Authentifizieren auf dem LDAP-Server mit der Authentifizierungskarte (LDAP-/IC-Kartenauthentifizierung)

Überblick

Sie können festlegen, dass die Authentifizierung auf dem LDAP-Server anhand der Karten-ID vorgenommen wird, die auf der Authentifizierungskarte registriert ist (LDAP-/IC-Kartenauthentifizierung).

Die Authentifizierung wird nur durch Auflegen der IC-Karte durchgeführt. Dies erhöht die Sicherheit, ohne die einfache Bedienbarkeit des Systems für die Benutzer einzuschränken.

Gehen Sie bei der Authentifizierung anhand der Authentifizierungskarte folgendermaßen vor, um die Einstellungen einzurichten.

  1. Aktivieren der Verwendung der Authentifizierungseinheit (IC-Kartentyp) auf diesem System

    zusätzliche ErläuterungDie Authentifizierungseinheit (IC-Kartentyp) muss von Ihrem zuständigen Servicetechniker eingerichtet werden. Weitere Informationen erhalten Sie von Ihrem Kundendienst.

  2. Einrichten der Grundeinstellungen für die LDAP-/IC-Kartenauthentifizierung

  3. Legen Sie die folgenden Optionen entsprechend Ihrer Umgebung fest.

    Zweck

    Referenz

    Kommunikation mit dem LDAP-Server über SSL

    [SSL-Kommunikation verwenden]

    Maßnahmen für den Fall der Nichtverfügbarkeit des LDAP-Servers

    [Festlegen eines sekundären Authentifizierungsservers für den Fall der Nichtverfügbarkeit des LDAP-Servers]

    Registrierung der ID der IC-Karte im LDAP-Server durch den Benutzer

    [Einstellung, mit der dem Benutzer erlaubt wird, die IC-Karte im LDAP-Server zu registrieren]

Einrichten der Grundeinstellungen für die LDAP-/IC-Kartenauthentifizierung

  1. Wählen Sie im Administratormodus [Benutzerauthentif. / E.K.C.] - [Einstellungen für LDAP-/IC-Karten-Authentifizierung] - [Einstellungen für LDAP-/IC-Karten-Authentifizierung] und setzen Sie Einstellungen für [LDAP-/IC-Karten-Authentifizierung] auf [EIN ](Standard: [AUS]).

  2. Wählen Sie im Administratormodus [Benutzerauthentif. / E.K.C.] - [Einstellungen für LDAP-/IC-Karten-Authentifizierung] - [Serverregistrierung] - [Bearbeiten] und registrieren Sie dann die Informationen des LDAP-Servers, der für die Authentifizierung der Benutzer-ID der IC-Karte verwendet werden soll.

    Einstellungen

    Beschreibung

    [Serveradresse]

    Geben Sie die Adresse des LDAP-Servers ein, der für die Authentifizierung der Benutzer-ID der IC-Karte verwendet werden soll.

    Verwenden Sie eines der folgenden Formate.

    • Eingabebeispiel für einen Hostnamen: "host.beispiel.com"

    • Eingabebeispiel für eine IP-Adresse (IPv4): "192.168.1.1"

    • Eingabebeispiel für eine IP-Adresse (IPv6): "fe80::220:6bff:fe10:2f16"

    [Anschlussnummer]

    Ändern Sie gegebenenfalls die Anschlussnummer des LDAP-Servers.

    Unter normalen Umständen können Sie die Original-Anschlussnummer verwenden.

    [389] ist standardmäßig ausgewählt.

    [Suchbasis 1] bis [Suchbasis 3]

    Geben Sie den Startpunkt und den Bereich für die Suche nach einem zu authentifizierenden Benutzer an.

    • [Suchbasis]: Geben Sie den Startpunkt für die Suche nach einem Ziel an (max. 255 Zeichen).
      Eingabebeispiel: "cn=Benutzer,dc=Beispiel,dc=com"

    • [Suchbereich]: Wählen Sie einen Suchbereich innerhalb der Baumstruktur aus. [Ganze Baumstruktur] ist standardmäßig ausgewählt.
      Bei Auswahl von [Ganze Baumstruktur] wird eine Suche einschließlich der Baumstruktur unterhalb des eingegebenen Startpunkts durchgeführt. Bei Auswahl von [Nur nächste Hierarchie] wird die Suche nur eine Ebene direkt unter dem eingegebenen Startpunkt durchgeführt. In diesem Fall wird die Ebene am Startpunkt nicht als Suchziel einbezogen.

    [TX-Timeout]

    Ändern Sie ggf. das Zeitlimit, um die Kommunikation mit dem LDAP-Server einzuschränken.

    [60] Sek. ist standardmäßig ausgewählt.

    [Auth.-Methode]

    Wählen Sie das Authentifizierungsverfahren für die Anmeldung am LDAP-Server aus.

    Wählen Sie eine für das für Ihren LDAP-Server verwendete Authentifizierungsverfahren geeignete Option aus.

    • [Einfach]

    • [Digest-MD5]

    • [GSS-SPNEGO]

    • [NTLM v1]

    • [NTLM v2]

    [Einfach] ist standardmäßig angegeben.

    [Anmeldename]

    Melden Sie sich beim LDAP-Server an und geben Sie den Anmeldenamen ein, um nach einem Benutzer zu suchen (max. 64 Zeichen).

    [Kennwort]

    Geben Sie das Kennwort für den in Anmeldename eingegebenen [Benutzernamen] ein (max. 64 Zeichen).

    Um das Kennwort einzugeben (zu ändern), aktivieren Sie das Kontrollkästchen [Das Kennwort wurde geändert.] und geben Sie dann ein neues Kennwort ein.

    [Domänenname]

    Geben Sie den Domänennamen ein, um sich beim LDAP-Server anzumelden (max. 64 Zeichen).

    Wenn [GSS-SPNEGO] für [Authentifizierungsverfahren] ausgewählt ist, geben Sie den Active Directory-Domänennamen ein.

    [Verweis auf]

    Legen Sie bei Bedarf fest, ob die Verweisfunktion verwendet werden soll.

    Nehmen Sie eine passende Auswahl für die LDAP-Serverumgebung vor.

    [EIN] ist standardmäßig ausgewählt.

    [Suchparameter]

    Geben Sie das Attribut für den Ort ein, an dem die IC-Karteninformationen registriert sind (max. 63 Zeichen, einschließlich Symbol -).

    Dieses Attribut muss mit einem Buchstaben beginnen.

    [uid] ist standardmäßig ausgewählt.

    [Benutzername]

    Geben Sie an, wie bei der Anmeldung an diesem System der Benutzername bezogen werden soll.

    • [Karten-ID verwenden]: Wählen Sie diese Option, wenn nur die IC-Karteninformationen auf dem Server registriert sind. Die Karten-ID in der IC-Karte wird als Benutzername verwendet.

    • [Abruf aktiv]: Wählen Sie diese Option, wenn auf dem Server andere Benutzerinformationen außer den IC-Karteninformationen registriert sind. Der vom Server abgerufene Benutzername wird verwendet. Geben Sie das Attribut ein, das als Benutzername ("uid") gesucht werden soll (unter [Benutzernamen-Attribut].
      Bei Auswahl der Option [Ein] unter [Registrierungseinstellung für Karteninformationen] wird [Abruf aktiv] ausgewählt und es können keine Änderungen mehr vorgenommen werden. Anschließend wird das unter [Registrierungseinstellung für Karteninformationen] angegebene Attribut unter [Benutzernamen-Attribut] angezeigt. Ausführliche Informationen über die [Registrierungseinstellung für Karteninformationen] finden Sie unter [Einstellung, mit der dem Benutzer erlaubt wird, die IC-Karte im LDAP-Server zu registrieren] .

    [Karten-ID verwenden] ist standardmäßig ausgewählt.

    [Externe Serververbindung]

    Wählen Sie den Namen des externen Servers, der als Authentifizierungsinformationen verwendet werden soll, die auf diesem System gespeichert werden.

    Die Authentifizierungsinformationen werden auf diesem System gespeichert, wenn die LDAP-/IC-Kartenauthentifizierung erfolgreich durchgeführt wurde. Diese Authentifizierungsinformationen umfassen den Benutzernamen und den Namen des externen Servers.

    Als Authentifizierungsinformationen, die auf diesem System gespeichert werden sollen, kann der Name des auf diesem System registrierten externen Servers registriert werden.

    Standardmäßig ist [Nein] ausgewählt.

SSL-Kommunikation verwenden

Die Kommunikation zwischen diesem System und dem LDAP-Server wird mit SSL verschlüsselt.

Konfigurieren Sie die Einstellung, wenn Ihre Umgebung SSL-verschlüsselte Kommunikation mit dem E-Mail-Server voraussetzt.

Wählen Sie im Administratormodus [Benutzerauthentif. / E.K.C.] - [Einstellungen für LDAP-/IC-Karten-Authentifizierung] - [Serverregistrierung] - [Bearbeiten] und richten Sie dann die folgenden Einstellungen ein.

Einstellungen

Beschreibung

[SSL aktivieren]

Aktivieren Sie dieses Kontrollkästchen, um SSL-Kommunikation zu nutzen.

Standardmäßig ist [AUS] (nicht ausgewählt) angegeben.

[Anschlussnummer (SSL)]

Ändern Sie gegebenenfalls die Anschlussnummer für die SSL-Kommunikation.

Unter normalen Umständen können Sie die Original-Anschlussnummer verwenden.

[636] ist standardmäßig ausgewählt.

[Zertifikatverifizierungseinstellungen]

Wenn Sie das Zertifikat überprüfen wollen, wählen Sie die zu prüfenden Elemente aus.

Wenn Sie bei den einzelnen Elementen [Bestätigen] auswählen, wird das Zertifikat für die entsprechenden Elemente überprüft.

[Ablaufdatum]

Prüfen Sie, ob das Zertifikat noch gültig ist.

[Bestätigen] ist standardmäßig angegeben.

[CN]

Prüfen Sie, ob der CN (Aliasname) des Zertifikats mit der Serveradresse übereinstimmt.

[Nicht bestätigen] ist standardmäßig angegeben.

[Schlüsselnutzung]

Prüfen Sie, ob das Zertifikat gemäß dem vom Zertifikatsaussteller genehmigten Zweck verwendet wird.

[Nicht bestätigen] ist standardmäßig angegeben.

[Kette]

Prüfen Sie, ob in der Zertifikatskette (Zertifikatspfad) ein Problem besteht.

Die Kette wird durch Verweis auf die auf diesem System verwalteten externen Zertifikate validiert.

[Nicht bestätigen] ist standardmäßig angegeben.

[Ablaufdatum Bestätigung]

Prüfen Sie, ob das Zertifikat abgelaufen ist.

Prüfen Sie in der folgenden Reihenfolge auf Ablauf des Zertifikats.

  • OCSP-Service (Online Certificate Status Protocol)

  • Zertifikatswiderrufliste

[Nicht bestätigen] ist standardmäßig angegeben.

Festlegen eines sekundären Authentifizierungsservers für den Fall der Nichtverfügbarkeit des LDAP-Servers

Wenn der LDAP-Server installiert ist, können Sie einen sekundären Authentifizierungsserver festlegen, der aktiv wird, wenn der primäre Authentifizierungsserver nicht verfügbar ist.

Wenn ein sekundärer Authentifizierungsserver festgelegt ist, wird automatisch zum sekundären Authentifizierungsserver gewechselt, wenn der für den normalen Betrieb verwendete primäre Authentifizierungsserver nicht verfügbar ist. Dadurch kann die LDAP-IC-Authentifizierung jederzeit störungsfrei vorgenommen werden.

  1. Wählen Sie im Administratormodus [Benutzerauthentif. / E.K.C.] - [Einstellungen für LDAP-/IC-Karten-Authentifizierung] - [Einstellungen für den sekundären Authentifizierungsserver] und richten Sie dann die folgenden Einstellungen ein.

    Einstellungen

    Beschreibung

    [Einstellungen für den sekundären Authentifizierungsserver]

    Wählen Sie [EIN], um den sekundären Authentifizierungsserver zu verwenden.

    [AUS] ist standardmäßig ausgewählt.

    [Wiederverbindungseinstellungen]

    Geben Sie den Zeitpunkt an, zu dem die Wiederverbindung zum primären Authentifizierungsserver durchgeführt werden soll.

    Standardmäßig ist [Wiederverbindungsintervall festlegen] ausgewählt.

    • [Neuverbindung bei jeder Anmeldung]: Stellt bei jedem Authentifizierungsvorgang auf diesem System eine Verbindung zum primären Authentifizierungsserver her. Wenn der primäre Authentifizierungsserver nicht verfügbar ist, wird dieses System mit dem sekundären Authentifizierungsserver verbunden.

    • [Wiederverbindungsintervall festlegen]: Es wird eine Verbindung zum sekundären Authentifizierungsserver hergestellt, wenn der primäre Authentifizierungsserver nicht verfügbar ist, während auf dem System ein Authentifizierungsvorgang durchgeführt wird. Anschließend wird dieses System so lange bei jedem weiteren Authentifizierungsvorgang auf dem System mit dem sekundären Authentifizierungsserver verbunden, bis die unter [Wiederverbindungszeit] angegebene Zeit verstrichen ist. Nach dem Ablauf der unter [Wiederverbindungszeit] angegebenen Zeit wird dieses System wieder mit dem primären Authentifizierungsserver verbunden, wenn ein Authentifizierungsvorgang auf dem System durchgeführt wird.

  2. Wählen Sie im Administratormodus [Benutzerauthentif. / E.K.C.] - [Einstellungen für LDAP-/ IC-Karten-Authentifizierung] - [Sekundären Authentifizierungsserver registrieren] und klicken Sie dann auf [Bearbeiten], um die folgenden Einstellungen einzurichten.

    Einstellungen

    Beschreibung

    [Serveradresse]

    Geben Sie die LDAP-Server-Adresse ein.

    Verwenden Sie eines der folgenden Formate.

    • Eingabebeispiel für einen Hostnamen: "host.beispiel.com"

    • Eingabebeispiel für eine IP-Adresse (IPv4): "192.168.1.1"

    • Eingabebeispiel für eine IP-Adresse (IPv6): "fe80::220:6bff:fe10:2f16"

    [Anschlussnummer]

    Ändern Sie gegebenenfalls die Anschlussnummer des LDAP-Servers.

    Unter normalen Umständen können Sie die Original-Anschlussnummer verwenden.

    [389] ist standardmäßig ausgewählt.

    [Suchbasis 1] bis [Suchbasis 3]

    Geben Sie den Startpunkt und den Bereich für die Suche nach einem zu authentifizierenden Benutzer an.

    • [Suchbasis]: Geben Sie den Startpunkt für die Suche nach einem Ziel an (max. 255 Zeichen).
      Eingabebeispiel: "cn=Benutzer,dc=Beispiel,dc=com"

    • [Suchbereich]: Wählen Sie einen Suchbereich innerhalb der Baumstruktur aus. [Ganze Baumstruktur] ist standardmäßig ausgewählt.
      Bei Auswahl von [Ganze Baumstruktur] wird eine Suche einschließlich der Baumstruktur unterhalb des eingegebenen Startpunkts durchgeführt. Bei Auswahl von [Nur nächste Hierarchie] wird die Suche nur eine Ebene direkt unter dem eingegebenen Startpunkt durchgeführt. In diesem Fall wird die Ebene am Startpunkt nicht als Suchziel einbezogen.

    [TX-Timeout]

    Ändern Sie ggf. das Zeitlimit, um die Kommunikation mit dem LDAP-Server einzuschränken.

    [60] Sek. ist standardmäßig ausgewählt.

    [Auth.-Methode]

    Wählen Sie das Authentifizierungsverfahren für die Anmeldung am LDAP-Server aus.

    Wählen Sie eine für das für Ihren LDAP-Server verwendete Authentifizierungsverfahren geeignete Option aus.

    • [Einfach]

    • [Digest-MD5]

    • [GSS-SPNEGO]

    • [NTLM v1]

    • [NTLM v2]

    [Einfach] ist standardmäßig angegeben.

    [Anmeldename]

    Melden Sie sich beim LDAP-Server an und geben Sie den Anmeldenamen ein, um nach einem Benutzer zu suchen (max. 64 Zeichen).

    [Kennwort]

    Geben Sie das Kennwort für den in Anmeldename eingegebenen [Benutzernamen] ein (max. 64 Zeichen).

    Um das Kennwort einzugeben (zu ändern), aktivieren Sie das Kontrollkästchen [Das Kennwort wurde geändert.] und geben Sie dann ein neues Kennwort ein.

    [Domänenname]

    Geben Sie den Domänennamen ein, um sich beim LDAP-Server anzumelden (max. 64 Zeichen).

    Wenn [GSS-SPNEGO] für [Authentifizierungsverfahren] ausgewählt ist, geben Sie den Active Directory-Domänennamen ein.

    [Verweis auf]

    Legen Sie bei Bedarf fest, ob die Verweisfunktion verwendet werden soll.

    Nehmen Sie eine passende Auswahl für die LDAP-Serverumgebung vor.

    [EIN] ist standardmäßig ausgewählt.

    [Suchparameter]

    Geben Sie das Attribut für den Ort ein, an dem die IC-Karteninformationen registriert sind (max. 63 Zeichen, einschließlich Symbol -).

    Dieses Attribut muss mit einem Buchstaben beginnen.

    [uid] ist standardmäßig ausgewählt.

    [Benutzername]

    Geben Sie an, wie bei der Anmeldung an diesem System der Benutzername bezogen werden soll.

    • [Karten-ID verwenden]: Wählen Sie diese Option, wenn nur die IC-Karteninformationen auf dem Server registriert sind. Die Karten-ID in der IC-Karte wird als Benutzername verwendet.

    • [Abruf aktiv]: Wählen Sie diese Option, wenn auf dem Server andere Benutzerinformationen außer den IC-Karteninformationen registriert sind. Der vom Server abgerufene Benutzername wird verwendet. Geben Sie das Attribut ein, das als Benutzername ("uid") gesucht werden soll (unter [Benutzernamen-Attribut].
      Bei Auswahl der Option [Ein] unter [Registrierungseinstellung für Karteninformationen] wird [Abruf aktiv] ausgewählt und es können keine Änderungen mehr vorgenommen werden. Anschließend wird das unter [Registrierungseinstellung für Karteninformationen] angegebene Attribut unter [Benutzernamen-Attribut] angezeigt. Ausführliche Informationen über die [Registrierungseinstellung für Karteninformationen] finden Sie unter [Einstellung, mit der dem Benutzer erlaubt wird, die IC-Karte im LDAP-Server zu registrieren] .

    [Karten-ID verwenden] ist standardmäßig ausgewählt.

  3. Wenn die Kommunikation mit dem LDAP-Server per SSL verschlüsselt ist, wählen Sie im Administratormodus [Benutzerauthentif. / E.K.C.] - [Einstellungen für LDAP-/ IC-Karten-Authentifizierung] - [Sekundären Authentifizierungsserver registrieren] und klicken Sie dann auf [Bearbeiten], um die folgenden Einstellungen einzurichten.

    Einstellungen

    Beschreibung

    [SSL aktivieren]

    Aktivieren Sie dieses Kontrollkästchen, um SSL-Kommunikation zu nutzen.

    Standardmäßig ist [AUS] (nicht ausgewählt) angegeben.

    [Anschlussnummer (SSL)]

    Ändern Sie gegebenenfalls die Anschlussnummer für die SSL-Kommunikation.

    Unter normalen Umständen können Sie die Original-Anschlussnummer verwenden.

    [636] ist standardmäßig ausgewählt.

    [Zertifikatverifizierungseinstellungen]

    Wenn Sie das Zertifikat überprüfen wollen, wählen Sie die zu prüfenden Elemente aus.

    Wenn Sie bei den einzelnen Elementen [Bestätigen] auswählen, wird das Zertifikat für die entsprechenden Elemente überprüft.

    [Ablaufdatum]

    Prüfen Sie, ob das Zertifikat noch gültig ist.

    [Bestätigen] ist standardmäßig angegeben.

    [CN]

    Prüfen Sie, ob der CN (Aliasname) des Zertifikats mit der Serveradresse übereinstimmt.

    [Nicht bestätigen] ist standardmäßig angegeben.

    [Schlüsselnutzung]

    Prüfen Sie, ob das Zertifikat gemäß dem vom Zertifikatsaussteller genehmigten Zweck verwendet wird.

    [Nicht bestätigen] ist standardmäßig angegeben.

    [Kette]

    Prüfen Sie, ob in der Zertifikatskette (Zertifikatspfad) ein Problem besteht.

    Die Kette wird durch Verweis auf die auf diesem System verwalteten externen Zertifikate validiert.

    [Nicht bestätigen] ist standardmäßig angegeben.

    [Ablaufdatum Bestätigung]

    Prüfen Sie, ob das Zertifikat abgelaufen ist.

    Prüfen Sie in der folgenden Reihenfolge auf Ablauf des Zertifikats.

    • OCSP-Service (Online Certificate Status Protocol)

    • Zertifikatswiderrufliste

    [Nicht bestätigen] ist standardmäßig angegeben.

Tips

  • Zum Überprüfen des Verbindungsstatus des primären Authentifizierungsservers und des sekundären Authentifizierungsservers wählen Sie im Administratormodus [Benutzerauthentif. / E.K.C.] - [Verbindungsstatus des primären/sekundären Servers] - [LDAP-IC-Kartenauthentifizierung]. Wenn [Verbindung zugelassen] angezeigt wird, können Sie eine Verbindung zum primären und zum sekundären Authentifizierungsserver herstellen.

Einstellung, mit der dem Benutzer erlaubt wird, die IC-Karte im LDAP-Server zu registrieren

Wenn die Authentifizierung auf dem System anhand einer IC-Karte vorgenommen wird, die nicht im LDAP-Server registriert ist, richten Sie eine Einstellung ein, mit der dem Benutzer erlaubt wird, die IC-Karte im LDAP-Server zu registrieren.

Der Benutzer kann die Informationen einer neuen IC-Karte selbst im LDAP-Server registrieren und damit den Arbeitsaufwand für den Benutzer oder den Administrator verringern.

Wählen Sie im Administratormodus [Benutzerauthentif. / E.K.C.] - [Einstellungen für LDAP-/ IC-Karten-Authentifizierung] - [Registrierungseinstellung für Karteninformationen] - [Registrierungseinstellung für Karteninformationen] und richten Sie dann die folgenden Einstellungen ein.

Einstellungen

Beschreibung

[Registrierungseinstellung für Karteninformationen]

Wählen Sie die Option [Ein], um die IC-Karte im LDAP-Server zu registrieren, wenn die Authentifizierung auf dem System mit einer IC-Karte durchgeführt wird, die nicht im LDAP-Server registriert ist.

Geben Sie bei Auswahl von [Ein] das Attribut, nach dem als Benutzername gesucht werden soll (wie z.B. die "uid"), unter [Benutzernamen-Attribut] ein.

[AUS] ist standardmäßig ausgewählt.

Bei Auswahl von [Ein] unter [Registrierungseinstellung für Karteninformationen] werden die [Einstellungen für LDAP-/ IC-Karten-Authentifizierung] so wie unten dargestellt geändert.

Wenn der sekundäre Authentifizierungsserver nicht für die Verwendung angegeben wurde:

  • [Benutzername] für [Serverregistrierung] wird auf [Abruf aktiv] gesetzt.

  • Das unter [Benutzernamen-Attribut] dieser Einstellung angegebene Attribut wird als [Benutzernamen-Attribut] für die [Serverregistrierung] festgelegt.

Wenn der sekundäre Authentifizierungsserver für die Verwendung angegeben wurde:

  • [Benutzername] für [Serverregistrierung] wird auf [Abruf aktiv] gesetzt.

  • Das unter [Benutzernamen-Attribut] dieser Einstellung angegebene Attribut wird als [Benutzernamen-Attribut] für die [Serverregistrierung] festgelegt.

  • [Benutzername] für [Sekundären Authentifizierungsserver registrieren] wird auf [Abruf aktiv] gesetzt.

  • Das unter [Benutzernamen-Attribut] dieser Einstellung angegebene Attribut wird als [Benutzernamen-Attribut] für [Sekundären Authentifizierungsserver registrieren] festgelegt.

Tips

  • Für die Verwendung dieser Funktion müssen Sie vorab eine Einstellung einrichten, die es dem Benutzer erlaubt, IC-Karteninformationen zu registrieren. Wählen Sie am Bedienfeld dieses Systems [Administratoreinstellungen] - [Systemeinstellungen] - [Benutzerzugriff einschränk.] - [Zugang zu Auftr.- einst. beschränken] und setzen Sie dann [Registr. v. biom. Daten/IC-Kartendaten] auf [Zulassen] (Standard: [Beschränken]).