Verwaltung der Benutzer (Active Directory)
Wird TightGate-Pro an einen Active Directory (AD) Verzeichnisdienst angebunden, können Benutzer automatisch per Single Sign-on authentisiert werden, sobald sie sich an ihrer Arbeitsplatzstation in derselben AD-Domäne angemeldet haben. Weiterhin können wesentliche Merkmale der Benutzerkonten zentral im AD gepflegt werden, was die Verwaltung von TightGate-Pro speziell in größeren Infrastrukturen signifikant erleichtert.
Das wird benötigt:
Benutzergruppen/Sicherheitsgruppen im Active Directory anlegen
Das Anlegen bzw. Ändern eines Benutzers (oder Gruppe von Benutzern) erfolgt durch das Hinzufügen oder Entfernen zu den definierten Sicherheitsgruppen auf dem AD. Ist ein Benutzer Mitglied der Sicherheitsgruppe TGProUser, so kann er sich anmelden. Die weiteren Optionen für den Benutzer werden durch die Mitgliedschaft in entsprechenden Sicherheitsgruppen definiert. Bei der ersten Anmeldung per AD wird das Benutzerverzeichnis auf TightGate-Pro erzeugt. Dadurch benötigt die Initiale Anmeldung etwas länger.
Warnung
Die Namen (Gruppennamen) der Sicherheitsgruppen von TightGate-Pro im Active Directory müssen den Gruppennamen enthalten. Davor und danach können Zeichen hinzugefügt werden. Ist der Gruppenname nicht im Namen der Sicherheitsgruppe enthalten, schlägt die Anmeldung des TightGate-Viewers am TightGate-Pro fehl.
So geht's
Zur Änderung der für einen Benutzer oder eine Benutzergruppe gewünschten Attribute müssen die Mitgliedschaften der betreffenden Benutzer oder Benutzergruppen aus den Sicherheitsgruppen hinzugefügt bzw. entfernt werden. Bei der nächsten Anmeldung des Benutzers mit dem TightGate-Viewer werden die Attribute wirksam. Eine Übersicht über alle für TightGate-Pro verfügbaren Sicherheitsgruppen gibt nachfolgende Tabelle mit Beschreibung und Empfehlung:
| Gruppenname | Berechtigung auf TightGate-Pro | Empfehlung für normale Nutzer |
|---|---|---|
| TGProUser | Benutzungsberechtigung von TightGate-Pro | Ja |
| TGtransfer | Benutzungsberechtigung für die Dateischleuse. Die Berechtigung kann über diese Gruppe nur erteilt oder entzogen werden. Eine weitergehende Konfiguration hinsichtlich Übertragungsrichtungen und erlaubter Dateitypen ist nur über die Mitgliedschaft in der/den Gruppen TGtransferN möglich. | Ja |
| TGtransferN | Transfergruppe N, zur Definition erlaubter MIME-TYPEN für den Dateitransfer. Beispiel: tgtransfer1, Groß- und Kleinschreibung ist dabei egal, tgtransfer01 mit führender 0 funktioniert nicht. Ist ein Benutzer in mehreren Transfergruppen, so werden die Rechte der einzelnen Gruppen kumuliert. Die Mitgliedschaft in der Gruppe TGtransfer ist zu Nutzung obligatorisch. Es können bis zu 99 Transfer-Gruppen auf TightGate-Pro definiert werden. | Ja |
| TGaudio | Berechtigung für die Soundübertragung vom Internet | Ja |
| TGtransferSpool | Berechtigung für die automatische Druckausgabe auf dem Windows Arbeitsplatzrechner. | Ja |
| TGunfiltered | Berechtigung ohne Inhaltsfilter von TightGate-Pro das Internet nutzen können. | Ja |
| TGchromeicon | Anzeige des Chrome-Browsers in der Menüleiste des TightGate-Viewers | Optional |
| TGopswat | Zuweisung der Dateischleuse über OPSWAT. Die Mitgliedschaft in dieser Gruppe ist zwingend erforderlich, sofern OPSWAT verwendet werden soll. Ist eine Kennung nicht in dieser Gruppe, wird OPSWAT nicht verwendet und alle Gruppen-Mitgliedschaften in den TGopswatN-Gruppen werden ignoriert. Damit OPSWAT wirksam verwendet werden kann, ist zusätzlich noch eine Mitgliedschaft in einer TGopswatN-Gruppe zu setzen. Ist keine Mitgliedschaft in einer TGopswatN-Gruppe vorhanden wird immer die Standard-Regel des OPSWAT verwendet. | Optional |
| TGopswatN | OPSWAT-Gruppe 1-9 zur Zuweisung der zu verwenden OPSWAT-Regel. Die Gruppe TGopswatN weißt einem Benutzer die zu verwendende OPSWAT-Regel zu. Es darf pro Benutzer nur eine TGopswatN-Gruppe verwendet werden, da es sonst zu Fehlern kommen kann. Die TGoposwatN-Gruppen korrelieren mit den als config angelegten OPSWAT-Rules. Beispiel: tgopswat1, Groß- und Kleinschreibung ist egal, tgopswat01 mit führender 0 funktioniert nicht. | Optional |
| TGtoricon | Anzeige des TOR-Browsers in der Menüleiste des TightGate-Viewers –> Anleitung zur Nutzung des TOR-Browsers in TightGate-Pro | Optional |
| TGbebpoicon | Anzeige des beBPo-Klienten in der Menüleiste des TightGate-Viewers –> Anleitung zur Nutzung des besonderen elektronischen Behördenpostfachs (beBPo) in TightGate-Pro | Optional |
| TGfiltergroupN | Webfilter-Gruppe N; zur Zuweisung der zwangsweisen Nutzung des Webfilters. Es wird pro Benutzer nur eine Webfilter-Gruppe verwendet. Ist ein Benutzer in mehreren Webfilter-Gruppen, so verwendet TightGate-Pro automatisch nur die Rechte aus der höchsten Webfilter-Gruppe. Eine Kumulierung von Rechten aus mehreren Gruppen findet nicht statt. Es können bis zu 99 Webfilter-Gruppen definiert werden. Beispiel: tgfiltergroup1, Groß- und Kleinschreibung ist dabei egal, tgfiltergroup01 mit führender 0 funktioniert nicht. | Optional |
| TGmaxfilesize | Mitglieder in dieser Gruppe dürfen Dateien verarbeiten, die größer als 4GB sind. | Optional |
| TGtransferAuto | Berechtigung zur Nutzung der automatischen Dateischleuse. | Optional |
| TGnoidleTimeout | Auswahl, ob die Kennung von der Zwangstrennung bei Inaktivität ausgenommen wird. Die Trennung beim Erreichen der Maximalen Sitzungsdauer wird damit nicht aufgehoben. | Optional |
| TGbandwidth | Nutzung der Bandbreitenoptimierung des TightGate-Viewers. Die Darstellungsqualität ist um eine Stufe herabgesetzt, dafür wird die benötigte Bandbreite deutlich reduziert. | Empfohlen für WAN |
| TGbandwidthhigh | Nutzung der maximalen Bandbreitenoptimierung des TightGate-Viewers. Es wird maximal am TightGate-Pro komprimiert. Die Bandbreitennutzung schrumpft bei dieser Komprimierung auf ein fünftel der normalen Bandbreite, dafür steigt der CPU-Verbrauch am TightGate-Pro stark an. Warnung: Diese Kompressionsstufe benötigt sehr hohe CPU-Ressourcen am TightGate-Pro UND auf dem lokalen Arbeitsplatz-PC, was die Leistungsfähigkeit des gesamten TightGate-Pro Systems beeinträchtigen Kann. Bitte nehmen Sie vor der Umsetzung dieser Kompression Kontakt mit dem technischen Kundendienst der m-privacy GmbH auf und lassen sich dazu beraten. | Nein |
| TGprivileged | Zusätzliche Berechtigung sich als privilegierter Benutzer anzumelden. Es ist zusätzlich immer die Mitgliedschaft in der Sicherheitsgruppe TGProUser erforderlich sowie eine TightGate-Pro Lizenz, welche privilegierte Benutzer zulässt. | Nein |
| TGadminMaint | Anmeldung als Administrator maint | Nein |
| TGadminConfig | Anmeldung als Administrator config | Nein |
| TGadminUpdate | Anmeldung als Administrator update | Nein |
| TGadminBackuser | Anmeldung als Administrator backuser | Nein |
| TGadminRoot | Anmeldung als Administrator root | Nein |
| TGadminSecurity | Anmeldung als Administrator security | Nein |
Hinweis: Abgelaufene Passworte sperren auch Benutzerkonten, die sich mit Single Sign-on (SSO) via Active Directory oder Benutzerzertifikate anmelden wollen. Sofern SSO verwendet wird, bitte das Passwort deaktivieren.
Benutzer entfernen/löschen
Entfernt wird ein Benutzer, indem er aus allen Sicherheitsgruppen von TightGate-Pro im AD entfernt wird. Nach dem Entfernen aus den Sicherheitsgruppen kann sich der Benutzer nicht mehr am TightGate-Pro anmelden. Soll der Benutzeraccount auf TightGate-Pro komplett gelöscht werden, so folgenden Sie bitte dieser Anleitung.
Hinweise zum Löschen bei einer Benutzerverwaltung mittels Active Directory Die komplette Löschung eines Benutzers ist nur dann wirksam, wenn der Benutzer ebenfalls aus den Sicherheitsgruppen TGProUser und TGtransfer im Active Directory entfernt wurde. Andernfalls wird der Benutzer automatisch neu angelegt, wenn der betreffenden Benutzer eine Anmeldung versucht.