Authentifizieren auf dem LDAP-Server mit der Authentifizierungskarte (LDAP-IC-Kartenauthentifizierung)

Ablauf beim Einrichten der Einstellungen

Sie können festlegen, dass die Authentifizierung auf dem LDAP-Server anhand der Karten-ID vorgenommen wird, die auf der Authentifizierungskarte registriert ist (LDAP-IC-Kartenauthentifizierung).

Die Authentifizierung wird einfach durch Auflegen der IC-Karte durchgeführt. Dies erhöht die Sicherheit, ohne die einfache Bedienbarkeit des Systems für die Benutzer einzuschränken.

Gehen Sie bei der Authentifizierung anhand der Authentifizierungskarte folgendermaßen vor, um die Einstellungen einzurichten.

  1. Aktivieren Sie die Verwendung der IC-Kartenauthentifizierungseinheit auf diesem System ( [IC-Kartenauthentifizierung implementieren] )

  2. Grundeinstellungen für die LDAP-IC-Kartenauthentifizierung einrichten ( [Einrichten der Grundeinstellungen für die LDAP-IC-Kartenauthentifizierung] )

  3. Einstellungen entsprechend Ihrer Umgebung einrichten

    zusätzliche ErläuterungSSL-Kommunikation aufbauen ( [SSL-Kommunikation verwenden] )

Einrichten der Grundeinstellungen für die LDAP-IC-Kartenauthentifizierung

  1. Wählen Sie [Ben.authentifizier./Kostenst.] - [Einstellung für die LDAP-/IC-Karten-Authentifizierung] - [Einstellung für die LDAP-/IC-Karten-Authentifizierung] im Administratormodus von Web Connection (oder unter [Bedienerprogramm] - [Administrator] dieses Systems) und richten Sie die folgenden Einstellungen ein.

    Einstellung

    Beschreibung

    [Einstellung für die LDAP-/IC-Karten-Authentifizierung]

    Wenn die Authentifizierung über den LDAP-Server anhand der auf der Authentifizierungskarte registrierten Karten-ID vorgenommen werden soll, setzen Sie diese Option auf EIN (Standard: AUS).

  2. Wählen Sie [Ben.authentifizier./Kostenst.] - [Einstellung für die LDAP-/IC-Karten-Authentifizierung] - [Serverregistrierung] - [Bearbeiten] im Administratormodus von Web Connection (oder unter [Bedienerprogramm] - [Administrator] dieses Systems) und richten Sie die folgenden Einstellungen ein.

  3. Klicken Sie auf [Bearbeiten] für [1. Server] und richten Sie dann die folgenden Einstellungen ein.

    Einstellung

    Beschreibung

    [Name des LDAP-/IC-Kartenauthentifizierungsservers]

    Geben Sie den Namen des Authentifizierungsservers ein (max. 32 Zeichen).

    [Server für die externe Authentifizierung]

    Wählen Sie den externen Authentifizierungsserver, der für die Verknüpfung der LDAP-IC-Kartenauthentifizierung verwendet werden soll (Standard: [Keine Auswahl]).

    Wenn die Authentifizierung erfolgreich ist, werden die Benutzerauthentifizierungsinformationen auf dem System registriert, um Benutzer auf dem System verwalten zu können. Diese Authentifizierungsinformationen umfassen den Benutzernamen und den Namen des Servers für externe Authentifizierung. Der Name des hier ausgewählten externen Authentifizierungsservers wird zusammen mit dem Benutzernamen auf dem System registriert.

    [Registrierungseinstellung für Karteninformationen]

    Wenn die Authentifizierung auf dem System mit einer IC-Karte durchgeführt wird, die nicht im LDAP-Server registriert ist, legen Sie fest, ob die Karteninformationen im LDAP-Server registriert werden sollen (Standard: [AUS]).

    • [Sequentieller Server für die Kartenregistrierung]: Geben Sie den Server an, auf dem Karteninformationen registriert werden sollen. Wenn Sie [Primärer Server für Kartenregistrierung] wählen, werden die Karteninformationen im Server gespeichert, wenn die Authentifizierung auf dem primären und sekundären Server erfolgreich war.

    • [Benutzernamensattribut]: Geben Sie das Attribut ein, das als Benutzername gesucht werden soll.

    [Zeichentyp für Suche nach Karteninformationen]

    Wählen Sie die Umwandlungsmethode für die Suchzeichenfolge für die Suche nach der Karten-ID über den LDAP-Server (Standard: [Großbuchstaben/Kleinbuchstaben]).

    Wenn die Attributinformationen der Zielkarte auf dem Server zu Groß- und Kleinbuchstaben vereinheitlicht wird, können Sie in manchen Fällen den Zeichentyp der Suchzeichenfolge umwandeln und dadurch die Suchgeschwindigkeit reduzieren.

    • [Großbuchstaben/Kleinbuchstaben]: Wandelt die Karten-ID für die Suche in Groß- oder Kleinbuchstaben um.

    • [Großbuchstaben]: Wandelt die Karten-ID für die Suche in Großbuchstaben um.

    • [Kleinbuchstaben]: Wandelt die Karten-ID für die Suche in Kleinbuchstaben um.

    [Serveradresse]

    Geben Sie die LDAP-Server-Adresse ein. Verwenden Sie eines der folgenden Formate.

    • Eingabebeispiel für den Hostnamen: "host.beispiel.com"

    • Eingabebeispiel für die IP-Adresse (IPv4): "192.168.1.1"

    • Eingabebeispiel für die IP-Adresse (IPv6): "fe80::220:6bff:fe10:2f16"

    [Portnummer]

    Ändern Sie ggf. die Portnummer des LDAP-Servers (Standard: [389]).

    [Suchbasis 1] bis [Suchbasis 3]

    Geben Sie den Startpunkt und den Bereich für die Suche nach einem zu authentifizierenden Benutzer an.

    • [Suchbasis]: Geben Sie den Startpunkt für die Suche nach einem Ziel an (max. 255 Zeichen).
      Eingabebeispiel: "cn=Benutzer,dc=Beispiel,dc=com"

    • [Suchbereich]: Wählen Sie eine Baumstruktur als Suchbereich (Standard: [Ganze Baumstruktur]).
      [Ganze Baumstruktur]: Führt eine Suche einschließlich der Baumstruktur unterhalb des eingegebenen Startpunkts durch.
      [Nur nächste Hierarchie]: Die Suche wird nur eine Ebene direkt unter dem eingegebenen Startpunkt durchgeführt. In diesem Fall wird die Ebene am Startpunkt nicht als Suchziel einbezogen.

    [TX-Timeout]

    Ändern Sie ggf. die Timeout-Zeit, um die Kommunikation mit dem LDAP-Server zu beschränken (Standard: [60] Sek.).

    [Authentifizierungstyp]

    Wählen Sie das Authentifizierungsverfahren für die Anmeldung am LDAP-Server in Abhängigkeit von Ihrer Umgebung aus (Standard: [Einfach]).

    • [Anmeldename]: Geben Sie den Anmeldenamen ein, der für die LDAP-Authentifizierung verwendet wird (max. 64 Zeichen). Geben Sie in diesem Schritt den Benutzer (Name) ein, der einer spezifischen Administratorgruppe auf dem LDAP-Server angehört.

    • [Kennwort]: Geben Sie das Kennwort für die LDAP-Authentifizierung ein (max. 64 Zeichen).

    • [Domänenname]: Wenn [GSS-SPNEGO] unter [Authentifizierungstyp] ausgewählt wurde, geben Sie den Domänennamen von Active Directory ein (max. 64 Zeichen).

    [Verweis auf]

    Legen Sie fest, ob die Verweisfunktion verwendet werden soll (Standard: [EIN]).

    [Suchattribut]

    Geben Sie bei der Verwendung der LDAP-Suche das Suchattribut ein, das automatisch vor dem Benutzernamen eingefügt werden soll (max. 64 Zeichen). Dieses Attribut muss mit einem Buchstaben beginnen (Standard: [uid]).

    [Benutzername]

    Geben Sie an, wie bei der Anmeldung an diesem System der Benutzername bezogen werden soll (Standard: [Karten-ID verwenden]). Bei Auswahl der Option [Ein] unter [Registrierungseinstellung für Karteninformationen] wird [Abruf aktiv] ausgewählt und es können keine Änderungen mehr vorgenommen werden.

    • [Karten-ID verwenden]: Wählen Sie diese Option, wenn nur die IC-Karteninformationen auf dem Server registriert sind. Die Karten-ID in der IC-Karte wird als Benutzername verwendet.

    • [Abruf aktiv]: Wählen Sie diese Option, wenn auf dem Server andere Benutzerinformationen außer den IC-Karteninformationen registriert sind. Der vom Server abgerufene Benutzername wird verwendet. Geben Sie das Attribut ein, das als Benutzername ("uid") gesucht werden soll (unter [Benutzernamensattribut].

    [Verzeichnisdienst suchen]

    Wenn Sie [Active Directory] wählen, können Sie ein Suchziel für die Authentifizierung auf Benutzer beschränken (Standard: [Anderes]). Wenn ein Suchziel für die Authentifizierung auf Benutzer beschränkt ist, erfolgt die Verarbeitung der Suchziel-Identifizierung jedoch auf der Serverseite, was eine längere Authentifizierungszeit zur Folge haben kann. Diese Funktion ist verfügbar, wenn der Authentifizierungsserver auf Active Directory eingestellt ist.

  4. Klicken Sie ggf. auf [Bearbeiten] für [2. Server] und richten Sie dann die folgenden Einstellungen ein.

    Einstellung

    Beschreibung

    [Einstellung für 2. Server]

    Wenn der sekundäre Server verwendet werden soll, setzen Sie diese Option auf EIN (Standard: AUS).

    [Round-Robin-Funktion]

    Wenn die Round-Robin-Funktion verwendet werden soll, setzen Sie diese Option auf EIN (Standard: AUS).

    Wenn Sie die Round-Robin-Funktion auswählen, können Sie wechselweise eine Verbindung zum primären und zum sekundären Server herstellen, um die Serverlast zu verteilen.

    [Wiederverbindungseinstellungen]

    Richten Sie eine Einstellung für die Verbindung zum sekundären Server ein, wenn sich das System nicht mit dem primären Server verbinden kann (Standard: [Wiederverbindungsintervall festlegen]). Wenn die Round-Robin-Funktion aktiviert ist, kann die Einstellung auch verwendet werden, um eine Verbindung zum primären Server herzustellen, wenn sich das System nicht mit dem sekundären Server verbinden kann.

    • [Neuverbindung bei jeder Anmeldung]: Stellt bei jedem Authentifizierungsvorgang auf diesem System eine Verbindung zum primären Server her. Wenn der primäre Server nicht verfügbar ist, wird dieses System mit dem sekundären Server verbunden.

    • [Wiederverbindungsintervall festlegen]: Es wird eine Verbindung zum sekundären Server hergestellt, wenn der primäre Server zum Zeitpunkt der Authentifizierung des Systems nicht verfügbar ist. Anschließend wird dieses System so lange bei jedem weiteren Authentifizierungsvorgang auf dem System mit dem sekundären Server verbunden, bis die unter [Wiederverbindungszeit] angegebene Zeit verstrichen ist. Nach dem Ablauf der unter [Wiederverbindungszeit] angegebenen Zeit wird dieses System wieder mit dem primären Server verbunden, wenn ein Authentifizierungsvorgang auf dem System durchgeführt wird.

    [Registrierungseinstellung für Karteninformationen]

    Wenn die Authentifizierung auf dem System mit einer IC-Karte durchgeführt wird, die nicht im LDAP-Server registriert ist, legen Sie fest, ob die Karteninformationen im LDAP-Server registriert werden sollen.

    • [Wie 1. Server]: Wählen Sie [Aktivieren], wenn Sie dieselben Einstellungen wie für den primären Server verwenden. Wenn Sie eine vom primären Server abweichende Einstellung verwenden, wählen Sie [Deaktivieren] und geben das Attribut, nach dem gesucht werden soll, als Benutzername unter [Benutzernamensattribut] an.

    Informationen des sekundären Servers

    Registrieren Sie den sekundären Server.

    Ausführliche Informationen finden Sie in den Registrierungsinhalten des primären Servers.

    Zum Extrahieren der Einstellung des primären Servers und Einrichten der Einstellung des sekundären Servers tippen Sie auf [Wie 1. Server].

Tipps

  • Zum Überprüfen des Verbindungsstatus des primären Authentifizierungsservers und des sekundären Authentifizierungsservers wählen Sie [Ben.authentifizier./Kostenst.] - [Verbindungsstatus des Authentifizierungsservers] - [LDAP-IC-Kartenauthentifizierung]. Wenn [Verbindung aktiviert] angezeigt wird, können Sie eine Verbindung zum primären und zum sekundären Authentifizierungsserver herstellen.

SSL-Kommunikation verwenden

Wenn SSL in Ihrer Umgebung installiert ist, aktivieren Sie SSL.

Wählen Sie [Ben.authentifizier./Kostenst.] - [Einstellung für die LDAP-/IC-Karten-Authentifizierung] - [Serverregistrierung] - [Bearbeiten] im Administratormodus von Web Connection (oder unter [Bedienerprogramm] - [Administrator] dieses Systems) und richten Sie die folgenden Einstellungen ein.

Einstellung

Beschreibung

[SSL verwenden]

Wenn die SSL-Kommunikation verwendet werden soll, setzen Sie diese Option auf EIN (Standard: AUS).

  • [Portnummer (SSL)]: Ändern Sie ggf. die Portnummer für die SSL-Kommunikation (Standard: [636]).

[Einstellung Zertifikatverifizierungsstufe]

Wählen Sie für die Validierung des Zertifikats während der SSL-Kommunikation die Elemente, die verifiziert werden sollen.

  • [Ablaufdatum]: Überprüfen Sie, ob das Zertifikat noch gültig ist (Standard: EIN).

  • [CN]: Damit wird überprüft, ob der CN (Aliasname) des Zertifikats der Serveradresse entspricht (Standard: AUS).

  • [Schlüsselnutzung]: Damit wird überprüft, ob das Zertifikat entsprechend dem vorgesehenen, vom Zertifikataussteller genehmigten Zweck verwendet wird (Standard: AUS).

  • [Kette]: Damit wird überprüft, ob ein Problem bezüglich der Zertifikatkette (des Zertifikatpfads) besteht (Standard: AUS). Die Kette wird durch Verweis auf die auf diesem System verwalteten externen Zertifikate validiert.

  • [Ablaufdatum-Bestätigung]: Damit wird überprüft, ob das Zertifikat abgelaufen ist (Standard: AUS). Die Bestätigung des Ablaufdatums erfolgt in der Reihenfolge OCSP-Service (Online Certificate Status Protocol) und dann CRL (Certificate Revocation List).