Konfiguration
Die gesamte Administration von TightGate™-Pro erfolgt menügesteuert in deutscher oder englischer Sprache. Die Verwaltung des Schutzsystems über eine Kommandozeile ist nicht möglich. Aus Sicherheitsgründen ist keine Programmschnittstelle (API) zu anderen Systemen implementiert.
Menügeführte Konfigurationsoberfläche
Die menügeführte Konfiguration wird für sämtliche Administratorzugänge in einem Konsolenfenster aufgerufen. Es stehen mehrere Zugangswege zur Verfügung. Der konsolenbasierte Zugriff direkt am Serverrechner ist für alle Administratorzugänge immer möglich. Für TightGate™-Pro (CC) Version 1.4 ist der Administratorzugang ausschließlich direkt am Serverrechner oder alternativ per KVM-Umschalter möglich. Andere Versionen von TightGate™-Pro ermöglichen für die regulären Administrationszugänge config, maint, update und backuser zusätzlich eine Remote-Verbindung via SSH (TCP-Port 22). Für die Administratoren root und security ist zusätzlich eine Freischaltung durch den Administrator maint im jeweiligen Menü erforderlich, um den SSH-Zugang nutzen zu können. Zusätzlich besteht eine zeitliche Beschränkung; nach Ablauf von einer Stunde wird die Anmeldeoption per SSH automatisch deaktiviert und muss im Bedarfsfall erneut freigegeben werden.
Wir empfehlen das lizenzkostenfrei verfügbare Terminalprogramm „puTTY” zur Verbindung mit dem ReCoBS-Server. Eine webbasierte Administration von TightGate™-Pro ist aus Sicherheitsgründen nicht möglich.
In sämtlichen Menüs, die für die Wartungs- und Konfigurationsaufgaben zur Verfügung stehen, können einzelne Menüpunkte jeweils mit den Pfeiltasten (Cursortasten) AUF und AB ausgewählt werden. Mit den Pfeiltasten LINKS und RECHTS kann zwischen <OK> und <Abbruch> gewählt werden. <OK> wählt die jeweilige Option aus, <Abbruch> bewirkt einen Rücksprung auf die darüberliegende Menüebene. Die Tastenkombination ALT+C und die Taste ESC sind gleichbedeutend mit <Abbruch>. Im Hauptmenü wird die Benutzeroberfläche mit dem zuoberst stehenden Menüpunkt geschlossen, es erfolgt die Anzeige des Konsolenfensters oder bei einer SSH-Verbindung der Abbruch der Verbindung.
Die ersten Schritte zur Installation und Inbetriebnahme werden im Installationshandbuch zusammenfassend erläutert (AGD_PRE).
Hinweis: Nachfolgend werden alle möglichen Menüoptionen zur Konfiguration von TightGate™-Pro thematisch gegliedert und unabhängig von der Reihenfolge ihrer Anwendbarkeit aufgeführt. Zur leichteren Orientierung befindet sich der Navigationspfad vom Hauptmenü bis zum jeweiligen Untermenü in Kopf einer jeden Optionstabelle. Insbesondere in der Beschreibung der Hauptmenüs werden nicht alle Einstelloptionen der jeweiligen Untermenüs erschöpfend erläutert. Die zugehörigen Informationen finden sich jedoch an anderer Stelle dieser Dokumentation.
Achtung: In den meisten Fällen sind Auswahl- und Einstellmöglichkeiten nur bestimmten Administratoren zugänglich. So können einige Optionen beispielsweise nur durch den Administrator maint, andere nur durch den Administrator config gewählt werden.
Spracheinstellungen
Der TightGate™-Pro unterstützt Mehrsprachigkeit bei der Administration und für die VNC-Benutzeroberfläche. Die Spracheinstellungen werden als Administrator config im Hauptmenü unter Spracheinstellungen vorgenommen.
| config > Sprach-Einstellungen | |
| Menüpunkt | Beschreibung |
| Menüsprache | Auswahl der Sprache, die für die Administration des TightGate™-Pro gelten soll. Diese Einstellung wirkt sich auf alle Administrationsmenüs gleichermaßen aus und wird erst nach einer Neuanmeldung wirksam. Es stehen derzeit die Sprachen Deutsch und Englisch zur Verfügung, weitere Sprachen können auf Anfrage bereitgestellt werden. |
| Benutzersprache | Auswahl der Standardsprache für die VNC-Benutzer (Endanwender an den Arbeitsplatzrechnern). Die Vorauswahl kann von den Benutzern an deren Arbeitsplatzrechnern bei der Anmeldung geändert werden. Die Einstellungen werden nach Verlassen des Untermenüs sofort wirksam. Bei bereits angemeldeten Benutzern wirken sich die Einstellungen bei der nächsten Anmeldung an TightGate™-Pro aus. Für die VNC-Benutzer sind alle verbreiteten Sprachen verfügbar. Unter Umständen müssen die betreffenden Sprachpakete jedoch nachträglich installiert werden. Diese Aufgabe übernimmt der technische Kundendienst der m-privacy GmbH im Rahmen abzuschließender Verträge zur Softwarepflege. Hinweis: Wird die Benutzersprache auf Französisch geändert, werden auch die von diesem Zeitpunkt an generierten Konfigurationsdateien für die Dateischleuse im Zusammenhang mit einer Anmeldung per SSO in der jeweiligen Sprache erzeugt. |
Netzwerk-Konfiguration (config)
Nach Anmeldung an der Konsole als Administrator config ist das Menü zur Konfiguration der Netzwerkeinstellungen über das Untermenü Einstellungen zugänglich.
Die mit einem * markierten Menüpunkte gelten bei einem Cluster-System für den gesamten Cluster, müssen also nur auf einem System eingestellt werden. Die Markierung ist auch im Menü auf dem System sichtbar.
Einstellungen für TightGate-Pro
| config > Einstellungen | |
| Menüpunkt | Beschreibung |
| Zurück | Rückkehr zum Hauptmenü. |
| Speichern | Konfigurationsdatei wird abgespeichert, Einstellungen werden noch nicht wirksam. |
| Voll Anwenden (Warmstart) | Übernahme und Aktivierung der vorgenommenen Einstellungen im System. Relevante Dienste werden neu gestartet. Warnung: Da Dienste neu gestartet und Netzwerkverbindungen zurückgesetzt werden, kann es zu Betriebsunterbrechungen und Datenverlust bei angemeldeten Benutzern kommen. Diese Funktion sollte daher im laufenden Produktivbetrieb nicht ausgelöst werden. Hinweis: Diese Funktion sollte nur bei zwingender Notwendigkeit ausgelöst werden. Generell genügt in aller Regel Sanft Anwenden zur Übernahme systemnaher Einstellungen. |
| Sanft Anwenden | Übernahme und Aktivierung der vorgenommenen Einstellungen im System. Bestehende Verbindungen zu den Arbeitsplatzstationen und zu anderen Netzwerkressourcen werden nach Möglichkeit nicht getrennt. Hinweis: Dies ist das gebräuchliche Verfahren zur Übernahme systemnaher Einstellungen. |
| Übersicht | Anzeige einer Übersicht sämtlicher Netzwerkeinstellungen von TightGate™-Pro. |
| Mailversand (unverschlüsselt) | Versand der Konfigurationseinstellungen per E-Mail. Es kann eine beliebige E-Mail-Adresse angegeben werden, beispielsweise die eines externen Dienstleisters. Voraussetzung für den Versand von E-Mails über das System von TightGate™-Pro ist die ordnungsgemäße Konfiguration der E-Mail-Einstellungen im jeweiligen Systemmenü. Achtung: Die Daten werden unverschlüsselt übertragen. |
| Versand an Support | Versand der Konfigurationseinstellungen per E-Mail an den technischen Kundendienst der m-privacy GmbH. Voraussetzung für den Versand von E-Mails über das System von TightGate™-Pro ist die ordnungsgemäße Konfiguration der E-Mail-Einstellungen im jeweiligen Systemmenü. Hinweis: Die Daten werden verschlüsselt übertragen. |
| Wiederherstellen | Rücksicherung der Konfiguration von einem USB-Datenträger oder aus einer lokalen Sicherung. Es kann ein Datenträger ausgewählt werden. Für nähere Informationen zur Datensicherung und Wiederherstellung vgl. Kapitel 8. |
| Rechnername | Bezeichnung des ReCoBS-Servers, kann entsprechend der Zielumgebung gewählt werden. Bei Clustersystemen endet der Name grundsätzlich mit der laufenden Nummer im Cluster. |
| Domäne* | Netzwerkdomäne des ReCoBS-Servers, kann entsprechend der Zielumgebung beliebig gewählt werden. |
| config > Einstellungen | |
| Menüpunkt | Beschreibung |
| SSL-Name im Zertifikat* | DNS-Systemname im SSL-Zertifikat, den Benutzer verwenden. Bei Clustersystemen muss hier der Name des Lastverteilers (Load Balancer) eingetragen werden. |
| Domäne Mailversand | Sendedomäne für Systemnachrichten. |
| Empfänger Systemnachrichten* | E-Mail-Konto, das Systemnachrichten von TightGate™-Pro erhalten soll. |
| Netzwerk-Schnittstellen | Konfiguration der in TightGate™-Pro vorhandenen Netzwerkschnittstellen. Die Einstellungen sind entsprechend der Einsatzumgebung vorzunehmen, sofern keine werkseitige Voreinstellung vorhanden ist oder diese geändert werden soll. Hinweis: Bei Fragen zur Konfiguration der Netzwerkschnittstellen ist die Konsultation des technischen Kundendienstes der m-privacy GmbH empfehlenswert. |
| Nameserver* | IPv4-Adresse eines Nameservers (DNS) zur Auflösung von IPv4-Adressen. Es können bis zu 25 Nameserver referenziert werden. Sie werden erforderlichenfalls in der Reihenfolge der Einträge angefragt, falls einzelne Server nicht erreichbar sein sollten. |
| Zeitserver* | IPv4-Adresse eines Zeitservers zum Bezug der Systemzeit. Es können bis zu 25 Zeitserver referenziert werden. Diese werden erforderlichenfalls in der Reihenfolge der Einträge angefragt, falls einzelne Server nicht erreichbar sein sollten. Warnung: Insbesondere in Clustersystemen ist die korrekte Systemzeit über alle Nodes von großer Bedeutung. Zeitunterschiede zwischen den Rechnern eines Verbunds können zu eklatanten Betriebsstörungen führen. Daher ist unbedingt darauf zu achten, dass zumindest ein Zeitserver stets erreichbar ist. Es empfiehlt sich, hinreichend viele Alternativen als Ausfallsicherung einzutragen. |
| Standard-SMTP* | IPv4-Adresse des Standardservers für den E-Mail-Versand. |
| LPD-Druckserver* | Die LPD-Druckserver werden in der Form [IP-Adresse/Valid Bits] in CIDR-Notation referenziert. Beispiel: 192.168.1.1/24 für Druckserver aus dem Bereich 192.168.1.1-192.168.1.255. Es können bis zu 25 LPD-Druckserver (Netzwerke) referenziert werden. |
| CUPS-Druckserver: IP* | IPv4-Adresse des CUPS-Servers (Netzwerk). Wird kein externer CUPS-Server im Netzwerk angeben, wird der lokale CUPS-Server verwendet. Zur Konfiguration des lokalen CUPS-Servers und zur Einrichtung von Druckern vgl. Abschnitt Einrichtung von Druckern für den lokalen CUPS-Printserver. Es können bis zu 25 CUPS-Printserver (in unterschiedlichen Netzwerken) referenziert werden. |
| CUPS-Druckserver: Name* | Name des lokalen CUPS-Druckservers zur Auflösung, einschließlich Domäne. |
| CUPS: kurze Namen* | Setzen der CUPS-Option „BrowseShortNames” für Uplink-CUPS-Server. |
| CUPS: Admin-Passwort | Änderung des Administrator-Passwortes für den lokalen, d. h. auf TightGate™-Pro befindlichen CUPS-Druckserver (lpadmin). |
Hinweis: Die nachfolgenden Einstellungen für die Authentifizierung über LDAP, AD oder Kerberos sind nur durch geschultes Personal vorzunehmen. Wegen der Komplexität der jeweiligen Anmeldemethoden wird nachdrücklich empfohlen, diese Einstellungen in Zusammenarbeit mit dem technischen Kundendienst der m-privacy GmbH vorzunehmen.
| config > Einstellungen | |
| Menüpunkt | Beschreibung |
| Backup-Server* | IPv4-Adressen von Backup-Servern, auf die Datensicherungsdateien ausgelagert werden sollen. Es sind bis zu 25 Einträge möglich, die vom Administrator config vorgegeben werden können. Die endgültige Auswahl, auf welchem Server die Sicherung ausgelagert wird, trifft der Administrator backuser. Nähere Informationen zu diesem Thema vgl. Kapitel 8. |
| Malware-Scanner* | Auswahl des gewünschten Virenscanners zur Überwachung der Dateischleuse. Es werden nur solche Virenscanner angezeigt, die im System installiert sind. Der technische Kundendienst der m-privacy GmbH unterstützt bei der Auswahl und Systemintegration eines geeigneten Virenscanners. |
| F-Prot-Lizenzschlüssel | Eintrag des Lizenzschlüssels für den Malware-Scanner „F-Prot”. Dieser Eintrag ist erforderlich, um den Scanner verwenden zu können. |
| F-Prot-Typ | Auswahl des Lizenzierungstyps für den Malware-Scanner „F-Prot”. Diese Auswahl ist erforderlich, um den Scanner verwenden zu können. |
| Malware-Scanner starten * | Ein- bzw. Abschalten des On-Access-Virenscanners. |
| Aktion STRG-ALT-Entf* | Die Tastenkombination kann genutzt werden, um das System neu zu starten oder um es korrekt herunterzufahren. Alternativ kann diese Tastenkombination ignoriert werden, um keine der vorgenannten Aktionen irrtümlich auszulösen. |
| Authentisierung* | Auswahl der Authentisierungsmethode für Benutzer. Wird die in TightGate™-Pro integrierte Benutzerverwaltung verwendet, sollte im zugehörigen Untermenü in jedem Fall „RSBAC-Lokal” ausgewählt sein. Nähere Informationen siehe Abschnitt 3.3 Authentifizierungsmethoden. Achtung: Es wird empfohlen, die werkseitig voreingestellten Werte beizubehalten und Änderungen nach Rücksprache mit dem technischen Kundendienst der m-privacy GmbH vorzunehmen. |
| Pseudonymisierung* | TightGate™-Pro bietet umfangreiche Protokollierungsmöglichkeiten - vgl. Kapitel 11.2. Eine Festlegung, ob Benutzernamen im Klartext oder pseudonymisiert festgehalten werden sollen, ist hier möglich. |
| USV | Einstellungen zur unterbrechungsfreien Stromversorgung. Das USV-Modell ist im zugehörigen Untermenü nur für den Fall anzugeben, dass die USV direkt mit TightGate™-Pro verbunden werden soll. In den meisten Fällen erfolgt das USV-Monitoring zentral über einen Master-Server. Die Zugangsdaten zu diesem Master-Server können ebenfalls an dieser Stelle hinterlegt werden. Das Feld „USV-Modell” ist in diesem Fall leer zu lassen. |
Einstellungen für Klientenrechner
Nachfolgende Einstellungen haben unmittelbare Auswirkungen auf die Benutzersitzungen bzw. die Arbeitsplatzrechner, sobald sich diese mit TightGate™-Pro verbinden. Letztere werden als Klientenrechner oder Klienten bezeichnet.
| config > Einstellungen | |
| Menüpunkt | Beschreibung |
| Browser-Startseite* | Startseite, welche bei neuen Benutzern im Internetbrowser voreingestellt wird. |
| HTTP-Proxy* | IPv4-Adresse des HTTP-Proxy-Servers, über den alle HTTP-Zugriffe in das Internet geleitet werden. Der Proxyserver ist in der Form [IP-Adresse:Port] zu referenzieren, also 192.168.1.1:3128 für den Proxyserver mit der Adresse 192.168.1.1 über den Port 3128. Achtung: In den meisten Fällen gibt es nur einen Server im Netzwerk, der mit seiner expliziten IPv4-Adresse an dieser Stelle einzutragen ist. Für den Ausnahmefall, in dem hier ein auflösbarer DNS-Name referenziert wird, muss das betreffende Netzwerk unbedingt im folgenden Menüpunkt genau spezifiziert werden. Andernfalls ist eine korrekte Verbindung zu den jeweiligen Proxyservern nicht möglich. |
| HTTP-Proxy-Netz* | Falls ein auflösbarer DNS-Name als Proxyserver eingetragen wird, benötigt das System unbedingt die Information über die IPv4-Adressen, die sich dahinter verbergen. Die IPv4-Adresse ist in CIDR-Notation anzugeben. |
| FTP-Proxy* | IPv4-Adresse des FTP-Proxyservers, über den alle FTP-Zugriffe geleitet werden. Der Proxyserver ist in der Form [IP-Adresse:Port] anzugeben, also 192.168.1.1:3128 für den Proxyserver mit der Adresse 192.168.1.1 über den Port 3128. Achtung: In den meisten Fällen gibt es nur einen Server im Netzwerk, der mit seiner expliziten IPv4-Adresse an dieser Stelle einzutragen ist. Für den Ausnahmefall, in dem hier ein auflösbarer DNS-Name referenziert wird, muss das betreffende Netzwerk unbedingt im folgenden Menüpunkt genau spezifiziert werden. Andernfalls ist eine korrekte Verbindung zu den jeweiligen Proxyservern nicht möglich. |
| FTP Proxy-Netz* | Falls ein auflösbarer DNS-Name als Proxyserver eingetragen wird, benötigt das System unbedingt die Information über die IPv4-Adressen, die sich dahinter verbergen. Die IPv4-Adresse ist in CIDR-Notation anzugeben. |
| Proxy-Ausnahmen* | IPv4-Adressen oder URLs von Websites, die nicht über den externen Proxy geleitet werden sollen. |
| Proxy-Filter* | Einstellungen zur Inhaltsfilterung über einen zusätzlichen internen Proxyserver. |
| Proxy-Protokollierung* | Festlegung, ob ein anonymes oder mit Kennungen versehenen Proxy-Protokoll erstellt werden soll. Die verwendeten Kennungen können entsprechend der Option „Pseudonyme verwenden” entweder im Klartext (Benutzername) oder als Pseudonym gespeichert werden. Alternativ kann auf ein Proxy-Protokoll ganz verzichtet werden.Die Log-Daten werden in die Datei access.log des Proxyservers geschrieben. |
| Proxy-Protokoll-Lebensdauer* | Anzahl der Tage, die das Proxy-Protokoll (access.log) zur Revision beim Benutzer „revision” gespeichert bleibt. Nach Ablauf der Speicherdauer werden die Protokoll-Dateien gelöscht und können nicht rekonstruiert werden. Wird hier 0 eingetragen, erstellt das System keine Kopien der Protokoll-Dateien für die Revision. |
| Socks-Proxy für Audio* | Einstellung, ob das Audio-Protokoll direkt zum Klientenrechner durchgeleitet werden soll oder ob ein Socks-Proxy vorgeschaltet ist. |
| Zwangs-Proxy für Plug-ins | Einstellung, ob alle Browser-Plug-ins, die mit dem Internet Kontakt aufnehmen, zwangsweise über den HTTP-Proxy geleitet werden sollen. Vorgabewert ist „Nein”, d.h. Browser-Plug-ins dürfen eigene Verbindungen in das Internet aufbauen. |
| POP/IMAP: Server* | IPv4-Adressen der erlaubten POP3 bzw. IMAP-Mail-Server, die für Benutzer auf TightGate™-Pro erreichbar sein sollen |
| POP/IMAP: Vorgabe* | IPv4-Adresse des Standard-POP3- bzw. IMAP-Servers, der in den Profilen für Benutzer vorgegeben werden soll. |
| SMTP-Server* | IPv4-Adresse der Postausgangsserver, die seitens der Klienten auf den Arbeitsplatzrechnern der Benutzer erreichbar sein sollen. Alternativ können auch Netzwerke in CIDR-Notation angegeben werden. Angemeldete Klienten erreichen dann ausschließlich Postausgangsserver innerhalb der an dieser Stelle referenzierten Netzwerke. |
| Exchange Server* | IPv4-Adressen von erlaubten Exchange-Servern, die für Benutzer auf TightGate™-Pro erreichbar sein sollen. Die Exchange-Server sind in der Notation [IP-Adresse:Port] anzugeben, also 192.168.1.26:691 für den Exchange-Server mit der Adresse 192.168.1.26 über den Port 691. |
| SSH-Server* | IPv4-Adressen der SSH-Server, auf die über TightGate™-Pro zugegriffen werden kann. Beispiel: Ist TightGate™-Pro die einzige Schnittstelle zwischen dem internen Netzwerk und einer Firewall, so kann hier die IPv4-Adresse der Firewall eingetragen werden. In diesem Fall kann aus dem internen Netzwerk per SSH auf die Firewall zugegriffen werden kann. Die Server sind jeweils in CIDR-Notation [IP-Adresse/valid Bits] anzugeben. Es sind maximal 25 SSH-Server (bzw. Netzwerke) erlaubt. |
| FTP-Server* | IPv4-Adressen der FTP-Server, auf die über TightGate™‑Pro direkt ohne Proxy zugegriffen werden kann. Soll z. B. über TightGate™‑Pro eine Website per FTP-Upload gepflegt werden, so muss hier die IPv4-Adresse des betreffenden FTP-fähigen Servers (Webspace) eingetragen werden. Die Server sind jeweils in der CIDR-Notation [IP-Adresse/valid Bits] anzugeben. Es sind maximal 25 FTP-Server (bzw. Netzwerke) erlaubt. |
| HTTP-Server* | IPv4-Adressen der HTTP-Server, auf die über TightGate™‑Pro direkt ohne Proxy zugegriffen werden kann. Die Server sind in der Form [IP-Adresse/valid Bits] anzugeben. Es sind maximal 25 HTTP-Server (bzw. Netzwerke) erlaubt. |
| RDP/Citrix-Server* | IPv4 Adresse(n) von Citrix- oder Windows-Servern, auf die vom ReCoB-System direkt zugegriffen werden kann. Ein entsprechendes Klienten-Programm stellt m-privacy auf Anfrage im System zur Verfügung. Die Benutzung wird im Benutzer-Handbuch unter Remote Desktop für Verbindungen zu CITRIX- und Windows-Servern beschrieben. |
| IRC-Server* | IPv4-Adressen der IRC-Server (Chat-Server), auf die über TightGate™‑Pro zugegriffen werden kann. Die Server sind jeweils in der Form [IP-Adresse/valid Bits] anzugeben. Es sind maximal 25 Server (bzw. Netzwerke) erlaubt. |
| IM-Server* | IPv4-Adressen der IM-Server (Instant Messaging), auf die über TightGate™‑Pro zugegriffen werden kann. Die Server sind jeweils in der Form [IP-Adresse/valid Bits] anzugeben. Es sind maximal 25 Server (bzw. Netzwerke) erlaubt. |
| Syslog-Server* | IPv4-Adressen der Syslog-Server, auf die das TightGate™‑Pro-System sein System-Log zusätzlich zur internen Speicherung senden soll. Die Server sind jeweils als IP-Adresse anzugeben. Es sind maximal 25 Server erlaubt. Der Versand erfolgt per UDP auf Port 514 mit fortlaufender Zeilennummer. |
Systemweite Dienstvorgaben
| config > Einstellungen | |
| Menüpunkt | Beschreibung |
| Klienten-Netzwerke* | IPv4-Adressen der Netzwerke, die sich mit dem TightGate™-Pro Server verbinden dürfen. Der Zugriff durch TightGate™-Pro auf die Klienten-Netzwerke ist grundsätzlich verboten, wenn er nicht durch eine andere Einstellung explizit erlaubt wurde. Warnung: Das Klienten-Netzwerk darf nicht im Adressbereich 0.0.0.0 mit Valid Bits 0 liegen, da dann kein normaler Internetzugriff möglich ist. Die Klienten-Netzwerke sind jeweils in der Form [IP-Adresse/valid Bits] anzugeben. Es sind maximal 25 Klienten-Netzwerke erlaubt. |
| Verbotene Klienten-Netze* | IPv4-Adressen weiterer Netzwerke, auf die der Zugriff durch TightGate™-Pro grundsätzlich verboten wird, wenn er nicht durch eine andere Einstellung explizit erlaubt wurde. Die Netze sind jeweils in der Form [IP-Adresse/valid Bits] anzugeben. Es können maximal 25 Netzwerke eingetragen werden. |
| Privilegierte Klienten* | IPv4-Adressen von Arbeitsplatzstationen, die privilegierten Zugang zu TightGate™-Pro erhalten sollen. Alternativ können Netzwerke in CIDR-Notation angegeben werden. In diesem Fall sind alle Klienten privilegiert, deren Arbeitsplatzrechner eine IPv4-Adresse in einem der referenzierten Netzwerke trägt. Hinweis: Privilegierte Klienten können auch anhand der Benutzerkennung eingerichtet werden. Dies geschieht in der Benutzerverwaltung als Administrator maint. Hinweis: TightGate™-Pro unterscheidet zwei Grenzen, bis zu denen Benutzeranmeldungen zugelassen werden. Diese werden in der Lizenz zu TightGate™-Pro hinterlegt und sind ausschließlich durch den technischen Kundendienst der m-privacy GmbH veränderbar. Die erste Grenze bezeichnet die Zahl regulärer Benutzer, die zweite Grenze bezeichnet die Zahl der privilegierten Benutzer. Sobald die Zahl zulässiger regulärer Nutzer erreicht ist, werden nur noch privilegierte Nutzer zugelassen - vorausgesetzt, deren Zahl ist noch nicht erreicht. Nach Ausschöpfung der zweiten Grenze wird jeder weitere Verbindungsversuch eines Klienten an TightGate™-Pro mit einer entsprechenden Fehlermeldung abgewiesen. |
| Ungefiltertes Web: Vorgabe* | Festlegung des Verhaltens bei der Anlage neuer Benutzer. Neue Benutzer können standardmäßig mit gefiltertem oder mit ungefiltertem Webzugang versehen werden. Hinweis: Diese Einstellung ist nur beim Anlegen neuer Benutzer relevant; der betreffende Parameter kann später nutzerindividuell oder gruppenspezifisch beliebig geändert werden. |
| Audio pro Benutzer: Vorgabe* | Festlegung des Verhaltens bei der Anlage neuer Benutzer. Neue Benutzer können standardmäßig mit der Möglichkeit zur Wiedergabe von Audiosignalen ausgestattet werden. Hinweis: Diese Einstellung ist nur beim Anlegen neuer Benutzer relevant; der betreffende Parameter kann später nutzerindividuell oder gruppenspezifisch beliebig geändert werden. |
| Dateischleuse: Vorgabe* | Legt fest, ob neue Benutzer per Voreinstellung berechtigt sind, Daten aus TightGate™-Pro mittels der Dateischleuse in das interne Netz oder umgekehrt zu transferieren. Hinweis: Diese Einstellung ist nur beim Anlegen neuer Benutzer relevant; der betreffende Parameter kann später nutzerindividuell oder gruppenspezifisch beliebig geändert werden. |
| Dateischleuse: Typen* | Filtereinstellung zur Steuerung der Dateitypen, die über die Schleuse in das interne Netz und vom internen Netz auf TightGate™-Pro transferiert werden dürfen. Die Erkennung der Dateitypen in der Filterfunktion der Schleuse geschieht anhand der MIME-Typen. Der Dateitypenfilter kann ausschließlich für den Transfer von TightGate™-Pro zum Arbeitsplatz (Klientenrechner) granular eingestellt werden. In umgekehrter Richtung gibt es nur die Einstellung erlaubt/nicht erlaubt. Dieses An- bzw. Abstellen des Filters vom Arbeitsplatz zum TightGate™-Pro System geschieht über den Dateityp application/x-empty . Eine Liste der auswählbaren MIME-Typen enthält der Anhang MIME-Types. Hinweis: Sobald wenigstens ein Dateityp ausgewählt wurde, ist der Filter sofort aktiv. Alle nicht ausgewählten Dateitypen werden blockiert und können mittels der Dateischleuse nicht mehr in das interne Netz transferiert werden. Eine Mehrfachauswahl ist möglich. Die Prüfung der Dateien erfolgt anhand ihres MIME-Typs, unabhängig von der gewählten Dateierweiterung. |
| Benutzerprofil: Vorgabe* | TightGate™-Pro bietet die Möglichkeit, zwischen mehreren Benutzerprofilen auszuwählen. Jedes Benutzerprofil stellt einen definierten Katalog an Leistungsmerkmalen bereit. So können umfangreiche oder besonders zweckorientierte Benutzerumgebungen realisiert werden. Benutzer finden nur solche Bedienelemente in ihrer Arbeitsumgebung vor, die im Rahmen der täglichen Arbeit tatsächlich benötigt werden. Hinweis: Je nach Ausstattung kann TightGate™-Pro werkseitig mit unterschiedlichen Profilen ausgestattet sein. Weitere Profile können vom technischen Kundendienst der m-privacy GmbH nachinstalliert werden. Diese erscheinen dann ebenfalls als Auswahlmöglichkeit unter diesem Menüpunkt. |
| Mail-Programm: Vorgabe* | Auswahl des E-Mail-Programms, das Benutzer über die Menüleiste der Benutzeroberfläche auf den Arbeitsplatzrechnern starten können. |
| Zwischenablage* | Einstellung der zugelassenen Übertragungswege bei Verwendung der Zwischenablage. |
| Zwangstrennung für Inaktive* | Zeit in Sekunden, bis inaktive VNC-Verbindungen (Verbindungen der Klientenrechner mit TG-Pro) getrennt werden (voreingestellt sind 36000 s = 10 Stunden). |
| Maximale Sitzungsdauer* | Zeit in Sekunden, bis VNC-Verbindungen (Verbindungen der Klientenrechner mit TG-Pro) in jedem Fall getrennt werden (voreingestellt sind 86400 s = 24 Stunden). Eine sofortige Neuanmeldung ist möglich. |
| Bildverzögerung* | Verzögerung der Bildaktualisierung in Millisekunden. Der Standardwert von 40 Millisekunden sollte nur in begründeten Fällen geändert werden. Geringere Werte erhöhen den Bandbreitenbedarf pro angemeldetem Klientenrechner. |
| Bildschirmauflösung* | Es können bis zu 9 verschiedene Bildschirmauflösungen für den VNC-Viewer konfiguriert werden. Diese können auf die im Unternehmen eingesetzten Bildschirmgrößen und Auflösungen angepasst werden. Als Richtwerte für Windows-Rechner haben sich bewährt: Horizontale Auflösung des Arbeitsplatzbildschirms verringert um 1,5% und vertikale Auflösung verringert um 8%. Erfolgt die Verbindung des Klienten zu TightGate™-Pro unter Angabe der Kennziffer der jeweiligen Auflösungsstufe zusätzlich zur IPv4-Adresse des ReCoBS-Servers (gefolgt durch einen Doppelpunkt), startet der Viewer unmittelbar in der gewünschten Auflösung. Hinweis: Diese Einstellung ist vor allem dann relevant, wenn der frei skalierbare Viewer der m-privacy GmbH nicht verwendet werden soll oder aus technischen Gründen nicht verwendet werden kann. Auch der frei skalierbare Viewer startet bei Angabe des Parameters in der gewünschten Auflösung, kann dann in seiner Größe jedoch frei verändert werden. Alle Viewer der m-privacy GmbH starten ohne den betreffenden Parameter mit den Einstellungen der letzten Sitzung oder in der initialen Standardauflösung von 800×600 Bildpunkten. |
| Temp-Verzeichnis: Lebensdauer* | Zeit in Tagen, wie lange Dateien von Benutzern im Ordner für Temporär-Dateien (/tmp) aufbewahrt werden sollen. Nach Ablauf dieser Zeit werden die Dateien automatisch gelöscht.\\ |
| Transfer: Lebensdauer* | Zeit in Tagen, die Dateien von Benutzern im Ordner für Transfer-Dateien /transfer (Dateischleuse) aufbewahrt werden sollen. Nach Ablauf dieser Zeit werden die Dateien automatisch gelöscht. Der Eintrag von Null Tagen führt zu einer unbegrenzten Aufbewahrungszeit, d.h. es erfolgt keine automatische Löschung. Warnung: Bei intensiver Systemnutzung durch zahlreiche Benutzer kann es zu Betriebsstörungen infolge Überschreitung des verfügbaren Festplattenplatzes kommen, wenn die zeitgesteuerte Löschung von Dateien deaktiviert wird. |
| Download: Lebensdauer* | Zeit in Tagen, wie lange Dateien von Benutzern in dem Ordner für Download-Dateien /download (Download-Verzeichnis) aufbewahrt werden sollen. Nach Ablauf dieser Zeit werden die Dateien automatisch gelöscht. Der Eintrag von Null Tagen führt zu einer unbegrenzten Aufbewahrungszeit, d.h. es erfolgt keine automatische Löschung. Warnung: Bei intensiver Systemnutzung durch zahlreiche Benutzer kann es zu Betriebsstörungen infolge Überschreitung des verfügbaren Festplattenplatzes kommen, wenn die zeitgesteuerte Löschung von Dateien deaktiviert wird. |
| Papierkorb: Lebensdauer* | Zeit in Tagen, wie lange Dateien von Benutzern in dem Ordner für den Papierkorb aufbewahrt werden sollen. Nach Ablauf dieser Zeit werden die Dateien automatisch gelöscht. Der Eintrag von Null Tagen führt zu einer unbegrenzten Aufbewahrungszeit, d.h. es erfolgt keine automatische Löschung. Warnung: Bei intensiver Systemnutzung durch zahlreiche Benutzer kann es zu Betriebsstörungen infolge Überschreitung des verfügbaren Festplattenplatzes kommen, wenn die zeitgesteuerte Löschung von Dateien deaktiviert wird. |
| Audio-Unterstützung* | Globale Aktivierung der Audio-Unterstützung für die VNC-Benutzer von TightGate™-Pro. Ob Audio für den jeweiligen Benutzer tatsächlich verfügbar ist, wird durch maint individuell pro Benutzer eingestellt. Hinweis: Ist die Audiounterstützung an dieser Stelle deaktiviert, bleiben die benutzerindividuellen Einstellungen als Administrator maint ohne Wirkung. Die Klienten können in diesem Fall keine Tonsignale wiedergeben. Zu beachten ist weiterhin, dass auch nach Aktivierung der Audiowiedergabe mittels dieser Einstelloption noch zusätzlich benutzerindividuelle Einstellungen als Administrator maint vorzunehmen sind. Es darf nicht automatisch davon ausgegangen werden, dass sämtliche Benutzer Tonsignale wiedergeben können, wenn die globale Audiounterstützung als Administrator config aktiviert wurde. |
| Benutzer-Shell erlauben* | Erlaube den Start einer Eingabeaufforderung durch die Benutzer. |
| Zeitserver für Klienten* | In der Regel kann diese Einstellung deaktiviert bleiben. Die Freigabe eines Zeitservers über TightGate™-Pro kann erforderlich werden, wenn ausnahmslos der gesamte Netzwerkverkehr zu den Arbeitsplatzrechnern zwangsläufig über TightGate™-Pro geführt wird (sogenannter „Enforcing”-Modus). Dies ist jedoch bei allen neueren Installationen regelmäßig nicht der Fall. Im Zweifelsfall sollte in dieser Frage der technische Kundendienst der m-privacy GmbH in Anspruch genommen werden. |
| Nagios-NRPE-Unterstützung* | Wenn der ReCoBS-Server durch den System-Überwachungsdienst Nagios überwacht werden soll, muss diese Einstellung aktiviert sein. Bei Nutzung der automatischen Lastverteilung im Cluster ist NRPE zwingend erforderlich. |
Administrationsvorgaben
| config > Einstellungen | |
| Menüpunkt | Beschreibung |
| Doppelanmeldung* | Sensitive Eingriffe, wie Fernwartung oder Fehlerbehebung in produktiven Systemen, können bei Bedarf oder entsprechenden Anforderungen revisionssicher protokolliert werden. Dies bedeutet insbesondere, dass nachträgliche Änderungen oder das Löschen von Protokolldaten nicht unkontrolliert möglich sind. TightGate™-Pro ermöglicht revisionssichere Protokollierung mit Doppelanmeldung. Ein Administrator muss sich in diesem Fall zusätzlich als normaler Benutzer authentisieren. Ist die Doppelanmeldung an dieser Stelle aktiviert, wird sie zwingend für die Administratoren security, root, config, maint, backuser und update vorgeschrieben. |
| Fernadministration* | Aktivierung des SSH-Zugangs zur Wartung aktivieren oder deaktivieren. |
| Wartung und Updates | Hier wird das Zugangsverfahren zum Updateserver eingestellt, um Fernwartungsarbeiten ausführen oder Updates der TightGate™-Pro einspielen zu können. Fernwartung ist üblicherweise nur nach zusätzlicher Freischaltung durch den Administrator maint möglich. Warnung: Diese Einstellungen sollten nur in Absprache mit dem technischen Kundendienst der m-privacy GmbH vorgenommen und unmittelbar anschließend sorgfältig auf korrekte Funktion überprüft werden. Fehlerhafte Einstellungen können zu Betriebsstörungen und Sicherheitsrisiken führen. |
| Neustart (zeitgesteuert) | TightGate™-Pro kann bei Bedarf turnusmäßig neu gestartet werden. Nach Auswahl eines Wochentags kann auch die gewünschte Stunde hinterlegt werden. Wird kein Wochentag ausgewählt, erfolgt generell kein automatischer Neustart. Hinweis: Ein regelmäßiger Neustart ist aus technischer Sicht nicht erforderlich, kann aber durch lokale Vorschriften gefordert sein. Achtung: Bei einem Cluster sollten alle Knoten entweder gleichzeitig (Dienstunterbrechung!) oder im Abstand von mindestens einer Stunde neu gestartet werden, da sonst Störungen bis hin zu einem Datenverlust auftreten können. |
| Cluster-Einstellungen | Konfigurationsparameter im Zusammenhang mit einem Verbundrechnersystem. Diese Einstellung wird werkseitig vorgenommen. Hinweis: Bei aktiviertem Verbundrechnersystem erhalten sämtliche Einstelloptionen, die für den gesamten Verbund gelten, zur Kennzeichnung die Markierung (*). |
| Statusseite: Passwort* | Wird an dieser Stelle ein Passwort gesetzt, muss es zum Aufruf der Statusseite von TightGate™-Pro klientenseitig unter http://localhost eingegeben werden. Hinweis: Die Systemstatistiken auf der Statusseite werden im Stundenrhythmus aktualisiert. Kurzfristige Änderungen sind daher unter Umständen nicht sichtbar. |
Achtung: Nach Verlassen der jeweiligen Menüs muss der aktuelle Stand der Einstellungen jeweils explizit mit der Schaltfläche Speichern gesichert werden. Anschließend bewirkt die Schaltfläche Sanft Anwenden die Aktivierung der gespeicherten Einstellungen einschließlich etwaiger Änderungen.
Hinweis: Nach Änderung von Netzwerkkarten-Treibern muss TightGate™-Pro neu gestartet werden. Die notwendigen Einstellungen können im laufenden Betrieb zwar gespeichert, jedoch erst nach einem Neustart übernommen werden.
Authentisierungsmethoden
Warnung: Die Konfiguration der Authentifizierung über LDAP oder Kerberos-5 ist nur durch fachkundiges Personal vorzunehmen. Fehlerhafte Einstellungen können zu erheblichen Betriebsstörungen führen. Aufgrund der Komplexität der Anmeldemethoden wird empfohlen, den technischen Kundendienst der m-privacy GmbH zurate zu ziehen.
Die Authentisierungsmethoden werden als Administrator config unter den Menüpunkt Einstellungen > Authentisierungs-Methode eingestellt. Es bestehen derzeit drei Möglichkeiten, die Benutzer für das TightGate™-Pro-System zu authentifizieren:
- RSBAC: Authentifizierung der Benutzer durch die lokale Benutzerverwaltung
- LDAP: Authentifizierung der Benutzer durch einen LDAP-Server im Netzwerk
- Kerberos-5: Authentifizierung der Benutzer durch einen Active-Directory-Server oder ein anderes Kerberos-System im Netzwerk
Hinweis: Die Untermenüs im Hauptmenüpunkt Authentisierung werden je nach gewählter Methode hinsichtlich der verfügbaren Einstelloptionen angepasst.
RSBAC-Authentifizierung
Für die RSBAC-Authentifizierung sind folgende Einstellungen im Menü vorzunehmen:
| config > Einstellungen > Authentisierung | |
| Menüpunkt | Beschreibung |
| Zurück | Rückkehr zum Hauptmenü. |
| Authentisierungs-Methode* | RSBAC-Lokal Die Benutzerverwaltung erfolgt mit dieser Einstellung über das in TightGate™-Pro integrierte System. Hinweis: Entsprechend dieser Auswahl werden die übrigen Menüpunkte angepasst. Wird das Untermenü später erneut aufgerufen, werden nur die Menüpunkte angezeigt, die zur jeweiligen Auswahl in diesem Feld passen. |
| Benutzer-Zertifikate automatisch* | Mit Aktivierung dieser Einstelloption wird für jeden neu angelegten Benutzer automatisch ein SSL-Zertifikat zum Single Sign-on erzeugt. Für spezielle Anwendungsszenarien. |
| Benutzerverz. automatisch* | Bei Aktivierung dieser Einstelloption wird automatisch ein Benutzerkonto angelegt, sobald eine Anmeldung an TightGate™-Pro mit einem vorab erstellten Massenzertifikat erfolgt. Wird diese Einstelloption deaktiviert, kann über manuelles Anlegen der jeweiligen Benutzerkonten gesteuert werden, zu welchem Zeitpunkt ein (ggf. bereits vorab auf die Arbeitsplatzrechner verteiltes) Zertifikat die Anmeldung an TightGate™-Pro tatsächlich ermöglichen soll. Hinweis: Wird das einem Zertifikat zugehörige Benutzerkonto weder automatisch noch manuell angelegt, ist keine Anmeldung an TightGate™-Pro möglich. |
| Benutzernamen in Kleinbuchstaben* | Bei Aktivierung dieser Einstelloption werden alle Benutzernamen zwangsläufig in Kleinbuchstaben gewandelt. Dies vermeidet insbesondere Komplikationen bei der Authentisierung über LDAP oder Active Directory. |
| Lokales Passwort* | Diese Einstelloption legt fest, ob ein Anmeldung mit Benutzername und Passwort zulässig sein soll. Sofern die zertifikatsbasierte Anmeldung gewählt wurde, kann auf diese Option verzichtet werden. Parallele Verwendung von zertifikatsbasierter und passwortbasierter Anmeldung ist jedoch grundsätzlich möglich. Achtung: Wird die Doppelanmeldung für Administratorrollen aktiviert, muss der hierzu herangezogene Benutzer in jedem Fall über ein gültiges Passwort verfügen. Insbesondere ist darauf zu achten, dass Passorte von selten verwendeten Benutzerkonten u. U. zwischenzeitlich abgelaufen sein können. Die Doppelanmeldung schlägt in diesem Fall fehl. |
| Mehrere Transfer-Benutzer* | Wird diese Option aktiviert, kann maint für bis zu 99 unabhängige transfer-Administratoren Kennworte festlegen. Achtung: Die transfer-Administratoren werden erst dann im Menü des Administrators maint angezeigt, nachdem dessen Konsolensitzung neu gestartet wurde. |
Achtung: Nach Verlassen der jeweiligen Menüs muss der aktuelle Stand der Einstellungen explizit mit der Schaltfläche Speichern gesichert werden. Anschließend bewirkt die Schaltfläche Sanft anwenden die Aktivierung der gespeicherten Einstellungen einschließlich etwaiger Änderungen.
LDAP-Authentisierung
| config > Einstellungen > Authentisierung | |
| Menüpunkt | Beschreibung |
| Zurück | Rückkehr zum Hauptmenü. |
| Authentisierungs-Methode* | LDAP: Die Benutzer werden auf dem TightGate™-Pro Server angelegt, die Passwortauthentisierung erfolgt aber gegen einen LDAP-Server. Hinweis: Entsprechend dieser Auswahl werden die übrigen Menüpunkte angepasst. Wird das Untermenü später erneut aufgerufen, werden nur die Menüpunkte angezeigt, die zur jeweiligen Auswahl in diesem Feld passen. |
| Benutzer-Zertifikate automatisch* | Mit Aktivierung dieser Einstelloption wird für jeden neu angelegten Benutzer automatisch ein SSL-Zertifikat zum Single Sign-on erzeugt. Für spezielle Anwendungsszenarien. |
| Benutzerverz. automatisch* | Bei Aktivierung dieser Einstelloption wird automatisch ein Benutzerkonto angelegt, sobald eine Anmeldung an TightGate™-Pro mit einer im LDAP hinterlegten Benutzerkennung erfolgt. Wird diese Einstelloption deaktiviert, kann über manuelles Anlegen der jeweiligen Benutzerkonten gesteuert werden, zu welchem Zeitpunkt eine (ggf. bereits vorab auf LDAP angelegte) Benutzerkennung die Anmeldung an TightGate™-Pro tatsächlich ermöglichen soll. Hinweis: Wird das einer LDAP-Benutzerkennung zugehörige Benutzerkonto weder automatisch noch manuell angelegt, ist keine Anmeldung an TightGate™-Pro möglich. |
| Benutzernamen in Kleinbuchstaben* | Bei Aktivierung dieser Einstelloption werden alle Benutzernamen zwangsläufig in Kleinbuchstaben gewandelt. Dies vermeidet insbesondere Komplikationen mit LDAP-Servern, die Groß- und Kleinschreibung im Gegensatz zu TightGate™-Pro nicht unterscheiden. |
| Lokales Passwortzulassen* | Diese Einstelloption legt fest, ob ein Anmeldung mit Benutzername und Passwort zulässig sein soll. Sofern die zertifikatsbasierte Anmeldung gewählt wurde, kann auf diese Option verzichtet werden. Parallele Verwendung von zertifikatsbasierter und passwortbasierter Anmeldung ist jedoch grundsätzlich möglich. Achtung: Wird die Doppelanmeldung für Administratorrollen aktiviert, muss der hierzu herangezogene Benutzer in jedem Fall über ein gültiges Passwort verfügen. Insbesondere ist darauf zu achten, dass Passorte von selten verwendeten Benutzerkonten u. U. zwischenzeitlich abgelaufen sein können. Die Doppelanmeldung schlägt in diesem Fall fehl. |
| LDAP Authentisierung-Bind-DN* | Benutzername und Passwort zum Zugriff auf die LDAP-Passwortdatenbank. |
| LDAP Base* | Name der LDAP default base DN (z.B. dc=example, dc=com). |
| LDAP Server-Netzwerke* | Falls die LDAP-Server mit DNS-Namen angegeben werden, z.B. wegen einer Lastverteilung, sind hier die möglichen IP-Netze einzutragen. |
| LDAP Server 1* | DNS oder IPv4 |
| LDAP Protokoll 1* | Auswahl zwischen dem ungesicherten LDAP (Port 389) oder einer gesicherten LDAP-Verbindung (Port 636, LDAP durch SSL getunnelt). |
| LDAP Server 2* | DNS oder IPv4 |
| LDAP Protokoll 2* | Auswahl zwischen dem ungesicherten LDAP (Port 389) oder einer gesicherten LDAPS-Verbindung (Port 636, LDAP durch SSL getunnelt). |
Achtung: Nach Verlassen der jeweiligen Menüs muss der aktuelle Stand der Einstellungen explizit mit der Schaltfläche Speichern gesichert werden. Anschließend bewirkt die Schaltfläche Sanft anwenden die Aktivierung der gespeicherten Einstellungen einschließlich etwaiger Änderungen.
Kerberos-5
Für die Kerberos-5-Authentifizierung sind folgende Einstellungen im Menü vorzunehmen:
| config > Einstellungen > Authentisierungs-Methode | |
| Menüpunkt | Beschreibung |
| Zurück | Rückkehr zum Hauptmenü. |
| Authentisierungs-Methode* | Kerberos-5: Die Benutzer werden auf dem TightGate™-Pro Server angelegt, die Authentisierung erfolgt gegen einen Active Directory Server (Win2003). |
| Benutzer-Zertifikate automatisch* | Mit Aktivierung dieser Einstelloption wird für jeden neu angelegten Benutzer automatisch ein SSL-Zertifikat zum Single Sign-on erzeugt. Für spezielle Anwendungsszenarien. |
| Benutzerverz. automatisch* | Bei Aktivierung dieser Einstelloption wird automatisch ein Benutzerkonto angelegt, sobald eine Anmeldung an TightGate™-Pro über Kerberos bzw. mit einer im Active Directory hinterlegten Benutzerkennung erfolgt. Wird diese Einstelloption deaktiviert, kann über manuelles Anlegen der jeweiligen Benutzerkonten gesteuert werden, zu welchem Zeitpunkt ein Kerberos-Konto oder eine (ggf. bereits vorab im Active directory hinterlegte) Benutzerkennung die Anmeldung an TightGate™-Pro tatsächlich ermöglichen soll. Hinweis: Wird das einem Kerberos-Konto oder einer Benutzerkennung im Active Directory zugehörige Benutzerkonto weder automatisch noch manuell angelegt, ist keine Anmeldung an TightGate™-Pro möglich. |
| Benutzernamen in Kleinbuchstaben* | Bei Aktivierung dieser Einstelloption werden alle Benutzernamen zwangsläufig in Kleinbuchstaben gewandelt. Dies vermeidet insbesondere Komplikationen mit Kerberos-Servern, die Groß- und Kleinschreibung im Gegensatz zu TightGate™-Pro nicht unterscheiden. |
| Lokales Passwort zulassen* | Diese Einstelloption legt fest, ob eine Anmeldung mit lokalem RSBAC-Passwort zulässig sein soll. Sofern die zertifikatsbasierte Anmeldung gewählt wurde, kann auf diese Option verzichtet werden. Parallele Verwendung von zertifikatsbasierter und passwortbasierter Anmeldung ist jedoch grundsätzlich möglich. Achtung: Wird die Doppelanmeldung für Administratorrollen aktiviert, muss der hierzu herangezogene Benutzer in jedem Fall über ein gültiges Passwort verfügen. Insbesondere ist darauf zu achten, dass Passworte von selten verwendeten Benutzerkonten u. U. zwischenzeitlich abgelaufen sein können. Die Doppelanmeldung schlägt in diesem Fall fehl. |
| Kerberos Realm1)* | Name des Kerberos Realm. Das Kerberos-Realm kann über den Befehl ksetup.exe auf der Kommandozeile angezeigt werden. Das Realm bei Windows Active Directory Servern ist immer komplett in Großbuchstaben zu schreiben. |
| Kerberos KDC 1* | IPv4-Adresse des ersten Kerberos-Servers (AD-Server). |
| Kerberos KDC 2* | IPv4-Adresse des zweiten Kerberos-Servers (AD-Server). |
| Kerberos Admin Server* | IPv4-Adresse des Kerberos-Admin-Servers (AD-Server). |
USV - Unterbrechungsfreie Stromversorgung
| config > Einstellungen > Unterbrechungsfreie Stromversorgung | |
| Menüpunkt | Beschreibung |
| Zurück | Rückkehr zum Hauptmenü |
| Master | Angaben zum Master-Server, von dem die Informationen einer USV übernommen werden. Der Master-Server ist in folgender Form anzugeben: [Name der USV]@[IPv4-Adresse des Master Servers]. Ist die USV direkt an die Appliance angeschlossen, muss dieses Feld leer bleiben. |
| Master-Server-Benutzer | Benutzername für die USV auf dem Master-Server. |
| Passwort des Master-Benutzers | Benutzer-Passwort für die USV auf dem Master-Server. |
| Administrator-Benutzer | Benutzername für den USV-Administrator auf dem Master-Server. Dieser ist unabhängig vom Benutzer. |
| Administrator-Benutzer-Passwort | Administrator-Passwort für den USV-Administrator auf dem Master-Server. |
Achtung: Nach Verlassen der jeweiligen Menüs muss der aktuelle Stand der Einstellungen explizit mit der Schaltfläche Speichern gesichert werden. Anschließend bewirkt die Schaltfläche Sanft Anwenden die Aktivierung der gespeicherten Einstellungen einschließlich etwaiger Änderungen.
Proxy-Filter (Inhaltsfilter)
Neben der sicheren Darstellung von Inhalten aus dem Internet bietet TightGate™-Pro auch die Möglichkeit zur inhaltlichen Kontrolle und Beschränkung der Internetnutzung. Der Inhaltsfilter von TightGate™-Pro arbeitet als Zwangsproxy anhand definierbarer Kriterien. Folgende Kategorien werden dabei berücksichtigt:
- White- und Blacklisten für URLs und Domains (Webseitenfilterung)
- Filtern von Dateiendungen (Dateifilterung)
- Filtern nach Schlagworten und aufgrund von Heuristiken (Inhaltsfilter)
Allgemeines zum URL-Filter
Die Funktionsweise des URL-Filters ist ähnlich der eines Spamfilters. Es werden für bestimmte unerwünschte Schlagworte oder Phrasen aus verschiedenen Kategorien Punkte vergeben. Ist die Summe der Punkte höher als ein festgelegter Schwellwert, wird die Seite blockiert. Die zu verwendenden Heuristiken werden nicht manuell gepflegt, sondern auf Wunsch von einem externen Service im Abonnement bezogen (es entstehen ggf. weitere Kosten). Dem Administrator wählt die gewünschten Kategorien und pflegt erforderlichenfalls White- und Blacklisten.
Grenzen des Inhaltsfilters: Ein Inhaltsfilter ist nur so treffsicher wie seine Heuristiken. Diese sind immer statisch und können fein justiert werden. Das System kann jedoch nicht einschätzen, weswegen einzelne Seiten aufgerufen werden. Vereinzelt unerwünschte Sperren sind ebenso wie die gelegentliche Anzeige unerwünschter Inhalte auch bei sorgfältiger Konfiguration nicht völlig auszuschließen. Es ist eine Abwägung vorzunehmen, welche Inhalte in jedem Fall global gesperrt werden sollen und inwiefern Einschränkungen im Produktivbetrieb unter Inhaltsaspekten akzeptabel sind. Im Zweifelsfall sollte die Heuristik toleranter eingestellt und zuverlässig zu blockierende Inhalte in die Blacklist aufgenommen werden.
Konfiguration des URL-Filters
Zur Aktivierung und Konfiguration des URL-Filters ist die Anmeldung als Administrator config erforderlich.
| config > Einstellungen > Proxy-Filter | |
| Menüpunkt | Beschreibung |
| Zurück | Rückkehr zum Hauptmenü. |
| Deaktivieren | Ein- bzw. Abschalten des URL-Filters. |
| Abonnierungs-URL | Link zu Aktualisierungen des URL-Filters. Hinweis: Die Bestimmungen zu den jeweils gültigen Lizenzen sind z.B. unter URLBlacklist.com abrufbar. |
| Abonnierungs-Aktualisierungen | Häufigkeit der Aktualisierungen des URL-Filters. Hinweis: Die Bestimmungen zu den jeweils gültigen Lizenzen sind z.B. unter URLBlacklist.com abrufbar. |
| Erlaube Umgehen des Filters | Angabe der Zeit in Sekunden, für die eine eigentlich gesperrte Seite für den Benutzer dennoch verfügbar ist. Ruft ein Benutzer eine durch den URL-Filter gesperrte Seite auf, so erscheint ein Fenster mit der Meldung, dass die URL blockiert wurde. Wird der in der Meldung gezeigte Link aufgerufen, erfolgt die Anzeige der betreffenden Seite unabhängig von den Sperreinstellungen. Für die angegebene Zeit ist die Seite dann für den Benutzer voll verfügbar. Achtung: Ist hier eine Zeit angegeben, können innerhalb des Zeitfensters sämtliche unerwünschten Inhalte aufgerufen werden. Je nach Anwendungsfall kann die Option “Ungefiltertes Web” eine sinnvollere Alternative sein. Eingabe des Werts 0 verhindert die Umgehung des Inhaltsfilters. |
| Schwellwert | Punktewert, ab dem der Inhalt einer Seite blockiert wird. |
| Zugriff-Verweigert-Text | Text, der den Benutzern auf der Hinweisseite in der zweiten Spalte angezeigt wird. Hinweis: Hier sollte ein administrativer Kontakt, z.B. die Telefonnummer des lokalen Helpdesk, angezeigt werden, damit Benutzer irrtümlich gesperrte Seiten melden und bei Bedarf freischalten lassen können. |
| Kategorien (Phrasen) | Auswahl der zu filternden Kategorien. Eine Übersicht über alle Kategorien mit kurzer Beschreibung ist unter http://www.URLBlacklist.com in englischer Sprache zu finden. |
| Kategorien (Sperrliste) | Auswahl der über den Administrator maint zu pflegenden White- und Blacklisten. Es können Domains und / oder Adressen einbezogen werden. |
| Dateiendungs-Blacklist | Auswahl zu verbietender Dateiendungen. Dateiendungen werden nur nach dem Namen, nicht jedoch nach dem Dateityp gefiltert. |
| MIME-Typen Blacklist | Auswahl zu verbietender Dateitypen. Achtung: Diese Auswahl ist nicht mit der Auswahl der Dateitypen für die Schleuse zu verwechseln. Dateitypen, die an dieser Stelle verboten werden, können erst gar nicht aus dem Internet abgerufen werden. |
Festlegung des Schwellwertes
Der Schwellwert legt fest, ab welcher Punkteanzahl der URL-Filter Inhalte einer Seite blockiert. Die nachfolgende Übersicht gibt Anhaltspunkte für geeignete Schwellwerte.
| Schwellwert | Beschreibung |
| 50 | Sehr restriktive Einstellung (geeignet für Kinder). |
| 100 | Restriktive Einstellung (geeignet für Jugendliche). |
| 160 | Einstellungen für junge Erwachsene. |
| 200 | Einstellung für den Normalbetrieb in einer Behörde oder in einem Unternehmen. |
Beispielübersicht über Kategorien und Schwellwerte
Die nachfolgende Übersicht stellt ermittelte Schwellwerte des URL-Filters für einzelne bekannte Internetangebote dar.
Hinweis: Die Auswahl der Seiten stellt keine inhaltliche Wertung dar, sondern dient als Orientierungshilfe zum besseren Verständnis zur Festlegung des Schwellwertes.
Hinweis: Die Höhe des Schwellwerts ist nur eine Momentaufnahme zum Zeitpunkt der Erstellung dieser Übersicht. Der Schwellwert einer Seite ändert sich fortwährend mit deren Inhalt.
| Internetseite | Schwellwert | Genre |
| www.bild.de | 170 | Tageszeitung |
| www.sueddeutsche.de | 190 | Tageszeitung |
| www.web.de | 30 | Webportal |
| www.playboy.de | 386 | Magazin |
| www.gala.de | 10 | Magazin |
| www.brigitte.de | 13 | Magazin |
| www.ard.de | 10 | Funk & Fernsehen |
| www.sat1.de | 10 | Funk & Fernsehen |
| www.prosieben.de | 70 | Funk & Fernsehen |
| www.m-privacy.de | 5 | Sonstige |
| www.bsi.de | 5 | Sonstige |
Die nachfolgende Übersicht stellt die Auswahl von Kategorien dar, anhand derer die oben angeführten Schwellwerte ermittelt wurden.
| Kategorie | Wert |
| badwords | weighted_german |
| illegaldrugs | weighted |
| warezhacking | weighted |
| nudism | weighted |
| pornography | weighted, weighted_german |
| proxies | weighted |
| violence | weighted |
Einstellungen zu White- und Blacklisten (als maint)
Vorbereitende Maßnahme: Damit der Webseitenfilter funktioniert, muss dieser zunächst als Administrator config unter config > Einstellungen > Proxy-Filter > Kategorien (Sperrliste) > custom freigeschaltet werden.
Um einzelne URLs oder Domänen zu den White- oder Blacklisten hinzuzufügen, ist die Anmeldung als Administrator maint erforderlich.
| maint > Webseiten-Filter | |
| Menüpunkt | Beschreibung |
| Zurück | Rückkehr zum Hauptmenü. |
| Domänen sperren | Eingabe der Domänen, welche vom Inhaltsfilter gesperrt werden sollen. Die Domäne kann dabei auch unter Zuhilfenahme von Wildcards (*) angegeben werde. Beispiel: Die Domäne von EBAY kann für alle Länder mit www.ebay.* komplett verboten werden. |
| URLs sperren | Eingabe der URL, welche gesperrt werden soll. Achtung: Die Angabe von www.ebay.de reicht nicht aus, um alle Unterseiten von EBAY zu sperren. Blockiert würde nur die Hauptseite. |
| Domänen freischalten | Diese Einstellung funktioniert analog zur Einstellung für die Sperrung von Domänen. |
| URLs freischalten | Diese Einstellung funktioniert analog zur Einstellung für die Sperrung von URLs |
Inhaltsfilter für einzelne Benutzer umgehen
TightGate™-Pro bietet die Möglichkeit, die Inhaltskontrolle für einzelne Benutzer zu umgehen. Die Umgehung des Inhaltsfilters für einzelne Benutzer wird durch den Administrator maint unter dem Menüpunkt maint > Benutzerverwaltung > Ungefiltertes Web freigeschaltet.
Achtung: Ist für einen Benutzer der ungefilterte Zugriff auf das Web eingestellt, so erfolgt für diesen Benutzer keinerlei Inhaltskontrolle. Weiterhin muss ein Benutzer sich nach der Umstellung durch maint erneut an TightGate™-Pro anmelden, damit der ungefilterte Webzugriff möglich ist. Der Neustart des Browsers reicht nicht aus.
Lizenzverwaltung
Um die von TightGate™-Pro bereitgestellten Dienste nutzen zu können, muss eine gültige Lizenz erworben und ordnungsgemäß im System hinterlegt werden. In Zweifelsfall unterstützt und berät der technische Kundendienst der m-privacy GmbH in allen Fragen zur Lizenzierung von TightGate™-Pro.
Einspielen der Lizenz
Der nachfolgende Prozess erfordert den Zugang zur Administrationsoberfläche von TightGate™-Pro als Administrator config.
Die seitens der m-privacy GmbH erhältliche Lizenzdatei ist in das Transfer-Verzeichnis des Administrators config zu kopieren.
/home/user/config/transfer
Dies kann durch den Administrator config oder transfer über das mitgelieferte Schleusenprogramm erfolgen oder ein anderes Programm, welches das SFTP-Protokoll beherrscht.
Das eigentliche Einspielen der Lizenz erfolgt durch den Administrator config. Bei Aufruf des Menüpunkts config > Lizenz importieren werden sämtliche Lizenzdateien angezeigt, die in oben angegebenem Verzeichnis hinterlegt wurden. Die benötigte Lizenzdatei ist auszuwählen und der Import mit OK zu bestätigen.
Achtung: Die Lizenz wird wirksam, nachdem im Hauptmenü Speichern und Sanft anwenden gewählt wurden.
Hinweis: Bei Verbundrechnersystemen (Clustersystemen) müssen Lizenzdateien nur auf einem Rechner des Verbunds (Node) eingespielt werden. Die Verteilung der Lizenzen auf die übrigen Nodes des Clusters erfolgt im laufenden Betrieb automatisch. Es kann jeweils nur eine Lizenzdatei zur gleichen Zeit eingespielt werden.
Prüfung der Lizenzkapazität
Es besteht jederzeit die Möglichkeit, die Anzahl verfügbarer Lizenzen auszulesen. Als Administrator config kann die Lizenzdatei über den Menüpunkt config > Lizenzdatei anzeigen abgerufen werden. Weiterhin kann jeder VNC-Benutzer die Zahl verfügbarer Lizenzen über die Statusseite von TightGate™-Pro aufrufen über
http://localhost/
Je nach Voreinstellung ist die Eingabe von Zugangsdaten des speziellen Accounts status erforderlich.
Hinweis: Das Passwort für den Account status wird bei der Installation des Systems vergeben. Soll das Passwort geändert werden, geschieht dies als Administrator config über das Menü config > Einstellungen > Status: Passwort.