Authentifizieren auf dem LDAP-Server mit der Authentifizierungskarte (LDAP-/IC-Kartenauthentifizierung)

Überblick

Sie können festlegen, dass die Authentifizierung auf dem LDAP-Server anhand der Karten-ID vorgenommen wird, die auf der Authentifizierungskarte registriert ist (LDAP-/IC-Kartenauthentifizierung).

Die Authentifizierung wird nur durch Auflegen der IC-Karte durchgeführt. Dies erhöht die Sicherheit, ohne die einfache Bedienbarkeit des Systems für die Benutzer einzuschränken.

Gehen Sie bei der Authentifizierung anhand der Authentifizierungskarte folgendermaßen vor, um die Einstellungen einzurichten.

1. Aktivieren der Verwendung der Authentifizierungseinheit (IC-Kartentyp) auf diesem System

   Die Authentifizierungseinheit (IC-Kartentyp) muss von Ihrem zuständigen Servicetechniker eingerichtet werden. Weitere Informationen erhalten Sie von Ihrem Kundendienst.

2. Einrichten der Grundeinstellungen für die LDAP-/IC-Kartenauthentifizierung

3. Legen Sie die folgenden Optionen entsprechend Ihrer Umgebung fest.

   Zweck	Referenz
   Kommunikation mit dem LDAP-Server über SSL	[SSL-Kommunikation verwenden]

Einrichten der Grundeinstellungen für die LDAP-/IC-Kartenauthentifizierung

1. Wählen Sie im Administratormodus [Benutzerauthentif./E.K.C.] - [Einstellungen für LDAP-/IC-Karten-Authentifizierung] - [Einstellungen für LDAP-/IC-Karten-Authentifizierung] und setzen Sie Einstellungen für [LDAP-/IC-Karten-Authentifizierung] auf [EIN ](Standard: [AUS]).

2. Wählen Sie im Administratormodus [Benutzerauthentif./E.K.C.] - [Einstellungen für LDAP-/IC-Karten-Authentifizierung] - [Serverregistrierung] und klicken Sie dann auf [Bearbeiten].

3. Klicken Sie auf [Bearbeiten] in [1. Server] und richten Sie dann die folgenden Einstellungen ein.

   Einstellungen	Beschreibung
   [Name des LDAP-/IC-Kartenauthentifizierungsservers]	Geben Sie den Namen Ihre Authentifizierungsservergruppe ein (max. 32 Zeichen). Weisen Sie einen Namen zu, unter dem Sie die Authentifizierungsservergruppe leicht identifizieren können.
   [Server für externe Authentifizierung]	Wählen Sie die externe Authentifizierungsservergruppe, die für die Verknüpfung der LDAP-/IC-Kartenauthentifizierung verwendet werden soll. Wenn die LDAP-/IC-Kartenauthentifizierung erfolgreich ist, werden die Benutzerauthentifizierungsinformationen auf dem System registriert, um Benutzer auf dem System verwalten zu können. Diese Authentifizierungsinformationen umfassen den Benutzernamen und den Namen des Servers für externe Authentifizierung. Der Name des hier ausgewählten externen Authentifizierungsservers wird zusammen mit dem Benutzernamen auf dem System registriert. Standardmäßig ist [Nein] ausgewählt.
   [Registrierungseinstellung für Karteninformationen]	Wenn die Authentifizierung auf dem System mit einer IC-Karte durchgeführt wird, die nicht im LDAP-Server registriert ist, legen Sie fest, ob diese IC-Karte im LDAP-Server registriert werden soll. Bei Auswahl von [EIN] richten Sie die folgenden Einstellungen ein. [Sequenzielle Server-Kartenregistrierung]: Geben Sie den Server an, auf dem Karteninformationen registriert werden sollen. Wenn Sie [Primärer Server für Kartenregistrierung] wählen, werden die Karteninformationen im Server gespeichert, wenn die Authentifizierung auf dem primären und sekundären Server erfolgreich war. [Benutzernamen-Attribut]: Geben Sie das Attribut ein, das als Benutzername gesucht werden soll. [AUS] ist standardmäßig ausgewählt.
   [Zeichentyp für Suche nach Karteninformationen]	Wählen Sie die Umwandlungsmethode für die Suchzeichenfolge für die Suche nach der Karten-ID über den LDAP-Server. Wenn die Attributinformationen der Zielkarte auf dem Server zu Groß- und Kleinbuchstaben vereinheitlicht wird, können Sie in manchen Fällen den Zeichentyp der Suchzeichenfolge umwandeln und dadurch die Suchgeschwindigkeit reduzieren. [Großbuchstaben/Kleinbuchstaben]: Wandelt die Karten-ID für die Suche in Groß- oder Kleinbuchstaben um. [Großbuchstaben]: Wandelt die Karten-ID für die Suche in Großbuchstaben um. [Kleinbuchstaben]: Wandelt die Karten-ID für die Suche in Kleinbuchstaben um. [Großbuchstaben/Kleinbuchstaben] ist standardmäßig ausgewählt.
   [Serveradresse]	Geben Sie die Adresse des LDAP-Servers ein, der für die Authentifizierung der Benutzer-ID der IC-Karte verwendet werden soll. Verwenden Sie eines der folgenden Formate. Eingabebeispiel für einen Hostnamen: "host.beispiel.com" Eingabebeispiel für eine IP-Adresse (IPv4): "192.168.1.1" Eingabebeispiel für eine IP-Adresse (IPv6): "fe80::220:6bff:fe10:2f16"
   [Anschlussnummer]	Ändern Sie gegebenenfalls die Portnummer des LDAP-Servers. Unter normalen Umständen können Sie die Original-Portnummer verwenden. [389] ist standardmäßig ausgewählt.
   [Suchbasis 1] bis [Suchbasis 3]	Geben Sie den Startpunkt und den Bereich für die Suche nach einem zu authentifizierenden Benutzer an. [Suchbasis]: Geben Sie den Startpunkt für die Suche nach einem Ziel an (max. 255 Zeichen). Eingabebeispiel: "cn=Benutzer,dc=Beispiel,dc=com" [Suchbereich]: Wählen Sie einen Suchbereich innerhalb der Baumstruktur aus. [Ganze Baumstruktur] ist standardmäßig ausgewählt. Bei Auswahl von [Ganze Baumstruktur] wird eine Suche einschließlich der Baumstruktur unterhalb des eingegebenen Startpunkts durchgeführt. Bei Auswahl von [Nur nächste Hierarchie] wird die Suche nur eine Ebene direkt unter dem eingegebenen Startpunkt durchgeführt. In diesem Fall wird die Ebene am Startpunkt nicht als Suchziel einbezogen.
   [TX-Timeout]	Ändern Sie ggf. das Zeitlimit, um die Kommunikation mit dem LDAP-Server einzuschränken. [60] Sek. ist standardmäßig ausgewählt.
   [Auth.-Methode]	Wählen Sie das Authentifizierungsverfahren für die Anmeldung am LDAP-Server aus. Wählen Sie eine für das für Ihren LDAP-Server verwendete Authentifizierungsverfahren geeignete Option aus. [Einfach] [Digest-MD5] [GSS-SPNEGO] [NTLM v1] [NTLM v2] [Einfach] ist standardmäßig angegeben.
   [Anmeldename]	Melden Sie sich beim LDAP-Server an und geben Sie den Benutzernamen ein, um nach einem Benutzer zu suchen (max. 64 Zeichen). Geben Sie in diesem Schritt den Benutzer (Name) ein, der einer spezifischen Administratorgruppe auf dem LDAP-Server angehört.
   [Kennwort]	Geben Sie das Kennwort für den in [Anmeldename] eingegebenen Benutzer ein (max. 64 Zeichen). Um das Kennwort einzugeben (zu ändern), aktivieren Sie das Kontrollkästchen [Das Kennwort wurde geändert.] und geben Sie dann ein neues Kennwort ein.
   [Domänenname]	Geben Sie den Domänennamen ein, um sich beim LDAP-Server anzumelden (max. 64 Zeichen). Wenn [GSS-SPNEGO] für [Authentifizierungsverfahren] ausgewählt ist, geben Sie den Active Directory-Domänennamen ein.
   [Verweis auf]	Legen Sie bei Bedarf fest, ob die Verweisfunktion verwendet werden soll. Nehmen Sie eine passende Auswahl für die LDAP-Serverumgebung vor. [EIN] ist standardmäßig ausgewählt.
   [Suchparameter]	Geben Sie das Attribut für den Ort ein, an dem die IC-Karteninformationen registriert sind (max. 63 Zeichen, einschließlich Symbol -). Dieses Attribut muss mit einem Buchstaben beginnen. [uid] ist standardmäßig ausgewählt.
   [Benutzername]	Geben Sie an, wie bei der Anmeldung an diesem System der Benutzername bezogen werden soll. [Karten-ID verwenden]: Wählen Sie diese Option, wenn nur die IC-Karteninformationen auf dem Server registriert sind. Die Karten-ID in der IC-Karte wird als Benutzername verwendet. [Abruf aktiv]: Wählen Sie diese Option, wenn auf dem Server andere Benutzerinformationen außer den IC-Karteninformationen registriert sind. Der vom Server abgerufene Benutzername wird verwendet. Geben Sie das Attribut ein, das als Benutzername ("uid") gesucht werden soll (unter [Benutzernamen-Attribut]. Bei Auswahl der Option [Ein] unter [Registrierungseinstellung für Karteninformationen] wird [Abruf aktiv] ausgewählt und es können keine Änderungen mehr vorgenommen werden. Anschließend wird das unter [Registrierungseinstellung für Karteninformationen] angegebene Attribut unter [Benutzernamen-Attribut] angezeigt. [Karten-ID verwenden] ist standardmäßig ausgewählt.
   [Verzeichnisdienst suchen]	Wenn Sie [Active Directory] wählen, können Sie ein Suchziel für die Authentifizierung auf Benutzer beschränken. Wenn ein Suchziel für die Authentifizierung auf Benutzer beschränkt ist, erfolgt die Verarbeitung der Suchziel-Identifizierung jedoch auf der Serverseite, was eine längere Authentifizierungszeit zur Folge haben kann. Diese Funktion ist verfügbar, wenn der Authentifizierungsserver auf Active Directory (Windows Server 2008 oder höher) eingestellt ist. [Weitere] ist standardmäßig ausgewählt.

4. Klicken Sie bei Bedarf auf [Bearbeiten] in [2. Server] und richten Sie dann die folgenden Einstellungen ein.

   Einstellungen	Beschreibung
   [Einstellung für 2. Server]	Legen Sie fest, ob der sekundäre Server verwendet werden soll. Wenn Sie zwei Server gruppieren, können Sie zu einem anderen Server wechseln, um die Authentifizierung durchzuführen, wenn ein Server nicht verfügbar ist. [AUS] ist standardmäßig ausgewählt.
   [Round-Robin-Funktion]	Legen Sie fest, ob wechselweise eine Verbindung zum primären und zum sekundären Server hergestellt werden soll. Wenn Sie [Aktivieren] wählen, können Sie wechselweise eine Verbindung zum primären und zum sekundären Server herstellen, um die Serverlast zu verteilen. [Deaktivieren]ist standardmäßig ausgewählt.
   [Wiederverbindungseinstellungen]	Richten Sie eine Einstellung für die Verbindung zum sekundären Server ein, wenn sich das System nicht mit dem primären Server verbinden kann. Wenn die Round-Robin-Funktion aktiviert ist, kann die Einstellung auch verwendet werden, um eine Verbindung zum primären Server herzustellen, wenn sich das System nicht mit dem sekundären Server verbinden kann. [Neuverbindung bei jeder Anmeldung]: Stellt bei jedem Authentifizierungsvorgang auf diesem System eine Verbindung zum primären Server her. Wenn der primäre Server nicht verfügbar ist, wird dieses System mit dem sekundären Sserver verbunden. [Wiederverbindungsintervall festlegen]: Es wird eine Verbindung zum sekundären Server hergestellt, wenn der primäre Server zum Zeitpunkt der Authentifizierung des Systems nicht verfügbar ist. Anschließend wird dieses System so lange bei jedem weiteren Authentifizierungsvorgang auf dem System mit dem sekundären Server verbunden, bis die unter [Wiederverbindungszeit] angegebene Zeit verstrichen ist. Nach dem Ablauf der unter [Wiederverbindungszeit] angegebenen Zeit wird dieses System wieder mit dem primären Server verbunden, wenn ein Authentifizierungsvorgang auf dem System durchgeführt wird. Standardmäßig ist [Wiederverbindungsintervall festlegen] ausgewählt.
   [Registrierungseinstellung für Karteninformationen]	Wenn die Authentifizierung auf dem System mit einer IC-Karte durchgeführt wird, die nicht im LDAP-Server registriert ist, legen Sie fest, ob diese IC-Karte im LDAP-Server registriert werden soll. [Wie 1. Server]: Wählen Sie [Aktivieren], wenn Sie dieselben Einstellungen wie für den primären Server verwenden. Wenn Sie eine vom primären Server abweichende Einstellung verwenden, wählen Sie [Deaktivieren] und geben das Attribut, nach dem gesucht werden soll, als Benutzername unter [Benutzernamen-Attribut] an.
   Informationen des sekundären Servers	Geben Sie die erforderlichen Informationen an. Ausführliche Informationen zu den Einstellungen finden Sie in Schritt 3.

5. Wählen Sie am Bedienfeld[Bedienerprogramm] - [Administratoreinstellungen] - [Authentifizierung/Volumenverfolgung (E.K.C)] - [AuthentifizierungsGeräteeinstellung] - [Allgemeine Einstellungen] - [Kartenauthentifizierung] - [IC-KartentypEinstellung] aus. Erteilen Sie dann eine Zulassung für die IC-Karte, die Sie verwenden möchten, und weisen Sie den LDAP-Server als Authentifizierungsserver zu.

   Ausführliche Informationen über die [IC-Kartentypeinstellung] finden Sie [Auth.-Methode] .