Einen Benutzer lokal hinzufügen
Fügen Sie der Sophos Firewall lokal einen Benutzer hinzu und weisen Sie eine Gruppe, Richtlinien und Einschränkungen zu.
Hinzufügen eines Benutzers
- Gehe zu Authentifizierung > Benutzer und klicken Sie auf Hinzufügen.
-
Geben Sie einen Benutzernamen zur Authentifizierung ein.
Notiz
Eine spätere Änderung des Benutzernamens ist nicht mehr möglich.
-
Geben Sie einen Namen für den Benutzerdatensatz ein.
-
Geben Sie ein Kennwort ein.
Wenn die Firewall eine Übereinstimmung mit den häufig verwendeten Passwörtern und Wörterbuchwörtern in ihrer Datenbank findet, fordert sie Sie auf, ein sichereres Passwort einzugeben.
Um das Kennwort in einem vorhandenen Benutzerdatensatz zu ändern, klicken Sie auf Kennwort ändern.
-
Wählen Sie den Benutzertyp aus den folgenden Optionen aus:
- Benutzer: Endbenutzer Ihres Netzwerks.
-
Administrator: Sie können sich mit den Rechten des ausgewählten Profils an den Konsolen der Firewall anmelden. Siehe Profile > Gerätezugriff.
- Profil: Wählen Sie ein Administratorprofil aus.
-
Geben Sie eine E-Mail-Adresse ein.
Notiz
Bei aus Active Directory importierten Benutzerdatensätzen ersetzt die Firewall zum Zeitpunkt der Authentifizierung die lokal konfigurierten E-Mail-Adressen durch diejenigen aus Active Directory.
-
Geben Sie die folgenden Richtlinien an:
-
Gruppe: Gruppe, zu der der Benutzer gehört.
Active Directory (AD)-Benutzer können mehreren Gruppen angehören. Wenn ein AD-Benutzer mehreren Gruppen angehört, Gruppe zeigt die Hauptgruppe des Benutzers in der Firewall an. Siehe FAQs für Active Directory-Benutzer und -Gruppen.
Um den Benutzer einer anderen als der vordefinierten Clientless-Gruppe hinzuzufügen, müssen Sie zunächst die Clientless-Gruppe erstellen. Anschließend können Sie diese hier auswählen.
Notiz
Benutzerrichtlinien haben Vorrang vor Gruppenrichtlinien. Ändern Sie die Richtlinien und Einstellungen nicht, wenn die Gruppenrichtlinien angewendet werden sollen.
-
Andere Gruppenmitgliedschaften: AD-Gruppen, die nicht der Hauptgruppe des Benutzers angehören. Einige Regeln und Richtlinien unterstützen die Mitgliedschaft in mehreren Gruppen. Siehe Unterstützung für Active Directory-Gruppenmitgliedschaften.
- Surfkontingent: Dem Benutzer zugewiesene Surfzeitdauer.
- Zugriffszeit: Erlaubt oder verweigert den Internetzugang basierend auf einem Zeitplan.
- Netzwerkverkehr: Kontingent für die Datennutzung.
- Verkehrsgestaltung: Dem Benutzer zugewiesene Bandbreite.
-
-
Geben Sie die folgenden VPN-Einstellungen für den Remotezugriff an:
Notiz
Bei Remote-Access-VPNs (außer SSL-VPNs) haben Benutzerrichtlinien Vorrang vor Gruppenrichtlinien. Bei Remote-Access-SSL-VPNs erhält der Benutzer Zugriff auf alle Ressourcen der vollständigen und geteilten Tunnelrichtlinien, denen er oder seine Gruppen angehören. Siehe Unterstützung für Active Directory-Gruppenmitgliedschaften.
- SSL-VPN-Richtlinie: SSL-VPN-Richtlinie für den Remotezugriff der Benutzergruppe oder die Richtlinie, die Sie für den Benutzer auswählen.
-
Gruppen-SSL-VPN-Richtlinien: SSL-VPN-Richtlinien für den Remotezugriff der Benutzergruppen. Das Feld wird nur angezeigt, wenn die folgenden Bedingungen erfüllt sind:
- Der Benutzer ist Teil mehrerer AD-Gruppen.
- Mindestens zwei dieser Gruppen sind Teil der SSL-VPN-Richtlinien für den Remotezugriff.
-
SSL-VPN-IP-Adresse: Geben Sie die statischen IPv4- und IPv6-Adressen für den Benutzer ein.
Es erscheint nur, wenn Sie auswählen Verwenden Sie statische IP-Adressen An Remote-Zugriff-VPN > SSL VPN > Globale SSL-VPN-EinstellungenStellen Sie sicher, dass die statische Adresse, die Sie dem Benutzer zuweisen, aus dem statischen Bereich stammt, der automatisch erstellt wird auf Globale SSL-VPN-Einstellungen.
Notiz
Wenn ein RADIUS-Server zum Leasen von IP-Adressen konfiguriert ist, vermietet er die statischen IP-Adressen an SSL-VPN-Benutzer mit Remotezugriff.
-
Clientlose SSL-VPN-Richtlinie: Ermöglicht den Fernzugriff über einen Browser mithilfe von Lesezeichen.
-
Gruppieren Sie Clientless-SSL-VPN-Richtlinien: Clientlose SSL-VPN-Richtlinien der Benutzergruppen. Das Feld wird nur angezeigt, wenn die folgenden Bedingungen erfüllt sind:
- Der Benutzer ist Teil mehrerer AD-Gruppen.
- Mindestens zwei dieser Gruppen sind Teil der Clientless-SSL-VPN-Richtlinien.
-
IPsec-Fernzugriff: Ermöglicht den Remote-Zugriff per IPsec über den Sophos Connect Client. Geben Sie eine IP-Adresse ein, die an den Remote-Benutzer vergeben werden soll.
- L2TP: Ermöglicht den Remote-Zugriff über L2TP. Geben Sie eine IP-Adresse ein, die an den Remote-Benutzer vergeben werden soll.
-
PPTP: Ermöglicht den Fernzugriff über PPTP. Geben Sie eine IP-Adresse ein, die dem Remotebenutzer zur Verfügung gestellt werden soll.
Notiz
Wenn Sie L2TP oder PPTP aktivieren, müssen sich die Richtlinienmitglieder zuerst beim VPN-Portal anmelden und ein Kennwort erstellen, bevor sie eine Verbindung herstellen können.
-
Geben Sie die folgenden Einstellungen an:
- Quarantäne-Digest: Sendet die Liste der unter Quarantäne gestellten E-Mails per E-Mail an den Benutzer.
-
MAC-Bindung: Benutzer müssen sich über Endpunkte anmelden, die über die von Ihnen angegebenen MAC-Adressen verfügen.
Notiz
Die MAC-Bindung unterstützt nur clientbasierte Authentifizierungsmethoden. Remote-Access-VPN und Captive-Portal-Benutzer werden nicht unterstützt.
-
MAC-Adressliste: Geben Sie die MAC-Adressen ein, wenn Sie die MAC-Bindung aktivieren.
Notiz
Wenn Sie die MAC-Bindung aktivieren und keine MAC-Adresse eingeben, bindet die Firewall die MAC-Adresse des Benutzers automatisch bei seiner ersten Anmeldung.
-
Gleichzeitige Anmeldungen: Anzahl gleichzeitiger Sitzungen, die der Benutzer durchführen kann. Wählen Sie eine der folgenden Optionen:
- Globale Einstellung: Gehe zu Authentifizierung > Leistungen um diese Einstellungen anzuzeigen.
- Unbegrenzt: Ermöglicht eine unbegrenzte Anzahl gleichzeitiger Sitzungen.
- Klar Unbegrenzt und geben Sie einen Wert ein.
-
Anmeldebeschränkung: Ermöglicht den Zugriff nur von den angegebenen IP-Adressen:
- Jeder Knoten: Der Benutzer kann sich von jeder IP-Adresse aus anmelden.
- Benutzergruppenknoten: Es gilt die Anmeldebeschränkung der Benutzergruppe.
- Ausgewählte Knoten: Geben Sie IPv4-Adressen ein und klicken Sie auf das Pluszeichen (
)-Schaltfläche für jeden.
- Knotenbereich: Geben Sie die Start- und End-IPv4-Adressen ein.
-
Wenn Sie Benutzertyp Zu Administratorauf Erweiterte Administratoreinstellungen und geben Sie die folgenden Einstellungen an:
- Zeitplan für den Gerätezugriff: Ermöglicht die Anmeldung bei der Webadministratorkonsole während des von Ihnen ausgewählten Zeitplans.
-
Anmeldebeschränkung für den Gerätezugriff: Ermöglicht Anmeldungen nur von den angegebenen IP-Adressen:
- Jeder Knoten: Der Administrator kann sich von jeder IP-Adresse aus bei der Webadministrationskonsole anmelden.
- Ausgewählte Knoten: Geben Sie IPv4-Adressen ein und klicken Sie auf das Pluszeichen (
)-Schaltfläche für jeden.
- Knotenbereich: Geben Sie die Start- und End-IPv4-Adressen ein.
-
Klicken Speichern.
Nutzung und Abrechnung
- Um die Internetnutzung eines Benutzers anzuzeigen, scrollen Sie nach unten und klicken Sie auf Nutzung anzeigen.
- Um die Surfzeit und die Netzwerkverkehrsnutzung des Benutzers zurückzusetzen, klicken Sie auf Benutzerabrechnung zurücksetzen.
Weitere Ressourcen