinien für Administratoren mit zwei verschiedenen URLs festlegen: Die erste Richtlinie verwendet die URL */admin und ordnet die Standardanmeldeseite für Administratoren zu. Die zweite Richtlinie verwendet die URL yourcompany.com/admin und ordnet eine benutzerdefinierte Anmeldeseite für Administratoren zu. Wenn Sie die Richtlinien in dieser Reihenfolge auf der Seite Sign-in Policies aufführen, wertet das IVE die zweite Richtlinie niemals aus bzw. verwendet sie nie, da die erste URL die zweite einschließt. Auch wenn ein Administrator sich mit der URL yourcompany.com/admin anmeldet, zeigt das IVE die Standardanmeldeseite für Administratoren an. Wenn Sie die Richtlinien hingegen in umgekehrter Reihenfolge aufführen, zeigt das IVE die benutzerdefinierte Anmeldeseite allen Administratoren an, die über die URL yourcompany.com/admin auf das IVE zugreifen. Das IVE akzeptiert nur Platzhalterzeichen im Hostnamenabschnitt der URL und ordnet die URL anhand des exakten Pfades zu. Sie können z.B. zwei Anmelderichtlinien für Administratoren mit zwei verschiedenen URL-Pfaden festlegen: Die erste Richtlinie verwendet die URL */marketing und ordnet eine benutzerdefinierte Anmeldeseite für die gesamte Marketingabteilung zu. Die zweite Richtlinie verwendet die URL */marketing/joe und ordnet eine benutzerdefinierte Anmeldeseite zu, die ausschließlich für den Mitarbeiter „Jan“ der Marketingabteilung vorgesehen ist. Konfigurieren von Anmelderichtlinien 199 Juniper Networks Secure Access – Administratorhandbuch Wenn Sie die Richtlinien auf der Seite Sign-in Policies in dieser Reihenfolge aufführen, zeigt das IVE die benutzerdefinierte Anmeldeseite für Jan immer dann an, wenn Jan über die URL yourcompany.com/marketing/joe auf das IVE zugreift. Die Marketinganmeldeseite wird Jan nicht angezeigt, obwohl sie als erste aufgeführt und ausgewertet wird, da der Pfadabschnitt seiner URL nicht genau mit der URL übereinstimmt, der in der ersten Richtlinie definiert ist. So ändern Sie die Reihenfolge, in der die Anmelderichtlinien für Administratoren ausgewertet werden: 1. Wählen Sie in der Administratorkonsole Authentication > Signing In > Signin Policies. 2. Wählen Sie eine Anmelderichtlinie aus der Liste Administrator URLs, User URLs oder Meeting URLs aus. 3. Ändern Sie die Position der Richtlinie in der Liste mithilfe der Pfeile nach oben oder nach unten. 4. Klicken Sie auf Save Changes. Konfigurieren von Anmeldeseiten Eine Anmeldeseite legt die benutzerdefinierten Eigenschaften der Willkommensseite des Benutzers fest, wie Begrüßungstext, Hilfetext, Logo, Kopf- und Fußzeile. Das IVE ermöglicht es Ihnen, Benutzern und Administratoren zwei Arten von Anmeldeseiten anzuzeigen: Standardanmeldeseiten – Die Standardanmeldeseiten sind von Juniper vorgegeben und in allen Versionen des IVE enthalten. Die Standardanmeldeseiten können über die Registerkarte Authentication > Signing In > Sign-in Pages der Administratorkonsole geändert werden. Weitere Informationen finden Sie unter „Konfigurieren von Standardanmeldeseiten“ auf Seite 200. Benutzerdefinierte Anmeldeseiten – Benutzerdefinierte Anmeldeseiten sind THTML-Seiten, die Sie mithilfe des Template Toolkit erstellen und in Form einer archivierten ZIP-Datei in das IVE hochladen. Die Funktion für benutzerdefinierte Anmeldeseiten ist eine lizenzierte Funktion, die es Ihnen ermöglicht, anstelle der geänderten IVE-Anmeldeseite eigene Seiten zu verwenden. Weitere Informationen finden Sie im Custom Sign-In Pages Solution Guide. Konfigurieren von Standardanmeldeseiten Im IVE werden folgende Standardanmeldeseiten bereitgestellt: 200 Standardanmeldeseite – In der Standardeinstellung zeigt das IVE Benutzern diese Seite bei der IVE-Anmeldung an. Anmeldeseite für Konferenzen – In der Standardeinstellung zeigt das IVE Benutzern diese Seite bei der Anmeldung an einer Konferenz an. Diese Seite ist nur verfügbar, wenn Sie im IVE eine Secure Meeting-Lizenz installieren. Konfigurieren von Anmeldeseiten Kapitel 9: Anmelderichtlinien Ändern Sie diese Seiten, oder erstellen Sie neue Seiten, die benutzerdefinierten Text, Logos, Farben und Fehlermeldungen enthalten können, mithilfe der Einstellungen auf der Registerkarte Authentication > Signing In > Sign-in Pages in der Administratorkonsole. So erstellen oder bearbeiten Sie eine Standardanmeldeseite: 1. Wählen Sie in der Administratorkonsole Authentication > Signing In > Signin Pages. 2. Wählen Sie Folgendes durchführen: Erstellen einer neuen Seite – Klicken Sie auf New Page. Bearbeiten einer vorhandenen Seite – Wählen Sie den entsprechenden Link für die zu bearbeitende Seite aus. 3. (Nur neue Seiten) Legen Sie unter Page Type fest, ob dies eine Zugriffsseite oder eine Konferenzseite für Administratoren/Benutzer ist. 4. Geben Sie einen Namen für die Seite ein. 5. Ändern Sie im Abschnitt Custom text den für die verschiedenen Fensterbeschriftungen verwendeten Standardtext nach Bedarf. Wenn Sie im Feld Instructions Text hinzufügen, ist zu beachten, dass das Formatieren von Text und Hinzufügen von Links anhand der folgenden HTML-Tags erfolgen kann: <i>, <b>, <br>, <font> und <a href>. Allerdings schreibt das IVE Links auf der Anmeldeseite (aufgrund der noch nicht erfolgten Benutzerauthentifizierung) nicht neu. Folglich sollten Sie nur Verweise auf externe Sites erstellen. Links zu Sites hinter einer Firewall funktionieren nicht. HINWEIS: Wenn Sie in der benutzerdefinierten Meldung nicht unterstützte HTML- Tags verwenden, zeigt das IVE die IVE-Startseite des Benutzers möglicherweise nicht korrekt an. 6. Legen Sie im Abschnitt Header appearance eine benutzerdefinierte Logobilddatei und eine andere Farbe für die Kopfzeile fest. 7. Ändern Sie im Abschnitt Custom error messages den Standardtext, der im Fall von Zertifikatsfehler für Benutzer angezeigt wird. (Nicht für die Secure MeetingAnmeldeseite verfügbar.) 8. Um Benutzern benutzerdefinierte Hilfeinformationen oder zusätzliche Anweisungen bereitzustellen, wählen Sie Show Help button aus, geben Sie eine Beschriftung für die Schaltfläche ein, und geben Sie eine HTML-Datei an, die in das IVE hochgeladen werden soll. Beachten Sie, dass im IVE keine Bilder und anderen Inhalte angezeigt werden, auf die in dieser HTML-Seite verwiesen wird. (Nicht für die Secure Meeting-Anmeldeseite verfügbar.) Konfigurieren von Anmeldeseiten 201 Juniper Networks Secure Access – Administratorhandbuch 9. Klicken Sie auf Save Changes. Die Änderungen werden sofort wirksam, Benutzer mit aktiven Sitzungen müssen jedoch u. U. ihre Webbrowser aktualisieren. HINWEIS: Klicken Sie auf Restore Factory Defaults, um die Darstellung der Anmeldeseite, der IVE-Benutzerstartseite und der Administratorkonsole zurückzusetzen. 202 Konfigurieren von Anmeldeseiten Kapitel 10 Einzelanmeldung Die Einzelanmeldung (Single Sign-on, SSO) ist ein Vorgang, der es vorauthentifizierten IVE-Benutzern ermöglicht, auf von einem anderen Zugriffsverwaltungssystem geschützte Ressourcen oder andere Anwendungen zuzugreifen, ohne die jeweiligen Anmeldedaten erneut eingeben zu müssen. In diesem Abschnitt finden Sie die folgenden Informationen über Einzelanmeldungsfunktionen: „Lizenzierung: Verfügbarkeit der Einzelanmeldung“ auf Seite 203 „Einzelanmeldung – Übersicht“ auf Seite 204 „Anmeldedaten für mehrfaches Anmelden – Übersicht“ auf Seite 205 „Konfigurieren von SAML“ auf Seite 214 „Konfigurieren von SAML-SSO-Profilen“ auf Seite 217 Lizenzierung: Verfügbarkeit der Einzelanmeldung Alle Secure Access-Produkte enthalten einige Einzelanmeldungsfunktionen. Beachten Sie jedoch, dass die erweiterten Anmeldefunktionen für Remote SSO, SAML und Netegrity in der SA 700-Appliance nicht verfügbar sind. In allen anderen Secure Access-Produkten stehen sie nur mit einer speziellen Lizenz zur Verfügung. Darüber hinaus stehen die Standardauthentifizierung, NTLM-Vermittlung und TelnetEinzelanmeldungsfunktion nur auf der SA 700-Appliance zur Verfügung, wenn Sie über den Aktualisierungslizenzschlüssel für den clientlosen Kernzugriff verfügen. Lizenzierung: Verfügbarkeit der Einzelanmeldung 203 Juniper Networks Secure Access – Administratorhandbuch Einzelanmeldung – Übersicht Das IVE bietet verschiedene Integrationsmechanismen zum Konfigurieren von SSOVerbindungen vom IVE zu anderen Servern, Anwendungen und Ressourcen. Zu den SSO-Mechanismen zählen: 204 Einzelanmeldung – Übersicht Remote-SSO – Das IVE ermöglicht eine lose Integration von Anwendungen, die statische POST-Aktionen in HTML-Formularen verwenden, um Benutzer anzumelden. Sie können das IVE zum Bereitstellen von IVE-Anmeldedaten, LDAP-Attributen und Zertifikatattributen in einer webfähigen Anwendung sowie zum Festlegen von Cookies und Headern konfigurieren, sodass Benutzer auf die Anwendung ohne eine erneute Authentifizierung zugreifen können. Weitere Informationen finden Sie unter „Remote-SSO – Übersicht“ auf Seite 304. SAML – Das IVE ermöglicht eine lose Integration von ausgewählten Zugriffsverwaltungssystemen, die für die Kommunikation mit anderen Systemen SAML (Security Assertion Markup Language) verwenden. Benutzer können sich am IVE und anschließend an vom Zugriffsverwaltungssystem geschützten Ressourcen anmelden und auf diese zugreifen. Eine erneute Authentifizierung ist dabei nicht nötig. Sie können es Benutzern auch ermöglichen, sich ohne erneute Authentifizierung an einem weiteren Zugriffsverwaltungssystem anzumelden und dann auf vom IVE geschützte Ressourcen zugreifen. Weitere Informationen finden Sie unter „Konfigurieren von SAML“ auf Seite 214. Vermittlung der Standardauthentifizierung für Intranetsites – Das IVE ermöglicht das automatische Senden von IVE-Benutzeranmeldedaten an andere Websites und Proxies innerhalb derselben Intranetzone. Wird die Vermittlung der Standardauthentifizierung über die Seite Users > Resource Profiles > Web Applications/Pages der Administratorkonsole aktiviert, sendet das IVE die zwischengespeicherten Anmeldedaten an Intranet-Websites, deren Hostnamen auf das DNS-Suffix enden, das auf der Seite System > Network > Overview konfiguriert ist. Zum Maximieren der Sicherheit können Sie das IVE auch für die Base-64-Codierung konfigurieren, um die zwischengespeicherten Anmeldedaten zu sichern. Weitere Informationen finden Sie unter „Definieren einer automatischen Richtlinie für Single Sign-On (Einzelanmeldung)“ auf Seite 313. Active Directory-Server – Das IVE ermöglicht es Ihnen, Active Directory SSOAnmeldedaten automatisch an andere Websites und Windows-Dateifreigaben innerhalb derselben Intranetzone zu senden, die durch eine native NTLMAuthentifizierung geschützt sind. Wenn Sie diese Option aktivieren, sendet das IVE die zwischengespeicherten Anmeldedaten an NTLM-geschützte Websites, deren Hostnamen mit einem auf der Seite System > Network > Overview der Administratorkonsole konfigurierten DNS-Suffix enden. Weitere Informationen finden Sie unter „Konfigurieren einer Active Directory- oder einer NTDomäneninstanz“ auf Seite 104. Kapitel 10: Einzelanmeldung Netegrity SiteMinder-Richtlinienserver – Wenn Sie IVE-Benutzer mit einem Netegrity SiteMinder-Richtlinienserver authentifizieren, können Sie den Benutzern anschließend den Zugriff auf durch SiteMinder geschützte Ressourcen ohne eine erneute Authentifizierung ermöglichen (sofern sie für die richtige Sicherheitsebene autorisiert sind). Außerdem können Sie Benutzer über das IVE erneut authentifizieren, wenn sie Ressourcen anfordern, für die ihre aktuelle Sicherheitsebene nicht ausreicht. Sie können es den Benutzern auch ermöglichen, sich zuerst am Richtlinienserver anzumelden und dann ohne eine erneute Authentifizierung auf das IVE zuzugreifen. Weitere Informationen finden Sie unter „Konfigurieren einer Netegrity SiteMinder-Instanz“ auf Seite 142. Terminalsitzung – Wenn Sie die Terminal Services für eine Rolle aktivieren, ermöglichen Sie es Benutzern, ohne erneute Authentifizierung eine Verbindung mit Anwendungen herzustellen, die auf einem Windows-Terminalserver oder Citrix MetaFrame-Server ausgeführt werden. Weitere Informationen finden Sie unter „Terminal Services“ auf Seite 497. Sie können auch wie unter „Terminal Services“ auf Seite 497 beschrieben einen Benutzernamen an den Telnet/SSHServer senden. E-Mail-Clients – Wenn Sie die E-Mail-Client-Funktion für eine Rolle aktivieren und dann eine entsprechende Ressourcenrichtlinie erstellen, haben Benutzer ohne erneute Authentifizierung Zugriff auf standardmäßige E-Mail wie Outlook Express, Netscape Communicator oder Eudora von Qualcomm. Weitere Informationen finden Sie unter „E-Mail-Client“ auf Seite 553. Das IVE stellt fest, welche Anmeldedaten basierend auf dem verwendeten Verbindungsmechanismus an den SSO-fähigen Server, die Anwendung und die Ressource gesendet werden. Bei den meisten Mechanismen können Sie Benutzeranmeldedaten von bis zu zwei Authentifizierungsservern auf der IVEAnmeldeseite erfassen und diese Daten dann während der SSO-Sitzung senden. Weitere Informationen finden Sie unter „Anmeldedaten für mehrfaches Anmelden – Übersicht“ auf Seite 205. Die verbleibenden Mechanismen (SAML, Netegrity SiteMinder und der E-MailClient) verwenden eindeutige Methoden zur Aktivierung von SSO vom IVE für die unterstützte Anwendung. Weitere Informationen finden Sie unter: „Konfigurieren von SAML“ auf Seite 214 „Konfigurieren von SAML-SSO-Profilen“ auf Seite 217 „Konfigurieren einer Netegrity SiteMinder-Instanz“ auf Seite 142 „E-Mail-Client“ auf Seite 553 Anmeldedaten für mehrfaches Anmelden – Übersicht Beim Konfigurieren eines Authentifizierungsbereichs können Sie zwei Authentifizierungsserver für den Bereich aktivieren. Mit zwei Authentifizierungsservern sind Sie in der Lage, zwei verschiedene Sets von Anmeldedaten anzufordern –, eines für das IVE und ein anderes für Ihre SSO-fähige Ressource –, ohne dass der Benutzer das zweite Set von Anmeldedaten beim Zugriff auf die Ressource angeben muss. Dadurch können Sie für den Zugriff auf das IVE auch die zweistufige Authentifizierung anfordern. Anmeldedaten für mehrfaches Anmelden – Übersicht 205 Juniper Networks Secure Access – Administratorhandbuch Dieser Abschnitt enthält folgende Informationen zu Anmeldedaten für die mehrfache Anmeldung: „Aufgabenzusammenfassung: Konfigurieren mehrerer Authentifizierungsserver“ auf Seite 206 „Aufgabenzusammenfassung: Aktivieren von SSO für Ressourcen mit Schutz durch Standardauthentifizierung“ auf Seite 206 „Aufgabenzusammenfassung: Aktivieren von SSO für NTLM-geschützte Ressourcen“ auf Seite 207 „Anmeldedaten für mehrfaches Anmelden – Ausführung“ auf Seite 208 Aufgabenzusammenfassung: Konfigurieren mehrerer Authentifizierungsserver So aktivieren Sie mehrere Authentifizierungsserver: 1. Erstellen Sie über die Seite Authentication > Auth. Servers der Administratorkonsole Authentifizierungsserverinstanzen. Konfigurationsanweisungen finden Sie unter „Definieren einer Authentifizierungsserverinstanz“ auf Seite 98. 2. Ordnen Sie den Authentifizierungsservern mit Einstellungen auf den folgenden Seiten der Administratorkonsole einen Bereich zu: Users > User Realms > Bereich auswählen > General Administrators > Admin Realms > Bereich auswählen > General Konfigurationsanweisungen finden Sie unter „Erstellen eines Authentifizierungsbereichs“ auf Seite 178. 3. (Optional) Legen Sie mit Einstellungen auf den folgenden Seiten der Administratorkonsole Kennwortlängenbeschränkungen für den sekundären Authentifizierungsserver fest: Users > User Realms > Bereich auswählen > Authentication Policy > Password Administrators > Admin Realms > Bereich auswählen > Authentication Policy > Password Konfigurationsanweisungen finden Sie unter „Angeben von Kennwortzugriffseinschränkungen“ auf Seite 51. Aufgabenzusammenfassung: Aktivieren von SSO für Ressourcen mit Schutz durch Standardauthentifizierung Gehen Sie folgendermaßen vor, um Single Sign-On für Webserver und Webproxies mit Standardauthentifizierung zu aktivieren: 1. Legen Sie anhand der Einstellungen auf der Seite System > Network > Overview der Administratorkonsole einen IVE-Hostnamen fest, der mit demselben Suffix endet wie die geschützte Ressource. (Das IVE überprüft die Hostnamen, um sicherzustellen, dass SSO nur für Sites in demselben Intranet aktiviert wird.) 206 Anmeldedaten für mehrfaches Anmelden – Übersicht Kapitel 10: Einzelanmeldung 2. Gestatten Sie Benutzern den Zugriff auf Webressourcen, geben Sie die Sites an, an die das IVE Anmeldedaten senden soll, erstellen Sie Auto-Richtlinien, die SSO für Standardauthentifizierungsvermittlung aktivieren, und erstellen Sie mithilfe der Einstellungen auf der Seite Users > Resource Profiles > Web Application/Pages > [Profil] der Administratorkonsole Lesezeichen für die ausgewählten Ressourcen. 3. Wenn Benutzer über ein Proxy auf Webserver zugreifen sollen, konfigurieren Sie das IVE mit den Einstellungen auf den folgenden Seiten der Administratorkonsole zur Erkennung der entsprechenden Server und Proxies: a. Geben Sie mit den Einstellungen auf der Seite Users > Resource Policies > Web > Web proxy > Servers an, welche Webserver mit dem Proxy geschützt werden sollen. b. Legen Sie mit den Einstellungen auf der Seite Users > Resource Policies > Web > Web proxy > Policies die zu verwendenden Proxies und die durch die Proxies zu schützenden Server (oben) fest. Sie können einzelne Ressourcen auf dem Server oder den gesamten Server angeben. Aufgabenzusammenfassung: Aktivieren von SSO für NTLM-geschützte Ressourcen Gehen Sie folgendermaßen vor, um Single Sign-On für Webserver, WindowsDateiserver und Webproxies mit NTLM-Schutz zu aktivieren: 1. Legen Sie anhand der Einstellungen auf der Seite System > Network > Overview der Administratorkonsole einen IVE-Hostnamen fest, der mit demselben Suffix endet wie die geschützte Ressource. (Das IVE überprüft die Hostnamen, um sicherzustellen, dass SSO nur für Sites in demselben Intranet aktiviert wird.) 2. Gestatten Sie Benutzern den Zugriff auf den geeigneten Ressourcentyp (Web oder Datei), geben Sie die Sites oder die Server an, an die das IVE Anmeldedaten senden soll, erstellen Sie Auto-Richtlinien, die NTLM-Single Signon ermöglichen, und erstellen Sie mit den Einstellungen auf den folgenden Seiten der Administratorkonsole Lesezeichen für die ausgewählten Ressourcen: Users > Resource Profiles > Web Application/Pages > [Profil] Users > Resource Profiles > File Browsing Resource Profiles> [Profil] 3. Wenn Benutzer über ein Proxy auf Webserver zugreifen sollen, konfigurieren Sie das IVE mit den Einstellungen auf den folgenden Seiten der Administratorkonsole zur Erkennung der entsprechenden Server und Proxies: a. Geben Sie mit den Einstellungen auf der Seite Users > Resource Policies > Web > Web proxy > Servers an, welche Webserver mit dem Proxy geschützt werden sollen. b. Legen Sie mit den Einstellungen auf der Seite Users > Resource Policies > Web > Web proxy > Policies die zu verwendenden Proxies und die durch die Proxies zu schützenden Server (oben) fest. Sie können einzelne Ressourcen auf dem Server oder den gesamten Server angeben. Anmeldedaten für mehrfaches Anmelden – Übersicht 207 Juniper Networks Secure Access – Administratorhandbuch Anmeldedaten für mehrfaches Anmelden – Ausführung Das folgende Diagramm stellt den Vorgang dar, den das IVE verwendet, um die Anmeldedaten mehrerer Benutzer zu erfassen, zu authentifizieren und an die SSOfähigen Ressourcen zu senden: Alle Schritte im Diagramm werden später noch genauer erläutert. Abbildung 30: Sammeln und Senden von Anmeldedaten von mehreren Servern Schritt 1: Das IVE erfasst die primären Anmeldedaten des Benutzers. Wenn sich der Benutzer am IVE anmeldet, wird er vom IVE zum Eingeben der primären Serveranmeldedaten aufgefordert. Das IVE speichert die Anmeldedaten, um diese später ggf. an die SSO-Ressource zu senden. Das IVE speichert die Anmeldedaten exakt so, wie der Benutzer diese eingibt – es stellt den Daten keine zusätzlichen Informationen vor oder nach (z.B. die Benutzerdomäne). Schritt 2: Das IVE erfasst oder erstellt die sekundären Anmeldedaten des Benutzers. Sie können das IVE so konfigurieren, dass die sekundären Anmeldedaten entweder manuell erfasst oder automatisch generiert werden. Bei Konfiguration des IVE für: 208 Manuelle Erfassung der sekundären Anmeldedaten des Benutzers – Der Benutzer muss seine sekundären Anmeldedaten direkt nach der Eingabe der primären Anmeldedaten eingeben. Anmeldedaten für mehrfaches Anmelden – Übersicht Kapitel 10: Einzelanmeldung Automatische Generierung der Anmeldedaten des Benutzers – Das IVE sendet die während des Setup in der Verwaltungskonsole angegebenen Werte. Standardmäßig verwendet das IVE die Variablen <username> und <password>, die den Benutzernamen und das Kennwort des Benutzers enthalten, der bzw. das für den primären Authentifizierungsserver eingegeben wurde. Sie können z.B. einen LDAP-Server als Ihren primären Authentifizierungsserver und einen Active Directory-Server als Ihren sekundären Authentifizierungsserver konfigurieren. Konfigurieren Sie dann das IVE zum Erfassen des Active DirectoryBenutzernamens des Benutzers, wobei der Benutzer sein Active Directory-Kennwort manuell eingeben muss. Wenn das IVE den Active Directory-Benutzernamen erfasst, sendet es einfach den für den LDAP-Server eingegeben Namen (z.B. JDoe@LDAPServer) weiter an das Active Directory (z.B. JDoe@ActiveDirectoryServer). Schritt 3: Das IVE authentifiziert die primären Anmeldedaten. Nachdem das IVE alle erforderlichen Anmeldedaten erfasst hat, authentifiziert es das erste Set von Benutzeranmeldedaten für den primären Authentifizierungsserver. Gehen Sie anschließend folgendermaßen vor: Wenn die Anmeldedaten erfolgreich authentifiziert sind, speichert sie das IVE in den Sitzungsvariablen <username> und <password> und fährt mit der Authentifizierung der sekundären Anmeldedaten fort. HINWEIS: Wenn Sie die Authentifizierung für einen RADIUS-Server durchführen, der dynamische, zeitabhängige Kennwörter akzeptiert, können Sie wahlweise festlegen, dass Benutzerkennwörter nicht mit der IVE-Sitzungsvariablen gespeichert werden. Weitere Informationen finden Sie unter „Konfigurieren einer RADIUS-Serverinstanz“ auf Seite 128. Wenn die Anmeldedaten nicht erfolgreich authentifiziert werden, verwehrt das IVE dem Benutzer den Zugriff auf das IVE. Schritt 4: Das IVE authentifiziert die sekundären Anmeldedaten. Nach der Authentifizierung der primären Anmeldedaten authentifiziert das IVE die sekundären Anmeldedaten. Gehen Sie anschließend folgendermaßen vor: Wenn die Anmeldedaten erfolgreich authentifiziert sind, speichert sie das IVE in den Sitzungsvariablen <username[2]> und <password[2]> und ermöglicht dem Benutzer den Zugriff auf das IVE. Sie können auf diese Variablen auch mit der Syntax <username@SecondaryServer> und <password@SecondaryServer> zugreifen. HINWEIS: Wenn Sie die Authentifizierung für einen RADIUS-Server durchführen, der dynamische, zeitabhängige Kennwörter akzeptiert, können Sie wahlweise festlegen, dass Benutzerkennwörter nicht mit der IVE-Sitzungsvariablen gespeichert werden. Weitere Informationen finden Sie unter „Konfigurieren einer RADIUS-Serverinstanz“ auf Seite 128. Anmeldedaten für mehrfaches Anmelden – Übersicht 209 Juniper Networks Secure Access – Administratorhandbuch Wenn die Anmeldedaten nicht erfolgreich authentifiziert werden, speichert sie das IVE nicht. Je nach Konfiguration Ihres Authentifizierungsbereichs kann das IVE den Benutzerzugriff auf das IVE gewähren oder verwehren, wenn die sekundären Anmeldedaten nicht erfolgreich authentifiziert wurden. HINWEIS: Ein Fehler bei der sekundären Authentifizierung kann durch Erstellen eines benutzerdefinierten Ausdrucks erkannt werden, der überprüft, ob eine leere Variable user@secondaryAuth vorhanden ist. Auf diese Weise können Sie Benutzer basierend auf der erfolgreichen Authentifizierung Rollen zuweisen. Der folgende Ausdruck weist Benutzer z.B. der Rolle „MoreAccess“ zu, wenn ihre Authentifizierung am sekundären Authentifizierungsserver (ACE-Server) erfolgreich ist: user@{ACE Server} != "" then assign role MoreAccess „Ace Server“ steht in geschwungenen Klammern, da der Name des Authentifizierungsservers Leerzeichen enthält. Schritt 5: Das IVE sendet die Anmeldedaten an die SSO-fähige Ressource. Nach der erfolgreichen Anmeldung des Benutzers am IVE kann er versuchen, mithilfe eines vorkonfigurierten Lesezeichens oder eines anderen Zugriffsmechanismus auf eine SSO-fähige Ressource zuzugreifen. Anschließend sendet das IVE je nach Typ der Ressource, auf die der Benutzer zuzugreifen versucht, verschiedene Anmeldedaten. Für die verschiedenen Ressourcentypen werden folgende Anmeldedaten gesendet: Web-SSO-, Terminal Services- oder Telnet/SSH-Ressource – Das IVE sendet die in der Administratorkonsole festgelegten Anmeldedaten, z.B. <username> (in diesem Fall werden die primären Anmeldedaten des Benutzers an die Ressource gesendet) oder <username[2]> (in diesem Fall werden die sekundären Anmeldedaten des Benutzers an die Ressource gesendet). Wenn der Benutzer über die Endbenutzerkonsole einen anderen Benutzernamen und ein anderes Kennwort eingegeben hat, sendet das IVE diese Anmeldedaten des Benutzers. HINWEIS: Das IVE unterstützt nicht das Senden von Anmeldedaten von ACE- Servern, Zertifikatservern oder anonymen Servern an eine Web-SSO- oder Telnet/SSH-Ressource. Wenn Sie das IVE für die Übermittlung von Anmeldedaten von einem dieser primären Authentifizierungsservertypen konfigurieren, sendet das IVE die Anmeldedaten des sekundären anstelle des primären Authentifizierungsservers des Benutzers. Werden diese Anmeldedaten abgelehnt, fordert das IVE den Benutzer auf, seinen Benutzernamen und das Kennwort manuell einzugeben. 210 Von einem Webserver, Windows-Server oder Webproxy mit NTLMAuthentifizierung geschützte Ressource – Das IVE sendet Anmeldedaten an den Back-End-Server oder das Proxy, von dem die Web- oder Dateiressource geschützt wird. Die NTLM-Authentifizierung kann nicht über das IVE deaktiviert werden. Wenn ein Benutzer versucht, auf eine NTLM-geschützte Ressource zuzugreifen, vermittelt das IVE automatisch die Authentifizierungsanfrage und sendet die Anmeldedaten in der folgenden Reihenfolge: Anmeldedaten für mehrfaches Anmelden – Übersicht Kapitel 10: Einzelanmeldung a. (Nur Windows-Dateiressourcen) Vom Administrator festgelegte Anmeldedaten – Wenn Sie eine Ressourcenprofil erstellen, die Anmeldedaten für eine Windows-Dateiressource definiert, sendet das IVE die festgelegten Anmeldedaten, wenn der Benutzer auf die angegebene Ressource zugreift. b. Zwischengespeicherte Anmeldedaten – Wenn das IVE nicht die vom Administrator festgelegten Anmeldedaten sendet oder die Anmeldedaten fehlschlagen, überprüft das IVE, ob in seinem Cache gespeicherte Anmeldedaten für den angegebenen Benutzer und die Ressource vorhanden sind. (Informationen zur Zwischenspeicherung von Anmeldedaten durch das IVE finden Sie unten.) Sofern verfügbar, sendet das IVE die gespeicherten Anmeldedaten. c. Primäre Anmeldedaten – Wenn das IVE nicht die zwischengespeicherten Anmeldedaten sendet oder die Anmeldedaten fehlschlagen, sendet es die primären IVE-Anmeldedaten des Benutzers, sofern Folgendes zutrifft: Die Ressource befindet sich in derselben Intranetzone wie das IVE (d. h., der Hostname der Ressource endet mit dem auf der Seite System > Network > Overview der Administratorkonsole konfigurierten DNSSuffix). (Nur Webproxies) Sie haben das IVE über Einstellungen auf der Seite Users > Resource Policies > Web > Web Proxy der Administratorkonsole zur Erkennung des Webproxy konfiguriert. Bei den Anmeldedaten handelt es sich nicht um ACE-Anmeldedaten. (Nur RADIUS-Anmeldedaten) Sie legen auf der RADIUSKonfigurationsseite fest, dass der RADIUS-Server keine einmaligen Kennwörter akzeptiert. d. Sekundäre Anmeldedaten – Wenn die primären Anmeldedaten fehlschlagen, überprüft das IVE, ob es über sekundäre Anmeldedaten für den Benutzer verfügt. Sofern Daten verfügbar sind und die für die primären Anmeldedaten beschriebenen Bedingungen zutreffen, sendet das IVE die sekundären IVE-Anmeldedaten des Benutzers. e. Zuletzt eingegebene Anmeldedaten – Wenn das IVE nicht die sekundären Anmeldedaten sendet oder die Anmeldedaten fehlschlagen, überprüft das IVE, ob in seinem Cache gespeicherte Anmeldedaten für den angegebenen Benutzer und eine andere Ressource vorhanden sind. (Informationen zur Zwischenspeicherung von Anmeldedaten durch das IVE finden Sie unten.) Sofern Daten verfügbar sind und die für die primären Anmeldedaten beschriebenen Bedingungen zutreffen, sendet das IVE die gespeicherten Anmeldedaten. Anmeldedaten für mehrfaches Anmelden – Übersicht 211 Juniper Networks Secure Access – Administratorhandbuch f. Von einem Webserver oder Webproxy mit Standardauthentifizierung geschützte Ressource – Das IVE sendet Anmeldedaten in der folgenden Reihenfolge an den Back-End-Server oder das Proxy, von dem die Webressource geschützt wird: a. Zwischengespeicherte Anmeldedaten – Wenn das IVE nicht die vom Administrator festgelegten Anmeldedaten sendet oder die Anmeldedaten fehlschlagen, überprüft das IVE, ob in seinem Cache gespeicherte Anmeldedaten für den angegebenen Benutzer und die Ressource vorhanden sind. (Informationen zur Zwischenspeicherung von Anmeldedaten durch das IVE finden Sie unten.) Sofern verfügbar, sendet das IVE die gespeicherten Anmeldedaten. b. Primäre Anmeldedaten – Wenn das IVE nicht die zwischengespeicherten Anmeldedaten sendet oder die Anmeldedaten fehlschlagen, sendet es die primären IVE-Anmeldedaten des Benutzers, sofern Folgendes zutrifft: c. 212 Vom Benutzer angegebene Anmeldedaten (Eingabeaufforderung) – Wenn das IVE nicht die zuletzt eingegebenen Anmeldedaten sendet oder die Anmeldedaten fehlschlagen, fordert das IVE den Benutzer zur manuellen Eingabe seiner Anmeldedaten auf der angezeigten Anmeldeseite auf. Wenn der Benutzer das Kontrollkästchen Remember password? aktiviert, werden die vom Benutzer eingegebenen Anmeldedaten vom IVE zwischengespeichert und bei Bedarf erneut gesendet, wenn der Benutzer wieder auf die gleiche Ressource zugreift. Wenn das IVE diese Anmeldedaten zwischenspeichert, speichert es den spezifischen Benutzer und die Ressource auch nach der Abmeldung des Benutzers vom IVE. Die Ressource befindet sich in derselben Intranetzone wie das IVE (d. h., der Hostname der Ressource endet mit dem auf der Seite System > Network > Overview der Administratorkonsole konfigurierten DNSSuffix). (Nur Webproxies) Sie haben das IVE über Einstellungen auf der Seite Users > Resource Policies > Web > Web Proxy der Administratorkonsole zur Erkennung des Webproxy konfiguriert. Bei den Anmeldedaten handelt es sich nicht um ACE-Anmeldedaten. (Nur RADIUS-Anmeldedaten) Sie legen auf der RADIUSKonfigurationsseite fest, dass der RADIUS-Server keine einmaligen Kennwörter akzeptiert. Sekundäre Anmeldedaten – Wenn die primären Anmeldedaten fehlschlagen, überprüft das IVE, ob es über sekundäre Anmeldedaten für den Benutzer verfügt. Sofern Daten verfügbar sind und die für die primären Anmeldedaten beschriebenen Bedingungen zutreffen, sendet das IVE die sekundären IVE-Anmeldedaten des Benutzers. Anmeldedaten für mehrfaches Anmelden – Übersicht Kapitel 10: Einzelanmeldung d. Zuletzt eingegebene Anmeldedaten – Wenn das IVE nicht die sekundären Anmeldedaten sendet oder die Anmeldedaten fehlschlagen, überprüft das IVE, ob in seinem Cache gespeicherte Anmeldedaten für den angegebenen Benutzer und eine andere Ressource vorhanden sind. (Informationen zur Zwischenspeicherung von Anmeldedaten durch das IVE finden Sie unten.) Sofern Daten verfügbar sind und die für die primären Anmeldedaten beschriebenen Bedingungen zutreffen, sendet das IVE die gespeicherten Anmeldedaten. e. Vom Benutzer angegebene Anmeldedaten (Eingabeaufforderung) – Wenn das IVE nicht die zuletzt eingegebenen Anmeldedaten sendet oder die Anmeldedaten fehlschlagen, fordert das IVE den Benutzer zur manuellen Eingabe seiner Anmeldedaten auf der angezeigten Anmeldeseite auf. Wenn der Benutzer das Kontrollkästchen Remember password? aktiviert, werden die vom Benutzer eingegebenen Anmeldedaten vom IVE zwischengespeichert und bei Bedarf erneut gesendet, wenn der Benutzer wieder auf die gleiche Ressource zugreift. Wenn das IVE diese Anmeldedaten zwischenspeichert, speichert es den spezifischen Benutzer und die Ressource auch nach der Abmeldung des Benutzers vom IVE. HINWEIS: Das IVE unterstützt nicht die in diesem Abschnitt beschriebenen Authentifizierungsmechanismus für mehrere Anmeldedatensets mit den EMail-Client- und SAML SSO-Mechanismen. Sie können einen anonymen Server, Zertifikatserver oder Netegrity SiteMinder-Server nicht als sekundären Authentifizierungsserver definieren. Wenn Sie einen Netegrity SiteMinder-Server als Ihren primären Authentifizierungsserver definieren, können Sie keinen sekundären Authentifizierungsserver definieren. Das IVE unterstützt die Standardauthentifizierung und das NTLMAnfrage/Antwort-Schema für HTTP beim Zugriff auf Webanwendungen. Es unterstützt jedoch nicht die HTTP-basierte plattformübergreifende Authentifizierung über das Verhandlungsprotokoll. Weitere Informationen darüber, wie das IVE die mehrfache Authentifizierung innerhalb der allgemeinen IVE-Authentifizierungs- und -Autorisierungsprozesse verwendet, finden Sie unter „Richtlinien, Regeln und Einschränkungen sowie Bedingungen – Auswertung“ auf Seite 39. Anmeldedaten für mehrfaches Anmelden – Übersicht 213 Juniper Networks Secure Access – Administratorhandbuch Konfigurieren von SAML Mithilfe des IVE können Sie User- und Session-Statusinformationen vom IVE an ein anderes zuverlässiges Zugriffsverwaltungssystem weiterleiten, das SAML (Secure Access Markup Language) unterstützt. SAML stellt einen Mechanismus für zwei verschiedene Systeme bereit, mit dem Authentifizierungs- und Autorisierungsinformationen mithilfe eines XML-Frameworks erstellt und ausgetauscht werden können, sodass die Notwendigkeit für die Benutzer, ihre Anmeldeinformationen beim Zugreifen auf mehrere Anwendungen oder Domänen erneut einzugeben, minimiert wird1. Das IVE unterstützt SAML Version 1.1. Die SAML-Austauschvorgänge sind von einer Vertrauensstellung zwischen zwei Systemen oder Domänen abhängig. Bei den Austauschvorgängen fungiert ein System als SAML-Autorität (auch bestätigende Partei oder SAML-Responder genannt), die Informationen zum Benutzer hinterlegt bzw. bestätigt. Das andere System fungiert als Relying Party (die sich auf Vertrauenswürdigkeit verlassende Partei) (auch SAML-Receiver genannt), die sich auf das von der SAML-Autorität bereitgestellte Statement (auch Assertion genannt) verlässt. Wenn die Relying Party der SAML-Autorität vertraut, authentifiziert oder autorisiert sie den Benutzer auf Grundlage der von der SAML-Autorität bereitgestellten Informationen. Das IVE unterstützt zwei SAML-Fallbeispiele: Das IVE als SAML-Autorität – Der Benutzer meldet sich an einer Ressource zuerst über das IVE an. Alle anderen Systeme sind SAML-Receiver, die sich auf das IVE bei der Authentifizierung und Autorisierung des Benutzers verlassen. In dieser Situation kann das IVE entweder ein Artifact- oder ein POST-Profil verwenden. Weitere Informationen finden Sie unter „Konfigurieren von SAMLSSO-Profilen“ auf Seite 217. Das IVE als SAML-Receiver – Der Benutzer meldet sich zuerst an einem anderem System im Netzwerk an, und das IVE ist der SAML-Receiver, das sich auf das andere System bei der Authentifizierung und Autorisierung des Benutzers verlässt. So kann beispielsweise in der ersten Situation der authentifizierte IVE-Benutzer John Smith versuchen, auf eine von einem Zugriffsverwaltungssystem geschützte Ressource zuzugreifen. Dabei fungiert das IVE als SAML-Autorität und zeigt folgende Meldung an: „This user is John Smith. He was authenticated using a password mechanism.“ Das Zugriffsverwaltungssystem (die Relying Party) empfängt dieses Statement und vertraut dem IVE. (Aus diesem Grund wird auch darauf vertraut, dass der Benutzer ordnungsgemäß vom IVE identifiziert wurde.) Es besteht auch die Möglichkeit, dass das Zugriffsverwaltungssystem dem Benutzer den Zugriff auf die angeforderte Ressource verweigert, weil John Smith z.B. nicht über ausreichende Zugriffsrechte für das System verfügt, obwohl es den vom IVE gesendeten Informationen vertraut. 1. Secure Access Markup Language wurde vom SSTC (Security Services Technical Committee) von OASIS-Organisation für Standards entwickelt. Eine technische Übersicht über SAML finden Sie auf der OASIS-Website unter: http://www.oasis-open.org/committees/download.php/5836/sstc-saml-tech-overview-1.1-draft-03.pdf. 214 Konfigurieren von SAML Kapitel 10: Einzelanmeldung In der zweiten Situation meldet sich John Smith am Firmenportal an und wird mithilfe eines LDAP-Servers hinter der Firewall des Unternehmens authentifiziert. Auf dem sicheren Portal des Unternehmens klickt John Smith auf einen Link zu einer vom IVE geschützten Ressource. Der folgende Prozess läuft ab: 1. Der Link leitet John Smith zu einem Intersite Transfer Service auf dem Unternehmensportal um, der eine Artifact-URL erstellt. Die Artifact-URL enthält einen Verweis zu einer im Cache des Unternehmensportals gespeicherten SAML-Assertion. 2. Das Portal sendet die URL an das IVE, das über das Erstellen eines Links zum Verweis entscheidet. 3. Falls das IVE einen Link zum Verweis erstellt, sendet das Portal eine SOAPMeldung mit einer SAML-Assertion (eine XML-Meldung mit den Anmeldedaten des Benutzers) an das IVE, das über die Zugriffsberechtigung des Benutzers auf die angeforderte Ressource entscheidet. 4. Falls das IVE den Benutzerzugriff gestattet, zeigt das IVE dem Benutzer die angeforderte Ressource an. 5. Falls das IVE die SAML-Assertion oder die Anmeldedaten des Benutzers verweigert, zeigt das IVE dem Benutzer eine Fehlermeldung an. Beim Konfigurieren des IVE können Sie SAML für Folgendes verwenden: SSO-Authentifizierung (Single Sign-On, Einzelanmeldung) – Im Rahmen einer SAML-SSO-Transaktion wird ein authentifizierter Benutzer nahtlos in einem anderen System angemeldet, ohne die Anmeldedaten erneut bereitstellen zu müssen. Bei diesem Transaktionstyp kann das IVE entweder die SAML-Autorität oder der SAML-Receiver sein. Als SAML-Autorität erstellt das IVE ein Authentifizierungsstatement mit Angabe des Benutzernamens des Benutzers und der Art der Authentifizierung. Wenn die Relying Party (die bei SAML-SSOTransaktionen als Assertion Consumer Service bezeichnet wird) dem IVE vertraut, wird der Benutzer nahtlos im Assertion Consumer Service mit dem im Statement enthaltenen Benutzernamen angemeldet. Als SAML-Receiver fordert das IVE die Bestätigung der Anmeldedaten von der SAML-Autorität an, also von dem anderen Zugriffsverwaltungssystem, z.B. LDAP oder einem anderen Authentifizierungsserver. Die SAML-Autorität sendet eine Assertion als SOAP-Meldung. Die Assertion besteht aus mehreren XMLStatements, die das IVE basierend auf vom IVE-Administrator in einer SAMLServerinstanzdefinition festgelegten Kriterien interpretieren muss. Falls das IVE der bestätigenden Partei vertraut, gestattet das IVE dem Benutzer die nahtlose Anmeldung mit den in der SAML-Assertion enthaltenen Anmeldedaten. Konfigurieren von SAML 215 Juniper Networks Secure Access – Administratorhandbuch Zugriffssteuerungsautorisierung – Im Rahmen einer SAMLZugriffssteuerungstransaktion ruft das IVE bei einem Zugriffsverwaltungssystem ab, ob der Benutzer über entsprechende Zugriffsrechte verfügt. Bei diesem Transaktionstyp stellt das IVE die Relying Party dar (wird bei Zugriffssteuerungstransaktionen auch als Policy Enforcement Point (PEP) bezeichnet). Das IVE verwendet und erzwingt ein vom Zugriffsverwaltungssystem (SAML-Autorität) bereitgestelltes Authorization Decision Statement, in dem angegeben wird, dass der Benutzer für den Zugriff berechtigt ist. Wenn die SAML-Autorität (die bei Zugriffssteuerungstransaktionen auch als Policy Decision Point, PDP bezeichnet wird) angibt, dass der IVEBenutzer über ausreichende Zugriffsrechte verfügt, kann der Benutzer auf die gewünschte Ressource zugreifen. HINWEIS: Das IVE unterstützt keine Attributstatements, in denen bestimmte Details über den Benutzer angegeben werden (z.B. „John Smith is a member of the gold group“). Das IVE generiert keine Authorization Decision Statements, es verwendet sie nur. Das IVE gewährt den Benutzern jedoch nicht nur den Zugriff auf eine URL auf Grundlage des von einer SAML-Autorität zurückgegebenen Authorization Decision Statement. Das IVE ermöglicht Ihnen außerdem das Definieren von Benutzerzugriffsrechten für eine URL mithilfe von IVE-Mechanismen (Registerkarte Users > Resource Profiles > Web Applications/Pages ). Wenn Sie Zugriffssteuerungen sowohl über das IVE als auch eine SAML-Autorität definieren, müssen beide Quellen den Zugriff auf eine URL gewähren, damit ein Benutzer darauf zugreifen kann. Sie können beispielsweise eine IVEZugriffsrichtlinie konfigurieren, um Mitgliedern der Rolle „Users“ den Zugriff auf www.google.com zu verweigern, und eine andere SAML-Richtlinie konfigurieren, bei der die Benutzerzugriffsrechte auf einem Attribut in einem Zugriffsverwaltungssystem basieren. Selbst wenn das Zugriffsverwaltungssystem den Benutzern den Zugriff auf www.google.com gewährt, wird ihnen jedoch der Zugriff aufgrund der IVE-Richtlinie verweigert. Zugriffsverwaltungssysteme, die SAML unterstützen, können auf die Anfrage, ob ein Benutzer auf eine Ressource zugreifen darf, eine Zusage, eine Verweigerung oder eine unbestimmte Antwort zurückgeben. Wenn das IVE eine unbestimmte Antwort erhält, wird dem Benutzer der Zugriff verweigert. Es tritt eine Zeitüberschreitung bei der Sitzung auf dem IVE auf, und es ist keine Koordination mit dem Zugriffsverwaltungssystem möglich. Wenn das Sitzungscookie des Zugriffsverwaltungssystems eines Benutzers das Zeitlimit überschreitet, bevor sein IVE-Cookie (DSIDcookie) das Zeitlimit überschreitet, geht die Einzelanmeldung zwischen den beiden Systemen verloren. Der Benutzer muss sich bei einer Zeitüberschreitung im Zugriffsverwaltungssystem erneut anmelden. Weitere Informationen finden Sie unter: 216 Konfigurieren von SAML „Konfigurieren von SAML-SSO-Profilen“ auf Seite 217. „Erstellen einer Zugriffssteuerungsrichtlinie“ auf Seite 225 Kapitel 10: Einzelanmeldung „Herstellen einer Vertrauensstellung zwischen SAML-fähigen Systemen“ auf Seite 229 „Konfigurieren von SAML“ auf Seite 214 „Konfigurieren einer SAML-Serverinstanz“ auf Seite 168 „Aufgabenzusammenfassung: Konfiguration von SAML mit dem IVE“ auf Seite 234 Konfigurieren von SAML-SSO-Profilen Beim Aktivieren von SSO-Transaktionen für ein vertrauenswürdiges Zugriffsverwaltungssystem müssen Sie angeben, ob das Zugriffsverwaltungssystem Benutzerinformationen vom IVE abrufen soll oder ob das IVE Benutzerinformationen an das Zugriffsverwaltungssystem weiterleiten soll. Sie geben die von den zwei Systemen zu verwendende Kommunikationsmethode an, indem Sie bei der Konfiguration ein Profil auswählen. Ein Profil wird von zwei vertrauenswürdigen Sites zum Übertragen eines SAML-Statements verwendet. Beim Konfigurieren des IVE können Sie wählen, ob ein Artifact- oder ein POST-Profil verwendet werden soll. Erstellen eines Artifact-Profils Wenn Sie sich für die Kommunikation mit dem Artifact-Profil (wird auch als Browser-Artifact-Profil bezeichnet) entscheiden, ruft der vertrauenswürdige Zugriffsverwaltungsserver die Authentifizierungsdaten vom IVE ab. Dies wird in Abbildung 31 dargestellt: Abbildung 31: Artifact-Profil Das IVE und ein Assertion Consumer Service (ACS) gehen beim Weiterleiten von Informationen folgendermaßen vor: 1. Der Benutzer versucht, auf eine Ressource zuzugreifen – Ein Benutzer ist am IVE angemeldet und versucht, auf eine geschützte Ressource auf einem Webserver zuzugreifen. Konfigurieren von SAML-SSO-Profilen 217 Juniper Networks Secure Access – Administratorhandbuch 2. Das IVE sendet eine HTTP oder HTTPS GET-Anforderung an den ACS – Das IVE fängt die Anforderung ab und überprüft, ob der erforderliche SSO-Vorgang bereits ausgeführt wurde, um die Anforderung zu berücksichtigen. Ist dies nicht der Fall, erstellt das IVE ein Authentifizierungsstatement und leitet eine HTTP-Abfragevariable (als Artifact bezeichnet) an den Assertion Consumer Service weiter. Ein Artifact-Profil ist eine Base-64-codierte Zeichenfolge, die die Quell-ID der Quellsite (eine 20-Byte-Zeichenfolge, die auf das IVEIVE verweist) und eine zufällig erstellte Zeichenfolge enthält, die als Handle für das Authentifizierungsstatement fungiert. (Beachten Sie, dass ein Handle 5 Minuten nach dem Senden des Artifacts abläuft. Wenn also der Assertion Consumer Service nach 5 Minuten antwortet, sendet das IVE kein Statement. Beachten Sie außerdem, dass das IVE ein Handle nach der ersten Verwendung verwirft, um zu vermeiden, dass das Handle ein zweites Mal verwendet wird.) 3. Der ACS sendet eine SAML-Anforderung an das IVE – Der Assertion Consumer Service verwendet die im vorherigen Schritt gesendete Quell-ID, um die IVE-Adresse zu ermitteln. Anschließend sendet der Assertion Consumer Service eine in einer SOAP-Nachricht enthaltene Statementanforderung an die folgende Adresse auf dem IVE: https://<IVEhostname>/dana-ws/saml.ws Die Anforderung umfasst das im vorherigen Schritt weitergeleitete Statementhandle. HINWEIS: Das IVE unterstützt nur Artifacts vom Typ 0x0001. Dieser Artifacttyp leitet einen Verweis auf die Adresse der Quellsite (also die Quell-ID des IVE) weiter, anstatt die eigentliche Adresse zu senden. Zum Verarbeiten von Artifacts vom Typ 0x0001 muss der Assertion Consumer Service eine Tabelle verwalten, die QuellIDs zu den Adressen der Partnerquellsites zuordnet. 4. Das IVE sendet ein Authentifizierungsstatement an den ACS – Das IVE verwendet das Statementhandle in der Anforderung, um das richtige Statement im IVE-Cache zu finden, und sendet dann das entsprechende Authentifizierungsstatement an den Assertion Consumer Service zurück. Das nicht signierte Statement enthält die Identität des Benutzers sowie den von ihm für die Anmeldung beim IVE verwendeten Mechanismus. 5. Der ACS sendet ein Cookie an das IVE – Der Assertion Consumer Service akzeptiert das Statement und sendet dann ein Cookie an das IVE zurück, das die Benutzersitzung aktiviert. 6. Das IVE sendet das Cookie an den Webserver – Das IVE speichert das Cookie zur Verarbeitung zukünftiger Anforderungen zwischen. Anschließend sendet das IVE das Cookie in einer HTTP-Anforderung an den Webserver, dessen Domänenname mit der Domäne im Cookie übereinstimmt. Der Webserver berücksichtigt die Sitzung, ohne den Benutzer zur Eingabe von Anmeldeinformationen aufzufordern. 218 Konfigurieren von SAML-SSO-Profilen Kapitel 10: Einzelanmeldung HINWEIS: Wenn Sie das IVE zur Verwendung von Artifact-Profilen konfigurieren, müssen Sie das Webserverzertifikat des IVE für den Assertion Consumer Service installieren (wie unter „Konfigurieren von Zertifikaten“ auf Seite 231 beschrieben). So schreiben Sie eine SAML SSO-Artifact-Profil-Ressourcenrichtlinie: 1. Navigieren Sie in der Administratorkonsole zu Users > Resource Policies > Web. 2. Ist die Administratoransicht noch nicht für das Anzeigen von SAML-Richtlinien konfiguriert, nehmen Sie folgende Änderungen vor: a. Klicken Sie rechts oben auf der Seite auf die Schaltfläche Customize. b. Aktivieren Sie das Kontrollkästchen SSO. c. Aktivieren Sie das Kontrollkästchen SAML unter dem Kontrollkästchen SSO. d. Klicken Sie auf OK. 3. Wählen Sie die Registerkarte SSO > SAML. 4. Klicken Sie auf New Policy. 5. Geben Sie auf der Seite New Policy Folgendes ein: a. Eine Bezeichnung für diese Richtlinie. b. Eine Beschreibung der Richtlinie (optional). 6. Geben Sie im Abschnitt Resources die Ressourcen an, für die diese Richtlinie gelten soll. Weitere Informationen finden Sie unter „Angeben von Ressourcen für eine Ressourcenrichtlinie“ auf Seite 87. Informationen zum Aktivieren der IP-basierten Zuordnung und der Zuordnung anhand von Groß- und Kleinschreibung für diese Ressourcen finden Sie unter „Schreiben einer Ressourcenrichtlinie für Webproxys“ auf Seite 379. 7. Geben Sie im Bereich Roles Folgendes an: Policy applies to ALL roles – Hiermit gilt die Richtlinie für alle Benutzer. Policy applies to SELECTED roles – Hiermit gilt die Richtlinie nur für Benutzer, die zu Rollen in der Liste Selected roles zugeordnet sind. Dieser Liste müssen Rollen aus der Liste Available roles hinzugefügt werden. Konfigurieren von SAML-SSO-Profilen 219 Juniper Networks Secure Access – Administratorhandbuch Policy applies to all roles OTHER THAN those selected below – Hiermit gilt die Richtlinie für alle Benutzer außer den Benutzern, die Rollen in der Liste Selected roles zugeordnet sind. Dieser Liste müssen Rollen aus der Liste Available roles hinzugefügt werden. 8. Geben Sie im Bereich Action Folgendes an: Use the SAML SSO defined below – Das IVE führt eine Einzelanmeldungsanforderung (SSO, Single Sign-On) für die angegebene URL aus und verwendet dazu die im Bereich SAML SSO details angegebenen Daten. Das IVE führt die SSO-Anforderung aus, wenn ein Benutzer versucht, auf eine in der Liste Resources angegebene SAMLRessource zuzugreifen. Do NOT use SAML – Das IVE führt keine SSO-Anforderung durch. Use Detailed Rules – Hiermit geben Sie eine oder mehrere detaillierte Regeln für diese Richtlinie an. 9. Geben Sie im Bereich SAML SSO Details Folgendes an: SAML Assertion Consumer Service URL – Geben Sie die URL an, die das IVE zum Kontaktieren des Assertion Consumer Service (d. h. des Zugriffsverwaltungsservers) verwenden soll. Beispiel: https://hostname/acs (Beachten Sie, dass das IVE dieses Feld auch verwendet, um den SAMLEmpfänger für seine Assertionen zu bestimmen.) HINWEIS: Wenn Sie eine URL eingeben, der mit „https“ beginnt, müssen Sie auf dem IVE die Stammzertifizierungsstelle des Assertion Consumer Service installieren (wie unter „Konfigurieren von Zertifikaten“ auf Seite 231 beschrieben). Profile – Wählen Sie Artifact aus, um anzugeben, dass der Assertion Consumer Service bei SSO-Transaktionen Informationen aus dem IVE abrufen soll. Source ID – Geben Sie die Quell-ID für das IVE ein. Geben Sie Folgendes ein, um die entsprechenden Ergebnisse zu erhalten: Klartextzeichenfolge – Wird vom IVE in eine 20-Byte-Zeichenfolge konvertiert, aufgefüllt oder gekürzt. Base-64-codierte Zeichenfolge – Wird vom IVE decodiert und daraufhin überprüft, ob es sich um eine 20-Byte-Zeichenfolge handelt. Wenn Ihr Zugriffsverwaltungssystem Base-64-codierte Quell-IDs erfordert, können Sie eine 20-Byte-Zeichenfolge erstellen und diese dann mit einem Tool wie OpenSSL in Base-64-Codierung konvertieren. HINWEIS: Der IVE-Bezeichner (d. h. die Quell-ID) muss mit der folgenden URL für den Assertion Consumer Service übereinstimmen (wie unter „Konfiguration vertrauenswürdiger Anwendungs-URLs“ auf Seite 230 beschrieben): https://<IVEhostname>/dana-ws/saml.ws 220 Konfigurieren von SAML-SSO-Profilen Kapitel 10: Einzelanmeldung Issuer – Geben Sie eine eindeutige Zeichenfolge ein, die vom IVE verwendet werden kann, um sich beim Erstellen von Assertionen selbst zu bezeichnen (normalerweise der eigene Hostname). HINWEIS: Konfigurieren Sie den Assertion Consumer Service zum Erkennen der eindeutigen Zeichenfolge des IVE (wie unter „Konfigurieren eines Ausstellers“ auf Seite 230 beschrieben). 10. Geben Sie im Bereich User Identity an, wie das IVE und der Assertion Consumer Service den Benutzer identifizieren sollen: Subject Name Type – Geben Sie an, welche Methode das IVE und der Assertion Consumer Service zum Identifizieren des Benutzers verwenden sollen: DN – Senden Sie den Benutzernamen im Format eines DN-Attributs (Distinguished Name). Email Address – Senden Sie den Benutzernamen im Format einer EMail-Adresse. Windows – Senden Sie den Benutzernamen im Format eines qualifizierten Windows-Domänenbenutzernamens. Other – Senden Sie den Benutzernamen in einem anderen vom IVE und dem Assertion Consumer Service vereinbarten Format. Subject Name – Mit den unter „Systemvariablen und Beispiele“ auf Seite 920 beschriebenen Variablen können Sie den Benutzernamen angeben, den das IVE an den Assertion Consumer Service weiterleiten soll. Geben Sie andernfalls statischen Text ein. HINWEIS: Sie müssen einen Benutzernamen oder ein Attribut senden, der bzw. das vom Assertion Consumer Service erkannt wird (wie unter „Konfiguration der Benutzeridentität“ auf Seite 234 beschrieben). 11. Geben Sie im Bereich Web Service Authentication die Authentifizierungsmethode an, die das IVE zum Authentifizieren des Assertion Consumer Service verwenden soll: None – Der Assertion Consumer Service wird nicht authentifiziert. Username – Der Assertion Consumer Service wird mit einem Benutzernamen und einem Kennwort authentifiziert. Geben Sie den Benutzernamen und das Kennwort ein, die der Assertion Consumer Service an das IVE senden soll. Konfigurieren von SAML-SSO-Profilen 221 Juniper Networks Secure Access – Administratorhandbuch Certificate Attribute – Der Assertion Consumer Service wird mit Zertifikatattributen authentifiziert. Geben Sie die Attribute ein, die der Assertion Consumer Service an das IVE senden soll (ein Attribut pro Zeile). Beispiel: cn=sales Verwenden Sie Werte, die mit den im Zertifikat des Assertion Consumer Service enthaltenen Werte übereinstimmen. HINWEIS: Wenn Sie diese Option auswählen, müssen Sie die Stammzertifizierungsstelle des Assertion Consumer Service auf dem IVE installieren (wie unter „Konfigurieren von Zertifikaten“ auf Seite 231 beschrieben). 12. Cookie Domain – Geben Sie eine durch Kommas getrennte Domänenliste ein, an die das SSO-Cookie gesendet wird. 13. Klicken Sie auf Save Changes. 14. Ordnen Sie die Richtlinien auf der Seite SAML SSO Policies in der Reihenfolge an, in der sie vom IVE ausgewertet werden sollen. Hinweis: Wenn das IVE die Ressource, die von einem Benutzer angefordert wurde, einer Ressource in der Liste Resource für eine Richtlinie (oder ausführliche Regel) zuordnet, führt es die angegebene Aktion aus und beendet die Richtlinienverarbeitung. Erstellen eines POST-Profils Wenn Sie sich für die Kommunikation mit einem POST-Profil (das auch als Browser/POST-Profil bezeichnet wird) entscheiden, leitet das IVE die Authentifizierungsdaten an das Zugriffsverwaltungssystem mithilfe eines HTTP POSTBefehls über eine SSL 3.0-Verbindung weiter. Dies wird in Abbildung 32 dargestellt: Abbildung 32: POST-Profil Das IVE und ein Zugriffsverwaltungssystem (Access Management, AM) gehen beim Weiterleiten von Informationen folgendermaßen vor: 1. Der Benutzer versucht, auf eine Ressource zuzugreifen – Ein Benutzer ist am IVE angemeldet und versucht, auf eine geschützte Ressource auf einem Webserver zuzugreifen. 222 Konfigurieren von SAML-SSO-Profilen Kapitel 10: Einzelanmeldung 2. Das IVE stellt ein Statement bereit – Das IVE fängt die Anforderung ab und überprüft, ob der erforderliche SSO-Vorgang bereits ausgeführt wurde, um die Anforderung zu berücksichtigen. Ist dies nicht der Fall, erstellt das IVE ein Authentifizierungsstatement, versieht es mit einer digitalen Signatur und stellt es direkt auf dem Zugriffsverwaltungsserver bereit. Da das Statement signiert ist, muss der Zugriffsverwaltungsserver der zum Ausstellen des Zertifikats verwendeten Zertifizierungsstelle vertrauen. Beachten Sie, dass Sie konfigurieren müssen, welches Zertifikat das IVE zum Signieren des Statements verwenden soll. 3. Das AM stellt eine Sitzung her – Wenn der Benutzer über die entsprechenden Berechtigungen verfügt, sendet der Zugriffsverwaltungsserver ein Cookie an das IVE zurück, das die Benutzersitzung aktiviert. 4. Das IVE sendet das Cookie an den Webserver – Das IVE speichert das Cookie zur Verarbeitung zukünftiger Anforderungen zwischen. Anschließend sendet das IVE das Cookie in einer HTTP-Anforderung an den Webserver, dessen Domänenname mit der Domäne im Cookie übereinstimmt. Der Webserver berücksichtigt die Sitzung, ohne den Benutzer zur Eingabe von Anmeldeinformationen aufzufordern. HINWEIS: Wenn Sie das IVE zur Verwendung von POST-Profilen konfigurieren, müssen Sie die Stammzertifizierungsstelle des Assertion Consumer Service auf dem IVE installieren und bestimmen, welche Methode der Assertion Consumer Service verwenden soll, um dem Zertifikat zu vertrauen (wie unter „Konfigurieren von Zertifikaten“ auf Seite 231 beschrieben). So schreiben Sie eine SAML SSO-POST-Profil-Ressourcenrichtlinie: 1. Navigieren Sie in der Administratorkonsole zu Users > Resource Policies > Web. 2. Ist die Administratoransicht noch nicht für das Anzeigen von SAML-Richtlinien konfiguriert, nehmen Sie folgende Änderungen vor: a. Klicken Sie rechts oben auf der Seite auf die Schaltfläche Customize. b. Aktivieren Sie das Kontrollkästchen SSO. c. Aktivieren Sie das Kontrollkästchen SAML unter dem Kontrollkästchen SSO. d. Klicken Sie auf OK. 3. Wählen Sie die Registerkarte SSO > SAML. 4. Klicken Sie auf New Policy. 5. Geben Sie auf der Seite SAML SSO Policy Folgendes ein: a. Eine Bezeichnung für diese Richtlinie. b. Eine Beschreibung der Richtlinie (optional). Konfigurieren von SAML-SSO-Profilen 223 Juniper Networks Secure Access – Administratorhandbuch 6. Geben Sie im Abschnitt Resources die Ressourcen an, für die diese Richtlinie gelten soll. Weitere Informationen finden Sie unter „Angeben von Ressourcen für eine Ressourcenrichtlinie“ auf Seite 87. Informationen zum Aktivieren der IP-basierten Zuordnung und der Zuordnung anhand von Groß- und Kleinschreibung für diese Ressourcen finden Sie unter „Schreiben einer Ressourcenrichtlinie für Webproxys“ auf Seite 379. 7. Geben Sie im Bereich Roles Folgendes an: Policy applies to ALL roles – Hiermit gilt die Richtlinie für alle Benutzer. Policy applies to SELECTED roles – Hiermit gilt die Richtlinie nur für Benutzer, die zu Rollen in der Liste Selected roles zugeordnet sind. Dieser Liste müssen Rollen aus der Liste Available roles hinzugefügt werden. Policy applies to all roles OTHER THAN those selected below – Hiermit gilt die Richtlinie für alle Benutzer außer den Benutzern, die Rollen in der Liste Selected roles zugeordnet sind. Dieser Liste müssen Rollen aus der Liste Available roles hinzugefügt werden. 8. Geben Sie im Bereich Action Folgendes an: Das Use the SAML SSO defined below führt eine Einzelanmeldungsanforderung (SSO, Single Sign-On) für die angegebene URL aus und verwendet dazu die im Bereich IVESAML SSO detailsSAML SSO details angegebenen Daten. Das IVE führt die SSO-Anforderung aus, wenn ein Benutzer versucht, auf eine in der Liste Resources angegebene SAML-Ressource zuzugreifen. Do NOT use SAML – Das IVE führt keine SSO-Anforderung durch. Use Detailed Rules – Hiermit geben Sie eine oder mehrere detaillierte Regeln für diese Richtlinie an. 9. Geben Sie im Bereich SAML SSO Details Folgendes an: SAML Assertion Consumer Service URL – Geben Sie die URL an, die das IVE zum Kontaktieren des Assertion Consumer Service (d. h. des Zugriffsverwaltungsservers) verwenden soll. Beispiel: https://hostname/acs Profile – Wählen Sie POST aus, um anzugeben, dass das IVE bei SSOTransaktionen Informationen an den Assertion Consumer Service übergeben soll. Issuer – Geben Sie eine eindeutige Zeichenfolge ein, die vom IVE verwendet werden kann, um sich beim Erstellen von Assertionen selbst zu bezeichnen (normalerweise der eigene Hostname). HINWEIS: Konfigurieren Sie den Assertion Consumer Service zum Erkennen der eindeutigen Zeichenfolge des IVE (wie unter „Konfigurieren eines Ausstellers“ auf Seite 230 beschrieben). 224 Konfigurieren von SAML-SSO-Profilen Signing Certificate – Geben Sie an, mit welchem Zertifikat das IVE Assertions signieren soll. Kapitel 10: Einzelanmeldung 10. Geben Sie im Bereich User Identity an, wie das IVE und der Assertion Consumer Service den Benutzer identifizieren sollen: Subject Name Type – Geben Sie an, welche Methode das IVE und der Assertion Consumer Service zum Identifizieren des Benutzers verwenden sollen: DN – Senden Sie den Benutzernamen im Format eines DN-Attributs (Distinguished Name). Email Address – Senden Sie den Benutzernamen im Format einer EMail-Adresse. Windows – Senden Sie den Benutzernamen im Format eines qualifizierten Windows-Domänenbenutzernamens. Other – Senden Sie den Benutzernamen in einem anderen vom IVE und dem Assertion Consumer Service vereinbarten Format. Subject Name – Mit den unter „Systemvariablen und Beispiele“ auf Seite 920 beschriebenen Variablen können Sie den Benutzernamen angeben, den das IVE an den Assertion Consumer Service weiterleiten soll. Geben Sie andernfalls statischen Text ein. HINWEIS: Sie müssen einen Benutzernamen oder ein Attribut senden, der bzw. das vom Assertion Consumer Service erkannt wird (wie unter „Konfiguration der Benutzeridentität“ auf Seite 234 beschrieben). 11. Cookie Domain – Geben Sie eine durch Kommas getrennte Domänenliste ein, an die das SSO-Cookie gesendet wird. 12. Klicken Sie auf Save Changes. 13. Ordnen Sie die Richtlinien auf der Seite SAML SSO Policies in der Reihenfolge an, in der sie vom IVE ausgewertet werden sollen. Hinweis: Wenn das IVE die Ressource, die von einem Benutzer angefordert wurde, einer Ressource in der Liste Resource für eine Richtlinie (oder ausführliche Regel) zuordnet, führt es die angegebene Aktion aus und beendet die Richtlinienverarbeitung. Erstellen einer Zugriffssteuerungsrichtlinie Beim Aktivieren von Zugriffssteuerungstransaktionen für ein vertrauenswürdiges Zugriffsverwaltungssystem tauschen das IVE und das vertrauenswürdige Zugriffsverwaltungssystem Informationen mithilfe der in Abbildung 33 dargestellten Methode aus. Konfigurieren von SAML-SSO-Profilen 225 Juniper Networks Secure Access – Administratorhandbuch Abbildung 33: Zugriffssteuerungsrichtlinien Das IVE und ein Zugriffsverwaltungssystem (Access Management, AM) gehen beim Weiterleiten von Informationen folgendermaßen vor: 1. Der Benutzer versucht, auf eine Ressource zuzugreifen – Ein Benutzer ist am IVE angemeldet und versucht, auf eine geschützte Ressource auf einem Webserver zuzugreifen. 2. Das IVE stellt eine Autorisierungsentscheidungsabfrage (Authorization Decision Query) bereit – Wenn das IVE bereits eine Autorisierungsanforderung ausgeführt hat und diese noch gültig ist, verwendet das IVE diese Anforderung. (Die Gültigkeit der Autorisierungsanforderung ist in der -Administratorkonsole festgelegt.) Wenn keine gültige Autorisierungsanforderung vorhanden ist, sendet das IVE eine Autorisierungsentscheidungsabfrage an das Zugriffsverwaltungssystem. Die Abfrage enthält die Identität des Benutzers sowie die Ressource, die das Zugriffsverwaltungssystem für die Autorisierung benötigt. 3. Das AM sendet ein Authorization Decision Statement – Das Zugriffsverwaltungssystem sendet einen HTTPS POST-Befehl mit einer SOAPNachricht, die das Authorization Decision Statement enthält. Das Authorization Decision Statement enthält eine Zusage, eine Verweigerung oder ein unbestimmtes Ergebnis. 4. Das IVE sendet die Anforderung an den Webbrowser – Wenn das Authorization Decision Statement eine Zusage zurückgibt, gewährt das IVE dem Benutzer den Zugriff. Andernfalls zeigt das IVE eine Fehlerseite an, auf der dem Benutzer mitgeteilt wird, dass er nicht über die entsprechenden Zugriffsberechtigungen verfügt. HINWEIS: Wenn Sie das IVE zur Verwendung von Zugriffssteuerungstransaktionen konfigurieren, müssen Sie die Stammzertifizierungsstelle des SAML-Webdienstes auf dem IVE installieren (wie unter „Konfigurieren von Zertifikaten“ auf Seite 231 beschrieben). So schreiben Sie eine Ressourcenrichtlinie für die SAML-Zugriffssteuerung: 1. Navigieren Sie in der Administratorkonsole zu Users > Resource Policies > Web. 226 Konfigurieren von SAML-SSO-Profilen Kapitel 10: Einzelanmeldung 2. Ist die Administratoransicht noch nicht für das Anzeigen von SAML-Richtlinien konfiguriert, nehmen Sie folgende Änderungen vor: a. Klicken Sie rechts oben auf der Seite auf die Schaltfläche Customize. b. Aktivieren Sie das Kontrollkästchen SAML ACL unter dem Kontrollkästchen Access. c. Klicken Sie auf OK. 3. Wählen Sie die Registerkarte Access > SAML ACL. 4. Klicken Sie auf der Seite SAML Access Control Policies auf New Policy. 5. Geben Sie auf der Seite New Policy Folgendes ein: a. Eine Bezeichnung für diese Richtlinie. b. Eine Beschreibung der Richtlinie (optional). 6. Geben Sie im Abschnitt Resources die Ressourcen an, für die diese Richtlinie gelten soll. Weitere Informationen finden Sie unter „Angeben von Ressourcen für eine Ressourcenrichtlinie“ auf Seite 87. Informationen zum Aktivieren der IP-basierten Zuordnung und der Zuordnung anhand von Groß- und Kleinschreibung für diese Ressourcen finden Sie unter „Schreiben einer Ressourcenrichtlinie für Webproxys“ auf Seite 379. 7. Geben Sie im Bereich Roles Folgendes an: Policy applies to ALL roles – Hiermit gilt die Richtlinie für alle Benutzer. Policy applies to SELECTED roles – Hiermit gilt die Richtlinie nur für Benutzer, die zu Rollen in der Liste Selected roles zugeordnet sind. Dieser Liste müssen Rollen aus der Liste Available roles hinzugefügt werden. Policy applies to all roles OTHER THAN those selected below – Hiermit gilt die Richtlinie für alle Benutzer außer den Benutzern, die Rollen in der Liste Selected roles zugeordnet sind. Dieser Liste müssen Rollen aus der Liste Available roles hinzugefügt werden. 8. Geben Sie im Bereich Action Folgendes an: Use the SAML Access Control checks defined below – Das IVE führt eine Zugriffssteuerungsprüfung für die angegebene URL durch und verwendet dazu die im Bereich SAML Access Control Details angegebenen Daten. Do not use SAML Access – Das IVE führt keine Zugriffssteuerungsprüfung durch. Use Detailed Rules – Hiermit geben Sie eine oder mehrere detaillierte Regeln für diese Richtlinie an. Konfigurieren von SAML-SSO-Profilen 227 Juniper Networks Secure Access – Administratorhandbuch 9. Geben Sie im Bereich SAML Access Control Details Folgendes an: SAML Web Service URL – Geben Sie die URL des SAML-Servers des Zugriffsverwaltungssystems ein. Beispiel: https://hostname/ws Issuer – Geben Sie den Hostnamen des Ausstellers ein. In den meisten Fällen ist dies der Hostname des Zugriffsverwaltungssystems. HINWEIS: Geben Sie eine eindeutige Zeichenfolge ein, anhand derer sich der SAML-Webdienst in Autorisierungsassertionen selbst bezeichnet (wie unter „Konfigurieren eines Ausstellers“ auf Seite 230 beschrieben). 10. Geben Sie im Bereich User Identity an, wie das IVE und der SAML-Webdienst den Benutzer identifizieren sollen: Subject Name Type – Geben Sie an, welche Methode das IVE und der SAML-Webdienst zum Identifizieren des Benutzers verwenden sollen: DN – Senden Sie den Benutzernamen im Format eines DN-Attributs (Distinguished Name). Email Address – Senden Sie den Benutzernamen im Format einer EMail-Adresse. Windows – Senden Sie den Benutzernamen im Format eines qualifizierten Windows-Domänenbenutzernamens. Other – Senden Sie den Benutzernamen in einem anderen vom IVE und dem SAML-Webdienst vereinbarten Format. Subject Name – Mit den unter „Systemvariablen und Beispiele“ auf Seite 920 beschriebenen Variablen können Sie den Benutzernamen angeben, den das IVE an den SAML-Webdienst weiterleiten soll. Geben Sie andernfalls statischen Text ein. HINWEIS: Sie müssen einen Benutzernamen oder ein Attribut senden, der bzw. das vom SAML-Webdienst erkannt wird (wie unter „Konfiguration der Benutzeridentität“ auf Seite 234 beschrieben). 11. Geben Sie im Bereich Web Service Authentication die Authentifizierungsmethode an, die der SAML-Webdienst zum Authentifizieren des IVE verwenden soll: 228 None – Das IVE wird nicht authentifiziert. Username – Das IVE wird mit einem Benutzernamen und einem Kennwort authentifiziert. Geben Sie den Benutzernamen und das Kennwort ein, die das IVE an den Webdienst senden muss. Konfigurieren von SAML-SSO-Profilen Kapitel 10: Einzelanmeldung Certificate Attribute – Das IVE wird mit einem von einer vertrauenswürdigen Zertifizierungsstelle signierten Zertifikat authentifiziert. Wenn auf dem IVE mehrere Zertifikate installiert sind, wählen Sie in der Dropdownliste aus, welches Zertifikat an den Webdienst gesendet werden soll. HINWEIS: Wenn Sie diese Option auswählen, müssen Sie das Zertifikat des IVE- Webservers auf dem Webserver des Zugriffsverwaltungssystems installieren und festlegen, welche Methode der SAML-Webdienst verwenden soll, um zu bestimmen, ob das Zertifikat vertrauenswürdig ist (wie unter „Konfigurieren von Zertifikaten“ auf Seite 231 beschrieben). 12. Geben Sie im Bereich Options Folgendes an: Maximum Cache Time – Sie können den Aufwand zum Erstellen einer Autorisierungsentscheidung vermeiden, der immer dann entsteht, wenn der Benutzer die gleiche URL anfordert, indem Sie angeben, dass das IVE die Autorisierungsantworten des Zugriffsverwaltungssystems zwischenspeichern muss. Geben Sie die Dauer (in Sekunden) ein, für die das IVE die Antworten zwischenspeichern soll. Ignore Query Data – Wenn ein Benutzer eine Ressource anfordert, sendet das IVE standardmäßig die gesamte URL (einschließlich der Abfrageparameter) für diese Ressource an den SAML-Webdienst und speichert die URL zwischen. Sie können angeben, dass das IVE vor dem Anfordern der Autorisierung oder dem Zwischenspeichern der Autorisierungsantwort die Abfragezeichenfolge aus der URL entfernen soll. 13. Klicken Sie auf Save Changes. 14. Ordnen Sie die Richtlinien auf der Seite SAML Access Control Policies in der Reihenfolge an, in der sie vom IVE ausgewertet werden sollen. Hinweis: Wenn das IVE die Ressource, die von einem Benutzer angefordert wurde, einer Ressource in der Liste Resource für eine Richtlinie (oder ausführliche Regel) zuordnet, führt es die angegebene Aktion aus und beendet die Richtlinienverarbeitung. Herstellen einer Vertrauensstellung zwischen SAML-fähigen Systemen Damit Sie sicherstellen können, dass SAML-fähige Systeme Informationen nur zwischen vertrauenswürdigen Quellen weiterleiten, müssen Sie eine Vertrauensstellung zwischen den Anwendungen herstellen, die Informationen senden und empfangen. Zum Herstellen einer Vertrauensstellung zwischen dem IVE und einer anderen SAML-fähigen Anwendung müssen Sie auf jedem System die folgenden Datentypen konfigurieren: „Konfiguration vertrauenswürdiger Anwendungs-URLs“ auf Seite 230 „Konfigurieren eines Ausstellers“ auf Seite 230 „Konfigurieren von Zertifikaten“ auf Seite 231 „Konfiguration der Benutzeridentität“ auf Seite 234 Konfigurieren von SAML-SSO-Profilen 229 Juniper Networks Secure Access – Administratorhandbuch Konfiguration vertrauenswürdiger Anwendungs-URLs Sie müssen bei einer Vertrauensstellung die URLs für die SAML-fähigen Systeme bereitstellen, die für die Kommunikation zwischen den Systemen erforderlich sind. Bei einigen Transaktionen muss nur das die Transaktion initiierende System (das IVE) die URL des anderen Systems kennen. (Das IVE verwendet die URL zum Initiieren der Transaktion.) Bei anderen Transaktionen (SSO-Transaktionen mit Artifact-Profilen) müssen Sie jedes System mit der URL des anderen Systems konfigurieren. Im Folgenden werden die verschiedenen Transaktionstypen und die jeweils zu konfigurierenden URLs aufgelistet: SSO-Transaktionen: Artifact-Profil – Sie müssen im IVE die URL des Assertion Consumer Service eingeben. Beispiel: https://hostname/acs Außerdem müssen Sie die folgende URL für das IVE auf dem Assertion Consumer Service eingeben: https://<IVEhostname>/dana-ws/saml.ws SSO-Transaktionen: POST-Profil – Sie müssen im IVE die URL des Assertion Consumer Service eingeben. Beispiel: https://hostname/acs Zugriffssteuerungstransaktionen – Sie müssen im IVE die URL des SAMLWebdienstes eingeben. Beispiel: https://hostname/ws Konfigurieren eines Ausstellers Bevor ein Statement eines anderen Systems akzeptiert wird, muss eine SAML-fähige Einheit dem Aussteller des Statements vertrauen. Sie können steuern, welchen Ausstellern ein System vertraut, indem Sie bei der Systemkonfiguration die eindeutigen Zeichenfolgen der vertrauenswürdigen Aussteller angeben. (Beim Senden eines Statements identifiziert sich ein Aussteller durch Angeben seiner eindeutigen Zeichenfolge im Statement. SAML-fähige Anwendungen verwenden im Allgemeinen Hostnamen, um Aussteller zu identifizieren, der SAML-Standard lässt jedoch beliebige Zeichenfolgen für Anwendungen zu.) Wenn Sie ein System nicht für die Erkennung der eindeutigen Zeichenfolge eines Ausstellers konfigurieren, lässt das System keine Statements dieses Ausstellers zu. Im Folgenden werden die verschiedenen Transaktionstypen und die zu konfigurierenden Aussteller aufgelistet: 230 SSO-Transaktionen – Sie müssen eine eindeutige Zeichenfolge auf dem IVE angeben (in der Regel den jeweiligen Hostnamen), die das IVE verwenden kann, um sich zu identifizieren. Anschließend müssen Sie das Zugriffsverwaltungssystem für die Erkennung dieser Zeichenfolge konfigurieren. Zugriffssteuerungstransaktionen – Sie müssen eine eindeutige Zeichenfolge auf dem Zugriffsverwaltungssystem angeben (in der Regel den jeweiligen Hostnamen), die es verwenden kann, um sich zu identifizieren. Anschließend müssen Sie das IVE für die Erkennung dieser Zeichenfolge konfigurieren. Konfigurieren von SAML-SSO-Profilen Kapitel 10: Einzelanmeldung Konfigurieren von Zertifikaten Im Rahmen von SSL-Transaktionen muss der Server dem Client ein Zertifikat vorlegen, und anschließend muss der Client vor dem Akzeptieren der Informationen (zumindest) prüfen, ob er der Zertifizierungsstelle vertraut, die das Zertifikat des Servers ausgestellt hat. Sie können alle SAML-Transaktionen des IVE für die Verwendung von SSL (HTTPS) konfigurieren. In den folgenden Abschnitten werden die verschiedenen Transaktionstypen und die jeweiligen Zertifikatanforderungen aufgelistet. Konfigurieren von SSO-Transaktionen: Artifact-Profil Artifact-Profiltransaktionen beinhalten zahlreiche Kommunikationsvorgänge zwischen dem IVE und dem Zugriffsverwaltungssystem. Die von Ihnen zum Weiterleiten von Daten und zum Authentifizieren der beiden Systeme verwendeten Methoden haben Einfluss auf die zu installierenden und zu konfigurierenden Zertifikate. Im Folgenden werden die verschiedenen Konfigurationsoptionen für Artifact-Profile aufgelistet, für die besondere Zertifikatkonfigurationen erforderlich sind: Alle Artifact-Profiltransaktionen – Unabhängig von der jeweiligen Konfiguration des Artifact-Profils müssen Sie das Zertifikat der Zertifizierungsstelle installieren, die das Zertifikat des IVE-Webservers auf dem Zugriffsverwaltungssystem signiert hat. (Für das IVE ist es erforderlich, dass das Zugriffsverwaltungssystem beim Anfordern eines Authentifizierungsstatements eine SSL-Verbindung verwendet. Bei einer SSL-Verbindung muss der Initiator dem System vertrauen, mit dem er eine Verbindung herstellt. Durch Installieren des Zertifizierungsstellenzertifikats auf dem Zugriffsverwaltungssystem stellen Sie sicher, dass das Zugriffsverwaltungssystem der Zertifizierungsstelle vertraut, die das IVE-Zertifikat ausgestellt hat.) Senden von Artifacts über eine SSL-Verbindung (HTTPS GET-Anforderungen) – Wenn Sie Artifacts über eine SSL-Verbindung an das Zugriffsverwaltungssystem senden möchten, müssen Sie das Stammzertifizierungsstellen-Zertifikat des Zugriffsverwaltungssystems auf dem IVE installieren. (Bei einer SSL-Verbindung muss der Initiator dem System vertrauen, mit dem er eine Verbindung herstellt. Durch Installieren des Zertifizierungsstellenzertifikats des Zugriffsverwaltungssystems auf dem IVE stellen Sie sicher, dass das IVE der Zertifizierungsstelle vertraut, die das Zertifikat des Zugriffsverwaltungssystems ausgestellt hat.) Die Stammzertifizierungsstelle kann über die Seite System > Configuration > Certificates > Trusted Client CAs in der Administratorkonsole installiert werden. Weitere Informationen finden Sie unter „Verwenden von vertrauten Clientzertifizierungsstellen“ auf Seite 654. Wenn Sie keine Artifacts über eine SSLVerbindung senden möchten, müssen Sie keine zusätzlichen Zertifikate installieren. Wenn Sie SSL-basierte Kommunikationsverbindungen zwischen dem IVE und dem Zugriffsverwaltungssystem ermöglichen möchten, müssen Sie während der IVE-Konfiguration im Feld SAML Assertion Consumer Service URL eine URL eingeben, die mit HTTPS beginnt. Möglicherweise müssen Sie SSL auch auf dem Zugriffsverwaltungssystem aktivieren. Transaktionen mit Zertifikatauthentifizierung – Zum Authentifizieren des Zugriffsverwaltungssystems mithilfe eines Zertifikats müssen Sie folgendermaßen vorgehen: Konfigurieren von SAML-SSO-Profilen 231 Juniper Networks Secure Access – Administratorhandbuch Installieren Sie das Stammzertifizierungsstellen-Zertifikat des Zugriffsverwaltungssystems auf dem IVE. Die Stammzertifizierungsstelle kann über die Seite System > Configuration > Certificates > Trusted Client CAs in der Administratorkonsole installiert werden. Weitere Informationen finden Sie unter „Verwenden von vertrauten Clientzertifizierungsstellen“ auf Seite 654. Geben Sie an, welche Zertifikatwerte das IVE zum Überprüfen des Zugriffsverwaltungssystems verwenden soll. Sie müssen Werte verwenden, die mit den im Zertifikat des Zugriffsverwaltungsservers enthaltenen Werten übereinstimmen. Wenn Sie das Zugriffsverwaltungssystem nicht authentifizieren bzw. die Authentifizierung über Benutzername und Kennwort verwenden möchten, müssen Sie keine zusätzlichen Zertifikate installieren. Konfigurieren von SSO-Transaktionen POST-Profil Im Rahmen einer POST-Profiltransaktion sendet das IVE signierte Authentifizierungsstatements an das Zugriffsverwaltungssystem. Im Allgemeinen werden diese über eine SSL-Verbindung gesendet (empfohlene Vorgehensweise), aber bei einigen Konfigurationen kann das IVE Statements auch über eine HTTPStandardverbindung senden. Im Folgenden werden die verschiedenen Konfigurationsoptionen für POST-Profile aufgelistet, für die besondere Zertifikatkonfigurationen erforderlich sind: 232 Alle POST-Profiltransaktionen – Unabhängig von der jeweiligen Konfiguration des POST-Profils müssen Sie angeben, welches Zertifikat das IVE zum Signieren der zugehörigen Statements verwenden soll. Ein Zertifikat kann auf der Seite Users > Resource Policies > Web > SSO > SAML > [Richtlinie] > General in der Administratorkonsole ausgewählt werden. Weitere Informationen finden Sie unter „Konfigurieren von SAML“ auf Seite 214. Anschließend müssen Sie das Gerätezertifikat des IVE auf dem Zugriffsverwaltungssystem installieren. Das IVEZertifikat kann über die Seite System > Configuration > Certificates > Device Certificates > [Zertifikat] > Certificate Details heruntergeladen werden. Senden von POST-Daten über eine SSL-Verbindung (HTTPS) – Wenn Sie Statements über eine SSL-Verbindung an das Zugriffsverwaltungssystem senden möchten, müssen Sie das Stammzertifizierungsstellen-Zertifikat des Zugriffsverwaltungssystems auf dem IVE installieren. (Bei einer SSL-Verbindung muss der Initiator dem System vertrauen, mit dem er eine Verbindung herstellt. Durch Installieren des Zertifikats des Zugriffsverwaltungssystems auf dem IVE stellen Sie sicher, dass das IVE der Zertifizierungsstelle vertraut, die das Zertifikat des Zugriffsverwaltungssystems ausgestellt hat.) Die Konfigurieren von SAML-SSO-Profilen Kapitel 10: Einzelanmeldung Stammzertifizierungsstelle kann über die Seite System > Configuration > Certificates > Trusted Client CAs in der Administratorkonsole installiert werden. Weitere Informationen finden Sie unter „Verwenden von vertrauten Clientzertifizierungsstellen“ auf Seite 654. Wenn Sie keine Statements über eine SSL-Verbindung bereitstellen möchten, müssen Sie keine zusätzlichen Zertifikate installieren. Wenn Sie SSL-basierte Kommunikationsverbindungen zwischen dem IVE und dem Zugriffsverwaltungssystem ermöglichen möchten, müssen Sie während der IVE-Konfiguration im Feld SAML Assertion Consumer Service URL eine URL eingeben, die mit HTTPS beginnt. Möglicherweise müssen Sie SSL auch auf dem Zugriffsverwaltungssystem aktivieren. Konfiguration von Zugriffssteuerungstransaktionen Bei einer Zugriffssteuerungstransaktion sendet das IVE eine Autorisierungsentscheidungsabfrage an das Zugriffsverwaltungssystem. Sie müssen die für die Konfiguration erforderlichen Zertifikatoptionen ermitteln, um sicherzustellen, dass das Zugriffsverwaltungssystem auf die Abfrage reagiert. Im Folgenden werden die verschiedenen Konfigurationsoptionen für Zugriffssteuerungen aufgelistet, für die besondere Zertifikatkonfigurationen erforderlich sind: Senden von Autorisierungsdaten über eine SSL-Verbindung – Wenn Sie mittels SSL eine Verbindung mit dem Zugriffsverwaltungssystem herstellen möchten, müssen Sie die Stammzertifizierungsstelle des Zugriffsverwaltungssystems auf dem IVE installieren. (Bei einer SSL-Verbindung muss der Initiator dem System vertrauen, mit dem er eine Verbindung herstellt. Durch Installieren des Zertifikats des Zugriffsverwaltungssystems auf dem IVE stellen Sie sicher, dass das IVE der Zertifizierungsstelle vertraut, die das Zertifikat des Zugriffsverwaltungssystems ausgestellt hat.) Die Stammzertifizierungsstelle kann über die Seite System > Configuration > Certificates > Trusted Client CAs in der Administratorkonsole installiert werden. Weitere Informationen finden Sie unter „Verwenden von vertrauten Clientzertifizierungsstellen“ auf Seite 654. Transaktionen mit Zertifikatauthentifizierung – Wenn Sie die Zertifikatauthentifizierung verwenden möchten, müssen Sie das Zugriffsverwaltungssystem so konfigurieren, dass es der Zertifizierungsstelle vertraut, die das IVE-Zertifikat ausgestellt hat. Optional können Sie auch festlegen, dass das Zertifikat auf Grundlage der folgenden zusätzlichen Optionen akzeptiert wird: Laden Sie den öffentlichen Schlüssel des IVE-Zertifikats auf das Zugriffsverwaltungssystem hoch. Überprüfen Sie das IVE mithilfe bestimmter Zertifikatattribute. Diese Optionen erfordern die Angabe, welches Zertifikat das IVE an das Zugriffsverwaltungssystem weiterleiten soll. Ein Zertifikat kann auf der Seite Users > Resource Policies > Web > Access > SAML ACL > [Richtlinie] > General in der Administratorkonsole ausgewählt werden. Weitere Informationen finden Sie unter „Konfigurieren von SAML-SSO-Profilen“ auf Seite 217. Konfigurieren von SAML-SSO-Profilen 233 Juniper Networks Secure Access – Administratorhandbuch Informationen zum Konfigurieren des Zugriffsverwaltungssystems für die Überprüfung des IVE-Zertifikats finden Sie in der Dokumentation des Zugriffsverwaltungssystems. Wenn das Zugriffsverwaltungssystem keine Zertifikatauthentifizierung erfordert oder die Authentifizierung über Benutzername und Kennwort verwendet, müssen Sie das IVE nicht für die Weiterleitung eines Zertifikats an den Zugriffsverwaltungsserver konfigurieren. Wenn Sie keine Methode für Vertrauensstellungen festlegen, kann das Zugriffsverwaltungssystem Autorisierungsanforderungen von jedem System akzeptieren. Konfiguration der Benutzeridentität Im Rahmen einer Vertrauensstellung müssen die zwei Einheiten eine Methode der Identifizierung von Benutzern festlegen. Sie können einen Benutzernamen oder ein LDAP- oder ein Zertifikatbenutzerattribut für die gemeinsame Verwendung in den Systemen auswählen oder eine feste Benutzer-ID angeben. (Sie können beispielsweise das Feld Subject Name auf „Guest“ festlegen, um einen problemlosen Zugriff auf die Systeme zu ermöglichen.) Geben Sie an, welche Informationen das IVE mit den Optionen im Abschnitt User Identity auf der Seite Users > Resource Policies > Web > SSO > SAML > [Richtlinie] > General (weitere Informationen finden Sie unter „Konfigurieren von SAML“ auf Seite 214) und auf der Seite Users > Resource Policies > Web > Access > SAML ACL > [Richtlinie] > General der Administratorkonsole weiterleiten soll, um sicherzustellen, dass die zwei Systeme gemeinsame Informationen zu den Besuchern weiterleiten. Wählen Sie einen Benutzernamen oder ein Attribut aus, den bzw. das das Zugriffsverwaltungssystem erkennt. Aufgabenzusammenfassung: Konfiguration von SAML mit dem IVE So konfigurieren Sie SAML mit dem IVE: 1. Konfigurieren Sie über die Registerkarten Users > Resource Policies > Web > Access > SAML ACL und Users > Resource Policies > Web > SSO > SAML in der Administratorkonsole eine Webressourcenrichtlinie für eine URL. Weitere Anweisungen finden Sie unter „Konfigurieren von SAML“ auf Seite 214. 2. Sie müssen in der Richtlinie Informationen zum IVE, zum vertrauenswürdigen Zugriffsverwaltungssystem sowie zu dem für die gemeinsame Nutzung von Informationen zu verwendenden Mechanismus bereitstellen (s. „Herstellen einer Vertrauensstellung zwischen SAML-fähigen Systemen“ auf Seite 229). 3. Gewähren Sie den IVE-Benutzern innerhalb einer Rolle mit der Registerkarte Users > User Roles >Rolle auswählen> General der Administratorkonsole den Zugriff auf die Webressourcenrichtlinie. Anweisungen hierfür finden Sie unter „Konfigurieren allgemeiner Rollenoptionen“ auf Seite 57. 234 Konfigurieren von SAML-SSO-Profilen Teil 3 Endpoint Defense Juniper Networks hat die Juniper Endpoint Defense Initiative (J.E.D.I.) als umfangreiche Lösung für die Einschätzung der Vertrauenswürdigkeit von SSL VPNEndpunkten entwickelt. Bei der J.E.D.I. kommt eine mehrschichtige Herangehensweise zur Anwendung, die die endpunktbezogenen Risiken für Unternehmensnetzwerke minimieren soll. Durch die Verwendung von J.E.D.I.Komponenten können Sie die Systeme von Benutzern außerhalb und innerhalb Ihres Netzwerkes sichern, bevor Sie diesen erlauben, eine Verbindung zu Ihrer IVEAppliance herzustellen. Zu den J.E.D.I.-Komponenten gehören: Host Checker – Bei Host Checker (auch systemeigene Hostprüfung und richtlinienbasierte Durchführung genannt) handelt es sich um eine systemeigene IVE-Komponente, mit der Sie Endpunktüberprüfungen auf Hosts durchführen können, die mit dem IVE eine Verbindung herstellen. Host Checker prüft, ob Anwendungen, Dateien, Prozesse, Ports, Registrierungsschlüssel anderer Anbieter sowie benutzerdefinierte DLLs vorhanden sind, und verwehrt bzw. gestattet den Zugriff basierend auf den Ergebnissen der Überprüfungen. Bei korrekter Lizenzierung können Sie über den Host Checker auch verbesserte Software zur Malwareerkennung direkt auf den Benutzercomputer herunterladen. Wenn der Computer eines Benutzers die von Ihnen angegebenen Anforderungen nicht erfüllt, können Sie Hilfsanweisungen anzeigen, mit deren Hilfe der Benutzer den Computer mit den Sicherheitsanforderungen in Einklang bringen kann. Weitere Informationen finden Sie unter „Host Checker“ auf Seite 237. Host Check Client Interface (nur Windows) – Bei der Clientschnittstelle für die Hostprüfung handelt es sich um eine API, über die Sie mithilfe von Host Checker Ihre eigenen DLLs ausführen können. Über die Schnittstelle können Sie veranlassen, dass Host Checker eine DLL ausführt, die bereits auf dem System des Benutzers installiert oder als Teil eines proprietären Betriebssystemimage verteilt wurde. Das schließt Programme mit ein, die die Kompatibilität mit proprietären Images, Antivirensoftware und Clients mit persönlicher Firewall prüfen. Host Checker führt die jeweilige DLL bei der Anmeldung des Benutzers beim IVE aus. Alle nachfolgenden Aktionen richten sich nach der Rückmeldung von der DLL. So können Sie beispielsweise einem Benutzer den Zugriff auf das IVE verweigern, wenn bei der Überprüfung der Clientsoftware ein Fehler auftritt. Weitere Informationen finden Sie im Handbuch J.E.D.I. Solution Guide, verfügbar im Juniper Networks Customer Support Center. 235 Juniper Networks Secure Access – Administratorhandbuch Host Check Server Integration Interface (nur Windows) – Bei der Serverintegrationsschnittstelle für die Hostprüfung handelt es sich um eine API, mit der Sie ein J.E.D.I.-kompatibles System eng in das IVE integrieren können. Wie mit der Clientschnittstelle können Sie auch mithilfe der Serverintegrationsschnittstelle für die Hostprüfung festlegen, dass im Zuge der Hostprüfung Softwareprogramme eines Drittanbieters auf dem Client ausgeführt werden. Hierzu gehören Hostintegritätsprüfungen, Programme zur Malwareerkennung und virtuelle Umgebungen. Darüber hinaus können Sie über diese Schnittstelle für unterschiedliche Ergebnisse der diversen Richtlinienüberprüfungen von Drittanbieteranwendungen sehr detailliert festlegen, welche Schritte von Host Checker im Einzelnen ausgeführt werden sollen. So können Sie Benutzer basierend auf den Ergebnissen einzelner Richtlinien dynamisch bestimmten Bereichen, Rollen und Ressourcen zuordnen. Weitere Informationen finden Sie im Handbuch J.E.D.I. Solution Guide, verfügbar im Juniper Networks Customer Support Center. Cache Cleaner (nur Windows) – Bei Cache Cleaner handelt es sich um eine systemeigene IVE-Komponente, mit der übrig gebliebene Daten wie z.B. Cookies, temporäre Dateien oder Inhalte des Anwendungscache nach einer IVE-Sitzung vom Benutzercomputer entfernt werden können. Cache Cleaner trägt zur Sicherung des Benutzersystems bei, indem die Anwendung verhindert, dass nachfolgende Benutzer temporäre Kopien von Dateien suchen können, die sich der vorhergehende Benutzer angesehen hat, und indem Webbrowser daran gehindert werden, die von Benutzern in Webformularen eingegebenen Benutzernamen, Kennwörter und Webadressen dauerhaft zu speichern. Weitere Informationen finden Sie unter „Cache Cleaner“ auf Seite 287. Die Verwendung dieser Endpoint Defense-Komponenten ermöglicht einen mehrstufigen Sicherungsansatz, mit dem Sie eine Vielzahl von Endpunktprüfungen im IVE verwalten und bereitstellen können. So können Sie z.B. eine Prüfung auf Antivirensoftware durchführen, bevor Sie einem Benutzer Zugriff auf einen der IVEBereiche gewähren. Darüber hinaus können Sie ggf. die Software auf dem System des Benutzers starten, dem Benutzer auf der Grundlage einzelner Richtlinien in Ihrer DLL Rollen zuordnen und den Zugriff auf einzelne Ressourcen je nach Vorhandensein einer Spyware-Erkennungssoftware weiter einschränken. Anschließend können Sie mit Cache Cleaner übrig gebliebene Dateien entfernen und den Anwendungscache des Benutzers leeren, wenn dieser die IVE-Sitzung beendet hat. Dieser Abschnitt enthält die folgenden Informationen über Endpoint Defense: 236 „Host Checker“ auf Seite 237 „Cache Cleaner“ auf Seite 287 Kapitel 11 Host Checker Host Checker ist ein clientseitiger Agent, der Endpunktsicherheitsprüfungen auf Hosts durchführt, die mit dem IVE eine Verbindung herstellen. So kann Host Checker bei der Auswertung einer Rollenzuordnungsregel oder Ressourcenrichtlinie aufgerufen werden, bevor dem jeweiligen Benutzer eine IVE-Anmeldeseite angezeigt wird. Das IVE kann die Endpunkteigenschaften auf Hosts mithilfe verschiedener Regeltypen überprüfen, darunter Regeln, die verbesserten Malwareschutz suchen und installieren; vordefinierte Regeln, die nach Antivirensoftware, Firewalls, Malware, Spyware und bestimmten Betriebssystemen von unterschiedlichen Branchenführern suchen; sowie benutzerdefinierte Regeln, die nach bestimmten DLLs, Ports, Prozessen, Dateien und Registrierungsschlüsseleinstellungen von Drittanbietern suchen. Wenn der Computer des Benutzers keine der Anforderungen der Host CheckerRichtlinie erfüllt, kann dem Benutzer eine angepasste HTML-Hilfsoptionsseite angezeigt werden. Diese Seite kann Ihre Anweisungen sowie Links zu Ressourcen enthalten, mit deren Hilfe der Benutzer den Computer mit jeder Host CheckerRichtlinie in Einklang bringen kann. Dieser Abschnitt enthält die folgenden Informationen über Host Checker: „Lizenzierung: Verfügbarkeit von Host Checker“ auf Seite 238 „Aufgabenzusammenfassung: Konfigurieren von Host Checker“ auf Seite 238 „Erstellen globaler Richtlinien für Host Checker“ auf Seite 240 „Aktivieren von Secure Virtual Workspace (sicherer virtueller Arbeitsbereich)“ auf Seite 260 „Implementieren von Host Checker-Richtlinien“ auf Seite 267 „Korrigieren von Host Checker-Richtlinien“ auf Seite 272 „Definieren von Host Checker-Zugriffstunnel für die Vorauthentifizierungen“ auf Seite 276 „Festlegen von allgemeinen Host Checker-Optionen“ auf Seite 280 „Angeben von Installationsoptionen für Host Checker“ auf Seite 282 „Verwenden der Host Checker-Protokolle“ auf Seite 284 237 Juniper Networks Secure Access – Administratorhandbuch Lizenzierung: Verfügbarkeit von Host Checker Host Checker ist eine Standardfunktion bei allen Secure Access-Appliances. Für die grundlegenden Host Checker-Funktionen benötigen Sie keine spezielle Lizenz. Beachten Sie jedoch, dass die Host Checker-Funktionen für benutzerdefinierte Ausdrücke, detaillierte Regeln, Hilfsoptionen sowie andere Funktionen auf dem SA 700 nicht zur Verfügung stehen. Bei allen anderen Secure Access-Produkten sind sie nur mit einer speziellen Lizenz verfügbar. Um mehr als 25 Benutzer mit Advanced Endpoint Defense Malware Detection-Richtlinien zu unterstützen, müssen Sie außerdem einen Aktualisierungslizenzschlüssel erwerben. Aufgabenzusammenfassung: Konfigurieren von Host Checker Gehen Sie zum Konfigurieren von Host Checker folgendermaßen vor: 1. Erstellen und aktivieren Sie die Host Checker-Richtlinien auf der Seite Authentication > Endpoint Security > Host Checker in der Administratorkonsole, wie in „Erstellen globaler Richtlinien für Host Checker“ auf Seite 240 beschrieben. 2. Konfigurieren Sie bei Bedarf zusätzliche Optionen auf Systemebene über die Seite Authentication > Endpoint Security > Host Checker in der Administratorkonsole: 238 Wenn Sie den Benutzern Informationen über Hilfsoptionen anzeigen möchten, wenn diese die Anforderungen einer Host Checker-Richtlinie nicht erfüllen, konfigurieren Sie Hilfsoptionen über die Seite Authentication > Endpoint Security > Host Checker der Administratorkonsole, wie unter „Korrigieren von Host Checker-Richtlinien“ auf Seite 272 beschrieben. Legen Sie für Windows-Clients fest, ob zwischen den Clients und dem/den Richtlinienserver(n) oder den Ressourcen Zugriffstunnel für die-Vorauthentifizierungen erforderlich sind. Erstellen Sie ggf. die Datei manifest.hcif mit der Tunneldefinition, und laden Sie sie über die Seite Authentication > Endpoint Security > Host Checker der Administratorkonsole hoch, wie unter „Definieren von Host CheckerZugriffstunnel für die Vorauthentifizierungen“ auf Seite 276 beschrieben. Wenn Sie die Standardeinstellungen von Host Checker ändern möchten, konfigurieren Sie sie über die Seite Authentication > Endpoint Security > Host Checker der Administratorkonsole, wie unter „Festlegen von allgemeinen Host Checker-Optionen“ auf Seite 280 beschrieben. Lizenzierung: Verfügbarkeit von Host Checker Kapitel 11: Host Checker 3. Legen Sie fest, auf welchen Ebenen innerhalb der IVE-Zugriffsverwaltungsumgebung Sie die Richtlinien durchsetzen möchten: Implementieren Sie zum Erzwingen von Host Checker-Richtlinien beim ersten Zugriff eines Benutzers auf das IVE die Richtlinien auf Bereichsebene auf der Seite Administrators > Admin Realms > Bereich auswählen > Authentication Policy > Host Checker oder Users > User Realms > Bereich auswählen > Authentication Policy > Host Checker der Administratorkonsole. Um dem Benutzer den Rollenzugriff basierend auf Erfüllung der Host Checker-Richtlinien zu gewähren oder zu verweigern, implementieren Sie die Richtlinien auf Rollenebene auf der Seite Administrators > Admin Roles > Rolle auswählen > General > Restrictions > Host Checker oder Users > User Roles > Rolle auswählen > General > Restrictions > Host Checker der Administratorkonsole. Um Benutzern Rollen basierend auf Erfüllung der Host Checker-Richtlinien zuzuweisen, verwenden Sie benutzerdefinierte Ausdrücke auf der Seite Administrators > Admin Realms > Bereich auswählen > Role Mapping oder Users > User Realms > Bereich auswählen > Role Mapping der Administratorkonsole. Um dem Benutzer den Zugriff auf einzelne Ressourcen basierend auf Erfüllung der Host Checker-Richtlinien zu gewähren oder zu verweigern, verwenden Sie Bedingungen auf der Seite Users > Resource Policies > Ressource auswählen > Richtlinie auswählen > Detailed Rules > Regel auswählen|erstellen der Administratorkonsole. Weitere Informationen finden Sie unter „Konfigurieren von Host CheckerEinschränkungen“ auf Seite 270. 4. Legen Sie den Zugriff auf den clientseitigen Agenten von Host Checker fest, der die von Ihnen definierten Richtlinien durchsetzt: Wenn Sie die automatische Installation des clientseitigen Agenten von Host Checker auf allen Plattformen aktivieren möchten, verwenden Sie die Seite Administrators > Admin Realms > Bereich auswählen > Authentication Policy > Host Checker oder Users > User Realms > Bereich auswählen > Authentication Policy > Host Checker der Administratorkonsole. Verwenden Sie zum Herunterladen des Installationsprogramms für Host Checker und zur manuellen Installation von Host Checker auf WindowsSystemen die Seite Maintenance > System > Installers. Konfigurationsanweisungen finden Sie unter „Angeben von Installationsoptionen für Host Checker“ auf Seite 282. HINWEIS: Benutzer müssen im Browser signierte ActiveX-Komponenten oder signierte Java-Applets aktivieren, damit Host Checker die Clientanwendungen herunterladen, installieren und starten kann. Aufgabenzusammenfassung: Konfigurieren von Host Checker 239 Juniper Networks Secure Access – Administratorhandbuch 5. Legen Sie fest, ob clientseitige Protokolle erstellt werden sollen. Wenn Sie die clientseitige Protokollierung über die Seite System > Log/Monitoring > Client Logs der Administratorkonsole aktivieren, erstellt das IVE Protokolldateien auf dem System des Benutzers und schreibt bei jeder Ausführung von Host Checker in die Datei. Konfigurationsanweisungen finden Sie unter „Verwenden der Host Checker-Protokolle“ auf Seite 284. Erstellen globaler Richtlinien für Host Checker Um Host Checker zum Durchsetzen von Richtlinien für die Verwaltung von Endpunkten verwenden zu können, müssen Sie globale Richtlinien für Host Checker über die Seite Authentication > Endpoint Security > Host Checker der Administratorkonsole erstellen und die Richtlinien anschließend auf Bereichs-, Rollenund Ressourcenrichtlinienebene implementieren. Das IVE bietet mehrere Verfahren, mit denen Sie Host Checker-Richtlinien aktivieren, erstellen und konfigurieren können: 240 Vordefinierte Richtlinien (verhindern Angriffe innerhalb des Netzwerks oder laden Software zur Malware-Erkennung herunter) – Das IVE ist mit zwei Typen vordefinierter clientseitiger Host Checker-Richtlinien ausgerüstet, die nur aktiviert, jedoch nicht erstellt oder konfiguriert, werden müssen. Die Verbindungssteuerungsrichtlinie verhindert Angriffe von anderen infizierten Computern aus demselben Netzwerk auf Windows-Clientcomputer. Advanced Endpoint Defense: Malware-Schutz-Richtlinien laden Malware-Schutz-Software auf Clientcomputer herunter, bevor sich Benutzer am IVE anmelden. Diese Richtlinien funktionieren nur auf Windows-Systemen. Weitere Informationen finden Sie unter „Aktivieren vordefinierter clientseitiger Richtlinien (nur Windows)“ auf Seite 241. Vordefinierte Regeln (überprüfen auf Drittanbieteranwendungen) – Host Checker ist mit einer Vielzahl von vordefinierten Regeln vorkonfiguriert, die nach Antivirensoftware, Firewalls, Malware, Spyware und bestimmten Betriebssystemen von unterschiedlichen Branchenführern suchen. Sie können eine oder mehrere dieser Regeln innerhalb einer clientseitigen Richtlinie für Host Checker aktivieren, um sicherzustellen, dass die angegebenen Drittanbieteranwendungen auf den Computern Ihrer Benutzer entsprechend Ihrer Angaben ausgeführt werden. Weitere Informationen finden Sie unter „Überprüfen auf Drittanbieteranwendungen mithilfe vordefinierter Regeln (nur Windows)“ auf Seite 246. Benutzerdefinierte Regeln (überprüfen auf zusätzliche Anforderungen) – Falls die mit dem IVE gelieferten vordefinierten clientseitigen Richtlinien und Regeln nicht Ihren Bedürfnissen entsprechen, können Sie innerhalb einer Host Checker-Richtlinie benutzerdefinierte Regeln zur Definition von Anforderungen erstellen, die die Computer Ihrer Benutzer erfüllen müssen. Mithilfe benutzerdefinierter Regeln können Sie folgende Aufgaben ausführen: Konfigurieren von Host Checker zum Suchen nach benutzerdefinierten DLLs, die angepasste clientseitige Überprüfungen ausführen. Überprüfen, ob bestimmte Ports auf dem Computer des Benutzers geöffnet oder geschlossen sind Erstellen globaler Richtlinien für Host Checker Kapitel 11: Host Checker Bestätigen, dass bestimmte Prozesse auf dem Computer des Benutzers ausgeführt werden oder nicht Überprüfen, ob bestimmte Dateien auf dem Clientcomputer vorhanden oder nicht vorhanden sind Auswerten von Alter und Inhalt erforderlicher Dateien mithilfe von MD5Prüfsummen Bestätigen, dass Registrierungsschlüssel auf dem Clientcomputer festgelegt sind Weitere Informationen finden Sie unter „Angeben angepasster Anforderungen mithilfe benutzerdefinierter Regeln“ auf Seite 251. Benutzerdefinierte integrierte Anwendungen (implementieren über ServerAPI) – Für Windows-Clients können Sie serverseitige Richtlinien für Host Checker mithilfe der Host Check Server Integration Interface (API) definieren und die Richtlinien in ein Drittanbieter-Integrationspaket laden. Das IVE erkennt die Richtlinien beim Hochladen des Drittanbieter-Integrationspakets auf das IVE. Weitere Informationen zum Erstellen dieser Richtlinien finden Sie im Juniper Networks Customer Support Center im J.E.D.I. Solution Guide. Informationen zum Aktivieren der von Ihnen erstellten serverseitigen Richtlinien finden Sie unter „Aktivieren angepasster serverseitiger Richtlinien“ auf Seite 258. Innerhalb einer einzelnen Richtlinie können Sie verschiedene Host CheckerAnforderungen für Windows, Macintosh und Linux erstellen, mit denen jedes Betriebssystem auf unterschiedliche Dateien, Prozesse und Produkte überprüft wird. Sie können auch Hostprüfungstypen innerhalb einer Richtlinie kombinieren und nach alternativen Sätzen von Regeln suchen. Aktivieren vordefinierter clientseitiger Richtlinien (nur Windows) Das IVE ist mit zwei Typen vordefinierter clientseitiger Host Checker-Richtlinien ausgerüstet, die nur aktiviert, nicht erstellt oder konfiguriert, werden müssen. Die Verbindungssteuerungsrichtlinie verhindert Angriffe von anderen infizierten Computern aus demselben Netzwerk auf Windows-Clientcomputer. Weitere Informationen finden Sie unter „Aktivieren von Verbindungssteuerungsrichtlinien“ auf Seite 242. Die Advanced Endpoint Defense Malware Protection-Richtlinien laden die Confidence Online-Software von Whole Security auf Clientcomputer herunter. Diese Software schützt Benutzer vor gefährlicher Software wie Würmern, Viren, Keylogger-Software, Bildschirmerfassungssoftware und trojanischen Pferden. Weitere Informationen finden Sie unter „Aktivieren verbesserter Richtlinien zum Malwareschutz“ auf Seite 242. HINWEIS: Die Verbindungssteuerungsrichtlinie und Advanced Endpoint Defense Malware Detection-Richtlinien funktionieren nur auf Windows-Systemen. Die Verbindungssteuerungsrichtlinie wird von Windows 98 nicht unterstützt. Erstellen globaler Richtlinien für Host Checker 241 Juniper Networks Secure Access – Administratorhandbuch Aktivieren von Verbindungssteuerungsrichtlinien Die vordefinierte Host Checker-Verbindungssteuerungsrichtlinie verhindert Angriffe auf Windows-Clientcomputer von anderen infizierten Computern im gleichen physischen Netzwerk. Die Host Checker-Verbindungssteuerungsrichtlinie blockiert alle eingehenden TCP-Verbindungen. Diese Richtlinie lässt den gesamten ausgehenden TCP- und Network Connect-Verkehr sowie alle Verbindungen mit DNS-Servern, WINS-Servern, DHCP-Servern, Proxyservern und dem IVE zu. HINWEIS: Benutzer müssen über Administratorberechtigungen verfügen, damit Host Checker die Verbindungssteuerungsrichtlinie auf dem Clientcomputer erzwingen kann. Das IVE unterstützt die Host Checker-Verbindungssteuerungsrichtlinie auf einem Windows 98-Clientcomputer nicht. So aktivieren Sie die vordefinierte Host Checker-Verbindungssteuerungsrichtlinie: 1. Wählen Sie in der Administratorkonsole Authentication > Endpoint Security > Host Checker. 2. Aktivieren Sie unter Options das Kontrollkästchen Create Host Checker Connection Control Policy: 3. Klicken Sie auf Save Changes. Das IVE aktiviert die Host CheckerVerbindungssteuerungsrichtlinie. HINWEIS: Diese Richtlinie kann nicht geändert, sondern nur aktiviert oder deaktiviert werden. Daher wird diese Richtlinie vom IVE nicht im Abschnitt Policies der Seite Authentication > Endpoint Security > Host Checker mit anderen konfigurierbaren Richtlinien angezeigt. 4. Implementieren Sie die Host Checker-Verbindungssteuerungsrichtlinie auf Bereichs-, Rollen- oder Ressourcenrichtlinienebene mithilfe der unter „Konfigurieren von Host Checker-Einschränkungen“ auf Seite 270 beschriebenen Optionen. HINWEIS: Die Verbindungssteuerungsrichtlinie muss auf der Bereichsebene überprüft oder erzwungen werden, damit sie auf Clientcomputern wirksam wird. Aktivieren verbesserter Richtlinien zum Malwareschutz Bei entsprechender Lizenzierung können Sie Advanced Endpoint Defense Malware Protection-Richtlinien über Host Checker aktivieren. Über diese Richtlinien wird die Whole Security Confidence Online-Software auf Computer der Benutzer heruntergeladen und dort ausgeführt. Diese Software sucht gefährliche Programme, einschließlich: 242 Trojanische Pferde – Hacker schreiben trojanische Pferde zur Remoteverwaltung eines infizierten Computers. Trojanische Pferde installieren sich fast immer auf dem Computer eines Benutzers ohne Kenntnis des autorisierten Benutzers. Erstellen globaler Richtlinien für Host Checker Kapitel 11: Host Checker Keylogger-Software – Hacker schreiben Keylogger-Software zum Ausspähen eines Benutzers durch Erfassen und Protokollieren seiner Tastenanschläge. Keylogger-Software installiert sich auf dem Computer eines Benutzers ohne Kenntnis des autorisierten Benutzers. Überwachungsanwendungen – Überwachungsanwendungen sind EndbenutzerSoftwareanwendungen, die Benutzeraktivitäten überwachen und aufzeichnen. In der Regel installieren Benutzer diese Software selbst, um die Aktivitäten von Kindern, Ehepartnern und anderen Benutzern zu überwachen, die gemeinsam ihre Computer nutzen. Fernsteuerungen – Anwendungen zur Fernsteuerung sind kommerzielle Anwendungen wie VNC, die einem autorisierten Benutzer einfachen Remotezugriff auf Aktivitäten zur Computerverwaltung bieten. Zur Verwendung der Malware-Schutz-Software von Whole Security müssen Sie die Option Advanced Endpoint Defense Malware Detection auf der Systemebene aktivieren und auf Bereichs-, Rollen- und/oder Ressourcenrichtlinienebene erzwingen. Die Advanced Endpoint Defense Malware Detection-Richtlinien müssen nicht erstellt oder konfiguriert werden. Sie werden von Host Checker beim Aktivieren der Option auf der Systemebene erstellt. Es wird empfohlen, eine Advanced Endpoint Defense Malware Detection-Richtlinie auf der Bereichsebene zu verlangen und zu erzwingen, damit Host Checker die Confidence Online-Software auf die Computer der Benutzer herunterladen kann und mögliche Bedrohungen sucht, nachdem sich die Benutzer bei Windows angemeldet haben und bevor sie sich am IVE anmelden. Sobald Confidence Online ausgeführt wird, sucht es während der gesamten IVESitzung des Benutzers Bedrohungen und blockiert sie. HINWEIS: Alle Computer müssen auf die Site von Whole Security (update.wholesecurity.com) zugreifen können, sodass Confidence Online regelmäßig die aktuellen Definitionsdateien herunterladen kann. So aktivieren und konfigurieren Sie Advanced Endpoint Defense Malware Protection-Richtlinien: 1. Wählen Sie in der Administratorkonsole Authentication > Endpoint Security > Host Checker. 2. Aktivieren Sie unter Options das Kontrollkästchen Enable Advanced Endpoint Defense: Malware Protection: 3. Aktivieren Sie das Kontrollkästchen Enable Silent Enforcement of Signature Scan, wenn Confidence Online Benutzer über das Blockieren von trojanischen Pferden, Keylogger-Software und anderen als gefährlich eingeschätzten Anwendungen nicht benachrichtigen soll. (Confidence Online greift täglich auf einen Whole Security-Server zu, um die Liste gefährlicher Anwendungen auf dem aktuellen Stand zu halten.) Erstellen globaler Richtlinien für Host Checker 243 Juniper Networks Secure Access – Administratorhandbuch 4. Aktivieren Sie das Kontrollkästchen Enable User Control over disabling Behavior Blocker, wenn Benutzer die Auswahl haben sollen, ob Überwachungsanwendungen, Software zur Fernsteuerung und andere möglicherweise legitime Anwendungen blockiert werden. Falls Sie diese Option aktivieren, können Benutzer blockierte Anwendungen über ein Confidence Online-Symbol im System Tray anzeigen und steuern. (Weitere Informationen finden Sie im Endbenutzerhilfesystem für Confidence Online.) Falls Sie diese Option nicht aktivieren, blockiert Confidence Online einfach diese Anwendungen ohne Benutzereingriff. HINWEIS: Category 1 and Category 2 Signature Scans – Eingeschränkte Benutzer, Hauptbenutzer und Administratoren können die Scanfunktion in Confidence Online installieren und ausführen. Die Scanfunktion wird von Systemen mit Windows 98 SE, Windows ME, Windows NT4, Windows 2000 und Windows XP unterstützt. Behavior Blocker – Nur Administratoren können die Blockierfunktion in Confidence Online installieren und ausführen. Die Blockierfunktion wird von Systemen mit Windows 2000 und Windows XP unterstützt. 5. Klicken Sie auf Save Changes. Das IVE aktiviert die folgenden Advanced Endpoint Defense Malware Protection-Richtlinien: Advanced Endpoint Defense: Malware Protection.Behavior Blocker – Diese Richtlinie wird von Whole Security erstellt. Sie aktiviert die Confidence Online-Blockiersoftware für das Blockieren von KeyloggerSoftware, Bildschirmerfassungssoftware und anderen Anwendungen, die versuchen, Benutzersitzungen auszuspähen. Advanced Endpoint Defense: Malware Protection.Category One Threats (Trojan Horses and Key Loggers) – Diese Richtlinie wird von Whole Security erstellt. Sie aktiviert die Confidence Online-Software für das Blockieren von Tojaner-Programmen, Spyware-, Malware- und anderen gefährlichen Anwendungen. Advanced Endpoint Defense: Malware Protection.Category Two Threats (Monitoring Applications and Remote Controls) – Diese Richtlinie wird von Whole Security erstellt. Sie aktiviert die Confidence Online-Software für das Blockieren von Überwachungsanwendungen, Software zur Fernsteuerung und anderen möglicherweise legitimen Anwendungen. Jede dieser Richtlinien enthält Hilfsanweisungen, die Benutzern eine Meldung anzeigen, falls sie die jeweilige Richtlinie nicht erfüllen. Die Meldung teilt den Benutzern mit, dass sie die Anweisungen im Popup-Fenster mit den Hilfsoptionen für ihren Computer befolgen müssen. 6. Implementieren Sie die Advanced Endpoint Defense Malware ProtectionRichtlinien auf der Bereichs-, Rollen- oder Ressourcenrichtlinienebene mithilfe der unter „Konfigurieren von Host Checker-Einschränkungen“ auf Seite 270 beschriebenen Optionen. (Eine Advanced Endpoint Defense Malware Protection-Richtlinie muss mindestens auf der Bereichsebene überprüft oder erzwungen werden, damit sie auf Clientcomputern wirksam wird.) 244 Erstellen globaler Richtlinien für Host Checker Kapitel 11: Host Checker HINWEIS: Beachten Sie beim Erzwingen von Advanced Endpoint Defense Malware Protection-Richtlinien Folgendes: Diese Richtlinien können nicht geändert, sondern nur aktiviert oder deaktiviert werden. Da Sie diese Richtlinien nicht ändern können, zeigt das IVE sie nicht im Abschnitt Policies der Seite Authentication > Endpoint Security > Host Checker mit anderen konfigurierbaren Richtlinien an. Falls Ihre Lizenzen für gleichzeitig angemeldete Benutzer für das IVE und Whole Security nicht übereinstimmen, gelten die Einschränkungen der niedrigeren Lizenz. Falls Sie beispielsweise über eine Lizenz für 100 gleichzeitig angemeldete IVE-Benutzer und einen andere Lizenz für 50 gleichzeitig angemeldete Whole Security-Benutzer verfügen, gestattet diese Einschränkung nur den Zugriff von 50 gleichzeitig angemeldeten Benutzern auf ein mit Advanced Endpoint Defense Malware Protection-Richtlinien aktiviertes IVE. Wenn Sie über eine Lizenz für GINA und Whole Security verfügen, bedenken Sie, dass GINA vor der Windows-Anmeldung des Benutzers ausgeführt wird und der Download der Confidence Online-Software von Whole Security nach der Windows-Anmeldung des Benutzers erfolgt. Aus diesem Grund führt Whole Security den angegebenen Malware-Schutz erst nach der WindowsAnmeldung aus. Wenn Sie Network Connect, Host Checker, GINA und Whole Security verwenden, aber der Endbenutzer sich nicht im Benutzermodus befindet, wenn sein System versucht, Host Checker zu initiieren, erhält der Endbenutzer möglicherweise Fehlermeldungen. Stellen Sie sicher, dass die Systemkonfiguration GINA vor der Windows-Anmeldung und Whole Security nach der Windows-Anmeldung startet. HINWEIS: Die von Host Checker unterstützte Confidence Online-Funktion von Whole Security kann zurzeit nicht lokalisiert werden. Weitere Informationen über die Lokalisierung des IVE finden Sie unter „Lokalisierung der Benutzeroberfläche“ auf Seite 904. Erstellen und Konfigurieren neuer clientseitiger Richtlinien Sie können viele verschiedene Richtlinien über den Host Checker-Client erstellen, die nach Antivirensoftware, Firewalls, Malware, Spyware und bestimmten Betriebssystemen von unterschiedlichen Branchenführern suchen. Sie können darüber hinaus Überprüfungen auf benutzerdefinierte DLLs, Ports, Prozesse, Dateien und Registrierungsschlüsseln von Drittanbietern erstellen. Beim Erstellen der Richtlinien müssen Sie den Namen der Richtlinie festlegen, vordefinierte Regeln aktivieren oder benutzerdefinierte Regeln erstellen, die die angegebenen Überprüfungen ausführen. Optional können Sie angeben, wie Host Checker mehrere Regeln innerhalb einer Richtlinie überprüfen soll. Beim Erstellen der Richtlinien müssen Sie den Namen der Richtlinie festlegen, und entweder vordefinierte Regeln aktivieren oder benutzerdefinierte Regeln erstellen, die die angegebenen Überprüfungen ausführen. Optional können Sie angeben, wie Host Checker mehrere Regeln innerhalb einer Richtlinie überprüfen soll. Erstellen globaler Richtlinien für Host Checker 245 Juniper Networks Secure Access – Administratorhandbuch So erstellen Sie eine clientseitige Standardrichtlinie: 1. Wählen Sie in der Administratorkonsole Authentication > Endpoint Security > Host Checker. 2. Klicken Sie unter Policies auf New. 3. Geben Sie einen Namen ins Feld Policy Name ein, und klicken Sie auf Continue. (Benutzer sehen diesen Namen auf der Host Checker-Hilfsoptionsseite, wenn Sie benutzerdefinierte Anweisungen für diese Richtlinie aktivieren.) 4. Erstellen Sie eine oder mehrere Regeln für die Zuordnung zur Richtlinie mithilfe der Anweisungen in den folgenden Abschnitten: „Überprüfen auf Drittanbieteranwendungen mithilfe vordefinierter Regeln (nur Windows)“ auf Seite 246 „Angeben angepasster Anforderungen mithilfe benutzerdefinierter Regeln“ auf Seite 251 5. Geben Sie an, wie Host Checker mehrere Regeln innerhalb der Richtlinie überprüfen soll, mithilfe der Anweisungen unter „Auswerten mehrerer Regeln in einer einzelnen Host Checker-Richtlinie“ auf Seite 257. 6. (Empfohlen) Geben Sie Hilfsoptionen für Benutzer an, deren Computer die in der Richtlinie angegebenen Anforderungen nicht erfüllen. Anweisungen hierfür finden Sie unter „Konfigurieren der Host Checker-Hilfsoption“ auf Seite 274. (Wenn Sie keine Hilfsanweisungen erstellen, wissen die Benutzer beim Fehlschlagen der Richtlinie nicht, warum sie nicht auf ihre Ressourcen zugreifen können.) 7. Implementieren Sie die Richtlinie auf der Bereichs-, Rollen- oder Ressourcenrichtlinienebene mithilfe der unter „Konfigurieren von Host Checker-Einschränkungen“ auf Seite 270 beschriebenen Optionen. Überprüfen auf Drittanbieteranwendungen mithilfe vordefinierter Regeln (nur Windows) Host Checker ist mit einer Vielzahl von vordefinierten Regeln vorkonfiguriert, die nach Antivirensoftware, Firewalls, Malware, Spyware und bestimmten Betriebssystemen von unterschiedlichen Branchenführern suchen. Sie können eine oder mehrere dieser Regeln innerhalb einer clientseitigen Richtlinie für Host Checker aktivieren, um sicherzustellen, dass die angegebenen Drittanbieteranwendungen auf den Computern Ihrer Benutzer entsprechend Ihrer Angaben ausgeführt werden. So erstellen Sie eine Richtlinie für integrierte Drittanbieteranwendungen mithilfe vordefinierter Regeln: 1. Wählen Sie in der Administratorkonsole Authentication > Endpoint Security > Host Checker. 2. Erstellen Sie eine neue Richtlinie mithilfe der Anweisungen unter „Erstellen und Konfigurieren neuer clientseitiger Richtlinien“ auf Seite 245, oder klicken Sie im Abschnitt Policies der Seite auf eine vorhandene Richtlinie. 246 Erstellen globaler Richtlinien für Host Checker Kapitel 11: Host Checker 3. Wählen Sie unter Rule Settings eine der folgenden Optionen aus, und klicken Sie auf Add: Predefined: AntiVirus – Wählen Sie diese Option aus, um eine Regel zu erstellen, die nach der angegebenen Antivirensoftware sucht. Predefined: Firewall – Wählen Sie diese Option aus, um eine Regel zu erstellen, die nach der angegebenen Firewallsoftware sucht. Predefined: Malware – Wählen Sie diese Option aus, um eine Regel zu erstellen, die nach der angegebenen Malware-Schutz-Software sucht. Predefined: Spyware – Wählen Sie diese Option aus, um eine Regel zu erstellen, die nach der angegebenen Spyware-Schutz-Software sucht. Predefined: OS Checks – Wählen Sie diese Option aus, um eine Regel zu erstellen, die nach den angegebenen Windows-Betriebssystemen und Mindestversionen von Service Packs sucht. (Jedes Service Pack, dessen Version größer oder gleich der angegebenen Version ist, erfüllt die Regel.) 4. Gehen Sie auf der Seite Add Predefined Rule folgendermaßen vor: Geben Sie ins Feld Rule Name einen Bezeichner für die Regel ein. Wählen Sie unter Criteria die entsprechenden Anwendungsversionen oder Betriebssysteme für die Überprüfung aus, und klicken Sie auf Add. (Beim Überprüfen auf ein Betriebssystem können Sie auch eine Service PackVersion angeben.) HINWEIS: Wenn Sie mehr als einen Typ von Software innerhalb einer vordefinierten Regel auswählen, betrachtet Host Checker die Regel als erfüllt, wenn eine der ausgewählten Softwareanwendungen auf dem Computer des Benutzers vorhanden ist. (Nur Antivirenrichtlinien) Wählen Sie für die Konfiguration dieser Host Checker-Richtlinie Specify age in days, damit ein maximal zulässiges Alter der Virendefinitionsdateien angefordert wird. Geben Sie für Maximum age of definition files die maximale Anzahl an Tagen an. (Nur Antivirenrichtlinien) Wählen Sie für die Konfiguration dieser Host Checker-Richtlinie Virus signatures must be up to date, damit Virensignaturen auf dem Clientcomputer angefordert werden. Importieren Sie zum Aktivieren dieser Funktion in der Richtlinie manuell oder automatisch die aktuelle Virensignaturliste auf der Seite Authentication > Endpoint Security > Host Checker. (Siehe „Konfigurieren der Versionsüberwachung von Virensignaturen“ auf Seite 248.) Klicken Sie auf Save Changes. Erstellen globaler Richtlinien für Host Checker 247 Juniper Networks Secure Access – Administratorhandbuch 5. Fügen Sie optional der Richtlinie zusätzliche Regeln hinzu, geben Sie an, wie Host Checker mehrere Regeln innerhalb der Richtlinie überprüfen soll, und definieren Sie Hilfsoptionen mithilfe der Anweisungen unter „Erstellen und Konfigurieren neuer clientseitiger Richtlinien“ auf Seite 245. HINWEIS: Wechseln Sie zum Anzeigen der derzeit unterstützten Anwendungen zu Authentication > Endpoint Security > Host Checker, und erstellen Sie eine neue Richtlinie. Sie können vordefinierte Rollentypen im Dropdownlistenfeld „Select Rule Type“ auswählen, um eine Liste von unterstützten Anwendungen innerhalb dieser Kategorie anzuzeigen. Die Liste der Anwendungen kann sehr umfangreich sein und wird bei jeder Unterstützungs-Version aktualisiert. Sie sollten die Liste daher in regelmäßigen Abständen überprüfen. Konfigurieren der Versionsüberwachung von Virensignaturen Sie können Host Checker so konfigurieren, dass die Aktualität der auf den Clientcomputern installierten Virensignaturen überwacht und sichergestellt wird. Host Checker verwendet eine Liste der aktuellen Virensignaturen von den Anbietern, die Sie für vordefinierte Antivirenregeln in einer Host Checker-Richtlinie angeben. Sind auf einem Clientcomputer nicht die aktuellen Virensignaturen installiert, schlägt die Host Checker-Richtlinie fehl. Die Liste der aktuellen Virensignaturen finden Sie auf einer Stagingsite von Juniper Networks. Laden Sie die aktuelle Liste manuell herunter, und importieren Sie diese ins IVE, oder importieren Sie die aktuelle Liste automatisch von der Juniper Networks-Stagingsite oder Ihrer eigenen Stagingsite in einem festgelegten Intervall. Sie können beispielsweise die aktuelle Liste der Virensignaturen manuell von einem Netzwerkserver oder lokalen Laufwerk herunterladen und importieren, wenn Sie die Liste zunächst überprüfen möchten oder das IVE nicht automatisch auf die Juniper Networks-Stagingsite zugreifen kann. Laden Sie die aktuelle Liste manuell auf eine lokale Stagingsite in Ihrem internen Netzwerk herunter, und importieren Sie die Liste anschließend automatisch von dieser internen Stagingsite. So konfigurieren Sie die Versionsüberwachung von Virensignaturen: 1. Wählen Sie beim Hinzufügen einer vordefinierten Antivirenregel auf der Seite Authentication > Endpoint Security > Host Checker > Richtlinie auswählen > Add Predefined Rule: Antivirus die Option Virus signatures must be up to date. (Siehe „Überprüfen auf Drittanbieteranwendungen mithilfe vordefinierter Regeln (nur Windows)“ auf Seite 246.) 2. Wählen Sie Authentication > Endpoint Security > Host Checker. 3. Klicken Sie auf Virus signature version monitoring. 4. So konfigurieren Sie das IVE für den automatischen Import der aktuellen Virensignaturenliste: a. 248 Wählen Sie Auto-update virus signatures list. Erstellen globaler Richtlinien für Host Checker Kapitel 11: Host Checker b. Geben Sie für den Download path die URL der Stagingsite an, auf der die aktuelle Virensignaturenliste gespeichert ist. Sie können die URL der Juniper Networks-Stagingsite oder Ihrer eigenen Stagingsite angeben. Die Standard-URL ist der Pfad zur Juniper Networks-Stagingsite: https://download.juniper.net/software/av/uac/avupdate.dat c. Geben Sie für Download interval an, wie oft das IVE die aktuelle Virensignaturenliste automatisch importieren soll. d. Ist die Stagingsite durch ein Kennwort geschützt, geben Sie die Anmeldedaten in Username und Password ein. Geben Sie zum Zugreifen auf die Juniper Networks-Stagingsite die Anmeldedaten für ein Juniper Networks SupportKonto ein. Sie können auch die HTTP-Standardauthentifizierung verwenden, um die eigene Stagingsite zu schützen und auf diese zuzugreifen. 5. So importieren Sie manuell die aktuelle Virensignaturenliste: a. Laden Sie die Virensignaturenliste von der Stagingsite auf einen Netzwerkserver oder ein lokales Laufwerk auf Ihrem Computer herunter. b. Klicken Sie unter Manually import virus signatures list auf Browse, wählen Sie die Virensignaturenliste aus, und klicken Sie anschließend auf OK. 6. Klicken Sie auf Save Changes. Aktualisieren des Endpoint Security Assessment-Plug-Ins Das Endpoint Security Assessment-Plug-in (ESAP) im IVE überprüft, ob Drittanbieteranwendungen an Endpunkten die in einer Host Checker-Richtlinie konfigurierten vordefinierten Regeln erfüllen. (Siehe „Überprüfen auf Drittanbieteranwendungen mithilfe vordefinierter Regeln (nur Windows)“ auf Seite 246.) Dieses Plug-In ist im IVE-Systemsoftwarepaket enthalten. Juniper Networks fügt dem Plug-In häufig Verbesserungen, Fehlerbehebungen und Support für neue Drittanbieteranwendungen hinzu. Neue Plug-In-Veröffentlichungen sind unabhängig und häufiger erhältlich als neue Versionen des IVE-Systemsoftwarepakets. Aktualisieren Sie ggf. das Plug-In im IVE unabhängig vom IVE-Systemsoftwarepaket. Bis zu vier Versionen des Plug-Ins können ins IVE hochgeladen werden, das IVE verwendet jedoch nur jeweils eine Version (als aktive Version bezeichnet). Sie können ggf. ein Rollback zu einer vorher aktiven Version des Plug-Ins durchführen. So aktualisieren Sie das Endpoint Security Assessment-Plug-In: 1. Laden Sie das Endpoint Security Assessment Plug-In vom Juniper Networks Customer Support Center auf den Computer herunter: a. Rufen Sie die folgende Seite auf: https://www.juniper.net/customers/csc/software/ive/ b. Geben Sie zum Zugreifen auf das Customer Support Center den Benutzernamen und das Kennwort für ein Juniper Networks Support-Konto ein. c. Klicken Sie auf den Link ESAP. Erstellen globaler Richtlinien für Host Checker 249 Juniper Networks Secure Access – Administratorhandbuch d. Laden Sie die ZIP-Datei mit dem Plug-In auf den Computer herunter. 2. Wählen Sie Authentication > Endpoint Security > Host Checker. 3. Führen Sie unten auf der Seite Host Checker unter Manage Endpoint Security Assessment Plug-In Versions folgende Schritte aus: a. Haben Sie vorher vier Versionen der Komponentensoftware hochgeladen, müssen Sie vor dem Hochladen einer weiteren Version eine der Versionen löschen. Wählen Sie die zu löschende Version aus, und klicken Sie auf Delete. b. Soll das IVE die neue Komponentensoftware direkt nach dem Hochladen aktiv verwenden, wählen Sie die Option Set as active after upload. c. Klicken Sie auf Browse, wählen Sie die ins IVE hochzuladende Plug-In-Datei aus, und klicken Sie auf OK. d. Klicken Sie auf Upload. Beim Hochladen und Entschlüsseln der ZIP-Datei des Plug-Ins wird in der Plug-In-Liste unter Manage Endpoint Security Assessment Plug-In Versions die Meldung „Loading...“ angezeigt. Ist das IVE Mitglied eines Clusters, wird die Meldung „Loading...“ beim Übertragen des Plug-Ins auf andere Clusterknoten angezeigt. Nach der Installation des Plug-Ins werden Datum und Uhrzeit der Plug-In-Installation in der Plug-InListe angezeigt. 250 Erstellen globaler Richtlinien für Host Checker Kapitel 11: Host Checker e. Haben Sie die Option Set as active after upload nicht ausgewählt, aktivieren Sie das zu verwendende Plug-In, indem Sie die Version in der Plug-In-Liste auswählen und auf Activate klicken. HINWEIS: Wenn Sie eine Version des Plug-Ins aktivieren möchten, die nicht alle in den Host Checker-Richtlinien konfigurierten vordefinierten Regeln unterstützt, lässt das IVE die Aktivierung dieser Plug-In-Version nicht zu. Beispiel: Ist eine Host Checker-Richtlinie für die Verwendung einer vordefinierten Regel konfiguriert, die eine Überprüfung auf eine Version von Antivirensoftware durchführt und Sie eine Plug-In-Version aktivieren möchten, die diese bestimmte Version der Antivirensoftware nicht unterstützt, lässt das IVE die Aktivierung dieser Plug-InVersion nicht zu. Klicken Sie zum Anzeigen einer Liste der unterstützten Produkte für eine bestimmte Plug-In-Version unter Manage Endpoint Security Assessment Plug-In Versions auf die Versionsnummer des Plug-Ins. Sie können nach der Aktualisierung auf eine höhere Version ein Rollback zu einer früheren Plug-In-Version durchführen, indem Sie die frühere Version als aktive Version auswählen. Wenn Sie jedoch nach der Aktualisierung auf eine höhere Version Änderungen an den Host Checker-Richtlinien vornehmen, wird das Rollback u.U. nicht erfolgreich durchgeführt. Das Rollback kann nur erfolgreich durchgeführt werden, wenn die Richtlinien nicht geändert wurden. Wenn Sie die IVE-Systemsoftware auf eine höhere Version aktualisieren oder eine Benutzerkonfigurationsdatei importieren, ändert sich die derzeit aktive Plug-In-Version nicht. Wenn Sie nach dem Aktualisieren oder Importieren einer Benutzerkonfigurationsdatei eine andere Plug-In-Version verwenden möchten, muss diese manuell aktiviert werden. Sind im IVE beim Aktualisieren der IVE-Systemsoftware auf eine höhere Version bereits vier Versionen des Plug-Ins installiert, löscht das IVE automatisch die älteste Plug-In-Version und installiert das in der neuen IVESystemsoftware integrierte Plug-In, aktiviert es jedoch nicht. Angeben angepasster Anforderungen mithilfe benutzerdefinierter Regeln Falls die vordefinierten clientseitigen Richtlinien und Regeln im IVE nicht Ihren Ansprüchen gerecht werden, können Sie innerhalb einer Host Checker-Richtlinie benutzerdefinierte Regeln erstellen, um Anforderungen für die Computer der Benutzer zu definieren. Mithilfe benutzerdefinierter Regeln können Sie folgende Aufgaben ausführen: Konfigurieren von Host Checker zum Suchen nach benutzerdefinierten DLLs, die angepasste clientseitige Überprüfungen ausführen Überprüfen, ob bestimmte Ports auf dem Computer des Benutzers geöffnet oder geschlossen sind Bestätigen, dass bestimmte Prozesse auf dem Computer des Benutzers ausgeführt werden oder nicht Überprüfen, ob bestimmte Dateien auf dem Clientcomputer vorhanden oder nicht vorhanden sind Erstellen globaler Richtlinien für Host Checker 251 Juniper Networks Secure Access – Administratorhandbuch Auswerten von Alter und Inhalt erforderlicher Dateien mithilfe von MD5Prüfsummen Bestätigen, dass Registrierungsschlüssel auf dem Clientcomputer festgelegt sind HINWEIS: Sie können nur auf Windows-Computern nach Registrierungsschlüsseln und DLLs von Drittanbietern suchen. So erstellen Sie eine clientseitige Host Checker-Richtlinie: 1. Wählen Sie in der Administratorkonsole Authentication > Endpoint Security > Host Checker. 2. Erstellen Sie eine neue Richtlinie mithilfe der Anweisungen unter „Erstellen und Konfigurieren neuer clientseitiger Richtlinien“ auf Seite 245, oder klicken Sie im Abschnitt Policies der Seite auf eine vorhandene Richtlinie. 3. Klicken Sie auf die Registerkarte für das Betriebssystem, für das Sie Host Checker-Optionen festlegen möchten – Windows, Mac oder Linux. In einer Richtlinie können unterschiedliche Host Checker-Anforderungen für jedes Betriebssystem definiert werden. Sie können z.B. eine Richtlinie erstellen, die auf jedem Betriebssystem unterschiedliche Dateien oder Prozesse überprüft. 4. Wählen Sie unter Rule Settings eine der folgenden Optionen aus, und klicken Sie auf Add. Die Seite Add Custom Rule für den Regeltyp wird angezeigt. 3rd Party NHC Check – (nur Windows) Geben Sie mit dieser Regel den Speicherort einer benutzerdefinierten DLL an, die mit der Clientschnittstelle für Host Checker geschrieben wird. Host Checker ruft die DLL auf, um benutzerdefinierte clientseitige Überprüfungen auszuführen. Wenn die DLL eine Bestätigung an Host Checker zurückgibt, betrachtet das IVE die Regel als erfüllt. (Weitere Informationen zum Erstellen einer benutzerdefinierten DLL mithilfe der Clientschnittstelle für Host Checker finden Sie im Handbuch J.E.D.I. Solution Guide Guide im Juniper Networks Customer Support Center.) Gehen Sie auf der Konfigurationsseite für 3rd Party NHC Check folgendermaßen vor: vi. Geben Sie einen Namen und Anbieter für die Drittanbieter-NHCPrüfungsregel ein. vii. Geben Sie den Speicherort der DLL auf den Clientcomputern (Pfad und Dateiname) an. viii. Klicken Sie auf Save Changes. 252 Erstellen globaler Richtlinien für Host Checker Kapitel 11: Host Checker Ports – Mithilfe dieses Regeltyps steuern Sie die Netzwerkverbindungen, die ein Client während einer Sitzung herstellen kann. Mit diesem Regeltyp wird sichergestellt, dass bestimmte Ports auf dem Clientcomputer geöffnet oder geschlossen sind, bevor der Benutzer auf das IVE zugreifen kann. Gehen Sie auf der Konfigurationsseite für Ports folgendermaßen vor: i. Geben Sie einen Namen für die Portregel ein. ii. Geben Sie eine Liste von Ports mit Kommas als Trennzeichen (ohne Leerzeichen) oder einen Bereich von Ports ein, beispielsweise: 1234,11000-11999,1235. iii. Wählen Sie Required, um zu festzulegen, dass diese Ports auf dem Clientcomputer geöffnet sein müssen, oder Deny, um zu bestimmen, dass die Ports geschlossen sein müssen. iv. Klicken Sie auf Save Changes. Process – Mithilfe dieses Regeltyps steuern Sie die Software, die ein Client während einer Sitzung ausführen kann. Mit diesem Regeltyp wird sichergestellt, dass bestimmte Prozesse auf dem Clientcomputer ausgeführt bzw. nicht ausgeführt werden, bevor der Benutzer auf vom IVE geschützte Ressourcen zugreifen kann. Gehen Sie auf der Konfigurationsseite für Processes folgendermaßen vor: i. Geben Sie einen Namen für die Prozessregel ein. ii. Geben Sie den Namen eines Prozesses (ausführbare Datei) ein, beispielsweise: good-app.exe. Für den Prozessnamen können Platzhalterzeichen verwendet werden. Beispiel: good*.exe Weitere Informationen finden Sie unter „Verwenden von Platzhaltern oder Umgebungsvariablen in einer Host Checker-Regel“ auf Seite 256. iii. Wählen Sie Required aus, um festzulegen, dass dieser Prozess ausgeführt werden muss, oder wählen Sie Deny aus, damit dieser Prozess nicht ausgeführt wird. iv. Geben Sie den MD5-Prüfsummenwert für jede der ausführbaren Dateien ein, auf die die Richtlinie angewendet werden soll (optional). Beispielsweise kann eine ausführbare Datei auf einem Desktop, einem Laptop oder verschiedenen Betriebssystemen unterschiedliche MD5Prüfsummenwerte aufweisen. Auf einem System mit OpenSSL (auf vielen Macintosh- und Linux-Systemen ist OpenSSL standardmäßig installiert) kann der MD5-Prüfsummenwert mithilfe des folgenden Befehls bestimmt werden: openssl md5 <processFilePath> v. Klicken Sie auf Save Changes. Erstellen globaler Richtlinien für Host Checker 253 Juniper Networks Secure Access – Administratorhandbuch File – Mit diesem Regeltyp stellen Sie sicher, dass bestimmte Dateien auf dem Clientcomputer vorhanden bzw. nicht vorhanden sind, bevor der Benutzer auf das IVE zugreifen kann. Sie können Dateiprüfungen auch verwenden, um das Alter und den Inhalt von erforderlichen Dateien auszuwerten (mithilfe von MD5Prüfsummen) und den Zugriff entsprechend zu gewähren bzw. zu verweigern. Gehen Sie auf der Konfigurationsseite für Files folgendermaßen vor: i. Geben Sie einen Namen für die Dateiregel ein. ii. Geben Sie den Namen einer Datei (eines beliebigen Dateityps) ein, beispielsweise: c:\temp\bad-file.txt oder /temp/bad-file.txt. Für den Dateinamen können Platzhalterzeichen verwendet werden. Beispiel: *.txt Sie können den Verzeichnispfad der Datei auch mit einer Umgebungsvariable angeben. (Im Verzeichnispfad dürfen keine Platzhalterzeichen verwendet werden.) Schließen Sie die Variable in die Zeichen <% und %> ein. Beispiel: <%windir%>\bad-file.txt Weitere Informationen finden Sie unter „Verwenden von Platzhaltern oder Umgebungsvariablen in einer Host Checker-Regel“ auf Seite 256. iii. Wählen Sie Required aus, um zu bestimmen, dass diese Datei auf dem Clientcomputer vorhanden sein muss, oder wählen Sie Deny aus, um zu bestimmen, dass diese Datei nicht vorhanden ist. iv. Geben Sie die Mindestversion der Datei an (optional). Wenn beispielsweise die Datei „notepad.exe“ auf dem Client vorhanden sein muss, können Sie in das Feld 5.0 eingeben. Host Checker akzeptiert Notepad Version 5.0 und höher. v. Geben Sie das maximale Alter (File modified less than n days) der Datei in Tagen an (optional). Wenn die Datei älter als die angegebene Anzahl von Tagen ist, entspricht der Client nicht den Anforderungen der Attributprüfung. HINWEIS: Mit der Option für das maximale Alter kann das Alter von Virensignaturen überprüft werden. Geben Sie im Feld File Name den Pfad einer Datei an, deren Zeitstempel die letzte Aktualisierung der Virensignaturen angibt, z. B eine Virensignaturdatenbank oder eine Protokolldatei, die bei jeder Aktualisierung der Datenbank ebenfalls aktualisiert wird. Wenn Sie beispielsweise TrendMicro verwenden, können Sie Folgendes angeben: C:\Program Files\Trend Micro\OfficeScan Client\TmUpdate.ini. 254 Erstellen globaler Richtlinien für Host Checker Kapitel 11: Host Checker vi. Geben Sie den MD5-Prüfsummenwert für jede Datei ein, auf die die Richtlinie angewendet werden soll (optional). Unter Macintosh und Linux können Sie die MD5-Prüfsumme mit folgendem Befehl ermitteln: openssl md5 <filePath> vii. Klicken Sie auf Save Changes. Registry Setting (nur Windows) – Mit diesem Regeltyp steuern Sie die proprietären PC-Images, Systemkonfigurationen und Softwareeinstellungen, über die ein Client für den Zugriff auf das IVE verfügen muss. Mit diesem Regeltyp wird sichergestellt, dass bestimmte Registrierungsschlüssel auf dem Clientcomputer festgelegt werden, bevor der Benutzer auf das IVE zugreifen kann. Registrierungseinstellungsprüfungen können auch verwendet werden, um das Alter erforderlicher Dateien auszuwerten und den Zugriff entsprechend zu gewähren oder zu verweigern. Gehen Sie auf der Konfigurationsseite für Registry Settings folgendermaßen vor: i. Geben Sie einen Namen für die Registrierungseinstellungsregel ein. ii. Wählen Sie in der Dropdownliste einen Stammschlüssel aus. iii. Geben Sie den Pfad zum Anwendungsordner für den Registrierungsteilschlüssel ein. iv. Geben Sie den Namen des Schlüsselwertes ein, der gefordert werden soll (optional). Dieser Name wird in der Spalte Name des Registrierungs-Editors angezeigt. v. Wählen Sie in der Dropdownliste den Typ des Schlüsselwerts aus (String, Binary oder DWORD) (optional). Dieser Typ wird in der Spalte Type des Registrierungs-Editors angezeigt. vi. Geben Sie den geforderten Registrierungsschlüsselwert an (optional). Diese Informationen werden in der Spalte Data des RegistrierungsEditors angezeigt. Wenn der Schlüsselwert für eine Anwendungsversion steht, aktivieren Sie Minimum version, um die angegebene Version oder neuere Versionen der Anwendung zuzulassen. Mit dieser Option können Sie beispielsweise Versionsinformationen für eine Antivirenanwendung angeben, um sicherzustellen, dass die Antivirensoftware des Clients aktuell ist. Das IVE verwendet lexikalisches Sortieren, um zu bestimmen, ob der Client die angegebene oder eine neuere Version enthält. Beispiel: 3.3.3 ist neuer als 3.3 4.0 ist neuer als 3.3 4.0a ist neuer als 4.0b 4.1 ist neuer als 3.3.1 vii. Klicken Sie auf Save Changes. Erstellen globaler Richtlinien für Host Checker 255 Juniper Networks Secure Access – Administratorhandbuch HINWEIS: Wenn Sie lediglich den Schlüssel und den Teilschlüssel angeben, überprüft Host Checker einfach, ob der Ordner „Subkey“ in der Registrierung vorhanden ist. 5. Fügen Sie optional der Richtlinie zusätzliche Regeln hinzu, geben Sie an, wie Host Checker mehrere Regeln innerhalb der Richtlinie überprüfen soll, und definieren Sie Hilfsoptionen mithilfe der Anweisungen unter „Erstellen und Konfigurieren neuer clientseitiger Richtlinien“ auf Seite 245. Verwenden von Platzhaltern oder Umgebungsvariablen in einer Host Checker-Regel Verwenden Sie die folgenden Platzhalter für die Angabe eines Dateinamens in einer Custom File-Regel oder eines Prozessnamens in einer Custom Process-Regel: Tabelle 15: Platzhalterzeichen für die Angabe von Datei- oder Prozessnamen Platzhalterzeichen Beschreibung Beispiel * Entspricht einem beliebigen Zeichen *.txt ? Entspricht genau einem Zeichen app-?.exe In einer Custom File-Regel für Windows können die folgenden Umgebungsvariablen zum Angeben des Verzeichnispfads einer Datei verwendet werden: Tabelle 16: Umgebungsvariablen für die Angabe eines Verzeichnispfads unter Windows Umgebungsvariable Windows-Beispielwert <%APPDATA%> C:\Documents and Settings\jdoe\Application Data <%windir%> C:\WINDOWS <%ProgramFiles%> C:\Program Files <%CommonProgramFiles%> C:\Program Files\Common Files <%USERPROFILE%> C:\Documents and Settings\jdoe <%HOMEDRIVE%> C: <%Temp%> C:\Documents and Settings \<user name>\Local Settings\Temp In einer Custom File-Regel für Macintosh oder Linux können die folgenden Umgebungsvariablen zum Angeben des Verzeichnispfads einer Datei verwendet werden: Tabelle 17: Umgebungsvariablen für die Angabe eines Verzeichnispfads unter Macintosh und Linux 256 Umgebungsvariable Macintosh-Beispielwert <%java.home%> /System/Library/Frameworks/JavaVM /local/local/java/j2sdk1.4.1_02/ .framework/ Versions/1.4.2/Home jre <%java.io.tmpdir%> /tmp /tmp <%user.dir%> /Users/admin /home-shared/cknouse Erstellen globaler Richtlinien für Host Checker Linux-Beispielwert Kapitel 11: Host Checker Tabelle 17: Umgebungsvariablen für die Angabe eines Verzeichnispfads unter Macintosh und Linux (Fortsetzung) Umgebungsvariable Macintosh-Beispielwert Linux-Beispielwert <%user.home%> /Users/admin /home/cknouse HINWEIS: Obwohl Umgebungsvariablen auf die gleiche Weise wie Toolkit Template-Direktiven formatiert sind, sind beide nicht austauschbar und sollten nicht verwechselt werden. Auswerten mehrerer Regeln in einer einzelnen Host Checker-Richtlinie Wenn Sie mehrere Regeln in eine einzelne clientseitige Richtlinie aufnehmen, müssen Sie angeben, wie Host Checker diese Regeln auswerten soll. So geben Sie Anforderungen für mehrere Regeln in einer Host Checker-Richtlinie an: 1. Wählen Sie in der Administratorkonsole Authentication > Endpoint Security > Host Checker. 2. Klicken Sie im Abschnitt Policies der Seite auf eine vorhandene Richtlinie, die mehrere Regeln enthält. 3. Wählen Sie im Abschnitt Require eine der folgenden Optionen aus: All of the above rules – Wählen Sie diese Option aus, um anzugeben, dass der Computer des Benutzers eine Erfolgsmeldung für alle Regeln der Richtlinie zurückgeben muss, um Zugriff zu erhalten. Any of the above rules – Wählen Sie diese Option aus, um anzugeben, dass der Computer des Benutzers eine Erfolgsmeldung für eine beliebige Regel der Richtlinie zurückgeben muss, um Zugriff zu erhalten. Custom – Wählen Sie diese Option aus, um die Regeln anzupassen, die der Computer des Benutzers erfüllen muss, um Zugriff zu erhalten. Erstellen Sie anschließend die benutzerdefinierte Regel mithilfe der Anweisungen im folgenden Schritt. 4. (Nur benutzerdefinierte Ausdrücke) Wenn Sie in der Richtlinie alternative Regelsätze verwenden möchten, kombinieren Sie mithilfe der folgenden Anweisungen Regeln mit booleschen Operatoren (AND, OR): Geben Sie den Namen der Regeln ins Textfeld Rules expression ein. Verwenden Sie den Operator AND, um zwei Regeln oder Regelsätze für die Rückgabe eines wahren Werts zu verlangen. Verwenden Sie den Operator OR, um eine/n von zwei Regeln oder Regelsätzen für die Rückgabe eines wahren Werts zu verlangen. Verwenden Sie Klammern zum Kombinieren von Regelsätzen. Erstellen globaler Richtlinien für Host Checker 257 Juniper Networks Secure Access – Administratorhandbuch Mit dem folgenden Ausdruck können Sie z.B. die Ausführung einer persönlichen Firewall und die Ausführung von einem von zwei möglichen Antivirenprodukten erzwingen: ZoneLabsFirewall AND (McAfeeAntivirus OR NortonAntivirus) 5. Klicken Sie auf Save Changes. Aktivieren angepasster serverseitiger Richtlinien Für Windows-Clients können globale Host Checker-Richtlinien erstellt werden, die eine auf das IVE hochgeladene J.E.D.I.-DLL abrufen und auf Clientcomputern ausführen. Weitere Informationen zum Erstellen dieser Richtlinien finden Sie im J.E.D.I. Solution Guide im Juniper Networks Customer Support Center. Hochladen eines Host Checker-Richtlinienpakets in das IVE Damit das IVE eine Paketdefinitionsdatei erkennen kann, müssen Sie folgende Schritte ausführen: 1. Weisen Sie der Paketdefinitionsdatei den Namen MANIFEST.HCIF zu, und legen Sie diese ab in einem Ordner mit der Bezeichnung META-INF. 2. Erstellen Sie ein Host Checker-Richtlinienpaket durch das Erstellen eines ZIPArchivs. Dieses Archiv muss den Ordner META-INF mit der Datei MANIFEST.HCIF sowie der Schnittstellen-DLL und Initialisierungsdateien enthalten. Das Host Checker-Richtlinienpaket kann beispielsweise Folgendes enthalten: META-INF/MANIFEST.HCIF hcif-myPestPatrol.dll hcif-myPestPatrol.ini 3. Laden Sie das Host Checker-Paket (bzw. -Pakete) in das IVE mithilfe der Anweisungen unter „Aktivieren angepasster serverseitiger Richtlinien“ auf Seite 258. Sie können mehrere Richtlinienpakete mit jeweils verschiedenen MANIFEST.HCIF-Dateien in das IVE laden. HINWEIS: Nachdem ein Host Checker-Richtlinienpaket in das IVE hochgeladen wurde, kann es auf dem Server nicht mehr geändert werden. Das Paket muss auf dem lokalen System bearbeitet werden, und die geänderte Version muss dann in das IVE hochgeladen werden. Host Checker erstellt unter der Annahme, dass alle Definitionen eindeutig sind, in allen MANIFEST.HCIF-Dateien Tunnel für alle Tunneldefinitionen. Wenn Sie die Liste der Zugriffstunneldefinitionen für die Vorauthentifizierungen für ein Richtlinienpaket anzeigen möchten, klicken Sie auf der Seite Host Checker Configuration unter 3rd Party Policy auf den Namen des gewünschten Pakets. Das IVE listet die Tunneldefinitionen auf der Seite 3rd Party Policy unter Host Checker Preauth Access Tunnels auf. 258 Erstellen globaler Richtlinien für Host Checker Kapitel 11: Host Checker 4. Implementieren Sie die Richtlinie auf der Bereichs-, Rollen- oder Ressourcenrichtlinienebene mithilfe der unter „Konfigurieren von Host Checker-Einschränkungen“ auf Seite 270 beschriebenen Optionen. Wenn das Paket selbst auf dem Clientcomputer installiert und ausgeführt werden soll (im Gegensatz zu einer bestimmten erfüllten oder nicht eingehaltenen Richtlinie im Paket), können Sie den beim Hochladen des Richtlinienpakets angegebenen Namen verwenden (z.B. myPestPatrol). Verwenden Sie zum Erzwingen einer bestimmten Richtlinie im Paket die Syntax <PackageName>.<PolicyName>. Verwenden Sie beispielsweise zum Durchsetzen der Richtlinie FileCheck im Paket myPestPatrol myPestPatrol.FileCheck. Anweisungen hierfür finden Sie unter „Konfigurieren von Host Checker-Einschränkungen“ auf Seite 270. So aktivieren Sie eine angepasste serverseitige Host Checker-Richtlinie: 1. Wählen Sie in der Administratorkonsole Authentication > Endpoint Security > Host Checker. 2. Klicken Sie unter Policies auf New 3rd Party Policy. 3. Geben Sie einen Namen ein, um Ihre ZIP-Datei im IVE zu bezeichnen. 4. Navigieren Sie zu dem lokalen Verzeichnis, in dem sich Ihre ZIP-Datei befindet. 5. (Optional) Geben Sie Hilfsanweisungen und Aktionen für Benutzer an, deren Computer die in der Richtlinie angegebenen Anforderungen nicht erfüllen. Anweisungen hierfür finden Sie unter „Konfigurieren der Host CheckerHilfsoption“ auf Seite 274. 6. Klicken Sie auf Save Changes. Das IVE fügt die in der ZIP-Datei definierten Richtlinien der Liste von Richtlinien auf der Seite Host Checker hinzu. 7. Implementieren Sie die Richtlinien auf der Bereichs-, Rollen- oder Ressourcenrichtlinienebene mithilfe der unter „Konfigurieren von Host Checker-Einschränkungen“ auf Seite 270 beschriebenen Optionen. Erstellen globaler Richtlinien für Host Checker 259 Juniper Networks Secure Access – Administratorhandbuch Aktivieren von Secure Virtual Workspace (sicherer virtueller Arbeitsbereich) Secure Virtual Workspace gewährleistet die Integrität von IVE-Sitzungsdaten auf einem Clientcomputer mit Windows 2000 oder Windows XP, indem auf dem Clientdesktop ein geschützter Arbeitsbereich erstellt wird. Durch Aktivieren von Secure Virtual Workspace stellen Sie sicher, dass Endbenutzer, die sich am Intranet anmelden, alle Interaktionen innerhalb einer vollkommen geschützten Umgebung ausführen. Werden infolge von Anwendungen und Interaktionen des Benutzers Daten auf eine Festplatte oder die Registrierung geschrieben, verschlüsselt Secure Virtual Workspace diese Daten. Ist die IVE-Sitzung abgeschlossen, vernichtet Secure Virtual Workspace standardmäßig alle eigenen oder zur Sitzung gehörenden Daten. Der Status dieser Art von Informationen kann jedoch den persönlichen Anforderungen angepasst werden. Beispiel: Möglicherweise sollen Daten über mehrere Secure Virtual Workspace-Sitzungen weiterbestehen. Das IVE erfüllt den Bereinigungs- und Löschstandard „DoD 5220.M“ zum sicheren Löschen von Secure Virtual Workspace-Daten, die auf der Festplatte gespeichert sind. Secure Virtual Workspace: Entfernt Arbeitsbereichdaten und -ressourcen beim Beenden der Sitzung. Stellt sicher, dass vor dem Starten von IE keine Browserhilfsobjekte in einen in Internet Explorer ausgeführten Vorgang eingreifen. Verhindert, dass Produkte für die Desktopsuche Webdatenverkehr abfangen und den Inhalt registrieren. Erstellt für alle Konfigurations- und Laufzeitvorgänge IVE-Protokolle. Das IVE hostet Secure Virtual Workspace-Binärwerte, die das Clientsystem jedes Mal aus dem IVE herunterlädt, wenn ein Benutzer eine Verbindung herstellt. Secure Virtual Workspace erstellt ein virtuelles Dateisystem und eine virtuelle Registrierung auf dem Client. Definieren und konfigurieren Sie die Anwendungen, die im Secure Virtual Workspace ausgeführt werden können. Sie können beispielsweise die folgenden Anwendungskonfigurationstypen konfigurieren: Beschränken des Startens von Internet Explorer und Outlook auf Secure Virtual Workspace. Einschränken von Anwendungsinstallationen und -ausführungen in einer Secure Virtual Workspace-Sitzung. Dieses Verfahren gewährleistet, dass Anwendungsbinärdateien nach dem Beenden der Sitzung vollständig vom Clientcomputer entfernt werden. Secure Virtual Workspace – Funktionen Die IVE-Implementierung von Secure Virtual Workspace: 260 Aktivieren von Secure Virtual Workspace (sicherer virtueller Arbeitsbereich) Kapitel 11: Host Checker Benutzer des Clientdesktops müssen zum Herunterladen und Ausführen von Secure Virtual Workspace keine Administratorberechtigungen besitzen. Unterstützt die Verwendung von Secure Virtual Workspace zusammen mit Host Checker. Host Checker wird beim Initiieren eines sicheren Arbeitsbereichs automatisch gestartet. Stellt Secure Virtual Workspace als J.E.D.I.-Modul zur Verfügung, um die Erstellung von Secure Virtual Workspace-Richtlinien auf Benutzerrollen- oder Benutzerbereichsebene zu ermöglichen. Secure Virtual Workspace – Einschränkungen und Standardeinstellungen Secure Virtual Workspace erlegt bei der Verwendung bestimmte Einschränkungen auf und erstellt Standardeinstellungen, die von Ihnen geändert werden können. Standardmäßig kann ein plattformspezifischer Browser nur in SVW ausgeführt werden, wenn dies vom Administrator nicht ausdrücklich eingeschränkt ist. Das IVE lässt keine Softwareanwendungen zu, die die HKLM-Registrierungseinträge bei der Installation aktualisieren, sodass sie in SVW betrieben werden können. Das IVE unterstützt die Dateinavigation der JSAM-Standardanwendungen „Outlook“ und „Netbios“ durch SVW nicht, da für diese Anwendungen Änderungen am Registrierungsschlüssel erforderlich sind. Das IVE unterstützt jedoch Citrix- und Lotus Notes JSAM-Standardanwendungen in SVW. Das IVE ermöglicht den Zugriff auf externe Drucker oder Speichergeräte durch einige in SVW ausgeführte Anwendungen. Der Zugriff auf diese Geräte kann auf Rollen- oder Bereichsebene nach Bedarf ermöglicht werden. Endbenutzer können standardmäßig nicht auf Netzwerkfreigaben zugreifen, außer Sie konfigurieren den Zugriff auf Netzwerkfreigaben in der SVW-Richtlinie. Verwenden die Endbenutzer Firewalls oder andere im Kernel-Bereich ausgeführte Anwendungen, treten möglicherweise Probleme beim Herunterladen von IVEClientkomponenten in SVW auf. Verwaltungsanwendungen auf niedriger Ebene zeigen u.U. Meldungen an, für die Benutzereingriff erforderlich ist. Wenn Sie die Option so einstellen, dass das Wechseln zum standardmäßigen oder realen Desktop zugelassen wird, muss der Benutzer die Meldungen möglicherweise nicht beachten. Ist diese Option deaktiviert, kann das Problem vom Benutzer u.U. nicht behoben werden. Secure Virtual Workspace unterstützt keine 16-Bit-Anwendungen. Einige Windows-Tastenkombinationen funktionieren in einer SVW-Sitzung möglicherweise nicht einwandfrei. Sie können zum Anzeigen des Windows Task-Manager in SVW nicht die Standardtastenkombination STRG+ALT+ENTF verwenden. Klicken Sie mit der rechten Maustaste auf die Taskleiste von Windows (wenn die Taskleiste nicht verschoben wurde, befindet sie sich normalerweise unten im Bildschirm), um ein Popup-Menü zur Auswahl von Task Manager anzuzeigen. Aktivieren von Secure Virtual Workspace (sicherer virtueller Arbeitsbereich) 261 Juniper Networks Secure Access – Administratorhandbuch Haben Sie für das Aktualisierungsintervall des Host Checker-Status Null (0) festgelegt, führt Host Checker die Statusüberprüfung einmal durch und wird dann beendet. Beim Beenden von Host Checker wird SVW ebenfalls beendet. Der Endbenutzer kann infolgedessen keine SVW-Sitzung starten. Legen Sie für das Aktualisierungsintervall des Host Checker-Status nicht Null fest. SVW sucht nur nach Dateisystemlaufwerken, wenn der Benutzer das erste Mal die Sitzung startet. Startet der Benutzer eine Sitzung und fügt dann ein Laufwerk hinzu (z.B. ein USB-Laufwerk), hat er während der Sitzung keinen Zugriff auf dieses Laufwerk. Konfigurieren von Secure Virtual Workspace Sie konfigurieren Secure Virtual Workspace im Kontext einer Host CheckerRichtlinie. Alle definierten Secure Virtual Workspace-Richtlinien werden in einer Liste unter Authentication > Endpoint Security > Host Checker angezeigt. HINWEIS: Da die Secure Virtual Workspace-Sitzungsdaten auf dem realen Desktop des Endbenutzers gespeichert werden, sollten Sie die Erhaltungsfunktion nur implementieren, wenn die Endbenutzer immer die gleichen Clientcomputer verwenden. HINWEIS: Es wurden keine Vorgaben gemacht, dass keine Anmelde-URL konfiguriert werden kann, die mehr als einem mit einer SVW-Richtlinie konfigurierten Bereich zugeordnet ist. Wenn Sie mehrere Zuordnungen zu mehr als einem Bereich konfigurieren, kommt es zu unvorhergesehenen Ergebnissen. Der sichere virtuelle Desktop muss ausdrücklich konfiguriert werden, damit nur eine SVW-Richtlinie für den Benutzer ausgewertet wird. Definieren von Secure Virtual Workspace-Berechtigungen Sie können angeben, auf welche Geräte und Ressourcen der Endbenutzer bei Verwendung von Secure Virtual Workspace zugreifen darf. So definieren Sie eine neue Richtlinie für Secure Virtual Workspace-Berechtigungen: 1. Wählen Sie in der Administratorkonsole Authentication > Endpoint Security > Host Checker. 2. Klicken Sie unter Policies auf New Secure Virtual Workspace Policy. 3. Aktivieren Sie unter Permissions die Kontrollkästchen der Elemente, für die Berechtigungen erteilt werden sollen: 262 Printers – Gewährt einem Endbenutzer Zugriff auf Netzwerkdrucker. Restricted View of Files – Wenn die begrenzte Ansicht festgelegt ist, sind nur die Verzeichnisse „Dokumente und Einstellungen“, „Programme“ und die Systemordner von Windows auf dem Systemlaufwerk (normalerweise „c:“) in SVW verfügbar. Aktivieren von Secure Virtual Workspace (sicherer virtueller Arbeitsbereich) Kapitel 11: Host Checker HINWEIS: Wenn Sie die Option Restricted View of Files ausgewählt haben und die Endbenutzer aufgeteilte Laufwerke konfigurieren, können sie nur auf Anwendungen oder Dateien auf dem Systemlaufwerk (c:) zugreifen. Wenn Sie den Endbenutzern die Aufteilung der Laufwerke ermöglichen, sollten Sie nicht die begrenzte Ansicht verwenden. Removable Drives – Ermöglicht Endbenutzern den Zugriff auf austauschbare Laufwerke auf dem Clientcomputer des Endbenutzers. Installiert ein Endbenutzer ein austauschbares USB-Speichergerät, sind folgende zwei Verhaltensweisen möglich, je nachdem wie Sie diese Option festgelegt haben: Schließt der Benutzer das USB-Gerät vor dem Starten einer SVW-Sitzung an, wird das Gerät als Festplatte erkannt. Der Benutzer kann während einer SVW-Sitzung vom Gerät weder lesen noch darauf schreiben, auch wenn Sie die Option Removable Drives aktiviert haben. Schließt der Benutzer das USB-Gerät nach dem Starten einer SVWSitzung an, wird das Gerät als austauschbarer Datenträger erkannt, und der Benutzer kann darauf zugreifen, wenn Sie bei der Konfiguration von SVW die Option Removable Drives aktiviert haben. Network Share Access – Gewährt einem Endbenutzer Zugriff auf Laufwerke der Netzwerkfreigaben. Switch to Real Desktop – Ermöglicht Endbenutzern das Hin- und Herschalten zwischen Secure Virtual Workspace und dem Clientdesktop des Endbenutzers. Desktop Persistence – Ermöglicht Endbenutzern die Verwaltung von Secure Virtual Workspace für Clientsitzungen ausschließlich in NTFSDateisystemen. HINWEIS: Das Erhalten und Wechseln des Desktops wird von FAT16- oder FAT32Dateisystemen nicht unterstützt. Beachten Sie, dass mehrere Benutzer, die zum Verschlüsseln von SVW auf demselben Host das gleiche Kennwort verwenden, möglicherweise Zugriff auf den mit diesem statischen Kennwort geschützten Speicher der permanenten Daten erhalten. Benutzer sollten zum Sichern permanenter SVW-Daten in Systemen mit mehreren Benutzern ein sicheres Kennwort verwenden. 4. Fahren Sie mit dem Definieren der Richtlinie fort, oder klicken Sie auf Save Changes. Definieren einer Anwendungsrichtlinie für Secure Virtual Workspace Sie können angeben, welche Anwendungen der Endbenutzer bei der Verwendung von Secure Virtual Workspace installieren oder ausführen darf. Aktivieren von Secure Virtual Workspace (sicherer virtueller Arbeitsbereich) 263 Juniper Networks Secure Access – Administratorhandbuch So definieren Sie eine neue Richtlinie für Secure Virtual Workspace-Anwendungen: 1. Wählen Sie in der Administratorkonsole Authentication > Endpoint Security > Host Checker. 2. Klicken Sie unter Policies auf New Secure Virtual Workspace Policy, oder klicken Sie auf den Link einer bereits vorhandenen Secure Virtual WorkspaceRichtlinie. 3. Aktivieren Sie unter Applications die Kontrollkästchen der zu aktivierenden Anwendungstypen: 264 Control panel – Ermöglicht Endbenutzern in Secure Virtual Workspace den Zugriff auf die Systemsteuerung von Windows. Run menu – Ermöglicht Endbenutzern in Secure Virtual Workspace den Zugriff auf das Menü zum Ausführen von Windows. Registry editor – Ermöglicht Endbenutzern in Secure Virtual Workspace den Zugriff auf den Registrierungs-Editor von Windows (regedt32.exe). Task manager – Ermöglicht Endbenutzern in Secure Virtual Workspace den Zugriff auf den Task-Manager von Windows (taskmgr.exe) und Systemprozesse. Command window – Ermöglicht Endbenutzern in Secure Virtual Workspace den Zugriff auf das Befehlsfenster von Windows (cmd.exe) und das Ausführen von Befehlen. Custom applications – Geben Sie benutzerdefinierte Anwendungen an, die Endbenutzer in Secure Virtual Workspace ausführen dürfen. Nehmen Sie beispielsweise interne Anwendungen, nicht standardmäßige Browser und andere Anwendungen mit auf. Geben Sie in das mehrzeilige Textfeld pro Zeile eine Anwendung einschließlich der Erweiterung.exe ein. Sie können auch den Platzhalter * für eine gesamte Klasse von Anwendungen verwenden und einen optionalen MD5-Hash-Wert nach dem Namen der ausführbaren Datei und einem Komma (telnet.exe,0414ea8) mit aufnehmen. Applications to deny – Geben Sie Anwendungen an, die für Endbenutzer in Secure Virtual Workspace gesperrt werden sollen. Geben Sie in das mehrzeilige Textfeld pro Zeile eine Anwendung einschließlich der Erweiterung für jede ausführbare Datei ein. Aktivieren von Secure Virtual Workspace (sicherer virtueller Arbeitsbereich) Kapitel 11: Host Checker HINWEIS: Benutzerdefinierte Anwendungen, die nicht im Feld Custom applications aufgeführt sind, werden standardmäßig gesperrt. Wenn Sie dieselbe Anwendung zum Textfeld Custom applications und zum Textfeld Applications to deny hinzufügen, besitzt die Sperrung Priorität, und Benutzern wird der Zugriff auf die Anwendung in SVW-Sitzungen gesperrt. Dies kann geschehen, wenn Sie Platzhalter verwenden, um Anwendungen in beiden Listen anzugeben. Beispiel: Wenn Sie *plore.exe in der Liste der zugelassenen Anwendungen und iex*.exe in der Liste der gesperrten Anwendungen angeben, wird der Zugriff auf iexplore.exe gesperrt. 4. Fahren Sie mit dem Definieren der Richtlinie fort, oder klicken Sie auf Save Changes. Nach dem Definieren der Virtual Workspace-Richtlinien müssen Sie diese als Richtlinien für die Bereichsauthentifizierung auf Benutzerebene aktivieren, wie unter „Implementieren von Host Checker-Richtlinien“ auf Seite 267 beschrieben. Definieren einer Sicherheitsrichtlinie für Secure Virtual Workspace Sie können Verschlüsselungsebenen angeben und die Verwendung der Drittanbietererweiterungen in Internet Explorer und Outlook steuern. So geben Sie Sicherheitsoptionen für eine neue Secure Virtual Workspace-Richtlinie an: 1. Wählen Sie in der Administratorkonsole Authentication > Endpoint Security > Host Checker. 2. Klicken Sie unter Policies auf New Secure Virtual Workspace Policy, oder klicken Sie auf den Link einer bereits vorhandenen Secure Virtual Workspace-Richtlinie. 3. Geben Sie den Typ des AES-Schlüssels an, der vom IVE zur Aktivierung von Secure Virtual Workspace auf dem Client verwendet wird. Zur Verfügung stehen 128-, 192- und 256-Byte-Schlüssel. 4. Geben Sie die zulässigen IE- oder Outlook-Erweiterungen an, indem Sie ins Textfeld IE/Outlook extensions to allow alle zulässigen DLLs in separate Zeilen eingeben. Nicht aufgeführte Erweiterungen werden standardmäßig gesperrt. Diese Erweiterungen sind kleine Anwendungen, die an die Secure Virtual Workspace-Sitzung weitergegeben und wieder entfernt werden. 5. Fahren Sie mit dem Definieren der Richtlinie fort, oder klicken Sie auf Save Changes. Definieren von Umgebungsoptionen für Secure Virtual Workspace So geben Sie Umgebungsoptionen für eine neue Secure Virtual Workspace-Richtlinie an: 1. Wählen Sie in der Administratorkonsole Authentication > Endpoint Security > Host Checker. Aktivieren von Secure Virtual Workspace (sicherer virtueller Arbeitsbereich) 265 Juniper Networks Secure Access – Administratorhandbuch 2. Klicken Sie unter Policies auf New Secure Virtual Workspace Policy, oder klicken Sie auf den Link einer bereits vorhandenen Secure Virtual Workspace-Richtlinie. 3. Geben Sie unter Options die maximale Dauer (in Minuten) an, die sich die Secure Virtual Workspace-Sitzung eines Clients im Leerlauf befinden darf, bevor die Verbindung zum IVE getrennt wird. 4. Geben Sie ein Bild für den Desktophintergrund an (optional). 5. Geben Sie eine Hintergrundfarbe für den Desktop an (optional). 6. Geben Sie die für den Zugriff auf SVW zu verwendende Anmelde-URL an. Zu den verfügbaren URLs gehören die standardmäßige Benutzeranmelde-URL und die URLs, die Sie unter Authentication > Signing in > Sign-in Policies festgelegt haben. Wenn SVW den Benutzer zum ersten Mal in den virtuellen Arbeitsbereich versetzt wird und einen Browser initiiert, tritt der Benutzer mithilfe einer Anmelde-URL dem IVE bei. Diese Anmelde-URL ist standardmäßig dieselbe wie die vom Benutzer zum Starten der IVE-Sitzung eingegebene URL. Sie können mithilfe dieser Option eine andere Anmelde-URL konfigurieren. HINWEIS: Das IVE unterstützt keine Hostnamen mit Platzhaltern wie z.B. *.host.com/[Pfad]. 7. Fahren Sie mit dem Definieren der Richtlinie fort, oder klicken Sie auf Save Changes. Definieren einer Hilfsoptionsrichtlinie für Secure Virtual Workspace So geben Sie Hilfsoptionen für eine neue Virtual Workspace-Richtlinie an: 1. Wählen Sie in der Administratorkonsole Authentication > Endpoint Security > Host Checker. 2. Klicken Sie unter Policies auf New Secure Virtual Workspace Policy, oder klicken Sie auf den Link einer bereits vorhandenen Secure Virtual Workspace-Richtlinie. 3. Wählen Sie unter Remediation Hilfsoptionen für Benutzer aus, deren Computer die in der Richtlinie angegebenen Anforderungen nicht erfüllen. Anweisungen hierfür finden Sie unter „Konfigurieren der Host CheckerHilfsoption“ auf Seite 274. HINWEIS: Wenn Sie keine Hilfsanweisungen erstellen, wissen die Benutzer beim Fehlschlagen der Richtlinie nicht, warum sie Secure Virtual Workspace nicht starten und nicht auf lokale Ressourcen zugreifen können. 266 Enable Custom Instructions – Erweitert das Textfeld, in das benutzerdefinierte Anweisungen als Text oder HTML eingegeben werden können. Diese Anweisungen werden Endbenutzern angezeigt, wenn in Secure Virtual Workspace Probleme bei Hilfsoptionen auftreten. Aktivieren von Secure Virtual Workspace (sicherer virtueller Arbeitsbereich) Kapitel 11: Host Checker Evaluate Other Policies – Öffnet Listenfelder, mit deren Hilfe beim Initiieren von Secure Virtual Workspace andere zu bewertende Host Checker-Richtlinien ausgewählt werden können. Remediate – Wendet Korrekturregeln an. Kill Processes – Öffnet ein Textfeld, in das Anwendungsprozesse und MD5Hashwerte für die zu beendenden Prozesse eingegeben werden. Beispiel: Application.exe MD5: 6A7DFAF12C3183B56C44E89B12DBEF56 MD5: 9S3AJ912CC3183B56C44E89B12DI2AC9 Delete Files – Öffnet ein Textfeld, in das die Dateinamen der zu löschenden Dateien eingegeben werden (ein Name pro Zeile). 4. Klicken Sie auf Save Changes. Implementieren von Host Checker-Richtlinien Schränken Sie nach der Erstellung globaler Richtlinien über die Seite Authentication > Endpoint Security > Host Checker der Administratorkonsole den IVE- und Ressourcenzugriff ein, indem Sie Host Checker für Folgendes anfordern: Richtlinie für die Bereichsauthentifizierung – Wenn Administratoren oder Benutzer versuchen, sich am IVE anzumelden, wertet das IVE die Authentifizierungsrichtlinie des angegebenen Bereichs aus, und es ermittelt, ob für die Authentifizierung auch Host Checker ausgeführt werden muss. In der Konfiguration einer Richtlinie für die Bereichsauthentifizierung können Sie festlegen, dass Host Checker heruntergeladen wird, dass Host Checker gestartet wird und außerdem die für den Bereich festgelegte Host Checker-Richtlinien durchgesetzt werden oder dass Host Checker nicht erforderlich ist. Der Benutzer muss sich über einen Computer anmelden, der den für den Bereich festgelegten Anforderungen für Host Checker entspricht. Erfüllt der Computer des Benutzers die Anforderungen nicht, verweigert das IVE dem Benutzer den Zugriff, sofern Sie keine Hilfsoptionen konfiguriert haben, mit deren Hilfe der Benutzer seinen Computer mit den Sicherheitsanforderungen in Einklang bringen kann. Konfigurieren Sie Einschränkungen auf Bereichsebene über die Seite Administrators > Admin Realms > BereichAuswählen > Authentication Policy > Host Checker oder Users > User Realms > BereichAuswählen > Authentication Policy > Host Checker der Administratorkonsole. Rolle – Wenn das IVE ermittelt, welche Rollen einem Administrator oder Benutzer zugeordnet werden können, wertet es die Einschränkungen der einzelnen Rollen aus. Dabei wird festgelegt, ob der Computer des Benutzers für die Rolle bestimmte Host Checker-Richtlinien erfüllen muss. Wenn dies der Fall ist und der Computer des Benutzers die festgelegten Host Checker-Richtlinien nicht erfüllt, erfolgt keine Rollenzuordnung durch das IVE, es sei denn, Sie konfigurieren Hilfsoptionen, mithilfe derer der Benutzer seinen Computer mit den Sicherheitsanforderungen in Einklang bringen kann. Konfigurieren Sie die Implementieren von Host Checker-Richtlinien 267 Juniper Networks Secure Access – Administratorhandbuch Rollenzuordnung mithilfe der Einstellungen auf der Seite Users > User Realms > BereichAuswählen > Role Mapping. Konfigurieren Sie Einschränkungen auf Rollenebene über die Seite Administrators > Admin Roles > RolleAuswählen > General > Restrictions > Host Checker der Administratorkonsole oder die Seite Users > User Roles> RolleAuswählen > General > Restrictions > Host Checker. Ressourcenrichtlinie – Wenn ein Benutzer eine Ressource anfordert, wertet das IVE die detaillierten Regeln der Ressourcenrichtlinie aus. Dabei wird ermittelt, ob der Computer des Benutzers für die betreffende Ressource bestimmte Host CheckerRichtlinien erfüllen muss. Wenn der Computer des Benutzers die festgelegten Host Checker-Richtlinien nicht erfüllt, verweigert das IVE den Zugriff auf die Ressource, es sei denn, Sie konfigurieren Hilfsoptionen, mithilfe derer der Benutzer seinen Computer mit den Sicherheitsanforderungen in Einklang bringen kann. Verwenden Sie die Einstellungen auf der Seite Users > Resource Policies > RessourceAuswählen > RichtlinieAuswählen > Detailed Rules, um Host CheckerEinschränkungen auf Ressourcenrichtlinienebene zu implementieren. Sie können festlegen, dass das IVE die Host Checker-Richtlinien nur beim erstmaligen Zugriffsversuch des Benutzers auf den Bereich, die Rolle oder die Ressource auswertet. Sie können auch festlegen, dass das IVE die Richtlinien während der Sitzung des Benutzers in regelmäßigen Abständen erneut auswerten soll. Bei einer periodischen Auswertung von Host Checker-Richtlinien ordnet das IVE die Benutzer dynamisch bestimmten Rollen zu und gewährt ihnen je nach den Ergebnissen der jeweils letzten Auswertung Zugriff auf neue Ressourcen. Ausführen von Host Checker-Richtlinien Bei dem Versuch eines Benutzers, auf das IVE zuzugreifen, wertet Host Checker die Richtlinien in der folgenden Reihenfolge aus: 1. Erstauswertung – Beim erstmaligen Zugriffsversuch eines Benutzers auf die IVE-Anmeldeseite nimmt Host Checker eine erste Auswertung vor. Anhand der Regeln, die Sie in den Richtlinien festgelegt haben, überprüft Host Checker, ob der Client die Endpunktsicherheitsanforderungen erfüllt, und übermittelt das Ergebnis an das IVE. Die Erstauswertung erfolgt unabhängig davon, ob die Hostprüfungsrichtlinien auf Bereichs-, Rollen- oder Ressourcenrichtlinienebene implementiert wurden. Wenn der Benutzer die IVE-Anmeldeseite nach dem Starten von Host Checker und vor dem Anmelden am IVE verlässt, wird Host Checker auf dem Computer des Benutzers ausgeführt, bis der Vorgang durch eine Zeitbegrenzung abgebrochen wird. Erhält das IVE von Host Checker aus unbestimmten Gründen (einschließlich manueller Beendigung von Host Checker durch den Benutzer) keine Ergebnisse, zeigt das IVE eine Fehlermeldung an und fordert den Benutzer auf, zur Anmeldeseite zurückzukehren. Wird von Host Checker ein Ergebnis zurückgegeben, setzt das IVE die Auswertung der Richtlinien auf Bereichsebene fort. 268 Implementieren von Host Checker-Richtlinien Kapitel 11: Host Checker 2. Richtlinien auf Bereichsebene – Anhand der von Host Checker übermittelten Ergebnisse der ersten Auswertung bestimmt das IVE, auf welche Bereiche der Benutzer zugreifen kann. Anschließend zeigt das IVE Bereiche für den Benutzer an bzw. blendet sie aus. Dieser kann sich nur in den Bereichen anmelden, die für die Anmeldeseite aktiviert sind und deren Anforderungen für Host Checker erfüllt sind. Wenn der Benutzer die Anforderungen von Host Checker für keinen der verfügbaren Bereiche erfüllt, wird die Anmeldeseite nicht angezeigt. Stattdessen wird eine Fehlermeldung angezeigt, die darüber informiert, dass der Benutzer keinen Zugriff hat, es sei denn, Sie konfigurieren Hilfsoptionen, mithilfe derer der Benutzer seinen Computer mit den Sicherheitsanforderungen in Einklang bringen kann. Überprüfungen auf Bereichsebene durch Host Checker erfolgen ausschließlich im Zuge der Anmeldung des Benutzers am IVE. Sollte sich der Systemzustand eines Benutzers während einer Sitzung ändern, bleibt der aktuelle Bereich weiterhin sichtbar, ohne dass jedoch Zugriff auf neue Bereiche besteht. 3. Richtlinien auf Rollenebene – Nachdem sich der Benutzer an einem Bereich angemeldet hat, wertet das IVE die Richtlinien auf Rollenebene aus und ordnet den Benutzer der Rolle bzw. den Rollen zu, deren Anforderungen für Host Checker erfüllt sind. Anschließend zeigt das IVE die IVE-Startseite an und aktiviert die für die zugeordnete(n) Rolle(n) zulässigen Optionen. Wenn Host Checker während einer periodischen Auswertung einen anderen Status zurückgibt, ordnet das IVE basierend auf den neuen Ergebnissen den Benutzer neuen Rollen zu. Wenn der Benutzer während einer periodischen Auswertung die Zugriffsrechte für alle verfügbaren Rollen verliert, beendet das IVE die Sitzung des Benutzers, es sei denn, Sie konfigurieren Hilfsoptionen, mit deren Hilfe der Benutzer seinen Computer mit den Sicherheitsanforderungen in Einklang bringen kann. 4. Richtlinien auf Ressourcenebene – Nachdem das IVE dem Benutzer den Zugriff auf die Startseite gewährt hat, kann dieser den Zugriff auf eine Ressource versuchen, die von einer Ressourcenrichtlinie gesteuert wird. In diesem Fall ermittelt das IVE, ob die in der Ressourcenrichtlinie festgelegte Aktion basierend auf dem letzten von Host Checker zurückgegebenen Status ausgeführt werden soll. Wenn Host Checker während einer periodischen Auswertung einen anderen Status zurückgibt, wirkt sich dieser neue Status lediglich auf neue Ressourcen aus, auf die der Benutzer zuzugreifen versucht. Wenn der Benutzer z.B. eine Network Connect-Sitzung gestartet hat, die nächste Hostprüfung auf Ressourcenebene aber fehlschlägt, kann er weiterhin auf die offene Network Connect-Sitzung zugreifen. Das IVE verweigert ihm nur dann den Zugriff, wenn er versucht, eine neue Network Connect-Sitzung zu starten. Bei jedem Versuch, auf eine neue Webressource zuzugreifen oder eine neue Secure Application Manager-, Network Connect- oder Secure Terminal Access-Sitzung zu starten, überprüft das IVE den letzten von Host Checker zurückgegebenen Status. Unabhängig vom Ergebnis verbleibt Host Checker auf dem Client. WindowsBenutzer können den Agent manuell deinstallieren, indem sie im Installationsverzeichnis von Host Checker die Datei uninstall.exe ausführen. Wenn Sie die clientseitige Protokollierung über die Seite System > Log/Monitoring > Client Logs aktivieren, enthält dieses Verzeichnis auch eine Protokolldatei, die das IVE bei jeder Ausführung von Host Checker neu schreibt. Implementieren von Host Checker-Richtlinien 269 Juniper Networks Secure Access – Administratorhandbuch Wenn Sie die dynamische Richtlinienauswertung für Host Checker aktivieren (siehe „Dynamische Richtlinienauswertung“ auf Seite 41), nimmt das IVE bei jeder Änderung des Host Checker-Status eines Benutzers eine Auswertung der auf Bereichsebene implementierten Richtlinien vor. Wenn die dynamische Richtlinienauswertung für Host Checker nicht aktiviert ist, wertet das IVE zwar keine Ressourcenrichtlinien aus, die Authentifizierungsrichtlinie, Rollenzuordnungsregeln und Rolleneinschränkungen werden dennoch bei jeder Änderung des Host Checker-Status eines Benutzers ausgewertet. Konfigurationsanweisungen finden Sie unter „Festlegen von allgemeinen Host Checker-Optionen“ auf Seite 280. Konfigurieren von Host Checker-Einschränkungen So geben Sie Host Checker-Einschränkungen an: 1. Wählen Sie: Authentication > Endpoint Security > Host Checker, und legen Sie globale Optionen für Host Checker fest, die auf alle Benutzer angewendet werden, für die gemäß einer Authentifizierungsrichtlinie, einer Rollenzuordnungsregel oder einer Ressourcenrichtlinie Host Checker erforderlich ist. 2. Gehen Sie folgendermaßen vor, wenn Sie Host Checker auf der Bereichsebene implementieren möchten: a. b. c. 270 Wählen Sie: Administrators > Admin Realms > Bereich auswählen > Authentication Policy > Host Checker Users > User Realms > Bereich auswählen > Authentication Policy > Host Checker Wählen Sie eine der folgenden Optionen für alle verfügbaren Richtlinien oder für einzelne Richtlinien in der Spalte Available Policies aus: Evaluate Policies – Auswertung ohne Durchsetzen der Richtlinie auf dem Client. Benutzerzugriff ist gestattet. Bei dieser Option erfüllt der Benutzer die Zugriffsvoraussetzungen auch dann, wenn Host Checker nicht installiert ist. Require and Enforce – Erfordert und erzwingt die Richtlinie auf dem Client, damit der Benutzer sich im angegebenen Bereich anmelden kann. Hier müssen von Host Checker die festgelegten Host Checker-Richtlinien ausgeführt werden, damit der Benutzer die Zugriffsvoraussetzungen erfüllt. Das IVE muss Host Checker auf den Clientcomputer herunterladen. Wenn Sie diese Option für die Authentifizierungsrichtlinie eines Bereichs auswählen, lädt das IVE Host Checker auf den Clientcomputer herunter, nachdem der Benutzer authentifiziert, aber bevor er Rollen im System zugeordnet wurde. Durch Auswahl dieser Option wird automatisch die Option Evaluate Policies aktiviert. Aktivieren Sie das Kontrollkästchen Allow access to realm if any ONE of the selected „Require and Enforce“ policies is passed, wenn Benutzer nicht alle Anforderungen in allen ausgewählten Richtlinien erfüllen müssen. Stattdessen kann der Benutzer auf den Bereich zugreifen, wenn er die Anforderungen einer ausgewählten Host Checker-Richtlinie erfüllt. Implementieren von Host Checker-Richtlinien Kapitel 11: Host Checker 3. Gehen Sie folgendermaßen vor, wenn Sie Host Checker auf der Rollenebene implementieren möchten: a. b. c. Wählen Sie: Administrators > Admin Roles > Rolle auswählen > General > Restrictions > Host Checker Users > User Roles > Rolle auswählen > General > Restrictions > Host Checker Wählen Sie eine der folgenden Optionen aus: Allow all users – Der Benutzer erfüllt die Zugriffsvoraussetzungen auch dann, wenn Host Checker nicht installiert ist. Allow only users whose workstations meet the requirements specified by these Host Checker policies – Hier müssen von Host Checker die festgelegten Host Checker-Richtlinien ausgeführt werden, damit der Benutzer die Zugriffsvoraussetzungen erfüllt. Aktivieren Sie das Kontrollkästchen Allow access to role if any ONE of the selected „Require and Enforce“ policies is passed, wenn Benutzer nicht alle Anforderungen in allen ausgewählten Richtlinien erfüllen müssen. Stattdessen kann der Benutzer auf die Rolle zugreifen, wenn er die Anforderungen einer ausgewählten Host Checker-Richtlinie erfüllt. 4. Gehen Sie folgendermaßen vor, wenn Sie Rollenzuordnungsregeln basierend auf dem Host Checker-Status eines Benutzers erstellen möchten: a. Wählen Sie: Users > User Realms > Bereich auswählen > Role Mapping. b. Klicken Sie auf New Rule, wählen Sie aus der Liste Rule based on Custom Expressions, und klicken Sie auf Update. Oder wählen Sie zum Aktualisieren einer vorhandenen Regel diese aus der Liste When users meet these conditions aus. c. Klicken Sie auf Expressions. d. Schreiben Sie einen benutzerdefinierten Ausdruck für die Rollenzuordnungsregel, um den Status von Host Checker anhand der Variable hostCheckerPolicy auszuwerten. Hilfe zum Schreiben der benutzerdefinierten Ausdrücke finden Sie in den Tipps im Expressions Dictionary. Siehe auch „Benutzerdefinierte Ausdrücke“ auf Seite 915. e. Wählen Sie im Abschnitt ...then assign these roles die Rollen aus, die das IVE Benutzern zuordnen soll, wenn diese die im benutzerdefinierten Ausdruck angegebenen Anforderungen erfüllen, und klicken Sie auf Add. f. Wählen Sie Stop processing rules when this rule matches, falls das IVE die Auswertung von Rollenzuordnungsregeln beenden soll, wenn der Benutzer die in dieser Regel festgelegten Anforderungen erfüllt. Implementieren von Host Checker-Richtlinien 271 Juniper Networks Secure Access – Administratorhandbuch 5. Gehen Sie folgendermaßen vor, wenn Sie Host Checker auf der Ressourcenrichtlinienebene implementieren möchten: a. Wählen Sie: Users > Resource Policies > Ressource auswählen > Richtlinie auswählen > Detailed Rules. b. Klicken Sie auf New Rule, oder wählen Sie eine vorhandene Regel aus der Liste Detailed Rules aus. c. Schreiben Sie einen benutzerdefinierten Ausdruck für die detaillierte Regel, um den Status von Host Checker anhand der Variable hostCheckerPolicy auszuwerten. Hilfe zum Schreiben der benutzerdefinierten Ausdrücke finden Sie in den Tipps im Conditions Dictionary. Siehe auch „Benutzerdefinierte Ausdrücke“ auf Seite 915. Mit diesen Optionen können Sie steuern, welche Version einer Anwendung oder eines Dienstes auf Clientcomputern ausgeführt wird. Korrigieren von Host Checker-Richtlinien Bei der Definition einer Richtlinie für Host Checker können Sie Hilfsoptionen festlegen, die Host Checker anbieten soll, wenn ein Benutzercomputer die Anforderungen der Richtlinie nicht erfüllt. Sie können beispielsweise das IVE so konfigurieren, dass dem Benutzer eine Hilfsoptionsseite angezeigt wird, die Ihre speziellen Anweisungen und Links zu Ressourcen enthält, mit deren Hilfe der Benutzer den Computer mit den Anforderungen der Host Checker-Richtlinie in Einklang bringen kann. So kann dem Benutzer eine Hilfsoptionsseite angezeigt werden, die z.B. die folgenden Anweisungen und den folgenden Link enthält: Your computer's security is unsatisfactory. Your computer does not meet the following security requirements. Please follow the instructions below to fix these problems. When you are done click Try Again. If you choose to Continue without fixing these problems, you may not have access to all of your intranet servers. 1. TrendMicro Instructions: You do not have the latest signature files. Click here to download the latest signature files. Sie können für jede Host Checker-Richtlinie zwei Arten von Hilfsoptionen konfigurieren: 272 User-driven – Mithilfe benutzerdefinierter Anweisungen kann der Benutzer über die fehlgeschlagene Richtlinie und darüber, wie er den Computer mit der Richtlinie in Einklang bringen kann, informiert werden. Die nötigen Schritte für eine erfolgreiche Neuauswertung der fehlgeschlagenen Richtlinie müssen vom Benutzer vorgenommen werden. Sie können beispielsweise eine benutzerdefinierte Seite mit einem Link zu einem Richtlinienserver oder einer Webseite erstellen, auf der der Benutzer den Computer mit der Richtlinie in Einklang bringen kann. Korrigieren von Host Checker-Richtlinien Kapitel 11: Host Checker Automatic (system-driven) – Host Checker kann so konfiguriert werden, dass die Hilfsoptionen für den Benutzercomputer automatisch ausgeführt werden. Sie können z.B. Prozesse beenden, Dateien löschen oder eine andere Richtlinie starten, wenn die ursprüngliche Richtlinie fehlschlägt. Unter Windows kann auch die API-Funktion HCIF_Module.Remediate () als Teil einer J.E.D.I.-DLL aufgerufen werden. Host Checker informiert Benutzer nicht über automatisch vorgenommene Aktionen. (Sie können natürlich Informationen über automatische Aktionen in Ihre benutzerdefinierten Anweisungen mit aufnehmen.) Diese Hilfsoptionen können sowohl in Client- als auch in Serverrichtlinien aktiviert werden. Konfigurationsanweisungen finden Sie unter „Erstellen und Konfigurieren neuer clientseitiger Richtlinien“ auf Seite 245 oder „Aktivieren angepasster serverseitiger Richtlinien“ auf Seite 258. Host Checker-Hilfsoptionen für Benutzer Die Hilfsoptionsseite wird in folgenden Situationen angezeigt: Vor der Anmeldung: Haben Sie benutzerdefinierte Anweisungen für fehlgeschlagene Richtlinien aktiviert, zeigt das IVE dem Benutzer die Hilfsoptionsseite an. Der Benutzer hat zwei Möglichkeiten: Er ergreift die geeigneten Maßnahmen, um den Computer mit der Richtlinie in Einklang zu bringen, und klickt anschließend auf der Hilfsoptionsseite auf die Schaltfläche Try Again. Host Checker prüft erneut, ob der Computer des Benutzers die Richtlinie erfüllt. Er nimmt keine Änderungen vor und klickt auf die Schaltfläche Continue, um sich beim IVE anzumelden. Er kann nicht auf den Bereich, die Rolle oder die Ressource zugreifen, welche die Erfüllung der gescheiterten Richtlinie erfordert. HINWEIS: Wenn Sie für das IVE nicht wenigstens einen Bereich konfigurieren, für den keine Erfüllung einer Host Checker-Richtlinie erzwungen wird, muss der Benutzer seinen Computer erst mit den erzwungenen Richtlinien in Einklang bringen, bevor er sich beim IVE anmeldet. Wenn Sie keine benutzerdefinierten Anweisungen für fehlgeschlagene Richtlinien aktiviert haben, zeigt Host Checker dem Benutzer die Hilfsoptionsseite nicht an. Stattdessen zeigt das IVE die Anmeldeseite an, verweigert dem Benutzer aber den Zugriff auf sämtliche Bereiche, Rollen oder Ressourcen mit einer gescheiterten Host Checker-Richtlinie. Nach dem Anmelden: (nur Windows) Wenn der Windows-Computer eines Benutzers während einer Sitzung nicht mehr den Richtlinienanforderungen von Host Checker entspricht, wird ein Symbol auf der Taskleiste angezeigt, und eine Popupmeldung wird eingeblendet, die den Benutzer von der Nichterfüllung in Kenntnis setzt. Der Benutzer kann auf die Popupmeldung klicken, um die Hilfsoptionsseite anzuzeigen. Korrigieren von Host Checker-Richtlinien 273 Juniper Networks Secure Access – Administratorhandbuch (Macintosh oder Linux) Wenn der Macintosh- oder Linux-Computer eines Benutzers während einer Sitzung nicht mehr den Richtlinienanforderungen von Host Checker entspricht, zeigt das IVE die Hilfsoptionsseite an, um den Benutzer von der Nichterfüllung in Kenntnis zu setzten. HINWEIS: Wenn der Benutzer die Hilfsoptionsseite mithilfe seiner persönlichen Einstellungen ausblendet, kann er nur dann über den sicheren Gateway fortfahren, wenn Sie andere Bereiche und Rollen konfigurieren, die keine Host Checker-Richtlinie erzwingen. Konfigurieren der Host Checker-Hilfsoption Bei der Definition einer Richtlinie für Host Checker können Sie Hilfsoptionen festlegen, die Host Checker anbieten soll, wenn ein Benutzercomputer die Anforderungen der Richtlinie nicht erfüllt. Sie können beispielsweise das IVE so konfigurieren, dass dem Benutzer eine Hilfsoptionsseite angezeigt wird, die Ihre speziellen Anweisungen und Links zu Ressourcen enthält, mit deren Hilfe der Benutzer den Computer mit den Anforderungen der Host Checker-Richtlinie in Einklang bringen kann. So legen Sie Korrekturaktionen für eine Host Checker-Richtlinie fest: 1. Wählen Sie in der Administratorkonsole Authentication > Endpoint Security > Host Checker. 2. Erstellen bzw. aktivieren Sie Host Checker-Richtlinien mithilfe der Anweisungen in einem der beiden folgenden Abschnitte: „Erstellen und Konfigurieren neuer clientseitiger Richtlinien“ auf Seite 245 „Aktivieren angepasster serverseitiger Richtlinien“ auf Seite 258 3. Legen Sie die Korrekturaktionen fest, die Host Checker ausführen soll, wenn der Computer eines Benutzers nicht den Anforderungen der aktuellen Richtlinie entspricht: Enable Custom Instructions – Geben Sie die Anweisungen ein, die auf der Host Checker-Hilfsoptionsseite für den Benutzer angezeigt werden sollen. Sie können den Text mit den folgenden HTML-Tags formatieren und Links zu Ressourcen hinzufügen, z.B. Richtlinienservern oder Websites: <i>, <b>, <br>, <font> und <a href>. Beispiel: Sie verfügen nicht über die aktuellsten Signaturdateien. <a href="www.company.com">Klicken Sie hier, um die neuesten Signaturdateien herunterzuladen.</a> 274 Korrigieren von Host Checker-Richtlinien Kapitel 11: Host Checker HINWEIS: Wenn Sie für Windows-Clients einen Link zu einem IVE-geschützten Richtlinienserver in die Anweisungen einfügen, müssen Sie einen Zugriffstunnel für Vorauthentifizierungen definieren. Informationen hierzu finden Sie unter „Festlegen von Host Checker-Zugriffstunneldefinitionen für die Vorauthentifizierungen“ auf Seite 277. Evaluate other policies – Sie können alternative Richtlinien auswählen, die Host Checker auswertet, wenn der Computer des Benutzers die aktuellen Richtlinienanforderungen nicht erfüllt. Wenn ein Benutzer z.B. versucht, über einen externen Clientcomputer (z.B. einen Kiosk) auf das IVE zuzugreifen, können Sie mit dieser Option festlegen, dass eine andere Richtlinie ausgewertet wird, gemäß derer der Benutzer in einer Sygate Virtual Desktop-Umgebung auf das IVE zugreifen muss. Wählen Sie in der Liste HC Policies die alternative Richtlinie aus, und klicken Sie anschließend auf Add. HINWEIS: Wenn Sie für eine alternative Richtlinie ebenfalls eine eigene alternative Richtlinie konfigurieren, wertet Host Checker diese alternative Richtlinie auf „sekundärer Ebene“ nicht für die aktuelle Richtlinie aus. Host Checker wertet also nur eine alternative Richtlinie pro Transaktion aus. Remediate (nur Drittanbieter-DLLs) – Mit dieser Option können Sie über die API-Funktion Remediate () in einer J.E.D.I.-DLL eines Drittanbieters festgelegte Korrekturaktionen ausführen. Weitere Informationen finden Sie im J.E.D.I. Solution Guide im Juniper Networks Customer Support Center. Kill Processes – Geben Sie in jeder Zeile den Namen der Prozesse ein, die beendet werden sollen, wenn der Computer des Benutzers nicht den Richtlinienanforderungen entspricht. Sie können eine optionale MD5Prüfsumme für den Prozess hinzufügen. (Platzhalter sind nicht zulässig für die Prozessnamen.) Beispiel: keylogger.exe MD5: 6A7DFAF12C3183B56C44E89B12DBEF56 Delete Files – Geben Sie die Namen der Dateien ein, die gelöscht werden sollen, wenn der Computer des Benutzers nicht den Richtlinienanforderungen entspricht. (Platzhalter sind nicht zulässig für die Dateinamen.) Geben Sie einen Dateinamen pro Zeile ein. Beispiel: c:\temp\bad-file.txt /temp/bad-file.txt 4. Klicken Sie auf Save Changes. Korrigieren von Host Checker-Richtlinien 275 Juniper Networks Secure Access – Administratorhandbuch Definieren von Host Checker-Zugriffstunnel für die Vorauthentifizierungen Wenn Ihre Richtlinien Host Checker-Regeln oder J.E.D.I.-DLLs von Drittanbietern für den Zugriff auf einen Richtlinienserver (oder eine andere Ressource) erfordern, um die Einhaltung der Sicherheitsanforderungen vor der Authentifizierung der Benutzer zu prüfen, können Sie mithilfe einer der folgenden Methoden die Ressource für die Windows-Clients von Host Checker verfügbar machen: Stellen Sie den Richtlinienserver in einer DMZ bereit, in der Host CheckerRegeln oder J.E.D.I.-DLLs von Drittanbietern direkten Zugriff auf den Server haben und nicht über das IVE zugreifen müssen – Diese Bereitstellung ist die einfachste Lösung, da Sie keinen Host Checker-Zugriffstunnel für die Vorauthentifizierungen definieren müssen, der die Verbindung zwischen den Clients und dem Richtlinienserver über das IVE herstellt. Stellen Sie den Richtlinienserver in einer geschützten Zone hinter dem IVE bereit (nur Windows) – Für diese Art der Bereitstellung müssen Sie einen Zugriffstunnel für Vorauthentifizierungen definieren. Ein Zugriffstunnel für Vorauthentifizierungen ermöglicht Host Checker-Regeln oder J.E.D.I. DLLs von Drittanbietern den Zugriff auf den geschützten IVE-Richtlinienserver oder die Ressource, bevor Benutzer vom IVE authentifiziert werden. Zur Definition eines Zugriffstunnels für die Vorauthentifizierungen ordnen Sie der IP-Adresse und dem Port des Richtlinienservers eine Loopbackadresse (oder einen Hostnamen) und einen Port des Clients zu. Fügen Sie eine oder mehrere Tunneldefinitionen einer Datei mit dem Namen MANIFEST.HCIF hinzu, und laden Sie diese anschließend auf das IVE hoch. Sie können mehrere MANIFEST.HCIF-Dateien auf das IVE hochladen. Für alle in einem Bereich aktiven Richtlinien von Drittanbietern erzeugt Host Checker Tunnel für alle Tunneldefinitionen der MANIFEST.HCIF-Dateien, unter der Annahme, dass die Definitionen eindeutig sind. Konfigurationsanweisungen finden Sie unter „Hochladen eines Host Checker-Richtlinienpakets in das IVE“ auf Seite 258. Während des Betriebs auf einem Windows-Client prüft Host Checker alle von Ihnen in den Tunneldefinitionen festgelegten Loopbackadressen und Ports auf eine Verbindung. Verbindungen können durch die integrierten Host Checker-Regeln und durch Client- oder Server-J.E.D.I. DLLs zustande kommen. Host Checker verwendet Zugriffstunnel für Vorauthentifizierungen zur Weiterleitung der Verbindungen über das IVE an die/den Richtlinienserver oder andere Ressourcen. 276 Definieren von Host Checker-Zugriffstunnel für die Vorauthentifizierungen Kapitel 11: Host Checker Abbildung 34: Host Checker erzeugt einen Tunnel von einem Client zu einem Richtlinienserver hinter dem IVE. HINWEIS: Host Checker-Zugriffstunnel für Vorauthentifizierungen werden nur unter Windows unterstützt. Festlegen von Host Checker-Zugriffstunneldefinitionen für die Vorauthentifizierungen Für Windows-Clients können Sie einen Tunnel für den Zugriff vor der Authentifizierung festlegen, der Host Checker-Methoden oder J.E.D.I.-DLLs von Drittanbietern vor der Authentifizierung von Benutzern den Zugriff auf einen IVEgeschützten Richtlinienserver (oder eine andere Ressource) ermöglicht. Eine Definition für einen Host Checker-Zugriffstunnel für Vorauthentifizierungen konfiguriert den Zugriff auf einen Richtlinienserver oder eine andere Ressource. Jede Tunneldefinition besteht aus einem Paar von IP-Adressen und Ports: einer Loopback-IP-Adresse und einem Port auf dem Client und einer IP-Adresse und einem Port auf dem Richtlinienserver. Tunneldefinitionen werden in einer Paketdefinitionsdatei für Host CheckerRichtlinien festgelegt. Diese Paketdefinitionsdatei, die den Namen MANIFEST.HCIF erhalten muss, definiert den Namen einer Schnittstellen-DLL, die in der DLL definierten Host Checker-Richtlinien und die Zugriffstunneldefinitionen für die Vorauthentifizierungen. Wenn das Paket keine Richtlinien enthält, erzwingt Host Checker lediglich die Ausführung des Pakets auf dem Client. Wenn Sie Richtlinien über diese Datei deklarieren, sind die Richtlinien in der -Administratorkonsole verfügbar und können auf der Bereichs-, Rollen- oder Ressourcenebene implementiert werden. In der Datei MANIFEST.HCIF muss eine Definition auf jeweils einer Zeile eingegeben werden, und die einzelnen Definitionen müssen durch eine leere Zeile getrennt werden. Verwenden Sie das folgende Format: HCIF-Main : <DLL-Name> HCIF-Policy : <Richtlinienname> HCIF-IVE-Tunnel: <Client-Loopback>:port <Richtlinienserver>:port Definieren von Host Checker-Zugriffstunnel für die Vorauthentifizierungen 277 Juniper Networks Secure Access – Administratorhandbuch Dabei ist: <DLLName> der Name der Schnittstellen-DLL, z.B. myPestPatrol.dll. Auch wenn Sie keine Schnittstellen-DLL verwenden, müssen Sie eine Dummy-DLL als Platzhalterdatei mit genau diesem Namen angeben. <PolicyName> der Name der in der DLL definierten Richtlinie, z.B. myFileCheck. Sie können mehrere Richtlinien definieren, indem Sie für jede Richtlinie die HCIF-PolicyAnweisung verwenden. Wenn Sie keine Schnittstellen-DLL verwenden, können Sie einen beliebigen Richtliniennamen als Platzhalter angeben. Die Syntax einer Host Checker-Tunneldefinition lautet wie folgt: HCIF-IVE-Tunnel: <Client-Loopback>:port <Richtlinienserver>:port Dabei ist: <client-loopback> eine Loopbackadresse, die mit 127. beginnt und in einer der folgenden Formen angegeben wird: Eine IP-Adresse und ein Port im Format 127.*.*.*:port. Um Konflikte mit JSAM zu vermeiden, sollte 127.0.0.1 nicht mit Port 80 verwendet werden, 127.0.0.1 kann jedoch mit anderen Ports verwendet werden. Beispiel: 127.0.0.1:3220 Ein Hostname, der in eine mit 127 beginnende Loopbackadresse aufgelöst wird. Sie können zum Auflösen der Loopbackadresse eine lokale Hostdatei auf jedem Clientcomputer oder einem DNS-Server verwenden. Ein Hostname, der nicht zu einer Loopbackadresse aufgelöst wird oder zu einer Nicht-Loopbackadresse aufgelöst wird. In diesen Fällen ordnet Host Checker eine Loopbackadresse zu, und die lokale Hostdatei auf dem Client wird mit der Zuordnung aktualisiert. Der Benutzer muss Administratorrechte besitzen, damit Host Checker die lokale Hostdatei ändern kann. Wenn der Benutzer nicht über Administratorrechte verfügt, kann Host Checker die Hostdatei nicht aktualisieren und den Tunnel für den Zugriff vor der Authentifizierung nicht öffnen. In diesem Fall zeichnet Host Checker einen Fehler im Protokoll auf. <policy-server> ist die IP-Adresse oder der Hostname des Back-End- Richtlinienservers. Das IVE löst den von Ihnen angegebenen Hostnamen auf. In der folgenden Tunneldefinition gibt 127.0.0.1:3220 z.B. die Loopbackadresse und den Port des Clients an, und mysygate.company.com:5500 steht für den Hostnamen und Port des Richtlinienservers: HCIF-IVE-Tunnel: 127.0.0.1:3220 mysygate.company.com:5500 Sie können auch wie im folgenden Beispiel einen Hostnamen für den Client verwenden: HCIF-IVE-Tunnel: mysygate.company.com:3220 278 Definieren von Host Checker-Zugriffstunnel für die Vorauthentifizierungen mysygate.company.com:5500 Kapitel 11: Host Checker Beachten Sie beim Festlegen von Tunneldefinitionen Folgendes: Sie müssen eine leere Zeile zwischen den einzelnen Definitionszeilen in der Datei MANIFEST.HCIF hinzufügen, und Sie können Kommentare durch ein Semikolon am Zeilenanfang kennzeichnen. Beispiel: HCIF-Main : myPestPatrol.dll HCIF-Policy : myFileCheck HCIF-Policy : myPortCheck ; Tunneldefinitionen HCIF-IVE-Tunnel: 127.0.0.1:3220 mysygate.company.com:5500 HCIF-IVE-Tunnel: 127.1.1.1:3220 mysygate2.company.com:5500 HCIF-IVE-Tunnel: mysygate.company.com:3220 mysygate3.company.com:5500 Host Checker-Zugriffstunnel für Vorauthentifizierungen werden nur unter Windows unterstützt. Wenn <client-loopback> eine Nicht-Loopbackadresse ist, kann Host Checker den Zugriffstunnel für Vorauthentifizierungen nicht öffnen, und stattdessen wird ein Fehler ausgegeben. Wenn Sie eine andere Loopbackadresse als 127.0.0.1 verwenden (z.B. 127.0.0.2 und höher), müssen Clients mit Windows XP Service Pack 2 den Hotfix für XP SP2 installieren. Siehe: http://support.microsoft.com/default.aspx?scid=kb;en-us;884020 HINWEIS: Beim Bereitstellen einer client- oder serverseitigen Drittanbieter-DLL ist Folgendes zu beachten: Dekomprimieren Sie das Paket mit der serverseitigen Drittanbieter-DLL, und fügen Sie der Datei MANIFEST.HCIF Tunneldefinitionen mit den Richtlinien für die Drittanbieter-DLL hinzu. (Die DLL muss die in der Datei MANIFEST.HCIF angegebene <client-loopback> -Adresse und den gleichen Port oder Hostnamen verwenden.) Da ein Zugriffstunnel für Vorauthentifizierungen nur während der Ausführung von Host Checker geöffnet ist, kann eine Drittanbieter-DLL nur dann auf den IVEgeschützten Richtlinienserver zugreifen, wenn Host Checker ausgeführt wird. Stellt eine Drittanbieter-DLL die Verbindung mit ihrem Richtlinienserver mittels HTTPS und über einen korrekt in die Loopbackadresse aufgelösten Hostnamen her, werden keine Serverzertifikatswarnungen angezeigt. Wenn die DrittanbieterDLL die Verbindung jedoch explizit über eine Loopbackadresse herstellt, werden Serverzertifikatswarnungen angezeigt, da der Hostname im Zertifikat nicht mit der Loopbackadresse übereinstimmt. (Der Entwickler der Drittanbieter-DLL kann die DLL so konfigurieren, dass sie diese Warnungen ignoriert.) Weitere Informationen zu Drittanbieter-DLLs finden Sie im J.E.D.I. Solution Guide im Juniper Networks Customer Support Center. Definieren von Host Checker-Zugriffstunnel für die Vorauthentifizierungen 279 Juniper Networks Secure Access – Administratorhandbuch Festlegen von allgemeinen Host Checker-Optionen Sie können globale Optionen für Host Checker festlegen, die auf alle Benutzer angewendet werden, für die gemäß einer Authentifizierungsrichtlinie, einer Rollenzuordnungsregel oder einer Ressourcenrichtlinie Host Checker erforderlich ist. So legen Sie allgemeine Host Checker-Optionen fest: 1. Wählen Sie in der Administratorkonsole Authentication > Endpoint Security > Host Checker. 2. Gehen Sie unter Options folgendermaßen vor: Geben Sie im Feld Perform check every X minutes das Intervall an, in dem Host Checker auf einem Clientcomputer die Richtlinienauswertung durchführen soll. Wenn der Clientcomputer die in einer Rolle oder Ressourcenrichtlinie definierten Anforderungen der Host Checker-Richtlinien nicht erfüllt, verweigert das IVE die entsprechenden Benutzeranfragen. Beispielsweise kann verlangt werden, dass ein Benutzer eine bestimmte Antivirenanwendung eines Drittanbieters ausführt, um Rolle A zugeordnet zu werden, wodurch Netzwerkverbindungen von einem externen Standort aktiviert werden. Wenn bei der Anmeldung des Benutzers beim IVE auf dem Clientcomputer des Benutzers die erforderliche Antivirenanwendung ausgeführt wird, wird der Benutzer Rolle A zugeordnet und erhält sämtliche zugehörigen Zugriffsmöglichkeiten. Wenn aber die Antivirenanwendung während der Benutzersitzung beendet wird, erfüllt der Benutzer bei der nächsten Ausführung von Host Checker die Sicherheitsanforderungen für Rolle A nicht mehr und verliert deshalb sämtliche Zugriffsberechtigungen für diese Rolle. Wenn sich ein Endbenutzer bei einem Bereich anmeldet, führt Host Checker eine erste Richtlinienüberprüfung durch, unabhängig davon, ob die Richtlinie auf Bereichs-, Rollen- und/oder Ressourcenebene durchgesetzt wird. Die erste Richtlinienüberprüfung erzeugt eine Startzeit. Host Checker wertet die Richtlinien in der durch die Option Perform check every X minutes festgelegten Häufigkeit aus, beginnend mit der Uhrzeit der ersten Richtlinienüberprüfung. Obwohl die Häufigkeitseinstellung global für alle Host Checker-Richtlinienüberprüfungen festgelegt ist, wird sie nicht für alle mit dem IVE verbundenen Endbenutzer-Clients synchronisiert. Jeder Client führt eine eigene erste Richtlinienüberprüfung durch und beginnt dann einen eigenen Countdown mit der festgelegten Häufigkeit. Wenn Sie die Authentifizierungsrichtlinie in einem Bereich konfigurieren, in dem Host Checker Richtlinien durchsetzt (im Vergleich zur Installation), findet das Durchsetzen von Richtlinien nur während der Vorauthentifizierungenphase statt. Nach der Anmeldung eines Endbenutzers und während der Dauer der Benutzersitzung haben nachfolgende Host Checker-Richtlinienüberprüfungen keine Auswirkungen auf den Bereichszugriff. Dies bedeutet, dass keine Endbenutzersitzungen aus einem Bereich entfernt werden, nachdem sich ein Endbenutzer erfolgreich bei diesem Bereich authentifiziert hat. 280 Festlegen von allgemeinen Host Checker-Optionen Kapitel 11: Host Checker Wenn Sie eine Rolleneinschränkung konfigurieren, bei der Host Checker Richtlinien durchsetzt, wird dieses Durchsetzen von Richtlinien direkt nach der Authentifizierung bei der Rollenzuordnung durchgeführt. Die Rolleneinschränkungen werden regelmäßig in bestimmten Intervallen während der Endbenutzersitzung durchgesetzt. Dieses Intervall wird mithilfe der Häufigkeitseinstellung von Host Checker festgelegt. Wenn die Host Checker-Auswertung bei dem Endbenutzer während der Rollenzuordnung erfolgreich ist, jedoch einige Minuten (durch die Häufigkeitseinstellung bestimmt) nach der Anmeldung fehlschlägt, verliert dieser Benutzer die Rechte für diese Rolle. Wenn der Endbenutzer die Zugriffsrechte für alle verfügbaren Rollen aufgrund der Host CheckerRichtlinienauswertung verliert, wird die Sitzung des Benutzers beendet. Wenn Sie eine ressourcenbasierte Richtlinienregel erstellen, bei der Host Checker Richtlinien durchsetzt, wird dieses Durchsetzen von Richtlinien beim ersten Zugriff des Endbenutzers auf den Ressourcen-/Back-End-Server ausgeführt. Bei Webressourcen wird die Host Checker-Auswertung bei jeder Anforderung durchgeführt. Bei SAM- und STA-Ressourcen wird die Host Checker-Auswertung ausgeführt, wenn das IVE die Verbindung zur/zum Back-End-Anwendung/Server aktiviert. Beim Zugriff auf Network Connect wird die Host Checker-Auswertung ausgeführt, wenn das IVE Network Connect initiiert. Vorhandene Verbindungen von Anwendungen über SAM, Telnet-/SSH-Verbindungen und Network Connect-Verbindungen sind von weiteren Host Checker-Auswertungen nicht betroffen. Diese betreffen nur neue Webanforderungen, neue Anwendungen über SAM, neue STAInstanzen, und den Start von Network Connect. Die Host CheckerAuswertung basiert auf der letzten Richtlinienüberprüfung, die vor einer festgelegten Anzahl von Minuten erfolgte. Beispiel: Wenn die Häufigkeitseinstellung auf Perform check every five minutes festgelegt ist, und der Endbenutzer vier Minuten nach der letzten Überprüfung versucht, auf eine geschützte Ressource zuzugreifen oder Network Connect zu starten, basiert die Richtlinienauswertung auf dem Status des Clientcomputers von vor vier Minuten und nicht auf dem Zeitpunkt, als der Benutzer den Zugriffsversuch auf die Ressource unternommen hat. HINWEIS: Die Funktion Perform check every X minutes wird für zukünftige Versionen des IVE abgelehnt. Das Problem bei dieser Funktion ist, dass der Hersteller ein Produkt möglicherweise nicht im festgelegten Zeitrahmen freigegeben hat. Dadurch schlägt die Host Checker-Auswertung fehl, ohne dass dieses Problem behoben werden kann. HINWEIS: Wenn Sie einen Wert von Null eingeben, wird Host Checker, wenn sich der Benutzer erstmals an IVE anmeldet. Geben Sie für die Option Client-side process, login inactivity timeout ein Intervall für das Steuern der Zeitüberschreitung in den folgenden Fällen an: Wenn der Benutzer die IVE-Anmeldeseite nach dem Starten von Host Checker und vor dem Anmelden am IVE verlässt, wird Host Checker auf dem Computer des Benutzers für die Dauer des von Ihnen festgelegten Intervalls ausgeführt. Festlegen von allgemeinen Host Checker-Optionen 281 Juniper Networks Secure Access – Administratorhandbuch Erhöhen Sie beim Herunterladen von Host Checker über eine langsame Verbindung das Intervall, damit ausreichend Zeit für das Ausführen dieses Vorgangs zur Verfügung steht. HINWEIS: Konfigurieren Sie die Option Client-side process, login inactivity timeout für Host Checker und Cache Cleaner, verwendet das IVE die Einstellung für die Zeitüberschreitung mit dem höheren Wert. Wählen Sie Perform dynamic policy reevaluation, um die Rollen einzelner Benutzer durch die Aktivierung der dynamischen Richtlinienauswertung von Host Checker automatisch zu aktualisieren. Host Checker kann das IVE veranlassen, bei jeder Änderung des Host Checker-Status eines Benutzers Ressourcenrichtlinien auszuwerten. (Wenn Sie diese Option nicht aktivieren, wertet das IVE Ressourcenrichtlinien nicht aus, es wertet aber die Authentifizierungsrichtlinien, Rollenzuordnungsregeln und Rolleneinschränkungen aus, sobald sich der Host Checker-Status eines Benutzers ändert.) Weitere Informationen finden Sie unter „Dynamische Richtlinienauswertung“ auf Seite 41. 3. Klicken Sie auf Save Changes. Angeben von Installationsoptionen für Host Checker Wenn Sie eine Richtlinie auf einer Bereichs-, Rollen- oder Ressourcenrichtlinienebene implementieren, für die Host Checker erforderlich ist, müssen Sie einen Mechanismus bereitstellen, anhand dessen das IVE oder der Benutzer Host Checker auf dem Clientcomputer installieren kann. Andernfalls steht der Host Checker-Client beim Überprüfen der Host Checker-Richtlinie für eine Rückmeldung zum IVE nicht zur Verfügung, sodass dem Computer des Benutzers der Zugriff verweigert wird. Für die Installation von Host Checker auf dem System eines Benutzers stehen zwei Methoden zu Auswahl: Das IVE installiert Host Checker automatisch – Aktivieren Sie die automatische Installation über die Seite Users/Administrators > User Realms/Administrator Realms > [Bereich] > Authentication Policy > Host Checker der Administratorkonsole. (Konfigurationsanweisungen finden Sie unter „Konfigurieren von Host Checker-Einschränkungen“ auf Seite 270.) In diesem Fall wertet das IVE die Option auf Bereichsebene aus, sobald der Benutzer auf die IVE-Anmeldeseite zugreift, und überprüft, ob die aktuelle Version von Host Checker auf dem Computer des Benutzers installiert ist. Wenn Host Checker nicht installiert ist, versucht das IVE die Installation mithilfe der ActiveX- oder Java-Übertragungsmethode. Wenn sich ein Windows-Benutzer am IVE anmeldet, versucht das IVE, ein ActiveX-Steuerelement auf dem Benutzersystem zu installieren. Wurde das ActiveX-Steuerelement erfolgreich installiert, verwaltet das Steuerelement die Installation von Host Checker. 282 Angeben von Installationsoptionen für Host Checker Kapitel 11: Host Checker Kann das IVE das ActiveX-Steuerelement nicht installieren, da ActiveX im System des Benutzers deaktiviert ist, führt das IVE die Installation von Host Checker mithilfe von Java aus. Auf Macintosh- und Linux-Hosts verwendet das IVE immer die Java-Übertragungsmethode. Die Java-Übertragungsmethode benötigt nur Benutzerberichtigungen; allerdings muss Java auf dem System des Benutzers aktiviert sein. Für den Firefox-Browser unter Linux müssen Java Runtime und Java-Plug-In installiert sein. Kann das IVE die Java-Übertragungsmethode nicht verwenden, da Java deaktiviert ist, zeigt das IVE eine Fehlermeldung an. Der Benutzer oder Administrator installiert Host Checker manuell (nur Windows) – Laden Sie das Host Checker-Installationsprogramm von der Seite Maintenance > System > Installers der Administratorkonsole herunter, und installieren Sie damit Host Checker manuell auf dem System des Benutzers. HINWEIS: Zum Installieren von Host Checker benötigen Benutzer, wie im Juniper Networks Customer Support Center im Client-side Changes Guide beschrieben, entsprechende Berechtigungen. Besitzt der Benutzer diese Berechtigungen nicht, müssen Sie zum Umgehen dieser Anforderung den Juniper Installer Service verwenden, der Ihnen auf der Seite Maintenance > System > Installers der Administratorkonsole zur Verfügung steht. Verwendung von Host Checker mit der automatischen GINA-Anmeldefunktion Die Verwendung von Host Checker zusammen mit der automatischen GINA (Graphical Identification and Authorization)-Anmeldefunktion von Windows für Network Connect erfordert besondere Aufmerksamkeit bei Typ, Ebene und Anzahl der auf dem Client zu überprüfenden Elemente, bevor der Zugriff auf das IVE gewährt oder verweigert wird. Da die GINA-Anmeldefunktion vor dem vollständigen Start von Windows auf dem Client ausgeführt wird, empfehlen wir vor dem Erstellen des Benutzerprofils unter Windows die folgenden Vorgehensweisen beim Erstellen von Host Checker-Richtlinien, die Sie auf die GINA-Anmeldefunktion verwendende Windows-Clients einsetzen möchten: Sie können Prozesse auf Systemebene bei Bereichsdurchsetzung und Bereichsauswertung überprüfen. Sie können Prozesse auf Benutzerebene nur bei Bereichsauswertung überprüfen. Wenn Sie über Prozesse auf Benutzerebene bei Bereichsauswertung verfügen, erstellen Sie eine separate Network Connect-Rolle mit Richtlinienüberprüfungen ausschließlich auf Systemebene, die vor dem Starten des Clients ausgeführt werden können. Stellen Sie sicher, dass diese Rolle die Verbindung zur Windows-Domäneninfrastruktur in Ihrem gesicherten Netzwerk zulässt, damit beispielsweise Laufwerkzuordnung, Softwareaktualisierungen und Gruppenrichtlinien unterstützt werden. Durch die Zuordnung der Benutzer zu dieser Rolle kann die GINA-Authentifizierung abgeschlossen werden. Diese Rolle ist zusätzlich zur endgültigen Rolle vorhanden, der der Benutzer zugeordnet werden soll. HINWEIS: Weitere Informationen über die automatische GINA-Anmeldefunktion finden Sie unter „Automatisches Anmelden bei Network Connect mithilfe von GINA“ auf Seite 567. Angeben von Installationsoptionen für Host Checker 283 Juniper Networks Secure Access – Administratorhandbuch Automatische Installation von Host Checker Sie installieren Sie Host Checker automatisch auf Clientcomputer: 1. Wählen Sie in der Administratorkonsole Authentication > Endpoint Security > Host Checker. 2. Wählen Sie unter Options die Option Auto-upgrade Host Checker, damit das IVE die Host Checker-Anwendung automatisch auf einen Clientcomputer herunterlädt, wenn die Host Checker-Version auf dem IVE neuer ist als die auf dem Client installierte Version. Beachten Sie bei Auswahl dieser Option Folgendes: Unter Windows muss der Benutzer Administratorrechte besitzen, damit das IVE die Host Checker-Anwendung automatisch auf dem Client installiert. Weitere Informationen finden Sie im Client-side Changes Guide im Juniper Networks Customer Support Center. Wenn ein Benutzer Host Checker deinstalliert und sich anschließend bei einem IVE anmeldet, für das die Option Auto-upgrade Host Checker nicht aktiviert ist, kann er nicht mehr auf Host Checker zugreifen. 3. Klicken Sie auf Save Changes. Manuelle Installation von Host Checker Auf der Seite Maintenance > System > Installers der Administratorkonsole finden Sie zahlreiche Anwendungen und Dienste zum Herunterladen. Sie können Anwendungen oder Dienste als ausführbare Windows-Datei herunterladen, mit der Sie folgende Möglichkeiten haben: Verteilen der Datei auf mehrere Clientcomputer mithilfe von Softwareverteilungstools. Mit dieser Option können Sie Anwendungen oder Dienste auf Clientcomputern installieren, deren Benutzer nicht über die zum Installieren von Anwendungen oder Diensten erforderlichen Administratorberechtigungen verfügen. Bereitstellen der ausführbaren Datei in einem sicheren Repository, damit Benutzer mit den erforderlichen Administratorrechten die richtige Version herunterladen und installieren können. Herunterladen und Ausführen eines Skripts,das automatisch die richtige Version des Installationsprogramms von einem FTP-Server abruft. Verwenden der Host Checker-Protokolle Aktivieren Sie mithilfe der Registerkarte System > Log/Monitoring > Client Logs > Settings die clientseitige Protokollierung für Host Checker. Wenn Sie diese Option für eine Funktion aktivieren, schreibt das IVE ein clientseitiges Protokoll für jeden Client, der Host Checker verwendet. Bei jedem Aufruf dieser Funktion in nachfolgenden Benutzersitzungen fügt das IVE Informationen zur Protokolldatei hinzu. Diese Funktion ist bei der Zusammenarbeit mit dem Support-Team nützlich, um mit der entsprechenden Funktion zusammenhängende Probleme zu debuggen. 284 Verwenden der Host Checker-Protokolle Kapitel 11: Host Checker HINWEIS: Da diese Einstellungen global sind, schreibt das IVE eine Protokolldatei für alle Clients, die die Funktion verwenden, für die Sie die clientseitige Protokollierung aktivieren. Außerdem entfernt das IVE keine clientseitigen Protokolle. Benutzer müssen Protokolldateien manuell von ihren Clients löschen. Weitere Informationen über den Speicherort, an dem das IVE die Protokolldateien installiert, finden Sie im Juniper Networks Customer Support Center im Client-side Changes Guide. So legen Sie Einstellungen für clientseitige Protokollierung fest: 1. Wählen Sie in der Administratorkonsole System > Log/Monitoring > Client Log > Settings. 2. Wählen Sie die gewünschten Funktionen aus, für die das IVE clientseitige Protokolle schreibt. 3. Klicken Sie zum globalen Speichern der Einstellungen auf Save Changes. HINWEIS: Für neue IVE 5.x-Systeme sind alle Optionen standardmäßig deaktiviert. Wenn Sie Ihr IVE von einer 3.x-Konfiguration aktualisieren, sind alle Protokolloptionen standardmäßig aktiviert. Verwenden der Host Checker-Protokolle 285 Juniper Networks Secure Access – Administratorhandbuch 286 Verwenden der Host Checker-Protokolle Kapitel 12 Cache Cleaner Cache Cleaner ist ein clientseitiger Agent für Windows, der übrig gebliebene Daten wie temporäre Dateien oder Inhalte des Anwendungscache nach einer IVE-Sitzung vom Benutzercomputer entfernt. Wenn sich beispielsweise ein Benutzer von einem Internet-Kiosk beim IVE anmeldet und mithilfe eines Browser-Plug-Ins ein Microsoft Word-Dokument öffnet, entfernt Cache Cleaner nach Beenden der Sitzung die im Browsercache (im Ordner „Windows“) gespeicherte temporäre Kopie der WordDatei. Durch das Entfernen der Kopie verhindert Cache Cleaner, dass andere Benutzer des Kiosks das Word-Dokument suchen und öffnen können, nachdem der IVE-Benutzer seine Sitzung beendet hat. Cache Cleaner kann zudem Webbrowser daran hindern, die Benutzernamen, Kennwörter und Webadressen dauerhaft zu speichern, die Benutzer in Webformularen eingeben. Vertrauliche Benutzerinformationen werden dadurch nicht auf nicht vertrauenswürdigen Systemen gespeichert, da Cache Cleaner verhindert, dass Browser diese Informationen auf unzuverlässige Weise zwischenspeichern. Dieser Abschnitt enthält die folgenden Informationen über Cache Cleaner: „Lizenzierung: Verfügbarkeit von Cache Cleaner“ auf Seite 287 „Festlegen globaler Optionen für Cache Cleaner“ auf Seite 288 „Implementieren der Cache Cleaner-Optionen“ auf Seite 291 „Festlegen von Installationsoptionen für Cache Cleaner“ auf Seite 295 „Verwenden von Cache Cleaner-Protokollen“ auf Seite 296 Lizenzierung: Verfügbarkeit von Cache Cleaner Cache Cleaner ist eine Standardfunktion bei allen Secure Access-Appliances, für deren Verwendung Sie keine zusätzliche Lizenz benötigen. Lizenzierung: Verfügbarkeit von Cache Cleaner 287 Juniper Networks Secure Access – Administratorhandbuch Festlegen globaler Optionen für Cache Cleaner Wenn Sie Cache Cleaner aktivieren, wird der gesamte über das Modul für die Inhaltsvermittlung des IVE heruntergeladene Inhalt vom Benutzersystem gelöscht. Des Weiteren werden Einstellungen auf der Seite Authentication > Endpoint Security > Cache Cleaner der Administratorkonsole zum Löschen von Inhalt aus folgenden Elementen verwendet: Specified hosts and domains – Wenn Sie WSAM oder JSAM aktivieren, konfigurieren Sie Cache Cleaner zum Bereinigen weiterer Hosts und Domänen. Wenn ein Benutzer das Internet mit WSAM oder JSAM außerhalb des IVE benutzt, werden Internetdateien in seinem temporären Internetdateiordner gespeichert. Geben Sie zum Löschen dieser Dateien mithilfe von Cache Cleaner den entsprechenden Hostnamen an (z.B. www.yahoo.com). Specified files and folders – Wenn Sie Benutzern auf ihren lokalen Systemen den Zugriff auf Client-Server-Anwendungen gewähren, konfigurieren Sie Cache Cleaner zum Löschen temporärer Dateien und Ordner, die die Anwendungen auf den Systemen der Benutzer erstellen. HINWEIS: Wenn Sie Cache Cleaner zum Entfernen von Dateien aus einem Verzeichnis konfigurieren, werden alle Dateien einschließlich jener Dateien gelöscht, die der Benutzer ausdrücklich in diesem Verzeichnis gespeichert hat, sowie Dateien, die sich bereits vor der IVE-Sitzung in diesem Verzeichnis befunden haben. So legen Sie globale Optionen für Cache Cleaner fest: 1. Wählen Sie in der Administratorkonsole Authentication > Endpoint Security > Cache Cleaner. 2. Gehen Sie unter Options folgendermaßen vor: a. Geben Sie im Feld Cleaner Frequency an, wie oft Cache Cleaner ausgeführt wird. Gültige Werte liegen zwischen 1 und 60 Minuten. Bei jeder Ausführung von Cache Cleaner werden der gesamte über das IVE-Modul für die Inhaltsvermittlung heruntergeladene Inhalt sowie der Cache des Browsers und die unten in den Bereichen Browser Cache und Files and Folders angegebenen Dateien und Ordner gelöscht. b. Geben Sie im Feld Status Update Frequency an, wie oft das erwartet, dass Cache Cleaner sich selbst aktualisiert. Gültige Werte liegen zwischen 1 und 60 Minuten. Geben Sie für die Option Client-side process, login inactivity timeout ein Intervall für das Steuern der Zeitüberschreitung in den folgenden Fällen an: 288 Wenn der Benutzer die IVE-Anmeldeseite nach dem Starten von Cache Cleaner und vor dem Anmelden am IVE verlässt, wird Cache Cleaner auf dem Computer des Benutzers für die Dauer des von Ihnen festgelegten Intervalls ausgeführt. Festlegen globaler Optionen für Cache Cleaner Kapitel 12: Cache Cleaner Erhöhen Sie beim Herunterladen von Cache Cleaner über eine langsame Verbindung das Intervall, damit ausreichend Zeit für das Ausführen dieses Vorgangs zur Verfügung steht. HINWEIS: Konfigurieren Sie die Option Client-side process, login inactivity timeout für Host Checker und Cache Cleaner, verwendet IVE die Einstellung für die Zeitüberschreitung mit dem höheren Wert. c. Aktivieren Sie das Kontrollkästchen Disable AutoComplete of web addresses, um den Browser daran zu hindern, Webadressen während einer IVE-Sitzung des Benutzers automatisch mit zwischengespeicherten Werten auszufüllen. Bei Verwendung dieser Option setzt das IVE den folgenden WindowsRegistrierungswert während der IVE-Sitzung des Benutzers auf „0“: HKEY_CURRENT_USER\Software\\Microsoft\\Windows\\CurrentVersion\\Ex plorer\ AutoComplete. Am Ende der Sitzung wird der Registrierungswert durch IVE wieder auf die ursprüngliche Einstellung zurückgesetzt. d. Aktivieren Sie das Kontrollkästchen Disable AutoComplete of usernames and passwords, um zu verhindern, dass Internet Explorer Anmeldedaten von Benutzern mittels zwischengespeicherter Werte automatisch in Webformulare eingibt. Bei Auswahl dieser Option wird auch die Aufforderung „Kennwort speichern?“ auf Windows-Systemen deaktiviert. Wenn Sie diese Option aktivieren, setzt das IVE die folgenden WindowsRegistrierungswerte auf „0“: e. HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FormSuggest Passwords HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FormSuggest Passwords\FormSuggest PW Ask HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVersion\Internet Settings\ DisablePasswordCaching Aktivieren Sie das Kontrollkästchen Flush all existing AutoComplete Passwords, um alle von Internet Explorer auf dem System des Benutzers zwischengespeicherten Kennwörter zu löschen. Wenn Sie diese Option aktivieren, setzt das IVE den folgenden Windows-Registrierungswert auf „0“: HKEY_CURRENT_USER \Software\\Microsoft\\Internet Explorer\\IntelliForms\\SPW Wählen Sie dann eine der folgenden Optionen aus: f. Wählen Sie For IVE session only, damit das IVE die zwischengespeicherten Kennwörter des Benutzers am Ende dieser IVESitzung wiederherstellt. Wählen Sie Permanently, um die zwischengespeicherten Kennwörter des Benutzers dauerhaft zu löschen. Aktivieren Sie das Kontrollkästchen Uninstall Cache Cleaner at logout, wenn das IVE Cache Cleaner beim Beenden einer Benutzersitzung vom Clientcomputer deinstallieren soll. Festlegen globaler Optionen für Cache Cleaner 289 Juniper Networks Secure Access – Administratorhandbuch 3. Geben Sie unter Browser Cache einen oder mehrere Hostnamen oder Domänen ein (Platzhalter sind zulässig). Beim Beenden einer Benutzersitzung entfernt Cache Cleaner den gesamten Inhalt des Browsercaches, der von diesen Servern stammt. Cache Cleaner entfernt diesen Inhalt auch, wenn es im angegebenen Bereinigungsintervall ausgeführt wird. Das IVE löst Hostnamen nicht auf. Geben Sie deshalb alle möglichen Angaben für einen Server ein, z.B. seinen Hostnamen, FQDN und die IP-Adresse. 4. Gehen Sie unter Files and Folders folgendermaßen vor: a. b. Geben Sie eine der folgenden Informationen an: den Namen der Datei, die von Cache Cleaner entfernt werden soll, oder den vollständigen Verzeichnispfad zu einem Ordner, dessen Inhalt von Cache Cleaner entfernt werden soll. Wenn Sie ein Verzeichnis angeben, wählen Sie Clear Subfolders aus, um auch den Inhalt aller Unterverzeichnisse in diesem Verzeichnis zu löschen. Aktivieren Sie das Kontrollkästchen Clear folders only at the end of session, wenn der Verzeichnisinhalt nur beim Beenden der Benutzersitzung von Cache Cleaner gelöscht werden soll. Andernfalls löscht Cache Cleaner auch Dateien und Ordner im angegebenen Bereinigungsintervall. HINWEIS: Beachten Sie beim Angeben der zu löschenden Dateien und Ordner Folgendes: Cache Cleaner verwendet ein Cookie mit der Bezeichnung DSPREAUTH zur Übermittlung des Clientstatus an das IVE. Wenn Sie dieses Cookie vom Client des Benutzers löschen, funktioniert Cache Cleaner nicht ordnungsgemäß. Geben Sie zur Vermeidung von Problemen keine Internet Explorer-Verzeichnisse wie z.B. <userhome>\Local Settings\Temporary Internet Files\* im Feld Files and Folders an. Beachten Sie, dass Cache Cleaner unabhängig von den unter Files and Folders angegebenen Verzeichnissen weiterhin den gesamten Inhalt des Internet Explorer-Cache löscht, der vom IVE-Host und anderen im Feld Hostnames angegebenen Hosts heruntergeladen wurde. Für Firefox löscht Cache Cleaner nur die unter Files and Folders angegebenen Verzeichnisse. 5. Klicken Sie zum globalen Speichern der Einstellungen auf Save Changes. 290 Festlegen globaler Optionen für Cache Cleaner Kapitel 12: Cache Cleaner Implementieren der Cache Cleaner-Optionen Nachdem Sie die zu löschenden Hosts, Domänen, Dateien und Ordner mit Hilfe der Einstellungen auf der Seite Authentication > Endpoint Security > Cache Cleaner der Administratorkonsole festgelegt haben, können Sie den IVE- und Ressourcenzugriff einschränken, indem die Ausführung von Cache Cleaner in den folgenden Komponenten gefordert wird: Richtlinie für die Bereichsauthentifizierung – Wenn Benutzer versuchen, sich am IVE anzumelden, wertet das IVE die Authentifizierungsrichtlinie des angegebenen Bereichs aus und ermittelt, ob für die Vorauthentifizierung auch Cache Cleaner erforderlich ist. In der Konfiguration einer Richtlinie für die Bereichsauthentifizierung können Sie festlegen, dass entweder die Cachebereinigung lediglich heruntergeladen wird, dass außerdem die für den Bereich festgelegten Hostprüfungsrichlinien durchgesetzt werden oder dass eine Cachebereinigung nicht erforderlich ist. Der Benutzer muss sich über einen Computer anmelden, der den für den Bereich festgelegten Cache Cleaner-Anforderungen entspricht. Wenn der Computer des Benutzers die Anforderungen nicht erfüllt, verweigert das IVE dem Benutzer den Zugriff. Konfigurieren Sie Einschränkungen auf Bereichsebene über die Seite Users > User Realms > Bereich > Authentication Policy > Cache Cleaner der Administratorkonsole. Rolle – Wenn das IVE ermittelt, welche Rollen einem Administrator oder Benutzer zugeordnet werden können, wertet es die Einschränkungen der einzelnen Rollen aus. Dabei wird festgelegt, ob Cache Cleaner auf der Workstation des Benutzers aktiv sein muss. Wenn dies der Fall ist und Cache Cleaner nicht bereits auf dem Computer des Benutzers aktiv ist, erfolgt keine Rollenzuweisung durch das IVE. Sie können mithilfe der Einstellungen in Users > User Realms > Bereich auswählen > Role Mapping > Regel auswählen|erstellen >Benutzerdefinierter Ausdruck festlegen, welchen Rollen das IVE einen Benutzer zuordnet. Konfigurieren Sie Einschränkungen auf Rollenebene über die Seite Users > User Roles > Rolle > General > Restrictions > Cache Cleaner der Administratorkonsole. Ressourcenrichtlinie – Wenn ein Benutzer eine Ressource anfordert, wertet das IVE die detaillierten Regeln der Ressourcenrichtlinie aus. Dabei wird ermittelt, ob Cache Cleaner auf der Workstation des Benutzers installiert oder aktiv sein muss. Das IVE verweigert den Zugriff auf die betreffende Ressource, wenn das Gerät des Benutzers nicht der festgelegten Cache Cleaner-Richtlinie entspricht. Um Cache Cleaner-Einschränkungen auf Ressourcenrichtlinienebene zu implementieren, navigieren Sie zu: Users > Resource Policies > Ressource auswählen > Richtlinie auswählen > Detailed Rules > Regel auswählen|erstellen > Bedingungsfeld. Sie können festlegen, dass das IVE die Cache Cleaner-Richtlinien nur beim erstmaligen Zugriffsversuch des Benutzers auf den Bereich, die Rolle oder die Ressource auswertet. Oder Sie legen mithilfe der Einstellungen auf der Registerkarte Authentication > Endpoint Security > Cache Cleaner fest, dass das IVE die Richtlinien während der Sitzung des Benutzers in regelmäßigen Abständen erneut auswerten soll. Bei einer periodischen Auswertung der Cache-Cleaner-Richtlinien ordnet das IVE die Benutzer dynamisch bestimmten Rollen zu und gewährt ihnen je nach den Ergebnissen der letzten Auswertung Zugriff auf neue Ressourcen. Implementieren der Cache Cleaner-Optionen 291 Juniper Networks Secure Access – Administratorhandbuch Cache Cleaner ausführen Wenn ein Benutzer auf das IVE zugreifen will, stellt das IVE den Status von Cache Cleaner auf dem Clientsystem fest und veranlasst die Ausführung der Anwendung mithilfe des folgenden Prozesses: 1. Erstauswertung – Wenn ein Benutzer erstmalig auf die IVE-Anmeldeseite zugreifen will, stellt das IVE fest, ob Cache Cleaner auf dem Computer des Benutzers ausgeführt wird. Das IVE führt die Erstauswertung unabhängig davon durch, ob die Cache Cleaner-Richtlinien auf Bereichs-, Rollen- oder Ressourcenrichtlinienebene implementiert wurden. Wenn der Benutzer die IVE-Anmeldeseite nach dem Starten von Cache Cleaner und vor dem Anmelden am IVE verlässt, wird Cache Cleaner auf dem Computer des Benutzers ausgeführt, bis der Vorgang durch eine Zeitbegrenzung abgebrochen wird. Erhält das IVE von Cache Cleaner aus unbestimmten Gründen (einschließlich nicht eingegebener Benutzeranmeldedaten auf der Anmeldeseite) kein Statusergebnis, zeigt das IVE eine Fehlermeldung an und fordert den Benutzer auf, zur Anmeldeseite zurückzukehren. Wird von IVECache Cleaner ein Status zurückgegeben, setzt das IVE die Ausführung der Richtlinien auf Bereichsebene fort. 2. Richtlinien auf Bereichsebene – Anhand der Ergebnisse der ersten Auswertung bestimmt das IVE, auf welche Bereiche der Benutzer zugreifen kann. Anschließend zeigt das IVE Bereiche für den Benutzer an bzw. blendet sie aus. Dieser kann sich nur in den Bereichen anmelden, die für die Anmeldeseite aktiviert wurden und für die er die Cache Cleaner-Anforderungen erfüllt. Wenn der Benutzer die Anforderungen von Cache Cleaner für keinen der verfügbaren Bereiche erfüllt, wird die Anmeldeseite nicht angezeigt. Stattdessen wird eine Fehlermeldung mit der Information eingeblendet, dass der Computer der Richtlinie für die Endpunktsicherheit nicht entspricht. Überprüfungen vom IVE für Cache Cleaner auf Bereichsebene erfolgen ausschließlich im Zuge der ersten Anmeldung des Benutzers beim IVE. Sollte sich der Systemzustand eines Benutzers während einer Sitzung ändern, bleibt der aktuelle Bereich weiterhin sichtbar, ohne dass jedoch Zugriff auf neue Bereiche besteht. 3. Richtlinien auf Rollenebene – Nachdem sich der Benutzer an einem Bereich angemeldet hat, wertet das IVE die Richtlinien auf Rollenebene aus, und es ordnet den Benutzer den Rollen zu, deren Anforderungen für Cache Cleaner erfüllt sind. Anschließend zeigt das IVE die IVE-Startseite an und aktiviert die für die zugeordnete(n) Rolle(n) zulässigen Optionen. Wenn Cache Cleaner während einer periodischen Auswertung einen anderen Status zurückgibt, ordnet das IVE basierend auf den neuen Ergebnissen den Benutzer neuen Rollen zu. Wenn der Endbenutzer während einer periodischen Auswertung die Zugriffsrechte für alle verfügbaren Rollen verliert, beendet das IVE die Sitzung des Benutzers. 292 Implementieren der Cache Cleaner-Optionen Kapitel 12: Cache Cleaner 4. Richtlinien auf Ressourcenebene – Nachdem das IVE dem Benutzer den Zugriff auf die Startseite gewährt hat, kann dieser den Zugriff auf eine Ressource versuchen, die von einer Ressourcenrichtlinie gesteuert wird. In diesem Fall ermittelt das IVE, ob die in der Ressourcenrichtlinie festgelegte Aktion basierend auf dem letzten von Cache Cleaner zurückgegebenen Status ausgeführt werden soll. Wenn Cache Cleaner während einer periodischen Auswertung einen anderen Status zurückgibt, wirkt sich dieser neue Status lediglich auf neue Ressourcen aus, auf die der Benutzer zuzugreifen versucht. Wenn der Benutzer z.B. eine Network Connect-Sitzung gestartet hat, der nächste Statuscheck für Cache Cleaner auf Ressourcenebene aber fehlschlägt, kann er weiterhin auf die offene Network Connect-Sitzung zugreifen. Das IVE verweigert ihm nur dann den Zugriff, wenn er versucht, eine neue Network Connect-Sitzung zu starten. Bei jedem Versuch, auf eine neue Webressource zuzugreifen oder eine neue Secure Application Manager-, Network Connect- oder Secure Terminal AccessSitzung zu starten, überprüft das IVE den letzten von Cache Cleaner zurückgegebenen Status. 5. Endgültige Bereinigung – Cache Cleaner führt in folgenden Situationen eine endgültige Bereinigung durch und stellt Registrierungseinstellungen wieder her: Der Benutzer meldet sich explizit von seiner Benutzersitzung ab – Wenn ein Benutzer auf der IVE-Startseite auf Sign Out klickt, führt Cache Cleaner eine endgültige Bereinigung aus und deinstalliert sich anschließend selbst vom Benutzersystem. Die Höchstdauer für die Benutzersitzung ist überschritten – Wenn die Höchstdauer für eine Benutzersitzung überschritten wurde, führt Cache Cleaner eine Bereinigung durch. Meldet sich der Benutzer dann erneut an, wird die Bereinigung wiederholt. Cache Cleaner überprüft in bestimmten Abständen die Gültigkeit einer Sitzung und erkennt daher, wann eine Sitzungszeitüberschreitung auftritt. Die entsprechenden Intervalle werden auf der Registerkarte Authentication > Endpoint Security > Cache Cleaner festgelegt. HINWEIS: Bei der Überprüfung der Gültigkeit einer Sitzung stellt Cache Cleaner eine Verbindung mit dem IVE her. Diese Aktion kann die Ausgabe von Warnmeldungen persönlicher Firewalls zur Folge haben. Benutzer müssen diesen Datenverkehr zulassen, damit Cache Cleaner ordnungsgemäß ausgeführt werden kann. Bei Verwendung einer persönlichen Firewall erfolgt bei jedem Leeren des Cache mit Cache Cleaner ein Protokolleintrag. Ein Clientsystem wird nach einem nicht ordnungsgemäßen Herunterfahren des Systems neu gestartet – Wenn Cache Cleaner aufgrund eines Problems im System, bei einer Sitzung oder einer Netzwerkverbindung nicht ordnungsgemäß beendet wird, führt Cache Cleaner eine endgültige Bereinigung durch und deinstalliert sich nach dem Neustart des Systems selbst vom Benutzersystem. Beachten Sie, dass Cache Cleaner nach dem Beenden keine Daten protokollieren kann. Darüber hinaus gehen alle nach dem Beenden und vor der erneuten Anmeldung am IVE vorgenommenen Änderungen der Registrierungseinstellungen des Benutzers verloren. Implementieren der Cache Cleaner-Optionen 293 Juniper Networks Secure Access – Administratorhandbuch Unabhängig vom Ausführungsstatus verbleibt Cache Cleaner auf dem Client. Der Benutzer kann zur manuellen Deinstallation des Agent die Datei uninstall.exe in dem Verzeichnis ausführen, in dem Cache Cleaner installiert ist. Wenn Sie die clientseitige Protokollierung über die Seite System > Log/Monitoring > Client Logs > Settings aktivieren, enthält dieses Verzeichnis auch eine Protokolldatei, die bei jeder Ausführung von Cache Cleaner neu geschrieben wird. (Cache Cleaner protokolliert keine Einträge im IVE-Standardprotokoll, kann jedoch Daten in der temporären Clienttextdatei protokollieren. Dieses verschlüsselte Protokoll wird gelöscht, wenn sich Cache Cleaner selbst deinstalliert.) Angeben von Cache Cleaner-Einschränkungen So geben Sie Cache Cleaner-Einschränkungen an: 1. Wählen Sie: Authentication > Endpoint Security > Cache Cleaner, und geben Sie globale Optionen für Cache Cleaner an, die auf alle Benutzer angewendet werden können, für die in einer Authentifizierungsrichtlinie, einer Rollenzuordnungsregel oder einer Ressourcenrichtlinie die Cache Cleaner erforderlich ist. 2. Gehen Sie folgendermaßen vor, wenn Sie Cache Cleaner auf der Bereichsebene implementieren möchten: a. Wählen Sie: Users > User Realms > Bereich auswählen > Authentication Policy > Cache Cleaner b. Wählen Sie eine der folgenden Optionen aus: Disable Cache Cleaner – Der Benutzer erfüllt die Zugriffsvoraussetzungen auch dann, wenn Cache Cleaner nicht installiert ist oder nicht ausgeführt wird. Just load Cache Cleaner – Der Benutzer erfüllt die Zugriffsvoraussetzungen auch dann, wenn Cache Cleaner nicht ausgeführt wird, es jedoch für eine spätere Verwendung verfügbar ist. Wenn Sie diese Option für die Authentifizierungsrichtlinie eines Bereichs auswählen, wird Cache Cleaner von IVE auf den Clientcomputer heruntergeladen, nachdem der Benutzer authentifiziert wurde, aber bevor er Rollen im System zugeordnet wird. Load and enforce Cache – Der Benutzer erfüllt die Zugriffsvoraussetzungen nur, wenn Cache Cleaner von IVE heruntergeladen und ausgeführt wird. Wenn Sie diese Option für die Authentifizierungsrichtlinie eines Bereichs auswählen, wird Cache Cleaner von IVE auf den Clientcomputer heruntergeladen, bevor der Benutzer auf die IVE-Anmeldeseite zugreifen kann. 3. Gehen Sie folgendermaßen vor, wenn Sie Cache Cleaner auf der Rollenebene implementieren möchten: a. Wählen Sie: 294 Implementieren der Cache Cleaner-Optionen Administrators > Admin Roles > Rolle auswählen > General > Restrictions > Cache Cleaner Kapitel 12: Cache Cleaner b. Users > User Roles > Rolle auswählen > General > Restrictions > Cache Cleaner Aktivieren Sie die Option Enable Cache Cleaner. Cache Cleaner muss ausgeführt werden, damit der Benutzer die Zugriffsvoraussetzungen erfüllt. 4. Gehen Sie folgendermaßen vor, wenn Sie Rollenzuordnungsregeln basierend auf dem Cache Cleaner-Status eines Benutzers erstellen möchten: a. Wählen Sie: Users > User Realms > Bereich auswählen > Role Mapping > Regel auswählen|erstellen > CustomExpression b. Schreiben Sie einen benutzerdefinierten Ausdruck für die Rollenzuordnungsregel, um den Status von Cache Cleaner anhand der Variablen cacheCleaner auszuwerten. 5. Gehen Sie folgendermaßen vor, wenn Sie Cache Cleaner auf der Ressourcenrichtlinienebene implementieren möchten: a. Wählen Sie: Users > Resource Policies > Ressource auswählen > Richtlinie auswählen > Detailed Rules > Regel auswählen|erstellen > Bedingungsfeld b. Erstellen Sie einen benutzerdefinierten Ausdruck in einer detaillierten Regel. Festlegen von Installationsoptionen für Cache Cleaner Wenn Sie eine Richtlinie auf einer Bereichs-, Rollen- oder Ressourcenrichtlinienebene implementieren, für die Cache Cleaner erforderlich ist, müssen Sie einen Mechanismus bereitstellen, mit Hilfe dessen das IVE oder der Benutzer Cache Cleaner auf dem Clientcomputer installieren kann. Andernfalls steht der Cache Cleaner-Client beim Überprüfen der Cache Cleaner-Richtlinie vom IVE nicht zur Verfügung, sodass dem Computer des Benutzers der Zugriff verweigert wird. Aktivieren Sie die automatische Installation über die Seite Users > User Realms > Bereich > Authentication Policy > Cache Cleaner der Administratorkonsole, damit das IVE die Installation von Cache Cleaner auf dem System des Benutzers versuchen kann. In diesem Fall wertet das IVE die Option auf Bereichsebene aus, sobald der Benutzer auf die IVE-Anmeldeseite zugreift, und überprüft, ob die aktuelle Version von Cache Cleaner auf dem Computer des Benutzers installiert ist. Wenn Cache Cleaner nicht installiert ist, versucht das IVE die Installation mithilfe der ActiveX- oder Java-Übertragungsmethode. Wenn ein Benutzer sich am IVE anmeldet, versucht das IVE, ein ActiveX-Steuerelement auf dem Benutzersystem zu installieren. Wurde das ActiveX-Steuerelement erfolgreich installiert, verwaltet das Steuerelement die Installation von Cache Cleaner. Wenn das IVE das ActiveX-Steuerelement nicht installieren kann, da Administratoroder Benutzerberechtigungen fehlen oder ActiveX auf dem Benutzersystem deaktiviert ist, versucht das IVE, Cache Cleaner mit Java zu installieren. Die JavaÜbertragungsmethode benötigt nur Benutzerberichtigungen; allerdings muss Java auf dem System des Benutzers aktiviert sein. Festlegen von Installationsoptionen für Cache Cleaner 295 Juniper Networks Secure Access – Administratorhandbuch Wenn das IVE die Java-Übertragungsmethode nicht verwenden kann, da Java deaktiviert ist, wird der Benutzer über eine Fehlermeldung darüber informiert, dass sein System die Installation von ActiveX oder Java-Anwendungen nicht gestattet und deshalb einige der Zugriffssicherheitsfunktionen nicht ausgeführt werden können. HINWEIS: Zum Installieren von Cache Cleaner müssen Benutzer über entsprechende Berechtigungen verfügen, wie im Client-side Changes Guide im Juniper Networks Customer Support Center erläutert. Besitzt der Benutzer diese Berechtigungen nicht, muss zur Umgehung dieser Anforderung der auf der Seite Maintenance > System > Installers der Administratorkonsole verfügbare Juniper Installer Service verwendet werden. Benutzer müssen im Browser signierte ActiveX-Komponenten oder signierte Java-Applets aktivieren, damit Host Checker die Clientanwendungen herunterladen, installieren und starten kann. Verwenden von Cache Cleaner-Protokollen Aktivieren Sie mithilfe der Registerkarte System > Log/Monitoring > Client Logs > Settings die clientseitige Protokollierung für Cache Cleaner. Wenn Sie diese Option für eine Funktion aktivieren, schreibt das IVE ein clientseitiges Protokoll für jeden Client, der Cache Cleaner verwendet. Bei jedem Aufruf dieser Funktion in nachfolgenden Benutzersitzungen fügt das IVE Informationen zur Protokolldatei hinzu. Diese Funktion ist bei der Zusammenarbeit mit dem Support-Team nützlich, um mit der entsprechenden Funktion zusammenhängende Probleme zu debuggen. HINWEIS: Da diese Einstellungen global sind, schreibt das IVE eine Protokolldatei für alle Clients, die die Funktion verwenden, für die Sie die clientseitige Protokollierung aktivieren. Außerdem entfernt das IVE keine clientseitigen Protokolle. Benutzer müssen Protokolldateien manuell von ihren Clients löschen. Weitere Informationen über den Speicherort, an dem das IVE die Protokolldateien installiert, finden Sie im Juniper Networks Customer Support Center im Client-side Changes Guide. So legen Sie Einstellungen für clientseitige Protokollierung fest: 1. Wählen Sie in der Administratorkonsole System > Log/Monitoring > Client Logs > Settings. 2. Wählen Sie die gewünschten Funktionen aus, für die das IVE clientseitige Protokolle schreibt. 3. Klicken Sie zum globalen Speichern der Einstellungen auf Save Changes. HINWEIS: Für neue IVE-5.x-Systeme sind alle drei Optionen standardmäßig deaktiviert. Wenn Sie Ihr IVE von einer 3.x-Konfiguration aktualisieren, sind alle Protokolloptionen standardmäßig aktiviert. 296 Verwenden von Cache Cleaner-Protokollen Teil 4 Remotezugriff Mit den Fernzugriffsfunktionen des IVE besitzen Sie sicheren Zugriff auf zahlreiche Anwendungen, Server und andere Ressourcen. Nach Auswahl der zu sichernden Ressource kann anschließend der geeignete Zugriffsmechanismus bestimmt werden (wie in „Kann ich das IVE zum Sichern des Datenverkehrs zu allen Anwendungen, Servern und Webseiten des Unternehmens verwenden?“ auf Seite 25 erläutert). Möchten Sie z.B. den Zugriff auf Microsoft Outlook sichern, verwenden Sie den Secure Application Manager (SAM). Der Secure Application Manager vermittelt den Datenverkehr zwischen Client-, bzw. Serveranwendungen einschließlich Microsoft Outlook, Lotus Notes und Citrix. Der Zugriff auf das firmeninterne Intranet kann mit der Funktion für das Neuschreiben von Webinhalt gesichert werden. Diese Funktion vermittelt Datenverkehr zwischen webbasierten Anwendungen und Webseiten mithilfe des IVE-Moduls für Inhaltsvermittlung. Tabelle 18 beinhaltet einen kurzen Vergleich von drei der IVE-Zugriffsmechanismen: Network Connect, Windows Secure Application Manager (WSAM) und Java Secure Application Manager (JSAM). Tabelle 18: Vergleich der Remoteclient-Zugriffsmethoden Network Connect WSAM JSAM Sicherer Zugriff auf Netzwerkebene. Fungiert als virtueller IPsec-fähiger Tunnel. Mit clientseitigen Firewalls und Proxys kompatibel. Sicherer Zugriff auf Anwendungsebenen. Unterstützt die Installation von Win32 Transport Data Interface (TDI)-Dienst. Mit clientseitigen Firewalls und Proxys kompatibel. Sicherer Zugriff auf Anwendungsebenen. JavaApplet-basierter TCP-Port zur Weiterleitung für bereitgestellte Unternehmenshosts. Mit clientseitigen Firewalls und Proxys kompatibel. Installation für Windows ausgeführt mittels Active XSteuerelement und für Mac mittels Java-Applet. Installation mittels Active XSteuerelement, JavaÜbertragungsmethode und eigenständigen Installationsprogramme. Nur ein einzelnes auf dem Client installiertes Java-Applet erforderlich. Bereitstellung erfordert einen statischen IP-Adress-Pool, der Netzwerkressourcen oder einem DHCP-Server im Netzwerk zugeordnet wird. Die Bereitstellung erfordert die Sicherung einer Liste von IP-Adressen, von WindowsAnwendungen und Zielhosts. Zugriffssteuerung abhängig von IP-Adressen. Die Bereitstellung erfordert eine Liste von Hosts und Ports auf Gruppenebene. Bietet Benutzern die Möglichkeit, Client-ServerAnwendungen und Sicherheitseinstellungen zu definieren. Hostnamen werden IP-Adressen vorgezogen. 297 Juniper Networks Secure Access – Administratorhandbuch Tabelle 18: Vergleich der Remoteclient-Zugriffsmethoden (Fortsetzung) Network Connect WSAM JSAM Unterstützt Windows-, Mac- und Unterstützt Windows-Clients. Unterstützt Windows-, Mac- und Linux-Clients. Linux-Clients. Dieser Abschnitt enthält die folgenden Informationen über Remotezugriffsmechanismen: 298 „Neuschreiben von Webinhalt“ auf Seite 299 „Gehostete Java-Applets“ auf Seite 387 „Neuschreiben von Dateien“ auf Seite 401 „Secure Application Manager“ auf Seite 427 „Telnet/SSH“ auf Seite 485 „Terminal Services“ auf Seite 497 „Secure Meeting“ auf Seite 531 „E-Mail-Client“ auf Seite 553 „Network Connect“ auf Seite 561 Kapitel 13 Neuschreiben von Webinhalt Die IVE-Funktion für das Neuschreiben von Webinhalten ermöglicht es Ihnen, WebURLs über das Modul für die Inhaltsvermittlung zu vermitteln. URLs können im World Wide Web oder im firmeninternen Intranet vermittelt werden. Dieser Abschnitt enthält die folgenden Informationen über das Vermitteln von Webinhalt: „Lizenzierung: Neuschreiben von Webinhalt – Verfügbarkeit“ auf Seite 300 „Aufgabenzusammenfassung: Konfigurieren der Funktion zum Neuschreiben von Webinhalt“ auf Seite 300 „Neuschreiben von Web-URLs – Überblick“ auf Seite 302 „Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen“ auf Seite 308 „Definieren von Ressourcenprofilen: Citrix-Webanwendungen“ auf Seite 329 „Definieren von Ressourcenprofilen: Microsoft OWA“ auf Seite 333 „Definieren von Ressourcenprofilen: Lotus iNotes“ auf Seite 336 „Definieren von Ressourcenprofilen: Microsoft Sharepoint“ auf Seite 338 „Definieren von Rolleneinstellungen: Web-URLs“ auf Seite 340 „Definieren von Ressourcenrichtlinien: Übersicht“ auf Seite 347 „Definieren von Ressourcenrichtlinien: Webzugriff“ auf Seite 349 „Definieren von Ressourcenrichtlinien: Single Sign-On (Einzelanmeldung)“ auf Seite 350 „Definieren von Ressourcenrichtlinien: Caching“ auf Seite 358 „Definieren von Ressourcenrichtlinien: Externe Java-Applets“ auf Seite 362 „Definieren von Ressourcenrichtlinien: Neuschreiben“ auf Seite 366 „Definieren von Ressourcenrichtlinien: Webkomprimierung“ auf Seite 377 „Definieren von Ressourcenrichtlinien: Webproxy“ auf Seite 379 299 Juniper Networks Secure Access – Administratorhandbuch „Definieren von Ressourcenrichtlinien: HTTP 1.1-Protokoll“ auf Seite 382 „Definieren von Ressourcenrichtlinien: Allgemeine Optionen“ auf Seite 384 „Verwalten von Ressourcenrichtlinien: Anpassen von Benutzeroberflächenansichten“ auf Seite 385 Lizenzierung: Neuschreiben von Webinhalt – Verfügbarkeit Die Funktion für das Neuschreiben von Webinhalt ist standardmäßig in allen Secure Access-Appliances enthalten, mit Ausnahme der SA 700. Verwenden Sie eine SA700-Appliance, müssen Sie eine Aktualisierungslizenz für einen clientlosen Kernzugriff installieren, um auf grundlegende Funktionen zum Neuschreiben von Webinhalt zuzugreifen. Die folgenden erweiterten Funktionen zum Neuschreiben von Webinhalt sind auch dann nicht auf der SA 700-Appliance verfügbar, wenn Sie die Aktualisierungslizenz für den clientlosen Kernzugriff besitzen: Remote-SSO Richtlinien für das Neuschreiben von W-SAM & J-SAM (verfügbar über die Ressourcenprofile der Webanwendung) Optionen für das Neuschreiben von nicht auf Java basierenden ICA (verfügbar über die Citrix-Vorlagen) Aufgabenzusammenfassung: Konfigurieren der Funktion zum Neuschreiben von Webinhalt So konfigurieren Sie die Funktion zum Neuschreiben von Webinhalt: 1. Erstellen Sie Ressourcenprofile, die den Zugriff auf Websites ermöglichen, erstellen Sie nach Bedarf unterstützende automatische Richtlinien (z.B. Zugriffssteuerungsrichtlinien für Single Sign-On (Einzelanmeldung) und Java), fügen Sie Lesezeichen ein, die einen Link zu den Websites herstellen, und ordnen Sie den Benutzerrollen mithilfe der Einstellungen auf der Seite Users > Resource Profiles > Web Application Pages der Administratorkonsole die Richtlinien und Lesezeichen zu. Anweisungen hierfür finden Sie unter: „Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen“ auf Seite 308 „Definieren von Ressourcenprofilen: Citrix-Webanwendungen“ auf Seite 329 Verwenden Sie Ressourcenprofile, um die Funktion für das Neuschreiben von Webinhalt (wie oben beschrieben) zu konfigurieren. Möchten Sie jedoch keine Ressourcenprofile verwenden, kann die Funktion für das Neuschreiben von Webinhalt auch mit Rollen- und Ressourcenrichtlinieneinstellungen auf den folgenden Seiten der Administratorkonsole konfiguriert werden: 300 Lizenzierung: Neuschreiben von Webinhalt – Verfügbarkeit Kapitel 13: Neuschreiben von Webinhalt a. Erstellen Sie Ressourcenrichtlinien, die mithilfe der Einstellungen auf der Seite Users > Resource Policies> Web > Access > Web ACL der Administratorkonsole Zugriff auf Websites ermöglichen. Anweisungen hierfür finden Sie unter „Definieren von Ressourcenrichtlinien: Webzugriff“ auf Seite 349. b. Erstellen Sie nach Bedarf unterstützende Ressourcenrichtlinien (z.B. Zugriffssteuerungsrichtlinien für Single Sign-On (Einzelanmeldung und Java). Verwenden Sie dazu die Einstellungen auf den Seiten Users > Resource Policies > Richtlinientyp auswählen der Administratorkonsole. Anweisungen hierfür finden Sie unter: c. „Definieren von Ressourcenrichtlinien: Single Sign-On (Einzelanmeldung)“ auf Seite 350 „Definieren von Ressourcenrichtlinien: Caching“ auf Seite 358 „Definieren von Ressourcenrichtlinien: Externe Java-Applets“ auf Seite 362 „Definieren von Ressourcenrichtlinien: Neuschreiben“ auf Seite 366 „Definieren von Ressourcenrichtlinien: Webkomprimierung“ auf Seite 377 „Definieren von Ressourcenrichtlinien: Webproxy“ auf Seite 379 „Definieren von Ressourcenrichtlinien: HTTP 1.1-Protokoll“ auf Seite 382 Legen Sie die Benutzerrollen fest, denen der Zugriff auf Websites, die vermittelt werden sollen, gewährt wird. Richten Sie anschließend den Webzugriff dieser Rollen mithilfe der Seite Users > User Roles > Rolle auswählen> General > Overview in der Administratorkonsole ein. Anweisungen hierfür finden Sie unter „Konfigurieren allgemeiner Rollenoptionen“ auf Seite 57. d. Erstellen Sie Lesezeichen für Ihre Websites mithilfe der Einstellungen auf den Seiten Users > User Roles > Rolle auswählen > Web > Bookmarks der Administratorkonsole. Anweisungen hierfür finden Sie unter „Definieren von Rolleneinstellungen: Web-URLs“ auf Seite 340. e. Wählen Sie nach Bedarf allgemeine Weboptionen aus, die den vermittelten Webinhalten (wie Java) entsprechen. Verwenden Sie dazu die Einstellungen auf der Seite Users > User Roles > Rolle auswählen > Web > Options der Administratorkonsole. Anweisungen hierfür finden Sie unter „Angeben von allgemeinen Webbrowsingoptionen“ auf Seite 343. 2. Nachdem der Zugriff auf Webanwendungen oder -sites mithilfe von Ressourcenprofilen oder -rollen sowie Ressourcenrichtlinien für das Neuschreiben von Webinhalt gewährt wurde, können allgemeine Rollen- und Ressourcenoptionen auf den folgenden Seiten der Administratorkonsole geändert werden: Aufgabenzusammenfassung: Konfigurieren der Funktion zum Neuschreiben von Webinhalt 301 Juniper Networks Secure Access – Administratorhandbuch a. Legen Sie zusätzliche Webbrowsingoptionen (z.B. kann Benutzern das Erstellen von eigenen Lesezeichen oder das Verbergen von Hostnamen ermöglicht werden) auf der Seite Users > User Roles > Rolle auswähen > Web > Options der Administratorkonsole fest (optional). Anweisungen hierfür finden Sie unter „Angeben von allgemeinen Webbrowsingoptionen“ auf Seite 343. b. Legen Sie zusätzliche Weboptionen für einzelne Ressourcen fest (wie das Aktivieren des IVE zum Abgleich von IP-Adressen mit Hostnamen). Verwenden Sie dazu die Einstellungen auf der Seite Users > Resource Policies > Web > Options der Administratorkonsole (optional). Anweisungen hierfür finden Sie unter „Definieren von Ressourcenrichtlinien: Allgemeine Optionen“ auf Seite 384. HINWEIS: Einige Funktionen zum Neuschreiben von Webinhalt (wie Durchgangsproxy und SSO (Einzelanmeldung) für NTLM-Ressourcen) erfordern zusätzliche Konfiguration. Weitere Informationen finden Sie in den entsprechenden Konfigurationsanweisungen. Neuschreiben von Web-URLs – Überblick Wird Standard-Webinhalt über das IVE vermittelt, können ergänzende Richtlinien erstellt werden, die eine „Feinabstimmung“ der Zugriffsanforderungen vornehmen und Anweisungen für den vermittelten Inhalt verarbeiten. Diese ergänzenden Richtlinien können über Ressourcenprofile (empfohlen) oder über Ressourcenrichtlinien erstellt werden. Standardmäßige Richtlinien für das Neuschreiben von Webinhalt umfassen folgende Funktionen: 302 Web access control – Mit Webzugriffsrichtlinien wird festgelegt, auf welche Webressourcen Benutzer zugreifen können, um eine Verbindung zum Internet, Intranet oder Extranet herzustellen. Konfigurationsanweisungen finden Sie unter „Definieren einer automatischen Richtlinie für die Webzugriffssteuerung“ auf Seite 310 (empfohlen) oder „Definieren von Ressourcenrichtlinien: Webzugriff“ auf Seite 349. Single sign-on – Single Sign-On-(Einzelanmeldungs-)Richtlinien ermöglichen Ihnen die Weiterleitung von Benutzeranmeldedaten an eine Webanwendung. Richtlinien für Single Sign-On (Einzelanmeldung) können so konfiguriert werden, dass Standardauthentifizierungen und NTLM-Anfragen abgefangen werden oder dass die angegebenen Anmeldedaten und Header an die Webanwendung gesendet werden, wie unter „Remote-SSO – Übersicht“ auf Seite 304 erläutert. Konfigurationsanweisungen finden Sie unter „Definieren einer automatischen Richtlinie für Single Sign-On (Einzelanmeldung)“ auf Seite 313 (empfohlen) oder „Definieren von Ressourcenrichtlinien: Single SignOn (Einzelanmeldung)“ auf Seite 350. Neuschreiben von Web-URLs – Überblick Kapitel 13: Neuschreiben von Webinhalt Caching – Mit Zwischenspeicherungsrichtlinien wird festgelegt, welchen Webinhalt das Caching auf dem Computer eines Benutzers zwischenspeichert. Konfigurationsanweisungen finden Sie unter „Definieren einer automatischen Richtlinie für Zwischenspeicherung“ auf Seite 317 (empfohlen) oder „Definieren von Ressourcenrichtlinien: Caching“ auf Seite 358. Java – Java-Richtlinien steuern, zu welchen Servern und Ports Java-Applets eine Verbindung herstellen können. Diese Richtlinien geben auch vertrauenswürdige Server an, für die das IVE den Inhalt neu signiert. Konfigurationsanweisungen finden Sie unter „Definieren einer automatischen Richtlinie für die JavaZugriffssteuerung“ auf Seite 319 (empfohlen) oder „Definieren von Ressourcenrichtlinien: Externe Java-Applets“ auf Seite 362. Rewriting – Richtlinien für Neuschreibevorgänge geben Ressourcen an, die das IVE nicht vermitteln darf, nehmen minimale Vermittlung vor (wie unter „Durchgangsproxy – Überblick“ auf Seite 305 erläutert), oder vermitteln nur selektiv. Konfigurationsanweisungen finden Sie unter „Definieren einer automatischen Richtlinie für Neuschreibevorgänge“ auf Seite 321 (empfohlen) oder „Definieren von Ressourcenrichtlinien: Neuschreiben“ auf Seite 366. Web compression – Webkomprimierungsrichtlinien geben an, welche Arten von Webdaten das IVE (nicht) komprimieren soll (wie unter „Komprimierung“ auf Seite 899 erläutert.) Konfigurationsanweisungen finden Sie unter „Definieren einer automatischen Richtlinie für Webkomprimierung“ auf Seite 326 (empfohlen) oder „Definieren von Ressourcenrichtlinien: Webkomprimierung“ auf Seite 377. Web proxy – (nur Ressourcenrichtlinien) Ressourcenrichtlinien für Webproxys geben Webproxyserver an, für die das IVE Inhalt vermitteln soll. Das IVE vermittelt Proxys in beide Richtungen, aktiviert die Funktion Single Sign-On (Einzelanmeldung) jedoch nur für vertrauenswürdige Proxys. Konfigurationsanweisungen finden Sie unter „Definieren von Ressourcenrichtlinien: Webproxy“ auf Seite 379. Launch JSAM – (nur Ressourcenrichtlinien) Richtlinien für das Starten von JSAM geben URLs an, für die das IVE automatisch J-SAM im Client startet. Diese Funktion ist hilfreich, wenn Sie Anwendungen aktivieren, die J-SAM benötigen, aber vermeiden möchten, dass Benutzer J-SAM unnötig ausführen müssen. Konfigurationsanweisungen finden Sie unter „Automatisches Starten von JSAM“ auf Seite 479. Protocol – (nur Ressourcenrichtlinien) Ressourcenrichtlinien für Protokolle aktivieren oder deaktivieren die HTTP 1.1-Protokollunterstützung im IVE. Konfigurationsanweisungen finden Sie unter „Definieren von Ressourcenrichtlinien: HTTP 1.1-Protokoll“ auf Seite 382. Options – Über Optionen für Ressourcenrichtlinien können IP-basierte Abgleiche für Hostnamen und Abgleiche für Pfad- und Abfragezeichenfolgen (unter Berücksichtigung von Groß- und Kleinschreibung) in Webressourcen aktiviert werden (nur für Ressourcenrichtlinien). Konfigurationsanweisungen finden Sie unter „Definieren von Ressourcenrichtlinien: Allgemeine Optionen“ auf Seite 384. Neuschreiben von Web-URLs – Überblick 303 Juniper Networks Secure Access – Administratorhandbuch Remote-SSO – Übersicht Mithilfe der Funktion Remote-SSO (Single Sign-On, Einzelanmeldung) können Sie die URL-Anmeldeseite einer Anwendung angeben, an die das IVE die Anmeldedaten eines Benutzers senden soll. Dadurch wird vermieden, dass Benutzer ihre Anmeldeinformationen für den Zugriff auf verschiedene Back-EndAnwendungen mehrmals angeben müssen. Sie können außerdem zusätzliche Formularwerte und benutzerdefinierte Header (einschließlich Cookies) angeben, die an das Anmeldeformular einer Anwendung gesendet werden. für die Remote-SSO-Konfiguration müssen Webressourcenrichtlinien angegeben werden: Form POST Richtlinie – Diese Art von Remote-SSO-Richtlinie gibt die Anmeldeseiten-URL einer Anwendung an, an die IVE-Daten und die zu veröffentlichenden Daten gesendet werden sollen. Zu diesen Daten zählen der bzw. das primäre oder sekundäre IVE-Benutzername und -Kennwort des Benutzers (siehe hierzu „Anmeldedaten für mehrfaches Anmelden – Übersicht“ auf Seite 205) sowie die Systemdaten, die von den Systemvariablen gespeichert wurden (siehe hierzu „Systemvariablen und Beispiele“ auf Seite 920). Sie können außerdem angeben, ob Benutzer diese Informationen ändern dürfen. Headers/Cookies Richtlinie – Diese Art von Remote-SSO-Richtlinie gibt Ressourcen wie benutzerdefinierte Anwendungen an, an die benutzerdefinierte Header und Cookies gesendet werden können. Wenn sich die IVE-Anmeldedaten eines Benutzers von denen unterscheiden, die die Back-End-Anwendung benötigt, kann der Benutzer auch folgendermaßen auf die Anwendung zugreifen: Manuelle Anmeldung – Der Benutzer kann schnell auf die Back-EndAnwendung zugreifen, indem er auf der Anmeldeseite der Anwendung seine Anmeldedaten manuell eingibt. Der Benutzer kann seine Anmeldeinformationen und sonstige erforderliche Daten auch entsprechend der folgenden Beschreibung über die Seite Preferences dauerhaft im IVE speichern. Dieser Vorgang ist jedoch optional. Angeben der erforderlichen Anmeldedaten auf dem IVE – Der Benutzer muss für das IVE die Anmeldedaten für die Anwendung fehlerfrei angeben. Die Informationen werden auf der Seite Preferences festgelegt. Nach dem Festlegen muss sich der Benutzer abmelden und erneut anmelden, um seine Anmeldeinformationen für das IVE zu speichern. Wenn der Benutzer das nächste Mal auf das Remote-SSO-Lesezeichen klickt, um sich bei der Anwendung anzumelden, sendet das IVE die aktualisierten Anmeldedaten. HINWEIS: Übergeben Sie mithilfe der Remote-SSO-Funktion Daten an Anwendungen, in deren HTML-Formularen statische POST-Aktionen enthalten sind. Es empfiehlt sich nicht, Remote-SSO mit Anwendungen zu verwenden, bei denen sich regelmäßig ändernde URL POST-Aktionen zur Anwendung kommen, ein Ablauf nach einer bestimmten Zeit auftritt oder POST-Aktionen ablaufen, die zum Zeitpunkt der Erstellung des Formulars generiert wurden. Informationen über das Konfigurieren von Remote-SSO: 304 Neuschreiben von Web-URLs – Überblick Kapitel 13: Neuschreiben von Webinhalt „Definieren einer automatischen Richtlinie für Single Sign-On (Einzelanmeldung)“ auf Seite 313 (empfohlene Methode) „Schreiben einer Ressourcenrichtlinie für Remote-SSO-Form-POSTs“ auf Seite 353 „Schreiben einer Ressourcenrichtlinie für Remote-SSO-Header und -Cookies“ auf Seite 356 Durchgangsproxy – Überblick Mithilfe der Funktion für Durchgangsproxys können Sie Webanwendungen angeben, für die das IVE eine minimale Vermittlung durchführt. Anders als die herkömmliche Antwortproxyfunktion, bei der ebenfalls nur selektive Teile einer Serverantwort neu geschrieben werden, jedoch sowohl Netzwerkänderungen als auch komplexe Konfigurationen vorgenommen werden müssen, genügt für diese Funktion lediglich die Angabe von Anwendungsserver und Methode, mit der das IVE Clientanforderungen an diese Anwendungsserver empfängt: Über einen IVE-Port – Wenn Sie eine Anwendung zur Vermittlung für den Durchgangsproxy angeben, geben Sie einen Port an, an dem das IVE Clientanforderungen an den Anwendungsserver abfragen soll. Wenn das IVE eine Clientanforderung für den Anwendungsserver empfängt, leitet es diese Anforderung an den angegebenen Anwendungsserverport weiter. Wenn Sie diese Option auswählen, müssen Sie bei Ihrer Firmenfirewall den Datenverkehr für den angegebenen IVE-Port freigeben. Über virtuellen Hostnamen – Wenn Sie eine Anwendung zur Vermittlung für den Durchgangsproxy angeben, geben Sie einen Alias für den Hostnamen des Anwendungsservers ein. für diesen Alias müssen Sie einen Eintrag im externen DNS-Server vornehmen, der für das IVE aufgelöst wird. Wenn das IVE eine Clientanforderung für den Alias empfängt, leitet es diese Anforderung an den für den Anwendungsserver angegebenen Port weiter. Diese Option bietet sich an, wenn in Ihrem Unternehmen restriktive Richtlinien für das Öffnen von Firewallports für interne Server oder Server in der DMZ gelten. Wenn Sie diese Option verwenden, ist es empfehlenswert, dass jeder Hostnamenalias dieselbe Domänenteilzeichenfolge enthält wie der IVEHostname und dass Sie in folgendem Format ein Serverzertifikat mit Platzhalter in das IVE hochladen: *.domain.com. Neuschreiben von Web-URLs – Überblick 305 Juniper Networks Secure Access – Administratorhandbuch Wird das IVE mit iveserver.yourcompany.com bezeichnet, sollte ein Hostnamenalias das Format appserver.yourcompany.com aufweisen. Das Zertifikatsformat mit Platzhalter lautet in diesem Fall *.yourcompany.com. Wenn Sie kein Zertifikat mit Platzhalter verwenden, gibt der Browser eines Clients eine Warnung zu einer Zertifikatsnamenüberprüfung aus, wenn ein Benutzer zu einem Anwendungsserver wechselt, da der Hostnamenalias des Anwendungsservers nicht mit dem Zertifikatsdomänennamen übereinstimmt. Durch dieses Verhalten wird ein Benutzer jedoch nicht daran gehindert, auf den Anwendungsserver zuzugreifen. HINWEIS: Wenn Sie Durchgangsproxys so konfigurieren, dass sie im Modus für virtuelle Hostnamen arbeiten, müssen Benutzer den IVE-Hostnamen verwenden, den Sie bei der Anmeldung beim IVE über die Seite System > Network > Overview in der Administratorkonsole festlegen. Wenn Benutzer bei der Anmeldung beim IVE die IP-Adresse des Durchgangsproxy verwenden, steht ihnen dieser nicht zur Verfügung. Ebenso wie das Modul für die Inhaltsvermittlung bietet die Durchgangsproxyoption eine höhere Sicherheit als Secure Application Manager, da das IVE dem Client bei Aktivierung für eine Anwendung ermöglicht, an das Firmennetzwerk nur Layer-7Verkehr an feste Anwendungsports zu senden. Wenn diese Option aktiviert ist, kann das IVE Anwendungen mit Komponenten unterstützen, die nicht mit dem Modul für die Inhaltsvermittlung kompatibel sind, beispielsweise Java-Applets in Anwendungen der Oracle E-Business Suite oder Applets, die auf einer nicht unterstützten Java Virtual Machine (JVM) ausgeführt werden. HINWEIS: 306 Durchgangsproxy-URLs müssen Hostnamen sein. Pfade von Hostnamen werden nicht unterstützt. Juniper Networks empfiehlt ausdrücklich, den Portmodus des Durchgangsproxys nicht mit dem Hostmodus des Durchgangsproxys zu kombinieren. Die Option des Durchgangsproxy kann nur bei Anwendungen verwendet werden, die feste Ports abfragen und bei denen der Client keine direkten Socketverbindungen herstellt. Installieren Sie auf dem IVE ein echtes Zertifikat, um ein Durchgangsproxy mit Oracle E-Business-Anwendungen zu verwenden, und konfigurieren Sie OracleFormulare für die Verwendung des Modus Forms Listener Servlet. Neuschreiben von Web-URLs – Überblick Kapitel 13: Neuschreiben von Webinhalt Aufgabenzusammenfassung: Konfigurieren eines Durchgangsproxy So konfigurieren Sie die Funktion zum Neuschreiben von Webinhalt: 1. Erstellen Sie Ressourcenprofile, die den Zugriff auf Webanwendungen ermöglichen, erstellen Sie unterstützende automatische Richtlinien für das Neuschreiben von Webinhalt, die Durchgangsproxys aktivieren, fügen Sie Lesezeichen ein, die einen Link zu den Webanwendungen herstellen, und ordnen Sie den Benutzerrollen die Richtlinien und Lesezeichen mithilfe der Einstellungen auf der Seite Users > Resource Profiles> Web Application Pages der Administratorkonsole zu. Anweisungen hierfür finden Sie unter „Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen“ auf Seite 308. Sie können auch folgendermaßen vorgehen: a. Erstellen Sie Ressourcenrichtlinien, die mithilfe der Einstellungen auf der Seite Users > Resource Policies > Web > Access > Web ACL der Administratorkonsole Zugriff auf Webanwendungen ermöglichen. Anweisungen hierfür finden Sie unter „Definieren von Ressourcenrichtlinien: Webzugriff“ auf Seite 349. b. Erstellen Sie unterstützende Ressourcenrichtlinien zum Neuschreiben von Webinhalt, die Durchgangsproxy mit den Einstellungen auf der Seite Users > Resource Policies > Web > Rewriting > Web ACL der Administratorkonsole ermöglichen. Anweisungen hierfür finden Sie unter „Definieren von Ressourcenrichtlinien: Neuschreiben“ auf Seite 366. c. Legen Sie die Benutzerrollen fest, denen der Zugriff auf Websites, die mit Durchgangsproxy vermittelt werden sollen, gewährt wird. Richten Sie anschließend den Webzugriff dieser Rollen mithilfe der Seite Users > User Roles > Rolle auswählen > General > Overview in der Administratorkonsole ein. Anweisungen hierfür finden Sie unter „Konfigurieren allgemeiner Rollenoptionen“ auf Seite 57. d. Erstellen Sie Lesezeichen für Ihre Websites mithilfe der Einstellungen auf den Seiten Users > User Roles > Rolle auswählen > Web > Bookmarks der Administratorkonsole. Anweisungen hierfür finden Sie unter „Definieren von Rolleneinstellungen: Web-URLs“ auf Seite 340. 2. Wenn die Ressourcenrichtlinie für Durchgangsproxys vorsieht, dass das IVE Clientanforderungen über einen IVE-Port empfängt, müssen Sie den ausgewählten Port in der Firmenfirewall für Datenverkehr öffnen. für den Fall, dass Ihre Richtlinie Anforderungen über einen virtuellen Hostnamen vorsieht: a. Fügen Sie einen Eintrag für jeden Hostnamenalias eines Anwendungsservers im externen DNS hinzu, der für das IVE aufgelöst wird. b. Definieren Sie den IVE- und den Host-Namen auf der Seite System > Network > Internal Port der Administratorkonsole. Anweisungen hierfür finden Sie unter „Konfigurieren von Netzwerkeinstellungen“ auf Seite 600. Neuschreiben von Web-URLs – Überblick 307 Juniper Networks Secure Access – Administratorhandbuch c. Laden Sie ein Zertifikat mit Platzhalter über die Seite System > Configuration > Certificates > Device Certificates in das IVE hoch. Mit den Einstellungen derselben Seite können Sie auch mehrere Zertifikate hochladen und jedem Zertifikat einen virtuellen Port zuweisen. Anweisungen hierfür finden Sie unter „Importieren eines vorhandenen Stammzertifikats und eines privaten Schlüssels“ auf Seite 648 sowie unter „Zuordnen eines Zertifikats zu einem virtuellen Port“ auf Seite 653. Anwendungsbeispiele für Durchgangsproxys Ist das IVE iveserver.yourcompany.com und verfügen Sie unter oracle.companynetwork.net:8000 über einen Oracle-Server, können die folgenden Anwendungsparameter beim Festlegen eines IVE-Ports angegeben werden: Server: oracle.companynetwork.net Port: 8000 IVE port: 11000 Empfängt das IVE an iveserver.yourcompany.com:11000 gesendeten OracleClientdatenverkehr, wird der Datenverkehr an oracle.companynetwork.net:8000 weitergeleitet. Wenn Sie einen Hostnamenalias angeben möchten, können Sie die Anwendung mit folgenden Parametern konfigurieren: Server: oracle.companynetwork.net Port: 8000 IVE alias: oracle.yourcompany.com Empfängt das IVE an oracle.yourcompany.com gesendeten Oracle-Clientdatenverkehr, wird der Datenverkehr an oracle.companynetwork.net:8000 weitergeleitet. Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen Ein Ressourcenprofil für eine benutzerdefinierte Webanwendung ist ein Ressourcenprofil, das den Zugriff auf eine Webanwendung, einen Webserver oder eine HTML-Seite steuert. (Weitere Informationen über Ressourcenprofile finden Sie unter „Ressourcenprofile“ auf Seite 75.) So erstellen Sie ein benutzerdefiniertes Ressourcenprofil für eine Webanwendung: 1. Navigieren Sie zur Seite Users > Resource Profiles > Web Applications/Pages in der Administratorkonsole. 2. Klicken Sie auf New Profile. 3. Geben Sie einen eindeutigen Namen und ggf. eine Beschreibung für das Ressourcenprofil ein. 308 Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen Kapitel 13: Neuschreiben von Webinhalt 4. Geben Sie im Feld Base URL die URL der Webanwendung oder -seite ein, für die Sie den Zugriff mithilfe des folgenden Formats steuern möchten: [Protokoll://]Host[:Port][/Pfad]. Detaillierte Anweisungen finden Sie in „Definieren von Basis-URLs“ auf Seite 310. (Das IVE verwendet die angegebene URL, um das Standardlesezeichen für das Ressourcenprofil zu definieren.) 5. Erstellen Sie im Abschnitt Autopolicy: Web Access Control eine Richtlinie, die Benutzern den Zugriff auf die im Feld Base URL angegebene Ressource gewährt oder verweigert. (Standardmäßig erstellt das IVE automatische eine Richtlinie für den Benutzer, mit der der Zugriff auf die Webressource und alle Unterverzeichnisse ermöglicht wird.) Weitere detaillierte Anweisungen finden Sie unter „Definieren einer automatischen Richtlinie für die Webzugriffssteuerung“ auf Seite 310. 6. (Optional) Klicken Sie auf Show ALL autopolicy types, um zusätzliche AutoRichtlinien zu erstellen, die den Zugriff auf die Ressource präzisieren. Erstellen Sie dann die Auto-Richtlinien mithilfe der Anweisungen in den folgenden Abschnitten: „Definieren einer automatischen Richtlinie für Single Sign-On (Einzelanmeldung)“ auf Seite 313 „Definieren einer automatischen Richtlinie für Zwischenspeicherung“ auf Seite 317 „Definieren einer automatischen Richtlinie für die Java-Zugriffssteuerung“ auf Seite 319 „Definieren einer automatischen Richtlinie für Neuschreibevorgänge“ auf Seite 321 „Definieren einer automatischen Richtlinie für Webkomprimierung“ auf Seite 326 7. Klicken Sie auf Save and Continue. 8. Wählen Sie auf der Registerkarte Roles die Rollen aus, auf die das Ressourcenprofil angewendet werden soll, und klicken Sie auf Add. Die ausgewählten Rollen übernehmen die durch das Ressourcenprofil erstellten Auto-Richtlinien und Lesezeichen. Ist die Option Web noch nicht aktiviert, wird diese vom IVE auf der Seite Users > User Roles > Rolle auswählen > General > Overview der Administratorkonsole ebenfalls für alle ausgewählten Rollen automatisch aktiviert. 9. Klicken Sie auf Save Changes. 10. (Optional) Ändern Sie auf der Registerkarte Bookmarks das vom IVE erstellte Standardlesezeichen, und/oder erstellen Sie neue Lesezeichen. Befolgen Sie dazu die Anweisungen unter „Definieren eines Weblesezeichens“ auf Seite 327. (Standardmäßig erstellt das IVE ein Lesezeichen für die in Base URL definierte Basis-URL und zeigt dieses allen Benutzern an, die der auf der Registerkarte Roles angegebenen Rolle zugeordnet sind.) Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen 309 Juniper Networks Secure Access – Administratorhandbuch Definieren von Basis-URLs Erstellen Sie ein Webressourcenprofil, muss beim Definieren von Basis-URLs das folgende Format verwendet werden: [protocol://]host[:port][/path] Dieses Format umfasst folgende Komponenten: Protokoll (erforderlich) – Mögliche Werte: http:// und https://. Innerhalb des Protokolls können keine Sonderzeichen verwendet werden. Host (erforderlich) – Mögliche Werte: DNS-Hostname – Beispiel: www.juniper.com IP-Adresse – Geben Sie die IP-Adresse in folgendem Format an: a.b.c.d. Beispiel: 10.11.149.2. In der IP-Adresse dürfen keine Sonderzeichen verwendet werden. Ports – Geben Sie das Trennzeichen „:“ ein, wenn ein Port angegeben wird (optional). Beispiel: 10.11.149.2/255.255.255.0:* Pfad – Beim Angeben eines Pfads für eine Basis-URL erlaubt das IVE keine Sonderzeichen (optional). Wird ein Pfad angegeben, muss das Trennzeichen „/“ verwendet werden. Beispiel: http://www.juniper.net/sales. Definieren einer automatischen Richtlinie für die Webzugriffssteuerung Mit Webzugriffsrichtlinien wird festgelegt, auf welche Webressourcen Benutzer zugreifen können, um eine Verbindung zum Internet, Intranet oder Extranet herzustellen. Beim Definieren eines benutzerdefinierten Webressourcenprofils muss eine entsprechende automatische Richtlinie für die Webzugriffssteuerung aktiviert werden, mit der der Zugriff auf die Primärressource des Profils ermöglicht wird. Das IVE vereinfacht diesen Prozess durch automatisches Erstellen einer automatischen Richtlinie, mit der der Zugriff auf die Webressource und alle Unterverzeichnisse ermöglicht wird. Bei Bedarf können Sie diese standardmäßige automatische Richtlinie ändern oder ergänzende automatische Richtlinien für die Webzugriffssteuerung, die den Zugriff auf zusätzliche Ressourcen steuern, erstellen. Zum Beispiel kann die IT-Abteilung einen Server verwenden, um Webseiten für das firmeninterne Intranet (http://intranetserver.com) zu speichern und mit einem weiteren Server die Bilder speichern, die von diesen Webseiten referenziert werden. (http://imagesserver.com). In diesem Fall können zwei automatische Richtlinien für die Webzugriffssteuerung erstellt werden, mit denen der Zugriff auf beide Server ermöglicht wird, damit die Benutzer sowohl auf die Webseiten als auch auf die entsprechenden Bilder zugreifen können. So erstellen Sie eine neue automatische Richtlinie für die Webzugriffssteuerung: 1. Erstellen Sie anhand der Erklärungen in den folgenden Abschnitten ein benutzerdefiniertes Ressourcenprofil für Webanwendungen: 310 Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen Kapitel 13: Neuschreiben von Webinhalt „Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen“ auf Seite 308 „Definieren von Ressourcenprofilen: Citrix-Webanwendungen“ auf Seite 329 „Definieren von Ressourcenprofilen: Microsoft OWA“ auf Seite 333 „Definieren von Ressourcenprofilen: Lotus iNotes“ auf Seite 336 „Definieren von Ressourcenprofilen: Microsoft Sharepoint“ auf Seite 338 2. Klicken Sie auf die Schaltfläche Show ALL autopolicy types (falls vorhanden), um die Konfigurationsoptionen für die Auto-Richtlinien anzuzeigen. 3. Aktivieren Sie ggf. das Kontrollkästchen Autopolicy: Web Access Control. 4. Geben Sie im Feld Resource den Webserver oder die HTML-Seite an, für den bzw. für die mit folgendem Format der Zugriff gesteuert werden soll: [Protokoll://]Host[:Ports][/Pfad]. Detaillierte Anweisungen finden Sie in „Definieren von Webressourcen“ auf Seite 311. 5. Wählen Sie in der Liste Action Allow aus, um den Zugriff auf die angegebene Ressource zu ermöglichen, oder wählen Sie Deny aus, um den Zugriff auf die angegebene Ressource zu verhindern. 6. Klicken Sie auf Add. 7. Klicken Sie auf Save Changes. Definieren von Webressourcen Beim Erstellen eines benutzerdefinierten Webressourcenprofil (z.B. unter „Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen“ auf Seite 308 erläutert) muss beim Definieren von Ressourcen für automatische Richtlinien folgendes Format verwendet werden: [protocol://]host[:ports][/path] Dieses Format umfasst folgende vier Komponenten: Protokoll (erforderlich) – Mögliche Werte: http:// und https://. Innerhalb des Protokolls können keine Sonderzeichen verwendet werden. Host (erforderlich) – Mögliche Werte: DNS-Hostname – Beispiel: www.juniper.com Verwenden Sie folgende im Hostnamen erlaubten Sonderzeichen: Tabelle 19: Sonderzeichen für DNS-Hostname * Entspricht ALLEN Zeichen. % Entspricht einem beliebigen Zeichen außer dem Punkt (.) ? Entspricht genau einem Zeichen Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen 311 Juniper Networks Secure Access – Administratorhandbuch IP-Adresse/Netzmaske – Geben Sie die IP-Adresse in folgendem Format an: a.b.c.d Verwenden Sie eines der zwei Formate für die Netzmaske: Präfix: Obere Bits IP: a.b.c.d Beispiel: 10.11.149.2/24 or 10.11.149.2/255.255.255.0 In der IP-Adresse oder Netzmaske dürfen keine Sonderzeichen verwendet werden. Ports – Geben Sie das Trennzeichen _:_ ein, wenn ein Port angegeben wird (optional). Beispiel: 10.11.149.2/255.255.255.0:* Tabelle 20: Mögliche Werte für Port * Entspricht ALLEN Ports; andere Sonderzeichen können nicht verwendet werden. Port[,Port]* Eine durch Kommata getrennte Liste einzelner Ports. Gültige Portnummern sind [1-65535]. [Port 1]-[Port 2] Ein Portbereich, von Port 1 bis einschließlich Port 2. HINWEIS: Sie können Portlisten und Portbereiche mischen. Beispiel: 80,443,8080-8090 Wenn kein Port angegeben ist, wird der Standardport 80 für http und 443 für https zugewiesen. 312 Pfad – Beim Angeben eines Pfads für eine automatische Richtlinie für die Webzugriffssteuerung kann das Zeichen _*_ verwendet werden. Dies bedeutet, dass ALLE Pfade übereinstimmen (optional). (Das IVE unterstützt keine anderen Sonderzeichen.) Wird ein Pfad angegeben, muss das Trennzeichen _/_ verwendet werden. Beispiel: http://www.juniper.net/sales http://www.juniper.net:80/* https://www.juniper.net:443/intranet/* Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen Kapitel 13: Neuschreiben von Webinhalt Definieren einer automatischen Richtlinie für Single Sign-On (Einzelanmeldung) Mithilfe von Single Sign-On-Richtlinien können Benutzerdaten an die in der Richtlinie angegebene Webanwendung übertragen werden (wie unter „Einzelanmeldung“ auf Seite 203 erläutert). Automatische Richtlinien für Single Sign-On (Einzelanmeldung) vermitteln auch von Ihnen übertragene Daten. HINWEIS: Informationen über die Konfiguration von erweiterten SSO-Optionen, die in Ressourcenprofilen nicht verfügbar sind, einschließlich Hinweisen zur Deaktivierung der Vermittlung für angegebene Ressourcen oder zur Verwendung von SAML für einzelne Ressourcen, finden Sie unter „Definieren von Ressourcenrichtlinien: Single Sign-On (Einzelanmeldung)“ auf Seite 350. So erstellen Sie eine automatische Richtlinie für Single Sign-On (SSO, Einzelanmeldung ): 1. Erstellen Sie anhand der Erklärungen in den folgenden Abschnitten ein Webressourcenprofil: „Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen“ auf Seite 308 „Definieren von Ressourcenprofilen: Citrix-Webanwendungen“ auf Seite 329 „Definieren von Ressourcenprofilen: Lotus iNotes“ auf Seite 336 „Definieren von Ressourcenprofilen: Microsoft Sharepoint“ auf Seite 338 2. Klicken Sie auf die Schaltfläche Show ALL autopolicy types (falls vorhanden), um die Konfigurationsoptionen für die Auto-Richtlinien anzuzeigen. 3. Aktivieren Sie das Kontrollkästchen Autopolicy: Single Sign-On. 4. Wählen Sie eine SSO-Methode aus, und konfigurieren Sie die entsprechenden SSO-Optionen: Basic Auth—Aktiviert das IVE, um die Anfrage-/Antwortsequenz während der Standardauthentifizierung zu vermitteln und verwendet die gesammelten Anmeldedaten, um sich innerhalb derselben Intranetzone bei einer geschützten Ressource anzumelden. Genaue Konfigurationsanweisungen finden Sie unter „Angeben von Optionen für die Standardauthentifizierung oder für automatische Richtlinien für NTLM-SSO“ auf Seite 314. (Diese Option ist nicht für Citrix-Ressourcenprofile gültig.) NTLM—Aktiviert das IVE, um die Anfrage-/Antwortsequenz während der NTLM-Authentifizierung zu vermitteln und verwendet die gesammelten Anmeldedaten, um sich innerhalb derselben Intranetzone bei einer geschützten Ressource anzumelden. Genaue Konfigurationsanweisungen finden Sie unter „Angeben von Optionen für die Standardauthentifizierung oder für automatische Richtlinien für NTLM-SSO“ auf Seite 314. (Diese Option ist nicht für Citrix-Ressourcenprofile gültig.) Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen 313 Juniper Networks Secure Access – Administratorhandbuch Remote SSO – Aktiviert das IVE, um die von Ihnen angegebenen Daten (einschließlich IVE-Benutzernamen, -Kennwörtern und -Systemdaten, die von Variablen gespeichert werden) an Webanwendungen zu senden. Mit dieser Option können auch benutzerdefinierte Header und Cookies angegeben werden, die an Webanwendungen gesendet werden sollen. Genaue Konfigurationsanweisungen finden Sie unter „Angeben von Optionen für automatische Richtlinien für Remote-SSO“ auf Seite 315. 5. Klicken Sie auf Save Changes. Angeben von Optionen für die Standardauthentifizierung oder für automatische Richtlinien für NTLM-SSO So konfigurieren Sie Optionen für die Standardauthentifizierung oder für automatische Richtlinien für NTLM-SSO: 1. Erstellen Sie eine automatische Richtlinie für SSO, und wählen Sie Basic Auth oder NTLM aus (wie unter „Definieren einer automatischen Richtlinie für Single Sign-On (Einzelanmeldung)“ auf Seite 313 erläutert). 2. Geben Sie im Feld Resource die Ressourcen an, für die diese Richtlinie gelten soll. Detaillierte Anweisungen finden Sie in „Definieren von Webressourcen“ auf Seite 311. HINWEIS: Beachten Sie beim Eingeben einer Ressource in dieses Feld Folgendes: Wenn das IVE automatisch Werte an eine bestimmte URL senden soll, wenn ein Endbenutzer auf ein IVE-Lesezeichen klickt, muss die hier eingegebene Ressource genau mit der im Feld Base URL angegebenen URL des Ressourcenprofils übereinstimmen. Soll das IVE automatisch IVE-Benutzeranmeldedaten an andere Websites in derselben Intranetzone senden, muss der hier eingegebene Hostname auf die DNS-Suffix enden, die auf der Seite System > Network > Overview der Administratorkonsole konfiguriert ist. 3. Wählen Sie eine der folgenden Aktionsoptionen aus: Use system credentials – Das IVE vermittelt die Anfrage-/Antwortsequenz, speichert die erfassten Anmeldedaten zwischen und verwendet die Daten dann, um die Einzelanmeldung (Single Sign-On) basierend auf den zuvor im IVE konfigurierten Systemanmeldedaten zu aktivieren. Use predefined credentials – Das IVE vermittelt die Anfrage-/Antwortsequenz, speichert die erfassten Anmeldedaten zwischen und verwendet die Daten dann, um die SSO (Single Sign-On, Einzelanmeldung) zu aktivieren. Bei Auswahl dieser Option müssen Sie auch die folgenden Parameter für Vermittlungsanmeldedaten angeben: 314 Username – Gibt den SSO-Benutzernamen an, mit dem das IVE Anmeldedaten überprüft. Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen Kapitel 13: Neuschreiben von Webinhalt Password – Gibt das SSO-Kennwort an, mit dem das IVE Anmeldedaten überprüft. Verwenden Sie ein statisches (wie z.B. _open_sesame) oder ein variables Kennwort (wie <PASSWORD>), um die Anmeldedaten zu überprüfen. Domain – Gibt den Domänennamen an (nur NTLM). Disable SSO – Das IVE deaktiviert die automatische SSO-Authentifizierung für diese Benutzerrolle und fordert stattdessen den Benutzer zur Eingabe der Anmeldedaten auf. Angeben von Optionen für automatische Richtlinien für Remote-SSO So konfigurieren Sie Optionen für automatische Richtlinien für Remote-SSO: 1. Erstellen Sie eine automatische Richtlinie für SSO mithilfe eines benutzerdefinierten Webressourcenprofils, und wählen Sie Remote SSO (wie unter „Definieren einer automatischen Richtlinie für Single Sign-On (Einzelanmeldung)“ auf Seite 313 erläutert) aus. Oder erstellen Sie ein benutzerdefiniertes Citrix-Ressourcenprofil, und wählen Sie Autopolicy: Single Sign on aus (wie unter „Definieren von Ressourcenprofilen: Citrix-Webanwendungen“ auf Seite 329 erläutert). 2. Möchten Sie einen Form-POST ausführen, wenn ein Benutzer eine Anfrage an die im Feld Resource angegebene Ressource richtet, aktivieren Sie das Kontrollkästchen POST the following data. Gehen Sie anschließend folgendermaßen vor: a. Geben Sie im Feld Resource die Anmeldeseite der Anwendung an, wie z.B. die folgende: http://yourcompany.com. Das IVE akzeptiert keine Platzhalterzeichen in diesem Feld. HINWEIS: Wenn das IVE automatisch Werte an eine bestimmte URL senden soll, wenn ein Endbenutzer auf ein IVE-Lesezeichen klickt, muss die hier eingegebene Ressource genau mit der im Feld Base URL oder Web Interface (NFuse) URL angegebenen URL des Ressourcenprofils übereinstimmen. b. Geben Sie im Feld Post URL die absolute URL an, in der die Anwendung die Anmeldedaten des Benutzers bereitstellt (siehe folgendes Beispiel): http://yourcompany.com/login.cgi. Sie können mithilfe eines TCP-Dump oder durch Anzeigen der Anmeldeseite der Anwendung und Suchen nach dem POST-Parameter im Tag FORM die geeignete URL bestimmen. c. Geben Sie optional die zu sendenden Benutzerdaten und die Änderungsberechtigungen für Benutzer an. Geben Sie in den folgenden Feldern Daten ein, um die zu sendenden Benutzerdaten anzugeben, und klicken Sie auf Add: Label – Text, der auf der Seite Preferences des Benutzers im IVE angezeigt wird. Dieses Feld ist erforderlich, wenn Sie Benutzern erlauben oder von ihnen fordern, Daten zu ändern, die an Back-EndAnwendungen gesendet werden. Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen 315 Juniper Networks Secure Access – Administratorhandbuch Name – Dieser Name bezeichnet die Daten im Feld Value. (Dieser Name wird vermutlich von der Back-End-Anwendung erwartet.) Value – Der Wert, der für den angegebenen Name an das Formular gesendet wird. Geben Sie statische Daten, eine Systemvariable (unter „Systemvariablen und Beispiele“ auf Seite 920 finden Sie eine Liste mit Variablen) oder IVE-Sitzungsvariablen ein, die Werte für den Benutzernamen und das Kennwort enthalten (weitere Informationen finden Sie unter „Anmeldedaten für mehrfaches Anmelden – Übersicht“ auf Seite 205). User modifiable? – Setzen Sie diese Einstellung auf Not modifiable, wenn Benutzer keine Informationen im Feld Value ändernkönnen sollen. Setzen Sie sie auf User CAN change value, wenn Sie es Benutzern ermöglichen möchten, Daten für eine Back-End-Anwendung anzugeben. Setzen Sie diese Einstellung auf User MUST change value, wenn Benutzer zusätzliche Daten eingeben müssen, um auf die BackEnd-Anwendung zugreifen zu können. Wenn Sie eine der letzteren Einstellungen auswählen, wird auf der Benutzerseite Advanced Preferences auf dem IVE ein Dateneingabefeld angezeigt. Dieses Feld wird mit dem im Feld User label eingegebenen Text beschriftet. Wenn Sie im Feld Value einen Wert angeben, wird dieser im Feld angezeigt, kann jedoch geändert werden. d. Aktivieren Sie das Kontrollkästchen Deny direct login for this resource, wenn Benutzer auf einer Anmeldeseite ihre Anmeldedaten nicht manuell eingeben sollen. (Beim Fehlschlagen des Form-POSTs wird den Benutzern u. U. eine Anmeldeseite angezeigt.) e. Aktivieren Sie das Kontrollkästchen Allow multiple POSTs to this resource, wenn Sie mit dem IVE POST- und Cookie-Werte ggf. mehrmals an die Ressource senden möchten. Wird diese Option nicht ausgewählt, unternimmt das IVE keinen Single Sign-On-Versuch, wenn ein Benutzer während derselben Sitzung dieselbe Ressource mehr als einmal anfordert. 3. Möchten Sie Headerdaten an die angegebene URL senden, wenn ein Benutzer eine Anforderung an eine im Feld Resource angegebene Ressource richtet, aktivieren Sie das Kontrollkästchen Send the following data as request headers. Gehen Sie anschließend folgendermaßen vor: a. Geben Sie im Abschnitt Resource die Ressourcen an, für die diese Richtlinie gelten soll. Weitere Informationen finden Sie unter „Definieren von Webressourcen“ auf Seite 311. b. Geben Sie in den folgenden Feldern die zu sendenden Headerdaten an, und klicken Sie auf Add (optional). Header name – Text, den das IVE als Headerdaten sendet. Value – Wert für den angegebenen Header. 4. Klicken Sie auf Save Changes. 316 Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen Kapitel 13: Neuschreiben von Webinhalt Definieren einer automatischen Richtlinie für Zwischenspeicherung Mit Zwischenspeicherungsrichtlinien wird festgelegt, welchen Webinhalt das IVE auf dem Computer eines Benutzers zwischenspeichert. HINWEIS: Informationen über die Konfiguration von erweiterten in den Ressourcenprofilen nicht verfügbaren Zwischenspeicherungsoptionen, einschließlich Hinweisen zum Angeben der maximal zulässigen Bildgröße für zwischengespeicherten Inhalt, finden Sie unter „Definieren von Ressourcenrichtlinien: Caching“ auf Seite 358. Informationen über empfohlene Zwischenspeicherungseinstellungen für OWA- und Lotus Notes-Anwendungen finden Sie unter „Erstellen von OWA- und Lotus Notes-Ressourcenrichtlinien für die Zwischenspeicherung“ auf Seite 361. So erstellen Sie eine automatische Richtlinie für Webzwischenspeicherung: 1. Erstellen Sie anhand der Erklärungen in den folgenden Abschnitten ein benutzerdefiniertes Ressourcenprofil für Webanwendungen: „Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen“ auf Seite 308 „Definieren von Ressourcenprofilen: Microsoft OWA“ auf Seite 333 „Definieren von Ressourcenprofilen: Lotus iNotes“ auf Seite 336 2. Klicken Sie auf die Schaltfläche Show ALL autopolicy types (falls vorhanden), um die Konfigurationsoptionen für die Auto-Richtlinien anzuzeigen. 3. Aktivieren Sie das Kontrollkästchen Autopolicy: Caching. 4. Geben Sie im Feld Resource die Ressourcen an, für die diese Richtlinie gelten soll. Detaillierte Anweisungen finden Sie in „Definieren von Webressourcen“ auf Seite 311. 5. Wählen Sie im Feld Action eine der folgenden Optionen aus: Smart – Wählen Sie diese Option aus, um dem IVE das Senden eines cache-control:no-store-Headers oder eines cache-control:no-cache-Headers basierend auf dem Webbrowser- und dem Inhaltstyp zu ermöglichen. Bei Auswahl dieser Option erhöht das IVE die Zuverlässigkeit von Medienund Zip-Dateien, da die cache-control-Header des Ursprungsservers entfernt werden. Die folgende Logik sucht z.B. in Benutzeragent-Headern nach _msie_ oder _windows-media-player_, um cache- oder cache-control:nostore-Antwortheader zu entfernen und eine Zwischenspeicherung von Dateien zu ermöglichen: (if content type has "audio/x-pn-realaudio" OR if content type begins with "video/" OR if content type begins with "audio/" OR if content type is "application/octet-stream" and the file extension begins with "rm" or "ram" ) Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen 317 Juniper Networks Secure Access – Administratorhandbuch Findet das IVE in den Benutzeragent-Headern „msie“ oder „windows-mediaplayer“, sind alle folgenden Dateitypen gültig: Die Anforderung gilt für Flash-,.xls,.pps, und.ppt-Dateien. Der Content-Type lautet application/, text/rtf, text/xml, model/ Der Ursprungsserver sendet einen Content-Disposition-Header. Anschließend sendet das IVE den cache-control:no-store-Header und entfernt den Cachesteuerungs-Header des Ursprungsservers. In allen anderen Fällen fügt das IVE pragma:no-cache- oder cache-control:nostore-Antwortheader hinzu. HINWEIS: .ica -Dateien von Citrix sowie QuickPlace-Dateien werden anders behandelt.ica-Dateien von Citrix können immer zwischengespeichert werden und rufen auch cache-control:private ab. QuickPlace-Dateien, die keiner festgelegten Regel (die Vorrang hat) entsprechen, erhalten die Header CCNS und cachecontrol:private. Wenn Sie diese Option auswählen, die GZIP-Komprimierung aktivieren und mit Domino Web Access 6.5 über Internet Explorer auf eine angehängte Textdatei zugreifen, können Sie den Anhang nicht öffnen. Um Textanhänge zu öffnen, müssen Sie entweder den Internet Explorer-Patch 323308 installieren oder die Option No Store aktivieren. No-Store—Wählen Sie diese Option, um Anhänge an Internet Explorer zu senden, ohne sie auf der Festplatte zu speichern. (Der Browser schreibt die Dateien kurzfristig auf die Festplatte, entfernt sie aber sofort wieder, sobald die Datei im Browser geöffnet wird.) Wenn Sie diese Option auswählen, entfernt das IVE die Cachesteuerungs-Header des Ursprungsservers und fügt stattdessen einen Antwortheader vom Typ cache-control:no-store hinzu, falls die vom Browser gesendete User-Agent-Zeichenfolge „msie“ oder „windowsmedia-player“ enthält. Diese Option kann jedoch auch zu einer Verlangsamung des Browsers führen, weil sie zum wiederholten Abrufen von Inhalten führt. Bei sehr langsamen Verbindungen können Probleme mit der Systemleistung auftreten. No-Cache – Verhindern Sie mit dieser Option, dass der Browser des Benutzers Dateien auf dem Datenträger zwischenspeichert. Bei Auswahl dieser Option fügt das IVE Antwortdateien den standardmäßigen HTTPpragma:no-cache-Header und den cache-control:no-cache (CCNC)-Header (HTTP 1.1) hinzu. Zudem leitet das IVE nicht die Zwischenspeicherungsheader des Ursprungsservers weiter, wie z.B. age, date, etag, last-modified, expires. HINWEIS: Sind no-cache-Header in verschiedenen Anhangstypen enthalten (PDF, PPT, Streamingdateien), bearbeitet Internet Explorer die Dokumente nicht ordnungsgemäß, da der Bearbeitungsprozess ein temporäres Zwischenspeichern dieser Dateien durch den Browser erfordert. 318 Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen Kapitel 13: Neuschreiben von Webinhalt Unchanged – Das IVE fügt die pragma:no-cache- oder cache-control:nostore-Antwortheader nicht hinzu und leitet die Zwischenspeicherungsheader des Ursprungsservers weiter. 6. Klicken Sie auf Add. 7. Klicken Sie auf Save Changes. Definieren einer automatischen Richtlinie für die Java-Zugriffssteuerung Eine automatische Richtlinie für die Java-Zugriffssteuerung definiert die Liste der Server und Ports, zu denen Java-Applets eine Verbindung herstellen können (wie in „Verwenden von Codesignaturzertifikaten“ auf Seite 672 erläutert). Diese automatische Richtlinie gibt überdies an, welche Ressourcen das IVE mit dem Codesignaturzertifikat signiert, das in das IVE hochgeladen wurde. Beim Aktivieren der Java-Zugriffssteuerung mit dieser Auto-Richtlinie aktiviert das IVE automatisch die Option Allow Java applets auf der Seite Users > User Roles > Rolle auswählen > Web > Options der Administratorkonsole. HINWEIS: Informationen über die Konfiguration von erweiterten nicht in den Ressourcenprofilen verfügbaren Java-Optionen, einschließlich Hinweisen, wie man Java-Applets daran hindert, eine Verbindung zu Servern herzustellen, finden Sie unter „Definieren von Ressourcenrichtlinien: Externe Java-Applets“ auf Seite 362. Information über das Hosten von Java-Applets direkt über das IVE finden Sie unter „Gehostete Java-Applets“ auf Seite 387. So erstellen Sie eine automatische Richtlinie für die Java-Zugriffssteuerung: 1. Erstellen Sie anhand der Erklärungen in „Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen“ auf Seite 308 ein benutzerdefiniertes Ressourcenprofil für Webanwendungen. 2. Klicken Sie auf Show ALL autopolicy types. 3. Aktivieren Sie das Kontrollkästchen Autopolicy: Java Access Control. 4. Geben Sie im Feld Resource die Serverressourcen an, für die diese Richtlinie gilt. Verwenden Sie dabei folgendes Format: host:[ports]. (Standardmäßig trägt das IVE in dieses Feld den in der Basis-URL des Ressourcenprofils angegebenen Server ein.) Weitere detaillierte Anweisungen finden Sie unter „Definieren eines Servers, zu dem Java-Applets eine Verbindung herstellen können“ auf Seite 320. 5. Wählen Sie aus der Liste Action eine der folgenden Optionen aus: Allow socket access – Erlaubt, dass Java-Applets eine Verbindung mit den Servern (und ggf. Ports) in der Liste Resource herstellen. Deny socket access – Verhindert, dass Java-Applets eine Verbindung mit den Servern (und ggf. Ports) in der Liste Resource herstellen. Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen 319 Juniper Networks Secure Access – Administratorhandbuch 6. Klicken Sie auf Add. 7. Aktivieren Sie das Kontrollkästchen Sign applets with code-signing certificate, um die angegebenen Ressourcen mithilfe des über die Seite System > Configuration > Certificates > Code-signing Certificates der Administratorkonsole hochgeladenen Zertifikats neu zu signieren. (Das IVE verwendet das importierte Zertifikat, um die im Feld Resources angegebenen Serverressourcen zu signieren.) 8. Klicken Sie auf Save Changes. Definieren eines Servers, zu dem Java-Applets eine Verbindung herstellen können Verwenden Sie folgendes Format, wenn Sie Server definieren, zu denen JavaApplets eine Verbindung herstellen können: host[:ports] Dieses Format umfasst zwei Komponenten: Host (erforderlich) – Mögliche Werte: DNS-Hostname – Beispiel: www.juniper.com Verwenden Sie folgende im Hostnamen erlaubten Sonderzeichen: Tabelle 21: Sonderzeichen für DNS-Hostname * Entspricht ALLEN Zeichen. % Entspricht einem beliebigen Zeichen außer dem Punkt (.) ? Entspricht genau einem Zeichen IP-Adresse/Netzmaske – Geben Sie die IP-Adresse in folgendem Format an: a.b.c.d. Verwenden Sie eines der zwei Formate für die Netzmaske: Präfix: Obere Bits IP: a.b.c.d Beispiel: 10.11.149.2/24 or 10.11.149.2/255.255.255.0 In der IP-Adresse oder Netzmaske dürfen keine Sonderzeichen verwendet werden. Ports – Geben Sie das Trennzeichen _:_ ein, wenn ein Port definiert wird. Beispiel: 10.11.149.2/255.255.255.0:* Tabelle 22: Mögliche Werte für Port 320 * Entspricht ALLEN Ports; andere Sonderzeichen können nicht verwendet werden. Port[,Port]* Eine durch Kommata getrennte Liste einzelner Ports. Gültige Portnummern sind [1-65535]. Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen Kapitel 13: Neuschreiben von Webinhalt Tabelle 22: Mögliche Werte für Port (Fortsetzung) [Port 1]-[Port 2] Ein Portbereich, von Port 1 bis einschließlich Port 2. HINWEIS: Sie können Portlisten und Portbereiche mischen. Beispiel: 80,443,8080-8090. Definieren einer automatischen Richtlinie für Neuschreibevorgänge Standardmäßig vermittelt das IVE alle Benutzeranforderungen an Webhosts, sofern Sie nicht die Anforderungsverarbeitung für bestimmte Hosts anhand eines anderen Verfahrens konfiguriert haben, z.B. Secure Application Manager. Schränken Sie mithilfe automatischer Richtlinien für Neuschreibevorgänge die Standardoptionen ein, indem Sie neu festlegen, mit welchen Mechanismen das IVE Webdaten neu schreiben soll, und definieren Sie Ressourcen, die nur minimal oder gar nicht neu geschrieben werden sollen. HINWEIS: Informationen über die Konfiguration von in den Ressourcenprofilen nicht verfügbaren Neuschreibeoptionen, einschließlich Hinweisen zum Angeben von ActiveX-Parametern, die das IVE neu schreiben soll, finden Sie unter „Definieren von Ressourcenrichtlinien: Neuschreiben“ auf Seite 366. So erstellen Sie eine automatische Richtlinie für Neuschreibevorgänge: 1. Erstellen Sie anhand der Erklärungen in „Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen“ auf Seite 308 ein benutzerdefiniertes Ressourcenprofil für Webanwendungen. 2. Klicken Sie auf Show ALL autopolicy types. 3. Aktivieren Sie das Kontrollkästchen Autopolicy: Rewriting Options. 4. Wählen Sie eine der folgenden Optionen aus: Passthrough Proxy – Wählen Sie diese Option aus, um Webanwendungen anzugeben, für die das Modul für die Inhaltsvermittlung eine minimale Vermittlung durchführt (wie unter „Durchgangsproxy – Überblick“ auf Seite 305 erläutert). Genaue Konfigurationsanweisungen finden Sie unter „Angeben von Auto-Richtlinienoptionen für Durchgangsproxy“ auf Seite 322. No rewriting (use WSAM) – Wählen Sie diese Option aus, um Inhalt mit WSAM anstelle des Moduls für Inhaltsvermittlung zu vermitteln. (Weitere Informationen zu WSAM finden Sie unter „W-SAM – Übersicht“ auf Seite 429.) Geben Sie anschließend den Anwendungsserver an, für den Sie Inhalt vermitteln möchten. (Klicken Sie zumindest auf Add, um Inhalt an den und von dem Server zu vermitteln, den das IVE aus der Richtlinie für die Webzugriffssteuerung extrahiert.) Genaue Konfigurationsanweisungen finden Sie unter „Angeben von Optionen für automatische Richtlinien für WSAM-Neuschreibevorgänge“ auf Seite 324. Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen 321 Juniper Networks Secure Access – Administratorhandbuch No rewriting (use JSAM) – Wählen Sie diese Option aus, um Inhalt mit JSAM anstelle des Moduls für Inhaltsvermittlung zu vermitteln. (Informationen zu JSAM finden Sie unter „J-SAM Übersicht“ auf Seite 451.) Geben Sie anschließend den Anwendungsserver an, für den Sie Inhalt vermitteln möchten. (Klicken Sie dazu mindestens auf Add, um Inhalt an den und von dem Server zu vermitteln, den das IVE aus der Richtlinie für die Webzugriffssteuerung extrahiert.) Genaue Konfigurationsanweisungen finden Sie unter „Angeben von Optionen für automatische Richtlinien für JSAM-Neuschreibevorgänge“ auf Seite 324. No rewriting – Wählen Sie diese Option aus, um für die URL der automatischen Richtlinie automatisch eine Richtlinie für selektives Neuschreiben zu erstellen. Dadurch wird das IVE so konfiguriert wird, dass es keinen Inhalt an die und von der Ressource vermittelt. Verwenden Sie diese Option z.B., wenn Sie nicht möchten, dass das IVE Datenverkehr von Websites vermittelt, die sich außerhalb des firmeninternen Netzwerks befinden, wie z.B. yahoo.com. Bei Auswahl dieser Option müssen keine zusätzlichen Neuschreibeeinstellungen konfiguriert werden. 5. Klicken Sie auf Save Changes. Angeben von Auto-Richtlinienoptionen für Durchgangsproxy So konfigurieren Sie Auto-Richtlinienoptionen für Durchgangsproxy: 1. Erstellen Sie eine automatische Richtlinie für Neuschreibevorgänge, und wählen Sie die Option Passthrough Proxy aus (wie unter „Definieren einer automatischen Richtlinie für Neuschreibevorgänge“ auf Seite 321 erläutert). 2. Wählen Sie aus, wie die Durchgangsproxyfunktion aktiviert werden soll: 322 Use virtual hostname – Wenn Sie diese Option auswählen, müssen Sie einen Hostnamenalias für den Anwendungsserver angeben. Wenn das IVE eine Clientanforderung für den Hostnamenalias des Anwendungsservers empfängt, leitet es die Anforderung an den angegebenen Anwendungsserverport im Feld Base URL weiter. Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen Kapitel 13: Neuschreiben von Webinhalt Use IVE port – Wenn Sie diese Option auswählen, müssen Sie einen eindeutigen IVE-Port zwischen 11000-11099 angeben. Das IVE überwacht auf dem angegebenen IVE-Port die Clientanforderungen an den Anwendungsserver und leitet diese an den Anwendungsserverport weiter, der im Feld Base URL angegeben wurde. HINWEIS: Die entsprechende URL für das Ressourcenprofil muss den Hostnamen für den Anwendungsserver und den Port angeben, mit denen intern auf die Anwendung zugegriffen wird. für die Basis-URL kann kein Pfad angegeben werden. Aktivieren Sie zur Sicherstellung einer ordnungsgemäßen Ausführung von Sharepoint über das IVE in Internet Explorer das Kontrollkästchen Automatische Cookiebehandlung aufheben unter Extras/Internetoptionen > Datenschutz > Erweiterte Datenschutzeinstellungen, falls die folgenden Bedingungen zutreffen: Wählen Sie bei der Konfiguration des Durchgangsproxys die Option Use virtual hostname aus. Der in der Sharepoint-Konfiguration angegebene Hostname unterscheidet sich von dem über das IVE-Setup konfigurierten Hostnamen (bei unterschiedlichen Domänen). Aktivieren Sie permanente Cookies auf der Seite Users > User Roles > Rolle auswählen> General > Session Options der Administratorkonsole. 3. Aktivieren Sie das Kontrollkästchen Rewrite XML, um das IVE anzuweisen, URLs in XML-Inhalt neu zu schreiben. Wenn diese Option deaktiviert ist, sendet das IVE den XML-Inhalt unverändert an den Server. 4. Aktivieren Sie das Kontrollkästchen Rewrite external links, wenn das IVE alle dem Proxy angezeigten URLs neu schreiben soll. Wenn diese Option deaktiviert ist, schreibt das IVE nur diejenigen URLs neu, für die der Hostname als Teil der Richtlinie für Durchgangsproxys konfiguriert ist. 5. Aktivieren Sie das Kontrollkästchen Block cookies from being sent to the browser, wenn das IVE für den Browser des Clients vorgesehene Cookies blockieren soll. Das IVE speichert die Cookies lokal und sendet sie auf Anforderung an Anwendungen. 6. Aktivieren Sie das Kontrollkästchen Host-Header forwarding, wenn das IVE den Hostnamen als Teil des Host-Headers statt des eigentlichen HostBezeichners senden soll. HINWEIS: Die Option Host-Header forwarding ist nur im virtuellen Hostnamenmodus von Durchgangsproxys gültig. 7. Klicken Sie auf Save Changes. Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen 323 Juniper Networks Secure Access – Administratorhandbuch 8. Wählen Sie eine der folgenden Optionen aus: Use virtual hostname. In diesem Fall müssen Sie folgenden Vorgang ausführen: i. Fügen Sie einen Eintrag für jeden Hostnamenalias eines Anwendungsservers im externen DNS hinzu, der für das IVE aufgelöst wird. ii. Hochladen eines Serverzertifikats mit Platzhaltern in das IVE (empfohlen). Weitere Informationen zu Platzhalterzertifikaten finden Sie unter „Zuordnen eines Zertifikats zu einem virtuellen Port“ auf Seite 653. iii. Definieren Sie den IVE- und den Host-Namen im Abschnitt Network Identity der Registerkarte System > Network > Internal Port. Use IVE port. Sie müssen auch den Datenverkehr für den IVE-Port öffnen, den Sie für den Anwendungsserver in der Firmenfirewall angegeben haben. HINWEIS: Wenn die Anwendung mehrere Ports überwacht, konfigurieren Sie jeden Anwendungsport als separaten Durchgangsproxyeintrag mit einem separaten IVEPort. Wenn Sie über verschiedene Hostnamen oder IP-Adressen auf den Server zugreifen möchten, konfigurieren Sie jede dieser Optionen einzeln. In diesem Fall können Sie denselben IVE-Port verwenden. Angeben von Optionen für automatische Richtlinien für WSAMNeuschreibevorgänge So konfigurieren Sie Optionen für automatische Richtlinien für WSAMNeuschreibevorgänge: 1. Erstellen Sie eine automatische Richtlinie für Neuschreibevorgänge, und wählen Sie die Option No rewriting (use WSAM) aus (wie unter „Definieren einer automatischen Richtlinie für Neuschreibevorgänge“ auf Seite 321 erläutert). 2. Geben Sie im Feld Destination Ressourcen an, für die WSAM den Client-/Serververkehr zwischen dem Client und dem IVE sichert: Standardmäßig extrahiert das IVE den richtigen Server aus der Richtlinie für die Webzugriffssteuerung. Sie können den Server im Istzustand verwenden, ihn ändern und/oder der Liste neue Server hinzufügen. Geben Sie den Hostnamen (die Platzhalterzeichen „*“ oder „?“ sind zulässig) oder ein IP/Netzmaske-Paar an, wenn Sie einen Server angeben. Geben Sie mehrere Ports für einen Host als separate Einträge an. 3. Klicken Sie auf Add. 4. Klicken Sie auf Save Changes. Bei der Vermittlung über WSAM mittels dieser Auto-Richtlinie aktiviert das IVE automatisch die Option Secure Application Manager auf der Seite Users > User Roles > Rolle auswählen > General > Overview der Administratorkonsole. Angeben von Optionen für automatische Richtlinien für JSAM324 Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen Kapitel 13: Neuschreiben von Webinhalt Neuschreibevorgänge So konfigurieren Sie Optionen für automatische Richtlinien für JSAMNeuschreibevorgänge: 1. Erstellen Sie eine automatische Richtlinie für Neuschreibevorgänge, und wählen Sie die Option No rewriting (use JSAM) aus (wie unter „Definieren einer automatischen Richtlinie für Neuschreibevorgänge“ auf Seite 321 erläutert). 2. Geben Sie im Feld Server Name den DNS-Namen des Anwendungsservers oder die IP-Adresse des Servers ein. 3. Geben Sie im Feld Server Port den Port ein, an dem der Remoteserver die Clientverbindungen überwacht. Wenn beispielsweise Telnet-Verkehr von einem Remotecomputer weitergeleitet werden soll, legen Sie sowohl für den Clientport (an dem JSAM überwacht) als auch für den Serverport (an dem der Telnet-Server überwacht) Port 23 fest. HINWEIS: Sie aktivieren die Laufwerkzuordnung zu dieser Ressource, indem Sie 139 als Serverport eingeben. 4. Geben Sie ins Feld Client Loopback IP eine statische Loopbackadresse ein. Wenn Sie keine statische IP-Loopbackadresse angeben, weist das IVE eine dynamische IP-Loopbackadresse zu. Weitere Informationen zu statischen Loopbackadressen finden Sie unter „J-SAM Übersicht“ auf Seite 451. 5. Geben Sie im Feld Client Port den Port ein, den JSAM auf Verbindungen mit Clientanwendungen überwachen soll. Normalerweise stimmt der Wert für den lokalen Port mit dem für den Serverport überein, er unterscheidet sich in der Regel nur für Linux- oder Macintosh-Benutzer, die Anwendungen für die Portweiterleitung hinzufügen möchten, die Ports unter 1024 verwenden. HINWEIS: Sie aktivieren die Laufwerkzuordnung zu dieser Ressource, indem Sie 139 als Serverport eingeben. Sie können mehrere Anwendungen an einem einzigen Port konfigurieren, wie z.B. app1.mycompany.com, app2.mycompany.com, app3.mycompany.com. Wenn Sie keine statische Loopbackadresse zuweisen, weist das IVE jeder Anwendung eine dynamische Loopbackadresse (127.0.1.10, 127.0.1.11, 127.0.1.12) zu. JSAM überwacht diese Loopbackadressen dann am festgelegten Port. Wenn beispielsweise Datenverkehr für die Adresse 127.0.1.12 am angegebenen Port vorhanden ist, leitet das IVE den Datenverkehr an den Zielhost app3.mycompany.com weiter. 6. Wählen Sie zum automatischen Starten von JSAM Launch JSAM aus, wenn das IVE die Basis-URL erkennt. 7. Klicken Sie auf Add. 8. Klicken Sie auf Save Application oder Save + New. Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen 325 Juniper Networks Secure Access – Administratorhandbuch Definieren einer automatischen Richtlinie für Webkomprimierung Automatische Richtlinien für Webkomprimierung geben an, welche Webdatentypen das IVE komprimieren bzw. nicht komprimieren soll. Da Javascript z.B. in komprimiertem Zustand nicht funktioniert, kann mit dieser Funktion festgelegt werden, dass das IVE keine Javascriptdaten komprimiert, die an einen bzw. von einem E-Mail-Server weitergeleitet werden. Geben Sie dazu die folgende Ressource ein: http://owa.juniper.net/*.js. Weitere Informationen über die Komprimierung von Daten durch das IVE finden Sie unter „Komprimierung“ auf Seite 899. HINWEIS: Zum ordnungsgemäßen Komprimieren von Daten müssen die Komprimierung auf Systemebene aktiviert und automatische Richtlinien für Komprimierung erstellt werden. Aktivieren Sie die Komprimierung mithilfe der Einstellungen auf der Seite Maintenance > System > Options der Administratorkonsole. Anweisungen hierfür finden Sie unter „Aktivieren der Komprimierung auf Systemebene“ auf Seite 901. So erstellen Sie eine automatische Richtlinie für Webkomprimierung: 1. Erstellen Sie anhand der Erklärungen in den folgenden Abschnitten ein benutzerdefiniertes Ressourcenprofil für Webanwendungen: „Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen“ auf Seite 308 „Definieren von Ressourcenprofilen: Microsoft OWA“ auf Seite 333 „Definieren von Ressourcenprofilen: Lotus iNotes“ auf Seite 336 2. Klicken Sie auf die Schaltfläche Show ALL autopolicy types (falls vorhanden), um die Konfigurationsoptionen für die Auto-Richtlinien anzuzeigen. 3. Aktivieren Sie das Kontrollkästchen Autopolicy: Web compression. 4. Geben Sie im Feld Resource die Ressourcen an, für die diese Richtlinie gelten soll. Detaillierte Anweisungen finden Sie in „Definieren von Webressourcen“ auf Seite 311. 5. Wählen Sie aus der Liste Action eine der folgenden Optionen aus: Compress – Das IVE komprimiert die unterstützten Inhaltstypen der angegebenen Ressource. Do not compress – Das IVE komprimiert die unterstützten Inhaltstypen der angegebenen Ressource nicht. 6. Klicken Sie auf Add. 7. Klicken Sie auf Save Changes. 326 Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen Kapitel 13: Neuschreiben von Webinhalt Definieren eines Weblesezeichens Beim Erstellen eines Webressourcenprofils erstellt das IVE automatisch ein Lesezeichen auf die primäre URL oder Domäne, die Sie im Ressourcenprofil angegeben haben. Das IVE ermöglicht das Bearbeiten dieses Lesezeichens und das Erstellen zusätzlicher Lesezeichen in der gleichen Domäne. Sie erstellen beispielsweise ein Ressourcenprofil, dass den Zugriff auf Ihr Firmenintranet steuert. In dem Profil geben Sie Folgendes an: Ressourcenprofilname: Ihr Intranet Primäre Ressource: http://intranet.com Auto-Richtlinie für die Webzugriffssteuerung: Zugriff ermöglichen auf http://intranet.com:80/* Rollen: Sales, Engineering Beim Erstellen dieser Richtlinie erstellt das IVE automatisch ein Lesezeichen mit dem Namen „Ihr Intranet“, gewährt Zugriff auf http://intranet.com und zeigt das Lesezeichen allen Mitgliedern der Rollen „Sales“ und „Engineering“ an. Sie können dann die folgenden zusätzlichen Lesezeichen erstellen, die dem Ressourcenprofil verknüpft sind: Lesezeichen „Sales Intranet“: Erstellt einen Link zur Seite http://intranet.com/sales und zeigt den Link den Mitgliedern der Rolle Sales an. Lesezeichen „Engineering Intranet“: Erstellt einen Link zur Seite http://intranet.com/engineering und zeigt den Link den Mitgliedern der Rolle Engineering an. HINWEIS: Beachten Sie beim Konfigurieren von Lesezeichen Folgendes: Sie können Lesezeichen nur Rollen zuweisen, die Sie bereits dem Ressourcenprofil zugeordnet haben. Sie können sie nicht allen Rollen im IVE zuweisen. Um die Liste der dem Ressourcenprofil zugeordneten Rollen zu ändern, verwenden Sie die Einstellungen auf der Registerkarte Roles des Profils. Die Lesezeichen legen im Grunde genommen nur fest, welche Links das IVE den Benutzern anzeigt. Sie legen nicht die Ressourcen fest, auf die der Benutzer zugreifen kann. In dem Beispiel oben würde einem Mitglied der Rolle Sales_ beispielsweise kein Link zur Seite Engineering Intranet_ angezeigt. Das Mitglied könnte aber durch Eingabe von http://intranet.com/engineering in der Adressleiste des Webbrowsers auf die Seite zugreifen. Sie können keine Lesezeichen erstellen, die auf zusätzliche durch automatische Richtlinien für die Webzugriffssteuerung definierte URLs und Domänen verweisen. Weitere Informationen über Lesezeichen für Ressourcenprofile finden Sie unter „Definieren von Lesezeichen“ auf Seite 82. Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen 327 Juniper Networks Secure Access – Administratorhandbuch So konfigurieren Sie Lesezeichen für Webressourcenprofile: 1. Wenn Sie Lesezeichen für Ressourcenprofile über die standardmäßige Ressourcenprofilseite erstellen möchten, gehen Sie folgendermaßen vor: a. Navigieren Sie zur Seite Users > Resource Profiles > Web > Ressourcenprofil auswählen > Bookmarks in der Administratorkonsole. b. Klicken Sie in der Spalte Bookmark auf den entsprechenden Link, wenn Sie ein vorhandenes Lesezeichen bearbeiten möchten. Oder klicken Sie auf New Bookmark, um ein zusätzliches Lesezeichen zu erstellen. Wenn Sie stattdessen ein Lesezeichen für Ressourcenprofile über die Seite mit den Benutzerrollen erstellen möchten, gehen Sie folgendermaßen vor: a. Navigieren Sie zur Seite Users > User Roles > Rolle auswählen > Web > Bookmarks in der Administratorkonsole. b. Klicken Sie auf New Bookmark. c. Wählen Sie in der Liste Type Pick a Web Resource Profile aus. (Das IVE zeigt diese Option nur an, wenn Sie zuvor ein Webressourcenprofil erstellt haben.) d. Wählen Sie ein Ressourcenprofil. e. Klicken Sie auf OK. (Wenn Sie die ausgewählte Rolle noch dem Ressourcenprofil zugeordnet haben, führt das IVE diese Zuordnung automatisch aus. Das IVE aktiviert zudem alle vom Ressourcenprofil geforderten Zugriffssteuerungsrichtlinien für die Rolle.) f. Wenn diese Rolle noch nicht dem ausgewählten Ressourcenprofil zugeordnet ist, zeigt das IVE eine entsprechende Meldung an. Wenn diese Meldung angezeigt wird, klicken Sie auf Save Changes, um diese Rolle der Liste mit den Rollen des Ressourcenprofils hinzuzufügen und die Auto-Richtlinien des Profils entsprechend zu aktualisieren. Wiederholen Sie anschließend die vorangegangenen Schritte, um das Lesezeichen zu erstellen. HINWEIS: Wenn Sie ein Lesezeichen für ein Ressourcenprofil über die Seite mit den Benutzerrollen erstellen (anstatt über die standardmäßige Ressourcenprofilseite), ordnet das IVE nur das generierte Lesezeichen der ausgewählten Rolle zu. Das IVE weist das Lesezeichen nicht allen Rollen zu, die dem ausgewählten Ressourcenprofil zugeordnet sind. 2. Ändern Sie bei Bedarf den Namen und die Beschreibung des Lesezeichens. (In der Standardeinstellung füllt das IVE die Namen des Lesezeichens unter Verwendung des Ressourcenprofilnamens auf.) 328 Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen Kapitel 13: Neuschreiben von Webinhalt 3. Fügen Sie im Feld URL der URL ein Suffix hinzu, wenn Sie Links zu Unterabschnitten der im primären Ressourcenprofil definierten Domäne erstellen möchten. Informationen zu Systemvariablen und Attributen, die in das Lesezeichen integriert werden, finden Sie unter „Verwendung von Systemvariablen in Bereichen, Rollen und Ressourcenrichtlinien“ auf Seite 929. HINWEIS: Geben Sie in dieses Feld eine eindeutige URL ein. Werden zwei Lesezeichen mit derselben URL erstellt, löscht das IVE eines der Lesezeichen aus der Endbenutzeransicht. Die beiden Lesezeichen können nach wie vor angezeigt werden, jedoch nur in der Administratorkonsole. 4. Aktivieren Sie unter Options das Kontrollkästchen Bookmark opens in new window, wenn das IVE automatisch die Webressource in einem neuen Browserfenster öffnen soll. Wählen Sie als Nächstes: Do not display browser address bar – Wählen Sie diese Option aus, um die Adressleiste aus dem Browserfenster zu entfernen. Diese Funktion veranlasst die Weiterleitung des gesamten Webdatenverkehrs über das IVE, indem verhindert wird, dass Benutzer in der angegebenen Rolle eine neue URL in die Adresszeile eingeben, durch den das IVE umgangen wird. Do not display browser toolbar – Wählen Sie diese Option aus, um das Men_ und die Symbolleiste aus dem Browser zu entfernen. Diese Funktion entfernt Menüs, Browserschaltflächen und Lesezeichen aus dem Browserfenster, um nur das Browsen über das IVE zu ermöglichen. 5. Wenn Sie das Lesezeichen über die Ressourcenprofilseiten konfigurieren, geben Sie unter Roles die Rollen an, für die Sie das Lesezeichen anzeigen möchten: ALL selected roles — Wählen Sie diese Option, um das Lesezeichen für alle dem Ressourcenprofil zugeordneten Rollen anzuzeigen. Subset of selected roles — Wählen Sie diese Option, um das Lesezeichen einem Teil der dem Ressourcenprofil zugeordneten Rollen anzuzeigen. Wählen Sie anschließend aus der Liste ALL Selected Roles Rollen aus, und klicken Sie auf Add, um die Rollen in die Liste Subset of selected roles zu verschieben. 6. Klicken Sie auf Save Changes. Definieren von Ressourcenprofilen: Citrix-Webanwendungen Bei einer Citrix-Webvorlage handelt es sich um ein Ressourcenprofil, mit dem nach Bedarf der Zugriff auf Citrix-Anwendungen gesteuert und die Citrix-Einstellungen konfiguriert werden. Citrix-Webvorlagen verringern die zur Konfiguration erforderliche Zeit erheblich, indem sie Konfigurationseinstellungen an einer Stelle sichern und abhängig vom ausgewählten Typ des Citrix-Setup eine Reihe von Ressourcenrichtlinieneinstellungen vorab ausfüllen. Definieren von Ressourcenprofilen: Citrix-Webanwendungen 329 Juniper Networks Secure Access – Administratorhandbuch Aufgrund der stark vereinfachten Konfigurationen sind Vorlagen die ideale CitrixKonfigurationsmethode, wenn von einem Webserver eines Drittanbieters stammende ActiveX- oder Java-Applets über das IVE gesendet werden oder wenn Citrix-Fat-Clients verwendet werden. Anstelle der traditionellen Konfigurationsoptionen für Rollen- und Ressourcenrichtlinien wird dringend die Verwendung von Citrix-Vorlagen empfohlen, die über das IVE abrufbar sind. Andere über das IVE abrufbare Citrix-Konfigurationsmethoden umfassen Network Connect, gehostete Java-Applets und Terminal Services. Verwenden Sie gehostete Java-Applets, wenn Sie Citrix-Java-Applets direkt über das IVE anstatt über einen Webserver eines Drittanbieters senden möchten (wie unter „Gehostete JavaApplets“ auf Seite 387 erläutert), oder verwenden Sie Terminal Services, wenn der Citrix-Client direkt über das IVE anstatt über einen Webserver eines Drittanbieters gesendet werden soll (wie unter „Terminal Services“ auf Seite 497 erläutert). Weitere Informationen über Vorlagen für Ressourcenprofile finden Sie unter „Ressourcenprofile“ auf Seite 75. HINWEIS: Citrix-Vorlagen können nicht in Verbindung mit Network Connect verwendet werden. So erstellen Sie ein Ressourcenprofil mithilfe einer Citrix-Vorlage: 1. Navigieren Sie zur Seite Users > Resource Profiles > Web Applications/Pages in der Administratorkonsole. 2. Klicken Sie auf New Profile. 3. Wählen Sie aus der Liste Type Citrix Web Interface/JICA aus. 4. Geben Sie einen eindeutigen Namen und ggf. eine Beschreibung für das CitrixRessourcenprofil ein. 5. Geben Sie im Feld Web Interface (NFuse) URL die URL der Citrix-Ressource ein, für die Sie den Zugriff mithilfe des folgenden Formats steuern möchten: [Protokoll://]Host[:Port][/Pfad]. Geben Sie z.B. die URL eines NFuse-Servers, die Webschnittstelle für einen Citrix Metaframe Presentation Server oder einen Webserver ein, von dem das IVE Citrix-Java-Applets oder Citrix-Cab-Dateien herunterladen kann. (Das IVE verwendet die angegebene URL, um das Standardlesezeichen für das Citrix-Ressourcenprofil zu definieren.) Geben Sie eine Verzeichnis-URL oder eine Datei-URL ein. Genaue Anweisungen über die Formatierung von Webressourcen finden Sie unter „Definieren von Basis-URLs“ auf Seite 310. 6. Geben Sie durch Auswahl einer der folgenden Optionen an, welcher CitrixImplementierungstyp in der Umgebung verwendet wird: 330 Java ICA Client with Web Interface (NFuse) – Wählen Sie diese Option aus, wenn Citrix mit Java-ICA-Clients und der Citrix Web Interface for MPS (d.h. NFuse) bereitgestellt wurde. Java ICA Client without Web Interface (NFuse) – Wählen Sie diese Option aus, wenn Citrix mit Java-ICA-Clients ohne die Citrix Web Interface for MPS (d.h. NFuse) bereitgestellt wurde. Definieren von Ressourcenprofilen: Citrix-Webanwendungen Kapitel 13: Neuschreiben von Webinhalt Non-Java ICA Client with Web Interface (NFuse) – Wählen Sie diese Option aus, wenn Citrix mit Nicht-Java-ICA-Clients und der Citrix Web Interface for MPS (d.h. NFuse) bereitgestellt wurde. Non-Java ICA Client without Web Interface (NFuse) – (schreibgeschützt) Haben Sie einen nicht auf Java basierenden ICA-Client ohne die Citrix Web Interface for MPS (d. h. NFuse) bereitgestellt, kann mit dieser Vorlage kein Citrix-Ressourcenprofil erstellt werden. Klicken Sie stattdessen unter dieser Option auf den Link client application profile. Der Link verweist auf die Seite Client Application Profiles, auf der ein SAM-Ressourcenprofil erstellt werden kann. Anweisungen hierfür finden Sie unter „Angeben von Anwendungen und Servern, die mit WSAM gesichert werden sollen“ auf Seite 437. 7. Wählen Sie aus der Liste Web Interface (NFuse) version die von Ihnen verwendete Citrix-Version aus. (Das IVE verwendet diesen Wert, um die SSOWerte für Form-POST in der automatischen Richtlinie für Single Sign-On (Einzelanmeldung) vorab auszufüllen. Weitere Informationen hierzu finden Sie unter „Angeben von Optionen für automatische Richtlinien für Remote-SSO“ auf Seite 315.) 8. Geben Sie im Abschnitt MetaFrame servers die Metaframe-Server an, für die der Zugriff gesteuert werden soll, und klicken Sie auf Add. Beim Angeben der Server können Platzhalter oder IP-Bereiche eingegeben werden. Das IVE verwendet die von Ihnen eingegebenen Werte, um eine entsprechende Ressourcenrichtlinie zu erstellen, mit der der Zugriff auf die erforderlichen Ressourcen ermöglicht wird. Wird z.B. oben eine Java-ICA-Clientoption ausgewählt, erstellt das IVE eine entsprechende Java-ACL-Ressourcenrichtlinie, mit der Java-Applets eine Verbindung zu den angegebenen Metaframe-Servern herstellen können. Wird die obige nicht auf Java basierende ICA-Clientoption ausgewählt, erstellt das IVE eine entsprechende SAM-Ressourcenrichtlinie, mit der Benutzer auf die angegebenen Metaframe-Server zugreifen können. 9. Wurde Citrix mit einem Java-ICA-Client bereitgestellt, aktivieren Sie das Kontrollkästchen Sign applets with code-signing certificate, um die angegebenen Ressourcen mit dem über die Seite System > Configuration > Certificates > Code-signing Certificates der Administratorkonsole hochgeladenen Zertifikat neu zu signieren (nur Java-ICA-Clients). (Anweisungen hierfür finden Sie unter „Verwenden von Codesignaturzertifikaten“ auf Seite 672.) Bei Auswahl dieser Option verwendet das IVE alle erlaubten_ Werte, die in die automatische Richtlinie für die Webzugriffssteuerung des Ressourcenprofils eingegeben werden, um automatisch eine entsprechende Ressourcenrichtlinie für die Codesignatur zu erstellen. Innerhalb dieser Richtlinie verwendet das IVE die angegebenen Webressourcen, um eine Liste vertrauenswürdiger Server zu erstellen. 10. Wurde Citrix mit einem über eine Webschnittstelle verfügenden, nicht auf Java basierenden ICA-Client bereitgestellt, muss der Datenverkehr für die Metaframe-Server mit dem Secure Application Manager oder Network Connect gesichert werden. Verwenden Sie dafür nicht das Modul für Inhaltsvermittlung (nur für nicht auf Java basierende ICA-Clients). Richten Sie sich nach den Anweisungen unter „Network Connect“ auf Seite 561, um den Datenverkehr über Network Connect zu sichern. Definieren von Ressourcenprofilen: Citrix-Webanwendungen 331 Juniper Networks Secure Access – Administratorhandbuch Wählen Sie eine der folgenden Optionen im Abschnitt ICA Client Access aus, um den Datenverkehr mit dem Secure Application Manager zu sichern. ICA client connects over WSAM – Wählen Sie diese Option aus, um Inhalt mit WSAM anstelle des Moduls für Inhaltsvermittlung zu vermitteln. ICA client connects over JSAM – Wählen Sie diese Option aus, um Inhalt mit JSAM anstelle des Moduls für Inhaltsvermittlung zu vermitteln. Bei Auswahl dieser Option startet das IVE JSAM automatisch, sobald ein Benutzer eine Verbindung mit dem von Ihnen definierten Webschnittstellenserver herstellt. Konfigurieren Sie nach dem Auswählen von ICA client connects over JSAM die folgenden Optionen: i. Number of Metaframe servers – Geben Sie die Anzahl der MetaframeServer in der Umgebung an, damit das IVE die korrekte Anzahl an Loopback-IP-Adressen für Ihre Konfiguration bereitstellt. (Verfügen Sie z.B. über fünf Metaframe-Server und zwei Ports, öffnet das IVE zehn LoopbackIP-Adressen.) Weitere Informationen zu Loopbackadressen finden Sie unter „Zuweisen von IP-Loopback-Adressen zu Servern“ auf Seite 454. ii. Citrix Ports – Geben Sie die Ports an, die von den Metaframe-Servern überwacht werden. Beim Aktivieren der Vermittlung über WSAM oder JSAM mithilfe dieser Optionen aktiviert das IVE automatisch die Option Secure Application Manager auf der Seite Users > User Roles > Rolle auswählen > General > Overview der Administratorkonsole. HINWEIS: WSAM und JSAM können nicht für dieselbe Rolle aktiviert werden. Wird versucht, ein Citrix-Ressourcenprofil zu erstellen, das einen dieser Zugriffsmechanismen verwendet (z.B. JSAM), und verwendet ein anderes dieser Rolle zugeordnetes Profil bereits den anderen Zugriffsmechanismus (z.B. WSAM), aktiviert das IVE daher den neuen Zugriffsmechanismus (JSAM) für die Rolle nicht. Zur Konfiguration des Zugriffs auf eine Citrix-Anwendung pro Benutzerrolle kann nur WSAM oder JSAM verwendet werden. 11. Erstellen Sie im Abschnitt Autopolicy: Web Access Control eine Richtlinie, die Benutzern den Zugriff auf die im Feld Web Interface (NFuse) URL angegebene Ressource gewährt oder verweigert. (Standardmäßig erstellt das IVE automatisch eine Richtlinie für den Benutzer, mit der der Zugriff auf die Ressource und alle Unterverzeichnisse ermöglicht wird.) Weitere detaillierte Anweisungen finden Sie unter „Definieren einer automatischen Richtlinie für die Webzugriffssteuerung“ auf Seite 310. 332 Definieren von Ressourcenprofilen: Citrix-Webanwendungen Kapitel 13: Neuschreiben von Webinhalt 12. Wurde eine der obigen Optionen für die Webschnittstelle ausgewählt, muss die mit einer Citrix-Vorlage erstellte SSO-Richtlinie im Abschnitt Autopolicy: Single Sign on aktualisiert werden. (Automatische Richtlinien für Single Sign-On (Einzelanmeldung) konfigurieren das IVE so, dass IVE-Daten wie Benutzernmaen und Kennwörter automatisch an die Citrix-Anwendung übertragen werden. Das IVE fügt der automatischen Richtlinie für Single Sign-On(Einzelanmeldung) die am häufigsten verwendeten Werte basierend auf der ausgewählten CitrixImplementierung automatisch hinzu.) Aktivieren Sie mindestens das Kontrollkästchen Autopolicy: Single Sign, doppelklicken Sie in der Spalte Domain auf Value, füllen Sie die entsprechende Domäne aus, und klicken Sie rechts in der Spalte auf das Kontrollhäkchen. Weitere detaillierte Anweisungen finden Sie unter „Angeben von Optionen für automatische Richtlinien für Remote-SSO“ auf Seite 315. Haben Sie eine nicht webschnittstellenbasierte Option ausgewählt, können eigene automatische Richtlinien für Single Sign-On (Einzelanmeldung) erstellt werden. Richten Sie sich dabei nach den Anweisungen in „Definieren einer automatischen Richtlinie für Single Sign-On (Einzelanmeldung)“ auf Seite 313. 13. Klicken Sie auf Save and Continue. 14. Wählen Sie auf der Registerkarte Roles die Rollen aus, auf die das CitrixRessourcenprofil angewendet werden soll, und klicken Sie auf Add. Die ausgewählten Rollen übernehmen die durch das Citrix-Ressourcenprofil erstellten automatischen Richtlinien und Lesezeichen. Ist die Option Web noch nicht aktiviert, wird diese vom IVE auf der Seite Users > User Roles > Rolle auswählen > General > Overview der Administratorkonsole ebenso wie die Option Allow Java Applets auf der Seite Users > User Roles > Rolle auswählen > Web > Options der Administratorkonsole ebenfalls für alle ausgewählten Rollen automatisch aktiviert. 15. Klicken Sie auf Save Changes. 16. (Optional) Ändern Sie auf der Registerkarte Bookmarks das vom IVE erstellte Standardlesezeichen, und/oder erstellen Sie neue Lesezeichen. Befolgen Sie dazu die Anweisungen unter „Definieren eines Weblesezeichens“ auf Seite 327. (Standardmäßig erstellt das IVE ein Lesezeichen für die im Feld Web Interface (NFuse) URL definierte Webschnittstellen-URL (NFuse) und zeigt dieses allen Benutzern an, die der auf der Registerkarte Roles angegebenen Rolle zugeordnet sind.) Definieren von Ressourcenprofilen: Microsoft OWA Bei einer Vorlage für Microsoft Outlook Web Access (OWA) handelt es sich um ein Ressourcenprofil, mit dem nach Bedarf der Zugriff auf die Anwendung gesteuert und die OWA-Einstellungen konfiguriert werden. OWA-Vorlagen verringern die zur Konfiguration erforderliche Zeit erheblich, indem sie Konfigurationseinstellungen an einer Stelle sichern und abhängig vom ausgewählten Typ des Setup eine Reihe von Ressourcenrichtlinieneinstellungen vorab ausfüllen. Definieren von Ressourcenprofilen: Microsoft OWA 333 Juniper Networks Secure Access – Administratorhandbuch Die vorab ausgefüllten Werte unterscheiden sich abhängig von der ausgewählten OWA-Version und basieren auf der am gängigsten Bereitstellung der Server. So erstellen Sie ein Ressourcenprofil mithilfe einer Microsoft-OWA-Vorlage: 1. Navigieren Sie zur Seite Users > Resource Profiles > Web Applications/Pages in der Administratorkonsole. 2. Klicken Sie auf New Profile. 3. Wählen Sie aus der Liste Type Microsoft OWA 2000 oder Microsoft OWA 2003 aus. 4. Geben Sie einen eindeutigen Namen und ggf. eine Beschreibung für das CitrixRessourcenprofil ein. 5. Geben Sie im Feld Base URL die URL der OWA-Ressource ein, für die Sie den Zugriff mithilfe des folgenden Formats steuern möchten: [Protokoll://]Host[:Port][/Pfad]. Das IVE verwendet die angegebene URL, um das Standardlesezeichen für das Ressourcenprofil zu definieren. Geben Sie eine Verzeichnis-URL oder eine Datei-URL ein. Genaue Anweisungen über die Formatierung von Webressourcen finden Sie unter „Definieren von Basis-URLs“ auf Seite 310. 6. Wählen Sie Allow caching on client aus, um Webbrowsern auf dem Computer eines Benutzers das Speichern von nicht zu den Benutzern gehörenden Daten zu ermöglichen, wie z.B. Javascript und CSS-Dateien. Wählen Sie Minimize caching on client aus, um dem IVE das Senden eines cache-control:no-store-Headers oder eines cache-control:no-cache-Headers basierend auf dem Webbrowser- und dem Inhaltstyp zu ermöglichen. Dies entspricht dem Smart Caching. Mit der Option Allow caching on client wird Inhalt zwischengespeichert, den der Back-End-OWA-Server normalerweise zwischenspeichert. Diese Zwischenspeicherungsoption verbessert die Leistung, indem der Inhalt vom Server beim nächsten Anzeigen der Seite nicht abgerufen, sondern indem der zwischengespeicherte Inhalt verwendet wird. Die Option Minimize caching on client bietet Sicherheit durch Senden eines cache-control:no-store- oder eines cache-control:no-cache-Headers, um entweder Inhalt zu speichern oder den zwischengespeicherten Inhalt bei jeder Anforderung neu zu validieren. Mit der Zwischenspeicherungsoption kann das Hoch- oder das Herunterladen von Anhängen entweder zugelassen oder verhindert werden. 7. Wählen Sie Prevent download of attachments aus, um Benutzern das Herunterladen von Anhängen auf Ihre Systeme zu verbieten. Wählen Sie Prevent upload of attachments aus, um Benutzer am Übertragen (Hochladen) von Anhängen an (bzw. in) das IVE zu hindern 8. Erstellen Sie im Abschnitt Autopolicy: Web Access Control eine Richtlinie, die Benutzern den Zugriff auf die im Feld Resource aufgeführte Webressource (und alle entsprechenden Unterverzeichnisse) gewährt oder verweigert. a. 334 Geben Sie im Feld Resource den Webserver oder die HTML-Seite an, für den bzw. für die mit folgendem Format der Zugriff gesteuert werden soll: [Protokoll://]Host[:Port][/Pfad]. Detaillierte Anweisungen finden Sie in „Definieren von Webressourcen“ auf Seite 311. Definieren von Ressourcenprofilen: Microsoft OWA Kapitel 13: Neuschreiben von Webinhalt b. Wählen Sie in der Liste Action Allow aus, um den Zugriff auf die angegebene Ressource zu ermöglichen, oder wählen Sie Deny aus, um den Zugriff auf die angegebene Ressource zu verhindern. c. Klicken Sie auf Add. 9. Geben Sie im Abschnitt Autopolicy: Caching die Ressourcen an, für die diese Richtlinie im Feld Resource gelten soll. Folgen Sie zum Erstellen einer AutoRichtlinie für das Zwischenspeichern den Anweisungen unter „Definieren einer automatischen Richtlinie für Zwischenspeicherung“ auf Seite 317. 10. Erstellen Sie im Abschnitt Autopolicy: Web Compression eine Richtlinie, mit der festgelegt wird, welche Arten von Webdaten das IVE komprimieren soll. a. Geben Sie im Feld Resources die Ressourcen an, für die diese Richtlinie gelten soll. Detaillierte Anweisungen finden Sie in „Definieren von Webressourcen“ auf Seite 311. b. Wählen Sie aus der Liste Action eine der folgenden Optionen aus: c. Compress – Das IVE komprimiert die unterstützten Inhaltstypen der angegebenen Ressource. Do not compress – Das IVE komprimiert die unterstützten Inhaltstypen der angegebenen Ressource nicht. Klicken Sie auf Add. 11. Aktivieren Sie das Kontrollkästchen Autopolicy: Single Sign-On, um IVE-Daten wie Benutzername und Kennwort an die OWA-Anwendung weiterzuleiten. Folgen Sie zum Erstellen einer Auto-Richtlinie für Einzelanmeldungen den Anweisungen unter „Definieren einer automatischen Richtlinie für Single SignOn (Einzelanmeldung)“ auf Seite 313. 12. Klicken Sie auf Save and Continue. 13. Wählen Sie auf der Registerkarte Roles die Rollen aus, auf die das Ressourcenprofil angewendet werden soll, und klicken Sie auf Add. Die ausgewählten Rollen übernehmen die durch das Microsoft-OWARessourcenprofil erstellten Auto-Richtlinien und Lesezeichen. Ist die Option Web noch nicht aktiviert, wird diese vom IVE auf der Seite Users > User Roles > Rolle auswählen > General > Overview der Administratorkonsole automatisch aktiviert. 14. Klicken Sie auf Save Changes. 15. (Optional) Ändern Sie auf der Registerkarte Bookmarks das vom IVE erstellte Standardlesezeichen, und/oder erstellen Sie neue Lesezeichen. Befolgen Sie dazu die Anweisungen unter „Definieren eines Weblesezeichens“ auf Seite 327. Definieren von Ressourcenprofilen: Microsoft OWA 335 Juniper Networks Secure Access – Administratorhandbuch Definieren von Ressourcenprofilen: Lotus iNotes Bei einer Lotus iNotes-Vorlage handelt es sich um ein Ressourcenprofil, mit dem nach Bedarf der Zugriff auf die Webanwendung gesteuert und die iNotesEinstellungen konfiguriert werden. Lotus iNotes-Vorlagen verringern die zur Konfiguration erforderliche Zeit erheblich, indem sie Konfigurationseinstellungen an einer Stelle sichern und abhängig vom ausgewählten Typ des Setup eine Reihe von Ressourcenrichtlinieneinstellungen vorab ausfüllen. Die vorab ausgefüllten Werte unterscheiden sich abhängig von der ausgewählten iNotes-Version und basieren auf der am weitesten verbreiteten Verwendung der Server. So erstellen Sie ein Ressourcenprofil mithilfe einer Lotus iNotes-Vorlage: 1. Navigieren Sie zur Seite Users > Resource Profiles > Web Applications/Pages in der Administratorkonsole. 2. Klicken Sie auf New Profile. 3. Wählen Sie die Lotus Notes-Version in der Liste Type aus. 4. Geben Sie einen eindeutigen Namen und ggf. eine Beschreibung für das Lotus Notes-Ressourcenprofil ein. 5. Geben Sie im Feld Base URL die URL der Lotus iNotes-Ressource ein, für die Sie den Zugriff mithilfe des folgenden Formats steuern möchten: [Protokoll://]Host[:Port][/Pfad]. Das IVE verwendet die angegebene URL, um das Standardlesezeichen für das Lotus iNotes-Ressourcenprofil zu definieren. Geben Sie eine Verzeichnis-URL oder eine Datei-URL ein. Genaue Anweisungen über die Formatierung von Webressourcen finden Sie unter „Definieren von Basis-URLs“ auf Seite 310. 6. Wählen Sie Allow caching on client aus, um Webbrowsern auf dem Computer eines Benutzers das Speichern von nicht zu den Benutzern gehörenden Daten zu ermöglichen, wie z.B. Javascript und CSS-Dateien. Wählen Sie Minimize caching on client aus, um dem IVE das Senden eines cache-control:no-storeHeaders oder eines cache-control:no-cache-Headers basierend auf dem Webbrowser- und dem Inhaltstyp zu ermöglichen. Dies entspricht dem Smart Caching. Weitere Informationen finden Sie unter „Definieren von Ressourcenrichtlinien: Caching“ auf Seite 358. Mit der Option Allow caching on client wird Inhalt zwischengespeichert, den der Back-End-OWA-Server normalerweise zwischenspeichert. Diese Zwischenspeicherungsoption verbessert die Leistung, indem der Inhalt vom Server beim nächsten Anzeigen der Seite nicht abgerufen, sondern indem der zwischengespeicherte Inhalt verwendet wird. Die Option Minimize caching on client bietet Sicherheit durch Senden eines cache-control:no-store- oder eines cache-control:no-cache-Headers, um entweder Inhalt zu speichern oder den zwischengespeicherten Inhalt bei jeder Anforderung neu zu validieren. Mit der Zwischenspeicherungsoption kann das Hoch- oder das Herunterladen von Anhängen entweder zugelassen oder verhindert werden. 336 Definieren von Ressourcenprofilen: Lotus iNotes Kapitel 13: Neuschreiben von Webinhalt 7. Wählen Sie Prevent download of attachments aus, um Benutzern das Herunterladen von Anhängen auf Ihre Systeme zu verbieten. Wählen Sie Prevent upload of attachments aus (nur für Lotus iNotes 6.5 und Lotus iNotes 7 verfügbar), um Benutzer am Übertragen (Hochladen) von Anhängen an (bzw. in) das IVE zu hindern. 8. Erstellen Sie im Abschnitt Autopolicy: Web Access Control eine Richtlinie, die Benutzern den Zugriff auf die im Feld Resource aufgeführte Webressource (und alle entsprechenden Unterverzeichnisse) gewährt oder verweigert. a. Geben Sie im Feld Resource den Webserver oder die HTML-Seite an, für den bzw. für die mit folgendem Format der Zugriff gesteuert werden soll: [Protokoll://]Host[:Port][/Pfad]. Detaillierte Anweisungen finden Sie in „Definieren von Webressourcen“ auf Seite 311. b. Wählen Sie in der Liste Action Allow aus, um den Zugriff auf die angegebene Ressource zu ermöglichen, oder wählen Sie Deny aus, um den Zugriff auf die angegebene Ressource zu verhindern. c. Klicken Sie auf Add. 9. Geben Sie im Abschnitt Autopolicy: Caching die Ressourcen an, für die diese Richtlinie im Feld Resource gelten soll. Folgen Sie zum Erstellen einer AutoRichtlinie für das Zwischenspeichern den Anweisungen unter „Definieren einer automatischen Richtlinie für Zwischenspeicherung“ auf Seite 317. 10. Erstellen Sie im Abschnitt Autopolicy: Web Compression eine Richtlinie, mit der festgelegt wird, welche Arten von Webdaten das IVE komprimieren soll. a. Geben Sie im Feld Resources die Ressourcen an, für die diese Richtlinie gelten soll. Detaillierte Anweisungen finden Sie in „Definieren von Webressourcen“ auf Seite 311. b. Wählen Sie aus der Liste Action eine der folgenden Optionen aus: c. Compress – Das IVE komprimiert die unterstützten Inhaltstypen der angegebenen Ressource. Do not compress – Das IVE komprimiert die unterstützten Inhaltstypen der angegebenen Ressource nicht. Klicken Sie auf Add. 11. Aktivieren Sie das Kontrollkästchen Autopolicy: Single Sign-On, um IVE-Daten wie Benutzername und Kennwort an die Lotus iNotes-Anwendung weiterzuleiten. Folgen Sie zum Erstellen einer Auto-Richtlinie für Einzelanmeldungen den Anweisungen unter „Definieren einer automatischen Richtlinie für Single Sign-On (Einzelanmeldung)“ auf Seite 313. 12. Klicken Sie auf Save and Continue. 13. Wählen Sie auf der Registerkarte Roles die Rollen aus, auf die das Lotus iNotesRessourcenprofil angewendet werden soll, und klicken Sie auf Add. Definieren von Ressourcenprofilen: Lotus iNotes 337 Juniper Networks Secure Access – Administratorhandbuch Die ausgewählten Rollen übernehmen die durch das Lotus iNotesRessourcenprofil erstellten Auto-Richtlinien und Lesezeichen. Ist die Option Web noch nicht aktiviert, wird diese vom IVE auf der Seite Users > User Roles > Rolle auswählen > General > Overview der Administratorkonsole automatisch aktiviert. 14. Klicken Sie auf Save Changes. 15. (Optional) Ändern Sie auf der Registerkarte Bookmarks das vom IVE erstellte Standardlesezeichen, und/oder erstellen Sie neue Lesezeichen. Befolgen Sie dazu die Anweisungen unter „Definieren eines Weblesezeichens“ auf Seite 327. Definieren von Ressourcenprofilen: Microsoft Sharepoint Bei einer Microsoft Sharepoint-Vorlage handelt es sich um ein Ressourcenprofil, mit dem nach Bedarf der Zugriff auf die Anwendung gesteuert und die SharepointEinstellungen konfiguriert werden. Microsoft Sharepoint-Vorlagen verringern die zur Konfiguration erforderliche Zeit erheblich, indem sie Konfigurationseinstellungen an einer Stelle sichern und abhängig vom ausgewählten Typ des Setup eine Reihe von Ressourcenrichtlinieneinstellungen vorab ausfüllen. HINWEIS: In der aktuellen Version wird das Senden von Kontaktinformationen von Sharepoint an den Outlook-Client über die Funktion für Neuschreibevorgänge unterstützt. Das Übertragen der Kontaktinformationen an den Back-EndExchange-Server erfordert den Einsatz von WSAM, JSAM oder Network Connect. Zum Importieren von Kontaktinformationen in den Sharepoint-Server über den Outlook-Client exportieren Sie zuerst Ihre Kontakte, und laden Sie diese anschließend in den Sharepoint-Server hoch. So erstellen Sie ein Ressourcenprofil mithilfe einer Microsoft Sharepoint-Vorlage: 1. Navigieren Sie zur Seite Users > Resource Profiles > Web Applications/Pages in der Administratorkonsole. 2. Klicken Sie auf New Profile. 3. Wählen Sie aus der Liste Type Microsoft Sharepoint aus. 4. Geben Sie einen eindeutigen Namen und ggf. eine Beschreibung für das Sharepoint-Ressourcenprofil ein. 5. Geben Sie im Feld Base URL die URL der Sharepoint-Ressource ein, für die Sie den Zugriff mithilfe des folgenden Formats steuern möchten: [Protokoll://]Host[:Port][/Pfad]. Das IVE verwendet die angegebene URL, um das Standardlesezeichen für das Sharepoint-Ressourcenprofil zu definieren. Geben Sie eine Verzeichnis-URL oder eine Datei-URL ein. Genaue Anweisungen über die Formatierung von Webressourcen finden Sie unter „Definieren von Basis-URLs“ auf Seite 310. 6. Wählen Sie im Abschnitt Sharepoint Settings Allow in-line editing of documents within explorer view aus, um Benutzern die Änderung von in der Explorer-Ansicht angezeigten Dateien zu ermöglichen. 338 Definieren von Ressourcenprofilen: Microsoft Sharepoint Kapitel 13: Neuschreiben von Webinhalt a. Klicken Sie unter Explorer View URL auf Add, und geben Sie die URL auf der Seite für die Explorer-Ansicht ein. b. Aktivieren Sie zum Anordnen der Ressourcen in der Liste das Kontrollkästchen neben einem Element, und verschieben Sie es dann mit den nach oben und unten zeigenden Pfeilen zur richtigen Position in der Liste. c. Geben Sie im Feld Persistent cookie timeout die Anzahl der Minuten an, die ein permanentes Cookie auf dem Computer eines Benutzers verbleibt, bevor es abläuft. Verwechseln Sie dieses Zeitlimitfeld nicht mit der Option Max. Session Length, mit der die Anzahl der Minuten festgelegt wird, die eine Sitzung von Benutzern ohne Administratorberechtigungen geöffnet bleiben darf. Weitere Informationen zu Max. Session Length finden Sie unter „Festlegen von Sitzungsoptionen“ auf Seite 60. 7. Erstellen Sie im Abschnitt Autopolicy: Web Access Control eine Richtlinie, die Benutzern den Zugriff auf die im Feld Resource aufgeführte Webressource (und alle entsprechenden Unterverzeichnisse) gewährt oder verweigert. a. Geben Sie im Feld Resource den Webserver oder die HTML-Seite an, für den bzw. für die mit folgendem Format der Zugriff gesteuert werden soll: [Protokoll://]Host[:Port][/Pfad]. Detaillierte Anweisungen finden Sie in „Definieren von Webressourcen“ auf Seite 311. b. Wählen Sie in der Liste Action Allow aus, um den Zugriff auf die angegebene Ressource zu ermöglichen, oder wählen Sie Deny aus, um den Zugriff auf die angegebene Ressource zu verhindern. c. Klicken Sie auf Add. 8. (Optional) Klicken Sie auf Show ALL autopolicy types, um zusätzliche AutoRichtlinien zu erstellen, die den Zugriff auf die Ressource präzisieren. Erstellen Sie dann die Auto-Richtlinien mithilfe der Anweisungen in den folgenden Abschnitten: „Definieren einer automatischen Richtlinie für Single Sign-On (Einzelanmeldung)“ auf Seite 313 „Definieren einer automatischen Richtlinie für Zwischenspeicherung“ auf Seite 317 „Definieren einer automatischen Richtlinie für Neuschreibevorgänge“ auf Seite 321 „Definieren einer automatischen Richtlinie für Webkomprimierung“ auf Seite 326 9. Klicken Sie auf Save and Continue. 10. Wählen Sie auf der Registerkarte Roles die Rollen aus, auf die das Ressourcenprofil angewendet werden soll, und klicken Sie auf Add. Definieren von Ressourcenprofilen: Microsoft Sharepoint 339 Juniper Networks Secure Access – Administratorhandbuch Die ausgewählten Rollen übernehmen die durch das Microsoft-SharepointRessourcenprofil erstellten Auto-Richtlinien und Lesezeichen. Ist die Option Web noch nicht aktiviert, wird diese vom IVE auf der Seite Users > User Roles > Rolle auswählen > General > Overview der Administratorkonsole automatisch aktiviert. 11. Klicken Sie auf Save Changes. 12. (Optional) ändern Sie auf der Registerkarte Bookmarks das vom IVE erstellte Standardlesezeichen, und/oder erstellen Sie neue Lesezeichen. Befolgen Sie dazu die Anweisungen unter „Definieren eines Weblesezeichens“ auf Seite 327. Definieren von Rolleneinstellungen: Web-URLs Sie können Weblesezeichen auf zwei verschiedene Arten erstellen: Create bookmarks through existing resource profiles (recommended) – Bei dieser Methode füllt das IVE das Lesezeichen automatisch mit Schlüsselparametern auf (z.B. die Webschnittstellen (NFuse)-URL). Dabei werden die Einstellungen aus dem Ressourcenprofil verwendet. Darüber hinaus führt Sie das IVE beim Erstellen des zugeordneten Ressourcenprofils auch durch den Erstellvorgang aller erforderlichen Richtlinien für die Aktivierung des Zugriffs auf das Lesezeichen. Konfigurationsanweisungen finden Sie unter „Erstellen von Lesezeichen mit vorhandenen Ressourcenprofilen“ auf Seite 340. Create standard bookmarks – Wenn Sie diese Option wählen, müssen Sie alle Lesezeichenparameter während der Konfiguration manuell eingeben. Aktivieren Sie zudem den Zugriff auf die Webfunktion, und erstellen Sie Ressourcenrichtlinien, die den Zugriff auf die im Lesezeichen definierten Websites ermöglichen (wie in „Aufgabenzusammenfassung: Konfigurieren der Funktion zum Neuschreiben von Webinhalt“ auf Seite 300 erläutert). Konfigurationsanweisungen finden Sie unter „Erstellen von standardmäßigen Weblesezeichen“ auf Seite 341. Dieser Abschnitt enthält Informationen über die Konfiguration von Lesezeichen mit den beiden genannten Methoden. Dieser Abschnitt enthält überdies Informationen über die Definition von allgemeinen Rollenebeneneinstellungen für die Funktion zum Neuschreiben von Webinhalt. Konfigurationsanweisungen finden Sie unter „Angeben von allgemeinen Webbrowsingoptionen“ auf Seite 343. Erstellen von Lesezeichen mit vorhandenen Ressourcenprofilen So ordnen Sie einem vorhandenen Ressourcenprofil ein Lesezeichen zu: 1. Navigieren Sie zur Seite Users > User Roles > Rolle auswählen > Web > Bookmarks der Administratorkonsole. 2. Klicken Sie auf New Bookmark. 3. Wählen Sie in der Liste Type Pick a Web Resource Profile aus. 340 Definieren von Rolleneinstellungen: Web-URLs Kapitel 13: Neuschreiben von Webinhalt HINWEIS: Das IVE zeigt diese Option nur an, wenn Sie zuvor ein Webressourcenprofil erstellt haben. 4. Wählen Sie ein Ressourcenprofil. 5. Klicken Sie auf OK. (Wenn Sie die ausgewählte Rolle noch dem Ressourcenprofil zugeordnet haben, führt das IVE diese Zuordnung automatisch aus.) 6. Klicken Sie zum Hinzufügen einer weiteren Rolle auf Save Changes oder Save + New. 7. Klicken Sie zum Ändern der Eigenschaften des Lesezeichens auf den Link in der Spalte Resource der Rollenseite (optional). Klicken Sie anschließend auf den Link für das Lesezeichen auf der Seite für Ressourcenprofile, und aktualisieren Sie die Lesezeicheneinstellungen. Richten Sie sich dabei nach den Anweisungen in „Definieren eines Weblesezeichens“ auf Seite 327. Erstellen von standardmäßigen Weblesezeichen HINWEIS: Die Informationen in diesem Abschnitt werden aus Gründen der Abwärtskompatibilität bereitgestellt. Konfigurieren Sie den Zugriff auf die WebURLs und -Server stattdessen über die Ressourcenprofile, da sie eine einfachere und einheitlichere Konfigurationsmethode bieten. Weitere Informationen hierzu finden Sie unter „Definieren von Ressourcenprofilen: Benutzerdefinierte Webanwendungen“ auf Seite 308 und „Definieren von Ressourcenprofilen: CitrixWebanwendungen“ auf Seite 329. Auf der Registerkarte Bookmarks können Sie Lesezeichen erstellen, die für dieser Rolle zugeordnete Benutzer auf der Willkommensseite angezeigt werden. Über diese Seite können zwei Lesezeichentypen erstellt werden: Lesezeichen für Web-URLs – Diese Lesezeichen sind Links zu Web-URLs im World Wide Web oder im Firmenintranet. Sie können beim Erstellen von Weblesezeichen den IVE-Benutzernamen eines Benutzers im URL-Pfad einfügen, um Single Sign-on-Zugriff auf Back-End-Webanwendungen zu ermöglichen. Richten Sie sich nach den folgenden Anweisungen, um Weblesezeichen zu konfigurieren. Lesezeichen für Java-Applets – Diese Lesezeichen stellen eine Verknüpfung zu einem Java-Applet her, das vom Benutzer über die Seite Users > Resource Profiles > Web > Hosted Java Applets der Administratorkonsole in das IVE hochgeladen wird. Anweisungen für die Konfiguration von Lesezeichen für JavaApplets finden Sie unter „Definieren von Ressourcenprofilen: Gehostete JavaApplets“ auf Seite 392. Wenn Sie einen dieser Lesezeichentypen erstellen, werden die entsprechenden Links auf der Willkommensseite der Benutzer angezeigt, die dieser Rolle zugeordnet sind. Definieren von Rolleneinstellungen: Web-URLs 341 Juniper Networks Secure Access – Administratorhandbuch So erstellen Sie ein Lesezeichen für eine Webressource: 1. Wählen Sie in der Administratorkonsole Users > User Roles > Rolle > Web > Bookmarks. 2. Klicken Sie auf New Bookmark. 3. Geben Sie einen Namen und eine Beschreibung für das Lesezeichen ein (optional). Diese Informationen werden anstelle der URL auf der IVE-Startseite angezeigt. 4. Wählen Sie Web URL. 5. Geben Sie die URL für das Lesezeichen ein. Wenn Sie den Benutzernamen des Benutzers einfügen möchten, geben Sie an der entsprechenden Stelle in der URL <username> ein. Informationen zu weiteren Systemvariablen und Attributen, die in das Lesezeichen integriert werden, finden Sie unter „Verwendung von Systemvariablen in Bereichen, Rollen und Ressourcenrichtlinien“ auf Seite 929. HINWEIS: Geben Sie in dieses Feld eine eindeutige URL ein. Werden zwei Lesezeichen mit derselben URL erstellt, löscht das IVE eines der Lesezeichen aus der Endbenutzeransicht. Die beiden Lesezeichen können nach wie vor angezeigt werden, jedoch nur in der Administratorkonsole. 6. Klicken Sie unter Auto-allow auf Auto-allow Bookmark, um mit dem IVE automatisch eine entsprechende Ressourcenrichtlinie für den Webzugriff zu erstellen. Beachten Sie, dass diese Funktion nur für Rollenlesezeichen, nicht für von Benutzern erstellte Lesezeichen gilt. Wählen Sie als Nächstes:„Definieren von Rolleneinstellungen: Web-URLs“ auf Seite 340 aus. Only this URL, um Benutzern nur den Zugriff auf die URL zu ermöglichen. Everything under this URL, um dem Benutzer den Zugriff auf jeden Pfad unter der URL zu ermöglichen. HINWEIS: Die Option Auto-allow wird u. U. nicht angezeigt, wenn Sie eine neue Installation verwenden oder ein Administrator diese Option ausgeblendet hat. Weitere Informationen zu dieser Option finden Sie unter „Festlegen der Systemoptionen“ auf Seite 619. 7. Klicken Sie unter Display options auf Open bookmark in a new window, wenn das IVE automatisch die Webressource in einem neuen Browserfenster öffnen soll. Beachten Sie, dass diese Funktion nur für Rollenlesezeichen, nicht für von Benutzern erstellte Lesezeichen gilt. Wählen Sie als Nächstes: 342 Do not display the URL address bar – Wählen Sie diese Option aus, um die Adressleiste aus dem Browserfenster zu entfernen. Diese Funktion veranlasst die Weiterleitung des gesamten Webdatenverkehrs über das IVE, indem verhindert wird, dass Benutzer in der angegebenen Rolle eine neue URL in die Adresszeile eingeben, durch den das IVE umgangen wird. Definieren von Rolleneinstellungen: Web-URLs Kapitel 13: Neuschreiben von Webinhalt Do not display the menu and the toolbar – Wählen Sie diese Option aus, um das Menü und die Symbolleiste aus dem Browser zu entfernen. Diese Funktion entfernt Menüs, Browserschaltflächen und Lesezeichen aus dem Browserfenster, um nur das Browsen über das IVE zu ermöglichen. 8. Klicken Sie zum Hinzufügen eines weiteren Ressourcenprofils auf Save Changes oder Save + New. Angeben von allgemeinen Webbrowsingoptionen Mit dem IVE können zahlreiche Webbrowsingoptionen für eine Benutzerrolle konfiguriert werden. Dieser Abschnitt enthält Anweisungen für die Konfiguration von standardmäßigen und erweiterten Webbrowsingoptionen. Konfigurieren von standardmäßigen Webbrowsingoptionen So konfigurieren Sie standardmäßige Webbrowsingoptionen für eine Rolle: 1. Wählen Sie in der AdministratorkonsoleUsers > User Roles > RollenName > Web > Options. 2. Wählen Sie User can type URLs in IVE browse bar aus, um Benutzern das Eingeben von URLs auf der Willkommensseite und das Navigieren zu Internetsites zu ermöglichen. 3. Wählen Sie User can add bookmarks aus, um Benutzern die Erstellung von persönlichen Weblesezeichen auf der IVE-Willkommensseite zu ermöglichen. 4. Wählen Sie die Option Mask hostnames while browsing aus, wenn das IVE die Zielressourcen in den von Benutzern durchsuchten URLs verbergen soll. Wenn Sie die Option auswählen, maskiert das IVE die IP-Adressen und Hostnamen für den Benutzer an folgenden Stellen : Adressleiste des Webbrowsers (wenn der Benutzer eine Seite aufruft) Statusleiste des Webbrowsers (beim Führen des Mauszeigers über einen Hyperlink) HTML-Quelldateien (wenn der Benutzer View Source_ auswählt) Durch die Hostnamencodierung (auch bezeichnet als Hostnamenverschleierung oder URL-Verschleierung) wird verhindert, dass sich zufällige Besucher die URL einer internen Ressource notieren können. Zu diesem Zweck wird der Zielserver innerhalb der URL verborgen, ohne dass dabei der vollständige Pfadname, die Zieldatei oder die Portnummer maskiert werden. Wenn ein Benutzer beispielsweise www.msn.com aufruft, ohne dass selektives Neuschreiben oder Hostnamencodierung aktiviert ist, zeigt das IVE eine unverborgene URL in der Adressleiste des Webbrowsers an: http://www.msn.com/ Wird anschließend das selektive Neuschreiben aktiviert, zeigt das IVE u.U. die folgende URL an: https://mycompanyserver.com/,DanaInfo=www.msn.com,SSO=U+ Definieren von Rolleneinstellungen: Web-URLs 343 Juniper Networks Secure Access – Administratorhandbuch Wenn die Hostnamencodierung anschließend aktiviert wird und derselbe Benutzer diese Site aufruft, wird eine URL mit verborgenem Hostnamen (www.msn.com) angezeigt: https://i5.asglab.juniper.net/,DanaInfo=.awxyCqxtGkxw,SSO=U+ Bei der Hostnamencodierung wird ein umkehrbarer Lightweight-Algorithmus verwendet, sodass Benutzer codierte URLs als Lesezeichen festlegen können. (Das IVE kann die codierte URL übersetzen und wieder in die ursprüngliche URL auflösen.) Aus Kompatibilitätsgründen funktionieren zuvor erstellte Lesezeichen für nicht maskierte URLs auch nach der Aktivierung der Hostnamencodierung. HINWEIS: Wenn Sie das selektive Neuschreiben und die Hostnamencodierung aktivieren, maskiert das IVE nur die Hostnamen und IP-Adressen der ausgewählten Server, die Sie mit der Option für das selektive Neuschreiben neu schreiben möchten. Werden die gerahmte Symbolleiste und die Hostnamencodierung aktiviert, verbirgt das IVE keine Hostnamen, die vom Benutzer in das Navigationsfeld der gerahmten Symbolleiste eingegeben werden. Das IVE verbirgt keine Hostnamen und IP-Adressen in Protokolleinträgen (einschließlich Protokolleinträgen für die Hostnamencodierung). 5. Klicken Sie auf Save Changes. Konfigurieren von erweiterten Webbrowsingoptionen So konfigurieren Sie erweiterte Webbrowsingoptionen für eine Rolle: 1. Wählen Sie in der Administratorkonsole Users > User Roles > RollenName > Web > Options. 2. Aktivieren Sie das Kontrollkästchen View advanced options. 3. Wählen Sie Allow Java applets aus, um Benutzern das Navigieren zu Webseiten zu navigieren, die clientseitige Java-Applets enthalten, zu ermöglichen. Der IVEServer wird für den Anwendungsserver wie ein Browser über SSL behandelt. Das IVE verarbeitet alle durch ein Java-Applet initiierten HTTP-Anforderungen und TCP-Verbindungen transparent und verarbeitet signierte Java-Applets. Wenn Sie diese Funktion aktivieren, können die Benutzer Java-Applets starten und Anwendungen ausführen, die als clientseitige Java-Applets implementiert wurden, z.B. VNC-Java-Client (Virtual Computing), Citrix NFuse Java-Client, WRQ Reflections Web-Client und Lotus WebMail. Weitere Informationen finden Sie unter „Definieren einer automatischen Richtlinie für die JavaZugriffssteuerung“ auf Seite 319. 344 Definieren von Rolleneinstellungen: Web-URLs Kapitel 13: Neuschreiben von Webinhalt 4. Wählen Sie Allow Flash content aus, um mit dem IVE Flash-Inhalt über das Modul für die Inhaltsvermittlung zu vermitteln. Das IVE bietet beschränkte Unterstützung für ActionScript 2.0 und Flash Remoting und unterstützt keine XMLSocket-Verbindungen. 5. Wählen Sie die Option Persistent cookies aus, um Benutzern mithilfe von permanenten Cookies das Anpassen ihrer Navigation zu ermöglichen. Standardmäßig löscht das IVE Webcookies, die während einer Benutzersitzung gespeichert wurden. Bei Aktivierung dieser Option können Benutzer Cookies über die Seite Advanced Preferences löschen. 6. Wählen Sie die Option Unrewritten pages open in new window aus, um das IVE für das Öffnen von Inhalt in einem neuen Browserfenster zu konfigurieren, wenn ein Benutzer auf eine nicht neu geschriebene Webseite zugreift. Durch Öffnen von Inhalt in einem neuen Fenster wird der Benutzer daran erinnert, dass er sich nach wie vor in einer sicheren Sitzung befindet. Wenn ein Benutzer eine Ressource anfordert, auf die diese Option zutrifft, zeigt das IVE eine Seite an, die einen Link mit der angeforderten Ressource enthält, und der Benutzer wird aufgefordert, auf diesen Link zu klicken. Durch diesen Link wird die Ressource in einem neuen Browserfenster geöffnet, und die Seite, von der die Anforderung stammt, wird weiterhin im IVE angezeigt. Wenn Sie dieses Kontrollkästchen deaktivieren, bemerken die Benutzer möglicherweise nicht, dass ihre IVE-Sitzung noch aktiv ist und sie im Browser auf die Schaltfläche Back klicken müssen, um zum IVE zurückzukehren. Zum Abmelden müssen die Benutzer zum IVE zurückkehren. Wenn sie lediglich das Browserfenster schließen, bleiben die Sitzungen bis zum Ablaufen der Sitzungszeitbegrenzung aktiv. 7. Wählen Sie Allow browsing untrusted SSL Web servers aus, um Benutzern den Zugriff auf nicht vertrauenswürdige Websites über das IVE zu ermöglichen Bei nicht vertrauenswürdigen Websites handelt es sich um Sites, deren Serverzertifikate nicht über die Registerkarte System > Configuration > Certificates > Trusted Servers CAs der Administratorkonsole installiert werden. Weitere Informationen finden Sie unter „Verwenden von vertrauten Serverzertifizierungsstellen“ auf Seite 669. Definieren von Rolleneinstellungen: Web-URLs 345 Juniper Networks Secure Access – Administratorhandbuch Bei Auswahl dieser Option können Sie festlegen, welche Auswahlmöglichkeiten das IVE Benutzern bereitstellt, wenn sie eine nicht vertraute Website aufrufen: Warn users about the certificate problems – Wenn diese Option aktiviert ist, zeigt das IVE einen Warnhinweis an, wenn der Benutzer zum ersten Mal auf eine nicht vertraute Website zugreift. Der Benutzer wird darüber informiert, weshalb dem Zertifikat der Website nicht vertraut wird, und er hat die Möglichkeit, den Vorgang fortzusetzen oder abzubrechen. Entscheidet sich der Benutzer fortzufahren, nachdem das IVE einen Warnhinweis angezeigt hat, zeigt das IVE während der aktuellen IVESitzung keine weiteren Warnhinweise zu dieser Website an. HINWEIS: Wenn Sie die Option Warn users about the certificate problems auswählen und der Benutzer auf Nicht-HTML-Inhalte zugreift (z.B. Bilder, js- und css-Dateien), die von einem anderen SSL-Server verarbeitet werden als die HTMLSeite, wird die Seite mit den Links u. U. nicht korrekt angezeigt. Sie können dieses Problem umgehen, indem Sie diese Option deaktivieren oder ein gültiges SSLProduktionszertifikat auf die Server laden, die Nicht-HTML-Inhalte verarbeiten. Allow users to bypass warnings on a server-by-server basis – Wenn diese Option aktiviert ist, ermöglicht das IVE dem Benutzer, alle weiteren Warnhinweise zu einer nicht vertrauenswürdigen Website zu unterdrücken. Aktiviert ein Benutzer diese Option, wird für diese Website kein Warnhinweis mehr angezeigt, vorausgesetzt, der Zugriff erfolgt über das aktuelle IVE oder über einen Cluster. HINWEIS: Wurde einem Benutzer erlaubt, auf nicht vertraute Websites zuzugreifen, ohne dass ein Warnhinweis eingeblendet wird, fügt das IVE dem Benutzerzugriffsprotokoll trotzdem einen Eintrag hinzu, wenn der Benutzer zu einer nicht vertrauten Site navigiert. Unterdrückt ein Benutzer Warnhinweise, kann er die permanenten Einstellungen der nicht vertrauten Websites mit der Option Delete Passwords auf der Registerkarte System > Preferences > Advanced in der Endbenutzerkonsole löschen. 8. Wählen Sie Rewrite file:// URLs aus, um das IVE für das Neuschreiben von file://-URLs zu konfigurieren, damit diese über die Dateinavigations-CGI des IVE geroutet werden. 9. Wählen Sie die Option Rewrite links in PDF files aus, um das IVE für das Neuschreiben von Hyperlinks in PDFs zu konfigurieren. 10. Akzeptieren Sie unter HTTP Connection Timeout den Standardwert, oder legen Sie die Dauer fest, um dem IVE mitzuteilen, wie lange vor dem Trennen der Verbindung auf eine Antwort vom HTTP-Server gewartet werden soll. Geben Sie einen Wert zwischen 30 und 1800 Sekunden an. HINWEIS: Bei einem höheren Zeitüberschreitungswert werden u. U. IVE- Ressourcen beansprucht, wenn Anwendungen Verbindungen nicht korrekt beenden oder zum Trennen der Verbindungen zu viel Zeit benötigen. Verwenden Sie den Standardwert, wenn eine Anwendung keinen höheren Zeitüberschreitungswert erfordert. 346 Definieren von Rolleneinstellungen: Web-URLs Kapitel 13: Neuschreiben von Webinhalt 11. Klicken Sie auf Save Changes. Definieren von Ressourcenrichtlinien: Übersicht Wenn Sie einer Rolle Zugriff auf das Web gewähren, müssen Sie Ressourcenrichtlinien erstellen, die angeben, auf welche Ressourcen ein Benutzer zugreifen darf, und ob das IVE den vom Benutzer angeforderten Inhalt neu schreiben muss. Zudem müssen Sie Angaben zur Zwischenspeicherung, zum Applet oder zu Anforderungen für die Einzelanmeldung machen. Für jede Webanforderung ermittelt das IVE zuerst die konfigurierten1 Richtlinien für das Neuschreiben. Wenn der Benutzer eine Ressource anfordert, die nicht neu geschrieben werden darf „Don’t rewrite“, weil sie entweder selektiv neu geschrieben werden soll oder aufgrund einer Ressourcenrichtlinie für Durchgangsproxy, leitet das IVE die Anforderung des Benutzers an die entsprechende Back-End-Ressource weiter. Andernfalls setzt das IVE die Auswertung der Ressourcenrichtlinien fort, die der Anforderung entsprechen, wie z.B. Java-Ressourcenrichtlinien bei der Anforderung eines Java-Applet. Wenn das IVE für eine Benutzeranforderung einer Ressource, die in der entsprechenden Richtlinie aufgeführt ist, eine Übereinstimmung findet, führt es die für die Ressource angegebene Aktion aus. Sie können Ressourcenrichtlinien über die Standardbenutzeroberfläche (wie in diesem Abschnitt beschrieben) oder über Ressourcenprofile (empfohlene Methode) erstellen. Beim Schreiben einer Webressourcenrichtlinie müssen Sie die folgenden zentralen Informationen angeben: Ressourcen – Eine Ressourcenrichtlinie muss mindestens eine Ressource angeben, auf die sich die Richtlinie bezieht. Beim Schreiben einer Webrichtlinie müssen Sie wie in den folgenden Abschnitten beschrieben Webserver oder bestimmte URLs angeben. Rollen – Eine Ressourcenrichtlinie muss die Rollen angeben, auf die sie sich bezieht. Wenn ein Benutzer eine Anforderung durchführt, ermittelt das IVE zunächst die für die Rolle gültigen Richtlinien und wertet dann die Richtlinien aus, die auf die Anforderung zutreffen. Aktionen – Jeder Typ von Ressourcenrichtlinie führt eine bestimmte Aktion aus: Zugriff auf eine Ressource gewähren bzw. verweigern oder eine Funktion, wie Neuschreiben von Inhalten, Neusignieren von Applets, Bereitstellen von Webdaten ausführen bzw. nicht ausführen. Sie können auch detaillierte Regeln schreiben, mit denen Sie weitere Bedingungen für eine Benutzeranforderung festlegen. Weitere Informationen finden Sie unter „Schreiben einer detaillierten Regel“ auf Seite 93. Für das IVE-Plattformmodul, das Ressourcenrichtlinien auswertet, müssen die in der Liste Resources einer Richtlinie aufgelisteten Ressourcen wie unter „Angeben von Ressourcen für eine Ressourcenrichtlinie“ auf Seite 87 beschrieben im kanonischen Format aufgeführt sein. In diesem Abschnitt werden spezielle Aspekte behandelt, die beim Angeben einer Webressource im kanonischen Format beachtet werden müssen. 1. Wenn Sie kein Neuschreiben von Ressourcenrichtlinien „Rewriting“ konfigurieren, setzt das IVE die Auswertung anhand der Richtlinien fort, die für die Anforderung des Benutzers gelten. Definieren von Ressourcenrichtlinien: Übersicht 347 Juniper Networks Secure Access – Administratorhandbuch Kanonisches Format: [Protokoll://]Host[:Ports][/Pfad] Die vier Bestandteile sind: Protokoll (optional) – Mögliche Werte: http und https (Groß-/Kleinschreibung wird nicht beachtet) Wenn kein Protokoll angegeben ist, werden sowohl http als auch https angenommen. Bei der Angabe eines Protokolls muss das Trennzeichen „://“ eingegeben werden. Sonderzeichen sind nicht zulässig. Host (erforderlich) – Mögliche Werte: DNS-Hostname – Beispiel: www.juniper.com Die zulässigen Sonderzeichen werden in der folgenden Tabelle beschrieben: Tabelle 23: Sonderzeichen für DNS-Hostname * Entspricht ALLEN Zeichen % Entspricht einem beliebigen Zeichen außer dem Punkt (.) ? Entspricht genau einem Zeichen IP-Adresse/Netzmaske – Die IP-Adresse muss in folgendem Format angegeben werden: a.b.c.d Die Netzmaske kann in einem der beiden folgenden Formate angegeben werden: Präfix: Obere Bits IP: a.b.c.d Beispiel: 10.11.149.2/24 or 10.11.149.2/255.255.255.0 Sonderzeichen sind nicht zulässig. Ports – Wenn Sie eine IP-Adresse/Netzmaske als Ressource angeben, müssen Sie einen Port festlegen. Bei einem DNS-Hostnamen ist der Port optional. Bei der Angabe eines Ports muss das Trennzeichen „:“ eingegeben werden. Beispiel: 10.11.149.2/255.255.255.0:* Tabelle 24: Mögliche Werte für Port 348 * Entspricht ALLEN Ports, andere Sonderzeichen sind nicht zulässig. Port[,Port]* Eine durch Kommata getrennte Liste einzelner Ports. Gültige Portnummern sind [1-65535]. [Port 1]-[Port 2] Ein Portbereich, von Port 1 bis einschließlich Port 2. Definieren von Ressourcenrichtlinien: Übersicht Kapitel 13: Neuschreiben von Webinhalt HINWEIS: Sie können Portlisten und Portbereiche mischen. Beispiel: 80,443,8080-8090 Wenn kein Port angegeben ist, wird der Standardport 80 für http und 443 für https zugewiesen. Pfad (optional) – Wenn kein Pfad angegeben ist, wird von einem Sternchen (*) ausgegangen, was bedeutet, dass ALLE Pfade zutreffen. Bei der Angabe eines Pfads muss das Trennzeichen „/“ eingegeben werden. Es werden keine weiteren Sonderzeichen unterstützt. Beispiel: http://www.juniper.com:80/* https://www.juniper.com:443/intranet/* *.yahoo.com:80,443/* %.danastreet.net:80/share/users/<username>/* Definieren von Ressourcenrichtlinien: Webzugriff Mit Ressoucenrichtlinien für den Webzugriff wird festgelegt, auf welche Webressourcen Benutzer zugreifen können, um eine Verbindung zum Internet, Intranet oder Extranet herzustellen. Sie können den Zugriff auf Webressourcen nach URL oder IP-Bereich zulassen bzw. verweigern. für URLs können Sie die Platzhalter „*“ und „?“ verwenden, um mehrere Hostnamen und Pfade anzugeben. für mit dem Hostnamen angegebene Ressourcen können Sie außerdem HTTP, HTTPS oder beide Protokolle auswählen. So schreiben Sie eine Ressourcenrichtlinie für den Webzugriff: 1. Wählen Sie in der Administratorkonsole Users > Resource Policies > Web > Access > Web ACL. 2. Klicken Sie auf der Seite Web Access Policies auf New Policy. 3. Geben Sie auf der Seite New Policy Folgendes ein: a. Eine Bezeichnung für diese Richtlinie. b. Eine Beschreibung der Richtlinie (optional). 4. Geben Sie im Abschnitt Resources die Ressourcen an, für die diese Richtlinie gelten soll. Weitere Informationen finden Sie unter „Angeben von Ressourcen für eine Ressourcenrichtlinie“ auf Seite 87. Informationen zum Aktivieren der IP-basierten Zuordnung und der Zuordnung anhand von Groß- und Kleinschreibung für diese Ressourcen finden Sie unter „Definieren von Ressourcenrichtlinien: Allgemeine Optionen“ auf Seite 384. 5. Geben Sie im Bereich Roles Folgendes an: Policy applies to ALL roles – Hiermit gilt die Richtlinie für alle Benutzer. Definieren von Ressourcenrichtlinien: Webzugriff 349 Juniper Networks Secure Access – Administratorhandbuch Policy applies to SELECTED roles – Hiermit gilt die Richtlinie nur für Benutzer, die Rollen in der Liste Selected roles zugeordnet sind. Dieser Liste müssen Rollen aus der Liste Available roles hinzugefügt werden. Policy applies to all roles OTHER THAN those selected below – Hiermit gilt die Richtlinie für alle Benutzer außer den Benutzern, die Rollen in der Liste Selected roles zugeordnet sind. Dieser Liste müssen Rollen aus der Liste Available roles hinzugefügt werden. 6. Geben Sie im Bereich Action Folgendes an: Allow access – Hiermit erlauben Sie den Zugriff auf die Ressourcen, die in der Liste Resources aufgeführt sind. Deny access – Hiermit verweigern Sie den Zugriff auf die Ressourcen, die in der Liste Resources aufgeführt sind. Use Detailed Rules – Hiermit geben Sie eine oder mehrere detaillierte Regeln für diese Richtlinie an. Weitere Informationen finden Sie unter „Schreiben einer detaillierten Regel“ auf Seite 93. 7. Klicken Sie auf Save Changes. 8. Ordnen Sie die Richtlinien auf der Seite Web Access Policies in der Reihenfolge an, in der sie vom IVE ausgewertet werden sollen. Hinweis: Wenn das IVE die Ressource, die von einem Benutzer angefordert wurde, einer Ressource in der Liste Resource für eine Richtlinie (oder ausführliche Regel) zuordnet, führt es die angegebene Aktion aus und beendet die Richtlinienverarbeitung. Ein Beispiel für eine Webressourcenrichtlinie finden Sie in den Abbildungen unter „Definieren von Ressourcenrichtlinien: Übersicht“ auf Seite 347. Definieren von Ressourcenrichtlinien: Single Sign-On (Einzelanmeldung) Mit Richtlinien für Single Sign-On (Einzelanmeldung) können Benutzerdaten automatisch an die in der Richtlinie angegebene Webanwendung übertragen werden. Single Sign-On-Richtlinien können so konfiguriert werden, dass sie Standardauthentifizierungs- und NTLM-Anfragen abfangen, eine zwischengeschaltete Anmeldeseite zum Sammeln von Anmeldedaten für die Webressource anzeigen und anschließend die Anmeldedaten mit der vollständigen Anfrage-/Antwortsequenz neu schreiben. Die angegebenen Anmeldedaten und Header können allerdings auch an die Webanwendung gesendet werden. Dieser Abschnitt enthält die folgenden Anweisungen für das Erstellen von Ressourcenrichtlinien für Single Sign-Ons (Einzelanmeldungen): 350 „Schreiben einer Ressourcenrichtlinie zur Standardauthentifizierung bzw. NTLM-Vermittlung“ auf Seite 351 „Schreiben einer Ressourcenrichtlinie für Remote-SSO-Form-POSTs“ auf Seite 353 Definieren von Ressourcenrichtlinien: Single Sign-On (Einzelanmeldung) Kapitel 13: Neuschreiben von Webinhalt „Schreiben einer Ressourcenrichtlinie für Remote-SSO-Header und -Cookies“ auf Seite 356 Schreiben einer Ressourcenrichtlinie zur Standardauthentifizierung bzw. NTLM-Vermittlung Mit Ressourcenrichtlinien für Standardauthentifizierung oder NTLM-Vermittlung wird die NTLM-Vermittlung im IVE gesteuert. Wenn ein Benutzer auf eine Webressource zugreift, die eine Standardauthentifizierungsanfrage sendet, kann das IVE die Anfrage abfangen, eine Anmeldeseite zur Eingabe der Anmeldedaten für die Webressource anzeigen und dann die Anmeldedaten zusammen mit der gesamten Anfrage-/Antwortsequenz neu schreiben. So schreiben Sie eine Ressourcenrichtlinie zur Standardauthentifizierung bzw. NTLM-Vermittlung: 1. Navigieren Sie in der Administratorkonsole zu Users > Resource Policies > Web. 2. Ist die Administratoransicht noch nicht für das Anzeigen von SSO-Richtlinien konfiguriert, nehmen Sie folgende Änderungen vor: a. Klicken Sie rechts oben auf der Seite auf die Schaltfläche Customize. b. Aktivieren Sie das Kontrollkästchen SSO. c. Aktivieren Sie das Kontrollkästchen Basic Auth/NTLM unter dem Kontrollkästchen SSO. d. Klicken Sie auf OK. 3. Klicken Sie auf die Registerkarte SSO > Basic Auth/NTLM. 4. Klicken Sie auf der Seite Basic Auth and NTLM policies auf New Policy. 5. Geben Sie auf der Seite New Policy einen Namen für diese Richtlinie (erforderlich) und eine Beschreibung der Richtlinie (optional) ein. 6. Geben Sie im Abschnitt Resources die Ressourcen an, für die diese Richtlinie gelten soll. Weitere Informationen finden Sie unter „Angeben von Ressourcen für eine Ressourcenrichtlinie“ auf Seite 87. Informationen zum Aktivieren der IP-basierten Zuordnung und der Zuordnung anhand von Groß- und Kleinschreibung für diese Ressourcen finden Sie unter „Definieren von Ressourcenrichtlinien: Allgemeine Optionen“ auf Seite 384. HINWEIS: Wenn das IVE automatisch Werte an eine bestimmte URL senden soll, wenn ein Endbenutzer auf ein IVE-Lesezeichen klickt, muss die hier eingegebene Ressource genau mit der auf der Seite Users > User Roles > Rolle > Web > Bookmarks angegebenen URL der Administratorkonsole übereinstimmen. 7. Geben Sie im Bereich Roles Folgendes an: Policy applies to ALL roles – Hiermit gilt die Richtlinie für alle Benutzer. Definieren von Ressourcenrichtlinien: Single Sign-On (Einzelanmeldung) 351 Juniper Networks Secure Access – Administratorhandbuch Policy applies to SELECTED roles – Hiermit gilt die Richtlinie nur für Benutzer, die zu Rollen in der Liste Selected roles zugeordnet sind. Dieser Liste müssen Rollen aus der Liste Available roles hinzugefügt werden. Policy applies to all roles OTHER THAN those selected below – Hiermit gilt die Richtlinie für alle Benutzer außer den Benutzern, die Rollen in der Liste Selected roles zugeordnet sind. Dieser Liste müssen Rollen aus der Liste Available roles hinzugefügt werden. 8. Geben Sie im Bereich Action Folgendes an: Basic – Diese Option gibt an, dass das IVE die Standardauthentifizierungsvermittlung zum Steuern des SSO-Verhaltens verwendet. Enable Intermediation – Wenn Sie diese Option auswählen, müssen Sie auch den Typ der Standardauthentifizierungsvermittlung angeben: Use System Credentials for SSO, Use Specified Credentials for SSO oder Disable SSO. Diese drei Optionen werden nachfolgend unter NTLM_ erläutert. Disable Intermediation – Wenn Sie diese Option auswählen, vermittelt das IVE die Anfrage-/Antwortsequenz nicht. HINWEIS: Das IVE vermittelt immer Anfragen an Webproxys, die eine Standardauthentifizierung erfordern. Dies gilt auch, wenn Sie Disable Intermediation auswählen. Obwohl Ihnen eine Option zum Deaktivieren der Standardauthentifizierungsvermittlung zur Verfügung steht, empfehlen wir diese Option nicht, da es sich um eine sehr unsichere Authentifizierungsmethode handelt und in einigen Fällen Benutzeranmeldedaten als Klartext (unverschlüsselt) über das Netzwerk übertragen werden können. NTLM – Diese Option gibt an, dass das IVE die Microsoft NTLM-Vermittlung zum Steuern des SSO-Verhaltens verwendet. Use System Credentials for SSO – Das IVE vermittelt die Anfrage-/Antwortsequenz, speichert die erfassten Anmeldedaten zwischen und verwendet die Daten dann, um die Einzelanmeldung (Single Sign-On) basierend auf den zuvor im IVE konfigurierten Systemanmeldedaten zu aktivieren. Use Specified Credentials for SSO – Das IVE vermittelt die Anfrage-/Antwortsequenz, speichert die erfassten Anmeldedaten zwischen und verwendet die Daten dann, um die SSO (Single Sign-On, Einzelanmeldung) zu aktivieren. Bei Auswahl dieser Option müssen Sie auch die folgenden Parameter für Vermittlungsanmeldedaten angeben: Username – Gibt den SSO-Benutzernamen an, mit dem das IVE Anmeldedaten überprüft. 352 Definieren von Ressourcenrichtlinien: Single Sign-On (Einzelanmeldung) Kapitel 13: Neuschreiben von Webinhalt Variable password – Gibt das SSO-Variablenkennwort an, mit dem das IVE Anmeldedaten überprüft. Das Variablenkennwort ist der Text _<PASSWORD>_ und bedeutet, dass das IVE beim Senden von Anmeldedaten für SSO das Anmeldekennwort des Benutzers als Authentifizierungsmethode verwendet. Password – Gibt das statische SSO-Kennwort an, mit dem das IVE Anmeldedaten überprüft. Sie können beispielsweise ein Kennwort wie „open_sesame“ angeben, das beim Vermitteln von Benutzeranmeldedaten vom IVE automatisch an den Authentifizierungsserver sendet. Domain – Gibt den Domänennamen an. Verwenden Sie für einen LDAP-Server die Variable <userDN.DC>. Das IVE füllt diese Variable mit dem Domänennamen. Wird die Domäne nicht ausgefüllt, sendet das IVE die von der NTLM-Anforderung zurückgegebene Domäne als Teil der NTLM-Antwort an den Server. Disable SSO – Das IVE deaktiviert die automatische SSOAuthentifizierung für diese Benutzerrolle und fordert stattdessen den Benutzer zur Eingabe der Anmeldedaten auf. Use Detailed Rules – Hiermit geben Sie eine oder mehrere detaillierte Regeln für diese Richtlinie an. Weitere Informationen finden Sie unter „Schreiben einer detaillierten Regel“ auf Seite 93. 9. Klicken Sie auf Save Changes. 10. Ordnen Sie die Richtlinien auf der Seite Basic Auth and NTLM policies in der Reihenfolge an, in der sie vom IVE ausgewertet werden sollen. Hinweis: Wenn das IVE die Ressource, die von einem Benutzer angefordert wurde, einer Ressource in der Liste Resource für eine Richtlinie (oder ausführliche Regel) zuordnet, führt es die angegebene Aktion aus und beendet die Richtlinienverarbeitung. Ein Beispiel für eine Webressourcenrichtlinie finden Sie in den Abbildungen unter „Definieren von Ressourcenrichtlinien: Übersicht“ auf Seite 347. Schreiben einer Ressourcenrichtlinie für Remote-SSO-Form-POSTs Ressourcenrichtlinien für Remote-SSO-Form-POSTs geben Webanwendungen an, an die das IVE Daten überträgt. Diese Daten können den IVE-Benutzernamen und das -Benutzerkennwort sowie die Systemdaten enthalten, die in Systemvariablen gespeichert sind. Weitere Informationen finden Sie unter „Remote-SSO – Übersicht“ auf Seite 304. So schreiben Sie eine Ressourcenrichtlinie für Remote-SSO Form POST: 1. Navigieren Sie in der Administratorkonsole zu Users > Resource Policies > Web. 2. Ist die Administratoransicht noch nicht für das Anzeigen von SSO-Richtlinien konfiguriert, nehmen Sie folgende Änderungen vor: a. Klicken Sie rechts oben auf der Seite auf die Schaltfläche Customize. Definieren von Ressourcenrichtlinien: Single Sign-On (Einzelanmeldung) 353 Juniper Networks Secure Access – Administratorhandbuch b. Aktivieren Sie das Kontrollkästchen SSO. c. Aktivieren Sie das Kontrollkästchen Form Post unter dem Kontrollkästchen SSO. d. Klicken Sie auf OK. 3. Klicken Sie auf die Registerkarte SSO> Form Post. 4. Klicken Sie auf der Seite Form POST Policies auf New Policy. 5. Geben Sie auf der Seite New Policy einen Namen für diese Richtlinie (erforderlich) und eine Beschreibung der Richtlinie (optional) ein. 6. Geben Sie im Abschnitt Resources die Anmeldeseite der Anwendung an, wie z.B. die folgende: http://yourcompany.com. Weitere Informationen finden Sie unter „Angeben von Ressourcen für eine Ressourcenrichtlinie“ auf Seite 87. Informationen zum Aktivieren der IP-basierten Zuordnung und der Zuordnung anhand von Groß- und Kleinschreibung für diese Ressourcen finden Sie unter „Definieren von Ressourcenrichtlinien: Allgemeine Optionen“ auf Seite 384. HINWEIS: Wenn das IVE automatisch Werte an eine bestimmte URL senden soll, wenn ein Endbenutzer auf ein IVE-Lesezeichen klickt, muss die hier eingegebene Ressource genau mit der auf der Seite Users > User Roles > Rolle > Web > Bookmarks angegebenen URL der Administratorkonsole übereinstimmen. 7. Geben Sie im Bereich Roles Folgendes an: Policy applies to ALL roles – Hiermit gilt die Richtlinie für alle Benutzer. Policy applies to SELECTED roles – Hiermit gilt die Richtlinie nur für Benutzer, die zu Rollen in der Liste Selected roles zugeordnet sind. Dieser Liste müssen Rollen aus der Liste Available roles hinzugefügt werden. Policy applies to all roles OTHER THAN those selected below – Hiermit gilt die Richtlinie für alle Benutzer außer den Benutzern, die Rollen in der Liste Selected roles zugeordnet sind. Dieser Liste müssen Rollen aus der Liste Available roles hinzugefügt werden. 8. Geben Sie im Bereich Action Folgendes an: 354 Perform the POST defined below – Wenn ein Benutzer den Zugriff auf eine Ressource anfordert, die in der Liste Resources aufgeführt ist, führt das IVE mit den Benutzerdaten, die im Bereich POST details angegeben sind, einen Form-POST für die angegebene URL durch. Do NOT perform the POST defined below – Das IVE führt keinen FormPOST mit den Benutzerdaten durch, die im Bereich POST details angegeben wurden. Use Detailed Rules – Hiermit geben Sie eine oder mehrere detaillierte Regeln für diese Richtlinie an. Weitere Informationen finden Sie unter „Schreiben einer detaillierten Regel“ auf Seite 93. Definieren von Ressourcenrichtlinien: Single Sign-On (Einzelanmeldung) Kapitel 13: Neuschreiben von Webinhalt 9. Geben Sie im Abschnitt POST details Folgendes an: Geben Sie im Feld POST to URL die absolute URL an, in der die Anwendung die Anmeldedaten des Benutzers bereitstellt (siehe http://yourcompany.com/login.cgi): Sie können mithilfe eines TCP-Dump oder durch Anzeigen der Anmeldeseite der Anwendung und Suchen nach dem POST -Parameter im Tag FORM die geeignete URL bestimmen. (Das IVE akzeptiert keine Platzhalterzeichen in diesem Feld.) Aktivieren Sie das Kontrollkästchen Deny direct login for this resource, wenn Benutzer nicht direkt auf die URL zugreifen sollen. Aktivieren Sie das Kontrollkästchen Allow multiple POSTs to this resource, wenn Sie mit dem IVE POST- und Cookie-Werte ggf. mehrmals an die Ressource senden möchten. Wird diese Option nicht ausgewählt, unternimmt das IVE keinen Single Sign-On-Versuch, wenn ein Benutzer während derselben Sitzung dieselbe Ressource mehr als einmal anfordert. Geben Sie die zu sendenden Benutzerdaten und die Änderungsberechtigung für den Benutzer an: User label – Text, der auf der Seite Preferences des Benutzers im IVE angezeigt wird. Dieses Feld ist erforderlich, wenn Sie Benutzern erlauben oder von ihnen fordern, Daten zu ändern, die an Back-EndAnwendungen gesendet werden. Name – Dieser Name bezeichnet die Daten im Feld Value. (Dieser Name wird vermutlich von der Back-End-Anwendung erwartet.) Value – Der Wert, der für den angegebenen Name an das Formular gesendet wird. Geben Sie statische Daten, eine Systemvariable (unter „Systemvariablen und Beispiele“ auf Seite 920 finden Sie eine Liste mit Variablen) oder IVE-Sitzungsvariablen ein, die Werte für den Benutzernamen und das Kennwort enthalten (weitere Informationen finden Sie unter „Anmeldedaten für mehrfaches Anmelden – Übersicht“ auf Seite 205). User modifiable? – Setzen Sie diese Einstellung auf Not modifiable, wenn Benutzer keine Informationen im Feld Value ändern können sollen. Setzen Sie sie auf User CAN change value, wenn Sie es Benutzern ermöglichen möchten, Daten für eine Back-End-Anwendung anzugeben. Setzen Sie diese Einstellung auf User MUST change value, wenn Benutzer zusätzliche Daten eingeben müssen, um auf die BackEnd-Anwendung zugreifen zu können. Wenn Sie eine der letzteren Einstellungen auswählen, wird auf der Benutzerseite Advanced Preferences auf dem IVE ein Dateneingabefeld angezeigt. Dieses Feld wird mit dem im Feld User label eingegebenen Text beschriftet. Wenn Sie im Feld Value einen Wert angeben, wird dieser im Feld angezeigt, kann jedoch geändert werden. 10. Klicken Sie auf Save Changes. Definieren von Ressourcenrichtlinien: Single Sign-On (Einzelanmeldung) 355 Juniper Networks Secure Access – Administratorhandbuch 11. Ordnen Sie die Richtlinien auf der Seite Form POST Policies in der Reihenfolge an, in der sie vom IVE ausgewertet werden sollen. Hinweis: Wenn das IVE die Ressource, die von einem Benutzer angefordert wurde, einer Ressource in der Liste Resource für eine Richtlinie (oder ausführliche Regel) zuordnet, führt es die angegebene Aktion aus und beendet die Richtlinienverarbeitung. Ein Beispiel für eine Webressourcenrichtlinie finden Sie in den Abbildungen unter „Definieren von Ressourcenrichtlinien: Übersicht“ auf Seite 347. Schreiben einer Ressourcenrichtlinie für Remote-SSO-Header und -Cookies Ressourcenrichtlinien für Remote-SSO-Headers/-Cookies geben benutzerdefinierte Webanwendungen an, an die das IVE benutzerdefinierte Header und Cookies sendet. Weitere Informationen finden Sie unter „Remote-SSO – Übersicht“ auf Seite 304. HINWEIS: Beim Erstellen einer Richtlinie für Header/Cookies liest das IVE nicht die in diesem Abschnitt eingegebenen Header aus bzw. es versteht diese nicht. Wird z.B. ein Accept-Encoding: gzip- oder Accept-Encoding:deflate-Header hinzugefügt, bedeutet dies nicht, dass das IVE gzip-Inhalt oder komprimierten Inhalt verarbeiten kann. So schreiben Sie eine Ressourcenrichtlinie für SSO-Header/Cookies: 1. Navigieren Sie in der Administratorkonsole zu Users > Resource Policies > Web. 2. Ist die Administratoransicht noch nicht für das Anzeigen von SSO-Richtlinien konfiguriert, nehmen Sie folgende Änderungen vor: a. Klicken Sie rechts oben auf der Seite auf die Schaltfläche Customize. b. Aktivieren Sie das Kontrollkästchen SSO. c. Aktivieren Sie das Kontrollkästchen Headers/Cookies unter dem Kontrollkästchen SSO. d. Klicken Sie auf OK. 3. Klicken Sie auf die Registerkarte SSO > Headers/Cookies. 4. Klicken Sie auf der Seite Headers/Cookies Policies auf New Policy. 5. Geben Sie auf der Seite New Policy Folgendes ein: 356 a. Eine Bezeichnung für diese Richtlinie. b. Eine Beschreibung der Richtlinie (optional). Definieren von Ressourcenrichtlinien: Single Sign-On (Einzelanmeldung) Kapitel 13: Neuschreiben von Webinhalt 6. Geben Sie im Abschnitt Resources die Ressourcen an, für die diese Richtlinie gelten soll. Weitere Informationen finden Sie unter „Angeben von Ressourcen für eine Ressourcenrichtlinie“ auf Seite 87. Informationen zum Aktivieren der IP-basierten Zuordnung und der Zuordnung anhand von Groß- und Kleinschreibung für diese Ressourcen finden Sie unter „Definieren von Ressourcenrichtlinien: Allgemeine Optionen“ auf Seite 384. 7. Geben Sie im Bereich Roles Folgendes an: Policy applies to ALL roles – Hiermit gilt die Richtlinie für alle Benutzer. Policy applies to SELECTED roles – Hiermit gilt die Richtlinie nur für Benutzer, die Rollen in der Liste Selected roles zugeordnet sind. Dieser Liste müssen Rollen aus der Liste Available roles hinzugefügt werden. Policy applies to all roles OTHER THAN those selected below – Hiermit gilt die Richtlinie für alle Benutzer außer den Benutzern, die Rollen in der Liste Selected roles zugeordnet sind. Dieser Liste müssen Rollen aus der Liste Available roles hinzugefügt werden. 8. Geben Sie im Bereich Action Folgendes an: Append headers as defined below – Wenn ein Benutzer den Zugriff auf eine Ressource anfordert, die in der Liste Resources aufgeführt ist, sendet das IVE die Benutzerdaten, die im Bereich POST details angegeben sind, an die angegebene URL. Do NOT append headers as defined below – Wenn ein Benutzer den Zugriff auf eine Ressource anfordert, die in der Liste Resources aufgeführt ist, sendet das IVE die Benutzerdaten, die im Bereich POST details angegeben sind, nicht an die angegebene URL. Use Detailed Rules – Hiermit geben Sie eine oder mehrere detaillierte Regeln für diese Richtlinie an. Weitere Informationen finden Sie unter „Schreiben einer detaillierten Regel“ auf Seite 93. 9. Geben Sie im Bereich Headers and values Folgendes an: Header name – Text, den das IVE als Headerdaten sendet. Value – Wert für den angegebenen Header. HINWEIS: Muss ein Cookie an einen Back-End-Server weitergeleitet werden, legen Sie im Feld Header Name „Cookie“ und im Feld Value „CookieName=CookieValue“ fest. 10. Klicken Sie auf Save Changes. 11. Ordnen Sie die Richtlinien auf der Seite Headers/Cookies Policies in der Reihenfolge an, in der sie vom IVE ausgewertet werden sollen. Hinweis: Wenn das IVE die Ressource, die von einem Benutzer angefordert wurde, einer Ressource in der Liste Resource für eine Richtlinie (oder ausführliche Regel) zuordnet, führt es die angegebene Aktion aus und beendet die Richtlinienverarbeitung. Definieren von Ressourcenrichtlinien: Single Sign-On (Einzelanmeldung) 357 Juniper Networks Secure Access – Administratorhandbuch Ein Beispiel für eine Webressourcenrichtlinie finden Sie in den Abbildungen unter „Definieren von Ressourcenrichtlinien: Übersicht“ auf Seite 347. Definieren von Ressourcenrichtlinien: Caching Mit Ressourcenrichtlinien für Zwischenspeicherung wird festgelegt, welcher Webinhalt auf dem Computer eines Benutzers zwischengespeichert wird. Dieser Abschnitt enthält die folgenden Informationen zu Zwischenspeicherungsrichtlinien: „Schreiben einer Ressourcenrichtlinie für die Zwischenspeicherung“ auf Seite 358 „Erstellen von OWA- und Lotus Notes-Ressourcenrichtlinien für die Zwischenspeicherung“ auf Seite 361 „Angeben von allgemeinen Zwischenspeicherungsoptionen“ auf Seite 362 Schreiben einer Ressourcenrichtlinie für die Zwischenspeicherung So schreiben Sie eine Ressourcenrichtlinie für die Webzwischenspeicherung: 1. Navigieren Sie in der Administratorkonsole zu Users > Resource Policies > Web. 2. Ist die Administratoransicht noch nicht für das Anzeigen von Zwischenspeicherungsrichtlinien konfiguriert, nehmen Sie folgende Änderungen vor: a. Klicken Sie rechts oben auf der Seite auf die Schaltfläche Customize. b. Aktivieren Sie das Kontrollkästchen Caching. c. Aktivieren Sie das Kontrollkästchen Policies unter dem Kontrollkästchen Caching. d. Klicken Sie auf OK. 3. Klicken Sie auf die Registerkarte Caching > Policies. 4. Klicken Sie auf der Seite Web Caching Policies auf New Policy. 5. Geben Sie auf der Seite New Policy Folgendes ein: 358 a. Eine Bezeichnung für diese Richtlinie. b. Eine Beschreibung der Richtlinie (optional). Definieren von Ressourcenrichtlinien: Caching Kapitel 13: Neuschreiben von Webinhalt 6. Geben Sie im Abschnitt Resources die Ressourcen an, für die diese Richtlinie gelten soll. Weitere Informationen finden Sie unter „Schreiben einer detaillierten Regel“ auf Seite 93. Informationen zum Aktivieren der IP-basierten Zuordnung und der Zuordnung anhand von Groß- und Kleinschreibung für diese Ressourcen finden Sie unter „Definieren von Ressourcenrichtlinien: Allgemeine Optionen“ auf Seite 384. 7. Geben Sie im Bereich Roles Folgendes an: Policy applies to ALL roles – Hiermit gilt die Richtlinie für alle Benutzer. Policy applies to SELECTED roles – Hiermit gilt die Richtlinie nur für Benutzer, die Rollen in der Liste Selected roles zugeordnet sind. Dieser Liste müssen Rollen aus der Liste Available roles hinzugefügt werden. Policy applies to all roles OTHER THAN those selected below – Hiermit gilt die Richtlinie für alle Benutzer außer den Benutzern, die Rollen in der Liste Selected roles zugeordnet sind. Dieser Liste müssen Rollen aus der Liste Available roles hinzugefügt werden. 8. Wählen Sie im Abschnitt Action eine der folgenden Optionen aus: Smart Caching (send headers appropriate for content and browser) – Wählen Sie diese Option aus, um dem IVE das Senden eines cachecontrol:no-store-Headers oder eines cache-control:no-cache-Headers basierend auf dem Webbrowser- und dem Inhaltstyp zu ermöglichen. Bei Auswahl dieser Option erhöht das IVE die Zuverlässigkeit von Medienund Zip-Dateien, da die cache-control-Header des Ursprungsservers entfernt werden. Die folgende Logik sucht z.B. in Benutzeragent-Headern nach „msie“ oder „windows-media-player“, um cache- oder cache-control:no-storeAntwortheader zu entfernen und eine Zwischenspeicherung von Dateien zu ermöglichen: (if content type has "audio/x-pn-realaudio" OR if content type begins with "video/" OR if content type begins with "audio/" OR if content type is "application/octet-stream" and the file extension begins with "rm" or "ram" ) Findet das IVE in den Benutzeragent-Headern „msie“ oder „windows-mediaplayer“, sind alle folgenden Dateitypen gültig: Die Anforderung gilt für Flash-,.xls,.pps, und.ppt-Dateien. Der Content-Type lautet application/, text/rtf, text/xml, model/ Der Ursprungsserver sendet einen Content-Disposition-Header. Anschließend sendet das IVE den cache-control:no-store-Header und entfernt den Cachesteuerungs-Header des Ursprungsservers. Definieren von Ressourcenrichtlinien: Caching 359 Juniper Networks Secure Access – Administratorhandbuch In allen anderen Fällen fügt das IVE pragma:no-cache- oder cache-control:nostore-Antwortheader hinzu. HINWEIS: ICA-Dateien von Citrix und QuickPlace-Dateien werden anders behandelt. ICA-Dateien von Citrix sind immer zwischenspeicherungsfähig und erhalten auch den Header Cache-control-private. QuickPlace-Dateien, die keiner festgelegten Regel (die Vorrang hat) entsprechen, erhalten die Header CCNS und Cache-control:private. Wenn Sie diese Option auswählen, die GZIP-Komprimierung aktivieren und mit Domino Web Access 6.5 über Internet Explorer auf eine angehängte Textdatei zugreifen, können Sie den Anhang nicht öffnen. Um Textanhänge zu öffnen, müssen Sie entweder den Internet Explorer-Patch 323308 installieren oder die Option Don't Cache (send „Cache Control: No Store“) aktivieren. Don't Cache (send „Cache Control: No Store“) – Wählen Sie diese Option aus, um Anhänge an Internet Explorer zu senden, ohne sie auf der Festplatte zu speichern. (Der Browser schreibt die Dateien kurzfristig auf die Festplatte, entfernt sie aber sofort wieder, sobald die Datei im Browser geöffnet wird.) Wenn Sie diese Option auswählen, entfernt das IVE die CachesteuerungsHeader des Ursprungsservers und fügt stattdessen einen Antwortheader vom Typ cache-control:no-store hinzu, falls die vom Browser gesendete UserAgent-Zeichenfolge „msie“ oder „windows-media-player“ enthält. Diese Option kann jedoch auch zu einer Verlangsamung des Browsers führen, weil sie zum wiederholten Abrufen von Inhalten führt. Bei sehr langsamen Verbindungen können Probleme mit der Systemleistung auftreten. Alternativ können Sie eine Richtlinie angeben, die gestattet, dass einige Inhalte wie Bilder, die eine bestimmte Größenbeschränkung nicht überschreiten, zwischengespeichert werden können. Don't Cache (send „Pragma: No Cache“) – Verhindern Sie mit dieser Option, dass der Browser des Benutzers Dateien auf dem Datenträger zwischenspeichert. Bei Auswahl dieser Option fügt das IVE Antwortdateien den standardmäßigen HTTP-pragma:no-cache-Header und den cachecontrol:no-cache (CCNC)-Header (HTTP 1.1) hinzu. Zudem leitet das IVE nicht die Zwischenspeicherungsheader des Ursprungsservers weiter, wie z.B. age, date, etag, last-modified, expires. HINWEIS: Sind no-cache-Header in verschiedenen Anhangstypen enthalten (PDF, PPT, Streamingdateien), bearbeitet Internet Explorer die Dokumente nicht ordnungsgemäß, da der Bearbeitungsprozess ein zeitweiliges Zwischenspeichern dieser Dateien durch den Browser erfordert. Unchanged (do not add/modify caching headers) – Das IVE fügt die pragma:no-cache- oder cache-control:no-store-Antwortheader nicht hinzu und leitet die Zwischenspeicherungsheader des Ursprungsservers weiter. Use Detailed Rules – Hiermit geben Sie eine oder mehrere detaillierte Regeln für diese Richtlinie an. Weitere Informationen finden Sie unter „Schreiben einer detaillierten Regel“ auf Seite 93. 9. Klicken Sie auf Save Changes. 360 Definieren von Ressourcenrichtlinien: Caching Kapitel 13: Neuschreiben von Webinhalt 10. Ordnen Sie die Richtlinien auf der Seite Web Caching Policies in der Reihenfolge an, in der sie vom IVE ausgewertet werden sollen. Hinweis: Wenn das IVE die Ressource, die von einem Benutzer angefordert wurde, einer Ressource in der Liste Resource für eine Richtlinie (oder ausführliche Regel) zuordnet, führt es die angegebene Aktion aus und beendet die Richtlinienverarbeitung. Ein Beispiel für eine Webressourcenrichtlinie finden Sie in den Abbildungen unter „Definieren von Ressourcenrichtlinien: Übersicht“ auf Seite 347. Erstellen von OWA- und Lotus Notes-Ressourcenrichtlinien für die Zwischenspeicherung Die folgenden Tabellen enthalten Beispiele für einige der Inhaltstypen, die das IVE mit den Anwendungen Outlook Web Access (OWA) und Lotus iNotes unterstützt. Darüber hinaus zeigen sie die Cachesteuerungsdirektiven, die Sie in Microsoft Internet Explorer implementieren müssen, um das Öffnen und Speichern der angegebenen Inhaltstypen zu unterstützen. Aus Leistungsgründen empfehlen wir die Erstellung von Zwischenspeicherungsrichtlinien für den gesamten Inhalt des iNotes-Verzeichnisses. Tabelle 25: OWA-Ressourcenrichtlinien für Zwischenspeicherung Anhangstyp Öffnen des Anhangs: Speichern des Anhangs: zip Cache Smart Caching ppt Smart Caching Smart Caching doc Smart Caching Smart Caching xls Smart Caching Smart Caching pdf Smart Caching Smart Caching txt Cache Cache control: No store html Smart Caching Cache control: No store Tabelle 26: iNotes-Ressourcenrichtlinien für Zwischenspeicherung Anhangstyp Öffnen des Anhangs: Speichern des Anhangs: zip Cache control: No store Cache control: No store ppt Cache control: No store Cache control: No store doc Smart Caching Smart Caching xls Cache control: No store Cache control: No store pdf Cache control: No store Cache control: No store txt Cache control: No store Cache control: No store html Cache control: No store Cache control: No store andere Dateitypen Cache control: No store Cache control: No store Definieren von Ressourcenrichtlinien: Caching 361 Juniper Networks Secure Access – Administratorhandbuch Angeben von allgemeinen Zwischenspeicherungsoptionen Mit den Zwischenspeicherungsoptionen können Sie die maximale Größe einer Bilddatei angeben, die auf einem Client zwischengespeichert werden kann. Wenn der „content-type“-Header des Ursprungsservers mit „image/“ beginnt und der „content-length“-Header eine Größe angibt, die kleiner ist als die für diese Option konfigurierte maximale Größe, leitet das IVE die Cacheheader des Ursprungsservers weiter. Andernfalls behandelt das IVE die Anforderung wie bei deaktivierter Zwischenspeicherung. So geben Sie Zwischenspeicherungsoptionen an: 1. Navigieren Sie in der Administratorkonsole zu Users > Resource Policies > Web. 2. Ist die Administratoransicht noch nicht für das Anzeigen von Zwischenspeicherungsrichtlinien konfiguriert, nehmen Sie folgende Änderungen vor: a. Klicken Sie rechts oben auf der Seite auf die Schaltfläche Customize. b. Aktivieren Sie das Kontrollkästchen Caching. c. Aktivieren Sie das Kontrollkästchen Options unter dem Kontrollkästchen Caching. d. Klicken Sie auf OK. 3. Klicken Sie auf die Registerkarte Caching > Options. 4. Legen Sie auf der Seite Caching Options unter Clients should cache all images less than field eine maximal zulässige Bildgröße fest. 5. Klicken Sie auf Save Changes. Definieren von Ressourcenrichtlinien: Externe Java-Applets Dieser Abschnitt enthält die folgenden Informationen über das Neuschreiben von Java-Applets auf einem externen Server: „Schreiben einer Ressourcenrichtlinie für die Java-Zugriffssteuerung“ auf Seite 362 „Schreiben einer Ressourcenrichtlinie für die Java-Codesignatur“ auf Seite 364 HINWEIS: Information über das Hosten von Java-Applets direkt über das IVE finden Sie unter „Gehostete Java-Applets“ auf Seite 387. Schreiben einer Ressourcenrichtlinie für die Java-Zugriffssteuerung Mit Ressourcenrichtlinien für die Java-Zugriffssteuerung wird festgelegt, zu welchen Servern und Ports Java-Applets eine Verbindung herstellen können. 362 Definieren von Ressourcenrichtlinien: Externe Java-Applets Kapitel 13: Neuschreiben von Webinhalt So schreiben Sie eine Ressourcenrichtlinie für die Java-Zugriffssteuerung: 1. Navigieren Sie in der Administratorkonsole zu Users > Resource Policies > Web. 2. Ist die Administratoransicht noch nicht für das Anzeigen von Java-Richtlinien konfiguriert, nehmen Sie folgende Änderungen vor: a. Klicken Sie rechts oben auf der Seite auf die Schaltfläche Customize. b. Aktivieren Sie das Kontrollkästchen Java. c. Aktivieren Sie das Kontrollkästchen Access Control unter dem Kontrollkästchen Java. d. Klicken Sie auf OK. 3. Klicken Sie auf die Registerkarte Java > Access Control. 4. Klicken Sie auf der Seite Java Access Policies auf New Policy. 5. Geben Sie auf der Seite New Policy Folgendes ein: a. Eine Bezeichnung für diese Richtlinie. b. Eine Beschreibung der Richtlinie (optional). 6. Geben Sie im Abschnitt Resources die Ressourcen an, für die diese Richtlinie gelten soll. Weitere Informationen finden Sie unter „Angeben von Ressourcen für eine Ressourcenrichtlinie“ auf Seite 87. Informationen zum Aktivieren der IP-basierten Zuordnung und der Zuordnung anhand von Groß- und Kleinschreibung für diese Ressourcen finden Sie unter „Definieren von Ressourcenrichtlinien: Allgemeine Optionen“ auf Seite 384. 7. Geben Sie im Bereich Roles Folgendes an: Policy applies to ALL roles – Hiermit gilt die Richtlinie für alle Benutzer. Policy applies to SELECTED roles – Hiermit gilt die Richtlinie nur für Benutzer, die zu Rollen in der Liste Selected roles zugeordnet sind. Dieser Liste müssen Rollen aus der Liste Available roles hinzugefügt werden. Policy applies to all roles OTHER THAN those selected below —Hiermit gilt die Richtlinie für alle Benutzer außer den Benutzern, die Rollen in der Liste Selected roles zugeordnet sind. Dieser Liste müssen Rollen aus der Liste Available roles hinzugefügt werden. 8. Geben Sie im Bereich Action Folgendes an: Allow socket access – Erlaubt, dass Java-Applets eine Verbindung mit den Servern (und ggf. Ports) in der Liste Resources herstellen. Deny socket access – Verhindert, dass Java-Applets eine Verbindung mit den Servern (und ggf. Ports) in der Liste Resources herstellen. Definieren von Ressourcenrichtlinien: Externe Java-Applets 363 Juniper Networks Secure Access – Administratorhandbuch Use Detailed Rules – Hiermit geben Sie eine oder mehrere detaillierte Regeln für diese Richtlinie an. Weitere Informationen finden Sie unter „Schreiben einer detaillierten Regel“ auf Seite 93. 9. Klicken Sie auf Save Changes. 10. Ordnen Sie die Richtlinien auf der Seite Java Access Policies in der Reihenfolge an, in der sie vom IVE ausgewertet werden sollen. Hinweis: Wenn das IVE die Ressource, die von einem Benutzer angefordert wurde, einer Ressource in der Liste Resource für eine Richtlinie (oder ausführliche Regel) zuordnet, führt es die angegebene Aktion aus und beendet die Richtlinienverarbeitung. 11. So verbessern Sie die Leistung Ihrer Java-Anwendungen (optional): a. Wählen Sie auf der Seite Enable Java instrumentation caching Maintenance > System > Options der Administratorkonsole aus. Mit dieser Option kann die Leistung beim Herunterladen von JavaAnwendungen verbessert werden. Weitere Informationen finden Sie unter „Festlegen der Systemoptionen“ auf Seite 619. b. Nehmen Sie nach der Konfiguration des IVE eine Zwischenspeicherung Ihres Java-Applets vor, und greifen Sie als Endbenutzer darauf zu. Durch diesen Vorgang wird der beim Zugriff des ersten Endbenutzers auf das Applet im Modul für Inhaltsvermittlung auftretende Performance-Hit gelöscht. Ein Beispiel für eine Webressourcenrichtlinie finden Sie in den Abbildungen unter „Definieren von Ressourcenrichtlinien: Übersicht“ auf Seite 347. Schreiben einer Ressourcenrichtlinie für die Java-Codesignatur Ressourcenrichtlinien für Java-Codesignatur geben an, wie das IVE Java-Applets neu schreibt. Wenn das IVE ein signiertes Java-Applet vermittelt, signiert es das Applet standardmäßig mit einem eigenen Zertifikat neu, das nicht mit einem Standardstammzertifikat verkettet ist. Wenn ein Benutzer ein Applet anfordert, das Aufgaben mit einem hohen Risikopotential durchführt, z.B. Zugreifen auf Netzwerkserver, wird im Browser des Benutzers in einer Sicherheitswarnung angezeigt, dass der Stamm nicht vertrauenswürdig ist. Um die Anzeige dieser Warnung zu vermeiden, können Sie ein Codesignaturzertifikat importieren, mit dem das IVE zu vermittelnde Applets neu signiert. Weitere Informationen zu Codesignaturzertifikaten finden Sie unter „Verwenden von Codesignaturzertifikaten“ auf Seite 672. Geben Sie beim Konfigurieren der Ressourcenrichtlinien für die Java-Codesignatur die Server ein, deren Applets Sie als vertrauenswürdig einstufen möchten. Sie können die IP-Adresse oder den Domänennamen eines Servers eingeben. Das IVE signiert nur Applets neu, die von vertrauenswürdigen Servern stammen. Wenn ein Benutzer ein Applet anfordert, das von einem nicht in der Liste aufgeführten Server stammt, verwendet das IVE nicht die importierten Produktionszertifikate zum Signieren des Applets. Dies bedeutet, dass dem Benutzer im Browser eine Sicherheitswarnung angezeigt wird. Für Benutzer der Sun JVM überprüft das IVE außerdem, ob die Stammzertifizierungsstelle des ursprünglichen Appletzertifikats in der Liste vertrauenswürdiger Stammzertifizierungsstellen aufgeführt ist. 364 Definieren von Ressourcenrichtlinien: Externe Java-Applets Kapitel 13: Neuschreiben von Webinhalt So schreiben Sie eine Ressourcenrichtlinie für die Java-Codesignatur: 1. Navigieren Sie in der Administratorkonsole zu Users > Resource Policies > Web. 2. Ist die Administratoransicht noch nicht für das Anzeigen von Java-Richtlinien konfiguriert, nehmen Sie folgende Änderungen vor: a. Klicken Sie rechts oben auf der Seite auf die Schaltfläche Customize. b. Aktivieren Sie das Kontrollkästchen Java. c. Aktivieren Sie das Kontrollkästchen Code-Signing unter dem Kontrollkästchen Java. d. Klicken Sie auf OK. 3. Klicken Sie auf die Registerkarte Java > Code-Signing. 4. Klicken Sie auf der Seite Java Signing Policies auf New Policy. 5. Geben Sie auf der Seite New Policy Folgendes ein: a. Eine Bezeichnung für diese Richtlinie. b. Eine Beschreibung der Richtlinie (optional). 6. Geben Sie im Abschnitt Resources die Ressourcen an, für die diese Richtlinie gelten soll. Weitere Informationen finden Sie unter „Angeben von Ressourcen für eine Ressourcenrichtlinie“ auf Seite 87. Informationen zum Aktivieren der IP-basierten Zuordnung und der Zuordnung anhand von Groß- und Kleinschreibung für diese Ressourcen finden Sie unter „Definieren von Ressourcenrichtlinien: Allgemeine Optionen“ auf Seite 384. 7. Geben Sie im Bereich Roles Folgendes an: Policy applies to ALL roles – Hiermit gilt die Richtlinie für alle Benutzer. Policy applies to SELECTED roles – Hiermit gilt die Richtlinie nur für Benutzer, die Rollen in der Liste Selected roles zugeordnet sind. Dieser Liste müssen Rollen aus der Liste Available roles hinzugefügt werden. Policy applies to all roles OTHER THAN those selected below – Hiermit gilt die Richtlinie für alle Benutzer außer den Benutzern, die Rollen in der Liste Selected roles zugeordnet sind. Dieser Liste müssen Rollen aus der Liste Available roles hinzugefügt werden. 8. Geben Sie im Bereich Action Folgendes an: Resign applets using applet certificate – Erlaubt, dass Java-Applets eine Verbindung mit den Servern (und ggf. Ports) in der Liste Resources herstellen. Definieren von Ressourcenrichtlinien: Externe Java-Applets 365 Juniper Networks Secure Access – Administratorhandbuch Resign applets using default certificate – Verhindert, dass Java-Applets eine Verbindung mit den Servern (und ggf. Ports) in der Liste Resources herstellen. Use Detailed Rules – Hiermit geben Sie eine oder mehrere detaillierte Regeln für diese Richtlinie an. Weitere Informationen finden Sie unter „Schreiben einer detaillierten Regel“ auf Seite 93. 9. Klicken Sie auf Save Changes. 10. Ordnen Sie die Richtlinien auf der Seite Java Signing Policies in der Reihenfolge an, in der sie vom IVE ausgewertet werden sollen. Hinweis: Wenn das IVE die Ressource, die von einem Benutzer angefordert wurde, einer Ressource in der Liste Resource für eine Richtlinie (oder ausführliche Regel) zuordnet, führt es die angegebene Aktion aus und beendet die Richtlinienverarbeitung. Ein Beispiel für eine Webressourcenrichtlinie finden Sie in den Abbildungen unter „Definieren von Ressourcenrichtlinien: Übersicht“ auf Seite 347. Definieren von Ressourcenrichtlinien: Neuschreiben Ressourcenrichtlinien für Neuschreibevorgänge steuern, welche Webdaten das IVE mit dem Modul für Inhaltsvermittlung neu schreibt bzw. nicht neu schreibt. Dieser Abschnitt enthält die folgenden Informationen über das Erstellen von Ressourcenrichtlinien für Neuschreibevorgänge: „Erstellen einer Ressourcenrichtlinie für selektives Neuschreiben“ auf Seite 366 „Erstellen einer Ressourcenrichtlinie für Durchgangsproxys“ auf Seite 369 „Erstellen einer Ressourcenrichtlinie für benutzerdefinierte Header“ auf Seite 372 „Erstellen einer Ressourcenrichtlinie für ActiveX-Parameter“ auf Seite 373 „Wiederherstellen von standardmäßigen IVE ActiveX-Ressourcenrichtlinien“ auf Seite 375 „Erstellen von Filtern für Neuschreibevorgänge“ auf Seite 377 Erstellen einer Ressourcenrichtlinie für selektives Neuschreiben Ressourcenrichtlinien für selektives Neuschreiben ermöglichen die Definition einer Liste von Hosts, für die das IVE Inhalte und Ausnahmen von dieser Liste vermitteln soll. Standardmäßig vermittelt das IVE alle Benutzeranforderungen für Webhosts, sofern Sie nicht die Anforderungsverarbeitung für bestimmte Hosts anhand eines anderen Verfahrens konfiguriert haben, z.B. Secure Application Manager. Erstellen Sie eine Richtlinie für das selektive Neuschreiben, wenn das IVE den Datenverkehr von Websites vermitteln soll, die sich außerhalb des Firmennetzwerks befinden, z.B. yahoo.com, oder wenn das IVE keinen Datenverkehr für Client-/Serveranwendungen vermitteln soll, die Sie als Webressourcen bereitgestellt haben, z.B. Microsoft OWA (Outlook Web Access). 366 Definieren von Ressourcenrichtlinien: Neuschreiben Kapitel 13: Neuschreiben von Webinhalt So schreiben Sie eine Ressourcenrichtlinie für selektives Neuschreiben: 1. Navigieren Sie in der Administratorkonsole zu Users > Resource Policies > Web. 2. Ist die Administratoransicht noch nicht für das Anzeigen von Neuschreiberichtlinien konfiguriert, nehmen Sie folgende Änderungen vor: a. Klicken Sie rechts oben auf der Seite auf die Schaltfläche Customize. b. Aktivieren Sie das Kontrollkästchen Rewriting. c. Aktivieren Sie das Kontrollkästchen Selective Rewriting unter dem Kontrollkästchen Rewriting. d. Klicken Sie auf OK. 3. Klicken Sie auf die Registerkarte Rewriting > Selective Rewriting. 4. Klicken Sie auf der Seite Web Rewriting Policies auf New Policy. 5. Geben Sie auf der Seite New Policy Folgendes ein: a. Eine Bezeichnung für diese Richtlinie. b. Eine Beschreibung der Richtlinie (optional). 6. Geben Sie im Abschnitt Resources die Ressourcen an, für die diese Richtlinie gelten soll. Weitere Informationen finden Sie unter „Angeben von Ressourcen für eine Ressourcenrichtlinie“ auf Seite 87. Informationen zum Aktivieren der IP-basierten Zuordnung und der Zuordnung anhand von Groß- und Kleinschreibung für diese Ressourcen finden Sie unter „Definieren von Ressourcenrichtlinien: Allgemeine Optionen“ auf Seite 384. 7. Geben Sie im Bereich Roles Folgendes an: Policy applies to ALL roles – Hiermit gilt die Richtlinie für alle Benutzer. Policy applies to SELECTED roles – Hiermit gilt die Richtlinie nur für Benutzer, die Rollen in der Liste Selected roles zugeordnet sind. Dieser Liste müssen Rollen aus der Liste Available roles hinzugefügt werden. Policy applies to all roles OTHER THAN those selected below – Hiermit gilt die Richtlinie für alle Benutzer außer den Benutzern, die Rollen in der Liste Selected roles zugeordnet sind. Dieser Liste müssen Rollen aus der Liste Available roles hinzugefügt werden. 8. Geben Sie im Bereich Action Folgendes an: Das Rewrite content vermittelt sämtliche Webinhalte der Ressourcen, die in der Liste Resources angegeben sind.1 1. Neue IVE-Appliances werden mit einer anfänglichen Richtlinie für das Neuschreiben geliefert, die den gesamten Inhalt für alle Rollen neu schreibt. Definieren von Ressourcenrichtlinien: Neuschreiben 367 Juniper Networks Secure Access – Administratorhandbuch Rewrite content as... – Das IVE vermittelt den gesamten Webinhalt von den in der Liste Resources angegebenen Ressourcen und schreibt den Inhalt neu, als würde es sich um den in der Dropdownliste angegebenen Dateityp handeln.1 Folgende Optionen sind verfügbar: HTML – Schreibt Inhalt als Hypertext Markup Language (HTML) neu. XML – Schreibt Inhalt als Extensible Markup Language (XML) neu. Javascript – Schreibt Inhalt als Java-Skriptsprache neu. VBScript – Schreibt Inhalt als Virtual Basic-Skriptsprache neu. CSS – Schreibt Inhalt als Cascading Style Sheets neu. XSLT – Schreibt Inhalt als XML-Style Sheets neu. Flash – Schreibt Inhalt als Shockwave Flash neu. DTD – Schreibt Inhalt als Document Type Definitions (DTD) neu. HTC – Schreibt Inhalt als HTML-Komponente neu. Don’t rewrite content: Redirect to target Web server – Das IVE vermittelt keinen Webinhalt von den in der Liste Resources angegebenen Ressourcen und leitet die Anforderung automatisch an den Zielwebserver um. Die ist die Standardoption für alle von Ihnen erstellten Ressourcenrichtlinien für das Neuschreiben. Bei Auswahl dieser Option können Sie festlegen, dass das IVE die nicht neu geschriebenen Seiten in einem neuen Fenster öffnet. Verwenden Sie dazu die Optionen unter „Definieren von Ressourcenrichtlinien: Allgemeine Optionen“ auf Seite 384. HINWEIS: Aktivieren Sie diese Option nicht, wenn der angegebene Inhalt auf Ressourcen im Firmennetzwerk zugreifen muss. Wenn Sie beispielsweise angeben, dass das IVE eine bestimmte Datei nicht neu schreiben soll und diese Datei eine andere Datei im Netzwerk aufruft, wird dem Benutzer ein Fehler angezeigt. Don’t rewrite content: Do not redirect to target Web server – Das IVE ruft den Inhalt vom ursprünglichen Webserver ab, ändert diesen jedoch nicht. Diese Option ist hilfreich, wenn Benutzer nicht auf den Ursprungsserver zugreifen können und damit die Umleitung deaktivieren. (Wenn beispielsweise auf den Webserver über das öffentliche Internet nicht zugegriffen werden kann, da er sich hinter einer Firewall befindet.) HINWEIS: Mit der Option Don’t rewrite content: Do not redirect to target Web server können Benutzer über das IVE Daten von Netzwerkressourcen herunterladen, dabei jedoch das Rewriter-Modul des IVE umgehen. Es wird empfohlen, diese Funktion nur beim Neuschreiben signierter Java-Applets und keiner anderen Inhaltstypen zu verwenden. Verwenden Sie für andere Inhaltstypen wie HTML und Javascript zum Herunterladen eines Applets über das IVE die Option Don’t rewrite content: Redirect to target Web server, und ermöglichen Sie dadurch direkte Verbindungen zu Netzwerkressourcen. 368 Definieren von Ressourcenrichtlinien: Neuschreiben Kapitel 13: Neuschreiben von Webinhalt Use Detailed Rules – Hiermit geben Sie eine oder mehrere detaillierte Regeln für diese Richtlinie an. Weitere Informationen finden Sie unter „Schreiben einer detaillierten Regel“ auf Seite 93. 9. Klicken Sie auf Save Changes. 10. Ordnen Sie die Richtlinien auf der Seite Web Rewriting Policies in der Reihenfolge an, in der sie vom IVE ausgewertet werden sollen. Hinweis: Wenn das IVE die Ressource, die von einem Benutzer angefordert wurde, einer Ressource in der Liste Resource für eine Richtlinie (oder ausführliche Regel) zuordnet, führt es die angegebene Aktion aus und beendet die Richtlinienverarbeitung. Ein Beispiel für eine Webressourcenrichtlinie finden Sie in den Abbildungen unter „Definieren von Ressourcenrichtlinien: Übersicht“ auf Seite 347. Erstellen einer Ressourcenrichtlinie für Durchgangsproxys Ressourcenrichtlinien für Durchgangsproxys geben Webanwendungen an, für die das IVE minimale Vermittlung durchführt (wie unter „Durchgangsproxy – Überblick“ auf Seite 305 erläutert). Zum Erstellen einer Ressourcenrichtlinie für Durchgangsproxys müssen Sie zwei Angaben machen: Die Webanwendungen, die über den Durchgangsproxy vermittelt werden. Die Art der Überwachung von Clientanforderungen an die Anwendungsserver durch das IVE. So schreiben Sie eine Ressourcenrichtlinie für Durchgangsproxys: 1. Navigieren Sie in der Administratorkonsole zu Users > Resource Policies > Web. 2. Ist die Administratoransicht noch nicht für das Anzeigen von Neuschreiberichtlinien konfiguriert, nehmen Sie folgende Änderungen vor: a. Klicken Sie rechts oben auf der Seite auf die Schaltfläche Customize. b. Aktivieren Sie das Kontrollkästchen Rewriting. c. Aktivieren Sie das Kontrollkästchen Passthrough Proxy unter dem Kontrollkästchen Rewriting. d. Klicken Sie auf OK. 3. Klicken Sie auf die Registerkarte Rewriting > Passthrough Proxy. 4. Klicken Sie auf der Seite Passthrough Proxy Policies auf New Application. 5. Geben Sie auf der Seite New Passthrough Application Folgendes ein: a. Eine Bezeichnung für diese Richtlinie. b. Eine Beschreibung der Richtlinie (optional). Definieren von Ressourcenrichtlinien: Neuschreiben 369 Juniper Networks Secure Access – Administratorhandbuch 6. Geben Sie im Feld URL den Hostnamen des Anwendungsservers und den Port für den internen Zugriff auf die Anwendung an. Sie können in dieses Feld keinen Pfad eingeben. 7. Wählen Sie aus, wie die Durchgangsproxyfunktion aktiviert werden soll: Use virtual hostname – Wenn Sie diese Option auswählen, müssen Sie einen Hostnamenalias für den Anwendungsserver angeben. Wenn das IVE eine Clientanforderung für den Hostnamenalias des Anwendungsservers empfängt, leitet es die Anforderung an den angegebenen Anwendungsserverport im Feld URL weiter. HINWEIS: Definieren Sie bei Auswahl dieser Option auch den IVE-Namen sowie den Hostnamen im Abschnitt Network Identity der Registerkarte System > Network > Internal Port. Aktivieren Sie zur Sicherstellung einer ordnungsgemäßen Ausführung von Sharepoint über das IVE in Internet Explorer das Kontrollkästchen Automatische Cookiebehandlung aufheben unter Extras/Internetoptionen > Datenschutz > Erweiterte Datenschutzeinstellungen, falls die folgenden Bedingungen zutreffen: Wählen Sie bei der Konfiguration des Durchgangsproxys die Option Use virtual hostname aus. Der in der Sharepoint-Konfiguration angegebene Hostname unterscheidet sich von dem über das IVE-Setup konfigurierten Hostnamen (bei unterschiedlichen Domänen). Aktivieren Sie permanente Cookies auf der Seite Users > User Roles > Rolle auswählen > General > Session Options der Administratorkonsole. Use IVE port – Wenn Sie diese Option auswählen, müssen Sie einen eindeutigen IVE-Port zwischen 11000-11099 angeben. Das IVE überwacht auf dem angegebenen IVE-Port die Clientanforderungen an den Anwendungsserver und leitet diese an den Anwendungsserverport weiter, der im Feld URL angegeben wurde. 8. Geben Sie im Bereich Action die Methode an, die das IVE zum Vermitteln des Datenverkehrs verwenden soll: 370 Rewrite XML – Bei Auswahl dieser Option schreibt das IVE im XML-Inhalt enthaltene URLs neu. Wird diese Option deaktiviert, leitet das IVE den XML-Inhalt „s is_“ an den Server weiter. Rewrite external links – Bei Auswahl dieser Option schreibt das IVE alle URLs neu. Wird diese Option deaktiviert, schreibt das IVE nur die URLs neu, die einen in der Richtlinie für den Durchgangsproxy festgelegten Hostnamen beinhalten. Definieren von Ressourcenrichtlinien: Neuschreiben Kapitel 13: Neuschreiben von Webinhalt Block cookies from being sent to the browser – Bei Auswahl dieser Option blockiert das IVE für den Browser des Clients vorgesehene Cookies. Das IVE speichert die Cookies lokal und sendet sie auf Anforderung an Anwendungen. Host-Header forwarding – Bei Auswahl dieser Option leitet das IVE den Hostnamen als Teil des Host-Headers statt der eigentlichen Host-ID weiter. HINWEIS: Die Option Host-Header forwarding ist nur im virtuellen Hostmodus von Durchgangsproxys gültig. 9. Klicken Sie auf Save Changes. 10. Ordnen Sie die Richtlinien auf der Seite Pass-through Proxy Policies in der Reihenfolge an, in der sie vom IVE ausgewertet werden sollen. Hinweis: Wenn das IVE die Anwendung, die von einem Benutzer angefordert wurde, zu einer in der Liste Resource angegebenen Anwendung für eine Richtlinie (oder ausführliche Regel) zuordnet, führt es die angegebene Aktion aus und beendet die Richtlinienverarbeitung. 11. Wählen Sie eine der folgenden Optionen aus: Use virtual hostname. In diesem Fall müssen Sie folgenden Vorgang ausführen: i. Fügen Sie einen Eintrag für jeden Hostnamenalias eines Anwendungsservers im externen DNS hinzu, der für das IVE aufgelöst wird. ii. Hochladen eines Serverzertifikats mit Platzhaltern in das IVE (empfohlen). Weitere Informationen zu Platzhalterzertifikaten finden Sie unter „Zuordnen eines Zertifikats zu einem virtuellen Port“ auf Seite 653. Use IVE port. Sie müssen auch den Datenverkehr für den IVE-Port öffnen, den Sie für den Anwendungsserver in der Firmenfirewall angegeben haben. HINWEIS: Wenn die Anwendung mehrere Ports überwacht, konfigurieren Sie jeden Anwendungsport als separaten Durchgangsproxyeintrag mit einem separaten IVEPort. Wenn Sie über verschiedene Hostnamen oder IP-Adressen auf den Server zugreifen möchten, konfigurieren Sie jede dieser Optionen einzeln. In diesem Fall können Sie denselben IVE-Port verwenden. Ein Beispiel für eine Webressourcenrichtlinie finden Sie in den Abbildungen unter „Definieren von Ressourcenrichtlinien: Übersicht“ auf Seite 347. Definieren von Ressourcenrichtlinien: Neuschreiben 371 Juniper Networks Secure Access – Administratorhandbuch Erstellen einer Ressourcenrichtlinie für benutzerdefinierte Header Standardmäßig sendet das Rewriter-Modul des IVE nur ausgewählte benutzerdefinierte Header an Browser (Clients) und Back-End-Server. Ressourcenrichtlinien für benutzerdefinierte Header können jedoch verwendet werden, um benutzerdefinierte Header für bestimmte Ressourcen zuzulassen oder abzulehnen. HINWEIS: Benutzerdefinierte Ressourcenrichtlinien steuern keine standardmäßigen HTTP-Header wie „Content-Type“. So schreiben Sie eine Ressourcenrichtlinie für einen benutzerdefinierten Header: 1. Navigieren Sie in der Administratorkonsole zu Users > Resource Policies > Web. 2. Ist die Administratoransicht noch nicht für das Anzeigen von Neuschreiberichtlinien konfiguriert, nehmen Sie folgende Änderungen vor: a. Klicken Sie rechts oben auf der Seite auf die Schaltfläche Customize. b. Aktivieren Sie das Kontrollkästchen Rewriting. c. Aktivieren Sie das Kontrollkästchen Custom Headers unter dem Kontrollkästchen Rewriting. d. Klicken Sie auf OK. 3. Klicken Sie auf die Registerkarte Rewriting > Custom Headers. 4. Klicken Sie auf der Seite Custom Header Policies auf New Policy. 5. Geben Sie auf der Seite New Policy Folgendes ein: a. Eine Bezeichnung für diese Richtlinie. b. Eine Beschreibung der Richtlinie (optional). 6. Geben Sie im Abschnitt Resources die Ressourcen an, für die diese Richtlinie gelten soll. Weitere Informationen finden Sie unter „Angeben von Ressourcen für eine Ressourcenrichtlinie“ auf Seite 87. Informationen zum Aktivieren der IP-basierten Zuordnung und der Zuordnung anhand von Groß- und Kleinschreibung für diese Ressourcen finden Sie unter „Definieren von Ressourcenrichtlinien: Allgemeine Optionen“ auf Seite 384. 7. Geben Sie im Bereich Roles Folgendes an: 372 Policy applies to ALL roles – Hiermit gilt die Richtlinie für alle Benutzer. Policy applies to SELECTED roles – Hiermit gilt die Richtlinie nur für Benutzer, die Rollen in der Liste Selected roles zugeordnet sind. Dieser Liste müssen Rollen aus der Liste Available roles hinzugefügt werden. Definieren von Ressourcenrichtlinien: Neuschreiben Kapitel 13: Neuschreiben von Webinhalt Policy applies to all roles OTHER THAN those selected below – Hiermit gilt die Richtlinie für alle Benutzer außer den Benutzern, die Rollen in der Liste Selected roles zugeordnet sind. Dieser Liste müssen Rollen aus der Liste Available roles hinzugefügt werden. 8. Geben Sie im Bereich Action Folgendes an: Allow Custom Headers – Wählen Sie diese Option aus, um das IVE daran zu hindern, die Header für Browser (Clients) und Back-End-Server zu blockieren. Deny Custom Headers – Wählen Sie diese Option aus, um das standardmäßige Verhalten des benutzerdefinierten Headers im IVE zu verwenden. Bei Auswahl dieser Option blockiert das IVE für mehr Sicherheit benutzerdefinierte Header. Use Detailed Rules – Hiermit geben Sie eine oder mehrere detaillierte Regeln für diese Richtlinie an. Weitere Informationen finden Sie unter „Schreiben einer detaillierten Regel“ auf Seite 93. 9. Klicken Sie auf Save Changes. 10. Ordnen Sie die Richtlinien auf der Seite Web Rewriting Policies in der Reihenfolge an, in der sie vom IVE ausgewertet werden sollen. Hinweis: Wenn das IVE die Ressource, die von einem Benutzer angefordert wurde, einer Ressource in der Liste Resource für eine Richtlinie (oder ausführliche Regel) zuordnet, führt es die angegebene Aktion aus und beendet die Richtlinienverarbeitung. Ein Beispiel für eine Webressourcenrichtlinie finden Sie in den Abbildungen unter „Definieren von Ressourcenrichtlinien: Übersicht“ auf Seite 347. Erstellen einer Ressourcenrichtlinie für ActiveX-Parameter Wenn das IVE eine Webseite neu schreibt, werden dabei die in der Seite eingebetteten ActiveX-Steuerelemente nicht neu geschrieben. Mit Ressourcenrichtlinien können Sie jedoch festlegen, dass das IVE die URL- und Hostnamenparameter neu schreibt, die von der Webseite an die ActiveXSteuerelemente weitergeleitet werden. Sie benötigen folgende Informationen, um diese Ressourcenrichtlinien zu konfigurieren: Class ID – Ein ActiveX-Steuerelement wird auf Webseiten in der Regel mithilfe einer Klassen-ID eingebettet. Eine Klassen-ID ist eine eindeutige konstante Zeichenfolge, die das ActiveX-Steuerelement eindeutig identifiziert. Mit Internet Explorer 6 können Sie feststellen, welche Klassen-ID für ein ActiveX-Objekt verwendet wird: Wählen Sie Tools > Internet Options aus, klicken Sie auf Settings und anschließend auf View Objects. Wählen Sie das ActiveX-Objekt aus, klicken Sie mit der rechten Maustaste, und wählen Sie Properties aus. Die ID des ActiveX-Objekts wird hervorgehoben. Definieren von Ressourcenrichtlinien: Neuschreiben 373 Juniper Networks Secure Access – Administratorhandbuch Language – Für Webseiten muss statischer oder dynamischer HTML-Code verwendet werden (d. h. Javascript), um ein Active X-Steuerelement einzubetten. Bei Verwendung von statischem HTML-Code kann das IVE die angegebenen ActiveX-Parameter auf dem IVE bei gleichzeitiger Vermittlung von Datenverkehr selbst neu schreiben, da alle erforderlichen Informationen zwischen dem Browser des Benutzers und dem Webserver der Anwendung geleitet werden. Wird auf einer Webseite jedoch dynamischer HTML-Code zum Einbetten eines ActiveX-Steuerelements verwendet, fordert die Seite hfig Informationen vom Client an und generiert dann den HTML-Code, um das ActiveX-Steuerelement einzubetten. Deshalb muss das IVE im Browser des Benutzers Skripts ausführen, um die erforderlichen Informationen für das Neuschreiben der angegebenen ActiveX-Parameter zu erhalten. Parameter type – Wenn Sie das IVE für das Neuschreiben eines Parameters konfigurieren, geben Sie an, ob der Parameter eine URL oder ein Hostname ist. Das IVE unterstützt keine anderen Parametertypen. Parameter name – Geben Sie den Namen des Parameters an, der vom IVE neu geschrieben werden soll. Sie finden die Parameter durch Suchen nach dem param-Tag in einem Objekt-Tag. Sie können z.B. einen auf einer Seite eingebetteten Flash-Film mit folgendem Code finden: <object classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000" > <param name="movie" value="mymovie.swf" /> <param name="quality" value="high" /> </object> Geben Sie beim Konfigurieren der entsprechenden Ressourcenrichtlinie ins Feld Parameter name movie ein, da movie auf die URL verweist, die neu geschrieben werden muss. Seiten enthalten hfig mehrere param-Tags, jedoch müssen nicht alle neu geschrieben werden. In diesem Beispiel muss der Parameter quality nicht neu geschrieben werden. So schreiben Sie eine Ressourcenrichtlinie zum Neuschreiben von ActiveX-Parametern: 1. Navigieren Sie in der Administratorkonsole zu Users > Resource Policies > Web. 2. Ist die Administratoransicht noch nicht für das Anzeigen von Neuschreiberichtlinien konfiguriert, nehmen Sie folgende Änderungen vor: a. Klicken Sie rechts oben auf der Seite auf die Schaltfläche Customize. b. Aktivieren Sie das Kontrollkästchen Rewriting. c. Aktivieren Sie das Kontrollkästchen ActiveX Parameter Rewriting unter dem Kontrollkästchen Rewriting. d. Klicken Sie auf OK. 3. Klicken Sie auf die Registerkarte Rewriting > ActiveX Parameter Rewriting. 4. Klicken Sie auf der Seite ActiveX Parameter Rewriting Policies auf New Policy. 374 Definieren von Ressourcenrichtlinien: Neuschreiben Kapitel 13: Neuschreiben von Webinhalt 5. Geben Sie auf der Seite New Policy Folgendes ein: a. Die Klassen-ID des ActiveX-Steuerelements, das mit der Richtlinie gesteuert werden soll. b. Eine Beschreibung der Richtlinie (optional). 6. Geben Sie im Abschnitt Parameters die ActiveX-Parameter an, die Sie mit der Richtlinie und den entsprechenden Aktionen steuern möchten. Mögliche Aktionen sind: Rewrite URL and response (Static HTML only) – Das IVE schreibt den angegebenen URL-Parameter auf dem IVE um. Das IVE schreibt auch die Antworten vom Webserver neu, der die URL anfordert. Wählen Sie diese Option, wenn die Webseite das ActiveX-Steuerelement nur mit statischem HTML einbettet. Rewrite URL and response (Static and dynamic HTML) – Das IVE schreibt die angegebene URL auf dem IVE und dem Client um. Das IVE schreibt auch die Antworten vom Webserver neu, der die URL anfordert. Wählen Sie diese Option, wenn die Webseite das ActiveX-Steuerelement mittels dynamischem HTML einbettet. Rewrite URL (Static HTML only) – Das IVE schreibt den angegebenen URL-Parameter auf dem IVE um. Wählen Sie diese Option, wenn die Webseite das ActiveX-Steuerelement nur mit statischem HTML einbettet. Rewrite URL (Static and dynamic HTML) – Das IVE schreibt die angegebene URL auf dem IVE und dem Client um. Wählen Sie diese Option, wenn die Webseite das ActiveX-Steuerelement mittels dynamischem HTML einbettet. Rewrite hostname (Static HTML only) – Das IVE schreibt den angegebenen Hostnamen-Parameter auf dem IVE um. Wählen Sie diese Option, wenn die Webseite das ActiveX-Steuerelement nur mit statischem HTML einbettet. Rewrite hostname (Static and dynamic HTML) – Das IVE schreibt den angegebenen Hostnamen auf dem IVE und dem Client um. Wählen Sie diese Option, wenn die Webseite das ActiveX-Steuerelement mittels dynamischem HTML einbettet. Do not rewrite – Das IVE schreibt keine Parameter der ActiveXKomponente um. 7. Klicken Sie auf Save Changes. Ein Beispiel für eine Webressourcenrichtlinie finden Sie in den Abbildungen unter „Definieren von Ressourcenrichtlinien: Übersicht“ auf Seite 347. Wiederherstellen von standardmäßigen IVE ActiveX-Ressourcenrichtlinien Das IVE beinhaltet mehrere vordefinierte Ressourcenrichtlinien zum Neuschreiben der Parameter häufig verwendeter ActiveX-Objekte. Wenn Sie gelöschte Richtlinien wiederherstellen möchten, verwenden Sie hierzu die folgende Tabelle. Definieren von Ressourcenrichtlinien: Neuschreiben 375 Juniper Networks Secure Access – Administratorhandbuch Tabelle 27: Vordefinierte Ressourcenrichtlinien Beschreibung Klassen-ID Parameter Aktion Citrix NFuse xginen_EmbeddedApp object 238f6f83-b8b4-11cf-877100a024541ee3 ICAFile Rewrite URL and response (Static HTML only) OrgPlus OrgViewer DCB98BE9-88EE-4AD0-9790- URL 2B169E8D5BBB Rewrite URL and response (Static HTML only) Quickplace 05D96F71-87C6-11D3-9BE400902742D6E0 GeneralURL Rewrite URL and response (Static and dynamic HTML) General_ServerName Rewrite host name (Static and dynamic HTML) FullURL Rewrite URL and response (Static and dynamic HTML) iNotes Discussion 5BDBA960-6534-11D3-97C700500422B550 B20D9D6A-0DEC-4d76-9BEF- B20D9D6A-0DEC-4d76-9BEF- ServerURL 175896006B4A 175896006B4A Error URL Rewrite URL and response (Static HTML only) Rewrite URL and response (Static HTML only) Citrix NFuse Elite 2E687AA8-B276-4910-BBFB4E412F685379 ServerURL Rewrite URL and response (Static HTML only) WebPhotos LEAD 00120000-B1BA-11CE-ABC6F5B2E79D9E3F BitmapDataPath Rewrite URL and response (Static and dynamic HTML) Shockwave Flash D27CDB6E-AE6D-11cf-96B8444553540000 Src Rewrite URL and response (Static and dynamic HTML) Movie Rewrite URL and response (Static and dynamic HTML) iNotes Blue 376 3BFFE033-BF43-11d5-A27100A024A51325 General_URL Rewrite URL and response (Static and dynamic HTML) General_ServerName Rewrite host name (Static and dynamic HTML) Tabular Data Control 333C7BC4-460F-11D0-BC040080C7055A83 DataURL Rewrite URL (Static HTML only) Windows Media Player 6BF52A52-394A-11D3-B15300C04F79FAA6 URL Rewrite URL and response (Static HTML only) FlowPartPlace 4A266B8B-2BB9-47db-9B0E6226AF6E46FC URL Rewrite URL and response (Static HTML only) HTML Help adb880a6-d8ff-11cf-937700aa003b7a11 Item1 Rewrite URL and response (Static and dynamic HTML) MS Media Player 22d6f312-b0f6-11d0-94ab0080c74c7e95 FileName Rewrite URL and response (Static HTML only) CSV-Dateihandler 333c7bc4-460f-11d0-bc040080c7055a83 DataURL Rewrite URL and response (Static HTML only) Spezielles ActiveXSteuerelement für Microsoft OWA D801B381-B81D-47a7-8EC4EFC111666AC0 mailboxUrl Rewrite URL and response (Static HTML only) FlowPartPlace1 639325C9-76C7-4d6c-9B4A523BAA5B30A8 Url Rewrite URL and response (Static HTML only) scriptx-Drucksteuerelement 5445be81-b796-11d2-b931002018654e2e Path Rewrite URL and response (Static HTML only) Definieren von Ressourcenrichtlinien: Neuschreiben Kapitel 13: Neuschreiben von Webinhalt Tabelle 27: Vordefinierte Ressourcenrichtlinien (Fortsetzung) Beschreibung Klassen-ID Parameter Aktion 94F40343-2CFD-42A1-A7744E7E48217AD4 94F40343-2CFD-42A1-A7744E7E48217AD4 HomeViewURL Rewrite URL and response (Static HTML only) Microsoft License Manager 5220cb21-c88d-11cf-b34700aa00a28331 LPKPath Rewrite URL and response (Static HTML only) Domino 7 beta 2 UploadControl E008A543-CEFB-4559-912FC27C2B89F13B General_URL Rewrite URL and response (Static and dynamic HTML) General_ServerName Rewrite host name (Static and dynamic HTML) General_URL Rewrite URL and response (Static and dynamic HTML) General_ServerName Rewrite host name (Static and dynamic HTML) iNotes 1E2941E3-8E63-11D4-9D5A00902742D6E0 ActiveCGM F5D98C43-DB16-11CF-8ECA0000C0FD59C7 FileName Rewrite URL and response (Static HTML only) 00130000-B1BA-11CE-ABC6F5B2E79D9E3F 00130000-B1BA-11CE-ABC6F5B2E79D9E3F BitmapDataPath Rewrite URL and response (Static and dynamic HTML) Erstellen von Filtern für Neuschreibevorgänge Verwenden Sie die Registerkarte Rewriting Filters nur, wenn Sie vom Juniper Networks-Supportteam dazu aufgefordert werden. Definieren von Ressourcenrichtlinien: Webkomprimierung Dieser Abschnitt enthält die folgenden Informationen über das Definieren von Ressourcenrichtlinien für Komprimierung: „Schreiben einer Ressourcenrichtlinie für Webkomprimierung“ auf Seite 377 „Definieren einer Ressourcenrichtlinie für eine OWA-Komprimierung“ auf Seite 378 Schreiben einer Ressourcenrichtlinie für Webkomprimierung Das IVE ist mit einer Webkomprimierungsrichtlinie (*:*/*) zur Komprimierung aller entsprechenden Webdaten vorkonfiguriert. Aktivieren Sie diese Richtlinie über die Seiten Users > Resource Policies > Web > Compression der Administratorkonsole. So schreiben Sie eine Ressourcenrichtlinie für die Webkomprimierung: 1. Navigieren Sie in der Administratorkonsole zu Users > Resource Policies > Web. 2. Ist die Administratoransicht noch nicht für das Anzeigen von Komprimierungsrichtlinien konfiguriert, nehmen Sie folgende Änderungen vor: a. Klicken Sie rechts oben auf der Seite auf die Schaltfläche Customize. b. Aktivieren Sie das Kontrollkästchen Compression. Definieren von Ressourcenrichtlinien: Webkomprimierung 377 Juniper Networks Secure Access – Administratorhandbuch c. Klicken Sie auf OK. 3. Klicken Sie auf die Registerkarte Compression. 4. Klicken Sie auf der Seite Web Compression Policies auf New Policy. 5. Geben Sie auf der Seite New Policy Folgendes ein: a. Eine Bezeichnung für diese Richtlinie. b. Eine Beschreibung der Richtlinie (optional). 6. Geben Sie im Abschnitt Resources die URLs an, für die diese Richtlinie gelten soll. Weitere Informationen finden Sie unter „Angeben von Ressourcen für eine Ressourcenrichtlinie“ auf Seite 87. Informationen zum Aktivieren der IPbasierten Zuordnung und der Zuordnung anhand von Groß- und Kleinschreibung für diese Ressourcen finden Sie unter „Definieren von Ressourcenrichtlinien: Allgemeine Optionen“ auf Seite 384. 7. Geben Sie im Bereich Roles Folgendes an: Policy applies to ALL roles – Hiermit gilt die Richtlinie für alle Benutzer. Policy applies to SELECTED roles – Hiermit gilt die Richtlinie nur für Benutzer, die zu Rollen in der Liste Selected roles zugeordnet sind. Dieser Liste müssen Rollen aus der Liste Available roles hinzugefügt werden. Policy applies to all roles OTHER THAN those selected below – Hiermit gilt die Richtlinie für alle Benutzer außer den Benutzern, die Rollen in der Liste Selected roles zugeordnet sind. Dieser Liste müssen Rollen aus der Liste Available roles hinzugefügt werden. 8. Geben Sie im Bereich Action Folgendes an: Compress – Das IVE komprimiert die unterstützten Inhaltstypen der angegebenen Ressource. Do not compress – Das IVE komprimiert die unterstützten Inhaltstypen der angegebenen Ressource nicht. Use Detailed Rules – Hiermit geben Sie eine oder mehrere detaillierte Regeln für diese Richtlinie an. Weitere Informationen finden Sie unter „Schreiben einer detaillierten Regel“ auf Seite 93. 9. Klicken Sie auf Save Changes. Definieren einer Ressourcenrichtlinie für eine OWA-Komprimierung Aufgrund von Cacheproblemen mit OWA wird das IVE mit den folgenden Ressourcenrichtlinien geliefert, die festlegen, dass das IVE keine über OWA gerouteten Javascript- oder CSS-Dateien komprimiert: 1. Do Not Compress *:*/exchWeb/controls/*.css (alle Rollen) 2. Do Not Compress *:*/exchWeb/controls/*.js (alle Rollen) 378 Definieren von Ressourcenrichtlinien: Webkomprimierung Kapitel 13: Neuschreiben von Webinhalt 3. Do Not Compress *:*/exchWeb/*/controls/*.css (alle Rollen) 4. Do Not Compress *:*/exchWeb/*/controls/*.js (alle Rollen) Die letzten zwei Richtlinien enthalten für die verschiedenen OWA-Versionen einen Platzhalter (*) im Pfad. Juniper Networks empfiehlt die Komprimierungsressourcenrichtlinien für OWA nur zu ändern, wenn dies unbedingt notwendig ist. Definieren von Ressourcenrichtlinien: Webproxy Ressourcenrichtlinien für Webproxys geben Webproxyserver an, für die das Inhalt vermitteln soll. Das IVE vermittelt Proxys in beiden Richtungen, es ermöglicht Single Sign-Ons (Einzelanmeldungen) an einem Proxy jedoch nur, wenn Sie den Proxy mit diesen Registerkarten konfigurieren und somit als vertrauenswürdig kennzeichnen. Weitere Informationen finden Sie unter „Einzelanmeldung“ auf Seite 203. Dieser Abschnitt enthält die folgenden Informationen über Ressourcenrichtlinien für Webproxys: „Schreiben einer Ressourcenrichtlinie für Webproxys“ auf Seite 379 „Angeben von Webproxyservern“ auf Seite 380 Schreiben einer Ressourcenrichtlinie für Webproxys So schreiben Sie eine Ressourcenrichtlinie für Webproxys: 1. Navigieren Sie in der Administratorkonsole zu Users > Resource Policies > Web. 2. Ist die Administratoransicht noch nicht für das Anzeigen von Webproxyrichtlinien konfiguriert, nehmen Sie folgende Änderungen vor: a. Klicken Sie rechts oben auf der Seite auf die Schaltfläche Customize. b. Aktivieren Sie das Kontrollkästchen Web Proxy. c. Aktivieren Sie das Kontrollkästchen Policies unter dem Kontrollkästchen Web Proxy. d. Klicken Sie auf OK. 3. Klicken Sie auf die Registerkarte Web Proxy > Policies. 4. Klicken Sie auf der Seite Web Proxy Policies auf New Policy. 5. Geben Sie auf der Seite New Policy Folgendes ein: a. Eine Bezeichnung für diese Richtlinie. b. Eine Beschreibung der Richtlinie (optional). Definieren von Ressourcenrichtlinien: Webproxy 379 Juniper Networks Secure Access – Administratorhandbuch 6. Geben Sie im Abschnitt Resources die Ressourcen an, für die diese Richtlinie gelten soll. Weitere Informationen finden Sie unter „Angeben von Ressourcen für eine Ressourcenrichtlinie“ auf Seite 87. Informationen zum Aktivieren der IP-basierten Zuordnung und der Zuordnung anhand von Groß- und Kleinschreibung für diese Ressourcen finden Sie unter „Definieren von Ressourcenrichtlinien: Allgemeine Optionen“ auf Seite 384. 7. Geben Sie im Bereich Roles Folgendes an: Policy applies to ALL roles – Hiermit gilt die Richtlinie für alle Benutzer. Policy applies to SELECTED roles – Hiermit gilt die Richtlinie nur für Benutzer, die Rollen in der Liste Selected roles zugeordnet sind. Dieser Liste müssen Rollen aus der Liste Available roles hinzugefügt werden. Policy applies to all roles OTHER THAN those selected below – Hiermit gilt die Richtlinie für alle Benutzer außer den Benutzern, die Rollen in der Liste Selected roles zugeordnet sind. Dieser Liste müssen Rollen aus der Liste Available roles hinzugefügt werden. 8. Geben Sie im Bereich Action Folgendes an: Access Web resources directly – Das IVE vermittelt die Anforderung des Benutzers an einen Back-End-Server und die Antwort des Servers an den Benutzer. Dies gilt für Anforderungen an eine Ressource, die in der Liste Resources angegeben ist. Access Web resources through a Web proxy – Geben Sie in der Dropdownliste, die auf der Registerkarte Users > Resource Policies > Web > Web Proxy > Servers definiert wurde, einen Webproxyserver an. Informationen zum Definieren von Webproxyservern finden Sie unter „Definieren von Ressourcenrichtlinien: Webproxy“ auf Seite 379. Use Detailed Rules – Hiermit geben Sie eine oder mehrere detaillierte Regeln für diese Richtlinie an. Weitere Informationen finden Sie unter „Schreiben einer detaillierten Regel“ auf Seite 93. 9. Klicken Sie auf Save Changes. 10. Ordnen Sie die Richtlinien auf der Seite Web Proxy Policies in der Reihenfolge an, in der sie vom IVE ausgewertet werden sollen. Hinweis: Wenn das IVE die Ressource, die von einem Benutzer angefordert wurde, einer Ressource in der Liste Resource für eine Richtlinie (oder ausführliche Regel) zuordnet, führt es die angegebene Aktion aus und beendet die Richtlinienverarbeitung. Ein Beispiel für eine Webressourcenrichtlinie finden Sie in den Abbildungen unter „Definieren von Ressourcenrichtlinien: Übersicht“ auf Seite 347. Angeben von Webproxyservern Sie können alle vom IVE durchgeführten Webanforderungen an einen Webproxy leiten, statt mit dem IVE direkt eine Verbindung mit den Webservern herzustellen. Diese Funktion bietet sich an, wenn Ihre Richtlinien für die Netzwerksicherheit diese Konfiguration erfordern oder wenn Sie zur Leistungssteigerung einen Webproxy mit Zwischenspeicherung verwenden möchten. 380 Definieren von Ressourcenrichtlinien: Webproxy Kapitel 13: Neuschreiben von Webinhalt So geben Sie Ressourcenrichtlinien für Webproxys an: 1. Navigieren Sie in der Administratorkonsole zu Users > Resource Policies > Web. 2. Ist die Administratoransicht noch nicht für das Anzeigen von Webproxyrichtlinien konfiguriert, nehmen Sie folgende Änderungen vor: a. Klicken Sie rechts oben auf der Seite auf die Schaltfläche Customize. b. Aktivieren Sie das Kontrollkästchen Web Proxy. c. Aktivieren Sie das Kontrollkästchen Servers unter dem Kontrollkästchen Web Proxy. d. Klicken Sie auf OK. 3. Klicken Sie auf die Registerkarte Web Proxy > Servers. 4. Geben Sie unter Web Proxy Servers den Namen oder die IP-Adresse des Webproxyservers sowie die Portnummer ein, an der der Proxyserver Daten abfragt, und klicken Sie dann auf Add. 5. Wiederholen Sie diesen Schritt, um weitere Webproxyserver anzugeben. Definieren von Ressourcenrichtlinien: Webproxy 381 Juniper Networks Secure Access – Administratorhandbuch Definieren von Ressourcenrichtlinien: HTTP 1.1-Protokoll Ressourcenrichtlinien für Protokolle aktivieren oder deaktivieren die HTTP-1.1Protokollunterstützung zwischen dem IVE und Back-End-Servern. Das IVE unterstützt segmentierte Transferencodierung, gzip und komprimierte Inhaltsencodierung, Verbindungsstabilität und Zwischenspeicherungsheader wie „If-Modified-Since“, „If-None-Match“, „If-Unmodified-Since“ und „If-Match“. Das IVE unterstützt bei Auswahl der Option Don’t rewrite content: Do not redirect to target web server für selektives Neuschreiben Bereichsanforderungen mit unvollständigem Inhalt. HINWEIS: Eine detaillierte Beschreibung des HTTP 1.1-Protokolls erhalten Sie unter Hyptertext Transfer Protocol – HTTP 1.1-Spezifikation im erweiterten W3CProtokolldateiformat (World Wide Web Consortium). Das IVE kommuniziert über HTTP 1.1 nur dann mit Netzwerkservern, wenn auch der Client mithilfe von HTTP 1.1 kommuniziert. Verwendet der Client HTTP 1.0, kommuniziert das IVE mit Back-End-Servern mithilfe von HTTP 1.0. Dabei spielt es keine Rolle, ob 1.1 aktiviert ist oder nicht. Möchten Sie HTTP 1.1 für eine bestimmte Ressource verwenden, aktivieren Sie HTTP 1.1 für diese Richtlinie, und überprüfen Sie, ob die neue Richtlinie über der Standardeinstellung in der Liste der konfigurierten Richtlinien erscheint. Fügen Sie die HTTP 1.1-Richtlinie oben auf der Richtlinienliste hinzu, da das Modul für die Richtlinienbewertung Richtlinien von oben nach unten bewertet und beim Feststellen einer Übereinstimmung den Bewertungsvorgang anhält. Weitere Informationen finden Sie unter „Auswerten von Ressourcenrichtlinien“ auf Seite 90. Das IVE wird mit einer standardmäßigen Richtlinie geliefert, die HTTP 1.1 für alle Ressourcen deaktiviert. Möchten Sie HTTP 1.1 für alle Ressourcen verwenden, muss zum Aktivieren von HTTP 1.1 entweder die Richtlinie „*:*/*“ neu definiert oder die Standardrichtlinie muss gelöscht werden. Wird diese Standardrichtlinie gelöscht (und alle anderen Richtlinien, die HTTP 1.1 deaktivieren), verwendet das IVE für alle Ressourcen HTTP 1.1. So schreiben Sie eine Ressourcenrichtlinie für ein HTTP 1.1-Protokoll: 1. Navigieren Sie in der Administratorkonsole zu Users > Resource Policies > Web. 2. Ist die Administratoransicht noch nicht für das Anzeigen von Protokollrichtlinien konfiguriert, nehmen Sie folgende Änderungen vor: 382 a. Klicken Sie rechts oben auf der Seite auf die Schaltfläche Customize. b. Aktivieren Sie das Kontrollkästchen Protocol. c. Klicken Sie auf OK. Definieren von Ressourcenrichtlinien: HTTP 1.1-Protokoll Kapitel 13: Neuschreiben von Webinhalt 3. Klicken Sie auf die Registerkarte Protocol. 4. Klicken Sie auf der Seite Web Protocol Policies auf New Policy. 5. Geben Sie auf der Seite New Policy Folgendes ein: a. Eine Bezeichnung für diese Richtlinie. b. Eine Beschreibung der Richtlinie (optional). 6. Geben Sie im Abschnitt Resources die URLs an, für die diese Richtlinie gelten soll. Weitere Informationen finden Sie unter „Angeben von Ressourcen für eine Ressourcenrichtlinie“ auf Seite 87. Informationen zum Aktivieren der IPbasierten Zuordnung und der Zuordnung anhand von Groß- und Kleinschreibung für diese Ressourcen finden Sie unter „Definieren von Ressourcenrichtlinien: Allgemeine Optionen“ auf Seite 384. 7. Geben Sie im Bereich Roles Folgendes an: Policy applies to ALL roles – Hiermit gilt die Richtlinie für alle Benutzer. Policy applies to SELECTED roles – Hiermit gilt die Richtlinie nur für Benutzer, die Rollen in der Liste Selected roles zugeordnet sind. Dieser Liste müssen Rollen aus der Liste Available roles hinzugefügt werden. Policy applies to all roles OTHER THAN those selected below – Hiermit gilt die Richtlinie für alle Benutzer außer den Benutzern, die Rollen in der Liste Selected roles zugeordnet sind. Dieser Liste müssen Rollen aus der Liste Available roles hinzugefügt werden. 8. Geben Sie im Bereich Action Folgendes an: Disable HTTP 1.1 – Das IVE kommuniziert über das HTTP 1.0-Protokoll automatisch mit Back-End-Servern. Enable HTTP 1.1 – Das IVE kommuniziert über das HTTP 1.1-Protokoll automatisch mit Back-End-Servern, sofern der Client ebenfalls das HTTP 1.1-Protokoll für die Kommunikation verwendet. Use Detailed Rules – Hiermit geben Sie eine oder mehrere detaillierte Regeln für diese Richtlinie an. Weitere Informationen finden Sie unter „Schreiben einer detaillierten Regel“ auf Seite 93. 9. Klicken Sie auf Save Changes. Definieren von Ressourcenrichtlinien: HTTP 1.1-Protokoll 383 Juniper Networks Secure Access – Administratorhandbuch Definieren von Ressourcenrichtlinien: Allgemeine Optionen Wenn Sie die in diesem Abschnitt beschriebenen Optionen für Webressourcenrichtlinien aktivieren, kompiliert das IVE eine Liste von Hostnamen, die im Feld Resources jeder Webressourcenrichtlinie angegeben wird. Das IVE wendet die aktivierten Optionen dann auf diese umfassende Liste von Hostnamen an. So geben Sie eine Webressourcenoption an: 1. Navigieren Sie in der Administratorkonsole zu Users > Resource Policies > Web. 2. Ist die Administratoransicht noch nicht für das Anzeigen von Weboptionen konfiguriert, nehmen Sie folgende Änderungen vor: a. Klicken Sie rechts oben auf der Seite auf die Schaltfläche Customize. b. Aktivieren Sie das Kontrollkästchen Options. c. Klicken Sie auf OK. 3. Klicken Sie auf die Registerkarte Options. 4. Wählen Sie IP based matching for Hostname based policy resources aus, wenn das IVE jedem in einer Webressourcenrichtlinie angegebenen Hostnamen entsprechende IP-Adressen suchen soll. Wenn ein Benutzer versucht, auf einen Server zuzugreifen, indem er eine IP-Adresse anstelle des Hostnamens angibt, vergleicht das IVE die IP mit einer zwischengespeicherten Liste von IP-Adressen, um festzustellen, ob ein Hostname mit einer IP übereinstimmt. Wenn eine Übereinstimmung vorliegt, akzeptiert das IVE diese als eine Richtlinienübereinstimmung und führt die für die Ressourcenrichtlinie angegebene Aktion durch. HINWEIS: Diese Option wird nicht auf Hostnamen angewendet, die Platzhalter und Parameter enthalten. 5. Wählen Sie die Option Case sensitive matching for the Path and Query string components in Web resources aus, wenn Benutzer in eine Ressource eine URL eingeben sollen, bei der Groß-/Kleinschreibung zu beachten ist. Verwenden Sie diese Option beispielsweise beim Übergeben des Benutznamens oder des Kennwortes in einer URL. 6. Klicken Sie auf Save Changes. 384 Definieren von Ressourcenrichtlinien: Allgemeine Optionen Kapitel 13: Neuschreiben von Webinhalt Verwalten von Ressourcenrichtlinien: Anpassen von Benutzeroberflächenansichten Sie können bestimmen, welche Konfigurationsseiten für Webressourcenrichtlinien das IVE anzeigt, damit Sie nur die tatsächlich verwendeten Seiten anzeigen müssen. Verfügen Sie über eine neue IVE-Version, können mit diesen Einstellungen zusätzliche Seiten angezeigt werden (da das IVE neuen Benutzern nur die am häufigsten verwendeten Ressourcenrichtlinienseiten anzeigt). So legen Sie fest, welche Konfigurationsseiten für Webressourcenrichtlinien das IVE anzeigt: 1. Navigieren Sie zu Users > Resource Policies > Web > Richtlinientyp. 2. Klicken Sie rechts oben auf der Konsole auf die Schaltfläche Customize View: 3. Geben Sie im Dialogfeld Customize View an, welche Webressourcenrichtlinien in der Administratorkonsole angezeigt werden sollen. Einzelne Kontrollkästchen können manuell aktiviert werden. Klicken Sie dazu auf All Pages, um alle Konfigurationsseiten für Webressourcenrichtlinien anzuzeigen, oder klicken Sie auf Common Pages, um die am häufigsten verwendeten Konfigurationsseiten für Webressourcenrichtlinien anzuzeigen. (Die Seite Web Access Policies kann mit dem IVE nicht ausgeblendet werden.) 4. Klicken Sie auf OK. Verwalten von Ressourcenrichtlinien: Anpassen von Benutzeroberflächenansichten 385 Juniper Networks Secure Access – Administratorhandbuch 386 Verwalten von Ressourcenrichtlinien: Anpassen von Benutzeroberflächenansichten Kapitel 14 Gehostete Java-Applets Die IVE-Funktion zum Hochladen von Java-Applets ermöglicht das Speichern der von Ihnen gewählten Java-Applets direkt im IVE, ohne dass ein separater Webserver zum Hosten eingesetzt wird. Mit dieser Funktion laden Sie die Applets ins IVE hoch (zusammen mit den zusätzlichen Dateien, auf die die Applets verweisen) und erstellen über das IVE eine einfache Webseite mit Verweisen auf diese Dateien. Anschließend vermittelt das IVE den Inhalt der Webseite und der Java-Applets mithilfe des Moduls für die Inhaltsvermittlung. Dieser Abschnitt enthält die folgenden Informationen über das Hosten von JavaApplets auf dem IVE: „Lizenzierung: Verfügbarkeit der gehosteten Java-Applets“ auf Seite 387 „Aufgabenzusammenfassung: Hosten von Java-Applets“ auf Seite 387 „Übersicht über gehostete Java-Applets“ auf Seite 388 „Definieren von Ressourcenprofilen: Gehostete Java-Applets“ auf Seite 392 „Verwendungsbeispiel: Erstellen eines Lesezeichens für ein Java-Applet mit Citrix JICA Version 8.0“ auf Seite 398 Lizenzierung: Verfügbarkeit der gehosteten Java-Applets Das Hosten von Java-Applets ist eine Standardfunktion in allen Secure AccessAppliances, mit Ausnahme der SA 700. Wird eine SA-700-Appliance verwendet, muss eine Aktualisierungslizenz für einen clientlosen Kernzugriff installiert werden. Aufgabenzusammenfassung: Hosten von Java-Applets Die IVE-Funktion zum Hochladen von Java-Applets ermöglicht das Speichern der von Ihnen gewählten Java-Applets direkt im IVE, ohne dass ein separater Webserver zum Hosten eingesetzt wird (siehe Beschreibung unter „Übersicht über gehostete Java-Applets“ auf Seite 388). Lizenzierung: Verfügbarkeit der gehosteten Java-Applets 387 Juniper Networks Secure Access – Administratorhandbuch So hosten Sie Java-Applets auf dem IVE: 1. Geben Sie an, welche Applets hochgeladen werden sollen, erstellen Sie IVELesezeichen zum Verweisen auf die hochgeladenen Applets, und geben Sie an, welche Rollen mithilfe der Einstellungen auf der Seite Users > Resource Profiles > Web > Hosted Java Applets in der Administratorkonsole Zugriff auf die Lesezeichen besitzen. Anweisungen hierfür finden Sie unter „Definieren von Ressourcenprofilen: Gehostete Java-Applets“ auf Seite 392. 2. Sollen die Java-Applets signiert werden, verwenden Sie die Einstellungen auf der Seite System > Configuration > Certificates > Code-Signing Certificates der Administratorkonsole, um das Java-Zertifikat ins IVE hochzuladen (optional). Wenn Sie diesen Schritt überspringen möchten, wird dem Benutzer jedes Mal beim Zugriff auf das entsprechende Lesezeichen eine Warnmeldung angezeigt, dass es sich um ein nicht vertrauenswürdiges Zertifikat handelt. Anweisungen hierfür finden Sie unter „Verwenden von Codesignaturzertifikaten“ auf Seite 672. 3. So verbessern Sie die Leistung Ihrer Java-Anwendungen (optional): a. Wählen Sie auf der Seite Enable Java instrumentation caching Maintenance > System > Options der Administratorkonsole aus. Mit dieser Option kann die Leistung beim Herunterladen von Java-Anwendungen verbessert werden. Weitere Informationen finden Sie unter „Festlegen der Systemoptionen“ auf Seite 619. b. Nehmen Sie nach der Konfiguration des IVE eine Zwischenspeicherung Ihres Java-Applets vor, und greifen Sie als Endbenutzer darauf zu. Durch diesen Vorgang wird der beim Zugriff des ersten Endbenutzers auf das Applet im Modul für Inhaltsvermittlung auftretende Performance-Hit gelöscht. Übersicht über gehostete Java-Applets Die IVE-Funktion zum Hochladen von Java-Applets ermöglicht das Speichern der von Ihnen gewählten Java-Applets direkt im IVE, ohne dass ein separater Webserver zum Hosten eingesetzt wird. Mit dieser Funktion laden Sie die Applets ins IVE hoch (zusammen mit den zusätzlichen Dateien, auf die die Applets verweisen) und erstellen über das IVE eine einfache Webseite mit Verweisen auf diese Dateien. Anschließend vermittelt das IVE den Inhalt der Webseite und der Java-Applets mithilfe des Moduls für die Inhaltsvermittlung. 388 Übersicht über gehostete Java-Applets Kapitel 14: Gehostete Java-Applets Beispiel: Sie möchten mithilfe des IVE Datenverkehr zwischen einem IBM AS/400System in Ihrem Netzwerk und einzelnen 5250-Terminalemulationen auf den Computern der Benutzer vermitteln. Um das IVE zur Vermittlung dieses Verkehrs zu konfigurieren, ermitteln Sie das Java-Applet der 5250-Terminalemulation. Anschließend laden Sie dieses Applet ins IVE hoch und erstellen eine einfache Webseite, die auf das Applet verweist. Nach dem Erstellen der Webseite über das IVE erstellt das IVE ein entsprechendes Lesezeichen, auf das Benutzer über ihre Startseiten zugreifen können. HINWEIS: Beachten Sie die folgenden Hinweise: Zur Verwendung dieser Funktion müssen Sie fundierte Kenntnisse über JavaApplets, Java-Applet-Parameter und HTML besitzen. Weitere Informationen über die Vermittlung von Java-Applets, die auf einem externen Server gehostet sind, finden Sie unter „Definieren von Ressourcenrichtlinien: Externe Java-Applets“ auf Seite 362. Die Konfigurationsoptionen der Funktion zum Hosten von Java-Applets wurden auf die Seite Users > Resource Profiles > Web > Hosted Java Applets in der Administratorkonsole verschoben. Wenn Sie das Produkt von einer früheren Version 5.3 aktualisieren, erstellt das IVE automatisch Ressourcenprofile aus Ihren alten Ressourcenrichtlinien. Wenn das alte Lesezeichen auf mehrere Java-Applets verweisen hat, erstellt das IVE ein einzelnes Archiv für diese Applets und ordnet das Archiv Ihrem neuen Ressourcenprofil zu. Die folgenden Abschnitte enthalten Informationen über das Hochladen, das Aktivieren und den Zugriff auf Java-Applets über das IVE: „Hochladen von Java-Applets in das IVE“ auf Seite 389 „Signieren von hochgeladenen Java-Applets“ auf Seite 390 „Erstellen von HTML-Seiten, die auf die hochgeladenen Java-Applets verweisen“ auf Seite 391 „Zugreifen auf Lesezeichen für Java-Applets“ auf Seite 391 „Verwendungsbeispiel: Erstellen eines Lesezeichens für ein Java-Applet mit Citrix JICA Version 8.0“ auf Seite 398 Hochladen von Java-Applets in das IVE Die IVE-Funktion zum Hochladen von Java-Applets ermöglicht das Speichern der von Ihnen gewählten Java-Applets direkt im IVE, ohne dass ein separater Webserver zum Hosten eingesetzt wird. Diese Applets können dann dazu verwendet werden, Verkehr zwischen verschiedenen Arten von Anwendungen über das IVE zu vermitteln. Laden Sie beispielsweise das 3270-Applet, das 5250-Applet oder das Citrix Java-Applet ins IVE hoch. Diese Applets ermöglichen Benutzern das Übersicht über gehostete Java-Applets 389 Juniper Networks Secure Access – Administratorhandbuch Einrichten von Sitzungen mit IBM-Mainframes, AS/400-Computern und Citrix MetaFrame-Servern über Terminalemulationen. (Beachten Sie, dass Sie zur Aktivierung des Citrix-Java-ICA-Clients über eine IVE-Sitzung mehrere Citrix-Dateien im Format .jar und .cab ins IVE hochladen müssen. Weitere Informationen hierzu finden Sie unter „Verwendungsbeispiel: Erstellen eines Lesezeichens für ein JavaApplet mit Citrix JICA Version 8.0“ auf Seite 398.) Das IVE ermöglicht das Hochladen einzelner Dateien im Format .jar und .cab oder von Archivdateien im Format .zip, .cab oder .tar. Die Archivdateien enthalten JavaApplets und Dateien, auf die diese Applets verweisen. Das Java-Applet muss sich innerhalb von .zip-, .cab- oder .tar-Dateien in der obersten Ebene im Archiv befinden. Sie können eine beliebige Anzahl von Dateien ins IVE hochladen; die Gesamtgröße darf allerdings 100 MB nicht überschreiten. Sie müssen zur Gewährleistung der Kompatibilität mit Sun und Microsoft-JVMs (Java Virtual Machines) .jar- und .cab-Dateien ins IVE hochladen. (Die Sun-JVM verwendet .jar-Dateien, während die Microsoft-JVM Dateien des Formats .cab verwendet.) HINWEIS: Beim Hochladen von Java-Applets ins IVE werden Sie vor dem Abschließen der Installation vom IVE zum Lesen einer Vereinbarung aufgefordert. Lesen Sie diese Vereinbarung sorgfältig durch. Sie verpflichten sich dazu, die volle Verantwortung für die Rechtmäßigkeit, den Betrieb und den Support der von Ihnen hochgeladenen Applets zu übernehmen. Maximal können Java-Applets mit einer Größe von insgesamt 100 MB in das IVE geladen werden. Das IVE zeigt die Größe jedes in das IVE geladenen Applets auf der Seite Java Applets an, sodass Sie bei Bedarf Applets löschen können. Das Hochladen von Java-Applets erfordert die Aktivierung von signierten ActiveX- bzw. signierten Java-Applets im Browser, damit die Clientanwendungen heruntergeladen, installiert und gestartet werden können. Laden Sie Java-Applets mithilfe von Ressourcenprofilen in das IVE hoch. Anweisungen hierfür finden Sie unter „Definieren von Ressourcenprofilen: Gehostete Java-Applets“ auf Seite 392. Signieren von hochgeladenen Java-Applets Im Gegensatz zu anderen Java-Applets, auf die Benutzer über das IVE zugreifen können, müssen Sie für die ins IVE hochgeladenen Java-Applets keine separate Codesignaturrichtlinie erstellen. Das IVE signiert sie automatisch (oder signiert sie neu) unter Verwendung des entsprechenden Codesignaturzertifikats. Bei einem Codesignaturzertifikat (auch Appletzertifikat genannt) handelt es sich um ein serverseitiges Zertifikat, das die von einem IVE vermittelten Java-Applets neu signiert. Eine Beschreibung hierzu finden Sie unter „Verwenden von Codesignaturzertifikaten“ auf Seite 672. 390 Übersicht über gehostete Java-Applets Kapitel 14: Gehostete Java-Applets Das IVE signiert die gehosteten Java-Applets mit dem über die Seite System > Configuration > Certificates > Code-signing Certificates in der Administratorkonsole installierten Codesignaturzertifikat (oder signiert sie neu). Falls Sie kein Codesignaturzertifikat im IVE installieren, verwendet das IVE zum Signieren oder Neusignieren des Applets ein selbst signiertes Appletzertifikat. In diesem Fall wird den Benutzern immer die Warnmeldung „untrusted certificate issuer“ (nicht vertrauenswürdiger Zertifikataussteller) angezeigt, wenn Sie über das IVE auf das Java-Applet zugreifen. HINWEIS: Die hochgeladenen Java-Applets werden vom IVE neu eingerichtet und signiert, wenn Sie das zugehörige Codesignaturzertifikat auf dem IVE ändern (d. h. importieren, erneuern oder löschen). Erstellen von HTML-Seiten, die auf die hochgeladenen Java-Applets verweisen Sie müssen beim Hochladen eines Java-Applets ins IVE eine einfache Webseite erstellen, die auf das Applet verweist. Die Benutzer können auf diese Webseite über ein Lesezeichen auf den IVE-Startseiten oder von externen Webserver zugreifen (wie beschrieben in „Zugreifen auf Lesezeichen für Java-Applets“ auf Seite 391). Die Webseite muss eine einfache HTML-Seitendefinition mit Verweis auf das hochgeladene Java-Applet enthalten. Die Webseite kann darüber hinaus zusätzlichen HTML- und JavaScript-Code beinhalten. Das IVE kann einen Teil dieser Webseite für Sie generieren, einschließlich der HTML-Seitendefinition und der Verweise auf das Java-Applet. (Beachten Sie jedoch, dass das IVE nicht alle für Ihr Applet erforderlichen speziellen Applet-Parameter generieren kann; Sie müssen diese Parameter selbst suchen und ausfüllen.) Beim Generieren dieser HTMLInformationen erstellt das IVE Platzhalter für undefinierte Werte und fordert Sie auf, die erforderlichen Werte einzugeben. Erstellen Sie diese Webseiten durch Ressourcenprofile für das Hochladen von JavaApplets. Anweisungen hierfür finden Sie unter „Definieren eines Lesezeichens für gehostete Java-Applets“ auf Seite 393. Zugreifen auf Lesezeichen für Java-Applets Die Benutzer können auf die von Ihnen ins IVE hochgeladenen Applets folgendermaßen zugreifen: Bookmarks on the IVE end user console – Wenn Sie eine Webseite mit Verweisen auf die hochgeladenen Java-Applets erstellen, erstellt das IVE einen entsprechenden Link zu der Webseite und zeigt diesen Link im Abschnitt Bookmarks der IVE-Endbenutzerkonsole an. Die der geeigneten Rolle zugeordneten Benutzer können durch Klicken auf den Link auf das Java-Applet zugreifen. Links on external Web servers – Benutzer können unter Verwendung der richtigen URLs von externen Webservern eine Verbindung zu den Lesezeichen für Java-Applets herstellen. Wenn der Benutzer die URL eines Lesezeichens eingibt (oder auf einen externen Link, der die URL enthält, klickt), wird er vom IVE aufgefordert, seinen IVE-Benutzernamen und das Kennwort einzugeben. Ist die Authentifizierung erfolgreich, ermöglicht das IVE den Zugriff auf das Lesezeichen. Sie können die URL für das Lesezeichen für Java-Applets erstellen, indem Sie die Syntax aus einer der folgenden Zeilen verwenden: Übersicht über gehostete Java-Applets 391 Juniper Networks Secure Access – Administratorhandbuch https://<IVE_hostname>/dana/home/launchWebapplet.cgi?bmname=<bookmark Name> https://<IVE_hostname>/dana/home/launchWebapplet.cgi?id=<resourceID>&b mname=<bookmarkName> (Legen Sie die ID eines Lesezeichens für Java-Applets fest, indem Sie über die IVE-Startseite darauf zugreifen und die ID dann aus der Adressleiste des Webbrowsers extrahieren. HINWEIS: Obwohl das IVE das Erstellen mehrerer Lesezeichen mit dem gleichen Namen zulässt, empfehlen wir ausdrücklich die Verwendung eines eindeutigen Namens für jedes Lesezeichen. Wenn ein Benutzer bei mehreren Lesezeichen mit dem gleichen Namen mithilfe einer URL auf eines dieser Lesezeichen zugreift, die den Parameter bmname enthält, wählt das IVE zufällig ein Lesezeichen aus den identisch benannten Lesezeichen aus, und zeigt dies dem Benutzer an. Beachten Sie auch, dass beim Parameter bmname die Groß- und Kleinschreibung berücksichtigt wird. Werden auf externen Servern Links zu Java-Applet-Lesezeichen im IVE erstellt, und werden mehrere angepasste Anmelde-URLs verwendet, sind einige Einschränkungen zu beachten. Weitere Informationen finden Sie unter „Anmelderichtlinien“ auf Seite 193. Informationen zum Erstellen von Lesezeichen finden Sie unter „Definieren eines Lesezeichens für gehostete Java-Applets“ auf Seite 393. Definieren von Ressourcenprofilen: Gehostete Java-Applets So erstellen Sie ein Ressourcenprofil für gehostete Java-Applets: 1. Navigieren Sie zur Seite Users > Resource Profiles > Hosted Java Applet in der Administratorkonsole. 2. Klicken Sie auf New Profile. 3. Geben Sie einen eindeutigen Namen und ggf. eine Beschreibung für das Ressourcenprofil ein. 4. Geben Sie im Abschnitt Upload Applet Resources Folgendes an: 392 a. Wählen Sie das Applet aus, das Sie in das IVE laden möchten. Sie können Applets (.jar- oder .cab-Dateien) oder Archive (Dateien im Format .zip, .jar und .tar ) hochladen, die Applets und alle für die Applets erforderlichen Ressourcen enthalten. b. Aktivieren Sie das Kontrollkästchen Expand uploaded archive, wenn das eigentliche Java-Applet in der oben angegebenen Datei archiviert ist. Definieren von Ressourcenprofilen: Gehostete Java-Applets Kapitel 14: Gehostete Java-Applets 5. Falls das Java-Applet Socketverbindungen herstellen muss, aktivieren Sie den Zugriff mithilfe der Einstellungen im Abschnitt Autopolicy: Java Access Control: Weitere detaillierte Anweisungen finden Sie unter „Definieren einer automatischen Richtlinie für die Java-Zugriffssteuerung“ auf Seite 319. 6. Klicken Sie auf Save and Continue. 7. Wenn der folgende Vertrag angezeigt wird, lesen Sie ihn, und klicken Sie auf OK, wenn Sie den Bedingungen zustimmen: Sie sind dabei, Drittanbietersoftware auf ein Juniper-Produkt zu laden. Vorher müssen Sie die folgenden Bedingungen lesen und ihnen in Ihrem Namen oder dem des Unternehmens, das das Juniper-Produkt erworben hat, zustimmen. Durch das Laden einer Drittanbietersoftware auf das Juniper-Produkt sind Sie für den Erwerb aller notwendigen Rechte für die Verwendung, Vervielfältigung und/oder Vertrieb dieser Software in oder mit einem Juniper-Produkt verantwortlich. Juniper ist nicht für etwaige Rechtsansprüche haftbar, die aus dem Gebrauch von Drittanbietersoftware entstehen, und bietet keine Unterstützung für diese Software. Die Verwendung von Drittanbietersoftware kann die ordnungsgemäße Funktion des Juniper-Produkts und/oder der Juniper-Software beeinträchtigen und die Garantie für das Juniper-Produkt und/oder –Software erlöschen lassen. Klicken Sie auf die Schaltfläche OK, wenn Sie einverstanden sind und fortfahren möchten. 8. Lesen Sie die Details im Dialogfeld Upload Status, und klicken Sie anschließend auf OK. Nachdem Sie die Vereinbarung akzeptiert haben, wird der Inhalt des Java-Applets durch das IVE neu geschrieben und signiert. Dies kann zu Verzögerungen führen (je nach Größe des Applets). 9. Wählen Sie auf der Registerkarte Roles die Rollen aus, auf die das Ressourcenprofil angewendet werden soll, und klicken Sie auf Add. Die ausgewählten Rollen übernehmen die durch das Ressourcenprofil erstellten AutoRichtlinien und Lesezeichen. Ist die Option Web noch nicht aktiviert, wird diese vom IVE auf der Seite Users > User Roles > Rolle auswählen > General > Overview der Administratorkonsole ebenso wie die Option Allow Java Applets auf der Seite Users > User Roles > Rolle auswählen > Web > Options der Administratorkonsole ebenfalls für alle ausgewählten Rollen automatisch aktiviert. 10. Klicken Sie auf Save Changes. 11. Erstellen Sie auf der Registerkarte Bookmarks Lesezeichen mithilfe der Anweisungen in „Definieren eines Lesezeichens für gehostete Java-Applets“ auf Seite 393. Definieren eines Lesezeichens für gehostete Java-Applets Damit Endbenutzer auf Ihre Applets zugreifen können, müssen Sie zuvor Lesezeichen für die gehosteten Java-Applets erstellen. Weitere Informationen über Lesezeichen für Ressourcenprofile finden Sie unter „Definieren von Lesezeichen“ auf Seite 82. So konfigurieren Sie Ressourcenprofil-Lesezeichen für gehostete Java-Applets: Definieren von Ressourcenprofilen: Gehostete Java-Applets 393 Juniper Networks Secure Access – Administratorhandbuch 1. Wenn Sie Lesezeichen für Ressourcenprofile über die standardmäßige Ressourcenprofilseite erstellen möchten, gehen Sie folgendermaßen vor: a. Navigieren Sie zur Seite Users > Resource Profiles > Web > Hosted Java Applets > Ressourcenprofil auswählen > Bookmarks in der Administratorkonsole. b. Klicken Sie in der Spalte Bookmark auf den entsprechenden Link, wenn Sie ein vorhandenes Lesezeichen bearbeiten möchten. Oder klicken Sie auf New Bookmark, um ein zusätzliches Lesezeichen zu erstellen. Wenn Sie stattdessen ein Lesezeichen für Ressourcenprofile über die Seite mit den Benutzerrollen erstellen möchten, gehen Sie folgendermaßen vor: a. Navigieren Sie zur Seite Users > Roles > Rolle auswählen > Web > Bookmarks in der Administratorkonsole. b. Klicken Sie auf New Bookmark. c. Wählen Sie in der Liste Type Pick an Applet Resource Profile aus. (Das IVE zeigt diese Option nur an, wenn Sie zuvor ein Ressourcenprofil für gehostete Java-Applets erstellt haben.) d. Wählen Sie ein Ressourcenprofil. e. Klicken Sie auf OK. (Wenn Sie die ausgewählte Rolle noch dem Ressourcenprofil zugeordnet haben, führt das IVE diese Zuordnung automatisch aus.) Das IVE aktiviert zudem alle vom Ressourcenprofil geforderten Zugriffssteuerungsrichtlinien für die Rolle.) f. Wenn diese Rolle noch nicht dem ausgewählten Ressourcenprofil zugeordnet ist, zeigt das IVE eine entsprechende Meldung an. Wenn diese Meldung angezeigt wird, klicken Sie auf Save Changes, um diese Rolle der Liste mit den Rollen des Ressourcenprofils hinzuzufügen und die Auto-Richtlinien des Profils entsprechend zu aktualisieren. Wiederholen Sie anschließend die vorangegangenen Schritte, um das Lesezeichen zu erstellen. HINWEIS: Wenn Sie ein Lesezeichen für ein Ressourcenprofil über die Seite mit den Benutzerrollen erstellen (anstatt über die standardmäßige Ressourcenprofilseite), ordnet das IVE nur das generierte Lesezeichen der ausgewählten Rolle zu. Das IVE weist das Lesezeichen nicht allen Rollen zu, die dem ausgewählten Ressourcenprofil zugeordnet sind. 2. Geben Sie einen Namen und (optional) eine Beschreibung für das Lesezeichen ein. Diese Informationen werden auf der IVE-Startseite angezeigt. (In der Standardeinstellung verwendet das IVE für das Lesezeichen den Namen des entsprechenden Ressourcenprofils.) 394 Definieren von Ressourcenprofilen: Gehostete Java-Applets Kapitel 14: Gehostete Java-Applets HINWEIS: Wir empfehlen ausdrücklich die Verwendung eines eindeutigen Namens für jedes Lesezeichen, damit Benutzer erkennen, auf welchen Link sie zugreifen. Weitere Informationen finden Sie unter „Erstellen von HTML-Seiten, die auf die hochgeladenen Java-Applets verweisen“ auf Seite 391. 3. Klicken Sie auf Generate HTML, um eine HTML-Seitendefinition mit Verweisen auf die Java-Applets zu erstellen. Geben Sie anschließend die erforderlichen Attribute und Parameter anhand der Richtlinien in den folgenden Abschnitten ein: „Erforderliche Attribute für hochgeladene Java-Applets“ auf Seite 396 „Erforderliche Parameter für hochgeladene Java-Applets“ auf Seite 397 Sie können auch zusätzlichen HTML-Code oder JavaScript für diese Webseitendefinition hinzufügen. Das IVE schreibt den gesamten in diesem Feld eingegebenen Code neu. HINWEIS: Geben Sie in dieses Feld eindeutigen HTML-Code ein. Werden zwei Lesezeichen mit demselben HTML-Code erstellt, löscht das IVE eines der Lesezeichen in der Endbenutzeransicht. Die beiden Lesezeichen können nach wie vor angezeigt werden, jedoch nur in der Administratorkonsole. 4. Klicken Sie unter Display options auf Bookmark opens new window, wenn das IVE automatisch die Webressource in einem neuen Browserfenster öffnen soll. Beachten Sie, dass diese Funktion nur für Rollenlesezeichen, nicht für von Benutzern erstellte Lesezeichen gilt. Wählen Sie als nächstes die folgenden Optionen aus, wenn UI-Elemente für Benutzer ausgeblendet werden sollen: Do not display the browser address bar – Wählen Sie diese Option aus, um die Adressleiste aus dem Browserfenster zu entfernen. Diese Funktion veranlasst die Weiterleitung des gesamten Webdatenverkehrs über das IVE, indem verhindert wird, dass Benutzer in der angegebenen Rolle eine neue URL in die Adresszeile eingeben, durch den das IVE umgangen wird. Do not display the browser toolbar – Wählen Sie diese Option aus, um das Menü und die Symbolleiste aus dem Browser zu entfernen. Diese Funktion entfernt Menüs, Browserschaltflächen und Lesezeichen aus dem Browserfenster, um nur das Browsen über das IVE zu ermöglichen. 5. Wenn Sie das Lesezeichen über die Ressourcenprofilseiten konfigurieren, geben Sie unter Roles die Rollen an, für die Sie das Lesezeichen anzeigen möchten: ALL selected roles – Wählen Sie diese Option, um das Lesezeichen für alle dem Ressourcenprofil zugeordneten Rollen anzuzeigen. Subset of selected roles – Wählen Sie diese Option, um das Lesezeichen einem Teil der dem Ressourcenprofil zugeordneten Rollen anzuzeigen. Wählen Sie anschließend aus der Liste ALL Selected Roles Rollen aus, und klicken Sie auf Add, um die Rollen in die Liste Subset of selected roles zu verschieben. Definieren von Ressourcenprofilen: Gehostete Java-Applets 395 Juniper Networks Secure Access – Administratorhandbuch 6. Klicken Sie auf Save Changes. Erforderliche Attribute für hochgeladene Java-Applets Wenn Sie ein Lesezeichen für Java-Applets über das IVE erstellen, müssen Sie die folgenden Attribute und entsprechenden Werte definieren. Bei Verwendung der Funktion Generate HTML füllt das IVE einige dieser Informationen für Sie aus, und es fügt den von Ihnen zu definierenden Attributen den Zusatz PLEASE_SPECIFY hinzu. Verwenden Sie zum Angeben von Attributen und zugehörigen Werten das Format attribute=„value“. HINWEIS: Das IVE generiert alle Parameter, deren Notwendigkeit es kennt. Beachten Sie jedoch, dass das IVE nicht alle für Ihr Applet erforderlichen speziellen AppletParameter generieren kann; Sie müssen diese Parameter selbst suchen und ausfüllen. Folgende Attribute sind u. a. für das IVE erforderlich: code – Gibt die im Java-Applet aufzurufende Klassendatei an. Verwenden Sie diesen Wert, um auf die Hauptfunktion des Java-Applets zu verweisen. Beispiel: applet code="com.citrix.JICA" codebase – Gibt an, von wo der Webbrowser das Applet abrufen kann. Verwenden Sie die Variable <<CODEBASE>>, die auf den Speicherort auf dem IVE verweist, an dem das IVE das Java-Applet speichert. Beachten Sie, dass beim Eingeben eines Pfads zur Datei <<CODEBASE>> einen abschließenden Schrägstrich enthält; das folgende Beispiel ist also gültig: <img src="<<CODEBASE>>path/to/file"> Dieses Beispiel ist jedoch nicht gültig: <img src="<<CODEBASE>>/path/to/file"> archive – Gibt an, welche Archivdatei (d. h. .jar, .cab oder .zip-Dateien) der Webbrowser abrufen soll. Beispiel: archive="JICAEngN.jar" width and height – Geben die Größe des Java-Appletfensters an (optional). Beispiel: width="640" height="480" name – Gibt eine Beschriftung für das Java-Applet an (optional). Beispiel: name="CitrixJICA" align – Gibt die Ausrichtung das Java-Appletfensters im Browserfenster an (optional). Beispiel: align="top" 396 Definieren von Ressourcenprofilen: Gehostete Java-Applets Kapitel 14: Gehostete Java-Applets HINWEIS: Beachten Sie beim Definieren von Attributen und zugehörigen Werten Folgendes: Wir raten ausdrücklich von der Verwendung des Parameters useslibrarycabbase im HTML-Code ab, weil dies zur dauerhaften Installation der CAB-Datei auf dem Computer des Benutzers führt. Falls Sie eine CAB-Datei zu einem späteren Zeitpunkt im IVE ändern, müssen alle Benutzer die CAB-Dateien auf Ihren Computern löschen, damit Sie die neue Version vom IVE erhalten. Alle über die Funktion document.write erstellten Applet-Tags werden nicht unterstützt, weil der dynamische HTML-Code den Parser des IVE beeinträchtigt. Relative Links zu URLs, Dokumenten oder Bilder in Ihrem HTML-Code werden nicht unterstützt. Andernfalls schlagen diese Links fehl, wenn der Benutzer versucht, über die IVE-Endbenutzerkonsole auf die Links zuzugreifen. Geben Sie stattdessen absolute Links an. Wenn Sie eine Verknüpfung zu einem Dokument oder einem Bild in der ZIP-Datei erstellen, verwenden Sie die Variable <<CODEBASE>>, um anzugeben, dass das IVE die Datei in dem ins IVE hochgeladenen ZIP-Archiv findet. Beispiel: <img src="<<CODEBASE>>yourcompany_logo.gif" alt="YourCompany"> Erforderliche Parameter für hochgeladene Java-Applets Wenn Sie über das IVE Lesezeichen für Java-Applet erstellen, müssen Sie Parameter und Werte definieren, die das IVE an das Java-Applet übergeben soll. Diese Parameter sind appletspezifisch. Verwenden Sie zum Festlegen von Parametern und zugehörigen Werten das folgende Format: <param name=„parameterName“ value=„valueName“> Mit Ausnahme von Parametername und Wertname handelt es sich bei dem gesamten Text um Literalzeichen. Werte können mithilfe von IVE-Variablen an das Java-Applet übergeben werden. Schließen Sie die Variablennamen hierzu in doppelte Klammern ein. Sie können z.B. die Werte <<username>> und <<password>> an das Java-Applet übergeben. Eine Liste der verfügbaren IVE-Variablen finden Sie unter „Systemvariablen und Beispiele“ auf Seite 920. Wenn Sie eine Webseite mit einem für Sie geeigneten Applet finden, rufen Sie die Demosite auf, und zeigen Sie den Quellcode auf der Seite an, die das Java-Applet ausführt. Suchen Sie im Quellcode nach dem Tag applet. Machen Sie das Attribut code im Quellecode ausfindig, und überprüfen Sie, ob es spezielle Parameter enthält, die an den Browser übergeben werden müssen. In den meisten Fällen können das Attribut IVE und die entsprechenden Parameter kopiert und direkt in das HTML-Feld für Ihr IVE-Lesezeichen eingefügt werden. Wenn ein Parameter jedoch auf eine Ressource auf dem lokalen Webserver verweist, kann der Verweis nicht kopiert und in das IVE-Lesezeichen eingefügt werden, da das IVE keinen Zugriff auf die lokalen Ressourcen des anderen Webservers hat. Überprüfen Sie beim Kopieren/Einfügen von Parametern aus einer anderen Quelle immer die Werte der Parameter. Definieren von Ressourcenprofilen: Gehostete Java-Applets 397 Juniper Networks Secure Access – Administratorhandbuch Verwendungsbeispiel: Erstellen eines Lesezeichens für ein JavaApplet mit Citrix JICA Version 8.0 In diesem Abschnitt wird beschrieben, wie unter Verwendung der Java-Version 8.0 des Citrix ICA-Clients (JICA) der Zugriff auf einen Citrix Metaframe-Server über das IVE ermöglicht wird. So aktivieren Sie den Citrix JICA-Client Version 8.0 unter Verwendung der JavaApplet-Hochladefunktion: 1. Importieren Sie Codesignaturzertifikate wie unter „Verwenden von Codesignaturzertifikaten“ auf Seite 672 beschrieben. 2. Fassen Sie die folgenden .jar- und .cab-Dateien in einem einzelnen Archiv zusammen: JICA-configN.jar JICA-coreN.jar JICA-configM.cab JICA-coreM.cab (Diese Dateien stehen auf der Website von Citrix zur Verfügung.) 3. Erstellen Sie über die Seite Users > Resource Profiles > Web > Hosted Java Applets in der Administratorkonsole ein Ressourcenprofil für gehostete JavaApplets. Führen Sie beim Definieren des Ressourcenprofils Folgendes aus: a. Laden Sie die Citrix-Archivdatei in das IVE. b. Aktivieren Sie das Kontrollkästchen Expand uploaded archive, da die Archivdatei mehrere JAR- und CAB-Dateien enthält. c. Geben Sie beliebige Metaframe-Server an, mit denen diese Java-Applets eine Verbindung herstellen können. d. Weisen Sie das Ressourcenprofil den entsprechenden Rollen zu. (Detaillierte Anweisungen finden Sie unter „Definieren von Ressourcenprofilen: Gehostete Java-Applets“ auf Seite 392.) 4. Generieren Sie auf der Registerkarte Bookmarks des Ressourcenprofils die Webseite für das Lesezeichen. Das IVE fügt nun automatisch alle .jar- und .cabDateien in die entsprechende Webseite ein. Geben Sie anschließend Parameter für den Citrix-Client ein. Orientieren Sie sich dabei an folgendem Beispiel. (Beachten Sie, dass das nachfolgende Lesezeichen Verweise auf die JAR- und CAB-Dateien in der ZIP-Datei enthält.) <html> <head> <title>CitrixJICA Applet.</title> <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1"> 398 Verwendungsbeispiel: Erstellen eines Lesezeichens für ein Java-Applet mit Citrix JICA Version 8.0 Kapitel 14: Gehostete Java-Applets </head> <body> <applet code="com.citrix.JICA" codebase="<< CODEBASE >>" archive="JICA-configN.jar,JICA-coreN.jar" width="640" height="480" name="CitrixJICA" align="top"> <param name="code" value="com.citrix.JICA"> <param name="codebase" value="<< CODEBASE >>"> <param name="archive" value="JICA-configN.jar,JICA-coreN.jar"> <param name="cabbase" value="JICA-configM.cab,JICA-coreM.cab"> <param name="name" value="CitrixJICA"> <param name="width" value="640"> <param name="height" value="480"> <param name="align" value="top"> <!-Please specify additional params here after the comment. <param name="paramname" value="paramvalue"> --> <param name="Address" value="YourMetaFrameServer.YourCompany.net"> <param name="Username" value="<<USERNAME>>"> <param name="password" value="<<PASSWORD>>"> <param name="initialprogram" value="#notepad"> <param name="EncryptionLevel" value="1"> <param name="BrowserProtocol" value="HTTPonTCP"> </applet> </body> </html> Verwendungsbeispiel: Erstellen eines Lesezeichens für ein Java-Applet mit Citrix JICA Version 8.0 399 Juniper Networks Secure Access – Administratorhandbuch 400 Verwendungsbeispiel: Erstellen eines Lesezeichens für ein Java-Applet mit Citrix JICA Version 8.0 Kapitel 15 Neuschreiben von Dateien Ein Dateiressourcenprofil steuert den Zugriff auf Ressourcen, die sich auf WindowsServerfreigaben oder Unix-Servern befinden. In diesem Abschnitt finden Sie die folgenden Informationen über die Konfiguration der Optionen für das Neuschreiben von Dateien: „Lizenzierung: Verfügbarkeit der Funktion zum Neuschreiben von Dateien“ auf Seite 401 „Definieren von Ressourcenprofilen: Neuschreiben von Dateien“ auf Seite 401 „Definieren von Rolleneinstellungen: Windows-Ressourcen“ auf Seite 409 „Definieren von Ressourcenrichtlinien: Windows-Dateiressourcen“ auf Seite 412 „Definieren von Rolleneinstellungen: UNIX/NFS-Dateiressourcen“ auf Seite 419 „Definieren von Ressourcenrichtlinien: UNIX/NFS-Dateiressourcen“ auf Seite 421 Lizenzierung: Verfügbarkeit der Funktion zum Neuschreiben von Dateien Das Neuschreiben von Dateien ist eine Standardfunktion in allen Secure AccessAppliances, mit Ausnahme der SA 700. Wenn Sie eine SA-700-Appliance verwenden, müssen Sie einen Aktualisierungslizenzschlüssel für den clientlosen Kernzugriff installieren, damit Sie auf die Funktion zum Neuschreiben von Dateien zugreifen können. Definieren von Ressourcenprofilen: Neuschreiben von Dateien Ein Dateiressourcenprofil steuert den Zugriff auf Ressourcen, die sich auf WindowsServerfreigaben oder Unix-Servern befinden. (Weitere Informationen über Ressourcenprofile finden Sie unter „Ressourcenprofile“ auf Seite 75.) So erstellen Sie ein Ressourcenprofil für das Neuschreiben von Dateien: 1. Navigieren Sie zur Seite Users > Resource Profiles > Files in der Administratorkonsole. 2. Klicken Sie auf New Profile. 3. Wählen Sie in der Liste Type Windows oder Unix aus. Lizenzierung: Verfügbarkeit der Funktion zum Neuschreiben von Dateien 401 Juniper Networks Secure Access – Administratorhandbuch 4. Geben Sie einen eindeutigen Namen und ggf. eine Beschreibung für das Ressourcenprofil ein. (Dieser Name ist der Standardname des Lesezeichens.) 5. Geben Sie die Ressource ein, deren Zugriff Sie steuern möchten. Beachten Sie dabei, dass das Format der Ressource vom Typ des zu erstellenden Ressourcenprofils abhängt: Windows – Geben Sie den Servernamen oder die IP-Adresse, den Freigabenamen und ggf. den Pfad ein, dessen Zugriff Sie steuern möchten, ins Feld Server/share ein. Verwenden Sie beim Eingeben der Ressource das folgende Format: \\Server[\Freigabe[\Pfad]]. Unix – Geben Sie den Servernamen oder die IP-Adresse und ggf. den Pfad, dessen Zugriff Sie steuern möchten, ins Feld Server ein. Verwenden Sie beim Eingeben der Ressource das folgende Format: Server[/Pfad] Detaillierte Anweisungen finden Sie in „Definieren von Dateiressourcen“ auf Seite 403. (Das IVE verwendet das angegebene Verzeichnis für das Definieren des Standardlesezeichens für das Ressourcenprofil.) 6. Erstellen Sie im Abschnitt Autopolicy: Windows File Access Control oder Autopolicy: Unix Access Control eine Richtlinie, die Benutzern den Zugriff auf die im vorherigen Schritt angegebene Ressource gewährt oder verweigert. (Sie müssen zumindest auf Add klicken, um die Zugriffssteuerungsrichtlinie zu verwenden, die das IVE automatisch für Sie erstellt. Diese Richtlinie gewährt den Zugriff auf das angegebene Verzeichnis und allen Unterverzeichnissen.) Weitere detaillierte Anweisungen finden Sie unter „Definieren einer AutoRichtlinie für die Dateizugriffssteuerung“ auf Seite 404. 7. (Optional) Klicken Sie auf Show ALL autopolicy types, um zuszliche AutoRichtlinien zu erstellen, die den Zugriff auf die Ressource präzisieren. Erstellen Sie dann die Auto-Richtlinien mithilfe der Anweisungen in den folgenden Abschnitten: „Definieren einer Auto-Richtlinie für die Dateikomprimierung“ auf Seite 405 „Definieren einer Auto-Richtlinie für die Einzelanmeldung (nur Windows)“ auf Seite 405 HINWEIS: Weitere Informationen über das Festlegen von Codierungsoptionen für Windows- oder Unix-Ressourcen finden Sie unter „Codieren von Dateien“ auf Seite 904. (Die Codierung ist eine erweiterte Option, die zurzeit nur über Ressourcenrichtlinien konfiguriert werden kann.) 8. Klicken Sie auf Save and Continue. 9. Wählen Sie auf der Registerkarte Roles die Rollen aus, auf die das Ressourcenprofil angewendet werden soll, und klicken Sie auf Add. 402 Definieren von Ressourcenprofilen: Neuschreiben von Dateien Kapitel 15: Neuschreiben von Dateien Die ausgewählten Rollen übernehmen die durch das Ressourcenprofil erstellten Auto-Richtlinien und Lesezeichen. Ist die Option Files, Windows oder Files, UNIX/NFS noch nicht aktiviert, wird sie vom IVE auf der Seite Users > User Roles > Rolle auswählen > General > Overview der Administratorkonsole ebenfalls für alle ausgewählten Rollen automatisch aktiviert. 10. Klicken Sie auf Save Changes. 11. (Optional) Ändern Sie auf der Registerkarte Bookmarks das vom IVE erstellte Standardlesezeichen, und/oder erstellen Sie neue Lesezeichen. Befolgen Sie dazu die Anweisungen unter „Definieren eines Dateilesezeichens“ auf Seite 407. (Standardmäßig erstellt das IVE ein Lesezeichen für die im Feld Windows oder Unix definierte Ressource und zeigt es allen Benutzern an, die der auf der Registerkarte Roles angegebenen Rolle zugeordnet sind.) Definieren von Dateiressourcen Beim Erstellen eines Dateiressourcenprofils (wie in „Definieren von Ressourcenprofilen: Neuschreiben von Dateien“ auf Seite 401 beschrieben) müssen Sie die folgenden Formate verwenden, wenn Sie die primäre Ressource der Ressourcenrichtlinie sowie deren Auto-Richtlinienressourcen erstellen. Windows-Ressourcen \\server[\share[\path]] Unix-Ressourcen: server[/path] Die drei Komponenten in diesen Formaten sind Folgende: Server (erforderlich) – Mögliche Werte: Hostname – Die Systemvariable <username> darf beim Definieren des Hostnamens verwendet werden. IP-Adresse – Die IP-Adresse muss in folgendem Format angegeben werden: a.b.c.d Die beiden vorangehenden umgekehrten Schrägstriche (\\) sind für WindowsRessourcen erforderlich, die nicht das NFS-Format aufweisen. Freigabe (erforderlich, nur unter Windows) – Die Systemvariable <username> darf verwendet werden. Beachten Sie, dass das IVE beim Herstellen einer Verbindung zu einer Windows-Dateifreigabe die Ports 445 und 139 verwendet. Pfad (optional) – Sonderzeichen sind zulässig, einschließlich: Tabelle 28: Sonderzeichen im Pfad * Entspricht einem beliebigen Zeichen. Beachten Sie, dass Sie beim Definieren der primären Ressource eines Ressourcenprofils (d. h. im FeldServer/share für Windows-Ressourcen oder im Serverfeld für Unix-Ressourcen) nicht das Platzhalterzeichen * verwenden dürfen. Definieren von Ressourcenprofilen: Neuschreiben von Dateien 403 Juniper Networks Secure Access – Administratorhandbuch Tabelle 28: Sonderzeichen im Pfad (Fortsetzung) % Entspricht einem beliebigen Zeichen außer dem Schrägstrich (/) ? Entspricht genau einem Zeichen Gültige Windows-Ressourcen: \\juniper.com\dana \\10.11.0.10\share\web \\10.11.254.227\public\test.doc Gültige Unix-Ressourcen: juniper.com/dana 10.11.0.10/share/web 10.11.254.227/public/test.doc Definieren einer Auto-Richtlinie für die Dateizugriffssteuerung Durch Richtlinien für die Dateizugriffssteuerung werden die Ressourcen auf den Dateiservern festgelegt, auf die Benutzer zugreifen dürfen. Beim Definieren eines Dateiressourcenprofils müssen Sie eine entsprechende Auto-Richtlinie für die Zugriffssteuerung erstellen, die den Zugriff auf die primäre Ressource des Profils gewährt. Das IVE vereinfacht diesen Vorgang, indem es automatisch eine AutoRichtlinie erstellt, die den Zugriff auf das im Feld Server/share (Windows) bzw. Server (Unix) angegebene Verzeichnis und dessen gesamte Unterverzeichnisse gewährt. Um diese Auto-Richtlinie zu aktivieren, müssen Sie diese nur auswählen und auf Add klicken. Bei Bedarf können Sie diese standardmäßige Auto-Richtlinie auch ändern oder zusätzliche Auto-Richtlinien für den Dateizugriff erstellen, die den Zugriff auf weitere Ressourcen gewähren oder verweigern. So erstellen Sie eine neue Auto-Richtlinie für die Dateizugriffssteuerung: 1. Erstellen Sie ein Dateiressourcenprofil, wie in „Definieren von Ressourcenprofilen: Neuschreiben von Dateien“ auf Seite 401 beschrieben. 2. Aktivieren Sie ggf. das Kontrollkästchen Autopolicy: Windows File Access Control oder Autopolicy: Unix Access Control. 3. Geben Sie im Feld Resource die Ressource an, für die diese Richtlinie gilt. Verwenden Sie dabei folgendes Format: \\server[\share[\path]] für WindowsRessourcen und \\server[\path] für Unix-Ressourcen. Detaillierte Anweisungen finden Sie in „Definieren von Dateiressourcen“ auf Seite 403. 4. Wählen Sie in der Liste Action eine der folgenden Optionen aus: 404 Allow – Wählen Sie diese Option, um den Zugriff auf die angegebene Ressource zu gewähren. Read-only – Wählen Sie diese Option, wenn die Benutzer die angegebene Ressource anzeigen, aber nicht bearbeiten dürfen. Definieren von Ressourcenprofilen: Neuschreiben von Dateien Kapitel 15: Neuschreiben von Dateien Deny – Wählen Sie diese Option, um den Zugriff auf die angegebene Ressource zu verhindern. 5. Klicken Sie auf Add. 6. Klicken Sie auf Save Changes. Definieren einer Auto-Richtlinie für die Dateikomprimierung Die Auto-Richtlinien für die Komprimierung geben an, welche Dateidatentypen das IVE komprimieren soll, wenn Sie auf der Seite Maintenance > System > Options der Administratorkonsole die GZIP-Komprimierung aktivieren. Weitere Informationen finden Sie unter „Ausführen der Komprimierung“ auf Seite 899. So erstellen Sie eine Auto-Richtlinie für die Dateikomprimierung: 1. Erstellen Sie ein Dateiressourcenprofil, wie in „Definieren von Ressourcenprofilen: Neuschreiben von Dateien“ auf Seite 401 beschrieben. 2. Klicken Sie auf Show ALL autopolicy types. 3. Aktivieren Sie das Kontrollkästchen Autopolicy: Windows File Compression oder Autopolicy: Unix File Compression. 4. Geben Sie im Feld Resource die Ressource an, für die diese Richtlinie gilt. Verwenden Sie dabei folgendes Format: \\server[\share[\path]] für WindowsRessourcen und \\server[\path] für Unix-Ressourcen. Detaillierte Anweisungen finden Sie in „Definieren von Dateiressourcen“ auf Seite 403. 5. Wählen Sie im Feld Action eine der folgenden Optionen aus: Compress – Wählen Sie diese Option, um Daten aus der angegebenen Ressource zu komprimieren. Do not compress – Wählen Sie diese Option, um die Komprimierung für die angegebene Ressource zu deaktivieren. Eine Liste der Datentypen für die Komprimierung durch das IVE finden Sie unter „Unterstützte Datentypen“ auf Seite 900. 6. Klicken Sie auf Add. Definieren einer Auto-Richtlinie für die Einzelanmeldung (nur Windows) Durch Auto-Richtlinien für die Einzelanmeldung (SSO) wird das IVE für eine automatische Übertragung der Anmeldedaten an eine Windows-Freigabe oder ein Windows-Verzeichnis konfiguriert, damit der Benutzer seine Anmeldedaten nicht erneut wie unter „Einzelanmeldung“ auf Seite 203 beschrieben eingeben muss. So erstellen Sie eine Auto-Richtlinie für die Windows-Einzelanmeldung: 1. Erstellen Sie ein Dateiressourcenprofil für Windows, wie in „Definieren von Ressourcenprofilen: Neuschreiben von Dateien“ auf Seite 401 beschrieben. 2. Klicken Sie auf Show ALL autopolicy types. Definieren von Ressourcenprofilen: Neuschreiben von Dateien 405 Juniper Networks Secure Access – Administratorhandbuch 3. Aktivieren Sie das Kontrollktchen Autopolicy: Windows Server Single Sign-On. 4. Geben Sie im Feld Resource die Ressource an, für die diese Richtlinie gilt. Verwenden Sie dabei folgendes Format: \\Server[\Freigabe[\Pfad]]. Detaillierte Anweisungen finden Sie in „Definieren von Dateiressourcen“ auf Seite 403. 5. Wählen Sie eine der folgenden Optionen aus: Use predefined credentials – Mit dieser Option legen Sie fest, dass die Anmeldedaten an die Windows-Freigabe oder das Windows-Verzeichnis weitergeleitet werden. Gehen Sie anschließend folgendermaßen vor: i. Geben Sie im Feld Username eine Variable (z.B. <USERNAME> ) oder einen statischen Benutzernamen (z.B. administrator) ein, der an die Windows-Freigabe oder das Windows-Verzeichnis übertragen werden soll. Beim Eingeben einer Variablen können Sie auch eine Domäne angeben. Beispiel: yourcompany.net\<USERNAME>. ii. Geben Sie eine IVE-Variable (z.B. <PASSWORD>) in das Feld Variable Password oder ein statisches Kennwort in das Feld Variable ein. Das IVE maskiert das hier eingegebene Kennwort mit Sternchen. Beachten Sie bei der Eingabe statischer Anmeldedaten, dass der IVE-Server für die Dateinavigation die Verbindungen mit einer Serverfreigabe offen hält, sodass die Verbindung mit einem anderen Ordner auf derselben Freigabe über ein anderes Konto möglicherweise nicht zuverlässig funktioniert. Wenn die angegebenen Anmeldedaten fehlschlagen, sendet das IVE wie unter „Anmeldedaten für mehrfaches Anmelden – Übersicht“ auf Seite 205 beschrieben alternative Anmeldedaten. Disable SSO – Wählen Sie diese Option aus, wenn das IVE die Anmeldedaten automatisch an die angegebene Windows-Freigabe oder das angegebene Windows-Verzeichnis weiterleiten soll. 6. Klicken Sie auf Save Changes. 406 Definieren von Ressourcenprofilen: Neuschreiben von Dateien Kapitel 15: Neuschreiben von Dateien Definieren eines Dateilesezeichens Beim Erstellen eines Dateiressourcenprofils erstellt das IVE automatisch ein Lesezeichen auf die primäre Ressource, die Sie im Ressourcenprofil angegeben haben. Das IVE ermöglicht das Bearbeiten dieses Lesezeichens und das Erstellen zusätzlicher Lesezeichen in der gleichen Domäne. HINWEIS: Beachten Sie beim Konfigurieren von Lesezeichen Folgendes: Sie können Lesezeichen nur Rollen zuweisen, die Sie bereits dem Ressourcenprofil zugeordnet haben. Sie können sie nicht allen Rollen im IVE zuweisen. Um die Liste der dem Ressourcenprofil zugeordneten Rollen zu ändern, verwenden Sie die Einstellungen auf der Registerkarte Roles des Profils. Die Lesezeichen legen im Grunde genommen nur fest, welche Links das IVE den Benutzern anzeigt. Sie legen nicht die Ressourcen fest, auf die der Benutzer zugreifen kann. Wenn Sie beispielsweise den Zugriff auf ein Windows-Verzeichnis gewähren, aber kein Lesezeichen für dieses Verzeichnis erstellt haben, können die Benutzer über den Windows Explorer auf das Verzeichnis zugreifen. Sie können keine Lesezeichen erstellen, die auf zusätzliche durch Auto-Richtlinien für die Dateizugriffssteuerung definierte Server verweisen. Wenn Sie zum Verweisen auf eine Dateiverknüpfung ein Lesezeichen verwenden, zeigt das IVE nur Lesezeichen mit Verknüpfungen zu Dateien oder Ordnern auf einer Netzwerkfreigabe (z.B. \\server5\share\users\jdoe\file.txt) an. Das IVE zeigt jedoch keine Lesezeichen mit Verknüpfungen zu lokalen Verzeichnissen an (z.B. C:\users\jdoe\file.txt). Weitere Informationen über Lesezeichen für Ressourcenprofile finden Sie unter „Definieren von Lesezeichen“ auf Seite 82. So konfigurieren Sie Lesezeichen für Dateiressourcenprofile: 1. Wenn Sie Lesezeichen für Ressourcenprofile über die standardmäßige Ressourcenprofilseite erstellen möchten, gehen Sie folgendermaßen vor: a. Navigieren Sie zur Seite Users > Resource Profiles > Files > Ressourcenprofil auswählen > Bookmarks in der Administratorkonsole. b. Klicken Sie in der Spalte Bookmark auf den entsprechenden Link, wenn Sie ein vorhandenes Lesezeichen bearbeiten möchten. Oder klicken Sie auf New Bookmark, um ein zusätzliches Lesezeichen zu erstellen. Wenn Sie stattdessen ein Lesezeichen für Ressourcenprofile über die Seite mit den Benutzerrollen erstellen möchten, gehen Sie folgendermaßen vor: a. Navigieren Sie zur Seite Users > User Roles > Rolle auswählen> Files > Windows Bookmarks|Unix Bookmarks in der Administratorkonsole. b. Klicken Sie auf New Bookmark. c. Wählen Sie in der Liste Type File Resource Profile aus. (Das IVE zeigt diese Option nur an, wenn Sie zuvor ein Dateiressourcenprofil erstellt haben.) Definieren von Ressourcenprofilen: Neuschreiben von Dateien 407 Juniper Networks Secure Access – Administratorhandbuch d. Wählen Sie ein Ressourcenprofil. e. Klicken Sie auf OK. (Wenn Sie die ausgewählte Rolle noch dem Ressourcenprofil zugeordnet haben, führt das IVE diese Zuordnung automatisch aus.) Das IVE aktiviert zudem alle vom Ressourcenprofil geforderten Zugriffssteuerungsrichtlinien für die Rolle.) f. Wenn diese Rolle noch nicht dem ausgewählten Ressourcenprofil zugeordnet ist, zeigt das IVE eine entsprechende Meldung an. Wenn diese Meldung angezeigt wird, klicken Sie auf Save Changes, um diese Rolle der Liste mit den Rollen des Ressourcenprofils hinzuzufügen und die Auto-Richtlinien des Profils entsprechend zu aktualisieren. Wiederholen Sie anschließend die vorangegangenen Schritte, um das Lesezeichen zu erstellen. HINWEIS: Wenn Sie ein Lesezeichen für ein Ressourcenprofil über die Seite mit den Benutzerrollen erstellen (anstatt über die standardmäßige Ressourcenprofilseite), ordnet das IVE nur das generierte Lesezeichen der ausgewählten Rolle zu. Das IVE weist das Lesezeichen nicht allen Rollen zu, die dem ausgewählten Ressourcenprofil zugeordnet sind. 2. Ändern Sie bei Bedarf den Namen und die Beschreibung des Lesezeichens. (In der Standardeinstellung füllt das IVE die Namen des Lesezeichens unter Verwendung des Ressourcenprofilnamens auf.) 3. Fügen Sie im Feld File Browsing Path der Ressource ein Suffix hinzu, wenn Sie Links zu Unterverzeichnissen der im primären Ressourcenprofil definierten Ressource erstellen möchten. Informationen zu Systemvariablen und Attributen, die in das Lesezeichen integriert werden, finden Sie unter „Verwendung von Systemvariablen in Bereichen, Rollen und Ressourcenrichtlinien“ auf Seite 929. HINWEIS: Geben Sie in dieses Feld einen eindeutigen Server und einen eindeutigen Pfad ein. Werden zwei Lesezeichen erstellt, die dieselbe verkettete Zeichenfolge für Server und Pfad beinhalten, löscht das IVE eines der Lesezeichen aus der Endbenutzeransicht. Die beiden Lesezeichen können nach wie vor angezeigt werden, jedoch nur in der Administratorkonsole. 4. Wählen Sie im Abschnitt Appearance eine der folgenden Optionen aus: 408 Appear as bookmark on homepage and in file browsing – Wählen Sie diese Option, wenn das Lesezeichen sowohl auf der Willkommensseite des Benutzers als auch beim Navigieren durch Netzwerkdateien angezeigt werden soll. Appear in file browsing only – Wählen Sie diese Option, wenn das Lesezeichen dem Benutzer nur beim Navigieren durch Netzwerkdateien angezeigt werden soll. Definieren von Ressourcenprofilen: Neuschreiben von Dateien Kapitel 15: Neuschreiben von Dateien 5. Wenn Sie das Lesezeichen über die Ressourcenprofilseiten konfigurieren, geben Sie unter Roles die Rollen an, für die Sie das Lesezeichen anzeigen möchten: ALL selected roles – Wählen Sie diese Option, um das Lesezeichen für alle dem Ressourcenprofil zugeordneten Rollen anzuzeigen. Subset of selected roles – Wählen Sie diese Option, um das Lesezeichen einem Teil der dem Ressourcenprofil zugeordneten Rollen anzuzeigen. Wählen Sie anschließend aus der Liste ALL Selected Roles Rollen aus, und klicken Sie auf Add, um die Rollen in die Liste Subset of selected roles zu verschieben. 6. Klicken Sie auf Save Changes. Definieren von Rolleneinstellungen: Windows-Ressourcen Sie können Lesezeichen für Windows-Dateien auf zwei verschiedene Arten erstellen: Create bookmarks through existing resource profiles (recommended) – Bei dieser Methode füllt das IVE das Lesezeichen automatisch mit Schlüsselparametern auf (z.B. der primäre Server und die primäre Freigabe). Dabei werden die Einstellungen aus dem Ressourcenprofil verwendet. Darüber hinaus führt Sie das IVE beim Erstellen des zugeordneten Ressourcenprofils auch durch den Erstellvorgang aller erforderlichen Richtlinien für die Aktivierung des Zugriffs auf das Lesezeichen. Konfigurationsanweisungen finden Sie unter „Definieren eines Dateilesezeichens“ auf Seite 407. Create standard bookmarks – Wenn Sie diese Option wählen, müssen Sie alle Lesezeichenparameter während der Konfiguration manuell eingeben. Darüber hinaus müssen Sie den Zugriff auf die Datei gewähren, indem Sie zur Rollenebene navigieren und Ressourcenrichtlinien erstellen, die den Zugriff auf die im Lesezeichen definierten Server ermöglichen. Konfigurationsanweisungen finden Sie unter „Erstellen von erweiterten Lesezeichen für Windows-Ressourcen“ auf Seite 410. Sie können Windows-Lesezeichen erstellen, die für dieser Rolle zugeordnete Benutzer auf der Willkommensseite angezeigt werden. Sie können den IVEBenutzernamen des Benutzers in den URL-Pfad einfügen, um so einen schnellen Zugriff auf die Netzwerkverzeichn