?
 
Sie befinden sich hier: start » tightgate-pro » benutzerverwaltung » sso

Handbücher

TightGate-Firewall

TightGate-Pro

TightGate-Pro Benutzer

TightGate-Mailserver

TightGate-Webserver

TightGate-Printserver

FAQ

PseudoDat

back_to_menu.jpg

Single Sign-on (SSO) mit TightGate-Pro

Single Sign-on (SSO) mit TightGate™-Pro zur personalisierten Anmeldung an TightGate™-Pro ohne die Eingabe von Benutzername und Passwort

TightGate™-Pro unterstützt eine zertifikatsbasierte Anmeldung für die Betriebssysteme Windows und Linux.

Die nachfolgende Anleitung beschreibt die zertifikatsbasierte Anmeldung für Windows-Systeme, wahlweise für bereits auf TightGate™-Pro bestehende Benutzer oder solche ohne Benutzerkennung auf TightGate™-Pro. Zur Einbindung Linux-basierter Systeme bietet die m-privacy GmbH im Bedarfsfall weitergehende Anwenderunterstützung an.

Folgende Voraussetzungen sind für die Nutzung der zertifikatsbasierten Anmeldung zu erfüllen:

  1. TightGate™-Pro System auf aktuellem Softwarestand
  2. Nutzung des seitens der m-privacy GmbH bereit gestellten Viewer- und Schleusenprogramms für SSO
  3. Auflösbarer DNS-Name, unter dem TightGate™-Pro aus dem internen Netz angesprochen werden kann

Zertifikate für bestehende Benutzer erzeugen

Vorbereitungen für die Zertifikatsnutzung
Auf TightGate™-Pro als config anmelden und unter Einstellungen > SSL CN den auflösbaren DNS-Namen für das betreffende TightGate™-Pro eintragen. Dieser Name wird später von den Klienten verwendet, damit sie die richtige Zuordnung zum TightGate™-Pro vornehmen können. Anschließend Speichern und Sanft anwenden.

Hinweis:
Der unter SSL CN eingetragene Hostname wird in das jeweilige Zertifikat geschrieben. Wird der Hostname in der SSL CN geändert, so sind alle Klientenzertifikate neu zu generieren und an die Klienten zu verteilen. Vor der Erstellung der Klientenzertifikate und deren Verteilung empfiehlt es sich unbedingt, sorgfältig auf Eintragung des richtigen Hostnamens zu achten.

Zertifikate für bestehende Benutzer erzeugen
Als maint auf TightGate™-Pro anmelden und unter Benutzerverwaltung > Erzeuge SSL-Schlüssel für einzelne Gruppen oder alle Benutzer (Gruppe Everyone) SSL-Zertifikate erzeugen lassen. Nun über den Menüpunkt Export. SSL-Schlüssel die erzeugten Klientenzertifikate in das Transferverzeichnis von config kopieren.

Zertifikate auf Klienten verteilen

Im nächsten Schritt von einem Klienten über ein SFTP-fähiges Programm (unter Windows wird WinSCP empfohlen) eine Verbindung zu TightGate™-Pro aufbauen. (Benutzername ist config). Dort in das Verzeichnis /certs wechseln. Dort befindet sich jeweils ein Ordner mit dem Namen eines jeden angelegten Benutzers mit einer Reihe von Zertifikaten und Konfigurationsdateien, die jeweils für den jeweiligen Klienten erzeugt wurden.

Die Dateien innerhalb eines Ordners sind im Profil des betreffenden Windows-Klienten zu hinterlegen. Dazu sind sie nach %APPDATA%/vnc/ zu kopieren.

Viewer- und Schleusenprogramm installieren und nutzen

Im Vorfeld des letzten Schritts muss der aktuelle Viewer und das aktuelle Schleusenprogramm der m-privacy GmbH auf dem Klienten installiert sein.
Mit einem Doppelklick auf das Icon Internet auf dem Desktop öffnet sich automatisch eine Verbindung zum TightGate™-Pro. Sind passende Zertifikate auf dem Klienten hinterlegt, wird der Benutzer automatisch angemeldet. Analog verhält es sich mit dem Schleusenprogramm. Es kann mit einem Doppelklick auf das Icon Schleuse für den betreffenden Benutzer geöffnet werden.

Hinweis:
Die Nutzung der Dateischleuse mit SSO erfordert zwingend eine vorangehende, einmalige SSO-Anmeldung über den Viewer an TightGate™-Pro. In allen folgenden Sitzungen kann die Schleuse wahlweise auch vor dem Viewer oder exklusiv gestartet werden. Bei Clustersystemen ist die Nutzung der Dateischleuse nach einer Wartezeit von ca. 10 Minuten nach der erstmaligen SSO-Anmeldung über den Viewer an TightGate™-Pro möglich. Die Wartezeit entfällt bei allem folgenden Anmeldevorgängen, solange das verwendete Zertifikat dasselbe bleibt. Nach jedem Zertifikatewechsel ist eine erneute initiale Anmeldung (mit Wartezeit in Clustersystemen) erforderlich, bevor die Dateischleuse genutzt werden kann.

Zertifikate sperren

Der Administrator maint kann unter dem Menüpunkt Einstellungen > Rückruf Zertifikat Zertifikate einzelner Benutzer sperren. Nach einer Sperre ist eine Anmeldung mit den alten Zertifikaten weder über Viewer noch über die Schleuse möglich.

Hinweise:
Gesperrte Zertifikate können nicht entsperrt werden. Nötigenfalls sind für eine gesperrte Benutzerkennung neue Zertifikate zu erzeugen und wie oben angegeben abzurufen und zu verteilen. In Clustersystemen wird die Sperre nach einer Wartezeit von ca. 10 Minuten für die Anmeldung des Viewers und die Nutzung der Dateischleuse wirksam.

Achtung!
Bereits aufgebaute Verbindungen bleiben im Fall einer Zertifikatssperre bis zur manuellen oder automatischen Abmeldung vom System bestehen. Dies betrifft den Viewer und die Nutzung der Dateischleuse gleichermaßen.

Zertifikate auf Vorrat erzeugen

Alternativ zur Zertifikatserzeugung für bereits vorhandene Benutzerkennungen können Benutzerzertifikate auch in beliebigen Kontingenten im Voraus erzeugt werden. Benutzer können sich damit auch ohne Benutzeraccount an TightGate™-Pro anmelden. Dieser wird im Zuge des ersten Anmeldevorgangs automatisch generiert.

Vorgehensweise:

  1. Vorbereitungen zur Zertifikatsnutzung treffen (siehe oben)
  2. Als Administrator config unter Einstellungen > Authentisierungsmethode zusätzlich den Menüpunkt Benutzerverz. automatisch auf ja setzen
  3. Speichern und Sanft anwenden

Die Benutzerzertifikate können als maint unter dem Menüpunkt Einstellungen > Massen-SSL-Schlüssel erzeugt werden. Es startet ein Assistent, der ein Präfix und die Anzahl zu erzeugender Zertifikate abfragt. Der Präfix bildet den konstanten Teil des späteren Benutzernamens, ergänzt um eine laufende Nummer. Diese beginnt bei 1 und endet bei der Anzahl der zu erzeugenden Zertifikate. Die erzeugten Zertifikate werden automatisch in das Transfer-Verzeichnis von config kopiert und können dort abgeholt und verteilt werden, wie im Abschnitt Zertifikate auf Klienten verteilen beschrieben.

Hinweise:

  • Die automatisch generierten Benutzernamen legen bei der ersten Anmeldung mit dem erzeugten Zertifikat eine gleich lautende Benutzerkennung (Account) auf TightGate™-Pro an. Sie kann nachträglich nicht verändert werden.
  • Es wird keine Benutzerkennung (Account) auf TightGate™-Pro erzeugt, solange ein Zertifikat nur erzeugt, jedoch noch nicht zur Anmeldung an TightGate™-Pro verwendet wurde. Die Benutzerverwaltung von TightGate™-Pro enthält damit stets nur solche Kennungen, die tatsächlich bereits zur Anmeldung verwendet wurden - unabhängig von der Zahl der im Voraus erzeugten Zertifikate.

back_to_menu.jpg

 
tightgate-pro/benutzerverwaltung/sso.txt · Zuletzt geändert: 2011/04/27 09:28 von hom
 
m-privacy GmbH. Alle Rechte vorbehalten. Datenschutzerklärung | Impressum | Sitemap