Gruppen

Auf der Seite Definitionen & Benutzer > Benutzer & Gruppen > Gruppen können Sie Benutzergruppen zur UTM hinzufügen. In der Werkseinstellung ist in der Sophos UTM eine Benutzergruppe SuperAdmins vorhanden. Wenn Sie einem Benutzer administrative Rechte geben wollen, d. h. Zugriffsrechte auf den WebAdmin, fügen Sie ihn der Gruppe SuperAdmins hinzu; diese Gruppe sollte nicht gelöscht werden.

Tipp – Durch einen Klick auf eine Gruppendefinition in der Liste Gruppen werden Ihnen alle Konfigurationsoptionen angezeigt, in denen diese Gruppendefinition verwendet wird.

Um eine Benutzergruppe hinzuzufügen, gehen Sie folgendermaßen vor:

  1. Klicken Sie auf der Registerkarte Gruppen auf Neue Gruppe.

    Das Dialogfenster Gruppe hinzufügen öffnet sich.

  2. Nehmen Sie die folgenden Einstellungen vor:

    Gruppenname: Geben Sie einen aussagekräftigen Namen für diese Gruppe ein. Der Gruppenname muss nicht mit dem Gruppennamen Ihrer Backend-Gruppen übereinstimmen.

    Gruppentyp: Wählen Sie den Gruppentyp aus. Sie können zwischen einer Gruppe mit statischen Mitgliedern und zwei Gruppen mit dynamischer Mitgliedschaft wählen.

    • Statische Mitglieder: Wählen Sie die lokalen Benutzer aus, die Mitglied in dieser Gruppe werden sollen.
    • IPsec-X.509-DN-Maske: Benutzer werden dynamisch zu einer IPsec-X509-DN-Gruppendefinition hinzugefügt, sobald sie sich erfolgreich über eine IPsec-Verbindung am Gateway angemeldet haben und spezifische Parameter ihres Distinguished Name mit dem Wert im Feld DN-Maske übereinstimmen.
    • Backend-Mitgliedschaft: Benutzer werden dynamisch zur einer Gruppendefinition hinzugefügt, wenn sie sich erfolgreich an einem der unterstützten Authentifizierungsdienste angemeldet haben. Um fortzufahren, wählen Sie die entsprechende Backend-Authentifizierungsmethode aus:

      • Active Directory: Eine Active-Directory-Benutzergruppe der UTM stellt die Gruppenmitgliedschaft für Mitglieder von Active-Directory-Server-Benutzergruppen bereit, die in einem Windows-Netzwerk konfiguriert sind. Weitere Informationen finden Sie unter Definitionen & Benutzer > Authentifizierungsdienste > Server.
      • eDirectory: Eine eDirectory-Benutzergruppe der UTM stellt die Gruppenmitgliedschaft für Mitglieder von eDirectory-Benutzergruppen bereit, die in einem eDirectory-Netzwerk konfiguriert sind. Weitere Informationen finden Sie unter Definitionen & Benutzer > Authentifizierungsdienste > Server.
      • RADIUS: Benutzer werden automatisch zu einer RADIUS-Backend-Gruppe hinzugefügt, wenn sie sich erfolgreich über die RADIUSClosed-Authentifizierungsmethode authentifiziert haben.
      • TACACS+: Benutzer werden automatisch zu einer TACACS+-Backend-Gruppe hinzugefügt, wenn sie sich erfolgreich über die TACACS+Closed-Authentifizierungsmethode authentifiziert haben.
      • LDAP: Benutzer werden automatisch zu einer LDAPClosed-Backend-Gruppe hinzugefügt, wenn sie sich erfolgreich über die LDAP-Authentifizierungsmethode authentifiziert haben.

    Auf Backend-Gruppenmitglieder beschränken (optional; nur mit den Backend-Gruppen Active Directory oder eDirectory): In Netzwerken mit einem X.500-Verzeichnisdienst kann die Mitgliedschaft auf bestimmte Gruppen auf Ihrem Backend-Server beschränkt werden, wenn Sie nicht alle Benutzer des gewählten Backend-Servers in diese Gruppendefinition aufnehmen wollen. Wenn Sie diese Option wählen, müssen die hier angegebenen Gruppen mit einem Allgemeinen Namen (Common Name) übereinstimmen, der auf Ihrem Backend-Server konfiguriert ist. Beachten Sie, dass Sie das CN=-Präfix weglassen können, wenn Sie diese Option für Active Directory aktivieren. Wenn Sie diese Option für ein eDirectory-Backend aktivieren, können Sie den eDirectory-Browser verwenden, um bequem die eDirectory-Gruppen auszuwählen, die in diese Gruppendefinition aufgenommen werden sollen. Falls Sie den eDirectory-Browser nicht verwenden, stellen Sie jedoch sicher, dass das CN=-Präfix vorhanden ist, wenn Sie eDirectory-Container eingeben.

    Ein LDAP-Attribut überprüfen (optional; nur mit Backend-Gruppe LDAP): In Netzwerken mit einem LDAP-Verzeichnisdienst kann die Mitgliedschaft auf bestimmte Gruppen in der Datenbank begrenzt werden, die ein bestimmtes LDAP-Attribut Ihres Backend-Servers aufweisen, wenn Sie nicht alle Benutzer eines gewählten LDAP-Backend-Servers in diese Gruppendefinition aufnehmen wollen. Dieses Attribut wird dann als LDAP-Filterkriterium verwendet. Beispiel: Sie könnten groupMembership als Attribut mit dem Wert CN=Sales,O=Beispiel angeben. Dadurch würden alle Benutzer aus der Vertriebsabteilung Ihrer Firma zur Gruppendefinition hinzugefügt werden.

    Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.

  3. Klicken Sie auf Speichern.

    Die neue Benutzergruppe wird anschließend in der Liste Gruppen angezeigt.

Um eine Gruppe zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden Schaltflächen.