Allgemein

Auf der Registerkarte Definitionen & Benutzer > Authentifizierungsserver > Allgemeine Einstellungen können Sie die grundlegenden Einstellungen für die Authentifizierung vornehmen. Die folgenden Optionen stehen zur Verfügung:

Benutzer automatisch erstellen: Wenn diese Option ausgewählt ist, legt Sophos UTM automatisch ein Benutzerobjekt an, sobald sich ein unbekannter Benutzer einer konfigurierten Backend-Gruppe erfolgreich über einen der angebundenen Authentifizierungsdienste anmeldet, der von der Sophos UTM unterstützt wird. Beispiel: Wenn Sie eine RADIUSClosed-Backend-Gruppe konfigurieren und diese Gruppe als Mitglied zu einer der Rollen hinzufügen, die auf der Registerkarte Verwaltung > WebAdmin-Einstellungen > Zugriffskontrolle definiert sind, erstellt die Sophos UTM automatisch eine Benutzerdefinition für RADIUS-Benutzer, die sich erfolgreich am WebAdmin angemeldet haben.

Hinweis – Um die Sophos Transparent Authentication Suite verwenden zu können, müssen Sie die automatische Benutzererstellung für STAS aktivieren.

  • Automatische Benutzererstellung für Komponenten: Für bestimmte Funktionen kann eine automatische Benutzererstellung aktiviert oder deaktiviert werden. Die Benutzer werden dabei nur für die ausgewählten Funktionen angelegt. Diese Option ist nicht verfügbar – und automatische Benutzererstellung ist für alle Komponenten deaktiviert – wenn die Option Benutzer automatisch erstellen nicht ausgewählt ist.

    Hinweis – Diese Funktion ist mit Active Directory Single Sign-On (SSO) nicht möglich.

Diese Benutzerobjekte werden auch benötigt, um Zugang zum Benutzerportal der Sophos UTM zu gewähren. Für alle automatisch erstellten Benutzerobjekte wird außerdem ein X.509-Zertifikat erzeugt. Beachten Sie jedoch, dass die automatische Benutzererstellung fehlschlägt, wenn es zu einem E-Mail-Adressenkonflikt kommt, da die zu erstellende Benutzerdefinition keine E-Mail-Adresse besitzen darf, die auf dem System bereits vorhanden ist. Alle E-Mail-Adressen müssen innerhalb des Systems eindeutig sein, da sie zur Identifizierung der X.509-Zertifikate dienen.

Wichtiger Hinweis – Authentifizierung (das Herausfinden, wer ein Benutzer ist) und Autorisierung (das Herausfinden, was ein Benutzer darf) für einen Benutzer, dessen Benutzerobjekt automatisch erstellt wurde, geschieht immer auf dem entfernten Backend-Server bzw. Verzeichnisdienst. Aus diesem Grund sind automatisch erzeugte Benutzerobjekte in der Sophos UTM nutzlos, wenn der entsprechende Backend-Server nicht erreichbar ist oder das Benutzerobjekt am entfernten Standort gelöscht wurde.

Beachten Sie auch, dass die Sophos UTM Benutzerauthentifizierungsdaten, die es von einem entfernten Authentifizierungsserver geholt hat, für 300 Sekunden zwischenspeichert. Ausgenommen hiervon ist Active Directory Single Sign-On (SSO). Deshalb werden sich Änderungen an den entfernten Benutzereinstellungen erst auswirken, wenn der Speicherzeitraum abgelaufen ist.

Authentifizierungs-Cache

Jedes Mal, wenn die Sophos UTM eine Benutzeranfrage von einem noch unbekannten Benutzer erreicht, z.B. http, und Authentifizierung erforderlich ist, schreibt die Sophos User Authentication (SUA) einen Eintrag in den Authentifizierungs-Cache. Mit der Zeit kann es in Umgebungen mit häufig wechselnden Benutzern sinnvoll sein, den Cache gelegentlich zu leeren. Eine Leerung kann auch angebracht sein, wenn Sie für alle Benutzer eine sofortige neue Authentifizierung erzwingen wollen. Verwenden Sie die Schaltfläche Auth.-Cache leeren, um den Authentifizierungs-Cache zu leeren.
Eine Authentifizierung ist 300 Sekunden lang gültig. In dieser Zeit werden neue Authentifizierungsanfragen desselben Benutzers direkt im Cache abgefragt. Diese Methode entlastet Backend-Authentifizierungsdienste wie eDirectory.

Hinweis – Das Leeren des Caches hat keine Auswirkung auf augenblicklich entfernt angemeldete Benutzer.

Live-Protokoll

Live-Protokoll öffnen: Durch einen Klick auf die Schaltfläche wird das Protokoll der SophosBenutzerauthentifizierung (SUA) in einem neuen Fenster angezeigt.