Zur Startseite gehen
0,00 €*

Permalink zur Seite

Verwenden Sie beim Verweisen auf diese Seite stets den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/en-us/webhelp/onlinehelp/index.html?contextId=authentication-services

Dienstleistungen

Wählen Sie die Authentifizierungsserver für die Firewall und andere Dienste wie VPN aus. Sie können globale Authentifizierungseinstellungen sowie Einstellungen für Kerberos und NTLM, Webclient und RADIUS Single Sign-On konfigurieren. Mit Webrichtlinienaktionen legen Sie fest, wohin nicht authentifizierte Benutzer weitergeleitet werden sollen.

Notiz

Sie können für jede Authentifizierungsmethode maximal 20 Authentifizierungsserver auswählen.

Firewall-Authentifizierungsmethoden

Authentifizierungsserver für Firewall-Verbindungen.

Liste der Authentifizierungsserver: Konfigurierte Authentifizierungsserver.

Ausgewählter Authentifizierungsserver: Server für die Authentifizierung. Um Benutzer für diesen Dienst zu authentifizieren, müssen Sie mindestens einen Server auswählen. Sie können einen externen Server oder die lokale Datenbank angeben, d. h. die Benutzer und Gruppen, die Sie auf der Firewall konfiguriert haben. Wenn mehrere Server ausgewählt sind, wird die Authentifizierungsanfrage in der angegebenen Reihenfolge weitergeleitet.

Standardgruppe: Gruppe zur Authentifizierung von Benutzern, die nicht in der Firewall definiert sind. Benutzer, die keiner lokalen Gruppe angehören, werden der Standardgruppe zugewiesen.

Authentifizierungsmethoden für Benutzerportale

Authentifizierungsserver für das Benutzerportal.

Stellen Sie die Authentifizierungsmethoden auf die gleichen Werte wie die Firewall ein.: Verwenden Sie die Authentifizierungsserver des Firewall-Datenverkehrs für das Benutzerportal.

Liste der Authentifizierungsserver: Konfigurierte Authentifizierungsserver.

Ausgewählter Authentifizierungsserver: Server für die Authentifizierung. Zur Authentifizierung von Benutzern für diesen Dienst müssen Sie mindestens einen Server auswählen. Sie können einen externen Server oder den lokalen Server angeben, d. h. die Benutzer und Gruppen, die Sie auf der Firewall konfiguriert haben.

VPN-Portal-Authentifizierungsmethoden

Authentifizierungsserver für das VPN-Portal.

Stellen Sie die Authentifizierungsmethoden auf die gleichen Werte wie die Firewall ein.: Verwenden Sie die Authentifizierungsserver des Firewall-Datenverkehrs für das VPN-Portal.

Liste der Authentifizierungsserver: Konfigurierte Authentifizierungsserver.

Ausgewählter Authentifizierungsserver: Server für die Authentifizierung. Zur Authentifizierung von Benutzern für diesen Dienst müssen Sie mindestens einen Server auswählen. Sie können einen externen Server oder den lokalen Server angeben, d. h. die Benutzer und Gruppen, die Sie auf der Firewall konfiguriert haben.

Notiz

Das VPN-Portal unterstützt keine RADIUS-Authentifizierung mit Challenge-basierter MFA.

VPN-Authentifizierungsmethoden (IPsec/Einwahl/L2TP/PPTP)

Authentifizierungsserver für VPN-Verbindungen.

Stellen Sie die Authentifizierungsmethoden auf die gleichen Werte wie die Firewall ein.: Stellen Sie sicher, dass alle für Firewall-Datenverkehr konfigurierten Authentifizierungsserver auch für die VPN-Datenverkehrsauthentifizierung verfügbar sind.

Liste der Authentifizierungsserver: Konfigurierte Authentifizierungsserver.

Ausgewählter Authentifizierungsserver: Server für die Authentifizierung. Zur Authentifizierung von Benutzern für diesen Dienst müssen Sie mindestens einen Server auswählen. Sie können einen externen Server oder den lokalen Server angeben, d. h. die Benutzer und Gruppen, die Sie auf der Firewall konfiguriert haben. Wenn Sie mehrere Server auswählen, wird die Authentifizierungsanfrage in der angegebenen Reihenfolge weitergeleitet.

Stellen Sie sicher, dass Sie für L2TP- und PPTP-Verbindungen ein unterstütztes Authentifizierungsprotokoll aus der folgenden Liste verwenden:

  • Lokal: PAP, CHAP oder MSCHAPv2
  • Active Directory: PAP
  • RADIUS: PAP, CHAP oder MSCHAPv2
  • LDAP: PAP
  • TACACS+: PAP oder CHAP

Administrator-Authentifizierungsmethoden

Server zur Authentifizierung von Administratorbenutzern.

Notiz

Die Administrator-Authentifizierungseinstellungen gelten nicht für den Superadministrator.

Stellen Sie die Authentifizierungsmethoden auf die gleichen Werte wie die Firewall ein.: Stellen Sie sicher, dass alle für den Firewall-Datenverkehr konfigurierten Authentifizierungsserver auch für die Administratorauthentifizierung verfügbar sind.

Liste der Authentifizierungsserver: Konfigurierte Authentifizierungsserver.

Ausgewählter Authentifizierungsserver: Server für die Authentifizierung. Zur Authentifizierung von Benutzern für diesen Dienst müssen Sie mindestens einen Server auswählen. Sie können einen externen Server oder den lokalen Server angeben, d. h. die Benutzer und Gruppen, die Sie auf der Firewall konfiguriert haben. Wenn Sie mehrere Server auswählen, wird die Authentifizierungsanfrage in der angegebenen Reihenfolge weitergeleitet.

SSL-VPN-Authentifizierungsmethoden

Authentifizierungsserver für SSL-VPN-Verbindungen.

Dasselbe wie ein VPN: Verwenden Sie dieselbe Authentifizierungsmethode, die für den VPN-Verkehr konfiguriert ist.

Dasselbe wie bei einer Firewall: Verwenden Sie dieselbe Authentifizierungsmethode, die für den Firewall-Datenverkehr konfiguriert ist.

Liste der Authentifizierungsserver: Konfigurierte Authentifizierungsserver.

Ausgewählter Authentifizierungsserver: Server für die Authentifizierung. Zur Authentifizierung von Benutzern für diesen Dienst müssen Sie mindestens einen Server auswählen. Sie können einen externen Server oder den lokalen Server angeben, d. h. die Benutzer und Gruppen, die Sie auf der Firewall konfiguriert haben. Wenn Sie mehrere Server auswählen, wird die Authentifizierungsanfrage in der angegebenen Reihenfolge weitergeleitet.

Globale Einstellungen

Maximales Sitzungs-Timeout: Die maximale Sitzungsdauer für Benutzer, die sich erfolgreich bei einem Dienst angemeldet haben, beträgt [Wert einfügen]. Nach Ablauf dieser Zeit wird der Benutzer automatisch abgemeldet.

Die Firewall prüft alle drei Minuten die Autorisierung. Mögliche Ursachen für die Begrenzung der Sitzungsdauer sind Zugriffsrichtlinien, Surf-Kontingent, Datentransferlimit und die maximale Sitzungsdauer.

Gleichzeitige Anmeldungen: Maximale Anzahl gleichzeitiger Sitzungen pro Benutzer.

Notiz

Diese Einschränkung gilt nur für Benutzer, die hinzugefügt werden, nachdem Sie diesen Wert festgelegt haben.

AD SSO-Einstellungen (NTLM und Kerberos)

Einstellungen für die Windows-Herausforderungs-/Antwort-Authentifizierung für Active Directory.

Inaktivitätszeit: Zeit der Inaktivität oder Leerlauf, nach der der Benutzer abgemeldet wird.

Datenübertragungsschwelle: Mindestdatenmenge, die innerhalb der Inaktivitätszeit übertragen werden muss. Wird die Mindestdatenmenge nicht innerhalb der angegebenen Zeit übertragen, wird der Benutzer als inaktiv markiert.

HTTP-Challenge-Umleitung in der Intranetzone: Wenn eine im Internet gehostete Website die NTLM-Webproxy-Authentifizierungsanforderung initiiert, wird diese an das Intranetzone umgeleitet. Der Client wird transparent über die lokale Schnittstellen-IP des Geräts authentifiziert, und die Anmeldeinformationen werden ausschließlich im Intranetzone ausgetauscht. Die Benutzerdaten bleiben geschützt. Ist diese Einstellung deaktiviert, erfolgt die transparente Authentifizierung des Clients durch den Browser über das Gerät, indem die Benutzerdaten über das Internet übertragen werden.

Webclient-Einstellungen (iOS, Android und API)

Einstellungen für iOS, Android und API.

Inaktivitätszeit: Zeit ohne Aktivität oder Leerlauf, nach der der Benutzer abgemeldet wird.

Datenübertragungsschwelle: Mindestdatenmenge, die innerhalb der Inaktivitätszeit übertragen werden muss. Wird die Mindestdatenmenge nicht innerhalb der angegebenen Zeit übertragen, wird der Benutzer als inaktiv markiert.

SSO mit RADIUS-Abrechnungsanfrage

Einstellungen für RADIUS Single Sign-On. Die Firewall kann Benutzer, die sich bereits an einem RADIUS-Server authentifiziert haben, transparent authentifizieren.

RADIUS-Client IPv4: IPv4-Adresse des RADIUS-Clients. Nur Anfragen von der angegebenen IP-Adresse werden für SSO berücksichtigt.

Gemeinsames Geheimnis: Eine Textzeichenfolge, die als Passwort zwischen Client und Server dient.

Chromebook SSO

Einstellungen für Chromebook Single Sign-On. Die Firewall kann Benutzer, die sich bereits an einem Chromebook authentifiziert haben, transparent authentifizieren. Um die Chromebook-SSO-Authentifizierung einzurichten, folgen Sie den Anweisungen in Chromebook-Single-Sign-On konfigurieren.

Domain: Der bei Google Workspace registrierte Domainname.

Hafen: Die Portnummer, mit der sich Chromebooks über das LAN oder WLAN verbinden.

Zertifikat: Das Zertifikat, das für die Kommunikation mit den Chromebooks verwendet wird. Es muss folgende Anforderungen erfüllen:

  • Es muss einen privaten Schlüssel besitzen.
  • Es muss eine zugehörige Zertifizierungsstelle installiert sein.
  • Der allgemeine Name (CN) des Zertifikats muss mit der Zone oder dem Netzwerk des Chromebook-Benutzers übereinstimmen, zum Beispiel gateway.example.com.

Protokollierungsstufe: Wählen Sie den Umfang der Protokollierung.

Weitere Ressourcen

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen