Leistungen
Wählen Sie die Authentifizierungsserver für die Firewall und andere Dienste wie VPN aus. Sie können globale Authentifizierungseinstellungen sowie Einstellungen für Kerberos und NTLM, Webclient und RADIUS Single Sign-On konfigurieren. Mit Webrichtlinienaktionen können Sie festlegen, wohin nicht authentifizierte Benutzer weitergeleitet werden sollen.
Notiz
Sie können für jede Authentifizierungsmethode maximal 20 Authentifizierungsserver auswählen.
Firewall-Authentifizierungsmethoden
Für Firewall-Verbindungen zu verwendender Authentifizierungsserver.
Liste der Authentifizierungsserver: Konfigurierte Authentifizierungsserver.
Ausgewählter Authentifizierungsserver: Server für die Authentifizierung. Um Benutzer für diesen Dienst zu authentifizieren, müssen Sie mindestens einen Server auswählen. Sie können einen externen Server oder die lokale Datenbank angeben, d. h. die Benutzer und Gruppen, die Sie in der Firewall konfiguriert haben. Wenn mehrere Server ausgewählt sind, wird die Authentifizierungsanfrage in der angegebenen Reihenfolge weitergeleitet.
Standardgruppe: Gruppe zur Authentifizierung von Benutzern, die nicht in der Firewall definiert sind. Benutzer, die nicht in einer lokalen Gruppe enthalten sind, werden der Standardgruppe zugewiesen.
Authentifizierungsmethoden für das Benutzerportal
Für das Benutzerportal zu verwendender Authentifizierungsserver.
Legen Sie die gleichen Authentifizierungsmethoden wie bei der Firewall fest: Verwenden Sie die Authentifizierungsserver des Firewall-Verkehrs für das Benutzerportal.
Liste der Authentifizierungsserver: Konfigurierte Authentifizierungsserver.
Ausgewählter Authentifizierungsserver: Server für die Authentifizierung. Um Benutzer für diesen Dienst zu authentifizieren, müssen Sie mindestens einen Server auswählen. Sie können einen externen Server oder den lokalen Server angeben, d. h. die Benutzer und Gruppen, die Sie in der Firewall konfiguriert haben.
Authentifizierungsmethoden für VPN-Portale
Für das VPN-Portal zu verwendender Authentifizierungsserver.
Legen Sie die gleichen Authentifizierungsmethoden wie bei der Firewall fest: Verwenden Sie die Authentifizierungsserver des Firewall-Verkehrs für das VPN-Portal.
Liste der Authentifizierungsserver: Konfigurierte Authentifizierungsserver.
Ausgewählter Authentifizierungsserver: Server für die Authentifizierung. Um Benutzer für diesen Dienst zu authentifizieren, müssen Sie mindestens einen Server auswählen. Sie können einen externen Server oder den lokalen Server angeben, d. h. die Benutzer und Gruppen, die Sie in der Firewall konfiguriert haben.
Notiz
Das VPN-Portal unterstützt keine RADIUS-Authentifizierung mit Challenge-basierter MFA.
VPN (IPsec/Dial-In/L2TP/PPTP)-Authentifizierungsmethoden
Für VPN-Verbindungen zu verwendender Authentifizierungsserver.
Legen Sie die gleichen Authentifizierungsmethoden wie bei der Firewall fest: Machen Sie alle für Firewall-Verkehr konfigurierten Authentifizierungsserver für die VPN-Verkehrsauthentifizierung verfügbar.
Liste der Authentifizierungsserver: Konfigurierte Authentifizierungsserver.
Ausgewählter Authentifizierungsserver: Server für die Authentifizierung. Um Benutzer für diesen Dienst zu authentifizieren, müssen Sie mindestens einen Server auswählen. Sie können einen externen Server oder den lokalen Server angeben, d. h. die Benutzer und Gruppen, die Sie in der Firewall konfiguriert haben. Wenn Sie mehrere Server auswählen, wird die Authentifizierungsanfrage in der angegebenen Reihenfolge weitergeleitet.
Stellen Sie sicher, dass Sie basierend auf der folgenden Liste ein unterstütztes Authentifizierungsprotokoll für L2TP- und PPTP-Verbindungen verwenden:
- Lokal: PAP, CHAP oder MSCHAPv2
- Active Directory: PAP
- RADIUS: PAP, CHAP oder MSCHAPv2
- LDAP: PAP
- TACACS+: PAP oder CHAP
Administrator-Authentifizierungsmethoden
Server, der zur Authentifizierung von Administratorbenutzern verwendet werden soll.
Notiz
Die Administrator-Authentifizierungseinstellungen gelten nicht für den Superadministrator.
Legen Sie die gleichen Authentifizierungsmethoden wie bei der Firewall fest: Machen Sie alle für Firewall-Verkehr konfigurierten Authentifizierungsserver für die Administratorauthentifizierung verfügbar.
Liste der Authentifizierungsserver: Konfigurierte Authentifizierungsserver.
Ausgewählter Authentifizierungsserver: Server für die Authentifizierung. Um Benutzer für diesen Dienst zu authentifizieren, müssen Sie mindestens einen Server auswählen. Sie können einen externen Server oder den lokalen Server angeben, d. h. die Benutzer und Gruppen, die Sie in der Firewall konfiguriert haben. Wenn Sie mehrere Server auswählen, wird die Authentifizierungsanfrage in der angegebenen Reihenfolge weitergeleitet.
SSL-VPN-Authentifizierungsmethoden
Für SSL-VPN-Verbindungen zu verwendender Authentifizierungsserver.
Dasselbe wie VPN: Verwenden Sie dieselbe Authentifizierungsmethode, die für den VPN-Verkehr konfiguriert ist.
Dasselbe wie Firewall: Verwenden Sie dieselbe Authentifizierungsmethode, die für den Firewall-Verkehr konfiguriert ist.
Liste der Authentifizierungsserver: Konfigurierte Authentifizierungsserver.
Ausgewählter Authentifizierungsserver: Server für die Authentifizierung. Um Benutzer für diesen Dienst zu authentifizieren, müssen Sie mindestens einen Server auswählen. Sie können einen externen Server oder den lokalen Server angeben, d. h. die Benutzer und Gruppen, die Sie in der Firewall konfiguriert haben. Wenn Sie mehrere Server auswählen, wird die Authentifizierungsanfrage in der angegebenen Reihenfolge weitergeleitet.
Globale Einstellungen
Maximales Sitzungstimeout: Maximale Sitzungsdauer für Benutzer, die sich erfolgreich bei einem Dienst angemeldet haben. Nach Ablauf der Zeit wird der Benutzer abgemeldet.
Die Firewall prüft die Berechtigung alle drei Minuten. Mögliche Ursachen für die Begrenzung der Sitzungsdauer sind Zugriffsrichtlinien, Surfkontingente, Datenübertragungslimit und die maximale Sitzungsdauer.
Gleichzeitige Anmeldungen: Maximale Anzahl gleichzeitiger Sitzungen, die Benutzern gestattet sind.
Notiz
Diese Einschränkung gilt nur für Benutzer, die hinzugefügt werden, nachdem Sie diesen Wert festgelegt haben.
AD SSO-Einstellungen (NTLM und Kerberos)
Einstellungen für Windows Challenge/Response zur Verwendung für die Active Directory-Authentifizierung.
Inaktivitätszeit: Inaktivitäts- oder Leerlaufzeit, nach der der Benutzer abgemeldet wird.
Schwellenwert für die Datenübertragung: Mindestdatenmenge, die innerhalb der Inaktivitätszeit übertragen werden soll. Wird die Mindestdatenmenge nicht innerhalb der angegebenen Zeit übertragen, wird der Benutzer als inaktiv markiert.
HTTP-Challenge-Umleitung in der Intranetzone: Wenn eine im Internet gehostete Site die NTLM-Webproxy-Challenge zur Authentifizierung initiiert, wird die NTLM-Authentifizierungs-Challenge an die Intranetzone umgeleitet. Der Client wird transparent über die lokale Schnittstellen-IP des Geräts authentifiziert, und Anmeldeinformationen werden nur in der Intranetzone ausgetauscht. Benutzeranmeldeinformationen bleiben geschützt. Ist diese Einstellung deaktiviert, wird der Client transparent vom Browser über das Gerät authentifiziert, indem Benutzeranmeldeinformationen über das Internet gesendet werden.
Webclient-Einstellungen (iOS, Android und API)
Einstellungen für iOS, Android und API.
Inaktivitätszeit: Inaktivitäts- oder Leerlaufzeit, nach der der Benutzer abgemeldet wird.
Schwellenwert für die Datenübertragung: Mindestdatenmenge, die innerhalb der Inaktivitätszeit übertragen werden soll. Wird die Mindestdatenmenge nicht innerhalb der angegebenen Zeit übertragen, wird der Benutzer als inaktiv markiert.
SSO mithilfe der RADIUS-Buchhaltungsanforderung
Einstellungen für RADIUS Single Sign-On. Die Firewall kann Benutzer transparent authentifizieren, die sich bereits an einem RADIUS-Server authentifiziert haben.
RADIUS-Client IPv4: IPv4-Adresse des RADIUS-Clients. Nur Anfragen von der angegebenen IP-Adresse werden für SSO berücksichtigt.
Gemeinsames Geheimnis: Textzeichenfolge, die als Kennwort zwischen Client und Server dient.
Chromebook-SSO
Einstellungen für die einmalige Anmeldung am Chromebook. Die Firewall kann Benutzer transparent authentifizieren, die sich bereits an einem Chromebook authentifiziert haben. Um die SSO-Authentifizierung für Chromebooks einzurichten, folgen Sie den Anweisungen in Konfigurieren der einmaligen Anmeldung für Chromebooks.
Domain: Der Domänenname, wie er bei Google Workspace registriert ist.
Hafen: Die Portnummer, mit der Chromebooks vom LAN oder WLAN aus eine Verbindung herstellen.
Zertifikat: Das für die Kommunikation mit den Chromebooks verwendete Zertifikat. Es muss die folgenden Anforderungen erfüllen:
- Es muss einen privaten Schlüssel haben.
- Es muss eine zugehörige Zertifizierungsstelle installiert sein.
- Der allgemeine Name (CN) des Zertifikats muss mit der Zone oder dem Netzwerk des Chromebook-Benutzers übereinstimmen, beispielsweise
gateway.example.com
.
Protokollierungsebene: Wählen Sie den Umfang der Protokollierung aus.
Weitere Ressourcen