Dienste

Wählen Sie die Authentifizierungsserver für die Firewall und andere Dienste wie VPN aus. Sie können auch globale Authentifizierungseinstellungen, NTLM-Einstellungen, Webclient-Einstellungen und RADIUS Single-Sign-On-Einstellungen konfigurieren. Maßnahmen für Internetrichtlinien erlauben Ihnen festzulegen, wohin unauthentifizierte Benutzer geleitet werden.

Firewall-Authentifizierungsmethoden

Authentifizierungsserver, der für Firewall-Verbindungen verwendet werden soll.

Authentifizierungsserverliste
Konfigurierte Authentifizierungsserver.
Ausgewählter Authentifizierungsserver
Server, der für die Authentifizierung verwendet werden soll. Um Benutzer für diesen Dienst zu authentifizieren, müssen Sie mindestens einen Server auswählen. Sie können einen externen Server oder die lokale Datenbank angeben, das heißt, die Benutzer und Gruppen, die Sie auf der Firewall konfiguriert haben. Wenn mehr als ein Server ausgewählt ist, wird die Authentifizierungsanfrage in der angegebenen Reihenfolge weitergeleitet.
Standardgruppe
Gruppe, die für Benutzer verwendet werden soll, die sich authentifizieren, aber nicht in der Firewall konfiguriert sind. Benutzer, die nicht Teil einer lokalen Gruppe sind, werden der Standardgruppe zugewiesen.

VPN-Authentifizierungsmethoden

Authentifizierungsserver, der für VPN-Verbindungen verwendet werden soll.

Die gleichen Authentifizierungsmethoden verwenden wie für die Firewall
Ziehen Sie alle Authentifizierungsserver, die für den Firewallverkehr eingerichtet sind, auch für die Authentifizierung von VPN-Datenverkehr heran.
Authentifizierungsserverliste
Konfigurierte Authentifizierungsserver.
Ausgewählter Authentifizierungsserver
Server, der für die Authentifizierung verwendet werden soll. Um Benutzer für diesen Dienst zu authentifizieren, müssen Sie mindestens einen Server auswählen. Sie können einen externen Server oder die lokale Datenbank angeben, das heißt, die Benutzer und Gruppen, die Sie auf der Firewall konfiguriert haben. Wenn mehr als ein Server ausgewählt ist, wird die Authentifizierungsanfrage in der angegebenen Reihenfolge weitergeleitet. Wenn Sie einen RADIUS-Server auswählen, können PPTP- und L2TP-Verbindungen, die mithilfe von MSCHAPv2- oder CHAP- aufgebaut wurden, über RADIUS authentifiziert werden.

Administrator-Authentifizierungsmethoden

Server, der für die Authentifizierung von Administrator-Benutzern verwendet werden soll.

Hinweis: Administrator-Authentifizierungseinstellungen betreffen nicht den Super-Administrator.
Die gleichen Authentifizierungsmethoden verwenden wie für die Firewall
Ziehen Sie alle Authentifizierungsserver, die für den Firewallverkehr eingerichtet sind, auch für die Authentifizierung von Administratoren heran.
Authentifizierungsserverliste
Konfigurierte Authentifizierungsserver.
Ausgewählter Authentifizierungsserver
Server, der für die Authentifizierung verwendet werden soll. Um Benutzer für diesen Dienst zu authentifizieren, müssen Sie mindestens einen Server auswählen. Sie können einen externen Server oder die lokale Datenbank angeben, das heißt, die Benutzer und Gruppen, die Sie auf der Firewall konfiguriert haben. Wenn mehr als ein Server ausgewählt ist, wird die Authentifizierungsanfrage in der angegebenen Reihenfolge weitergeleitet.

SSL-VPN-Authentifizierungsmethoden

Authentifizierungsserver, der für SSL-VPN-Verbindungen verwendet werden soll.

Dieselbe wie für VPN
Verwenden Sie dieselbe Authentifizierungsmethode wie für den VPN-Verkehr.
Dieselbe wie für die Firewall
Verwenden Sie dieselbe Authentifizierungsmethode wie für den Firewallverkehr.
Authentifizierungsserverliste
Konfigurierte Authentifizierungsserver.
Ausgewählter Authentifizierungsserver
Server, der für die Authentifizierung verwendet werden soll. Um Benutzer für diesen Dienst zu authentifizieren, müssen Sie mindestens einen Server auswählen. Sie können einen externen Server oder die lokale Datenbank angeben, das heißt, die Benutzer und Gruppen, die Sie auf der Firewall konfiguriert haben. Wenn mehr als ein Server ausgewählt ist, wird die Authentifizierungsanfrage in der angegebenen Reihenfolge weitergeleitet.

Allgemeine Einstellungen

Maximale Sitzungszeitüberschreitung
Maximale Sitzungsdauer für Benutzer, die sich erfolgreich an einem Dienst angemeldet haben. Sobald die Zeit abgelaufen ist, wird der Benutzer abgemeldet.

Die Firewall überprüft die Autorisierung alle drei Minuten. Mögliche Gründe, die die Sitzungsdauer begrenzen, sind Zugriffsrichtlinien, Surfkontingente, Datentransferbeschränkungen und die maximale Sitzungsdauer.

Diese Einstellung betrifft nur administrative Sitzungen.

Gleichzeitige Anmeldungen
Maximale Anzahl an gleichzeitigen Sitzungen, die Benutzern gestattet ist.
Hinweis: Diese Beschränkung betrifft nur Benutzer, die hinzugefügt wurden, nachdem Sie diesen Wert eingestellt haben.

NTLM-Einstellungen

Einstellungen für Windows Challenge/Response, die für Active-Directory-Authentifizierung verwendet wird.

Inaktivitätsdauer
Inaktivitätsdauer, nach der der Benutzer abgemeldet wird.
Mindestdatendurchsatz
Minimale Datenmenge, die während der Inaktivitätsdauer übertragen werden soll. Wird das Mindestdatenvolumen nicht innerhalb des festgelegten Zeitraums übertragen, wird der Benutzer als inaktiv markiert.
HTTP-Challenge-Umleitung auf Intranetzone
Wenn eine im Internet gehostete Seite die NTLM-Web-Proxy-Challenge zur Authentifizierung beginnt, leitet die Appliance die NTLM-Authentifizierungs-Challenge in die Intranetzone um. Der Client wird transparent über die lokale Schnittstellen-IP der Appliance authentifiziert und die Benutzerdaten werden nur im Intranet ausgetauscht. Die Benutzerdaten bleiben geschützt. Wenn diese Einstellung ausgeschaltet ist, wird der Client vom Browser über die Appliance transparent authentifiziert, indem die Benutzerdaten über das Internet gesendet werden.

Webclient-Einstellungen

Einstellungen für iOS, Android und API.

Inaktivitätsdauer
Inaktivitätsdauer, nach der der Benutzer abgemeldet wird.
Mindestdatendurchsatz
Minimale Datenmenge, die während der Inaktivitätsdauer übertragen werden soll. Wird das Mindestdatenvolumen nicht innerhalb des festgelegten Zeitraums übertragen, wird der Benutzer als inaktiv markiert.

SSO mit RADIUS-Accounting-Anfrage

Einstellungen für RADIUS Single Sign-On. Die Firewall kann Benutzer, die bereits an einem RADIUS-Server authentifiziert wurden, transparent authentifizieren.

RADIUS-Client IPv4
IPv4-Adresse des RADIUS-Clients. Für SSO werden nur Anfragen für die angegebene IP-Adresse berücksichtigt.
Vereinbarter Schlüssel
Textzeichenfolge, die als Kennwort zwischen dem Client und dem Server dient.

Chromebook SSO

Einstellungen für Chromebook Single Sign-On. Die Firewall kann Benutzer, die bereits an einem Chromebook wurden, transparent authentifizieren. Um Chromebook SSO-Authentifizierung einzurichten, folgen Sie den Anweisungen in Chromebook Single Sign-On konfigurieren.

Domäne
Der Domänenname, der bei G Suite registriert ist.
Port
Die Portnummer, mit der sich Chromebooks aus dem LAN or WLAN heraus verbinden.
Zertifikat
Das Zertifikat, das für die Kommunikation mit den Chromebooks verwendet wird. Der Zertifikat-CN muss mit der Zone oder dem Netzwerk übereinstimmen, wo sich die Chromebook-Benutzer befinden, z.B. gateway.example.com.
Protokollierungsstufe
Wählen Sie den Umfang der Protokollierung.

Internetrichtlinien-Maßnahmen für nicht authentifizierte Benutzer

Legen Sie Einstellungen für unauthentifizierte Benutzer im Benutzerportal fest.

Nicht authentifizierte Benutzer zum Anmelden auffordern
Leiten Sie die Zugriffsanfrage eines nicht authentifizierten Benutzers entweder auf das Captive-Portal um oder auf die Seite mit selbstdefinierter Nachricht. Wenn diese Einstellung ausgeschaltet ist, wird der Verkehr von unauthentifizierten Benutzern verworfen.
Anmeldeaufforderungsmethode
Methode, mit der unauthentifizierte Benutzer umgeleitet werden sollen.
Captive-Portal verwendet HTTPS
Sicheren Zugriff auf das Captive-Portal durch den Einsatz von HTTPS bieten.
Link zum Benutzerportal zur Verfügung stellen
Einen Link zum vollständigen Benutzerportal auf der Captive-Portal-Seite bereitstellen.
Nach der Anmeldung zu einer URL weiterleiten
Den Benutzer nach erfolgter Anmeldung auf die vom Benutzer angefragte Seite umleiten oder zu einer selbstdefinierten Seite.
Nach Anmeldung Captive-Portal beibehalten
Captive-Portal minimieren, sobald der Benutzer authentifiziert ist.
Keep Alive verwenden, um die Sitzung des Benutzers aufrecht zu erhalten
Keep-Alive-Nachrichten verwenden, um die Benutzerverbindung zum Captive-Portal zu erhalten. Wenn die Firewall keine Antwort erhält vom Benutzer erhält, wird der Benutzer automatisch abgemeldet.
Tipp: Diese Einstellung ausschalten, wenn mehrere gleichzeitige Benutzer vorhanden sind.
Benutzerinaktivitätszeitüberschreitung
Inaktivitätsdauer, nach der der Benutzer abgemeldet wird.
Mindestdatendurchsatz
Minimale Datenmenge, die während der Inaktivitätsdauer übertragen werden soll. Wird das Mindestdatenvolumen nicht innerhalb des festgelegten Zeitraums übertragen, wird der Benutzer als inaktiv markiert.

Selbstdefinierte Nachrichtenoptionen

Bild Seitenkopf
Bild, das in der Kopfzeile der selbstdefinierten Nachrichtenseite angezeigt werden soll. Unterstützte Formate:JPG, PNG und GIF.
Bild Fußzeile
Bild, das in der Fußzeile der eigenen Nachrichtenseite angezeigt werden soll. Unterstützte Formate:JPG, PNG und GIF.
Eigene Nachricht
Anzuzeigende Nachricht.