Netzwerk-Konfiguration (config)
Melden Sie sich am Login-Prompt als Benutzer config an. Es erscheint das Menü zur Konfiguration der Netzwerkeinstellungen. Wählen Sie nun aus dem Hauptmenü den Menüpunkt Netzwerk. Sie gelangen in das Konfigurationsmenü für die Netzwerkeinstellungen. Es gibt folgende Menüeinstellungen:
Netzwerkeinstellungen für TightGate-Pro
| Menüpunkt | Beschreibung |
|---|---|
| Zurück | Verlassen des Menüs und Rückkehr ins Hauptmenü. |
| Speichern | Die Konfigurationsdatei wird abgespeichert, die Einstellungen werden jedoch noch nicht im System aktiviert. |
| Anwenden | Übernahme und Aktivierung der vorgenommenen Einstellungen im System. |
| Mailversand | Versand der Konfigurationseinstellungen per E-Mail, die Daten sind dabei unverschlüsselt. |
| Versand an Support | Verschlüsselter Versand der Konfigurationseinstellungen per E-Mail an die m-privacy GmbH oder den eingetragenen Dienstleister. |
| —– | |
| Systemname | Der Name dieses Rechners. |
| Domain | Die Domain für diesen Rechner. |
| —– | |
| Netzwerk-Interfaces | |
| Treiber | Der Netzwerktreiber für die ausgewählte Netzwerkkarte |
| IP-Adresse | Die IP-Adresse der ausgewählten Netzwerkkarte |
| Netzwerk-Maske | Die Netzwerkmaske für das ausgewählte Netzwerk |
| Gateway | Das Gateway/Firewall/Router, welches zwischen dem ausgewählten Netzwerk und dem TightGate™-Pro platziert ist. Ist dort keine weitere Firewall/Router so ist dieses Feld leer zu lassen. |
| —– | |
| Netzwerk-Adresse | Das Netzwerk des ausgewählten Netzes. Wird bei der Eingabe der IP-Adresse automatisch gesetzt, kann aber angepasst werden. |
| Broadcast | Die Broadcast-Adresse für das ausgewählte Netzwerk. |
| —– | |
| Interface abschalten | Soll die Netzwerkkarte nicht oder nicht mehr verwendet werden, so kann diese abgeschaltet werden. Die Einstellungen für die Netzwerkkarte gehen durch die Deaktivierung verloren. |
| Nameserver | IP-Adresse der Server für die DNS-Namensauflösung von TightGate™-Pro. Es können bis zu 25 Nameserver eingetragen werden, wobei bei einer Anfragen zu einer Namensauflösungen die Nameserver der Reihe nach abgearbeitet werden. |
| LPD Druckserver | Anlegen von LPD-Druckservern (Printserver Netzwerken). Die LPD-Druckserver werden als IP-Adresse angelegt, wobei sie in der Form [IP-Adresse/Valid Bits] angelegt werden. Z. B. 192.168.1.1/24 für Druckserver aus dem Bereich 192.168.1.1 - 192.168.1.255. Es können bis zu 25 LPD-Druckserver (Netzwerke) angelegt werden. |
| CUPS Druckserver | IP-Adresse des CUPS-Servers (Netzwerk). Wird hier kein CUPS-Server (Netzwerk) angeben, wird der lokale CUPS-Server verwendet. Zur Konfiguration des lokalen CUPS-Servers und zur Einrichtung von Druckern lesen Sie Bitte den Abschnitt Einrichtung von Druckern für den lokalen CUPS-Printserver. Es können bis zu 25 CUPS-Druckserver (Netzwerke) angelegt werden. |
| CUPS Admin-Passwort ändern | Änderung des Administrator-Passwortes für den CUPS-Druckserver (lpadmin) |
| —– | |
| Backup-Server | Einstellung der Backup-Server, auf die Sicherungen der Daten von TightGate™-Pro geschrieben werden. Die Backup-Server werden mit ihrer IP-Adresse angelegt. Es können bis zu 25 Backup-Server angelegt werden. |
| On-Access Antivirus Scanner | Auswahl des On-Access Scanners. Voraussetzung für die Benutzung ist die Installation des jeweiligen Scanners und der Besitz einer gültigen Lizenz. Vorinstalliert ist der freie Virenscanner Clam-AV, welcher immer verwendet werden kann. |
| On-Access Scanner status | Einstellung, ob der ausgewählte Virenscanner bei nächsten Systemstart aktiviert oder deaktiviert werden soll. |
| Strg-Alt-Entf-Aktion | Auswahl der ausgeführten Aktion beim Drücken der Tastenkombination Strg-Alt-Entf. |
| WWW-Status-Passwort | Setzen des Passorts mit dem die Web-Statusanzeige des TightGate™-Pro geschützt werden soll. Wird kein Passwort eingetragen ist die Status-Seite von allen TightGate™ Klienten aus erreichbar. Die Status-Seite ist auf dem TightGate™-Pro über die URL http://localhost/ zu erreichen. |
HINWEIS: Alle nachfolgenden Einstellungen für die Authentifizierung über LDAP, AD oder Kerberos sind nur durch geschultes Personal vorzunehmen. Wegen der Komplexität der einzelnen Anmeldemethoden raten wir dringend dazu, diese Einstellungen nur in Zusammenarbeit mit der m-privacy oder einem autorisierten Fachhändler vorzunehmen.
| Authentisierungs-Methode | Die Benutzerauthentifizierungs-Methode für die Anmeldung am TightGate™-Pro System. Dies wird im nächsten Abschnitt Authentisierungsmethoden beschrieben. |
| Pseudonyme verwenden | Einstellen, ob beim Anlegen neuer Benutzer automatisch Logging-Pseudonyme erzeugt werden sollen. Diese Pseudonymisierung bezieht sich ausschließlich auf die RSBAC-Logs. |
| USV | Einstellungen für die unabhängige Stromversorgung. Eine detaillierte Beschreibung dazu ist im Abschnitt USV-Unabhängige Stromversorgung zu finden. |
| —– | |
Netzwerk-Vorgaben für TightGate-Pro Klienten-Rechner
| WWW-Startseite | Die Homepage, welche bei neuen Benutzern im Browser voreingestellt wird. |
| HTTP Proxy (extern) | IP-Adresse des HTTP-Proxy-Servers, über den alle HTTP-Zugriffe in das Internet geleitet werden. Der Proxy-Server ist in der Form [IP-Adresse:Port] anzugeben, also 192.168.1.1:3128 für den Proxy-Server 192.168.1.1 über den Port 3128. |
| HTTP-Proxy_Netzwerk (extern) | Für den Fall, daß ein DNS-Name als Proxy eingetragen wird, benötigt das System eine Info, welche IP-Adressen sich dahinter verbergen. Bitte tragen sie hier die IP-Adresse/Netzwerk des Proxy-Servers ein. |
| FTP Proxy (extern) | IP-Adresse des FTP-Proxy-Servers, über den alle FTP-Zugriffe geleitet werden. Der Proxy-Server ist in der Form [IP-Adresse:Port] anzugeben, also 192.168.1.1:3128 für den Proxy-Server 192.168.1.1 über den Port 3128. |
| FTP-Proxy_Netzwerk (extern) | Für den Fall, daß ein DNS-Name als Proxy eingetragen wird, benötigt das System eine Info, welche IP-Adressen sich dahinter verbergen. Bitte tragen sie hier die IP-Adresse/Netzwerk des Proxy-Servers ein. |
| Parent-Proxy ist Squid | Auswahl ob der übergeordnete Proxy-Server ein Squid-Server ist. |
| Proxy-Ausnahmen | Namen oder Domänen, die direkt (ohne den Proxy) vom den TightGate™-Pro Klienten aus erreicht werden können und sollen. |
| Proxy-Filter | Einstellungen zur Inhaltsfilterung über den Proxy. Siehe dazu den Abschnitt "Proxy-Filter (Inhaltsfilter)" |
| Proxy-Protokoll | Einstellung, ob und wie die Zugriffe über den internen Proxy protokolliert werden sollen. Die Log-Dateien werden bei Protokollierung in die Datei access.log des Proxys geschrieben. |
| Socks-Proxy für Audio | Einstellung, ob das Audio-Protokoll direkt zum Klienten verbunden werden soll oder ob ein Socks-Proxy dazwischen geschaltet ist. |
| Proxy-Protokoll-Lebensdauer | Anzahl der Tage, die das Proxy-Protokoll aufgehoben und damit auch ausgewertet werden kann. |
| Zeit-Server | IP-Adressen der Zeitserver für TightGate™-Pro. Es können maximal 25 Zeit-Server angelegt werden. Bei Zeitunterschieden über einer Stunde ist ein Neustart notwendig, damit initial die Zeit richtig abgerufen werden kann. |
| POP/IMAP-Server | IP-Adressen der erlaubten POP3/IMAP-Mail-Server. |
| Standard-POP/IMAP | IP-Adresse des Mailservers, den alle neu angelegten Benutzer automatisch voreingestellt bekommen. |
| SMTP Server | IP-Adressen der erlaubten SMTP-Server. |
| Exchange Server | IP-Adressen von erlaubten Exchange Servern. Die Exchange Server sind in der Form [IP-Adresse:Port] anzugeben, also 192.168.1.26:691 für den Exchange Server 192.168.1.26 über den Port 691. |
| SSH-Server | IP-Adressen der SSH-Server, auf die über den TightGate™-Pro zugegriffen werden kann. Ist z.B. der TightGate™-Pro die einzige Schnittstelle zwischen dem internen Netz und einer Firewall, so kann hier die IP-Adresse der Firewall eingetragen werden, damit aus dem internen Netz per SSH auf die Firewall zugegriffen werden kann. Die Server sind jeweils in der Form [IP-Adresse/valid Bits] anzugeben. Es sind maximal 25 SSH-Server (Netzwerke) erlaubt. |
| FTP ausgehend | IP-Adressen der FTP-Server, auf die über den TightGate™‑Pro zugegriffen werden kann. Soll z. B. vom TightGate™‑Pro aus eine Website per FTP-Upload gepflegt werden, so muss hier die IP-Adresse des FTP-Servers eingetragen werden. Die Server sind jeweils in der Form [IP-Adresse/valid Bits] anzugeben. Es sind maximal 25 FTP-Server (Netzwerke) erlaubt. |
| HTTP ausgehend | IP-Adressen der HTTP-Server, auf die über den TightGate™‑Pro zugegriffen werden kann. Die Server sind jeweils in der Form [IP-Adresse/valid Bits] anzugeben. Es sind maximal 25 HTTP-Server (Netzwerke) erlaubt. |
| RDP/Citrix ausgehend | IP Adresse(n) von Citrix- oder Windows-Servern, auf die TightGate™-Pro Klienten direkt zugreifen können. Ein entsprechendes Remote Desktop-Programm steht den Klienten standardmäßig zur Verfügung. Die Benutzung wird im Benutzer-Handbuch unter Remote Desktop für Verbindungen zu CITRX- und Windows-Servern beschrieben. |
| IRC-Server | IP-Adressen der IRC-Server (Chat-Server), auf die über den TightGate™‑Pro zugegriffen werden kann. Die Server sind jeweils in der Form [IP-Adresse/valid Bits] anzugeben. Es sind maximal 25 Server (Netzwerke) erlaubt. |
| IM-Server | IP-Adressen der IM-Server (Instant Messaging), auf die über den TightGate™‑Pro zugegriffen werden kann. Die Server sind jeweils in der Form [IP-Adresse/valid Bits] anzugeben. Es sind maximal 25 Server (Netzwerke) erlaubt. |
| Syslog-Server | IP-Adressen der Syslog-Server, auf die über den TightGate™‑Pro zugegriffen werden kann. Die Server sind jeweils in der Form [IP-Adresse/valid Bits] anzugeben. Es sind maximal 25 Server (Netzwerke) erlaubt. |
| —– | |
Systemweite Dienstvorgaben
| Lokale Klienten-Netze | IP-Adressen der Netzwerke, die sich mit dem TightGate™-Pro Server verbinden dürfen. ACHTUNG: Das Klienten-Netz darf nicht den Adressbereich 0.0.0.0 mit Valid Bits 0 haben. Die Klienten-Netze sind jeweils in der Form [IP-Adresse/valid Bits] anzugeben. Es sind maximal 25 Klienten-Netzwerke erlaubt. |
| Verbotene Klienten-Netzwerke | IP-Adressen der Netzwerke, denen der Zugriff auf TightGate™-Pro verboten wird. Die Netze sind jeweils in der Form [IP-Adresse/valid Bits] anzugeben. Es können maximal 25 Netzwerke eingetragen werden. |
| Dateitransfer für alle Benutzer | Legt fest, ob alle Benutzer berechtigt sind, Daten aus dem TightGate™-Pro ins interne Netz oder umgekehrt zu transferieren. Ist dieser Menüpunkt auf Nein gesetzt, so kann kein Benutzer ohne Freischaltung durch die Rolle maint Dateien transferieren. |
| Dateitransfer-Typen | Dateitransfer Typenfilter zur Steuerung der erlaubten Dateitypen, die über die Schleuse in das interne Netz und vom internen Netz auf den TightGate™-Pro transferiert werden dürfen. Die Erkennung der Dateitypen in der Filterfunktion der Schleuse geschieht anhand der MIME-Typen. Der Dateitypenfilter ist ein Filter, der nur für den Transfer vom TightGate™-Pro zum Arbeitsplatz einzustellen ist. Für den Transfer vom Arbeitsplatz zum TightGate™-Pro System gibt es nur die Einstellung erlaubt/nicht erlaubt. Dieses An- bzw. Abstellen des Filters vom Arbeitsplatz zum TightGate™-Pro System geschieht über den Dateityp application/x-empty. Eine Liste der auswählbaren MIME-Typen enthält der Anhang MIME-Types. ACHTUNG: Sobald ein Dateityp ausgewählt wurde ist der Filter aktiv. Alle nicht ausgewählten Dateitypen werden dann blockiert. |
| Benutzerverz. autom. erzeugen | Bei der Benutzung der Kerberos- oder LDAP-Benutzerauthentifizierung kann man Benutzerverzeichnisse automatisch erzeugen lassen. Bei der Authentifizierung nur über UNIX, bitte den Wert auf NEIN setzen. |
| Standard Benutzerprofil | TightGate™-Pro bietet die Möglichkeit zwischen zwei Profilen auszuwählen. Das Profil Voll stellt alle Programme und Funktionalitäten von TightGate™-Pro zur Verfügung (Browser und E-Mail). Das Profil Browser reduziert die Benutzeroberfläche auf den Browser mit zugehörigen Hilfsanwendungen. |
| Standard-Mail-Programm | Auswahl des E-Mail-Programms, das die Benutzer über die Menüleiste starten können. |
| VNC-Config-Optionen | Einstellung, wie das Clipboard-Transferprogramm bei den Benutzern gestartet werden soll. Eine Übersicht, welche Optionen für welche Betriebssystem einzustellen sind, finden Sie im Abschnitt Texttransfer über die Zwischenablage. |
| Transfer der Zwischenablage | Einstellung, ob und welche Transferwege über die Zwischenablage zugelassen werden. |
| VNC Idle Timeout | Zeit in Sekunden, bis unbenutzte VNC-Verbindungen getrennt werden (voreingestellt sind 36000 = 10 Stunden). |
| VNC Bildverzögerung | Verzögerung der Bildaktualisierung in Millisekunden. Dies spart Bandbreite, da mehrere Änderungen gemeinsam übertragen werden (Standardwert ist 40). |
| Verfall /tmp | Einstellung der Zeit in Tagen, wie lange Dateien von Benutzern in dem Ordner für Temporär-Dateien (/tmp) aufbewahrt werden sollen. Nach Ablauf dieser Zeit werden die Dateien automatisch gelöscht. |
| Verfall /transfer | Einstellung der Zeit in Tagen, wie lange Dateien von Benutzern in dem Ordner für Transfer-Dateien (Dateischleuse) aufbewahrt werden sollen. Nach Ablauf dieser Zeit werden die Dateien automatisch gelöscht. |
| Verfall /download | Einstellung der Zeit in Tagen, wie lange Dateien von Benutzern in dem Ordner für Download-Dateien (Download-Verzeichnis) aufbewahrt werden sollen. Nach Ablauf dieser Zeit werden die Dateien automatisch gelöscht. |
| Audio-Unterstützung | Aktivierung der Audio-Unterstützung für die VNC-Benutzer von TightGate™-Pro. |
| Nagios NRPE Support | Wenn der TightGate™-Pro von dem System-Überwachungsdienst Nagios überwacht werden soll, so ist dieser Menüpunkt zu aktivieren. |
Aministrationsvorgaben
| Doppelanmeldung erforderlich | Sensitive Eingriffe, wie die Fernwartung oder die Fehlerbehebung in produktiven Systemen sollten revisionssicher protokolliert werden. Dies bedeutet insbesondere, dass nachträgliche Änderungen oder das Löschen von Protokolldaten nicht unkontrolliert möglich sein dürfen. Dem TightGate™-Pro wurde dazu die revisionssichere Prtokollierung mit der Doppelanmeldung eingebaut. Unter der Doppelanmeldung wird verstanden, dass ein Systembenutzer, der administrativ tätig wird sich zusätzlich als normaler Benutzer autorisieren muss. Ist die Doppelanmeldung aktiviert, so wird sie zwingend für die Benutzerrollen security, root, config, maint, backuser, update und revision vorgeschrieben. |
| Wartung | Die Einstellungen für den Wartungs- und Update-Zugang sind dazu vorgesehen, eine geeignete Zugang zu Ihren System zu konfigurieren. Hier können verschiedene Möglichkeiten des Zugangs zu Ihrem System eingestellt werden, um Fernwartungsarbeiten ausführen zu können oder einen Zugang zu schaffen, damit das System an dem automatischen Update-Verfahren teilnehmen kann. Die Einstellungen sollten Sie nur in Absprache mit dem technischen Kundendienst der m-privacy vornehmen. Bitte hier auch die IP-Adressen derjenigen Rechner eintragen, die für eine Fernwartung per SSH zugelassen werden sollen. Die IP-Adresse(n) sind in der Form a.b.c.d/n anzugeben. Mehrere IP-Adressen sind mit Leerzeichen voneinander zu trennen. |
| Bildschirmauflösungen | Es können bis zu 9 verschiedene Bildschirmauflösungen für den VNC-Viewer konfiguriert werden. Diese können auf die im Unternehmen eingesetzten Bildschirmgrößen und Auflösungen angepasst werden. Als Richtwert für Windows-Rechner kann folgender Wert genommen werden: -horizontale Auflösung des Arbeitsplatz-Bildschirms verringert um 1,5% -vertikale Auflösung verringert um 8% Bsp. Sie haben einen 19” Monitor mit einer Bildschirmauflösung von 1280×1024 Pixel. Dann wäre ein gute VNC-Auflösung 1260×940 Pixel. |
| —– | |
| Cluster-Einstellungen | Einstellungen für den Cluster-Betrieb von TightGate™-Pro. |
ACHTUNG
Wenn Sie alle Einstellungen vorgenommen haben verlassen die das jeweilige Menü. Speichern Sie nun alle Änderungen über den Menüpunkt Speichern ab und wenden Sie diese mit dem Menüpunkt Sanft Anwenden an. Erst nach dem Anwenden werden die neuen Einstellungen wirksam.
Nach der Änderung von Netzwerkkarten-Treibern müssen Sie den TightGate™-Pro Server neu starten, da die Netzwerkeinstellungen sonst nicht aktiviert werden können.