Benutzerverwaltung per Benutzerzertifikaten

TightGate-Pro unterstützt die zertifikatsbasierte Anmeldung ohne Eingabe von Benutzername und Passwort für die Klienten-Betriebssysteme Windows und Linux. Die zertifikatsbasierte Anmeldung setzt voraus, dass die Benutzer bereits im TightGate-Pro existieren. Dies kann durch das manuelle Anlegen von Benutzern erfolgen oder durch den Import von Benutzern.

Die Benutzervorgaben, wie z. B. der Dateitransfer oder die Audioübertragung werden dabei aus den systemweiten Benutzervorgaben des Administrators config verwendet.

Das wird benötigt

  • Es können nur die seitens der m-privacy GmbH bereitgestellten Klientenprogramme verwendet werden.
  • Ein auflösbarer DNS-Name, unter dem TightGate-Pro aus dem internen Netz an­gesprochen werden kann, muss vorhanden sein.

So geht's

Vorbereitende Maßnahmen

  • Anmeldung als Administrator config
  • Eintragung des auflösbaren DNS-Namens für das betreffende System unter Einstellungen > SSL-Name im Zertifikat. Der unter SSL-Name im Zertifikat eingetragene Hostname wird im jeweiligen Zertifikat als Common Name (CN) hinterlegt. Wird der Hostname in der SSL CN geändert, so sind alle Klientenzerti­fikate neu zu generieren und an die Klienten zu verteilen (oder zumindest auf allen Klienten die Konfi­gurationsdateien anzupassen). Vor der Erstellung der Klientenzertifikate und deren Verteilung empfiehlt es sich unbedingt, sorgfältig auf Eintragung des richtigen Hostnamens zu achten.
  • Speichern und Anwenden durchführen.

Zertifikate für bestehende Benutzer erzeugen

  • Anmeldung als Administrator maint
  • Unter Benutzerverwaltung > Erzeuge SSL-Schlüssel für einzelne Gruppen oder alle Benutzer (Gruppe Everyone) SSL-Zertifikate erzeugen. Nach dem Erzeugen wird gefragt, ob die Schlüssel gleich exportiert werden sollen.

Zertifikate auf Klienten verteilen

  • Öffnen der Dateischleuse mit den Anmeldedaten des Administrators config
  • Wechsel in das Verzeichnis certs. Dort befindet sich jeweils ein Ordner mit dem Namen eines jeden angelegten Benutzers mit einer Reihe von Zertifikaten und Konfigurationsdateien. Diese Dateien (nicht der Ordner an sich) sind nach %APPDA­TA%\vnc\ auf dem Klientenrechner zu kopieren, von dem aus auf TightGate-Pro zugegriffen werden soll.

Hinweis

Falls der Ordner certs in der Schleuse von config nicht angezeigt werden kann, prüfen Sie bitte die Einstellungen der TightGate-Schleuse.

Sollen Zertifikate einzelner Benutzer widerrufen werde, damit eine Anmeldung nicht mehr möglich ist, so ist dies mit nachfolgender Anleitung möglich. Sofern ein Benutzer gelöscht wird, werden ebenfalls alle für ihn herausgegebenen Zertifikate gesperrt. Es ist also nicht notwendig Zertifikate vor dem Löschen eines Benutzers zu widerrufen.

So geht's

  • Anmeldung als Administrator maint
  • Auswahl des Menüpunkts Benutzerverwaltung > Rückruf Zertifikat
  • Auswahl der Benutzerkennungen, für welche die Zertifikate gesperrt werden sollen (Auswahl erfolgt durch Markieren mit der Leertaste)
  • Nach der Bestätigung der Auswahl werden alle Zertifikate der ausgewählten Kennungen widerrufen.

Achtung

Widerrufene Zertifikate können nicht entsperrt oder reaktiviert werden. Nötigenfalls sind neue Zertifikate zu erzeugen und wie oben angegeben abzurufen und zu verteilen. In Clustersystemen wird die Sperre nach einer Wartezeit bis zu 10 Minuten für die Anmeldung mit dem TightGate-Viewer und die Nutzung der TightGate-Schleuse wirksam. Bereits aufgebaute Verbindungen bleiben im Fall einer Zertifikatssperre bis zur manuellen oder automatischen Abmeldung vom System bestehen. Dies betrifft den TightGate-Viewer und die TightGate-Schleuse gleichermaßen.

Alternativ zur Zertifikatserzeugung für bereits vorhandene Benutzerkennungen, können Benutzerzertifi­kate auch in beliebigen Kontingenten im Voraus erzeugt werden. Benutzer können sich damit auch ohne Benutzeraccount an TightGate-Pro anmelden. Dieser wird im Zuge des ersten Anmelde­vorgangs automatisch generiert, was den Administrationsaufwand vermindert.

Vorbereitende Maßnahmen

  • Anmeldung als Administrator config
  • Unter Einstellungen > Authentisierungsmethode den Menüpunkt Benutzer­verz. automatisch > Cert auf ja setzen
  • Speichern und Anwenden

So geht's

  • Anmeldung als Administrator maint
  • Auswahl des Menüpunkts Benutzerverwaltung > Massen-SSL-Schlüssel
    Es startet ein Assistent, der ein Präfix und die Anzahl zu erzeugender Zertifikate ab­fragt. Der Präfix bildet den konstanten Teil des späteren Benutzernamens, ergänzt um eine laufende Nummer. Diese beginnt bei einem wählbaren Wert und endet bei der Anzahl der zu erzeugenden Zerti­fikate. Die erzeugten Zertifikate werden automatisch in das Transfer-Verzeichnis von config kopiert und können dort abgeholt und verteilt werden.

Hinweise

  • Die automatisch generierten Benutzernamen legen bei der ersten Anmeldung mit dem er­zeugten Zertifikat eine gleichlautende Benutzerkennung (Benutzerkonto, Account) auf TightGate-Pro an. Diese kann nachträglich nicht verändert werden.
  • Es wird keine Benutzerkennung (Account) auf TightGate-Pro erzeugt, solange ein Zertifikat nur generiert, jedoch noch nicht zur Anmeldung an TightGate-Pro ver­wendet wurde. Die Benutzerverwaltung von TightGate-Pro enthält damit stets nur solche Kennungen, die tatsächlich bereits zur Anmeldung verwendet wurden - unabhängig von der Zahl der im Voraus erzeugten Zertifikate.

Entfernt wird ein Benutzer, indem er auf TightGate-Pro nach dieser Anleitung gelöscht wird.

Hinweise zum Löschen bei einer Benutzerverwaltung mittels Benutzerzertifikaten
Die komplette Löschung des Benutzers ruft auch alle Benutzerzertifikate (SSL-Zertifikate), mit denen sich der Benutzer angemeldet hat zurück. Eine Anmeldung mit den Zertifikaten ist fortan nicht mehr möglich.