Benutzerverwaltung
Zur Benutzerverwaltung erfolgt die Anmeldung als Benutzer maint in der Konsole.
Hinweis: Die hier aufgeführten Einstellungen als Administrator maint betreffen einzelne Benutzer oder Benutzergruppen. Globale Einstellungen grundsätzlicher Natur werden durch den Administrator config in den jeweiligen Menüs vorgenommen, dort können auch Vorgaben für bestimmte Einstellungen gemacht werden.
| maint | |
| Menüpunkt | Beschreibung |
| Ende | Abmeldung vom System als Administrator maint. |
| Benutzerverwaltung | Detaillierte Einstellungen bezüglich der Benutzer von TightGate™-Pro: Passworte, Quota, Benutzer anlegen und löschen, weitere benutzerorientierte Einstellungen. |
| Gruppenverwaltung | Einstellungen bezüglich Benutzergruppen. |
| Passwort-Optionen | Einstellungen zu Ablaufzeiten und Passwort-Historie. |
| Webseiten-Filter | Filteroptionen bezüglich URLs und Domänen. |
| Wartungs-Betrieb | Systemwartung bei Benutzern ankündigen und TightGate™-Pro in den geplanten Wartungsbetrieb schalten. Sobald diese Option aktiviert ist, erhalten angemeldete Benutzer in regelmäßigen Abständen ein Hinweisfenster mit Informationen auf eine bevorstehende Systemwartung (Verbund: Beginn 50 Minuten vor der geplanten Wartung, Wiederholung alle 10 Minuten; Einzelsystem: Beginn 2 Stunden vor der geplanten Wartung, Wiederholung alle 30 Minuten). In einem Rechnerverbund (Cluster) wird der jeweilige Einzelrechner (Node) bereits eine Stunde vor dem Wartungstermin aus dem Cluster ausgekoppelt, sodass die automatische Lastverteilung keine weiteren Anmeldungen auf diesem Rechner mehr gestattet. Der Administrator kann angemeldete Benutzer zwangsweise abmelden. Im Fall von Änderungen, die den Abbruch laufender Benutzersitzungen zur Folge hätten, erhält der Administrator vor der Ausführung einen entsprechenden Warnhinweis. |
| VNC-Anmeldung deaktivieren | Wird diese Option gewählt, sind über bereits bestehende Verbindungen hinaus keine weiteren Anmeldungen an TightGate™-Pro möglich. Bestehende Verbindungen werden gehalten. Diese Option kann beispielsweise im Zusammenhang mit einer geplanten Systemwartung verwendet werden. |
| GnuPG ID | Einstelloptionen im Zusammenhang mit einem zentralen GnuPG-Schlüssel. |
| Neustart | Einmaliger Reboot von TightGate™-Pro sofort oder zu einer bestimmten Uhrzeit. |
| Neustart abbrechen | Löschung eines geplanten Neustarts. |
| Herunterfahren | Kontrolliertes Herunterfahren und Abschalten von TightGate™-Pro. |
| Fernwartungsverbindung auf | Öffnet einen Fernwartungstunnel zur Unterstützung durch den technischen Kundendienst der m-privacy GmbH. Achtung: Die Konfiguration des Fernwartungstunnels erfolgt durch den Administrator config. Warnung: Unsachgemäße Konfiguration und Verwendung von Fernwartungszugängen können Betriebsstörungen hervorrufen und die Sicherheit von TightGate™-Pro sowie angeschlossener Netzwerke gefährden. Erforderlichenfalls sollte der technische Kundendienst der m-privacy GmbH konsultiert werden. |
| Fernwartungsverbindung zu | Sofortige Unterbrechung der bestehenden Fernwartungsverbindung. |
| Fernwartungsverb. Status | Anzeige des Status der Fernwartungsverbindung. |
| SSH Admin auf | Öffnet für den begrenzten Zeitraum von einer Stunde einen SSH-Zugang für die Administratoren root oder security. Warnung: Unsachgemäße Konfiguration und Verwendung von Fernwartungszugängen können Betriebsstörungen hervorrufen und die Sicherheit von TightGate™-Pro sowie angeschlossener Netzwerke gefährden. Erforderlichenfalls sollte der technische Kundendienst der m-privacy GmbH konsultiert werden. |
| SSH Admin zu | Weitere Anmeldungen als root oder security über SSH werden ab sofort nicht mehr zugelassen. |
| SSH Admin Status | Anzeige des Status der SSH-Admin-Zulassung. |
| Maint-Passwort | Ändern des Zugangspassworts für den Administrator maint. Hinweis: Die Zugangskennung lautet immer „maint” und kann nicht geändert werden. |
Benutzer anlegen und verwalten
In dieser Sektion können reguläre Benutzer angelegt, gelöscht, Passworte neu vergeben und die benutzerspezifischen Einstellungen geändert werden.
Für das Anlegen eines neuen Benutzers ist zumindest ein Benutzername notwendig. Vor- und Nachname sind optional. Das als maint vergebene Initialpasswort soll der Benutzer möglichst schon nach dem ersten Login ändern. Wenn die entsprechenden Passwort-Optionen voreingestellt sind, wird der Benutzer automatisch vom System aufgefordert, dieses innerhalb einer vorgegebenen Zeitspanne zu ändern. Das Anlegen von neuen Benutzern geschieht in der Benutzerverwaltung, welche im Folgenden erklärt wird.
Bei Cluster-Systemen gelten alle Benutzereinstellungen grundsätzlich für den gesamten Cluster.
| maint > Benutzerverwaltung | |
| Menüpunkt | Beschreibung |
| Zurück | Rückkehr zum Hauptmenü. |
| Ablaufende Zugänge | Anzeige aller abgelaufenen oder in den nächsten 30 Tagen ablaufenden Benutzerzugänge. |
| Ablaufende Passwörter | Anzeige aller abgelaufenen oder in den nächsten 30 Tagen ablaufenden Benutzer-Passwörter. |
| Quota-Engpässe | Anzeige von Konten mit knappem Festplattenspeicherplatz. |
| Benutzer ändern | Grundlegende, benutzerindividuelle Einstellungen |
| Neuer Benutzer | Die Eingabe eines Benutzernamens ist notwendige Voraussetzung zum Anlegen eines neuen Benutzers. Es können nur Benutzernamen mit Kleinbuchstaben angelegt werden. |
| Importiere Benutzer | Hier können Benutzer über eine CSV-Datei importiert werden. Die Datei muss im Transferverzeichnis des Benutzers config liegen. Je nach Systemleistung ist für den Import ausreichend Verarbeitungszeit einzukalkulieren (> 60 Min. pro 1000 Benutzerkonten). |
| Regeneriere Benutzer | Zurücksicherung von Benutzerkonten aus einem Backup. Die Sicherungsdatei muss sich auf einer lokalen Partition oder einer angeschlossenen USB-Festplatte befinden. |
| Lösche Benutzer | Entfernen von Benutzern aus dem System und Löschung aller Daten des Benutzers (Löschung des Home-Verzeichnisses und aller darin abgespeicherten Daten). |
| Inaktive Benutzer | Über diesen Menüpunkt können Benutzer, die über einen bestimmten Zeitraum nicht angemeldet waren, gelöscht werden. Der Zeitraum in Tagen ist frei wählbar. |
| Datei-Transfer | Erlaubnis für einzelne Benutzer oder Benutzergruppen, den Dateitransfer verwenden zu dürfen. Mit der Freischaltung des Dateitransfers steht dem jeweiligen Benutzer bzw. den Mitgliedern freigegebener Gruppen die Möglichkeit offen, Daten über das SFTP-Protokoll (z.B. über das von m-privacy erhältliche Schleusen-Klienten-Programm) zu transferieren. Die Übertragung kann auf bestimmte Dateitypen beschränkt werden. |
| Ungefiltertes Web | Auswahl derjenigen Benutzer oder Benutzergruppen, die den Inhaltsfilter-Proxy auf TightGate™-Pro umgehen dürfen. Diese Benutzer bzw. die Mitglieder freigegebener Gruppen erhalten vollen Zugriff auf das Internet ohne inhaltliche Einschränkungen. Die Einstellung des Inhaltsfilters selbst kann nur vom Administrator config vorgenommen werden. |
| Audio-Unterstützung | Berechtigung für einzelne Benutzer zur Audio-Übertragung vom TightGate™-Pro-System zum Klienten. Achtung: Zur Nutzung der Audio-Dienste sind neben dieser Einstellung noch weitere Voraussetzungen am Arbeitsplatzrechner und ggf. an einer zwischengeschalteten Firewall zu erfüllen. |
| Privilegierter Zugang | Auswahl der Benutzer oder Benutzergruppen, die einen bevorrechtigten Zugang zu TightGate™-Pro erhalten sollen. Hinweis: Privilegierte Klienten können auch anhand von IPv4-Adressen von Arbeitsplatzstationen oder Netzwerken, die privilegierten Zugang zu TightGate™-Pro erhalten sollen, definiert werden. In diesem Fall sind alle Klienten privilegiert, deren Arbeitsplatzrechner eine IPv4-Adresse in einem der referenzierten Netzwerke trägt. Dies geschieht in den Einstellungen als Administrator config. Hinweis: TightGate™-Pro unterscheidet zwei Grenzen, bis zu denen Benutzeranmeldungen zugelassen werden. Diese werden in der Lizenz zu TightGate™-Pro hinterlegt und sind ausschließlich durch den technischen Kundendienst der m-privacy GmbH veränderbar. Die erste Grenze bezeichnet die Zahl regulärer Benutzer, die zweite Grenze bezeichnet die Zahl der privilegierten Benutzer. Sobald die Zahl zulässiger regulärer Nutzer erreicht ist, werden nur noch privilegierte Nutzer zugelassen - vorausgesetzt, deren Zahl ist noch nicht erreicht. Nach Ausschöpfung der zweiten Grenze wird jeder weitere Verbindungsversuch eines Klienten an TightGate™-Pro mit einer entsprechenden Fehlermeldung abgewiesen. |
| Auto-Zwischenablage | Auswahl der Benutzer oder Benutzergruppen, für die das Programm zur Nutzung der Zwischenablage automatisch gestartet werden soll. Sollte der Start nicht automatisch erfolgen, muss dies vom Benutzer in der grafischen Oberfläche nachgeholt werden, bevor die Zwischenablage genutzt werden kann. Hinweis: Ist die Nutzung der Zwischenablage durch config systemweit abgeschaltet, bleibt diese Option ohne Wirkung. |
| Typ / Profil ändern | Auswahl des jeweiligen Profils für Benutzer oder Benutzergruppen. |
| Profil zurücksetzen | Auswahl der Benutzer oder Benutzergruppen, deren Profil auf Standardwerte zurückgesetzt werden soll. |
| Prozesse beenden | Auswahl einer Benutzerkennung, für die alle Prozesse beendet werden sollen. Diese Funktion dient als Notbehelf, falls ein Benutzer Applikationen nicht mehr starten oder schließen kann. Warnung: Diese Funktion sollte nur nach Rücksprache mit den betroffenen Benutzern verwendet werden, da unter Umständen Daten verloren gehen können. |
| Massen-SSL-Schlüssel | Ein Assistent erzeugt eine beliebige Anzahl von SSL-Zertifikaten zur SSO-Anmeldung an TightGate™-Pro im Voraus. Diese können auf Arbeitsplatzstationen verteilt werden und ermöglichen in Verbindung mit dem passenden Viewer und dem Schleusenprogramm der m-privacy GmbH eine zertifikatsbasierte Anmeldung an TightGate™-Pro. Es kann ein beliebiges Präfix vorgegeben werden, fortlaufende Kennungen werden automatisch ergänzt. Hinweis: Die erzeugten Zertifikate müssen mit der Option Export. SSL-Schlüssel exportiert werden. Erst dann befinden sie sich im Transferverzeichnis des Administrators config (/home/config/transfer). Sie können dort per SFTP abgeholt und auf die Arbeitsplatzrechner verteilt werden. Achtung: Diese Option beinhaltet nicht das Anlegen der zugehörigen Benutzerkonten, ohne die eine Anmeldung auch mit gültigem Zertifikat nicht möglich ist. Diese müssen entweder manuell oder nach expliziter Konfiguration über TightGate™-Pro automatisch generiert werden. Hierzu bestehen mehrere Optionen. Die notwendigen Einstelloptionen können als Administrator config global in den Einstellungen gewählt werden. |
| Erzeuge SSL-Schlüssel | Diese Option erzeugt SSL-Zertifikate zum Single Sign-on an TightGate™-Pro für bereits bestehende Benutzerkonten oder für die Mitglieder von Benutzergruppen. Hinweis: Die erzeugten Zertifikate müssen mit der Option Export. SSL-Schlüssel exportiert werden. Erst dann befinden sie sich im Transferverzeichnis des Administrators config. (/home/config/transfer). Sie können dort per SFTP abgeholt und auf die Arbeitsplatzrechner verteilt werden. |
| Export. SSL-Schlüssel | Auswahl und Export generierter Zertifikate zu bestehenden Benutzerkonten. Diese befinden sich anschließend im Transferverzeichnis des Administrators config. Sie können dort per SFTP abgeholt und auf die Arbeitsplatzrechner verteilt werden. |
| Rückruf Zertifikat | Zertifikate, die nicht länger benötigt werden oder ungültig sein sollen, können mit dieser Option widerrufen werden. Hinweis: Ein einmal widerrufenes Zertifikat kann nicht mehr reaktiviert werden. Wird für die betreffende Benutzerkennung erneut ein SSL-Zertifikat benötigt, ist ein solches neu auszustellen, zu exportieren und zu verteilen. |
Hinweis: Alle Einstellungen werden ohne Neustart sofort wirksam. Sanft Anwenden ist nicht notwendig.
Benutzergruppen anlegen und verwalten
Benutzergruppen rationalisieren die Verwaltung von Benutzern mit gemeinsamen Einstellungen bzw. Berechtigungen. Auf TightGate™-Pro können beliebige Gruppen definiert und anschließend einzelne Benutzer diesen Gruppen zugeordnet werden. Beispiel für eine Gruppe wäre z.B. die Gruppe schleuse, in der alle Benutzer mit speziellen Datei-Transferberechtigungen zusammengefasst werden. Die Arbeit mit Benutzergruppen erfolgt als Administrator maint unter dem Menüpunkt Gruppenverwaltung.
Achtung: Benutzer-Gruppen auf TightGate™-Pro dienen nur der gemeinsamen Behandlung mehrerer Benutzer, darüber vorgenommene Einstellungen werden immer an den einzelnen Benutzern gesetzt!
In folgenden Schritten wird eine neue Gruppe angelegt, ein Benutzer hinzugefügt sowie der Gruppe ein spezielles Recht vergeben.
- Gruppe anlegen und Gruppenname vergeben: Gruppenverwaltung > Neue Gruppe
- Benutzer hinzufügen: Menüpunkt Benutzer in Gruppe - es können beliebig viele Benutzer zu einer Gruppe hinzugefügt werden. Es ist ebenfalls möglich über den Menüpunkt Gruppe zu Benutzer die bestehenden Benutzer in einzelne Gruppen zu sortieren.
- Rechte zuweisen: Sind die Benutzer den Gruppen zugeordnet, können nun der Gruppe (und damit allen ihr zugehörigen Benutzern) spezielle Rechte vergeben werden.
Alle Einstellungen werden ohne Neustart sofort wirksam. Sanft anwenden ist nicht erforderlich.
Passwortoptionen
Die Menüfunktion Passwort-Optionen steht dem Administrator maint im Hauptmenü zu Verfügung. Sie erlaubt Regelungen zum Gebrauch von Passwörtern und Zugangsberechtigungen, sofern die interne Benutzerverwaltung von TightGate™-Pro verwendet wird. Das Initialpasswort eines neuen Benutzers ist nicht an die Mindestvorgaben für Passwörter gebunden, es kann beispielsweise einfacher zusammengesetzt sein.
Warnung: Es sollte im Interesse der allgemeinen Systemsicherheit darauf geachtet werden, dass Benutzer möglichst bereits beim ersten Anmelden zu einer Passwortänderung aufgefordert werden, falls ein einfaches Initialpasswort gesetzt wurde. Der Menüpunkt Initiale Ablaufzeit gestattet die Festlegung des Zeitraums, über den das Initialpasswort höchstens gelten soll.
| maint > Passwort-Optionen | |
| Menüpunkt | Beschreibung |
| Zurück | Rückkehr zum Hauptmenü. |
| Speichern | Speichern und Anwenden der neuen Einstellungen auf bestehende Benutzer sowie Setzen dieser Einstellungen als Voreinstellungen für neue Benutzer. |
| Initiale Ablaufzeit | Gibt an, nach wie vielen Tagen das Initialpasswort geändert werden muss. Wird das Initialpasswort nicht innerhalb der festgelegten Zeit geändert, so wird der Benutzerzugang gesperrt und es muss ein neues Initialpasswort durch maint vergeben werden. |
| Ablaufzeit | Gültigkeitsdauer eines regulären Passwortes. Nach Ablauf der eingestellten Zeitspanne muss der Benutzer sein Passwort ändern, bevor eine Anmeldung an TightGate™-Pro erfolgt. |
| Min. Ablaufzeit | Mindestgültigkeit für Passwörter. Eine Änderung vor Ablauf dieser Frist ist nicht möglich. Standardwert ist 0 Tage. |
| Warn-Periode | Gibt an, wie viele Tage vor Ablauf eines Passwortes Benutzer einen Hinweis erhalten, dass das Passwort in Kürze ungültig wird. Der Hinweis zur Änderung des Passworts wird bei jeder Anmeldung ausgegeben. |
| Min. Passwort-Länge | Festlegung der Mindestlänge für Benutzerpasswörter. Kürzere Passwörter als hier angegeben werden vom System nicht akzeptiert. Warnung: Im Sinne der grundlegenden Sicherheit von Passwörtern sollte ein Passwort mindestens sechs Zeichen lang sein. Die Voreinstellung beträgt 8 Zeichen. Achtung: Das Initialpasswort, das vom Administrator maint vergeben wird, kann als einzige Ausnahme kürzer sein. Es ist darauf zu achten, eine sinnvolle Initiale Ablaufzeit zu wählen und Benutzer somit zeitnah zur Änderung des Initialpassworts aufzufordern. |
| Passwort-Historie | TightGate™-Pro verhindert die erneute Verwendung bereits abgelaufener Passworte in der hier angegebenen Tiefe. Versucht ein Benutzer, ein bereits verwendetes Passwort erneut zu setzen, obwohl es noch in der Passwort-Historie enthalten ist, wird das Passwort mit einer Fehlermeldung abgelehnt. |
Achtung: Nachdem alle Änderungen an den Passwort-Optionen vorgenommen wurden, müssen diese über den Menüpunkt Speichern gesichert werden. Damit werden die neuen Einstellungen auf alle bestehenden und zukünftigen Benutzer angewendet. Sanft Anwenden ist nicht erforderlich.
Benutzer importieren
TightGate™-Pro kann Benutzerangaben aus einer vordefinierten Liste importieren. Den Benutzern können dabei verschiedene Merkmale übergeben werden. Die Importfunktion ist nur zur Datenübernahme für neue Benutzerkonten geeignet. Merkmale bestehender Benutzerkonten können über den Listenimport nicht verändert werden.
Import von Benutzern über eine Liste
Vorgehensweise:
- Spezifikationsgerechte Liste mit Benutzerangaben bereitstellen (vgl. folgender Abschnitt)
- Hinterlegung der Liste per WinSCP (oder einem anderen Programm mit SFTP-Protokoll) mit dem Administrator config in das Verzeichnis /home/config/transfer. Bei CC-Systemen erfolgt die Übertragung als Administrator transfer.
- Anmeldung am TightGate™-Pro als Administrator maint,
Auswahl von Benutzerverwaltung > Importiere Benutzer.
- Auswahl einer CSV-Datei, aus der die Benutzerangaben importiert werden sollen.
- Die Benutzerangaben werden importiert. Dabei entstehen neue Benutzerkonten. Nach Abschluss des Imports erfolgt eine Zusammenfassung über importierte Benutzerdaten, nicht importierte Benutzerdaten und aufgetretene Fehler.
Hinweis: Alle Änderungen sind nach dem Import sofort wirksam. Neue Benutzer können sich unmittelbar anmelden. Bei Cluster-Systemen kann eine kurze Wartezeit von ca. 3 Min. erforderlich sein, bis die Benutzerkonten auf alle Knoten verteilt wurden.
Spezifikation der Liste für den Import
Eine Liste für den Benutzerimport in TightGate™-Pro muss folgende Anforderungen erfüllen:
- Die CSV-Datei muss die Endung .csv haben
- Trennzeichen der Felder in der CSV-Datei ist das Semikolon (;)
- Zeichenkette, z.B. Namen, in der CSV-Datei werden durch Anführungszeichen (”) abgegrenzt,
Zahlenwerte werden ohne Anführungszeichen angegeben
- Die CSV-Datei darf keine Tabellenüberschrift enthalten
- Es sind in der CSV-Datei keine Umlaute (öäüß) oder Sonderzeichen (,.-;:_’`´) erlaubt
Die CSV-Datei hat folgenden schematischen Aufbau:
| Benutzername | Klarname | Passwort | Dateitransfer | Ungefiltertes Web | Sound | Clipboard | Profil |
| 0 = nicht erlaubt 1 = erlaubt | 0 = gefiltertes Web 1 = ungefiltertes Web | 0 = aus 1 = an | 0 = verboten 1 = erlaubt | 0 = Voll 1 = Browser 2 = Browser2 3 = Custom 4 = Minimal 5 = OEM 6 = Winzig |
Eine Zeile aus einer CSV-Datei könnte demnach folgendermaßen aussehen:
“eka1”;”Erika Mustermann”;”geheim”;0;0;0;0;1
Hinweis: Es werden nur neue Benutzer anhand des Benutzernamens importiert. Werte bestehender Benutzer werden nicht aktualisiert oder verändert. Nach dem Import wird eine Zusammenfassung mit Ergebnisbilanz auf dem Bildschirm angezeigt.
Single Sign-on (SSO) mit TightGate-Pro
TightGate™-Pro unterstützt die zertifikatsbasierte Anmeldung ohne Eingabe von Benutzername und Passwort für die Klienten-Betriebssysteme Windows und Linux.
Folgende Voraussetzungen sind zur Nutzung der zertifikatsbasierten Anmeldung zu erfüllen:
- Das TightGate™-Pro-System muss sich auf dem aktuellem Softwarestand befinden.
- Die Nutzung des seitens der m-privacy GmbH bereitgestellten Viewer- und Schleusenprogramms für SSO ist obligatorisch.
- Ein auflösbarer DNS-Name, unter dem TightGate™-Pro aus dem internen Netz angesprochen werden kann, muss vorhanden sein.
Vorbereitungen zur Zertifikatsnutzung
- Anmeldung als config
- Eintragung des auflösbaren DNS-Namens für das betreffende System
unter Einstellungen > SSL-Name im Zertifikat
- Speichern und Sanft anwenden durchführen.
Hinweis: Der unter SSL-Name im Zertifikat eingetragene Hostname wird im jeweiligen Zertifikat als Common Name (CN) hinterlegt. Wird der Hostname in der SSL CN geändert, so sind alle Klientenzertifikate neu zu generieren und an die Klienten zu verteilen (oder zumindest auf allen Klienten die Konfigurationsdateien anzupassen). Vor der Erstellung der Klientenzertifikate und deren Verteilung empfiehlt es sich unbedingt, sorgfältig auf Eintragung des richtigen Hostnamens zu achten.
Zertifikate für bestehende Benutzer erzeugen
- Anmeldung als maint .
- Unter Benutzerverwaltung > Erzeuge SSL-Schlüssel für einzelne Gruppen oder alle Benutzer (Gruppe Everyone) SSL-Zertifikate erzeugen.
- Über Menüpunkt Export. SSL-Schlüssel die erzeugten Klientenzertifikate in das Transferverzeichnis von config kopieren.
Zertifikate auf Klienten verteilen
- Aufbau einer SFTP-Verbindung von einem Arbeitsplatzrechner zu TightGate™-Pro (unter Windows wird WinSCP empfohlen).
- Anmeldung als config, Wechsel ins Transfer-Verzeichnis „certs”. Dort befindet sich jeweils ein Ordner mit dem Namen eines jeden angelegten Benutzers mit einer Reihe von Zertifikaten und Konfigurationsdateien. Diese sind im Profil des betreffenden Windows-Benutzers zu hinterlegen. Dazu sind sie nach %APPDATA%/vnc / zu kopieren.
Hinweis: Das Verfahren bezieht sich auf die Anmeldung eines Zugangs pro Benutzer. Falls ein Benutzer mehrere unterschiedliche Zugänge zeitgleich anmelden möchte, sind geringfügige Anpassungen der Konfiguration erforderlich. Der technische Kundendienst der m-privacy GmbH leistet im Bedarfsfall kompetente Unterstützung.
Viewer- und Schleusenprogramm installieren und nutzen
Im Vorfeld des letzten Schritts muss der aktuelle Viewer und das aktuelle Schleusenprogramm der m-privacy GmbH auf dem Klientenrechner installiert sein. Mit einem Doppelklick auf das Icon Internet auf dem Desktop öffnet sich eine Verbindung zum TightGate™-Pro. Sind passende Zertifikate auf dem Klienten hinterlegt, wird der Benutzer automatisch angemeldet. Analog verhält es sich mit dem Schleusenprogramm. Es kann mit einem Doppelklick auf das Icon Schleuse für den betreffenden Benutzer geöffnet werden.
Hinweise:
Die Nutzung der Dateischleuse mit SSO erfordert zwingend eine vorangehende, einmalige SSO-Anmeldung über den Viewer an TightGate™-Pro. In allen folgenden Sitzungen kann die Schleuse wahlweise auch vor dem Viewer oder exklusiv gestartet werden. Bei Clustersystemen ist die Nutzung der Dateischleuse nach einer Wartezeit von ca. 10 Minuten nach der erstmaligen SSO-Anmeldung über den Viewer an TightGate™-Pro möglich. Die Wartezeit entfällt bei allen folgenden Anmeldevorgängen, solange das verwendete Zertifikat dasselbe bleibt. Nach jedem Zertifikatwechsel ist eine erneute initiale Anmeldung (mit Wartezeit in Clustersystemen) erforderlich, bevor die Dateischleuse genutzt werden kann.
Auflösung des Servernamens: Sofern sich im Klientennetzwerk ein DNS-Server befindet, muss dieser den Klientenrechnern zugänglich sein und den Servernamen des TightGate™-Pro-Servers auflösen. Sollte dies nicht der Fall sein, ist ein manueller Eintrag der Verknüpfung des Servernamens mit der zugehörigen IPv4-Adresse in der „hosts”-Datei des Betriebssystems des Klientenrechners unbedingt erforderlich. Diese Konfigurationsdatei befindet sich unter Microsoft Windows in %systemroot% > system32 > divers > etc und in Apple Mac OS X unter /etc/hosts; sie kann mittels eines Texteditors mit erweiterten Systemrechten editiert werden. Ohne eine Auflösung des Servernamens zur expliziten IPv4-Adresse ist die Nutzung von Single Sign-on an TightGate™-Pro nicht möglich.
Zertifikate widerrufen
Der Administrator maint kann unter dem Menüpunkt Einstellungen > Rückruf Zertifikat die Zertifikate einzelner Benutzer widerrufen. Nach einem Widerruf ist eine Anmeldung mit den dann ungültigen Zertifikaten weder über Viewer noch über die Schleuse möglich.
Hinweise: Widerrufene Zertifikate können nicht entsperrt oder reaktiviert werden. Nötigenfalls sind neue Zertifikate zu erzeugen und wie oben angegeben abzurufen und zu verteilen. In Clustersystemen wird die Sperre nach einer Wartezeit von ca. 10 Minuten für die Anmeldung des Viewers und die Nutzung der Dateischleuse wirksam.
Achtung: Bereits aufgebaute Verbindungen bleiben im Fall einer Zertifikatssperre bis zur manuellen oder automatischen Abmeldung vom System bestehen. Dies betrifft den Viewer und die Nutzung der Dateischleuse gleichermaßen.
Zertifikate auf Vorrat erzeugen
Alternativ zur Zertifikatserzeugung für bereits vorhandene Benutzerkennungen können Benutzerzertifikate auch in beliebigen Kontingenten im Voraus erzeugt werden. Benutzer können sich damit auch ohne Benutzeraccount an TightGate™-Pro anmelden. Dieser wird im Zuge des ersten Anmeldevorgangs automatisch generiert, was den Administrationsaufwand vermindert.
Vorbereitende Maßnahmen:
- Anmeldung als Administrator config
- Unter Einstellungen > Authentisierungsmethode zusätzlich den Menüpunkt Benutzerverz. automatisch auf „ja” setzen, falls sich die Benutzer mit den neuen Zertifikaten sofort anmelden sollen.
- Speichern und Sanft anwenden.
Die Benutzerzertifikate können als maint unter dem Menüpunkt Einstellungen > Massen-SSL-Schlüssel erzeugt werden. Es startet ein Assistent, der ein Präfix und die Anzahl zu erzeugender Zertifikate abfragt. Der Präfix bildet den konstanten Teil des späteren Benutzernamens, ergänzt um eine laufende Nummer. Diese beginnt bei einem wählbaren Wert und endet bei der Anzahl der zu erzeugenden Zertifikate. Die erzeugten Zertifikate werden automatisch in das Transfer-Verzeichnis von config kopiert und können dort abgeholt und verteilt werden, wie im Abschnitt „Zertifikate auf Klientenverteilen” beschrieben.
Hinweise:
- Die automatisch generierten Benutzernamen legen bei der ersten Anmeldung mit dem erzeugten Zertifikat eine gleichlautende Benutzerkennung (Benutzerkonto, Account) auf TightGate™-Pro an. Diese kann nachträglich nicht verändert werden.
- Es wird keine Benutzerkennung (Account) auf TightGate™-Pro erzeugt, solange ein Zertifikat nur generiert, jedoch noch nicht zur Anmeldung an TightGate™-Pro verwendet wurde. Die Benutzerverwaltung von TightGate™-Pro enthält damit stets nur solche Kennungen, die tatsächlich bereits zur Anmeldung verwendet wurden - unabhängig von der Zahl der im Voraus erzeugten Zertifikate.