Dienste

Wählen Sie die Authentifizierungsserver für die Firewall und andere Dienste wie VPN aus. Sie können globale Authentifizierungseinstellungen sowie Einstellungen für Kerberos und NTLM, Web-Client und RADIUS-Single Sign-On vornehmen. Maßnahmen für Internetrichtlinien erlauben Ihnen festzulegen, wohin unauthentifizierte Benutzer geleitet werden.

Firewall-Authentifizierungsmethoden

Authentifizierungsserver, der für Firewall-Verbindungen verwendet werden soll.

Authentifizierungsserverliste
Konfigurierte Authentifizierungsserver.
Ausgewählter Authentifizierungsserver
Server, der für die Authentifizierung verwendet werden soll. Um Benutzer für diesen Dienst zu authentifizieren, müssen Sie mindestens einen Server auswählen. Sie können einen externen Server oder die lokale Datenbank angeben, das heißt, die Benutzer und Gruppen, die Sie auf der Firewall konfiguriert haben. Wenn mehr als ein Server ausgewählt ist, wird die Authentifizierungsanfrage in der angegebenen Reihenfolge weitergeleitet.
Standardgruppe
Gruppe, die für Benutzer verwendet werden soll, die sich authentifizieren, aber nicht in der Firewall konfiguriert sind. Benutzer, die nicht Teil einer lokalen Gruppe sind, werden der Standardgruppe zugewiesen.

VPN-Authentifizierungsmethoden

Authentifizierungsserver, der für VPN-Verbindungen verwendet werden soll.

Die gleichen Authentifizierungsmethoden verwenden wie für die Firewall
Ziehen Sie alle Authentifizierungsserver, die für den Firewallverkehr eingerichtet sind, auch für die Authentifizierung von VPN-Datenverkehr heran.
Authentifizierungsserverliste
Konfigurierte Authentifizierungsserver.
Ausgewählter Authentifizierungsserver
Server, der für die Authentifizierung verwendet werden soll. Um Benutzer für diesen Dienst zu authentifizieren, müssen Sie mindestens einen Server auswählen. Sie können einen externen Server oder die lokale Datenbank angeben, das heißt, die Benutzer und Gruppen, die Sie auf der Firewall konfiguriert haben. Wenn mehr als ein Server ausgewählt ist, wird die Authentifizierungsanfrage in der angegebenen Reihenfolge weitergeleitet. Wenn Sie einen RADIUS-Server auswählen, können PPTP- und L2TP-Verbindungen, die mithilfe von MSCHAPv2- oder CHAP aufgebaut wurden, über RADIUS authentifiziert werden.

Administrator-Authentifizierungsmethoden

Server, der für die Authentifizierung von Administrator-Benutzern verwendet werden soll.

Anmerkung Administrator-Authentifizierungseinstellungen betreffen nicht den Super-Administrator.
Die gleichen Authentifizierungsmethoden verwenden wie für die Firewall
Ziehen Sie alle Authentifizierungsserver, die für den Firewallverkehr eingerichtet sind, auch für die Authentifizierung von Administratoren heran.
Authentifizierungsserverliste
Konfigurierte Authentifizierungsserver.
Ausgewählter Authentifizierungsserver
Server, der für die Authentifizierung verwendet werden soll. Um Benutzer für diesen Dienst zu authentifizieren, müssen Sie mindestens einen Server auswählen. Sie können einen externen Server oder die lokale Datenbank angeben, das heißt, die Benutzer und Gruppen, die Sie auf der Firewall konfiguriert haben. Wenn mehr als ein Server ausgewählt ist, wird die Authentifizierungsanfrage in der angegebenen Reihenfolge weitergeleitet.

SSL-VPN-Authentifizierungsmethoden

Authentifizierungsserver, der für SSL-VPN-Verbindungen verwendet werden soll.

Dieselbe wie für VPN
Verwenden Sie dieselbe Authentifizierungsmethode wie für den VPN-Verkehr.
Dieselbe wie für die Firewall
Verwenden Sie dieselbe Authentifizierungsmethode wie für den Firewallverkehr.
Authentifizierungsserverliste
Konfigurierte Authentifizierungsserver.
Ausgewählter Authentifizierungsserver
Server, der für die Authentifizierung verwendet werden soll. Um Benutzer für diesen Dienst zu authentifizieren, müssen Sie mindestens einen Server auswählen. Sie können einen externen Server oder die lokale Datenbank angeben, das heißt, die Benutzer und Gruppen, die Sie auf der Firewall konfiguriert haben. Wenn mehr als ein Server ausgewählt ist, wird die Authentifizierungsanfrage in der angegebenen Reihenfolge weitergeleitet.

Allgemeine Einstellungen

Maximale Sitzungszeitüberschreitung
Maximale Sitzungsdauer für Benutzer, die sich erfolgreich an einem Dienst angemeldet haben. Sobald die Zeit abgelaufen ist, wird der Benutzer abgemeldet.

Die Firewall überprüft die Autorisierung alle drei Minuten. Mögliche Gründe, die die Sitzungsdauer begrenzen, sind Zugriffsrichtlinien, Surfkontingente, Datentransferbeschränkungen und die maximale Sitzungsdauer.

Diese Einstellung betrifft nur administrative Sitzungen.

Gleichzeitige Anmeldungen
Maximale Anzahl an gleichzeitigen Sitzungen, die Benutzern gestattet ist.
Anmerkung Diese Beschränkung betrifft nur Benutzer, die hinzugefügt wurden, nachdem Sie diesen Wert eingestellt haben.

NTLM-Einstellungen

Einstellungen für Windows Challenge/Response, die für Active-Directory-Authentifizierung verwendet wird.

Inaktivitätsdauer
Inaktivitätsdauer, nach der der Benutzer abgemeldet wird.
Mindestdatendurchsatz
Minimale Datenmenge, die während der Inaktivitätsdauer übertragen werden soll. Wird das Mindestdatenvolumen nicht innerhalb des festgelegten Zeitraums übertragen, wird der Benutzer als inaktiv markiert.
HTTP-Challenge-Umleitung auf Intranetzone
Wenn eine im Internet gehostete Seite die NTLM-Web-Proxy-Challenge zur Authentifizierung beginnt, leitet die Appliance die NTLM-Authentifizierungs-Challenge in die Intranetzone um. Der Client wird transparent über die lokale Schnittstellen-IP der Appliance authentifiziert und die Benutzerdaten werden nur im Intranet ausgetauscht. Die Benutzerdaten bleiben geschützt. Wenn diese Einstellung ausgeschaltet ist, wird der Client vom Browser über die Appliance transparent authentifiziert, indem die Benutzerdaten über das Internet gesendet werden.

Webclient-Einstellungen

Einstellungen für iOS, Android und API.

Inaktivitätsdauer
Inaktivitätsdauer, nach der der Benutzer abgemeldet wird.
Mindestdatendurchsatz
Minimale Datenmenge, die während der Inaktivitätsdauer übertragen werden soll. Wird das Mindestdatenvolumen nicht innerhalb des festgelegten Zeitraums übertragen, wird der Benutzer als inaktiv markiert.

SSO mit RADIUS-Accounting-Anfrage

Einstellungen für RADIUS Single Sign-On. Die Firewall kann Benutzer, die bereits an einem RADIUS-Server authentifiziert wurden, transparent authentifizieren.

RADIUS-Client IPv4
IPv4-Adresse des RADIUS-Clients. Für SSO werden nur Anfragen für die angegebene IP-Adresse berücksichtigt.
Vereinbarter Schlüssel
Textzeichenfolge, die als Kennwort zwischen dem Client und dem Server dient.

Chromebook SSO

Einstellungen für Chromebook Single Sign-On. Die Firewall kann Benutzer, die bereits an einem Chromebook wurden, transparent authentifizieren. Um Chromebook SSO-Authentifizierung einzurichten, folgen Sie den Anweisungen in Chromebook Single Sign-On konfigurieren.

Domäne
Der Domänenname, der bei G Suite registriert ist.
Port
Die Portnummer, mit der sich Chromebooks aus dem LAN or WLAN heraus verbinden.
Zertifikat
Das Zertifikat, das für die Kommunikation mit den Chromebooks verwendet wird. Es muss die folgenden Anforderungen erfüllen:
  • Es muss einen privaten Schlüssel haben.
  • Es muss eine zugehörige Zertifizierungsstelle installiert sein.
  • Der allgemeine Name des Zertifikats (CN) muss mit der Zone oder dem Netzwerk des Chromebook-Benutzers übereinstimmen, z.B. gateway.example.com.
Protokollierungsstufe
Wählen Sie den Umfang der Protokollierung.