NetScreen Instant Virtual Extranet Platform
Contents
1. 2 00220220022002nusnnennnennnnnennne nennen 316 Registerkarte Meetings 2 u222002s02200nnonnnonnnnnennnnnnnnnnnnennnnnn nenn nnnnnnnnnnennnen 317 Registerkarte Network Connect 2 22220022022002000nnonnnnnnnnnnnnnnennnennnnnnennnn nenne 322 Konfigurieren der Seite New User 02 0022022002200000200nnnnnnn nennen ennnnn 323 Konfigurieren der Seite Web au line 325 Registerkarte ACCeSs a ee een 330 Registerkarte Caching gt Policies u 2002202200220ennnsnnennnnnnnnnnennnnnnnne nenn nenn 331 Registerkarte Caching gt Options uu2su0senunennennnenennnenenennnnnnenenenennn nennen nennen 335 Registerkarte Java gt Access Control 0022022002200200nnnnnnnnnnennnnnennnennnnnnennnen 336 Registerkarte Java gt Code Signing u2z2u0224000000nnnonnno nenne nano nano nnne nenn nenne nnnenn 337 Registerkarte Rewriting gt Selective Rewriting u 240s4444Renne nenn nenne nenn nennen 339 Registerkarte Rewriting gt Pass through Proxy cccccccseecceeeeseeeseeeseeeeseeeaeeeees 340 Registerkarte Remote SSO gt Form POST u222022002s0sssennnnnenenennnennenenennn 342 Registerkarte Remote SSO gt Headers Cookies 0220220022002n0nenennnennne nennen 345 Registerkarte Web Proxy gt Policies 2 022002000220020nnnnnn2. 00222000220000200n0 nennen 133 Auf der Seite System gt Status k nnen Sie die folgenden Aufgaben durchf hren Anzeigen der Auslastung der Systemkapazit t 00ne nn 126 Konfigurieren von Diagrammen zur Auslastung der Systemkapazit t 128 Anzeigen kritischer Systemereignisse us0440440Hnnenen nennen 128 Herunterladen des aktuellen Servicepakets ccccsecceeeeeeeeeeeeeees 129 Bearbeiten von Systemdatum und zeit uus222200ssnneeneennenenneenn 130 berwachen von Benutzern mit Anmeldung am IVE seen 131 Anzeigen und Absagen geplanter Konferenzen u e en 133 Registerkarte Overview Wenn Sie sich an der Webkonsole anmelden ist die Seite System gt Status ausgew hlt und die Registerkarte Overview wird angezeigt Auf dieser Registerkarte sind die Details zum IVE Server und den Systembenut zern zusammengefasst Wenn Sie auf anderen Seiten der Webkonsole nderungen vornehmen werden die entsprechenden Informationen auf der Seite General aktualisiert Hinweis Diese Registerkarte ist die Startseite f r alle Administratoren d h auch f r Administratoren mit delegierten Rechten ohne Lese oder Schreibzugriff auf die Registerkarten unter System gt Status Auf dieser Seite k nnen Sie Folgendes ausf hren Anzeigen der Auslastung der Systemkapazit t u 126 Konfigurieren von Diagrammen zur Auslastung der Sy
3. Central Manager Help Sign Out System Servers gt D Statt Active Directory using LDAP D Configuration D Network Settings Users gt Clustering gt Log Monitoring gt Signing In Name Active Directory using LD Label to reference this server Administrators LDAP Server 10 10 100 2 Name or IP address gt Authentication LDAP Port 636 gt Delegation Backup LDAP Serveri Name or IP address Users D Auen Backup LDAP Port1 D Roles Backup LDAP Server2 aaa Name or IP address gt New User Backup LDAP Port2 Resource Policies weh Connection Unencrypted LDAPS Files LDAP Server Type Active Directory D D D SAM D Network Connect D Meetings D Ena Authentication required Maintenance In order to use Password Management you may need to select the Authentication required to Te search LDAP checkbox below and enter your LDAP administrator DN and password D Import Export gt Push Config D Archiving M Authentication required to search LDAP Admin DN cn administrator cn users dc qa dc danastre Password SE Finding user entries gt Troubleshooting Specify how to find a user entry Base DN Idc ga dc danastreet de net example dc sales dc com Filter sAMAccountname lt USER gt example cn lt USER gt Determining group membership If group membership is NOT reflected as attributes of 3 user s entry specify how to find a group entries Note that these are defaul
4. System Maintenance D Status D Configuration Platform Upgrade Downgrade Options D Network gt Clustering gt Log Monitoring MV Automatic version monitoring D Signing I To keep your system current and secure the IVE can automatically notify you about critical software patches and bh bi updates To do this it reports to NetScreen the following data your company name an MDS hash of your license oy settings and information describing the current software version for more information refer to the Administrators documentation For your protection we strongly recommend that you enable this automatic service N As shambinabiam Abbildung 113 Maintenance gt System gt Options 388 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch NetScreen Instant Virtual Extranet Plattform 389 Administrationshandbuch Konfigurieren der Seite Import Export Die Seite Maintenance gt Import Export enth lt die folgenden Registerkarten Registerkarte Configuration 2200222000220000nnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnennen 389 Registerkarte User Accounts 0 222002200020000n0nnonnnn nano nnnnennnne nenne name nenne nennen 393 Registerkarte Roles and Policies 220022200200000000B0nn 0 nenne nnnn nenne nennen 394 Auf der Seite Maintenance gt Import Export k nnen Sie Folgendes durchf hren Exportieren einer Systemkonfigurationsdat
5. 1 Legen Sie auf der Seite System gt Signing In gt Sign in Policies der Webkonsole einen Anmelde URL f r die SiteMinder Serverinstanz fest Seite 203 Definieren Sie ein Authentifizierungsschema auf dem SiteMinder Richtlinienserver anhand der folgenden Parameter e Geben Sie die gew nschte Sicherheitsebene eine z B 30 e Aktivieren Sie das Kontrollk stchen Password Policies Enabled e Geben Sie unter Server Name den Hostnamen des IVE ein z B vertrieb firmenname net e Aktivieren Sie das Kontrollk stchen Use SSL Connection e Geben Sie unter Target den im ersten Schritt definierten Anmelde URL des IVE und den Parameter ive 1 ein z B highproturl ive 1 Hinweis Wenn Sie nderungen speichern wird ive 1 nicht mehr f r das Ziel angezeigt Das ist richtig Der Richtlinienserver f gt 1ve 1 in den vollst ndigen Authentifizierungsschema URL ein den er an das IVE sendet wie auf der Registerkarte Advanced im Feld Parameter ersichtlich ist e Deaktivieren Sie das Kontrollk stchen Allow Form Auth Scheme to Save Credentials e Lassen Sie die Liste Additional Attribute leer NetScreen Instant Virtual Extranet Plattform 255 Administrationshandbuch Iv Festlegen einer Netegrity SiteMinder Instanz So legen Sie eine Netegrity SiteMinder Serverinstanz fest 1 Konfigurieren Sie das IVE als Agent auf dem SiteMinder Richtlinienserver Folgen Sie hierf r den Anweisungen unter Konfigurieren des IVE als
6. 462 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch So erstellen Sie eine neue Security World f r ein eigenst ndiges IVE 1 Schlie en Sie das Kabel des Smartcardlesers an den Leseger tport des Kryptographiemoduls an der sich an der Frontplatte des IVE Ger ts befindet Legen Sie eine unformatierte Smartcard oder eine Administratorkarte mit Daten die Sie gefahrlos berschreiben k nnen mit den Kontakten nach oben in den Smartcardleser ein Stellen Sie den Modusschalter des Kryptographiemoduls auf I Initialisierungsmodus Greifen Sie auf die serielle Konsole des IVE zu und starten Sie das IVE Seite 453 neu 5 Geben Sie die angeforderten Initialisierungsinformationen ein 6 Stellen Sie den Modusschalter des Kryptographiemoduls auf O Operationsmodus zuruck wenn Sie dazu aufgefordert werden Erstellen Sie ein neues Serverzertifikat fur das der neue private Schlussel der Security World verwendet wird Seite 151 So erstellen Sie eine neue Security World in einer Clusterumgebung 1 Melden Sie sich an der Webkonsole eines Clusterknotens an den Sie mit einer neuen Security World neu formatieren m chten Um auf die Webkonsole eines Clusterknotens zuzugreifen geben Sie in einem Browser seine interne IP Adresse gefolgt von admin ein Beispiel https x x x x admin Aktivieren Sie auf der Registerkarte System gt Clustering gt Status in der Spalte Cluster Members das K
7. 9 Wiederholen Sie Schritt 7 f r alle weiteren Karten die Sie erstellen m chten 10 Verwahren Sie mindestens eine der Administratorkarten an einem sicheren Ort VI Erstellen einer neuen Security World nur Access Series FIPS Sie k nnen ein Access Series FIPS Ger t erst verwenden wenn Sie f r dieses eine Security World erstellt haben In manchen F llen m ssen Sie jedoch eine Security World mit einer neuen berschreiben Wenn Sie z B eine Administratorkarte verlieren sollten Sie eine v llig neue Security World erstellen um zu verhindern dass eine nicht vertrauensw rdige Person die Karte findet und auf Ihre Security World zugreifen kann Auch wenn Sie das Kennwort f r die urspr ngliche Security World vergessen haben m ssen Sie eine neue Security World erstellen Um eine neue Security World erstellen zu k nnen m ssen Sie ber Folgendes verf gen e Die Kryptographiemodule die zur Security World geh ren e Einen Smartcardleser e Eine oder mehrere unformatierte Smartcards oder Administratorkarten mit Daten die Sie gefahrlos berschreiben k nnen Hinweis Die alten Administratorkarten k nnen f r die neue Security World nur verwendet werden wenn Sie sie mit den Daten der neuen Security World neu formatieren Informationen zum berschreiben einer Security World mit einer vorhandenen Security World finden Sie unter Wiederherstellen einer archivierten Security World nur Access Series FIPS auf Seite 463
8. Meetings Email Client Read only roles Administrator can view but not modify ALL roles Administrator can view but not modify SELECTED roles Available roles Selected roles employees apac employees apac employees emea employees emea employees global Remove employees global employees hq _Remove globalMarCom x Save changes Save Changes m m s Abbildung 70 Administrators gt Delegation gt Ausgew hlte Rolle gt User Role Admin NetScreen Instant Virtual Extranet Plattform 273 Administrationshandbuch Konfigurieren eines Authentifizierungsbereichs ber die Men s Administrators gt Authentication und Users gt Authentication k nnen Benutzer auf die entsprechenden Seiten f r Authentication Realms zugreifen Auf diesen Seiten k nnen Sie Authentifizierungsbereiche im System erstellen und verwalten Die Seite Authentication Realms enth lt die folgenden Registerkarten Registerkarle General aA 273 Registerkarte Authentication Policy u 222002000020nee nenn nenn nenne nenne nenne nennen 275 Registerkarte Role Mapping cccsecccsscececcceseeceeseceueecsueeceuseseueeseeessseeessaes 277 Auf den Registerkarten der Seite Authentication Realms k nnen Sie Folgendes durchf hren Erstellen eines Authentifizierungsbereichs 240004424ssennnenn ee nennnneenn 273 Angeben einer Richtlinie f r einen Authentifizierungsbe
9. gt Authentication gt Roles gt New User Resource Policies D Web Indicates the IVE you are currently using Abbildung 32 System gt Clustering Nach der Definition eines Clusters Die Abbildung zeigt die Seite Clustering nach der Erstellung eines Clusters Das IVE auf dem Sie den Cluster definieren wird zum ersten Clustermitglied 170 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Registerkarte Status Auf der Registerkarte Status k nnen Sie die IVEs angeben die Sie einem Cluster hinzuf gen m chten den Status der Clusterknoten berwachen die Netzwerkeinstellungen f r einen bestimmten Knoten bearbeiten und Clusterknoten aktivieren deaktivieren sowie entfernen In Tabelle 1 auf Seite 173 werden die auf der Registerkarte Status angezeigten Informationen sowie die verschiedenen durchf hrbaren Verwaltungsaufgaben erl utert Mi Angeben eines neuen Clustermitglieds Bevor ein IVE einem Cluster beitreten kann m ssen Sie seine Netzwerkidentit t auf einem aktiven Clustermitglied festlegen So geben Sie ein IVE an das einem bestehenden Cluster hinzugef gt werden soll 1 W hlen Sie in der Webkonsole eines aktiven Clustermitglieds die Registerkarte System gt Clustering gt Status aus 2 Klicken Sie auf Add Member um ein IVE anzugeben dass dem Cluster beitritt 1 2 3 Geben Sie die Bezeichnung f r das Mitglied ein Geben Sie die interne IP Adresse des
10. 02220442224442220Rennnnnnnnnnnnnnnennnenennnnnnennennn 23 Richtlinien Regeln und Einschr nkungen sowie Bedingungen c0eceeeeeees 23 Angeben von Sicherheitsanforderungen cccceccseecceeeceeeeceeeceeeceeseeeeeseeesaneeaeeeaes 26 Authentifizierungsbereiche bersicht 2222442224444220 een 35 Authentifizierungsserver au ecdacel elo lees cheeses cian 35 Authentifizierungsrichtlinien cccccscccsecceeecceecceeeceecueesaeeceeeceueceueesaeecueessueseaeeaas 36 VGEFZCICNIISSCIV GE usa aan ee halle 37 ROIENZUOFANUNGSLEGEINN u ee 37 Ressourcenrichtlinien bersicht 222422204042220422nnnnnnnnnnnnnennnneennnenn 41 Angeben von Ressourcen f r eine Ressourcenrichtlinie 0224002400240 02200 45 Schreiben einer detaillierten Regel u222s0200000000000000nonnn onen onen nano nnnenenn 52 Benutzerrollen bersicht 2 2222022222004220004nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 55 Teil 2 IVE Funktionen e 61 Cachebereinigung bersicht 220442224442220444Rnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 63 Central Manager bersicht 22224422220442nnnnnnnnennnnnnnnnnnnnnnnnnnnnnennnnnnennnnnn 67 Zertifikate bersicht 000222004442nnnnnnennnnnnnnnnnnnnnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnennnn 69 SEI
11. 144 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Custom NHC Integration geben Sie einen Namen f r die DLL und den Speicherort der DLL auf Clientcomputern Pfad und Dateiname ein Attribute Check Ports geben Sie eine Liste von Ports mit Kom mas als Trennzeichen oder einen Bereich von Ports ein beispiels weise 1234 11000 11999 1235 W hlen Sie Required aus um zu fordern dass diese Ports auf dem Clientcomputer ge ffnet sind oder w hlen Sie Deny aus um zu fordern dass sie geschlossen sind Attribute Check Process geben Sie den Namen eines Prozesses ausf hrbare Datei ein beispielsweise good app exe W hlen Sie Required aus um zu fordern dass dieser Prozess im Task Mana ger ausgef hrt wird oder w hlen Sie Deny aus um zu fordern dass dieser Prozess nicht ausgef hrt wird Sie k nnen dar ber hinaus den MD5 Prufsummenwert der ausf hrbaren Datei angeben Attribute Check File geben Sie den Namen einer Datei eines beliebigen Dateityps ein beispielsweise Temp Bad file doc W hlen Sie Required aus um zu fordern dass diese Datei auf dem Clientcomputer vorhanden ist oder w hlen Sie Deny aus um zu fordern dass diese Datei nicht vorhanden ist Sie k nnen dar ber hinaus den MD5 Pr fsummenwert dieser Datei angeben Attribute Check Registry Setting geben Sie die Registrierungs werte ein die auf dem Clientcomputer vorhanden sein sollen Fol gende Optionen stehen
12. 3 Aktivieren Sie auf der Registerkarte General gt Overview das Kontrollk stchen Meetings und klicken Sie auf Save Changes Wichtig Wenn Sie das Kontrollk stchen Meetings nicht aktivieren k nnen Benutzer Konferenzen weder erstellen noch planen und den Secure Meeting Kalender nicht anzeigen Sie k nnen jedoch trotzdem an den Konferenzen teil nehmen zu denen sie eingeladen sind Dazu klicken sie auf die Verkn pfung in der E Mail mit der Einladung oder sie geben den Konferenz URL direkt in den Webbrowser ein Klicken Sie auf die Registerkarte Meetings Geben Sie im Bereich Meeting Options die Zugriffsebene an die Benutzern gew hrt werden soll e Allow user to join meetings Bei Auswahl dieser Option k nnen Konferenzen nicht erstellt oder geplant werden Benutzer k nnen jedoch auf den Secure Meeting Kalender zugreifen um den Konferenzen beizutreten zu denen sie eingeladen sind e Allow user to create and join meetings Bei Auswahl dieser Option k nnen Benutzer mithilfe des Secure Meeting Kalenders NetScreen Instant Virtual Extranet Plattform Administrationshandbuch zug nglich ber die Verkn pfung Meetings auf der Startseite des Endbenutzers Konferenzen erstellen planen und auf diese zugreifen Geben Sie die Authentication Requirements an die Benutzer auf von ihnen erstellte Konferenzen anwenden sollen e Meeting password optional more accessible Bei Auswahl dieser Option wird dem Ersteller d
13. C Require meeting password more secure C Require server generated password even more secure C Require secure gateway authentication most secure Password Distribution By default Secure Meeting protects the security of the meeting password by omitting it from the email notifications sent to invitees You may display the password in the email however if you do not feel that it causes 3 security concern Note that in order to send email notifications with passwords you must enable an email server in the Resource Policies gt Meetings tab Also note that password distribution options are not applicable if you selected the Require secure gateway authentication option above Do not display the password in the notification email more secure Display the password in the notification email more accessible C Allow the meeting creator to decide Remote Control By default a meeting presenter may allow any meeting attendee to remotely control his shared desktop or applications regardless of whether the attendee is an IVE user or not You may disable the remote control feature however if you feel that it creates a security concern Allow remote control of shared windows more functional Disable remote control more secure Meeting Policy Settings 5 1 no limit a Limit number of simultaneous meeting attendees 2 10 1 no limit M Limit number of scheduled meetings Limit number of simultaneous meetings
14. Legen Sie anhand einer Hostpr fungseinschr nkung fest dass Client computer die angegebenen Hostpr fungsrichtlinien erf llen m ssen um auf eine IVE Anmeldeseite oder eine Ressourcenrichtlinie zugreifen oder einer Rolle zugeordnet werden zu k nnen WM Angeben von Hostpr fungseinschr nkungen So geben Sie Hostpr fungseinschr nkungen an Systemweite Richtlinien f r die Hostpr fung werden folgenderma en angegeben System gt Configuration gt Security gt Hostpr fung Gehen Sie dann in den einzelnen Bereichen folgenderma en vor e Bereichsebene Navigieren Sie zu e Administrators gt Authentication gt Ausgew hlter Bereich gt Authentication Policy gt Hostpr fung e Users gt Authentication gt Ausgew hlter Bereich gt Authentication Policy gt Hostprufung e Rollenebene e Administrators gt Delegation gt Ausgew hlte Rolle gt General gt Restrictions gt Hostpr fung e Users gt Authentication gt Ausgew hlter Bereich gt Role Mapping gt Ausgew hltelerstellte Regel gt Benutzerdefinierter Ausdruck e Users gt Roles gt Ausgew hlte Rolle gt General gt Restrictions gt Hostprufung e Ressourcenrichtlinienebene Navigieren Sie zu Resource Policies gt Ausgew hlte Ressource gt Ausgew hlte Richtlinie gt Detailed Rules gt Ausgew hlte Erstellte Regel gt Bedingungsfeld N chster Schritt Wenn Sie eine Hostpr fung Anforderung der Bereichsebene konfigurieren w hlen Si
15. Mi Anzeigen der Systemstatistik Das IVE protokolliert st ndlich die folgenden Daten e Spitzenbelastung durch Webbenutzer e Spitzenbelastung durch E Mail Benutzer e Anzahl der URLs auf die zugegriffen wird e Anzahl der Dateien auf die zugegriffen wird Auf der Seite Statistics werden die Informationen f r die letzten sieben Tage angezeigt Diese Informationen werden einmal w chentlich in das Systemprotokoll geschrieben Beim Aktualisieren des IVE werden alle Statistiken gel scht Wenn Sie das System so konfigurieren dass es st ndlich die Statistik protokolliert sind die alten Statistiken nach einer Aktualisierung immer noch in der Protokolldatei verf gbar So zeigen Sie die Systemstatistik an 1 W hlen Sie in der Webkonsole System gt Log Monitoring gt Statistics aus 2 F hren Sie auf der Seite einen Bildlauf durch um alle vier Datenkategorien anzuzeigen NetScreen Instant Virtual Extranet Plattform 201 Administrationshandbuch EAT NETSCREEN Central Manager Help Sign Out TV Monitoring Statistics D Status D Configuration Events User Access Admin Access SNMP D Network gt Clustering b Log Monitoring Peak Web D Signing In Hourly peak load of Web users f Sunday Monday Tuesday Wednesday Thursday Friday Saturday Administrators 2 1 2004 2 2 2004 2 3 2004 2 4 2004 2 5 2004 2 6 2004 2 7 2004 D Authentication 12 00 am gt Delegation 01 00 am Users 02 00 am gt Authentication 03 00 am gt Roles 0
16. NetScreen Instant Virtual Extranet Plattform 227 Administrationshandbuch 7 Wenn Benutzer anhand einzelner Zertifikatattribute zu Rollen zugeordnet werden sollen 1 Navigieren Sie zu Users Administrators gt Authentication gt Bereich gt Role Mapping 2 W hlen Sie New Rule und dann Certificate aus der Liste Rule based on aus und klicken Sie dann auf Update um Optionen zum Erstellen einer zertifikatbasierten Regel anzuzeigen 3 Geben Sie eine Rollenzuordnungsregel auf der Grundlage des Zertifikatattributs ein Zu allgemeinen Zertifikatattributen geh ren e CN Common Name engl f r blicher Name Enth lt h ufig den Benutzernamen e OU Organizational Unit engl f r Organisationseinheit Enth lt den Firmennamen des Benutzers 8 Konfigurieren Sie mithilfe von benutzerdefinierten Ausdr cken komplexere Regeln die auf Zertifikatattributen beruhen optional EAN NETSCREEN Central Manager Help Sign Out System Servers gt D Status New Certificate Server gt Configuration D Network gt Clustering mete lempHomeUsers LM eee wor gt Log Monitoring TE Note User names will be created from the first CN key of the client certificate Subject DN Signing In Administrators gt Authenticati uthentication Save Changes Reset gt Delegation Users Abbildung 57 System gt Signing In gt Servers gt Certificate Server 228 NetScreen Instant Virtual Extranet Plattform A
17. Save Changes Save Changes Reset Abbildung 45 System gt Log Monitoring gt User Access gt Settings NetScreen Instant Virtual Extranet Plattform 193 Administrationshandbuch EA NETSCREEN Central Manager Help Sign Out System Logs b Status D Configuration Events User Access Erle SNMP Statistics D Network D Clustering Log Settings Filters SEES Save Changes Reset D Signing In Administrators Maximum Log Size gt Authentication gt Delegation Max Log Size 200 MB Users D Authentics Note To archive log data see the Archiving page D Roles Select Events to Log D New User Resource Policies M Adminstrator changes M License Changes Web M Administrator logins Files SAM Syslog Servers D D D b Tainen Events are logged locally You can also log them to one or more external Syslog servers D Network Connect D D Meetings Server name IP Facility Filter E il Client mer LOCALD gt WELF WELF Maintenance D System D Import Export gt Push Config D Archiving gt Troubleshooting Save Changes Save Changes Reset Licensed to YourCompany Inc Sav Host Id ive 2 i Copyright 2001 2004 NetScreen Technologies Inc All rights reserved S gt Abbildung 46 System gt Log Monitoring gt Admin Access gt Settings 194 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Registerkarte Filters lV Erstelle
18. Wenn ein Benutzer J SAM herunterl dt berwacht J SAM die vom IVE zugewiesenen Loopback Adressen am entsprechenden f r den Anwen dungsserver festgelegten Clientport auf Clientanforderungen an die Netz werkanwendungsserver J SAM kapselt die Anforderungsdaten und leitet die verschl sselten Daten als SSL Verkehr an das IVE weiter Das IVE entkap selt die Daten und leitet sie an den festgelegten Serverport auf dem Anwendungsserver im Netzwerk weiter Der Anwendungsserver gibt seine Antwort an das IVE weiter das die Daten entkapselt und sie an J SAM wei terleitet J SAM entkapselt dann die Antwort des Servers und leitet die Daten an die Clientanwendung weiter F r die auf dem lokalen Computer ausgef hrte Clientanwendung fungiert J SAM als Anwendungsserver F r den Anwendungsserver in Ihrem Netzwerk bernimmt das IVE die Rolle der Clientanwendung 112 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch J SAM stellt au erdem Folgendes bereit e Erweiterte Unterst tzung f r MS Exchange ccccceeseeeeeeeeseeeeeeeseeeeeeens 116 e Erweiterte Unterst tzung f r Lotus Notes uus020444000nnennneennenene nennen 119 e Erweiterte Unterst tzung f r Citrix NFuse 22u0022224seenennnnenneenne nennen 120 Client Server Kommunikation mithilfe von J SAM Die folgende Abbildung verdeutlicht die Interaktion zwischen einer Client anwendung und dem Server ber das IVE In dieser
19. auf Seite 52 Klicken Sie auf Save Changes 8 Ordnen Sie die Richtlinien auf der Seite Web Caching Policies in der Reihenfolge an in der sie vom IVE ausgewertet werden sollen Hinweis Wenn das IVE die Ressource die von einem Benutzer angefordert wurde zu einer Ressource in der Liste Resource f r eine Richtlinie oder ausf hrliche Regel zuordnet f hrt es die angegebene Aktion aus und beendet die Richtlinienverarbeitung Ein Beispiel f r eine Webressourcenrichtlinie finden Sie in den Abbildungen unter Schreiben einer Webressourcenrichtlinie auf Seite 325 NetScreen Instant Virtual Extranet Plattform 335 Administrationshandbuch Registerkarte Caching gt Options Auf der Registerkarte Caching gt Options k nnen Sie die maximale Gr e einer Bilddatei angeben die auf einem Client zwischengespeichert werden kann Wenn der Content Type Header des Ursprungsservers mit image beginnt und der Content Length Header eine Gr e unter der angibt die in dieser Option als maximale Gr e konfiguriert ist leitet das IVE die Cacheheader des Ursprungsservers weiter Andernfalls behandelt das IVE die Anforderung wie bei deaktivierter Zwischenspeicherung Mi Angeben von Zwischenspeicheroptionen So geben Sie Zwischenspeicheroptionen an 1 W hlen Sie in der Webkonsole Resource Policies gt Web gt Caching gt Options aus Klicken Sie auf der Seite Caching Policies auf New Policy Klicken Sie auf
20. e Benutzername e Benutzerattribut e Zertifikat oder Zertifikatsattribut e Gruppenmitgliedschaft e Benutzerdefinierte Ausdrucke 2 Geben Sie die auszuwertende Bedingung an die sich folgendermaBen zusammensetzt 1 Angeben von einem oder mehreren Benutzernamen Benutzer attributen Zertifikatsattributen Gruppen LDAP oder Ausdrucken die von dem in Schritt 1 ausgewahlten Bedingungstyp abhangen 2 Angeben der Wertentsprechungen Dies kann auch eine Liste von IVE Benutzernamen Benutzerattributswerten von einem RADIUS oder LDAP Server clientseitigen Zertifikatswerten statisch oder im Vergleich mit LDAP Attributen LDAP Gruppen oder vordefinierten Ausdrucken umfassen 3 Geben Sie die Rollen an die dem authentifizierten Benutzer zugewiesen werden sollen Das IVE stellt eine Liste aller zulassigen Rollen zusammen denen ein Benutzer zugeordnet werden kann Diese Rollen ergeben sich aus den Rol lenzuordnungsregeln denen ein Benutzer entspricht AnschlieBend wertet das IVE die Definitionen der einzelnen Rollen aus um festzustellen ob der Benutzer Rolleneinschrankungen unterliegt Auf dem IVE werden diese Informationen verwendet um eine Liste g ltiger Rollen zu erstellen Dies sind Rollen f r die der Benutzer zus tzliche Anforderungen erf llt Abschlie end f hrt das IVE entweder eine permissive Zusammenf hrung der g ltigen Rollen durch oder zeigt dem Benutzer eine Liste g ltiger Rollen an Dies h ngt von der Konfigurat
21. 56 84 bytes of data 64 bytes from 10 10 9 1 icmp_seg 1 ttl 62 time 1 23 ms 64 bytes from 10 1 64 bytes from 10 1 64 bytes from 10 1 64 bytes from 10 1 64 bytes from 10 1 64 bytes from 10 1 64 bytes from 10 1 icmp_seg 2 ttl 62 time 0 537 ms icmp_seg 3 ttl 62 time 0 575 ms icmp_seg 4 ttl 62 time 0 553 ms icmp_seg 5 ttl 62 time 0 571 ms icmp_seg 7 ttl 62 time 0 596 ms icmp_seg 8 ttl 62 time 0 578 ms icmp_seg 9 ttl 62 time 0 568 ms 0 9 1 0 9 1 0 9 1 0 9 1 64 bytes from 10 10 9 1 icmp_seg 6 ttl 62 time 0 605 ms 0 9 1 0 9 1 0 9 1 0 9 1 64 bytes from 10 1 icmp_seg 10 ttl 62 time 0 634 ms D D D D Telnet SSH D D Meetings gt Email Client 10 10 9 1 ping statistics 10 packets transmitted 10 received 0 loss time 9006ms Mai alntenapEs rtt min avg max mdev 0 537 0 644 1 230 0 199 ms D System D Import Export gt Push Config D Archiving Operation complete gt Troubleshooting Abbildung 126 Maintenance gt Troubleshooting gt Commands Registerkarte Remote Debugging VI Aktivieren von Remotefehlerbehebung f r den NetScreen Support Auf dieser Registerkarte k nnen Sie es dem NetScreen Support Team erm glichen auf Ihrem Produktions IVE Tools f r die Fehlerbehebung aus zuf hren Zur Aktivierung dieser Option m ssen Sie mit dem NetScreen Support zusammenarbeiten Sie erhalten dann einen Code f r die Fehlerbe hebung und einen Host mit dem das IVE eine Ver
22. A Ablaufverfolgungsdatei zur Fehlerbehebung 413 AcceptTPCookie Einstellung f r Netegrity SiteMinder 250 Access Series FIPS Administratorkarte Beschreibung 10 Erstellung 460 Sicherheit 11 bersicht 11 Verwaltung 11 Clustering 81 175 Initialisierungsmodus 10 Operationsmodus 10 Security World bersicht 9 Verwaltung 11 Security World Schl ssel Definition 9 bersicht 9 Wartungsmodus 10 Wiederherstellungsvorg nge 459 Zertifikate 70 Access Series Definition 7 Access Accept Authentifizierung 243 Access Challenge Authentifizierung 243 Access Reject Authentifizierung 243 Access Request Authentifizierung 243 ACE siehe RSA ACE 465 Active Directory Siehe Authentifizierungsserver Active Directory ActiveX Aktivierung 19 Anforderungen Cachebereinigung 64 Hostpr fung 91 Secure Meeting 19 Administrator Benutzeradministrator 213 Rolle Definition 55 Rollen Definition 83 Konfiguration 265 Rolle Siehe auch Rolle AES Verschl sselung Unterst tzung 216 Aktion Bestandteil einer Ressourcenrichtlinie 43 Aktiv Aktiv Cluster Abbildung 79 Bereitstellung bersicht 78 Aktiv Passiv Cluster Abbildung 77 Bereitstellung bersicht 76 Aktive Benutzer berwachen 131 Anmeldeinformationen an andere Anwendung senden 107 berpr fung 5 Vermittlung 141 Windows 355 Anmelderichtlinien Aktivierung 208 Auswertung 206 Deaktivierung 208 Definition 6 203 Konfiguration 204 Reihenfolge ndern 207 vorkonfigurierte Richtlinien
23. D Network Connect Disabled indicates required field D Email Client Maintenance Save Changes D System Abbildung 109 Resource Policies gt Meetings 378 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch NetScreen Instant Virtual Extranet Plattform 379 Administrationshandbuch Konfigurieren der Seite Email Client Auf der Seite Resource Policies gt E Mail Client k nnen Sie Folgendes durchf hren Schreiben einer E Mail Client Ressourcenrichtlinie f r Mailserver 379 Durch die Aktualisierungsoption Secure Email Client k nnen Remotebenutzer ber einen Webbrowsers und eine Internetverbindung auf standardbasierte E Mail Anwendungen wie Outlook Express Netscape Communicator oder Eudora von Qualcomm zugreifen Weitere Informationen finden Sie unter E Mail Client bersicht auf Seite 85 Schreiben einer Ressourcenrichtlinie f r E Mail Client Wenn Sie die Zugriffsfunktion E Mail Client f r eine Rolle aktivieren m s sen Sie eine Ressourcenrichtlinie erstellen die Einstellungen f r den Mail server angibt Im Gegensatz zu anderen Zugriffsfunktionen verf gt Secure Email Client nur ber eine Ressourcenrichtlinie die f r alle Rollen gilt f r die diese Funktion aktiviert ist Wenn Sie den E Mail Client Dienst f r Benutzer aktivieren m ssen Sie IMAP POP und SMTP Mailserverinforma tionen und Einstellungen f r die Benutzerauthentifizierung ange
24. Geben Sie unter Network Address die IP Adresse des IVE ein Geben Sie eine auf dem ACE Server konfigurierte Site an W hlen Sie als Agent Type den Typ Communication Server aus W hlen Sie als Encryption Type den Typ DES aus Vergewissern Sie sich dass Sent Node Secret beim Erstellen eines neuen Agents deaktiviert ist Wenn der ACE Server eine vom IVE gesendete Anforderung erfolgreich authentifiziert w hlt der ACE Server Sent Node Secret aus Wenn der ACE Server sp ter einen neuen Knotenschl ssel an das IVE senden soll gehen Sie bei der n chsten Authentifizierungsanforderung folgenderma en vor 1 Deaktivieren Sie das Kontrollk stchen Sent Node Secret indem Sie auf dieses klicken 2 Melden Sie sich an der Web console des IVE an und w hlen Sie System gt Signing In gt Servers aus 3 Klicken Sie in der Liste Authentication Authorization Servers auf den Namen des entsprechenden ACE Servers 4 Aktivieren Sie unter Node Verification File das entsprechende Kontrollk stchen aus und klicken Sie auf Delete Durch diese Schritte wird sichergestellt dass der IVE Server und der ACE Server synchronisiert sind Entsprechend sollten Sie auf dem ACE Server das Kontrollk stchen Sent Node Secret deaktivieren wenn Sie die berpr fungsdatei aus dem IVE l schen Klicken Sie auf Assign Acting Servers und w hlen Sie den ACE Server aus Klicken Sie auf Generate Config File Wenn Sie den ACE Server zum IVE hinzuf gen wird diese
25. Log Monitoring New Filter Delete D Signing In Filter Quer Export Format Administrators on rear a WELF ste estto Newes WELF gt Authentication I WELF Query gt Delegation Date Oldest to Newest Query id WEB20174 or EML20825 or FBR20512 or Users en _ FBR20534 or FBR20535 or FBR20536 or FBR20539 or WELF SRC 2 0 Access Report 74420023 or MTG20735 or MTG20742 or MTG20749 or WELF D Authenticktidn MTG20866 or MTG20869 or MTG20875 or MTG20877 or NWC20752 or STA22721 ae Date Oldest to Newest a H D New USEF Standard default Bu Standard Resource Policies gt Web gt Files Abbildung 47 System gt Log Monitoring gt Events gt Filters Registerkarte SNMP VI berwachen des IVE als SNMP Agent ber diese Registerkarte k nnen Sie ein Netzwerkverwaltungstool wie HP OpenView zum berwachen des IVE als SNMP Agent verwenden Das IVE unterst tzt SNMP Simple Network Management Protocol Version 2 implementiert eine private MIB Management Information Base und definiert eigene Traps Um die Verarbeitung dieser Traps in der Netzwerkverwaltungsstation zu erm glichen m ssen Sie die NetScreen MIB Datei herunterladen und die entsprechenden Angaben zum Empfangen der Traps machen 196 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Hinweis Zum berwachen wesentlicher IVE Systemstatistiken beispielsweise der CPU Auslastung laden Sie die
26. NETSCREEN INSTANT VIRTUAL EXTRANET PLATFORM ADMINISTRATIONSHANDBUCH een Secure reen SA 1000 reen SA 3000 reen SA 5000 reen SA FIPS Z 2 ZZZZ2Z 2 0 22 92 90 NNNNYA ooo0aOa A nn Ow NETSCREEN Meeting creen Secure reen SM 3000 NETSCREEN INSTANT VIRTUAL EXTRANET PLATTFORM ADMINISTRATIONSHANDBUCH Copyright 2004 NetScreen Technologies Inc Alle Rechte vorbehalten NetScreen NetScreen Technologies GigaScreen und das NetScreen Logo sind eingetragene Marken von NetScreen Technologies Inc NetScreen 5GT NetScreen 5XP NetScreen 5XT NetScreen 25 NetScreen 50 NetScreen 100 NetScreen 204 NetScreen 208 NetScreen 500 NetScreen 5200 NetScreen 5400 NetScreen Global PRO NetScreen Global PRO Express NetScreen Remote Security Client NetScreen Remote VPN Client NetScreen IDP 10 NetScreen IDP 100 NetScreen IDP 500 GigaScreen ASIC GigaScreen Il ASIC und NetScreen ScreenOS sind Marken von NetScreen Technologies Inc Alle anderen Marken und eingetragenen Marken sind Eigentum der jeweiligen Firmen Die Angaben in diesem Dokument k nnen ohne vorherige Ank ndigung ge ndert werden Ohne Vorliegen einer schriftlichen Genehmigung darf kein Teil dieses Dokuments f r irgendwelche Zwecke vervielf ltigt oder bertragen werden unabh ngig davon auf welche Art und Weise oder mit welchen Mitteln elektronisch oder mechanisch dies geschieht Die schriftliche Genehmigung erfolgt durch NetScreen Technologies Inc Bu
27. Plattform 399 Administrationshandbuch Konfigurieren der Seite Push Config Iv Kopieren von Rollen und Ressourcenrichtlinien zwischen IVEs Auf der Seite Maintenance gt Push Config k nnen ausgew hlte delegierte Administrationsrollen Benutzerrollen und Ressourcenrichtlinien ber Konfi gurations bertragung von einem IVE auf ein anderes IVE bertragen wer den Diese Funktion erm glicht eine einfache Konfigurationsverwaltung f r das gesamte Unternehmen ohne dass IVE Appliances in Cluster aufgeteilt werden m ssen Mithilfe der Konfigurations bertragung k nnen Sie gezielt entscheiden welche delegierten Administrationsrollen Benutzerrollen und Typen von Ressourcenrichtlinien unternehmensweit kopiert werden sollen Beachten Sie dass die Konfigurations bertragung nur mit dem Central Manager Paket verf gbar ist Seite 67 Um eine Konfiguration zu bertragen m ssen Sie Administratorkonten auf beiden IVEs erstellen Die Konfigurations bertragungs Funktion meldet sich dann anhand der Administratorinformationen automatisch auf dem Ziel IVE an Beachten Sie beim Erstellen eines Administratorkontos Folgendes e Sie m ssen der Administrators Rolle zugeordnet sein d h einen Superadministrator mit vollen Administratorberechtigungen erstellen e Das Zieladministratorkonto f r das IVE muss Authentifizierung mit statischen Kennw rtern oder 2 Faktor Tokens verwenden die keine Authentifizierung vom Typ Challenge Respo
28. Plattform Administrationshandbuch SEAT 722777777 Central Manager Help Sign Out System Install Service Package Status D D Configuration Platform Upgrade Downgrade Options D Network D D D Clustering Installing a service package can take several minutes and requires the IVE to reboot Because existing Logi Mona system data is backed up during this process you can decrease installation time by clearing your signa system log before trying to install a service package Administrators Service package to install Browse gt Authentication D Delegation Delete all system user p DELETES all system and user configuration data before installing the service package U data restoring the member to an unconfigured state Use this option if you want to sers downgrade to an older service package than the currently installed package Do NOT gt Authentene check this box if you want to retain existing settings and data during a system unen upgrade to a newer service package D Roles D New ULG Note This option does not change the factory image Resource Policies Install Now D Web D Files n CAM Abbildung 112 Maintenance gt System gt Upgrade Downgrade Registerkarte Options VI Aktivieren von Versions berwachung und Beschleunigerkarten Damit das System auf dem neuesten Stand und sicher bleibt k nnen Sie sich vom IVE automatisch ber wichtige Softwarepatches und aktualisie rungen be
29. So definieren Sie eine LDAP Serverinstanz 1 Wahlen Sie in der Web console System gt Signing In gt Servers aus 2 F hren Sie einen der folgenden Vorg nge aus e Um eine neue Serverinstanz auf dem IVE zu erstellen wahlen Sie aus der Liste New den Eintrag LDAP Server aus und klicken Sie dann auf New Server e Klicken Sie zum Aktualisieren einer vorhandenen Serverinstanz auf die entsprechende Verkn pfung in der Liste Authentication Authorization Servers 3 Geben Sie einen Namen ein um die Serverinstanz zu bezeichnen 4 Geben Sie den Namen oder die IP Adresse des LDAP Servers an der vom IVE zur Uberprufung von Benutzern verwendet wird 1 Die LDAP Kennwortverwaltung ist eine lizenzierte Funktion 230 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch 10 11 Geben Sie den Port an den der LDAP Server berwacht Dies ist bei Verwendung einer unverschl sselten Verbindung normalerweise Port 389 und bei Verwendung von SSL Port 636 Geben Sie Parameter f r LDAP Sicherungsserver an optional Das IVE verwendet die angegebenen Server f r die Failover Verarbeitung Jede Authentifizierungsanforderung wird zun chst an den prim ren LDAP Server weitergeleitet und dann an den oder die angegebenen Sicherungsserver falls der prim re Server nicht erreichbar ist Hinweis LDAP Sicherungsserver m ssen dieselbe Version wie der prim re LDAP Server aufweisen Beim Angeben von LDAP Sicherungsse
30. User picks from a list of authentication realms D Email Client The user must choose one of the following selected authentication realms when they sign in If only one realm is selected it is automatically used the sign in page will not display the list To create or manage realms Maintenance see the User Authentication page or the Administrator Authentication page D System 5 D ImporyESpAN Available realms Selected realms gt Push Config D Archiving Add gt Remove Move Up Move Down empHQ IvEadr empEMEAands empHQ Active Director gt Troubleshooting Save changes Save Changes Licensed to YourCompany Inc a Host Id ive 2 Copyright 2001 2004 NetScreen Technologies Inc All rights reserved Abbildung 50 System gt Signing In gt Sign in Policies gt Ausgew hlte Richtlinie Mi Legen Sie die Reihenfolge fest in der die Anmelderichtlinien ausgewertet werden Das IVE wertet die Anmelderichtlinien f r Administratoren in der gleichen Reihenfolge aus in der sie auf der Seite Sign in Policies aufgef hrt sind und wertet dann die Anmelderichtlinien f r Benutzer aus Wenn es einen exakt bereinstimmenden URL findet bricht es die Auswertung ab und ffnet die entsprechende Anmeldeseite f r den Administrator bzw NetScreen Instant Virtual Extranet Plattform 207 Administrationshandbuch Benutzer Sie k nnen z B zwei Administrator Anmelderichtlinien mit zwei verschiedenen
31. W3C Format f r Protokolldatei 195 Wartungsmodus Access Series FIPS 10 Web Browsingprobleme 413 Lesezeichen erstellen 295 296 299 302 312 315 316 322 Proxy angeben 348 Ressourcenrichtlinien 41 46 325 Rollenkonfiguration 56 Serverzugriffssteuerung 330 370 373 Spitzennutzungsstatistik 200 INDEX Zugriffssteuerung 330 370 373 Web Agent IVE als 252 Webbrowsing konfigurieren 24 Webkonsole Beschreibung 8 Clustermitglieder hinzufugen 176 Startseite 67 Webproxy Benutzer PCs konfigurieren 311 WELF Format fur Protokolldatei 195 Windows Anmeldeinformationen 355 Cachesteuerungs Header Unterstutzung 332 Windows Internet Naming Service Server Konfiguration 159 Windows Unterstutzung Secure Meeting 18 Windows Datei Ressourcenrichtlinien 352 Windows Dateien Ressourcenrichtlinien 48 Windows Registrierung ndern 118 Windows Unterstutzung J SAM 113 Zertifikate 72 WINS fur externen Port 157 161 Server Konfiguration 159 Z Zeitbegrenzungen Siehe Sitzungszeitbegrenzungen Zertifikat Anforderung an Stammzertifikat 71 153 Anmeldungen einschranken Benutzer 432 433 Appletzertifikat Definition 69 Import 155 Ubersicht 71 Attribute konfigurieren 278 Browsing einschranken 140 clientseitiges Zertifikat Anforderung 70 153 Definition 69 SiteMinder 249 Codesignaturzertifikat Siehe Zertifikat Appletzertifikat Einschrankungen konfigurieren 24 25 Empfehlungen zu Secure Meeting 20 JavaSoft 72 MS Authenticode 72 Rich
32. e Description Administraten p Grants access to the corporate intranet D Authentication D Delegation ha Users gt Authentication Resources D Roles Specify the resources for which this policy applies one per line D New User Resource Policies Resources http intranet company com lem Er http s www domain com 443 Bu 10 10 10 10 255 255 255 0 80 443 public D Files 10 10 10 10 24 8000 9000 D SAM D Telnet SSH D Network Connect Roles gt Meetings D Email Client Policy applies to ALL roles Maintenance Policy applies to SELECTED roles D System Policy applies to all roles OTHER THAN those selected below gt Import Export gt Push Config Available roles Selected roles D Archiving Users Add gt employees hq b Troubleshooting employees apac employees emea Remove employees global globalMarCom Action C Allow access C Deny access Use Detailed Rules available after you click Save Changes Abbildung 96 Resource Policies gt Web gt Access gt New Policy Diese Abbildung zeigt eine typische New Policy Konfigurationsseite f r eine Web ressourcenrichtlinie Weitere Informationen zum Eingeben der Informationen in die Liste Resources finden Sie unter Angeben von Ressourcen f r eine Ressourcenrichtlinie auf Seite 45 328 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch EA NETSCREEN Central Manager Sign Out System
33. gt Authentication gt Roles Abbildung 98 Resource Policies gt Web gt Access gt New Policy gt Detailed Rule Added Informationen Uber detaillierte Regeln finden Sie auf der Registerkarte Detailed Rules fur eine Richtlinie und auf der Hauptseite einer Ressourcenrichtlinie indem Sie in der Spalte Action auf Details klicken Abbildung 99 auf Seite 329 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch 329 EAN WersScreen Central Manager System Status Configuration Network Clustering Log Monitoring FMV Ss 7193 Signing In Administrators D Authentication gt Delegation Users b gt Authentication gt Roles gt New User Resource Policies Files SAM Telnet SSH Network Connect Meetings Email Client 7 F FVS Z Maintenance D System D Import Export gt Push Config D Archiving gt Troubleshooting Help Sign Out Web Access Policies Caching Java Rewriting Show policies that apply to All roles New Policy Duplicate Delete e l g b Remote SSO Web Proxy Action Resources a yo Policies Applies to role I Allow Users employees apac employees emea employees global employees hq globalMarCom guests hqMarcom hqSales partnerDesigner Ads R Us partnerReseller Worldwide Widgets partnerSupplier Global Iron http intranet company com 80 employees hq 1 Roles with opened Web Access Allows all
34. nderungen am Outlook Client vorgenommen werden und es ist keine Verbindung auf Netzwerkebene wie z B ein VPN erfor derlich Diese Funktion erfordert die Installation der Microsoft JVM auf dem Client PC und wird auf PCs unter Windows 2000 mit Internet Explorer 5 5 oder 6 0 unterst tzt Diese Funktion ist auch kompatibel mit PCs unter Windows 98 mit Internet Explorer 5 5 oder Windows XP mit Internet Explorer 6 0 Damit diese Funktion von Remotebenutzern verwendet werden kann muss der im Outlook Client eingebettete Name der Exchange Server von den Netzwerkeinstellungen des Benutzer PCs zum lokalen PC 127 0 0 1 die Standard IP Adresse des localhost aufgel st werden um einen sicheren Datenverkehr f r den Outlook Client zu gew hrleisten Wir empfehlen das IVE f r die automatische Aufl sung von Exchange Server Hostnamen in localhost zu konfigurieren indem Sie die Datei hosts vor bergehend durch die Option f r die automatische Hostzuordnung auf einem Clientcomputer aktualisieren NetScreen Instant Virtual Extranet Plattform 117 Administrationshandbuch Client Server Kommunikation mithilfe von J SAM Die folgende Abbildung beschreibt die Interaktionen zwischen dem Outlook Client und einem Exchange Server ber das IVE Diese Abbildung setzt vor aus dass das IVE f r die automatische Hostzuordnung konfiguriert ist 1 Der Benutzer startet den MS Outlook Client Outlook versucht eine Ver bindung mit dem Exchange Ser
35. und Read Only Administrators vor konfiguriert Definieren von Ressourcenrichtlinien Seiten der Webkonsole Ressourcenrichtlinien Ressourcenrichtlinien dienen zur weiter gehenden Steuerung der Res sourcen auf die Benutzer und Administratoren zugreifen k nnen Wenn Sie z B den Dateizugriff auf Rollenebene aktiviert haben k nnen Sie eine Ressourcenrichtlinie erstellen die den Zugriff auf bestimmte Ver zeichnisse im Firmennetzwerk verweigert Bei der Konfiguration einer Ressourcenrichtlinie m ssen Sie die Rollen angeben f r die Ressourcen richtlinie gelten soll Das IVE ist mit Ressourcenrichtlinien vorkonfiguriert die allen Benutzern die Web und Dateisuche erlaubt Definieren von Authentifizierungs und Autorisierungsservern Seiten der Webkonsole System gt Signing In gt Servers Authentifizierungs und Autorisierungsserver authentifizieren An meldeinformationen und ermitteln die Benutzerberechtigungen innerhalb des Systems Sie k nnen z B Benutzer anhand der clientseitigen Zertifi katsattribute ber einen einen Zertifikatsserver authentifizieren und dann einen LDAP Server erstellen der Benutzer anhand der Werte auto risiert die in einer Zertifikatsperrliste Certificate Revocation List CRL aufgef hrt sind Auf dem IVE sind bereits ein lokaler Server f r die Benutzerauthentifizie rung System Local und ein lokaler Server fur die Administrator authentifizierung Administrators vorkonfigur
36. 2 Klicken Sie auf die Registerkarte Events User Access oder Admin Access und w hlen Sie dann Settings aus 3 Geben Sie in der Liste Max Log Size die H chstdateigr e f r die lokale Protokolldatei an Die Grenze liegt bei 500 MB Im Systemprotokoll werden Daten bis zu der angegebenen Menge angezeigt Hinweis Max Log Size ist eine interne Einstellung die weitgehend der Gr e von Protokollen entspricht die mit Standard formatiert werden Wenn Sie ein ausf hrlicheres Format wie z B WELF ausw hlen kann die Protokolldatei die hier angegebene Gr e berschreiten 4 Aktivieren Sie unter Select Events to Log die Kontrollk stchen f r die einzelnen Ereignisarten die in der lokalen Protokolldatei erfasst werden sollen Hinweis Wenn Sie das Kontrollk stchen Statistics auf der Registerkarte Events deaktivieren schreibt das IVE die Statistiken nicht in die Protokolldatei sondern zeigt sie weiterhin auf der Registerkarte System gt Log Monitoring gt Statistics an Seite 200 5 Geben Sie unter Syslog Servers Informationen ber den Syslog Server ein auf dem die Protokolldateien gespeichert werden sollen optional 1 Geben Sie den Namen oder die IP Adresse des Syslog Servers ein 2 Geben Sie einen Syslog Typ Facility f r den Server ein Das IVE stellt 8 Facilitys LOCALO LOCAL7 bereit die Sie den Facilitys auf dem Syslog Server zuordnen k nnen 3 Gilt nur f r Central Manager W hlen Sie den Filter d
37. 277 Administrationshandbuch Registerkarte Role Mapping Auf der Registerkarte Role Mapping k nnen Sie Rollenzuordnungsregeln f r einen Authentifizierungsbereich festlegen Entsprechende Informationen finden Sie auf folgenden Seiten e Bereiche siehe Authentifizierungsbereiche bersicht auf Seite 35 e Rollen siehe Benutzerrollen bersicht auf Seite 55 Mi Angeben von Rollenzuordnungsregeln f r einen Authentifizierungsbereich Zum Erstellen einer neuen Regel die LDAP Benutzerattribute LDAP Gruppeninformationen oder benutzerdefinierte Ausdr cke verwendet m ssen Sie den Serverkatalog verwenden Informationen zu diesem Katalog finden Sie unter Use the server catalog auf Seite 279 So geben Sie Rollenzuordnungsregeln f r einen Authentifizierungsbereich an 1 Wahlen Sie in der Webkonsole Administrators gt Authentication oder Users gt Authentication aus Wahlen Sie auf der entsprechenden Seite Authentication Realms einen Bereich aus und klicken Sie dann auf die Registerkarte Role Mapping Klicken Sie auf New Rule um auf die Seite Role Mapping Rule zuzugreifen Diese Seite stellt einen integrierten Editor fur die Definition von Regeln bereit Wahlen Sie in der Liste Rule based on eins der folgenden Elemente aus e Benutzername Benutzername ist der IVE Benutzername der auf der Anmeldeseite eingegeben wird Wahlen Sie diese Option aus wenn Benutzer anhand ihrer IVE Benutzernamen zu
38. D System AUT20920 2004 02 04 10 40 08 ive 2 10 12 254 193 System Connection from IP 10 12 254 193 not authenticated yet URL dana na imas space gif AUT20920 2004 02 04 10 40 08 ive 2 10 12 254 193 System Connection from IP 10 12 254 193 not authenticated yet URL D Import Export gt Push Config D Archiving rm _ _ Lani rm rm a oO o o Oo o o oO gt Troubleshooting curip BY TSCREEN Licensed to YourCompany Inc Host Id ive 2 Copyright 2001 2004 NetScreen Technologies Inc All rights reserved NE Abbildung 43 System gt Log Monitoring gt Events gt Log Registerkarte Einstellungen V Geben Sie an welche Ereignisse in der Protokolldatei gespeichert werden sollen Mithilfe der Optionen auf der Registerkarte Settings k nnen Sie neben der H chstdateigr e angeben was das IVE in die Protokolldatei schreiben und welcher Syslog Server zum Speichern der Protokolldateien verwendet werden soll Hinweis Sie k nnen auch die Seite Archiving verwenden um die Protokolle automatisch an einem f r FTP zug nglichen Ort zu speichern Weitere Informationen finden Sie unter Konfigurieren der Seite Archiving auf Seite 403 190 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch So legen Sie die Einstellungen f r das Ereignisprotokoll fest 1 W hlen Sie in der Webkonsole System gt Log Monitoring aus
39. Einen Smartcardleser Eine Administratorkarte die mit der Security World vorinitialisiert ist Eine oder mehrere unformatierte Smartcards oder Administratorkarten mit Daten die Sie gefahrlos berschreiben k nnen Hinweis Wenn Sie zus tzliche Smartcards ben tigen wenden Sie sich an Ihren IVE H ndler So erstellen Sie weitere Administratorkarten f r eine Security World 1 Schlie en Sie das Kabel des Smartcardlesers an den Leseger tport eines Kryptographiemoduls an das zur Security World geh rt Der Port befindet sich an der Frontplatte des IVE Ger ts Legen Sie eine vorinitialisierte Administratorkarte f r die Security World mit den Kontakten nach oben in den Smartcardleser ein NetScreen Instant Virtual Extranet Plattform 461 Administrationshandbuch 3 Stellen Sie den Modusschalter des Kryptographiemoduls auf O Operationsmodus sofern dieser sich nicht bereits in dieser Position befindet 4 Stellen Sie eine Verbindung mit der seriellen Konsole her Seite 453 5 W hlen Sie in der Liste der Konfigurationsaufgaben den Eintrag Replace Administrator Card Set aus 6 Geben Sie das Kennwort f r die Security World ein 7 Legen Sie nach der entsprechenden Aufforderung eine unformatierte Smartcard oder eine Administratorkarte deren Daten Sie gefahrlos berschreiben k nnen mit den Kontakten nach oben in den Smartcardleser ein 8 Geben Sie die angeforderten zus tzlichen Initialisierungsinformationen ein
40. Im Fenster Page Settings k nnen Sie festlegen welche Diagramme das IVE im Dashboard anzeigt und f r welchen Zeitraum das IVE die Daten ver folgt EN NETSCREEN Central Manager Help Sign Out a System Status D Configuration Overview Active Users Meeting Schedule D Network gt Clustering m Critical Evants System Capacity Utilization D Log Monitoring Concurrent Users 3 oz Page Settings D Signing In Administrators System Version 4 0 codefreeze 0203 1 build gt Authentication 5490 D Delegation Download Package PEE TI Users 23 hours 10 40 11 00 D Authentication 7 minutes 10 seconds Concurrent users D Roles System Date amp Time Edit D New User 2004 02 04 Hits Per Second E 11 37 22 AM Resource Policies ER 0 Full Web Max Licensed Users 1000 Files D D E D SAM Signed In Web Users at D Telnet SSH 0 0 40 11 00 11 20 D D D Signed In Mail Users o Network Connect web Hits File Hits Client Server Hits Meetings Email Client CPU and Memory Usage Maintenance 20 at on D System D Import Export gt Push Config D Archiving x Utili 0 10 40 11 00 gt Troubleshooting M demo ry Throughput S 200 k 100 k s 10 40 11 00 11 20 External in External out Internal in Internal out Licensed to YourCompany Inc Host Id ive 2 Copyright 2001 2004 NetScreen Technologies Inc All rights reserved RED er serem gt m un a Abbildung 1
41. Limit duration of meetings minutes Abbildung 93 Users gt Roles gt Ausgew hlte Rolle gt Meetings 322 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Registerkarte Network Connect Auf der Registerkarte Network Connect k nnen Sie die Option f r das lokale Subnetz festlegen Mi Festlegen der Option f r das lokale Subnetz von Network Connect So legen Sie die Option f r das lokale Subnetz von Network Connect fest 1 W hlen Sie in der Webkonsole Users gt Roles gt Ausgew hlte Rolle gt Network Connect aus 2 Aktivieren Sie Allow access to local subnet um in der Routingtabelle die Route des lokalen Subnetzes beizubehalten Die Routingtabelle kann bearbeitet werden 3 Klicken Sie auf Save Changes EA NETSCREEN Central Manager Help Sign Out System Roles gt D Status employees hq D Configuration gt Network General Web Files SAM Telnet SSH Meetings WEST gt Clustering gt Log Monitoring gt Signing In M Allow access to local subnet Administrators This option preserves the local subnet route in the route table Edits to the route table are allowed D Authentication gt Delegation Users Save Changes gt Authentication b Roles Abbildung 94 Users gt Roles gt Ausgew hlte Rolle gt Network Connect NetScreen Instant Virtual Extranet Plattform 323 Administrationshandbuch Konfigurieren der Seite New User lV Erstellen
42. Netzwerkeinstellungen Hiermit k nnen Sie einen Ping Befehl auf einen anderen Server ausf hren die Route zu einem Server verfolgen statische Routen entfernen den ARP Cache ausgeben den ARP Cache leeren und eine Routingtabelle ausgeben Hinweis Wenn Sie ein Access Series FIPS System ausf hren und im Kryptogra phiemodul den L schschalter gedr ckt haben stellen Sie den Modusschalter des Kryptographiemoduls auf O Operationsmodus und starten Sie das System neu Zum Wiederherstellen ben tigen Sie keinen Zugriff auf die serielle Konsole 460 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch IYE HyperTerminal O x File Edit Yiew Call Transfer Help Current version 4 8 codefreeze 8130 1 build 5466 Rollback version 3 3 1 GA build 5130 Choice View set network settings IP netmask gateway link speed DNS WINS Create admin username and password Display log Ping to a server Trace route to a server Remove all static routes Reboot IVE toggle password protection for the console Off Create a Super Admin session 11 Print ARP Cache 12 Clear ARP Cache 13 Print Routing Table Doom Abbildung 136 IVE Serielle Konsole Systempflege VI Erstellen weiterer Administratorkarten nur Access Series FIPS Um f r eine Security World weitere Administratorkarten erstellen zu k nnen m ssen Sie ber Folgendes verf gen Ein Kryptographiemodul das zur Security World geh rt
43. Realm Realm than one realm Sign In Sign In button Instructions Please sign in to begin your secure session Yv ears on the right hand side of the sign in page You can use lt b gt lt br gt gs to format the text Text appears in message box Your session has ended prt id Sa Saat a A F Text appears as link to sign in page when user Click here to sign in again si ns Sur when user signs Sign Out message Sign In link text Header appearance Current appearance m Logo image Recommended size Browse Less than 40 pixels tall and 10KB 666666 from palette or type hexadecimal RGB Background color Custom error messages Missing certificate To sign in client side certificate contact your system administrator ha your machine must have a Please This message appears when the user does not have a required client side certificate Invalid certificate Your client side certificate is invalid Please contact your system administrator ha This message appears when the user does not have a valid required client side certificate M Show Help button If you want to provide users with more information regarding sign in requirements you can display a Help button that links to a custom HTML file Help button Help Displayed only if Help Button is enabled F Note that images and other external content HTML file Browse will not be displayed
44. Registerkarte zOBtloONns ass ae 386 Konfigurieren der Seite Import Export 220222022002200200 sen nnn nennen 389 Registerkarte Configuration cccccceccssceseeteeeceeeeeeceeeeeeeseeteeeeeeeeeseeeaeeseeeneees 389 Registerkarte User Accounts cccccceccsecceeeceeceeeeeeceeseeeteeeeeseeeseeseeseeeseeenees 393 Registerkarte Roles and Policies u02202200220020002n0nnnnnn nennen ennne nennen 394 Konfigurieren der Seite Push Config 022002200240200000000nn nennen een 399 vil viii Konfigurieren der Seite Archiving 2002400240020000enn Ran nnn nenn ennnnenn 403 Registerkarte FTP Server u22002s0sssennnsnnnnnnennnnnnnnnnnnnnnnnnnennnnnnnne nenn nenn 403 Registerkarte Local BackUPS sedaitas isnt ielahusen sielea a a aTa 406 Konfigurieren der Seite Troubleshooting cc ccccccccececeeeseeeeeeeeseeeseeees 409 Registerkarte Policy Tracing cccccscccssccssceceeecseecececsueecueecauecsueecueesaeecseessusenes 409 Registerkarte Session Recording 2 02220220020000000nnnnno nen nnnennn nenn nnnennn nenne 413 Registerkarte System Snapshot 2 2u02200s2n0nennennnennnenenennnnennnnnenenene nenn nenne nennen 414 Registerkarte TCP DuUmp7 za Helene 415 Registerkarte Commands Lee 417 Registerkarte Remote De
45. Roles gt Ausgew hlte Rolle gt Files gt UNIX Bookmarks aus 2 Klicken Sie auf New Bookmark und geben Sie den Hostnamen oder die IP Adresse des Servers und den Pfad zu der Freigabe ein Wenn Sie den Benutzernamen des Benutzers einf gen m chten geben Sie an der entsprechenden Stelle im Pfad lt USER gt in Gro buchstaben ein Wenn Sie einen Namen und eine Beschreibung f r das Lesezeichen angeben werden diese Informationen anstelle des Servers Pfades auf der IVE Startseite angezeigt 3 W hlen Sie f r Appearance eine der folgenden Optionen aus e Appear as bookmark on homepage and in file browsing Das Lesezeichen wird dem Benutzer sowohl auf der Willkommensseite als auch beim Navigieren durch Netzwerkdateien angezeigt e Appear in file browsing only Das Lesezeichen wird dem Benutzer nur beim Navigieren durch Netzwerkdateien angezeigt 4 Geben Sie f r Access Folgendes an e Enable auto allow access to this bookmark Das IVE erstellt f r die Windows Zugriffsressourcenrichtlinie automatisch ein Lesezei chen f r diese Rolle Diese Funktion gilt nur f r Rollenlesezeichen nicht f r Lesezeichen die von Benutzern erstellt wurden Das Lese zeichen wird dem Benutzer sowohl auf der Willkommensseite als auch beim Navigieren durch Netzwerkdateien angezeigt e Read write access damit Benutzer Dateien auf dem Server speichern k nnen e Include sub folders damit Benutzer Dateien in den Verzeichnissen unter dem angeg
46. Roles gt Ausgew hlte Rolle gt General gt Restrictions NetScreen Instant Virtual Extranet Plattform 289 Administrationshandbuch Registerkarte General gt Session Options Auf der Registerkarte General gt Session k nnen Sie Sitzungszeitbegren zungen Roamingfunktionen die Sitzungs und Kennwortbest ndigkeit sowie Optionen zur Anforderungsverfolgung festlegen Aktivieren Sie auf der Registerkarte General gt Overview das Kontrollk stchen Session Options um diese Einstellungen f r die Rolle zu aktivieren Iv Angeben der Einstellungen fur Benutzersitzungszeiten Roaming Bestandigkeit und Anforderungen So geben Sie allgemeine Sitzungsoptionen an 1 Wahlen Sie in der Webkonsole Users gt Roles gt Ausgew hlte Rolle gt General gt Session Options aus 2 Geben Sie unter Session Lifetime Werte f r folgende Optionen an e Idle Timeout Geben Sie die Anzahl der Minuten an die sich eine nicht administrative Benutzersitzung im Leerlauf befinden kann bevor sie beendet wird Die Mindestzeit betragt drei Minuten Die Leerlaufzeitbegrenzung fur Sitzungen betragt in der Standardeinstellung zehn Minuten d h eine Benutzersitzung die zehn Minuten lang inaktiv ist wird vom IVE beendet und das Ereignis wird im Systemprotokoll protokolliert sofern Sie nicht die unten beschriebenen Warnungen bei Sitzungszeituberschreitung aktivieren e Max Session Length Geben Sie die Anzahl der Minuten an die eine akti
47. So SER Email Client Maintenance D System D ImportfExport gt Push Config gt Archiving gt Troubleshooting Abbildung 19 System gt Configuration gt Licensing Configuration Help Sign Out Licensing Security Certificates Note that entering your license key signifies that you have read and agree to the terms described in the license agreement Company Name YourCompany Inc License Key s Save Changes oft Product Summary Model Key Company Max Concurrent Users 1000 Upgrade License Central Manager for Secure Access Cluster 4 Devices Permanent Key office hertz postcard photo writer desk text UPG Customizable UI Permanent Key walnut hardware producer traction recital plus parcel UPG Multiple Sign In Hosts Permanent Key storage tiller mixture pinwheel waltz decision reaction UPG Advanced Delegation Permanent Key python eyeball pursuit wheat reality producer parrot UPG Advanced Authorization Rules Permanent Key quiz employee purpose photo writer vigor process UPG M10 10 Simultaneous Users 5 Simultaneous Meetings Permanent Key reader toolbox rodeo photo waltz void pilot UPG NC Network Connect Key stick essay tiger reader quartz landing visa UPG PMI Password Management Integration Key sulfur tree total recital quartz velocity work UPG SSO Single Sign On Key success homestead totem wheat writer decision villa UPG NETE Netegrity Upgrade
48. angegeben haben e Die IP Adresse eines aktiven Clustermitglieds Klicken Sie auf Join Cluster Klicken Sie auf Join wenn Sie aufgefordert werden den Beitritt zum Cluster zu best tigen Nachdem das IVE dem Cluster beigetreten ist m ssen Sie sich erneut anmelden Nur Access Series FIPS Initialisieren Sie den Knoten mit der Security World des aktiven Clustermitglieds Befolgen Sie dazu die folgenden Anweisungen NetScreen Instant Virtual Extranet Plattform 177 Administrationshandbuch So initialisieren Sie die Security World des Clustermitglieds ber die serielle Konsole 1 Schlie en Sie das Kabel des Smartcardlesers an den Leseger tport des Kryptographiemoduls an der sich an der Frontplatte des IVE Ger ts befindet 2 Legen Sie eine Administratorkarte die mit der Security World des aktiven Clustermitglieds vorinitialisiert wurde mit den Kontakten nach oben in den Smartcardleser ein 3 Stellen Sie den Modusschalter des Kryptographiemoduls auf Operationsmodus sofern dieser sich nicht bereits in dieser Position befindet 4 Stellen Sie eine Verbindung mit der seriellen Konsole des IVE her Weitere Informationen finden Sie unter Anhang D auf Seite 453 5 Schalten Sie das IVE aus und dann wieder ein und berwachen Sie beim Neustart die serielle Konsole Nach dem Start der Systemsoftware werden Sie in einer Meldung dar ber informiert dass das Ger t als eigenst ndiges IVE gestartet wird und dass Sie
49. auf Seite 453 und w hlen Sie dann den gew nschten Konfigurati onsvorgang aus e Anzeigen Festlegen der Netzwerkeinstellungen Hiermit k nnen Sie die Standardnetzwerkeinstellungen ndern NetScreen Instant Virtual Extranet Plattform 459 Administrationshandbuch e Erstellen von Administratorbenutzername und kennwort Hiermit k nnen Sie ein neues Super Administratorkonto anlegen e Anzeigen der Systemprotokolle Hiermit k nnen Sie die Systemkonfiguration Benutzerprotokolle oder Protokolle des Administratorzugriffs ber die serielle Konsole anzeigen Nach dem Anzeigen der Protokolle m ssen Sie q eingeben um wieder die Optionen der seriellen Konsole anzuzeigen e Aktivieren Deaktivieren des Kennwortschutzes Hiermit k nnen Sie die Konsole durch ein Kennwort sichern Wenn Sie diese Option auf on setzen ist der Zugriff nur Super Administratoren gestattet e Erstellen einer Super Administratorsitzung Hiermit k nnen Sie eine Wiederherstellungssitzung auf der Webkonsole erstellen auch wenn der Administratorzugriff auf das IVE gesperrt ist Wenn Sie diese Option aktivieren generiert das IVE einen tempor ren Token der drei Minuten g ltig ist Geben Sie den folgenden URL in ein Browserfenster ein https lt ive host gt dana na auth recover cgi Geben Sie dann bei der entsprechenden Aufforderung den tempor ren Token ein um sich an der Webkonsole anzumelden e Testen der Verbindung und Konfiguration weiterer
50. f hrt kann sichergestellt werden dass die Clients Endpunktsicherheitssoft ware verwenden Weitere Informationen finden Sie unter Hostpr fung bersicht auf Seite 91 100 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Informationen ber die Konfiguration von Ressourcenrichtlinien f r Network Connect finden Sie unter Konfigurieren der Seite Network Connect WW auf Seite 369 Ausfuhren von Network Connect Der Network Connect Agent NC wird wie folgt ausgef hrt 1 Ein Benutzer meldet sich am IVE an und klickt auf der IVE Startseite auf die Verkn pfung f r Network Connect Anschlie end wird vom IVE ein ActiveX Steuerelement auf den Client computer heruntergeladen das die folgenden Aktionen ausf hrt 1 Das IVE ermittelt ob Network Connect installiert ist Wenn dies nicht der Fall ist installiert das IVE die erforderliche Software in einem einmaligen Setup 2 Der Dienst Network Connect sendet eine Anforderung an das IVE um die Verbindung mit einer IP Adresse aus dem zuvor bereitgestellten IP Pool zu initialisieren 3 Das System Tray Symbol f r Network Connect wird auf der Taskleiste angezeigt Das IVE reserviert zwei IP Adressen aus dem konfigurieren Pool und weist folgenden Elementen eine eindeutige IP zu e Dem NC Dienst der auf dem Client ausgef hrt wird e Dem NC Prozess der im IVE ausgef hrt wird Der clientseitige Network Connect Dienst verwendet die zug
51. gt Connected 0 02 03 ANSIW 9600 8 N 1 SCROLL Abbildung 38 Serielle Konsole Clusterbeitrittsoption 4 Geben Sie die Nummer f r den Beitritt zu einem bestehenden Cluster ein 5 Geben Sie die erforderlichen Informationen ein Dies sind e Die interne IP Adresse eines aktiven Clustermitglieds e Das Clusterkennwort d h das Kennwort dass Sie beim Definieren des Clusters eingegeben haben e Der Name des Ger ts das Sie hinzuf gen m chten In diesem Beispiel lautet der Name ive 2 e Die interne IP Adresse des Ger ts das Sie hinzuf gen m chten e Die Netzmaske des Ger ts das Sie hinzuf gen m chten e Das Gateway des Ger ts das Sie hinzuf gen m chten Das aktive Clustermitglied berpr ft das Clusterkennwort und ob der Name und die IP Adresse des neuen Ger ts mit den Angaben auf der Seite System gt Clustering gt Add Cluster Member in der Webkonsole bereinstimmen Wenn die Anmeldeinformationen g ltig sind kopiert NetScreen Instant Virtual Extranet Plattform 181 Administrationshandbuch das aktive Mitglied alle Statusdaten auf das neue Clustermitglied einschlie lich Lizenz Zertifikats Benutzer und Systemdaten iveClusterMember HyperTerminal File Edit View Call Transfer Help 88 About to boot as a stand alone IVE Hit TAB for clustering options wait or hit Enter to continue 9 Start a shell debug builds only 1 Continue as a stand alone IVE 2 Join an existing clust
52. gt das IVE die Antwortheader pragma no cache oder cache control no store hinzu Hinweis ICA Dateien von Citrix und QuickPlace Dateien werden anders behandelt ICA Dateien von Citrix sind immer zwischenspeicherungsfahig und erhalten auch den Header cache control private QuickPlace Dateien die keiner festgelegten Regel die Vorrang hat entsprechen erhalten die Header CCNS und cache control private 334 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Don t Cache Cache Control No Store senden Das IVE entfernt die Cachesteuerungs Header des Ursprungsservers und f gt stattdessen einen Antwortheader vom Typ cache control no store hinzu falls die vom Browser gesendete User Agent Zeichenfolge msie oder windows media player enth lt Don t Cache Pragma No Cache senden Das IVE f gt der Antwort Header vom Typ pragma no cache und cache control no cache hinzu Dar ber hinaus leitet das IVE die Cacheheader des Ursprungsservers beispielsweise age date etag last modified expires nicht weiter Cache Cacheheader nicht hinzuf gen ndern Das IVE f gt keine Antwortheader pragma nocache oder cachecontrol nostore hinzu und leitet die Cacheheader des Ursprungsservers weiter Use Detailed Rules Hiermit geben Sie eine oder mehrere detaillierte Regeln f r diese Richtlinie an Weitere Informationen finden Sie unter Schreiben einer detaillierten Regel
53. hlen Sie in der Webkonsole System gt Status gt Overviews aus Klicken Sie auf Download Package Central Manager Version oder auf die Verkn pfung neben System Software Pkg Version Klicken Sie auf Speichern 4 Geben Sie einen Namen und einen Speicherort f r das Servicepaket an Klicken Sie auf Speichern 130 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch File Download ixi P Some files can harm your computer If the file information below looks suspicious or you do not fully trust the source do not open or save this file File name package pkg File type From 10 12 173 2 Would you like to open the file or save it to your computer Open Save Cancel More Info V Always ask before opening this type of file Abbildung 15 Seite System gt Status gt Overview gt Download Package VI Bearbeiten von Systemdatum und zeit Sie m ssen die Serverzeit einstellen damit die Systemereignisse und die bertragung von Benutzerdateien genau aufgezeichnet werden Sie k nnen das IVE ber einen NTP Server Network Time Protocol mit anderen Com putern synchronisieren oder die IVE Zeit manuell einrichten So bearbeiten Sie Systemdatum und zeit 1 W hlen Sie in der Webkonsole System gt Status gt Overview aus Klicken Sie im Abschnitt System Date amp Time auf Edit 3 W hlen Sie im Men Time Zone eine Zeitzone aus Das IVE passt die Uhrzeit automatisch an die Sommerzei
54. kann die RSA SecurID Software einen Tokenwert transparent ber die IVE Appliance an ACE Server weitergeben Wenn ACE Server den Benutzer authentifiziert hat wird der Zugriff auf die IVE Appliance gew hrt Andernfalls f hrt ACE Server folgende Aktionen aus e Verweigern des Benutzerzugriffs auf das System wenn die Anmeldeinformationen des Benutzers nicht erkannt wurden e Weiterleiten des Benutzers an die IVE Standardanmeldeseite wenn der Benutzer versucht sich auf der Seite RSA SecurID Authentication auf einem Computer anzumelden auf dem die SecurID Software nicht installiert ist e Auffordern des Benutzers eine neue PIN zu erstellen New PIN Modus wenn der Benutzer sich erstmals bei NetScreen Instant Virtual Extranet anmeldet Dem Benutzer werden je nach verwendetem Anmeldeverfahren unterschiedliche Aufforderungen angezeigt Bei Anmeldung ber die 215 216 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Seite RSA SecurID Authentication werden die RSA Aufforderungen zum Erstellen einer neuen PIN angezeigt Andernfalls werden die IVE Aufforderungen angezeigt Beachten Sie dass der Benutzer fur die erstmalige Anmeldung eine tempor re PIN ben tigt e Auffordern des Benutzers zur Eingabe des n chsten Tokens Next Token Modus wenn das vom Benutzer eingegebene Token nicht mit dem von ACE Server erwarteten Token bereinstimmt Der Next Token Modus ist f r Benutzer transparent die sich ber d
55. kennt wann eine Zeit berschreitung auftritt Die Abst nde werden auf der Registerkarte System gt Configuration gt Security gt Cache Cleaner an gegeben siehe Registerkarte Security gt Cache Cleaner auf Seite 146 Hinweis Bei der berpr fung der G ltigkeit einer Sitzung stellt die Cachebe reinigung eine Verbindung mit dem IVE her Durch diese Aktion k nnen an pers nlichen Firewalls Warnmeldungen ausgegeben werden Benutzer m ssen diesen Datenverkehr zulassen damit die Cachebereinigung ord nungsgem ausgef hrt werden kann 1 Benutzern mit einer pers nlichen Firewall wird beim Leeren des Cache durch die Cachebereinigung ein Protokolleintrag angezeigt NetScreen Instant Virtual Extranet Plattform 65 Administrationshandbuch e Ein Clientsystem wird nach einem nicht ordnungsgem en Herunterfahren des Systems bzw einem nicht ordnungsgem en Abbruch der Sitzung oder der Verbindung neu gestartet Die Cachebereinigung f hrt eine endg ltige Bereinigung aus und deinstal liert sich nach dem Neustart des Systems selbst vom Benutzersystem Die Cachebereinigung protokolliert keine Eintr ge im IVE Standardproto koll sondern in einer tempor ren Client Textdatei C Programme Neoteris Cache Cleaner dscCachecleaner log Dieses Protokoll wird gel scht wenn sich die Cachebereinigung selbst deinstalliert Wichtig Die Cachebereinigung bereinigt bzw l scht weder den Browserver lauf noch vom Benutzer ex
56. r SSO Parameter Mithilfe dieser Variable k nnen Sie berpr fen ob der Client des Benutzers ber ein clientseitiges Zertifikat mit den angegebenen Werten verf gt CertAttr altName lt Alt attr gt Verf gbar in e Rollenzuordnungsregeln e Ressourcenrichtlinienregeln e LDAP Konfiguration e Felder f r SSO Parameter certAttr SN Verfugbar in e Rollenzuordnungsregeln e Ressourcenrichtlinienregeln e LDAP Konfiguration e Felder fur SSO Parameter certDN Verfugbar in e Rollenzuordnungsregeln e Ressourcenrichtlinienregeln certDN lt subject attr gt Verfugbar in e Rollenzuordnungsregeln e Ressourcenrichtlinienregeln e LDAP Konfiguration e Felder f r SSO Parameter Wert des alternativen Namens des Subjekts aus einem client seitigen Zertifikat wobei lt Alt attr gt folgende Werte anneh men kann Email directoryName DNS URI jpAddress registeredld Seriennummer eines Clientzertifikats Beachten Sie dass alle Zeichen au er 0 9 a f A F aus einer Zeichenfolge vor dem Vergleich mit certAttr SN entfernt werden Platzhalter werden nicht unterstutzt DN des Clientzertifikat Subjekts Beliebige Variable aus dem DN des Clientzertifikat Subjekts wobei subject attr der Name des RDN Schlussels ist Kann zum Testen verschiede ner DN Attribute in einem Stan dard x 509 Zertifikat verwendet werden NetScreen Instant Virtual Extranet Plattform Administrationshandbu
57. r W SAM konfigurieren 305 306 J SAM Abbildung 113 Definition 109 bersicht 111 Verwendung 112 Konfiguration 24 Ressourcenrichtlinien 42 Rollen 57 bersicht 109 W SAM Abbildung 111 Definition 109 bersicht 109 Verwendung 110 zus tzliche J SAM Optionen 306 Secure Email Client Siehe E Mail Client Secure Meeting Aktivierung 317 Aktivitat anzeigen 126 INDEX Aktualisierungsoption 13 Appliance 13 Benachrichtigungs E Mails Aktivierung 158 Beschreibung 15 Konfiguration 319 Fehlerbehebung 20 Konferenz Betrachter 15 Konferenzen l schen 133 Konfiguration 24 Ressourcenrichtlinien 42 375 Rollen 57 Ersteller 14 G ste 14 Konferenzleiter 16 Remotesteuernder 16 320 Teilnehmer 15 Sofortkonferenz 15 Textnachrichten 15 bersicht 13 berwachung 133 unterst tzte Umgebungen 18 SecurlD Siehe Authentifizierungsserver ACE SecurlD Token Siehe Authentifizierungsserver ACE Server SecurlD Security World bersicht 9 Selektives Neuschreiben 339 Serielle Konsole Access Series FIPS Ger t initialisieren 9 Clustermitglieder hinzuf gen 179 f r Systemaufgaben verwenden 453 Server Definition in Ressourcenrichtlinien 48 49 f r Authentifizierung verwendete Typen 36 Ressourcenrichtlinien 50 Siehe auch Authentifizierungsserver Server Certificate Registerkarte Certificates Men 147 Serverkatalog konfigurieren 279 Sicherheitsoptionen Konfiguration 140 Sicherung von Netegrity Siteminder Servern aktivieren 255 signedinW
58. r mehrere Rollen aktiviert ist f hrt das IVE die Netzmasken zusammen um die Netzmaske f r die Sit zung zu erweitern 60 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Teil 2 IVE Funktionen In diesem Abschnitt werden die Funktionen des Access Series Produkts beschrieben F r einige dieser Funktionen sind weitere Lizenzen erforderlich Inhalt Cachebereinigung bersicht 0 cccccccccccscsesessecessesenseeesseeseeeeeneeeens 63 Central Manager bersicht ccccccccccsccceseesesecesesesesenseesseesenseeens 67 Zertifikatss bersicht e esse 69 Cluster bersichten essen 75 Delegierte Administration Ubersicht 0 0 cccccccccesseseesecessseeessesenseeens 83 E Mail Client bersicht rien 85 Hostpr fung Ubersicht cccccccccceccesseccsseccsseesesseeseeecseseeeeeeensetenseeens 91 Protokollierung und berwachung Ubersicht ccccccccceeeseeeeees 95 Network Connect Ubersicht cccccccccssccssscesssecesseeesseecsseesensesenseeens 99 Durchgangsproxy Ubersicht ccccccccccccsccseseceseeceseeseeesensesenseseeens 103 Remote SSO Ubersicht 0 ccccccccccecsccsssecsesecssesesesesseecseeeesnesenens 107 Secure Application Manager bersicht 109 62 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch NetScreen Instant Virtual Extranet Plattform 63 Administrationshandbuch Cacheberei
59. versucht das IVE den Benutzer einer Rolle zuzuordnen Oder der Benutzer fordert eine Ressource an und der Hostpr fungs Agents berpr ft anhand der Methoden und Regeln die Sie in der zugeordneten Richtlinie f r die Host pr fung festgelegt haben ob der Client die Endpunktsicherheitsanforderun gen erf llt Das IVE wartet bis zu 120 Sekunden darauf dass die Hostpr fung eine Best tigung oder Ablehnung zur ckgibt Nach Ablauf der H chstdauer zeigt das IVE eine Fehlermeldung an und der Benutzer wird auf die Anmeldeseite zur ckgeleitet Wenn die Endpunktsicherheitspr fung erfolgreich verl uft zeigt das IVE dem authentifizierten Benutzer die Startseite an weist ihn der entspre chenden Rolle zu oder f hrt die in der Ressourcenrichtlinie festgelegte Aktion durch Schl gt die Pr fung fehl wenn der Benutzer versucht auf die Anmeldeseite des IVE zuzugreifen zeigt das IVE eine Fehlermeldung mit der Information an dass der Computer nicht der Richtlinie f r die End punktsicherheit entspricht Wenn die Pr fung bei der Auswertung einer Rol lenzuordnungsregel durch das IVE fehlschl gt ordnet das IVE den Benutzer nicht der entsprechenden Rolle zu Schl gt die Pr fung fehl wenn der Benutzer eine bestimmte Ressource anfordert f hrt das IVE die Aktion nicht aus die in der entsprechenden Ressourcenrichtlinie festgelegt ist Unabh ngig von Erfolg oder Fehlschlagen verbleibt die Hostpr fung im Ver zeichnis C Programme Neoteris Ho
60. von jedem Benutzer computer aus ber Telnet oder SSH auf gehostete Server sicher zugreifen Geben Sie mithilfe der Registerkarte System gt Configuration gt Licensing die Lizenzcodes f r Ihre Site ein zeigen Sie die Ablaufdaten ein und l schen Sie diese ggf Hinweis Lesen Sie in jedem Fall die Lizenzvereinbarung auf die Sie ber die Registerkarte Licensing zugreifen k nnen bevor Sie Ihre Lizenz senden Bei der ber die Registerkarte Licensing verf gbaren Lizenzvereinbarung handelt es sich um denselben Text der w hrend des ersten Setups an der seriellen Konsole angezeigt wird Iv Eingeben oder Aktualisieren einer IVE Lizenz So geben Sie die IVE Lizenz ein oder aktualisieren diese 1 2 Wahlen Sie in der Webkonsole System gt Configuration gt Licensing aus Klicken Sie auf die Verkn pfung License Agreement Lesen Sie die Lizenzvereinbarung Wenn Sie mit den Bestimmungen einverstanden sind fahren Sie mit dem nachsten Schritt fort Geben Sie den Firmennamen und den Lizenzschlussel ein und klicken Sie dann auf Save changes me 10 722777777 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Central Manager System D Status D Network gt Clustering gt Log Monitoring D Signing In Administrators gt Authentication gt Delegation Users gt Authentication b Roles D New User Resource Policies Web Files SAM Telnet SSH Network Connect Meetings
61. wobei issuer attr der Name des RDN Schl ssels ist Als Zeichenfolge gespeicherter Subjekt DN des Clientzertifikat Ausstellers Es sind nur Zei chenfolgenvergleiche mit die sem Wert zul ssig certDN Text cn John Harding ou eng c Company certlssuerDN cn John Harding ou eng c Company certlssuerDN userAttr x509lssuer certlssuerDN ou eng c Company or ou operations c Company certlssuerDN OU company certDN ST CA userDN cn John Harding ou eng c Company group lt group name gt Verf gbar in e Rollenzuordnungsregeln e Ressourcenrichtlinienregeln Wichtig Nur fur Rollenzuordnung ausgewertete Gruppen sind in den detaillierten Rollen Bedingungen in den Ressourcenrichtlinien verfugbar Auch wenn der Benutzer einer Rolle mit einer Stop Regel zugeordnet wird werden Gruppen von nachfol genden Regeln nicht zum Sit zungskontext des Benutzers hinzugef gt hostCheckerPolicy Verf gbar in e Rollenzuordnungsregeln e Ressourcenrichtlinienregeln e Felder f r SSO Parameter loginTime Verf gbar in e Rollenzuordnungsregeln e Ressourcenrichtlinienregeln e Felder f r SSO Parameter loginTime day Verf gbar in e Rollenzuordnungsregeln e Ressourcenrichtlinienregeln Sowohl statische als auch dynamische LDAP Benutzergruppen wobei group name der im Worterbuch angegebene Name der LDAP Gruppe ist Vom Client erfullte Host Checker Richtlinien Di
62. zu einer Ressource in der Liste Resource f r eine Richtlinie oder ausf hrliche Regel zuordnet f hrt es die angegebene Aktion aus und beendet die Richtlinienverarbeitung Ein Beispiel f r eine Webressourcenrichtlinie finden Sie in den Abbildungen unter Schreiben einer Webressourcenrichtlinie auf Seite 325 Registerkarte Web Proxy gt Policies Auf der Registerkarte Web Proxy gt Policies k nnen Sie eine Webressourcenrichtlinie schreiben die benutzerdefinierte Webanwendungen angibt an die das IVE Header und Cookies sendet Weitere Informationen zu dieser Funktion finden Sie unter Remote SSO bersicht auf Seite 107 VI Schreiben einer Ressourcenrichtlinie f r Webproxys So schreiben Sie eine Ressourcenrichtlinie f r Webproxys 1 W hlen Sie in der Webkonsole Resource Policies gt Web gt Web Proxy gt Policies aus Klicken Sie auf der Seite Web Proxy Policies auf New Policy 3 Geben Sie auf der Seite New Policy Folgendes ein 1 Eine Bezeichnung f r diese Richtlinie 2 Eine Beschreibung der Richtlinie Optional NetScreen Instant Virtual Extranet Plattform 347 Administrationshandbuch Geben Sie im Bereich Resources die Ressourcen an fur die diese Richtlinie gelten soll Weitere Informationen finden Sie unter Angeben von Webressourcen auf Seite 46 Wichtig Das IVE l st keine Dom nennamen in IP Adressen auf und f hrt kein Reverse Lookup f r IP Adressen durch Ein URL der auf ein
63. 17 18 Geben Sie im Feld If authentication fails redirect to einen alternativen URL ein zu dem die Benutzer umgeleitet werden wenn das IVE sie nicht authentifizieren kann und vom SiteMinder Richtlinienserver keine Umleitungsantwort eingeht Wenn Sie dieses Feld leer lassen werden die Benutzer aufgefordert sich erneut beim IVE anzumelden Hinweis Wenn Sie die Option f r die Anpassung der Oberfl che verwenden Seite 209 beachten Sie dass das IVE noch in zwei weiteren F llen auf die Seite welcome cgi umleitet Sie m ssen beide Sonderfalle in Ihrer benutzerdefinierten Seite ber cksichtigen Ablauf der Sitzungs oder Leerlaufh chstdauer dana na auth welcome cgi p timed out Fehlgeschlagene Cookievalidierung dana na auth welcome cgi p failed Aktivieren Sie das Kontrollk stchen Authorize requests against SiteMinder policy server wenn die Regeln des SiteMinder Richtlinienservers f r die Autorisierung der Benutzeranforderungen von Webressourcen verwendet werden sollen Wenn Sie diese Option ausw hlen m ssen Sie in SiteMinder die entsprechenden Regeln erstellen die mit dem Servernamen gefolgt von einem Schr gstrich beginnen z B www yahoo com www yahoo com und www yahoo com r f1 Geben Sie im Feld Resource for insufficient protection level eine Ressource des Web Agents ein an die Benutzer vom IVE umgeleitet werden wenn sie nicht ber die erforderlichen Berechtigungen verf gen Wenn der Benutzer
64. 2 ee Ygasedaiialasucusnusebaeaas aiaaseeesiuaneiwies 164 Konfigurieren der Seite Clustering 022002240204000n0 nenn nenn nennen 167 Registerkarte Create cramer n a a A 168 Registerkarte StAtUs sarran a a a a a E a 170 FREGISTIETKAITS SS OUI asien ee ONA 175 Verfahren ber die serielle Konsole 0 ccc ec ecece ese eeeeeeeeeaeeuausaeaeseeeusaeeavaneanes 179 Registerkarte Properties cccccccccceecseeceeeeeceeeceeceeeceeceneeseeteeseeeaeeseeeegeseeeteeees 182 Konfigurieren der Seite Log Monitoring 022200240000n nennen nen 187 Registerkarten Events User Access und Admin Access 187 Registerkarte oNMP sus 195 Registerkarte Statistics nina ebene 200 Konfigurieren der Seite Signing in 0 002200200000n0nnnnonnne nenn nennen 203 Registerkarte Sign in Policies 0020022002000nnennnennnnnnennnnnnnnnn nenn nnnnnnnnnennnen 203 Registerkarte Sign in Page u022z0220002000nnn0 nenn nenne nano nnnn nenn nenne anne nnne nenn nenne nennen 209 Registrierkarte Server nee 212 Konfigurieren einer ACE Serverinstanz uussuesssensssennnenenenennnnnnnnnnenenennnn nenne nennen 215 Konfigurieren einer Active Directory oder einer NT Dom neninstanz 221 Konfigurieren einer Instanz eines anonymen Servers uuenssenssunenunennennnnnenenenen nenn 223
65. 453 458 Software installieren 385 Statistikanzeige 200 Statusdaten Beschreibung 80 T TCP Dumpdatei zur Fehlerbehebung 415 Teilnehmer Siehe Secure Meeting Rollen Telnet SSH Konfiguration 24 Ressourcenrichtlinien 42 365 Rollen 57 Temporare Dateien entfernen 63 Temporare Daten Definition 79 Textnachrichten Siehe Secure Meeting Textnachrichten THMTL benutzerdefinierte Seiten erstellen 209 TLS zul ssige Version 140 Traceroute Befehl 417 458 Traps Definition 96 Konfiguration 196 U berpr fungs URL 78 bertragungsrate Konfiguration 158 161 Uhrzeit und Datum einstellen 130 Unicast Synchronisierungsprotokoll 81 UNIX Lesezeichen erstellen 301 UNIX NFS Datei Ressourcenrichtlinien 358 INDEX 475 UNIX NFS Dateien Ressourcenrichtlinien Definition 49 Untergeordneter ACE Server Unterst tzung 216 URL Zugriffsstatistik 200 URLs Anmelde URLs festlegen 204 USER Variable in UNIX Lesezeichen 301 in Weblesezeichen 295 in Windows Lesezeichen 299 V VeriSign Serverzertifikat Verwendung 71 Vermittlung Anmeldeinformationen Benutzer 141 Remote SSO 342 Selektives Neuschreiben 339 Verschl sselung Beschreibung 4 St rke 140 Verzeichnisserver Siehe auch Authentifizierungsserver Definition 37 Virtuellen Hostnamen konfigurieren 17 341 Virtueller Hostname Konfiguration 158 Vorf hrender Siehe Secure Meeting Rollen Vorlagen anpassbare Oberfl che 209 VPN ohne Client bersicht 99 W
66. Access Series Produkte und das zugrunde liegende Zugriffsverwaltungssystem e bersicht ber Basis und erweiterte Funktionen sowie ber Aktualisierungsoptionen e Anweisungen f r die Konfiguration und Verwaltung der IVE Appliance oder des IVE Clusters Zielgruppe Dieses Handbuch wendet sich an Systemadministratoren die f r die Konfiguration eines Access Series Produkts zust ndig sind NetScreen SA 1000 NetScreen SA 3000 NetScreen SA 5000 NetScreen SA FIPS NetScreen SM 3000 Weiterf hrende Informationen Informationen zur Installation k nnen Sie dem Installationshandbuch entnehmen dass dem Produkt beiliegt Den neuesten Build des IVE Betriebssystems mit dem zugeh rigen Administrationshandbuch im PDF Format und den Versionshinweisen k nnen Sie unter http support netscreen com herunterladen Informationen ber eine Aktualisierung der Konfiguration finden Sie unter www netscreen com oder schreiben Sie eine E Mail an sales neoteris com Teil 1 IVE Series In diesem Abschnitt werden die NetScreen IVE Plattform Instant Virtual Extranet die Access Series Produktlinien die auf dieser Plattform aufbauen und das Zugriffsverwaltungssystem beschrieben das von den Access Series Produkten verwendet wird Inhalt Einf hrung in das NetScreen Instant Virtual Extranet 3 Access Senes bersicht ns 7 Access Series FIPS bersicht uuuuunsenesseeeneenennnnnnnnnnnn
67. Administration bersicht Das IVE Zugriffsverwaltungssystem erm glicht das Delegieren verschiede ner IVE Verwaltungsaufgaben an verschiedene Administratoren mithilfe von Administratorrollen Eine Administratorrolle ist eine Einheit die Verwal tungsfunktionen und Sitzungseigenschaften des IVE f r Administratoren angibt die der Rolle zugeordnet sind Sie k nnen eine Administratorrolle anpassen indem Sie Merkmalss tze und Benutzerrollen f r das IVE aus w hlen die Mitglieder der Administratorrolle anzeigen und verwalten d rfen Sie k nnen z B eine Administratorrolle mit der Bezeichnung Helpdesk Administratoren erstellen und dieser Rolle Benutzer zuweisen die f r die Annahme von Supportfragen der Ebene 1 verantwortlich sind Dazu geh rt z B der Support f r Benutzer die nicht auf eine Webanwendung oder IVE Seite zugreifen k nnen F r die Problembehebung k nnen die Einstellungen fur die Rolle Helpdesk Administratoren wie folgt vorgenommen werden e Gew hren Sie den Helpdesk Administratoren Schreibzugriff auf die Seite System gt Log Monitoring damit sie IVE Protokolle anzeigen und fil tern kritische Ereignisse in einzelnen Sitzungsverl ufen verfolgen und die Seite Maintenance gt Troubleshooting anzeigen und somit die Pro bleme auf einzelnen Benutzersystemen aufsp ren k nnen e Gew hren Sie den Helpdesk Administratoren Lesezugriff auf die Seiten User gt Roles damit sie dar ber informiert sind welch
68. Administratorberechtigungen an Benutzer nicht zul sst k nnen Sie die externen DNS Server auch wie unter Konfigurieren der externen DNS Server und Benutzercomputer falls erforderlich auf Seite 310 beschrieben konfigurieren Wenn J SAM auf einen Clientcomputer heruntergeladen wird enth lt dieser Informationen die Sie f r die Rolle auf der Registerkarte SAM gt Applications konfiguriert haben Wenn ein Benutzer auf Client Applications klickt wird J SAM ausgef hrt f ngt die Anforderungen an den festgelegten Ports ab und leitet sie ber Ports an das IVE weiter Das IVE leitet die Daten dann an den f r den Anwendungsserver festgelegten Port weiter Hinweis e Gegenw rtig wird auf Windows Linux oder Macintosh Plattformen Sun JVM Version 1 4 1 oder h her unterst tzt Die MS JVM die auf Sun JRE Version 1 1 beruht wird unter Windows ebenfalls unterst tzt e Wenn Sie die Laufwerkzuordnung zu einem Server aktivieren m chten m ssen Sie Port 139 als Clientport und als Serverport f r den betreffenden Server festlegen F r Windows XP Benutzer wird von die Registrierung vom J SAM automatisch ge ndert um Port 445 zu deaktivieren wodurch Windows XP zur Verwendung von Port 139 bei der Laufwerkzuordnung gezwungen wird Benutzer von Windows XP m ssen einen einmaligen Neustart ausf hren damit die Anderung an der Registrierung wirksam wird Um die von J SAM vorgenommene Registrierungsanderung zu deaktivieren k nnen Benutze
69. Available roles hinzugef gt werden NetScreen Instant Virtual Extranet Plattform 333 Administrationshandbuch 6 Geben Sie im Bereich Action Folgendes an Smart Caching Headers senden die f r Inhalt und Browser geeignet sind Falls das IVE im user agent Header msie oder windows media player erkennt und sich die Anforderung auf eine Mediendatei bezieht sendet das IVE keinen Antwortheader cache oder cache control no store Beispiel wenn in content type das Element audio x pn realaudio steht ODER wenn content type mit video beginnt ODER wenn content type mit audio beginnt ODER wenn content type gleich application octet stream ist und die Dateierweiterung mit rm oder ram beginnt In diesen F llen entfernt das IVE den cache control Header des Ursprungsservers und der Inhalt kann zwischengespeichert werden Durch dieses Verhalten k nnen Mediendateien ordnungsgem funktionieren Wenn das IVE im Benutzer Agent Header msie oder windows media player erkennt e und sich die Anforderung auf Flash Dateien XLS PPS und PPT Dateien bezieht e und der Content Type application text rtf text xml model ist oder e wenn der Ursprungsserver einen Content Disposition Header sendet sendet das IVE den cache control no store Header und entfernt den Cachesteuerungs Header des Ursprungsservers In allen anderen F llen f
70. Benutzernamen ein und klicken Sie auf Update um nach einem bestimmten Benutzer zu suchen Sie k nnen auch ein Sternchen als Platzhalter verwenden das f r eine beliebige Anzahl von Zeichen steht null eins oder mehrere Wenn Sie z B nach allen Benutzernamen suchen m chten die die Buchstaben jo enthalten geben Sie im Feld Show users named die Zeichenfolge jo ein Bei der Suche wird die Gro und Kleinschreibung ber cksichtigt Wenn Sie wieder die Gesamtliste der Gruppenkonten anzeigen m chten geben Sie ein Sternchen ein oder l schen Sie den Feldinhalt und klicken Sie dann auf Update 238 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch e Geben Sie im Feld Show N users eine Zahl ein und klicken Sie auf Update um die Anzahl von Benutzern anzugeben die auf der Seite angezeigt werden e Aktivieren Sie das Kontrollk stchen neben den jeweiligen Benutzern und klicken Sie anschlie end auf Delete um deren IVE Sitzungen zu beenden SEAT 722777777 Central Manager Help Sign Out System Servers gt Stati partners Configuration Network Settings a Admin Users Clustering Log Monitoring Signi I igning In Show users named F Show 200 users Update Administrators gt Authentication New Delete D Delegation P VN Vv VY Users Username Name gt Authentication ERGI M bob Robert Brown gt New User MT mike Michael Smith Resource Policies f jen Jenn
71. Certificates issued by Verisign Issued To N A Issued By N A Valid N A to N A JavaSoft Certificate You may import a JavaSoft certificate for use in re signing applets that require the Sun JVM Issued To N A Issued By N A Valid N A to N A Abbildung 26 System gt Configuration gt Certificates gt Applet Certificates NetScreen Instant Virtual Extranet Plattform 157 Administrationshandbuch Konfigurieren der Seite Network Die Seite System gt Network enth lt die folgenden Registerkarten Registerkarte Internal Port 2 2u022000200000000000n00nnnonnnnnennnn namen nnnee nennen 157 Registerkarte External Por cee seo A ei SOK taklnsalela tea 161 Registerkarte Static Routes rn cic eik ees catenins gnc delice ieee 163 Registerkarte HOSIS anna ae 164 EEE ER EEE ale ata ee eet aan ea a a nll oda nuked ciate 165 Verwenden Sie die Seite System gt Network fur die folgenden Aufgaben ndern von Netzwerkeinstellungen f r den internen Port LAN Schnittstelle 157 Aktivieren des externen Ports DMZ Schnittstelle cc cccecccesseeeeeeeeeeeeeeeeaees 161 Angeben von statischen Routen f r den Netzwerkverkehr ccccccseseeeeeees 163 Angeben von Hostnamen die vom IVE lokal aufgel st werden sollen 164 Registerkarte Internal Port Wenn Sie die IVE appliance installieren nehmen Sie grundlegende Einstel lungen f r die L
72. Datei 42 351 Definition 5 25 E Mail Client 42 379 Export 395 Import 397 IP Adresse 51 Java 336 337 Konfiguration 325 427 Network Connect 42 369 Remote SSO 342 SAM SAM Ressourcenrichtlinien 361 Secure Application Manager 42 Secure Meeting 42 375 Selektives Neuschreiben 339 Server 50 Telnet SSH 42 365 Ubersicht 41 UNIX NFS Dateien 49 358 Verwaltung 269 vorkonfigurierte Richtlinien 5 Web 41 46 325 Windows Dateien 48 352 Zwischenspeicherung 331 Ressourcenrichtlinien fur Zwischenspeicherung 331 Richtlinien Anmelderichtlinien Siehe Anmelderichtlinien Authentifizierungsrichtlinien Siehe Authentifizierungsrichtlinien Ressourcenrichtlinien Siehe Ressourcenrichtlinien Richtlinien fur Java Zwischenspeicherung 336 Rolle Auswertung 58 Bestandteil einer Ressourcenrichtlinie 43 Definition 5 24 55 Export 395 INDEX 473 Import 397 Konfiguration 427 Verwaltung 271 vordefinierte Rollen 5 Zugriffssteuerung f r Webserver 330 370 373 Zuordnung 23 35 37 58 277 Zusammenf hrung 58 Rpc_Binding_Order Registrierungseinstellung 118 RSA ACE Server Hostnamenaufl sung 36 Siehe Authentifizierungsserver ACE Server S SAM Siehe Secure Application Manager Schl ssel 147 privat Siehe Privatschl ssel Security World Siehe Access Series FIPS Security World Schl ssel sdconf rec Generierung 219 Secure Application Manager Anwendungen f r J SAM konfigurieren 308 Anwendungen f r W SAM konfigurieren 305 306 Hosts f
73. Eine Ressourcenrichtlinie muss mindestens eine Ressource angeben auf die sich die Richtlinie bezieht Beim Schreiben einer Telnet SSH Richtlinie m ssen Sie Remoteserver angeben mit denen Benutzer eine Verbindung herstellen k nnen e Rollen Eine Ressourcenrichtlinie muss die Rollen angeben auf die sie sich bezieht Wenn ein Benutzer eine Anforderung durchf hrt ermittelt das IVE zun chst die f r die Rolle g ltigen Richtlinien und wertet dann die Richtlinien aus die auf die Anforderung zutreffen 366 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch e Aktionen Eine Telnet SSH Ressourcenrichtlinie erlaubt oder verweigert den Zugriff auf einen Server VI Schreiben einer Telnet SSH Ressourcenrichtlinie So schreiben Sie eine Telnet SSH Ressourcenrichtlinie 1 W hlen Sie in der Webkonsole Resource Policies gt Telnet SSH aus Klicken Sie auf der Seite Telnet SSH Policies auf New Policy 3 Geben Sie auf der Seite New Policy Folgendes ein 1 Eine Bezeichnung f r diese Richtlinie 2 Eine Beschreibung der Richtlinie Optional Geben Sie im Bereich Resources die Server an f r die diese Richtlinie gelten soll Geben Sie im Bereich Roles Folgendes an e Policy applies to ALL roles Hiermit gilt die Richtlinie f r alle Benutzer e Policy applies to SELECTED roles Hiermit gilt die Richtlinie nur f r Benutzer die zu Rollen in der Liste Selected roles zugeordnet sind Dieser Liste m ssen
74. Ger ts ein Geben Sie die externe IP Adresse des Ger ts ein Beachten Sie dass das Feld External IP address nur angezeigt wird wenn Sie den externen Port auf der Registerkarte System gt Network Settings gt External Port aktiviert haben Klicken Sie auf Add Node Klicken Sie auf Add wenn Sie aufgefordert werden das Hinzuf gen des neuen Mitglieds zu best tigen Wiederholen Sie dieses Verfahren f r jedes Ger t das Sie hinzuf gen m chten NetScreen Instant Virtual Extranet Plattform 171 Administrationshandbuch EA NETSCREEN Central Manager Help Sign Out System Clustering gt gt oe Add Cluster Member gt Configuration DNB Cluster NorthAmerica b Clustering Member Name live 2 Characters must be alphanumeric or _ D Log Monitoring D Signing In Internal IP address 10 12 173 2 Internal Netmask 255 255 0 0 gt Authentication D Delegate Internal Gateway 10 10 0 1 Administrators Users gt Authentication Add Node Cancel gt Roles D Maw Ilear Abbildung 33 System gt Clustering gt Add Member for a multi site cluster Hinweis Sie k nnen die Felder Netmask und Gateway nur f r Knoten in einem Cluster mit mehreren Sites bearbeiten EA NETSCREEN Central Manager Help Sign Out By Clustering D Status D Configuration Status Properties D Network Cluster Name NorthAmerica gt Log Monitoring Type NetScreen SA 5000 Advanced 4 Unit Multi Site Cl
75. IVE zu einer oder mehreren Rollen zuweist Diese Bedingungen beruhen entweder auf den Benutzerinformationen die der Verzeichnisserver des Bereichs zur ckgibt oder auf dem Benut zernamen des Benutzers Seite 37 Authentifizierungsserver Bei einem Authentifizierungsserver handelt es sich um eine Datenbank in der Anmeldeinformationen f r Benutzer Benutzername und Kennwort und normalerweise Gruppeninformationen gespeichert werden Wenn sich ein Benutzer am IVE anmeldet gibt er einen Authentifizierungsbereich an der einem Authentifizierungsserver zugeordnet ist Wenn der Benutzer die Anforderungen der Authentifizierungsrichtlinie erf llt leitet das IVE die Anmeldeinformationen des Benutzers an den zugeordneten Authentifizie rungsserver weiter Der Authentifizierungsserver berpr ft die Existenz und Identit t der Benutzer Anschlie end sendet der Authentifizierungsserver die Best tigung und wenn der Server in dem Bereich auch Verzeichnis Attributserver verwendet wird auch die Gruppeninformationen des Benut zers oder andere Benutzerattributinformationen an das IVE Das IVE ermit telt die Rollenzuordnungsregeln f r den Bereich und die Benutzerrollen denen ein Benutzer zugeordnet werden kann Zum Angeben eines Authentifizierungsservers der f r einen Bereich ver wendet werden kann m ssen Sie zun chst auf der Seite System gt Signing In gt Servers eine Serverinstanz konfigurieren Wenn Sie die 36 NetScreen Instant Vir
76. In gt Servers aus 2 W hlen Sie die lokale IVE Authentifizierungsserver Instanz aus die vom Benutzeradministrator verwaltet werden soll und klicken Sie dann auf die Registerkarte Admin Users Hinweis Benutzeradministratoren k nnen nur lokale IVE Authentifizierungsserver verwalten 3 Geben Sie den Username des Benutzers ein der Konten f r den ausgew hlten Authentifizierungsserver verwalten soll Der ausgew hlte Benutzer muss auf dem Server den er verwaltet nicht als lokaler Benutzer hinzugef gt werden Hinweis Achten Sie bei der Eingabe des Benutzernamens des Benutzeradministrators auf die exakte Zeichenfolge Diese muss genau bereinstimmen 4 W hlen Sie den Authentication Realm aus dem der Benutzeradministrator zugeordnet wird wenn er sich am IVE anmeldet 5 Klicken Sie auf Add Das IVE f gt den neuen Benutzeradministrator der Liste User Admins im folgenden Format hinzu Benutzername Servername 6 Wenn der angegebene Benutzeradministrator mehreren Bereichen zugeordnet ist wiederholen Sie ggf die Schritte 3 bis 5 sodass der Benutzer den Server unabh ngig von dem Konto verwalten kann ber das er sich beim IVE anmeldet 7 Um dem Benutzer die Verwaltungsrechte wieder zu entziehen w hlen Sie in der Liste User Admins den entsprechenden Namen aus und klicken Sie auf Remove Hinweis Informationen zum Verwalten von Benutzern ber die Startseite des sicheren Gateways finden Sie in der Hilfe zum sichere
77. Inc a Host Id ive 2 Copyright 2001 2004 NetScreen Technologies Inc All rights reserved Abbildung 18 System gt Status gt Meeting Schedule 136 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Konfigurieren der Seite Schedule Auf der Seite Schedule Meeting Series Appliance k nnen Sie alle gegen w rtig auf dem IVE geplanten Konferenzen anzeigen und Konferenzen ggf absagen Weitere Informationen finden Sie unter Registerkarte Meeting Schedule auf Seite 133 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Konfigurieren der Seite Configuration Die Seite System gt Configuration enth lt die folgenden Registerkarten Registerkarte Licensing nun a cheaecoced cdedeneee eee 137 Registerkarte Security gt Security Options 2222002222002sennennnnnennennennennennnn 140 Registerkarte Security gt Host Checker 2 22000222000220000nnnnnennnnne nennen 143 Registerkarte Security gt Cache Cleaner u222000222000nenneenennnnnennnnnennnenn 146 Registerkarte Certificates gt Server Certificate 002220002220002snen nennen 147 Registerkarte Certificates gt CA Certificate 000222000200s0nenneeneenennennnenn 153 Registerkarte Certificates gt Applet Certificates 220022220sss nennen 155 Auf der Seite Syste
78. Karteninhaber den Zugriff auf die Security World gestattet Weitere Informationen fin den Sie unter Erstellen weiterer Administratorkarten nur Access Series FIPS auf Seite 460 Verschl sselte Daten Verschl sselte Hostdaten in einer Access Series FIPS Umgebung enthalten Schl ssel und andere Daten die f r die sichere Freigabe von Informationen erforderlich sind Diese Elemente sind aufeinander abgestimmt um eine umfassende Secu rity World zu erstellen Beim Starten der Appliance wird die G ltigkeit der Security World berpr ft und ermittelt ob sich das Kryptographiemodul im Operationsmodus befindet bevor der normale Betrieb aufgenommen wird Sie k nnen das Kryptographiemodul mithilfe eines am Modul befindlichen Hardwareschalters in den Operationsmodus schalten Es gibt folgende Schaltereinstellungen I Initialisierungsmodus Verwenden Sie diese Einstellung um das Kryptographiemodul mit einer neuen Security World zu initialisieren oder um ein Modul zu einer bestehenden Security World in einem IVE Cluster hinzuzuf gen O Operationsmodus Mit dieser Einstellung k nnen Sie das Kryptogra phiemodul nach der Initialisierung in den Operationsmodus versetzen Beachten Sie dass Sie den Schalter vor dem Einschalten des Moduls auf O setzen m ssen damit das Ger t mit der Routineverarbeitung beginnt Andernfalls m ssen Sie an der seriellen Konsole angeben ob Sie sich mit der vorhandenen Security World verbinden oder ei
79. Konfigurationsdatei importiert 220 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch NetScreen Instant Virtual Extranet Plattform 221 Administrationshandbuch Konfigurieren einer Active Directory oder einer NT Dom neninstanz Wenn die Benutzerauthentifizierung ber einen prim ren NT Dom nencontroller oder Active Directory erfolgt melden sich Benutzer am IVE mit dem Benutzernamen und dem Kennwort an mit denen sie auf den eigenen Windows Desktop zugreifen VI Definieren einer Active Directory oder Windows NT Dom nenserverinstanz So definieren Sie einen Active Directory oder Windows NT Dom nenserver 1 W hlen Sie in der Web console System gt Signing In gt Servers aus 2 F hren Sie einen der folgenden Vorg nge aus e Um eine neue Serverinstanz auf dem IVE zu erstellen w hlen Sie aus der Liste New den Eintrag Active Directory Windows NT aus und klicken Sie dann auf New Server e Klicken Sie zum Aktualisieren einer vorhandenen Serverinstanz auf die entsprechende Verkn pfung in der Liste Authentication Authorization Servers 3 Geben Sie einen Namen ein um die Serverinstanz zu bezeichnen 4 Geben Sie den Namen oder die IP Adresse des prim ren Dom nencontrollers oder von Active Directory an 5 Geben Sie die IP Adresse des Sicherungsdom nencontrollers oder von Active Directory an Optional 6 Geben Sie den Dom nennamen f r die Benutzer ein denen Sie den Zugriff
80. Log Monitorin z gt 2 D signi 2 Specify allowed system and policy functions for this administrator role Administrators System tasks Custom Settings D Authentication Status Deny Clustering Deny b Delegation Users Configuration Deny gt Log Monitoring write gt Authentication ERA Network Deny D New User Resource Policies Maintenance tasks Custom Settings s iig System Deny gt Archiving Deny les gt SAM Troubleshooting Write D Telnet SSH D Network Connect Ei Resource policies Read All D Meetings b emai Web Read Files Read Maintenance SAM Read Telnet SSH Read D System D Import Es pane Network Connect Read 2 Meetings Read D Push Config Email Client Read D Archiving D Troubleshooting Users Authentication Read All administrators have at least read only access to the Overview page Save Changes Abbildung 69 Administrators gt Delegation gt Ausgew hlte Rolle gt System NetScreen Instant Virtual Extranet Plattform 271 Administrationshandbuch Registerkarte User Role Admin Mi Delegieren von Benutzerrollenverwaltung an eine Administratorrolle Auf dieser Registerkarte k nnen Sie die Benutzerrollen angeben die von einer Administratorrolle verwaltet werden k nnen Beachten Sie beim Delegieren von Rollenverwaltungsberechtigungen Folgendes e Wenn Sie dem delegierten Administrat
81. Log Monitoring D Signing In Administrators Save Changes D Authentication gt Delegation Windows network files Users gt Authentication Specify the Windows file browsing privileges for this role b Roles User can browse network file shares Checking this adds the Windows Files page so users can browse to any allowed server Unchecking this means gt New User Resource Policies users can only access bookmarked folders although they can browse any subfolders from there bia User can add bookmarks D Files Users can add personal bookmarks to Windows folders D SAM gt Telnet SSH UNIX network files gt Network Connect D Meetings Specify the UNIX NFS file browsing privileges for this role D Email Client Maintenante User can browse network file shares Checking this adds the UNIX NFS Files page so users can browse to any allowed server Unchecking this means gt System users can only access bookmarked folders although they can browse any subfolders from there gt Import Export gt Push Config D Archiving User can add bookmarks Users can add personal bookmarks to UNIX NFS directories gt Troubleshootin M Allow automount shares Check this to allow access to automount shares specified on a NIS server Abbildung 88 Users gt Roles gt Ausgew hlte Rolle gt Files gt Options 303 304 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Registerkarte SAM gt Application
82. Mail Clients Das IVE unterst tzt die folgenden E Mail Clients e Outlook 2000 und 2002 e Outlook Express 5 5 und 6 x e Netscape Messenger 4 7x und Netscape Mail 6 2 Benutzer die Remotezugriff auf E Mail Nachrichten ben tigen k nnen nor malerweise in zwei Kategorien eingeteilt werden e Laptopbenutzer in der Firma Diese Benutzer verwenden im B ro und unterwegs das gleiche Laptop e Benutzer mit Heimcomputern Diese Benutzer verwenden zu Hause einen anderen Computer als im B ro Bevor Sie Benutzern einen E Mail Client empfehlen sollten Sie die folgen den Abschnitte lesen in denen erl utert wird wie die unterst tzten Clients mit folgenden Komponenten interagieren e Standardbasierte Mailserver wie Lotus Notes Mail Server Seite 86 e Microsoft Exchange Server Seite 87 Hinweis Anleitungen zum Konfigurieren der unterst tzten E Mail Clients finden Sie auf der NetScreen Supportsite unter folgender Adresse http support netscreen com Arbeiten mit einem standardbasierten Mailserver Das IVE funktioniert mit Mailservern die IMAP4 POP3 und SMTP unterst tzen NetScreen Instant Virtual Extranet Plattform Administrationshandbuch IMAP Mailserver e Laptopbenutzer in der Firma Diese Benutzer k nnen jeden der sechs unterst tzen E Mail Clients verwenden Wir empfehlen im B ro und unterwegs den gleichen Client zu verwenden um bergangsloses Arbei ten zu erm glichen Der Client muss dabei so konfiguriert s
83. Minuten an h chstens 10 aufeinanderfolgenden Konferenzen teilnehmen Diese Begrenzungen werden zus tzlich zu den Konferenz und Benutzerbegrenzungen angewendet die in Ihrer Secure Meeting Lizenz festgelegt sind Klicken Sie auf Save Changes Das IVE f gt auf den Startseiten von sicheren Gateways f r Benutzer mit der festgelegten Rolle eine Verkn pfung mit der Bezeichnung Meeting hinzu NetScreen Instant Virtual Extranet Plattform 321 Administrationshandbuch EJN NETSCREEN Central Manager Help Sign Out System Roles gt Status employees hq Configuration Network Clustering Log Monitoring SR a Oe Signing In Administrators gt Authentication gt Delegation Users gt Authentication gt Roles gt New User Resource Policies Web Files SAM Telnet SSH Network Connect Meetings 2 V a oe i AD Email Client Maintenance D System D Import Export gt Push Config D Archiving gt Troubleshooting General Web Files SAM Telnet SSH etwork Connect Meeting Options C Allow user to only join meetings Allow user to create and join meetings Authentication Requirements By default a meeting creator is allowed to invite both IVE users and non IVE users to a meeting and is not required to password protect it You may specify however that meeting creators must password protect their meetings or only invite authenticated IVE users Meeting password optional more accessible
84. Password Use this if the configuration file was password protected Import Config Abbildung 114 Maintenance gt Import Export gt Configuration NetScreen Instant Virtual Extranet Plattform 393 Administrationshandbuch Registerkarte User Accounts Mithilfe dieser Registerkarte k nnen Sie lokale Benutzerkonten importieren oder exportieren In der Benutzerkontendatei sind s mtliche lokalen Benut zer enthalten die Sie fur alle lokalen Authentifizierungsserver definiert haben Weitere Informationen zum Festlegen eines Archivierungsplans f r Benutzerdatens tze finden Sie unter Planen der Archivierung von System daten auf einem externen FTP Server auf Seite 403 i Exportieren lokaler Benutzerkonten Exportieren einer Systemkonfigurationsdatei 1 3 W hlen Sie in der Web console System gt Import Export gt Configuration aus Geben Sie unter Export ein Kennwort ein wenn die Konfigurationsdatei durch ein Kennwort gesch tzt werden soll Klicken Sie zum Speichern der Datei auf Save Config As Mi Importieren lokaler Benutzerkonten So importieren Sie lokale Benutzerkonten 1 W hlen Sie in der Administratorkonsole Web console System gt Import Export gt User Accounts aus Wechseln Sie zu der Konfigurationsdatei die in der Standardeinstellung user cfg hei t Geben Sie das f r die Datei festgelegte Kennwort ein Wenn Sie vor dem Export der Datei kein Kennwort festgelegt haben lassen Sie
85. Registerkarte External Port auf Seite 161 So geben Sie statische Routen an 1 W hlen Sie in der Webkonsole System gt Network gt Static Routes aus 2 Geben Sie die erforderlichen Informationen ein und klicken Sie auf Add EAN NETSCREEN Central Manager Help Sign Out System D Status D Configuration D Clustering gt Log Monitoring D Signing In Administrators gt Authentication D Delegation Users gt Authentication gt Roles gt Mew User Resource Policies Network Settings Internal Port External Port disabled BEIDE Hosts Network Connect Many typical networks will not require changes to these routing tables but if you need to add additional routes you can do so here Network Routing Table Destination Netmask Gateway are Status I L_ IX LI Add 0 0 0 0 0 0 0 0 10 10 0 1 0 Q Default Abbildung 29 System gt Network gt Static Routes 164 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Registerkarte Hosts Mi Angeben von Hostnamen die vom IVE lokal aufgel st werden sollen Auf der Registerkarte Hosts k nnen Sie Hostnamen angeben die vom IVE lokal zu IP Adressen aufgel st werden k nnen Diese Funktion bietet sich in folgenden F llen an e Das IVE kann nicht auf den DNS Server zugreifen e Im LAN wird ber WINS auf Server zugegriffen e Die Sicherheitsrichtlinien Ihres Unternehmens lassen die Auflistung interner Server
86. Rollen zugeordnet werden sollen Dieser Regeltyp ist fur alle Bereiche verf gbar e Benutzerattribut Benutzerattribut ist ein Benutzerattribut das entweder aus einem RADIUS oder einem LDAP Server stammt Wahlen Sie diese Option aus wenn Benutzer anhand eines Attributs vom entsprechenden Server zu Rollen zugeordnet werden sollen Dieser Regeltyp steht nur f r Bereiche zur Verf gung die einen RADIUS Server als Authentifzierungsserver oder einen LDAP Server als Authentifizierungs bzw Verzeichnisserver verwenden 278 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Certificate oder Certificate attribute Certificate oder Certificate attribute ist ein Attribut das vom clientseitigen Zertifikat des Benutzers unterst tzt wird W hlen Sie diese Option aus wenn Benutzer anhand ihrer Zertifikatsattribute zu Rollen zugeordnet werden sollen Die Option Certificate ist f r alle Bereiche verf gbar w hrend die Option Certificate attribute nur f r Bereiche verf gbar ist die einen LDAP Authentifizierungs oder Verzeichnisserver verwenden Group membership Group membership ist eine Angabe zur Gruppe von einem LDAP Server die Sie zur Registerkarte Groups des Serverkatalogs hinzuf gen W hlen Sie diese Option aus wenn Benutzer anhand der LDAP Gruppeninformationen zu Rollen zugeordnet werden sollen Dieser Regeltyp steht nur f r Bereiche zur Verf gung die einen LDAP Server als Authentifizierungs ode
87. Rule D Configuration gt Network Rule based on User attribute Update gt Clustering gt Log Monitoring Rule If user has any of the following attribute values D Signing In Administrators Attribute accountNew gt Attributes gt Authentication lis gt temporary If more than one value for this attribute should match enter one per D Delegation line You can use wildcards Users BZ gt Authentication D Roles then assign these roles D New User Resource Policies Available Roles Selected Roles gt Web Add gt ShortTimeoutEmployees D Files NSSupportRole gt Telnet SSH NSSalesRole D Remove u Users J _Remove ranjitGroup D Network Connect gt Meetings gt Email Client Stop processing rules when this rule matches Abbildung 75 Das im Serverkatalog hinzugefugte Attribut steht fur die Rollenzuordnungsregel zur Verfugung 282 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Server Catalog for ldap ad Attributes Groups Expressions To add a group type a name and click Add Group To edit an existing group select it make your changes and click Save Changes When you are done click OK Name DN Type lt Add Group OK New To search the LDAP server specify a base DN and a filter and click Search Base DN dc middleearth dc danastreet dc net Filter Icn Search Match
88. Save Changes EAN NETSCREEN Central Manager Help Sign Out System Caching Options D Status Access eek Java Rewriting Remote SSO Web Proxy gt Configuration E D Netware Policies Options D Clustering D Log Monitoring Image Caching Limit D Signing In Administrators Clients should cache all images less than fo KB gt Authentikansn This setting overrides the caching policy Set to 0 if you want all caching to be controlled by the caching policy gt Delegation Users Save Changes D Authentication D Roles Save Changes gt New User Resource Policies Abbildung 100 Resource Policies gt Web gt Caching gt Options 336 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Registerkarte Java gt Access Control Auf der Registerkarte Java gt Access Control k nnen Sie eine Webressourcenrichtlinie schreiben die steuert mit welchen Servern und Ports Java Applets eine Verbindung herstellen k nnen VI Schreiben einer Ressourcenrichtlinie f r die Java Zugriffsteuerung So schreiben Sie eine Ressourcenrichtlinie f r die Java Zugriffsteuerung 1 Wahlen Sie in der Webkonsole Resource Policies gt Web gt Java gt Access Control aus Klicken Sie auf der Seite Java Access Policies auf New Policy 3 Geben Sie auf der Seite New Policy Folgendes ein 1 Eine Bezeichnung f r diese Richtlinie 2 Eine Beschreibung der Richtlinie Optional Geben Sie im Bereic
89. Save Changes um den Bereich auf dem IVE zu erstellen Die Registerkarten General Authentication Policy und Role Mapping f r den Authentifizierungsbereich werden angezeigt 6 F hren Sie die n chsten Konfigurationsschritte aus 1 Konfigurieren Sie mindestens eine Rollenzuordnungsregel Seite 277 2 Konfigurieren Sie eine Authentifizierungsrichtlinie f r den Bereich Seite 275 EA NETSCREEN Central Manager System D Status gt Configuration D Network D Clustering gt Log Monitoring D Signing In Administrators gt Authentication gt Delegation Users b Authentication gt Roles gt New User Resource Policies D Web D Files D SAM gt Telnet SSH D Network Connect D Meetings D Email Client Maintenance D System D Import Export gt Push Config Help Sign Out User Authentication Realms gt empHQ General Authentication Policy Role Mapping Name JempHa Description a gi Label to reference this realm I When editing start on the Role Mapping page Servers Specify the servers to use for authentication and authorization To create or manage servers see the Servers page j j Specify the server to use for Authentication server empHa ER Tare Directory Attribute Noe i AH Specify the server to use for server authorization Other Settings Authentication Policy Password restrictions Role Mapping 1 Rule Abbildung 71 Users Administrators gt Au
90. Secure Application Manager e Optionen f r Java SAM User can add applications Automatic host mapping e Einstellungen f r Network Connect Aktivierung Deaktivierung der Zugriffsfunktion Network Connect sowie Gew hren von Zugriff auf das lokale Subnetz e Einstellungen f r Secure Meeting Aktivierung Deaktivierung der Zugriffsfunktion Secure Meeting und Optionen f r Secure Meeting Dies kann Folgendes umfassen Allgemeine Optionen Join and create authentication requirements password distribution remote control e Policy settings for number of scheduled meetings simultaneous meetings simultaneous meeting attendees duration of meetings Konfigurationsanweisungen finden Sie unter Konfigurieren der Seite Roles auf Seite 285 58 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Rollenauswertung Das IVE Rollenzuordnungsmodul legt die Sitzungsrolle eines Benutzers fest oder kombinierte Berechtigungen die g ltig f r eine Benutzersitzung sind Dies geschieht folgenderma en 1 Das IVE beginnt die Rollenauswertung mit der ersten Regel auf der Registerkarte Role Mapping des Authentifizierungsbereichs an dem sich der Benutzer erfolgreich anmeldet Das IVE ermittelt ob der Benutzer die Bedingungen der Regel erf llt Wenn dies der Fall ist f hrt das IVE Folgendes durch 1 Das IVE f gt die entsprechenden Rollen einer Liste von zul ssigen Rollen hinzu zu denen der Benutze
91. Series FIPS auf Seite 463 392 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch EA NETSCREEN Central Manager Help Sign Out pe Import Export D Status D Configuration sale User Accounts Roles and Policies D Network gt Clustering D Log Monitoring Export D Signing In To export system settings to a configuration file click Save Config As You can optionally Administrar password protect this file gt Authentication b Delegation Password for configuration file Users D Authentication Save Config As gt Roles D New User er Import Resource Policies To import system settings from a configuration file select the configuration file and which settings Web to bring in and click Import Config pias Options Import Server Certificate SAM Note Checking this will overwrite the existing server certificate Network Connect D D D gt Telnet SSH Other Import Options Import everything except certificate D Meetings 3 Email Client C Import everything but the IP address Leaves the network identity of this IVE unchanged Maintenance Import everything except network settings Leaves everything in Network Settings section unchanged D System s b Import Export C Import only Server Certificate Imports the Server Certificate only gt Push Config Note You must check the Import Server Certificate checkbox above D Archiving gt Troubleshooting 5 Config File Browse
92. Sie ein neues Konto erstellen 3 Nur auf der Seite Users gt New User W hlen Sie aus der Liste Authenticate Using die IVE Datenbank aus der Sie ein Benutzerkonto hinzuf gen m chten 4 Klicken Sie auf Save Changes Der Benutzerdatensatz wird der IVE Datenbank hinzugef gt NetScreen Instant Virtual Extranet Plattform 237 Administrationshandbuch EAI NETSCREEN Central Manager Help Sign Out System D Status D Configuration D Network D Clustering D Log Monitoring b Signing In Administrators gt Authentication D Delegation Users gt Authentication D Roles Servers gt partners gt New Local User Username Fullname Authenticate using partners Password Confirm Password Save Changes Abbildung 60 Users gt Signing In gt Servers gt Local IVE Authentication gt Users gt New User lV Verwalten von Benutzerkonten Die Konfigurationsseite f r lokale IVE Authentifizierungsserver enth lt eine Registerkarte Users auf der Sie aktive IVE Benutzerkonten anzeigen bearbeiten und l schen k nnen So verwalten Sie ein lokales Benutzerkonto 1 2 W hlen Sie in der Web console System gt Signing In gt Servers aus Klicken Sie in der Liste Authentication Authorization Servers auf die entsprechende Verkn pfung Klicken Sie auf die Registerkarte Users F hren Sie eine der folgenden Aufgaben durch Geben Sie im Feld Show Users Named einen
93. Sie m ssen das System auf die Werkseinstellungen zur cksetzen So starten Sie die Serververbindung neu fahren sie herunter oder testen sie 1 W hlen Sie in der Web console Maintenance gt System gt Platform aus Klicken Sie auf Reboot Now um das IVE neu zu starten Klicken Sie auf Shutdown um das IVE herunterzufahren Der Server wird heruntergefahren und Sie m ssen den Reset Schalter an der Appliance dr cken um den Server neu zu starten Beachten Sie dass das Ger t nach dem Herunterfahren des Servers eingeschaltet bleibt 384 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch 4 Klicken Sie auf Test Server Connectivity um einen ICMP Ping Befehl vom IVE an alle Server zu senden die das IVE verwendet und ihre Verbindung zu testen Der Status der einzelnen Server wird unter Server Connectivity Results aufgef hrt SEAT 722777777 Central Manager Help Sign Out System System Maintenance D Status D Configuration Platform Upgrade Downgrade Options gt Network gt Clustering gt Log Monitoring Hostname ive 2 gt Signing In NetScreen 5A 5000 Advanced 4 Unit Multi Site Cluster 1000 Model Simultaneous Users Administrators System 4 0 codefreeze 0203 1 build 5490 gt Authentication Version D Delagatigy Last Reboot 1 day 2 hours 15 minutes 1 second Users vn O Reboot d Shut down Test Server Connectivity Roles Zr zw D New User Abbildu
94. Sie unter Generieren einer ACE Agent Konfigurationsdatei auf Seite 219 VI Definieren einer ACE Serverinstanz Hinweis Sie k nnen nur eine ACE Serverinstanz hinzuf gen NetScreen Instant Virtual Extranet Plattform 217 Administrationshandbuch So definieren Sie einen ACE Server 1 Erzeugen Sie eine ACE Agent Konfigurationsdatei sdconf rec f r das IVE auf dem ACE Server Seite 219 2 W hlen Sie in der Web console System gt Signing In gt Servers aus F hren Sie einen der folgenden Vorg nge aus e Um eine neue Serverinstanz auf dem IVE zu erstellen w hlen Sie aus der Liste New den Eintrag ACE Server aus und klicken Sie dann auf New Server e Klicken Sie zum Aktualisieren einer vorhandenen Serverinstanz auf die entsprechende Verkn pfung in der Liste Authentication Authorization Servers Geben Sie einen Namen ein um die Serverinstanz zu bezeichnen Hinweis Wenn die Endbenutzer SecurlD Softwaretokens an ACE Server bergeben k nnen Sie die Verwendung von Leerzeichen oder anderen nicht alphanumerischen Zeichen im Namen der Serverinstanz vermeiden Um SecurlD Softwaretokenwerte transparent an ACE Server zu bergeben m ssen Benutzer anhand des folgenden URLs zur Seite RSA SecurlD Authentication wechseln https IVE login Serverlnstanz wobei IVE die IP Adresse oder den Hostnamen der IVE appliance und Serverlnstanz den oben festgelegten Namen darstellt Wenn der Name der Serverinstanz
95. Sniffing um das Sniffing zu beenden und eine verschl sselte Datei zu erstellen 6 Klicken Sie auf Download um die Datei auf einen Netzwerkcomputer herunterzuladen 7 Senden Sie die Datei zur berpr fung per E Mail an die folgende Adresse help support netscreen com EAN NETSCREEN Central Manager Help Sign Out air Troubleshooting D Status D Gonfigunii ng Policy Session System d Remote D Network Tracing Recording Snapshot un Debugging D Clustering D Log Monitoring x gt signing This allows you to sniff the packet headers on the network and save them in a dump file Administrators TCP Dump Status Running gt Authentication D Delegation icone Stop Sniffing gt Authentication un Abbildung 124 Maintenance gt Troubleshooting gt TCP Dump Erstellung einer Dumpdatei NetScreen Instant Virtual Extranet Plattform 417 Administrationshandbuch EN NETSCREEN Central Manager Help Sign Out System Troubleshooting D Status D Configuration Policy Session System d Remote D Network Tracing Recording Snapshot Bann Debugging D Clustering D Log Monitoring 7 gt sine This allows you to sniff the packet headers on the network and save them in a dump file Administrators TCP Dump Status Stopped gt Authentication gt Delegation Interface Internal Port External Port Users Promiscuous mode On Off gt Authentication gt Roles gt New User Start Sniffin
96. Standardwerte f r alle neuen delegierten Administratorrollen dar NetScreen Instant Virtual Extranet Plattform 267 Administrationshandbuch EN NETSCREEN Central Manager Help Sign Out System Status Configuration Network Clustering Log Monitoring EIER a Signing In Administrators D Authentication Users gt Authentication gt Roles Delegated Admin Roles New Role Duplicate Delete Default Options Role Name MT Administrators This is the main administrator policy allowing admins to manage all aspects of the IVE T Read Only Administrators This role allows admins to view all aspects of the IVE while being able to change nothing Help Desk Administrators Admins responsible for fielding tier 1 support calls Abbildung 67 Administrators gt Delegation EAT NerScreen Central Manager Help Sign Out System Status Configuration Network Clustering Log Monitoring Tale RAN ee fee Signing In Administrators gt Authentication Users D Authentication 5 Delegated Admin Roles gt New Delegated Admin Role Name Help Desk Administrators Description Admins responsible for fielding tier 1 support calls gi Save Changes Abbildung 68 Administrators gt Delegation gt New Role 268 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Registerkarte General Mi Konfigurieren allgemeiner Eins
97. UC Davis MIB Datei in Ihre SNMP Managementanwendung Sie erhalten die MIB Datei im Internet unter folgender Adresse http net snmp sourceforge net UCD SNMP MIB txt So geben Sie SNMP Einstellungen an 1 2 Wahlen Sie in der Webkonsole System gt Log Monitoring gt SNMP aus Klicken Sie auf die Verkn pfung NetScreenMIB file um auf die MIB Datei zuzugreifen und speichern Sie die Datei dann im Browser an einem Netzwerkspeicherort Eine Beschreibung der Get und Trap Objekte in der MIB Datei finden Sie in den folgenden Tabellen Geben Sie unter Agent Properties Informationen in die folgenden Felder ein und klicken Sie anschlie end auf Save Changes Geben Sie in die Felder System Name System Location und System Contact Informationen ein die den IVE Agent beschreiben optional Geben Sie im Feld Community eine Zeichenfolge ein erforderlich Hinweis Zum Abfragen des IVEs muss Ihre Netzwerkverwaltungsstation diese Zeichenfolge an das IVE senden Um den SNMP Daemon zu beenden l schen Sie die Angaben im Feld Community Legen Sie unter Traps die Server fest an die das IVE Traps senden soll die es bei Eingabe von Daten in die folgenden Felder generiert und klicken Sie anschlie end auf Add Der Hostname oder die IP Adresse des Servers Der Port an dem der Server Daten abfragt blicherweise Port 162 Die von der Netzwerkverwaltungsstation ben tigte Community Zeichenfolge sofern vorhanden Klicken Sie auf S
98. User i ae 7 Fa i S Resource Policies m admin Default Sign In Page ALL v D Web D Files D SAM D Telnet SSH D Network Connect 3 D User URLs Sign In Page Authentication Realm s Enabled Meetings gt Email Client Be Default Sign In Page ALL V Maintenance D System D Import Export gt Push Config D Archiving gt Troubleshooting Abbildung 51 System gt Signing In gt Sign in Policies Anderung der Reihenfolge lV Aktivieren und Deaktivieren von Anmelderichtlinien So aktivieren und deaktivieren Sie Anmelderichtlinien 1 W hlen Sie in der Webkonsole System gt Signing In gt Sign in Policies aus 2 So gehen Sie f r die Aktivierung oder Deaktivierung vor e Einzelne Richtlinie Aktivieren Sie das Kontrollk stchen neben der Richtlinie die Sie ndern m chten und klicken Sie dann auf Enable oder Disable e Alle Benutzerrichtlinien Aktivieren oder deaktivieren Sie das Kontrollk stchen Restrict access to administrators only NetScreen Instant Virtual Extranet Plattform 209 Administrationshandbuch Registerkarte Sign in Page Eine Anmeldeseite legt die benutzerdefinierten Eigenschaften der Willkommensseite des Benutzers fest wie etwa Begr ungstext Hilfetext Logo Kopf und Fu bereich Das IVE erm glicht es Ihnen Benutzern und Administratoren zwei Arten von Anmeldeseiten anzuzeigen Standardanmeldeseiten Die Standardanmeldeseiten sind NetScreen vorgegeben und sind in allen V
99. Verbindung mit den Servern und ggf Ports in der Liste Resources herstellen Use Detailed Rules Hiermit geben Sie eine oder mehrere detaillierte Regeln f r diese Richtlinie an Weitere Informationen finden Sie unter Schreiben einer detaillierten Regel auf Seite 52 Klicken Sie auf Save Changes 8 Ordnen Sie die Richtlinien auf der Seite Java Signing Policies in der Reihenfolge an in der sie vom IVE ausgewertet werden sollen Hinweis Wenn das IVE die Ressource die von einem Benutzer angefordert wurde zu einer Ressource in der Liste Resource f r eine Richtlinie oder ausf hrliche Regel zuordnet f hrt es die angegebene Aktion aus und beendet die Richtlinienverarbeitung Ein Beispiel f r eine Webressourcenrichtlinie finden Sie in den Abbildungen unter Schreiben einer Webressourcenrichtlinie auf Seite 325 NetScreen Instant Virtual Extranet Plattform 339 Administrationshandbuch Registerkarte Rewriting gt Selective Rewriting Auf der Registerkarte Rewriting gt Selective Rewriting k nnen Sie eine Webressourcenrichtlinie schreiben die es Ihnen erm glicht eine Liste von Hosts festzulegen f r die das IVE Inhalt und Ausnahmen von der Liste vermittelt Standardm ig vermittelt das IVE alle Benutzeranforderungen f r Webhosts sofern Sie nicht die Anforderungsverarbeitung f r bestimmte Hosts anhand eines anderen Verfahrens konfiguriert haben z B Secure Application Manager Erstellen Sie eine Richt
100. Verkn pfung Details um Informationen zur Konferenz anzuzeigen und dieser ggf beizutreten optional 4 Klicken Sie auf das L schsymbol in der rechten Spalte um eine Konfe renz abzusagen optional Wichtig Durch das Absagen wird eine Konferenz endg ltig aus dem IVE gel scht Sie k nnen eine Konferenz nach dem Absagen nicht wiederherstellen NetScreen Instant Virtual Extranet Plattform 135 Administrationshandbuch EA NETSCREEN Central Manager Help Sign Out System Meeting Schedule Status p D Configuration Overview Active Users Meeting Schedule Schedule D Network D Clustering View This week s meetings Update D D Log Monitoring Signing In Administrators Time and Status Meeting Details Meeting Role Attendee Roles gt Authentication role count limit b Delegation R 10 00 AM 11 00 AM Widget Demo x Users 1 hours Scheduled Details Password Required Meeting ID 66491867 D Authentic 1 00 PM 2 30 PM Team Meeting x 1 hours 30 minutes Details Password Required Meeting ID 07097414 D Roles Scheduled D New Usar 3 00 PM 3 30 PM Shareholders Meeting x Resource Policies 30 minutes Scheduled Details Password Required Meeting ID 44153073 gt Web D Files D SAM gt Telnet SSH gt Network Connect D Meetings D Email Client Maintenance b System D Import Export gt Push Config gt Archiving gt Troubleshooting Licensed to YourCompany
101. Web Access Policies gt Intranet Policy E Detailed Rule Configuration Network Clustering Action Log Monitoring Signing In C Allow access Z IT a FIR Administrators Deny access gt Authentication gt Delegation Resources Users Specify the resources for which this rule applies one per line D Authentication Resources Examples gt Roles f exec http if domain com pu blic gt New User https www domain com 443 10 10 10 10 255 255 255 0 80 443 public Resource Policies x 10 10 10 10 24 8000 9000 b Web D i PaaS Conditions N D SAM gt Telnet SSH Specify the conditions if any under which this rule applies gt Network Connect ee D Meetings Conditions yserattr dept exec 2 D Email Client Maintenance ha Abbildung 97 Resource Policies gt Web gt Access gt New Policy gt Detailed Rule Diese Abbildung zeigt wie einer Richtlinie eine detaillierte Regel hinzugef gt wird Weitere Informationen finden Sie unter Schreiben einer detaillierten Regel auf Seite 52 EAT NETSCREEN Central Manager Help Sign Out System Web Access Policies gt gt staan Intranet Policy gt Configuration D Network General Detailed Rules Rules gt Clustering gt Log Monitoring D Signing New Rule Duplicate Delete t Save Changes Administ action Resource Conditions b Aue M 1 Deny 80 443 exec user ttr dept exec gt Delegation Users
102. Web Agent auf einem SiteMinder Richtlinienserver auf Seite 252 2 W hlen Sie in der Webkonsole System gt Signing In gt Servers aus F hren Sie einen der folgenden Vorg nge aus e Um eine neue Serverinstanz auf dem IVE zu erstellen w hlen Sie aus der Liste New den Eintrag SiteMinder Server aus und klicken Sie dann auf New Server e Klicken Sie zum Aktualisieren einer vorhandenen Serverinstanz auf die entsprechende Verkn pfung in der Liste Authentication Authorization Servers 4 Geben Sie im Feld Name einen Namen ein der die Serverinstanz bezeichnet 5 Geben Sie im Feld Policy Server den Namen oder die IP Adresse des SiteMinder Richtlinienservers ein den Sie zur Benutzerauthentifizierung verwenden m chten 6 Geben Sie im Feld Backup Server s eine durch Kommas getrennte Liste von Richtlinienservern ein optional W hlen Sie dann einen Failover Mode aus e Wahlen Sie Yes aus damit die IVE appliance den Hauptrichtlinienserver verwendet sofern dieser betriebsbereit ist e Wahlen Sie No aus damit die IVE appliance einen Lastenausgleich zwischen allen Richtlinienservern vornimmt 7 Legen Sie das freigegebene Secret und den Agent Name fest wie unter Konfigurieren des IVE als Web Agent auf einem SiteMinder Richtlinienserver auf Seite 252 dargestellt 8 Legen Sie im Feld On logout redirect to einen URL fest auf den Benutzer umgeleitet werden wenn sie sich vom IVE abmelden optional Wenn Sie dies
103. Webanforderungen e Administrator Access log Diese Protokolldatei enth lt Administra torinformationen einschlie lich nderungen des Administrators an den Benutzer System und Netzwerkeinstellungen beispielsweise nde rungen an der Sitzungsh chstdauer an der Option zum Aktivieren bzw Deaktivieren der URL Navigation und an von Benutzern erstellten Lese zeichen sowie Ger te und Serverinformationen Au erdem wird bei jeder Anmeldung Abmeldung oder nderung von Lizenzen auf dem IVE durch einen Administrator ein Protokolleintrag erstellt Auf den Seiten System gt Log Monitoring k nnen Sie angeben welche Ereignisse protokolliert werden die maximale Dateigr e f r das System protokoll festlegen und einstellen ob Ereignisse zus tzlich zur lokalen Pro tokollierung auch auf dem Syslog Server protokolliert werden sollen Auf den Seiten System gt Log Monitoring k nnen Sie die angegebene Anzahl von Ereignissen anzeigen die Protokolldatei im Netzwerk speichern und den Inhalt der Protokolle l schen Wenn eins der Protokolle die konfigurierte maximale Dateigr e standard m ig 200 MB erreicht werden die aktuellen Daten in eine Sicherungspro tokolldatei verschoben Dann wird eine neue leere Datei f r alle folgenden neuen Protokollmeldungen erstellt Mithilfe des Protokollbetrachters kann der Administrator die letzten 5000 Protokollmeldungen Anzeigebeschr n kung des Betrachters anzeigen Wenn die aktuelle Protoko
104. Windows File Access Policies in der Reihenfolge an in der sie vom IVE ausgewertet werden sollen Hin weis Wenn das IVE die Ressource die von einem Benutzer angefordert wurde zu einer Ressource in der Liste Resource f r eine Richtlinie oder ausf hrliche Regel zuordnet f hrt es die angegebene Aktion aus und beendet die Richtlinienverarbeitung 354 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch EJN NETSCREEN System Status Configuration Network Clustering Log Monitoring PR IT RM 719 Signing In Administrators gt Authentication gt Delegation Users gt Authentication D Roles gt New User Resource Policies Web Files SAM Telnet SSH Network Connect Meetings 2 F Vas I RR Email Client Maintenance D System D Import Export gt Push Config D Archiving gt Troubleshooting Central Manager Help Sign Out Windows File Access Policies gt New Policy Name Required Label to reference this policy Description a N I Resources Specify the resources for which this policy applies one per line Resources a Examplasi WCORP SALES Intranet Employees Forms doc 10 10 10 10 2 SONNE xi 10 10 10 10 24 share lt USER gt Roles Policy applies to ALL roles Policy applies to SELECTED roles Policy applies to all roles OTHER THAN those selected below Avallable roles Selected roles Users Add gt
105. aus 2 Klicken Sie auf Save Configuration oder Save User Accounts Das IVE f gt der Liste einen neuen Snapshot hinzu und benennt ihn mit dem aktuellen Datum und der aktuellen Uhrzeit VI wiederherstellen des System oder Benutzerkontenstatus aus einem Snapshot System und Benutzersnapshots k nnen verwendet werden um ein einzelnes IVE oder ein IVE Cluster zu aktualisieren Wenn Sie ein IVE wiederherstellen m chten das Teil eines Clusters ist bertr gt das IVE die Konfiguration automatisch auf alle anderen Clustermitglieder Das Cluster bleibt solange deaktiviert bis die Einstellungen aller Clustermitglieder mithilfe der Snapshotkonfiguration aktualisiert wurden Starten Sie das Cluster dann neu und aktivieren Sie es NetScreen Instant Virtual Extranet Plattform 407 Administrationshandbuch So berschreiben Sie die Konfiguration mit Einstellungen aus einer Sicherungsdatei 1 W hlen Sie in der Web console Maintenance gt Archiving gt Local Backups aus 2 Aktivieren Sie das Kontrollk stchen neben der Sicherungsdatei f r die Systemkonfiguration das Benutzerkonto die zum Wiederherstellen des Systems verwendet werden soll 3 Wenn Sie eine Systemkonfiguration wiederherstellen m ssen Sie angeben ob dabei auch das Zertifikat die IP Adresse und die Netzwerkeinstellungen aus der Konfigurationsdatei bernommen werden sollen Beachten Sie bei der Aktualisierung Folgendes e Access Series FIPS System Wenn Sie ein Z
106. ausw hlen m ssen Sie mindestens eine IP Adresse angeben da sonst keine Quell IP Einschr nkung angewendet werden kann Klicken Sie zum Speichern der Einstellungen auf Save Changes Browsereinschr nkungen Mit einer Browsereinschr nkung kann gesteuert werden von welchen Web browsern aus Benutzer auf eine IVE Anmeldeseite oder eine Ressource zugreifen oder einer Rolle zugeordnet werden k nnen Wenn ein Benutzer versucht sich im IVE ber einen nicht unterst tzten Browser anzumelden schl gt der Anmeldeversuch fehl und es wird in einer Meldung angezeigt dass ein nicht unterst tzter Browser verwendet wird Mit dieser Funktion k nnen Sie auch sicherstellen dass sich Benutzer im IVE ber Browser anmelden die mit Firmenanwendungen kompatibel oder von Firmensicher heitsrichtlinien zugelassen sind Hinweis Das Feature zur Browsereinschr nkung dient nicht als strikte Zugriffs steuerung da die Benutzer Agent Zeichenfolgen des Browsers von einem techni schen Benutzer ge ndert werden k nnen Es dient als beratende Zugriffssteuerung f r normale Nutzungsszenarien Mi Angeben von Browsereinschr nkungen So geben Sie Browsereinschr nkungen auf den unterschiedlichen Ebenen an e Bereichsebene Navigieren Sie zu e Administrators gt Authentication gt Ausgew hlter Bereich gt Authentication Policy gt Browser e Users gt Authentication gt Ausgew hlter Bereich gt Authentication Policy gt Browser 430 N
107. ber den folgenden URL beim IVE anmelden mitarbeiter eigenefirma com Bei der Anmeldung wird die Anmeldeseite Mitarbeiter ge ffnet e Mitglieder des Bereichs Admin Users k nnen sich ber den folgenden URL beim IVE anmelden zugriff eigenefirma com super Bei der Anmeldung wird die Anmeldeseite Administratoren ge ffnet 204 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Beim Festlegen von Anmelderichtlinien k nnen Sie verschiedene Hostnamen verwenden z B partner eigenefirma com und mitarbeiter eigenefirma com oder verschiedene Pfade z B eigenefirma com partner und eigenefirma com mitarbeiter um zwischen den URLs zu unterscheiden Wichtig Wenn Sie die URLs anhand von Hostnamen unterscheiden m ssen Sie ber die Seite System gt Configuration gt Certificates gt Server Certificates ein Platzhalterzertifikat auf das IVE hochladen V Erstellen und Konfigurieren von Anmelderichtlinien 1 W hlen Sie in der Webkonsole System gt Signing In gt Sign in Policies aus F hren Sie einen der folgenden Vorg nge aus e Klicken Sie auf New um eine neue Richtlinie zu erstellen e Klicken Sie auf einen URL in der Spalte Administrator URLs oder User URLs um eine vorhandene Richtlinie zu bearbeiten W hlen Sie Users oder Administrators aus um anzugeben welcher Typ von Benutzer sich mithilfe dieser Richtlinie beim IVE anmelden kann Geben Sie im Feld Sign in URL den URL ein
108. den NetScreen IVE Server ist standardm ig 128 Bit Verschl sse lung erforderlich Sie k nnen au erdem angeben dass f r das IVE 168 Bit Verschl sselung erforderlich ist In lteren Browsern die vor der An derung des US Exportgesetzes im Jahr 2000 entwickelt wurden das bis dahin f r den internationalen Export eine Verschl sselungsst rke von 40 Bit vorschrieb wird u U noch die 40 Bit Verschlusselung verwendet Sie k nnen entweder den Benutzern mitteilen dass diese eine Aktualisie rung auf einen Browser mit 128 Bit Verschl sselung vornehmen sollen oder die erforderliche Verschl sselungsst rke ndern sodass auch die 40 Bit Verschlusselung zul ssig ist e Navigation zu SSL Sites Der NetScreen IVE Server gestattet die Navigation zu internen SSL Sites denen https vorangestellt ist und akzeptiert als Standard samtliche tempor ren oder anderen Zertifikate Falls Sie Bedenken wegen Benut zern haben die ber das IVE zu Sites ohne Zertifikate von einer g ltigen externen Zertifizierungsstelle navigieren deaktivieren Sie diese Funktion e Vermittlung der Standardauthentifizierung Der NetScreen Instant Virtual Extranet Server kann die Anmeldeinforma tionen von Benutzern vermitteln um zu verhindern dass ein Benutzer ber die zwischengespeicherten Anmeldeinformationen eines anderen Benutzers auf Ressourcen zugreifen kann Dar ber hinaus kann das IVE die Anmeldeinformationen von Benutzern wiederverwenden und erm g
109. der Reihenfolge an in der sie vom IVE ausgewertet werden sollen Hinweis Wenn das IVE die Ressource die von einem Benutzer angefordert wurde zu einer Ressource in der Liste Resource f r eine Richtlinie oder ausf hrliche Regel zuordnet f hrt es die angegebene Aktion aus und beendet die Richtlinienverarbeitung Ein Beispiel f r eine Webressourcenrichtlinie finden Sie in den Abbildungen unter Schreiben einer Webressourcenrichtlinie auf Seite 325 Registerkarte Java gt Code Signing Auf der Registerkarte Java gt Code Signing k nnen Sie eine Webressourcenrichtlinie schreiben die angibt wie das IVE Java Applets neu schreibt Wenn das IVE ein signiertes Java Applet vermittelt signiert es das Applet standardmabig mit einem eigenen Zertifikat neu das nicht mit einem Standardstammzertifikat verkettet ist Wenn ein Benutzer ein Applet anfordert das Aufgaben mit einem hohen Risikopotential durchf hrt z B Zugreifen auf Netzwerkserver wird im Browser des Benutzers in einer Sicherheitswarnung angezeigt dass der Stamm nicht vertrauensw rdig ist Um die Anzeige dieser Warnung zu vermeiden k nnen Sie ein Codesignaturzertifikat importieren mit dem das IVE zu vermittelnde Applets neu signiert Weitere Informationen zu Codesignaturzertifikaten finden Sie unter Appletzertifikate auf Seite 71 VI schreiben einer Ressourcenrichtlinie f r die Java Codesignatur So schreiben Sie eine Ressourcenrichtlinie f r die Java Co
110. die Anmelderichtlinien ausgewertet werden 206 Aktivieren und Deaktivieren von Anmelderichtlinien 440 een 208 ndern der Standardanmeldeseite cccccccccccssecesscessesesseceseseeseeseeeeenseesseeesenes 209 Hochladen einer benutzerdefinierten Anmeldeseite 24400000enee nennen 212 Definieren einer Authentifizierungsserverinstanz cccceseeeeeeeeeeeeeeeeaeeeeeeeeaeeees 213 Registerkarte Sign in Policies Anmelderichtlinien legen die URLs fest die Benutzer und Administratoren f r den Zugriff auf das IVE verwenden k nnen Bei der Konfiguration einer Anmelderichtlinie m ssen Sie diese mindestens einem Bereich zuordnen Es k nnen sich dann nur Mitglieder des der angegebenen Authentifizierungsbereiche s ber den URL anmelden der in der Richtlinie festgelegt ist Sie k nnen in der Anmelderichtlinie auch unterschiedliche Anmeldeseiten festlegen und sie unterschiedlichen URLs zuordnen So k nnen Sie z B Anmelderichtlinien erstellen die Folgendes angeben e Mitglieder des Bereichs Partner k nnen sich ber folgende URLs beim IVE anmelden partnerl eigenefirma com und partner2 eigenefirma com F r Benutzer die sich ber den ersten URL anmelden ffnet sich die Anmeldeseite partner1 f r Benutzer die sich ber den zweiten URL anmelden ffnet sich die Anmeldeseite partner2 e Mitglieder der Bereiche Lokal und Remote k nnen sich
111. die Sie der Richtlinie zuordnen m chten e Um anzugeben dass alle Administrator URLs innerhalb des festgelegten Bereichs bzw der festgelegten Bereiche die Anmeldeseite verwenden m ssen geben Sie admin ein e Um anzugeben dass alle Endbenutzer URLs innerhalb des festgelegten Bereichs bzw der festgelegten Bereiche die Anmeldeseite verwenden m ssen geben Sie ein Hinweis Im Hostnamenabschnitt des URL k nnen Sie nur Platzhalterzeichen verwenden Das IVE erkennt keine Platzhalter im URL Pfad Geben Sie unter Description eine Beschreibung f r die Richtlinie ein optional W hlen Sie unter Sign in page eine Anmeldeseite aus Sie k nnen die Standardseite f r das IVE ausw hlen eine Variation der Standardanmeldeseite oder eine benutzerdefinierte Seite die Sie mithilfe der Funktion Customizable UT erstellen Weitere Informationen finden Sie unter Registerkarte Sign in Page auf Seite 209 Legen Sie unter Authentication realm fest welche Bereiche der Richtlinie zugeordnet sein sollen und wie Benutzer und Administratoren unter den Bereichen ausw hlen sollen Wenn Sie Folgendes ausw hlen NetScreen Instant Virtual Extranet Plattform 205 Administrationshandbuch e User types the realm name Die Anmelderichtlinie wird allen Authentifizierungsbereichen zugeordnet das IVE stellt jedoch keine Bereichsliste bereit aus der ein Benutzer oder Administrator ausw hlen kann Stattdessen muss der Benutzer ode
112. die TAB Taste dr cken m ssen um die Clusteroptionen anzuzeigen Dr cken Sie die TAB Taste wenn Ihnen diese Meldung angezeigt wird Hinweis Sie m ssen die TAB Taste innerhalb von 5 Sekunden dr cken Wenn das Ger t bereits im eigenst ndigen Modus bootet warten Sie bis der Bootvorgang beendet ist und starten Sie das Ger t dann neu 6 Geben Sie die Nummer f r den Beitritt zu dem bestehenden Cluster ein 7 Geben Sie die angeforderten Initialisierungsinformationen ein Hinweis Nachdem Sie die Mitglieder eines Access Series FIPS Clusters mit derselben Security World initialisiert haben k nnen Sie den Cluster ber die Webkonsole deaktivieren und wieder aktivieren Sie m ssen nicht mehr die serielle Konsole verwenden wenn die Clustermitglieder alle Mitglieder derselben Security World sind 178 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch EN NETSCREEN Central Manager Help Sign Out System Join Existing Cluster D Status D Configuration Create D Network ag Cluster N me NorthAmerica Name of the cluster to join gt Log Monitoring A Cluster Password D Signing In Administrators Existing Member Address 10 10 9 1 Internal IP address of any existing cluster member gt Authentication gt Delegation Join Cluster Users Abbildung 36 System gt Clustering gt Join Beitreten zu einem Cluster EA NETSCREEN Central Manager Help Sign Out ays Clustering b S
113. die URLs die Benutzer und Administratoren f r die Anmeldung am IVE verwenden k nnen Sie k nnen z B An melderichtlinien verwenden um einen Anmelde URL f r die Abteilung Vertrieb und einen anderen f r die Abteilung Versand zu erstellen Bei der Konfiguration einer Anmelderichtlinie m ssen Sie diese mindestens einem Bereich zuordnen Es k nnen sich dann nur Mitglieder des ange gebenen Bereichs bzw der angegebenen Bereiche anhand des URLs der in der Richtlinie angegeben wurde am IVE anmelden Auf dem IVE ist bereits eine Anmelderichtlinie vorkonfiguriert die den Benutzern des Bereichs Admin Users erlaubt sich anhand des URL admin anzumelden sowie eine weitere die den Benutzern des Bereichs Users gestattet sich anhand des URL anzumelden NetScreen Instant Virtual Extranet Plattform 7 Administrationshandbuch Access Series bersicht Die NetScreen Access Series Produktfamilie bietet ein hohes Ma an Ska lierbarkeit f r Unternehmen hohe Verf gbarkeit sowie Sicherheitsfunktio nen um den sicheren Zugriff auf Netzwerkressourcen zu erweitern Das Access Series Instant Virtual Extranet IVE kann innerhalb weniger Stun den konfiguriert werden um Benutzern sicheren Zugriff auf die folgenden Elemente zu erm glichen e Interne Unternehmenswebsites und webbasierte Anwendungen darun ter clientseitige Java Applets unter Verwendung von Desktopcompu tern Laptopcomputern und drahtl
114. dieses Feld leer Klicken Sie auf Import Config 394 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch EAN NETSCREEN Central Manager Help Sign Out AE Import Export D Status D Configuration Configuration User Accounts Roles and Policies D Network D Clustering D Log Monitan Export user settings to a configuration file You can optionally password protect this file D Signing In Password for configuration file Administrators gt Authentication Save Config As D Delegation Users Import user settings by selecting the configuration file and clicking Import Config gt Authentication D Roles Browse gt Mew User Peer Password Use this if the configuration file was password protected Resource Policies ASE en Sess Ze D Web Import Config D Files gt SAM Abbildung 115 Maintenance gt Import Export gt User Accounts Registerkarte Roles and Policies Die Seite Maintenance gt Import Export gt Roles and Resources ermoglicht das Exportieren ausgewahlter delegierter Administrationsrollen Benutzerrollen und Ressourcenrichtlinien auf ein IVE und das anschlieBende Reimportieren auf ein anderes IVE Zum Kopieren von Rollen und Ressourcenrichtlinien aus einem IVE auf ein anderes k nnen Sie auch die Konfigurationsubertragung Seite 399 verwenden Wichtig Es wird nicht empfohlen eine XML Datei vor dem Importieren auf ein IVE zu ver ndern Dies kann K
115. e Ressourcen Eine Ressourcenrichtlinie muss mindestens eine Ressource angeben auf die sich die Richtlinie bezieht Beim Schreiben einer SAM Richtlinie m ssen Sie Anwendungsserver angeben mit denen Benutzer eine Verbindung herstellen k nnen e Rollen Eine Ressourcenrichtlinie muss die Rollen angeben auf die sie sich bezieht Wenn ein Benutzer eine Anforderung durchf hrt ermittelt das IVE zun chst die f r die Rolle g ltigen Richtlinien und wertet dann die Richtlinien aus die auf die Anforderung zutreffen SAM Ressourcenrichtlinien gelten f r alle Benutzeranforderungen die anhand der Versionen J SAM oder W SAM vorgenommen wurden e Aktionen Eine Ressourcenrichtlinie f r Secure Application Manager erlaubt oder verweigert den Zugriff auf einen Anwendungsserver 362 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch EAT NerScreen Central Manager Help Sign Out System Status Configuration Network Clustering Log Monitoring Lv SS tN SO OS Signing In Administrators gt Authentication D Delegation Users gt Authentication gt Roles gt New User Resource Policies D Web D Files SAM D Telnet SSH D Network Connect D Meetings D Email Client Maintenance D System gt Import Export D Push Config D Archiving gt Troubleshooting Secure Access Manager Policies gt New Policy Name Required Label to reference this policy Descr
116. eine Zertifizierungsstelle gesendet haben Weitere Informationen finden Sie unter Serverzertifikate auf Seite 69 Dieser Abschnitt umfasst folgende Aufgaben Importieren eines vorhandenen Serverzertifikats und eines privaten Schlussels 147 Importieren eines erneuerten Serverzertifikats das den vorhandenen privaten Schl ssel verwendet 2 22000200200000000000nnnnnnnnnnnnnnnnnnnnen nennen nnnnnennnnnnennnn 150 Erstellen einer Zertifikatssignaturanforderung fur ein neues Serverzertifikat 151 Importieren eines signierten Serverzertifikats das anhand einer Zertifikatssignaturanforderung erstellt wurde ccccceeeeceeeeeeeeeseeeeeeeeaeeeeeeeeaees 152 Mi Importieren eines vorhandenen Serverzertifikats und eines privaten Schl ssels Sie k nnen Webserverzertifikate von Servern wie Apache IIS Sun ONE fr her iPlanet oder Netscape erstellen und das Zertifikat dann in das IVE importieren Zum Exportieren eines digitalen Serverzertifikats und eines Schl ssels folgen Sie den Anweisungen zum Exportieren von Zertifikaten f r Ihren Webserver Wichtig Beachten Sie beim Importieren eines Zertifikats dass es verschl sselt sein muss und dass Sie das Kennwort mit dem Zertifikat exportieren m ssen Beachten Sie au erdem dass Sie den privaten Schl ssel f r das Zertifikat eines Webservers nicht auf ein Access Series FIPS Ger t importieren k nnen da der Schlussel in einer Umgebung erstellt wird die
117. einen Ping Befehl erreicht wird M gliche Gr nde sind Sein Kennwort ist falsch es kommuniziert nicht mit allen Clusterknoten es ist mit einem anderen Gruppenkommunikationsmodus konfiguriert es f hrt eine andere Version des Dienstpakets aus oder das IVE ist ausgeschaltet Spalte Sync Rank Legt die Reihenfolge fest in der die Clusterknoten synchronisiert werden sollen Hinweis Diese Option steht nur mit einer Central Manager Lizenz zur Verf gung Registrierkarte Join Die Art in der ein IVE einem Cluster beitritt h ngt davon ab ob es konfiguriert bzw nicht initialisiert ist Auf der Registerkarte Join k nnen Sie ein konfiguriertes IVE zu einem vorhandenen Cluster hinzuf gen F r ein IVE im Werkzustand empfehlen wir das Verfahren ber die serielle Konsole Seite 179 da f r den Beitritt des IVE zum Cluster nur wenige Informationen eingegeben werden m ssen In einer Access Series FIPS Umgebung m ssen Sie zum Hinzuf gen eines IVE zu einem Cluster die Webkonsole verwenden Dar ber hinaus m ssen Sie ber physischen Zugriff auf folgende Einheiten verf gen e Die Kryptographiemodule die an den Frontplatten der IVE Appliances der Clustermitglieder angebracht sind e Einen Smartcardleser e Eine Administratorkarte die mit der Security World des aktiven Clustermitglieds vorinitialisiert ist 176 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Mi Hinzuf gen eines IVE zu einem C
118. einen Namen erforderlich und unter Description eine Beschreibung optional f r die neue Rolle ein und klicken Sie auf Save Changes 266 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch 4 ndern Sie die Rolleneinstellungen nach den Anweisungen in e Registerkarte General auf Seite 268 e Registerkarte System auf Seite 268 e Registerkarte User Role Admin auf Seite 271 So ndern Sie eine vorhandene Administratorrolle 1 W hlen Sie in der Webkonsole Administrators gt Delegation aus 2 Klicken Sie auf den Namen der zu ndernden Administratorrolle 3 ndern Sie die Rolleneinstellungen nach den Anweisungen in e Registerkarte General auf Seite 268 e Registerkarte System auf Seite 268 e Registerkarte User Role Admin auf Seite 271 So l schen Sie eine vorhandene Administratorrolle 1 W hlen Sie in der Webkonsole Administrators gt Delegation aus 2 Aktivieren Sie das Kontrollk stchen neben der zu l schenden Administratorrolle und klicken Sie auf Delete 3 Klicken Sie auf Delete um das Entfernen der ausgew hlten Rolle zu best tigen So legen Sie die Standardoptionen f r delegierte Administratorrollen fest 1 W hlen Sie in der Webkonsole Administrators gt Delegation aus 2 Klicken Sie auf Default Options 3 ndern Sie die Einstellungen auf den Registerkarten Session Options und UI Options Diese stellen ab jetzt die neuen
119. erfolgt Wichtig Wenn Sie das IVE nicht in einer Clusterumgebung ausf hren wird diese Einstellung nicht verwendet Wenn die IVEs in einem Cluster gruppiert sind wird die angegebene H chstdauer im Cluster synchronisiert In Clustern mit mehreren Sites k nnen Sie diese Einstellung f r die einzelnen Clusterknoten mithilfe der Optionen auf der Seite System gt Clustering ber schreiben Seien Sie jedoch vorsichtig wenn Sie diese Einstellung in Aktiv Passiv Clustern ndern da das IVE auch die Einstellung ARP Ping Timeout auf der Registerkarte Internal als Failover Zeitgeber f r die VIP verwendet 1 Das IVE f hrt beim Versuch die Kommunikation im Cluster einzurichten zwei ARP Anforderungen aus eine an das Gateway des internen Ports und eine an das Gateway des externen Ports NetScreen Instant Virtual Extranet Plattform 159 Administrationshandbuch 5 Aktualisieren Sie im Abschnitt DNS Name Resolution die prim re DNS Adresse die sekund re DNS Adresse und den DNS Standarddom nen namen f r die IVE Appliance Sie k nnen in diesen Feldern mehrere DNS Dom nen angeben das IVE durchsucht sie in der Reihenfolge in der sie aufgef hrt sind 6 Geben Sie im Feld WINS den Namen oder die IP Adresse f r den WINS Server Windows Internet Naming Service ein mit dem Sie Namen von Arbeitsstationen und Standorten IP Adressen zuweisen sofern vorhanden Sie k nnen einen lokalen oder einen Remote WINS Server ausw hlen 7 Ak
120. erlaubt Beachten Sie dass diese Option vor der Angabe der Anwendung bzw des Servers aktiviert werden muss andernfalls m ssen Sie eine SAM Ressourcenrichtlinie erstellen WM Angeben von Anwendungen die mit J SAM gesichert werden sollen Auf der Registerkarte SAM gt Applications k nnen Sie Anwendungen festlegen f r die J SAM den Datenverkehr sichert Beachten Sie dass die Clientanwendung eine Verbindung mit dem lokalen Computer herstellen muss auf dem Secure Application Manager als Anwendungsserver ausgef hrt wird damit die Java Version von Secure Application Manager fehlerfrei verwendet werden kann Die empfohlene Vorgehensweise f r das NetScreen Instant Virtual Extranet Plattform 307 Administrationshandbuch Zuordnen von Anwendungsservern zum lokalen PC eines Benutzers besteht in der Aktivierung der automatischen Hostzuordnung wodurch das IVE die Datei hosts automatisch so ndern kann dass Anwendungsserver an den lokalen Host f r sichere Portumleitung geleitet werden Wichtig Die automatische Hostzuordnung kann auf Windows PCs nur erfolgen wenn die Benutzer ber Administratorberechtigungen verf gen und Secure Application Manager daher die Datei hosts ndern kann Wenn Benutzer nicht ber Administratorberechtigungen verf gen wird im Secure Application Manager Fenster eine Fehlermeldung angezeigt und die Benutzer k nnen nicht auf Client Server Anwendungen zugreifen Wenn die Sicherheitsrichtlinie das Erteilen von
121. geplante Dauer berschritten wird und die Konferenz beenden Der Konferenzleiter kann seine Verant wortlichkeiten w hrend einer Konferenz auf einen anderen Teilnehmer bertragen Dieser muss aber in der richtigen Umgebung arbeiten Der Konferenzleiter kann jeden beliebigen IVE Benutzer als Konferenzleiter und jeden beliebigen Windows Benutzer als Vorf hrenden einsetzen Der Vorf hrende kann auch Verantwortung an einen anderen Teilnehmer abgeben indem er einen Steuernden bestimmt Ein Steuernder verwendet seine eigene Maus und Tastatur zur Remotesteuerung des freigegebenen Desktops oder der freigegebenen Anwendungen des Vorf hrenden Beachten Sie dass der Vorf hrende die Berechtigung f r die Remotesteue rung nicht nur IVE Teilnehmern und Windows Benutzern sondern allen Teilnehmern erteilen kann Wenn der Vorf hrende die Kontrolle ber seine remote gesteuerten Anwendungen zur ckerlangen m chte muss er ledig lich an einer beliebigen Stelle mit der rechten Maustaste klicken um die Steuerung von Secure Meeting wieder zur ckzuerhalten 1 Secure Meeting kann den Inhalt des Desktops des Vorf hrenden nicht anzeigen wenn er gesperrt ist NetScreen Instant Virtual Extranet Plattform 17 Administrationshandbuch Zugriff auf den Konferenz URL F r die Teilnahme an einer Konferenz m ssen Secure Meeting Teilnehmer ber den Konferenz URL zur Konferenzseite auf dem Secure Meeting Ser ver IVE wechseln Auf den URL kann ganz einf
122. gew hren m chten 7 Klicken Sie auf Save Changes Wenn Sie zum ersten Mal eine Serverinstanz erstellen werden die Registerkarten Settings und Users angezeigt 8 Geben Sie die Bereiche an die der Server f r die Authentifizierung und Autorisierung von Administratoren und Benutzern verwenden soll Seite 273 Hinweis Informationen zum berwachen und L schen von Sitzungen von Benutzern die zu diesem Zeitpunkt ber den Server angemeldet sind finden Sie unter Anzeigen und L schen von Benuizersitzungen auf Seite 263 222 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch EA NETSCREEN Central Manager Help Sign Out System Servers gt statile Active Directory using NTLM D gt Configuration D Network Settings Users D Clustering D Log Monitoring b r Server Signing In Administrators Active Directory using NTL Name Active Directory using NTL Label to reference this server gt Authentication D Delagatitll Primary Domain Controller 193 168 217 100 Name or IP address or Active Directory Users Backup Domain Controller EEE Name or IP address gt Authentication or Active Directory D Roles Domain demo NT domain name gt New User Resource Policies M Allow domain to be specified 35 part of username Web Files SAM b b zE Administrator gt Telnet SSH D D b Network Connect Admin Username Required for Password Management Meetings 4 Admin
123. gt Clustering gt Log Monitoring D Signing In Administrators D Authentication gt Delegation Users b Authentication gt Roles gt New User Resource Policies gt Web gt Files D SAM gt Telnet SSH D Network Connect gt Meetings D Email Client Maintenance User Authentication Realms gt TSELDapREALM gt Role Mapping Rule Rule based on Custom Expressions Update Rule If user has any of these custom expressions Available Expressions Selected Expressions Add gt ANDcondition Remove Expressions then assign these roles timebasedCondition Available Roles NSProdDey theron Users Remove ranjitGroup H _Remowe Selected Roles NSSalesRole NSExecsRole NSSupportRole u T Stop processing rules when this rule matches N Abbildung 79 Der im Serverkatalog hinzugef gte benutzerdefinierte Ausdruck steht f r die Rollenzuordnungsregel zu Verf gung NetScreen Instant Virtual Extranet Plattform 285 Administrationshandbuch Konfigurieren der Seite Roles Benutzer k nnen ber das Men Users gt Roles auf die Seiten Roles zugreifen Auf dieser Seite k nnen Sie Benutzerrollen im System erstellen und verwalten Klicken Sie zum Erstellen einer Rolle auf New Role und geben Sie dann einen Namen sowie bei Bedarf eine Beschreibung ein Dieser Name wird auf der Seite Roles in der Liste Roles angezeigt Klicken Sie auf den Namen der Rolle u
124. innerhalb eines Clusters da sie gew hrleistet dass ein Cluster mitglied w hrend des Vorgangs immer funktionst chtig ist Seite 384 e Verbesserte Benutzeroberfl che Die Oberfl che der Webkonsole f r Central Manager wurde ansprechen der gestaltet 68 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch NetScreen Instant Virtual Extranet Plattform 69 Administrationshandbuch Zertifikate bersicht Ein digitales Zertifikat ist eine verschl sselte elektronische Datei in der die Anmeldeinformationen eines Webservers oder Benutzers f r Client Server Transaktionen festgelegt werden Es gibt drei Arten von Zertifikaten mit denen Sie Anmeldeinformationen festlegen und IVE Transaktionen sichern k nnen e Serverzertifikate die den Netzwerkverkehr zum und vom IVE sichern Seite 69 e Clientseitige Zertifikate die die Endbenutzer berpr fen Clientseitige Zertifikate werden von den Browsern der Endbenutzer gesendet und dann von einem Stammzertifikat berpr ft das auf dem IVE installiert ist Seite 70 e Appletzertifikate auch als Codesignaturzertifikate bezeichnet signie ren die vom IVE vermittelten Applets erneut Seite 71 Au erdem k nnen Endbenutzer mit einem Zertifikatserver authentifiziert werden Ein Zertifikatserver ist mit den oben beschriebenen L sungen ver gleichbar da Benutzer auf der Grundlage von Zertifikatattributen authentifi ziert werden k nnen Die oben beschrie
125. key or to D cluster import a renewed certificate If the files are encrypted you will also need to specify the password gt Log Monitoring D Signing iin Certificate file includes private key Administrators Certificate File Browse gt Authentication D Delegatil Password Key Users Import gt Authentication D Roles D New US Certificate and private key are separate files Resource Policies Certificate File Browse gt Web k r Private Key File Browse D Files D SAM Password Key D Telnet SSH gt Network Connect Import gt Meetings D Email Client Renew the Certificate Maintenance D System Certificate File Browse D Import Export D Push Config Renew D Archiving gt Troubleshooting Import the Certificate for a pending CSR Certificate File Browse Import Licensed to YourCompany Inc aN Host Id ive 2 Copyright 2001 2004 NetScreen Technologies Inc All rights reserved Abbildung 23 System gt Configuration gt Certificates gt Server Certificates gt Import Renew 150 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Mi Importieren eines erneuerten Serverzertifikats das den vorhandenen privaten Schl ssel verwendet Sie k nnen ein Serverzertifikat auf zwei Arten erneuern Bei einer Zertifizierungsstelle eine neue Zertifikatssignaturan forderung einreichen Dieser Vorgang zur Erneuerung eines
126. llen andernfalls wird die Benutzeranforderung vom IVE nicht verarbeitet Auf Ressourcenebene k nnen Sie Sicherheitsanforderungen auf der Grund lage folgender Aspekte angeben Quell IP des Benutzers Browser Besitz eines clientseitigen Zertifikats Tageszeit der Anforderung ob die Hostpr fung installiert ist oder bestimmte Richtlinien auf dem Benutzercomputer durchsetzt und ob die Cachebereinigung auf dem Benutzercomputer instal liert ist oder ausgef hrt wird Wenn der Benutzer die Anforderungen erf llt die in den Bedingungen einer Ressourcenrichtlinie angegeben sind verwei gert oder gew hrt das IVE den Zugriff auf die angeforderte Ressource Sie k nnen z B Webzugriff auf Rollenebene aktivieren sodass ein der Rolle zugewiesener Benutzer eine Webanforderung ausf hren kann Sie k nnen auch eine Webressourcenrichtlinie so konfigurieren dass Anforderungen an einen bestimmten URL oder Pfad verweigert werden wenn die Hostpr fung auf dem Benutzercomputer eine inakzeptable Datei findet In diesem Sze nario berpr ft das IVE ob die Hostpr fung ausgef hrt wird und gibt dann an dass der Benutzercomputer der erforderlichen Hostpr fung Richtlinie entspricht Wenn dies der Fall ist d h die inakzeptable Datei nicht gefun den wurde gew hrt das IVE dem Benutzer Zugriff auf die angeforderte Webressource 26 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch 4 0 Access Managment Policies Rules amp Restrict
127. lokalen Port mit dem f r den Serverport berein er unterscheidet sich in der Regel nur f r Linux oder Macintosh Benutzer die Anwendungen f r die Portweiterleitung hinzuf gen m chten die Ports unter 1024 verwenden Hinweis Sie aktivieren die Laufwerkzuordnung zu dieser Ressource indem Sie 139 als Serverport eingeben Sie k nnen mehrere Anwendungen an einem einzigen Port konfigurieren beispielsweise anwl eigenefirma com anw2 eigenefirma com anw3 eigenefirma com Das IVE weist jeder Anwendung eine Loopback Adresse 127 0 1 10 127 0 1 11 127 0 1 12 zu J SAM berwacht diese Loopback Adressen dann an dem festgelegten Port Wenn beispielsweise Datenverkehr f r die Adresse 127 0 1 12 am angegebenen Port vorhanden ist leitet das IVE den Datenverkehr an den Zielhost anw3 eigenefirma com weiter 4 Aktivieren Sie das Kontrollk stchen Allow Secure Application Manager to dynamically select an available port wenn J SAM den gleichen Port auf mehrere Hosts berwacht und einen verf gbaren Port NetScreen Instant Virtual Extranet Plattform 309 Administrationshandbuch ausw hlen soll falls der von Ihnen angegebene Clientport belegt ist Um diese Option verwenden zu k nnen muss es die Clientanwendung erm glichen die Portnummer f r die Verbindung festzulegen 4 Klicken Sie auf Save Changes oder Save New 5 W hlen Sie unter Enable Automatic Host Mapping Java Version Only die Option Enabled aus und klicken Sie dan
128. mithilfe der folgenden Regel zugeordnet if LDAP group human resources map to Human Resources Staff Ein Benutzer muss also der Gruppe Human Resources auf dem LDAP Authentifizierungsserver angeh ren um der Rolle zugeordnet zu werden Sie denken vermutlich dass Joe beiden Rollen angeh rt Nach der Anmeldung am IVE kann er jedoch nicht auf die Datei und Secure Meeting Funktionen zugreifen die in der Rolle Human Resources Staff aktiviert sind Wenn Sie die Richtlinienverfolgung aktivieren um die Ursache zu ermitteln k nnten beispielsweise die folgenden Protokolleintr ge angezeigt werden Severity ID Message PTR10103 2004 01 28 17 52 40 ive 2 10 12 254 193 adminO3 Admin Users Administrators joe human resources realm Policy Tracing turned on PTR22787 2004 01 28 17 53 12 ive 2 10 12 254 193 joe human resources realm Successful authentication with auth server human resources server PTR10209 2004 01 28 17 53 12 ive 2 joef human resources realm Realm human resources realm running 2 mapping rules for user joe PTR10217 2004 01 28 17 53 12 ive 2 joefhuman resources realm Variable user joe PTR10217 2004 01 28 17 53 12 ive 2 joefhuman resources realm Variable sourcelp 10 12 254 193 PTR10217 2004 01 28 17 53 12 ive 2 joe human resources realm Variable userAgent Mozilla 4 0 compatible MSIE 6 0 Windows NT 5 0 NET CLR 1 1 4322 PTR10217 2004 01 28 17 53 12 ive 2
129. muss Wenn dies der Fall ist und das Ger t des Benutzers die festgelegten Richt linien f r die Hostpr fung nicht einh lt ordnet das IVE den Benutzer die ser Rolle nicht zu e Ressourcenrichtlinie Wenn ein Benutzer eine Ressource anfordert wertet das IVE die genauen Regeln der Ressourcenrichtlinie aus Dabei ermittelt es ob das Ger t des Benutzers f r die betreffende Ressource bestimmte Richtlinien f r die Hostpr fung einhalten muss Wenn das Ger t des Benutzers den festge legten Richtlinien f r die Hostpr fung nicht entspricht verweigert das IVE den Zugriff auf die betreffende Ressource 93 94 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Ausf hrung der Hostpr fung Wenn Sie die Hostpr fung als Anforderung f r eine Rolle oder Ressourcen richtlinie festlegen m chten muss der Agent bei der Anmeldung des Benut zers minimal installiert werden Dies wird in der Authentifizierungsrichtlinie des Bereichs konfiguriert Nach der Konfiguration l dt das IVE das ActiveX Steuerelement auf das System des Benutzers herunter Au erdem m ssen Sie systemweite Richtlinien f r die Hostpr fung definieren Registerkarte System gt Configuration gt Security gt Hostpr fung aus denen Sie dann ausw hlen wenn Sie eine Anforderung f r die Hostpr fung f r einen Bereich eine Rolle oder eine Ressourcenrichtlinie konfigurieren Wenn ein Benutzer auf die Anmeldeseite des IVE zugreifen will
130. nnen Wenn sich die Anmeldeinformationen eines Benutzers von denen unter scheiden die die Back End Anwendung ben tigt kann der Benutzer auch folgenderma en auf die Anwendung zugreifen e Manuelle Anmeldung Der Benutzer kann schnell auf die Back End Anwendung zugreifen in dem er auf der Anmeldeseite der Anwendung seine Anmeldeinformatio nen manuell eingibt Der Benutzer kann seine Anmeldeinformationen und sonstige erforderliche Daten auch entsprechend der folgenden Beschrei bung ber die Seite Advanced Preferences dauerhaft im IVE speichern Dieser Vorgang ist jedoch optional e Angeben der erforderlichen Anmeldeinformationen auf dem IVE Der Benutzer muss f r das IVE die Anmeldeinformationen f r die Anwen dung fehlerfrei angeben Die Informationen werden auf der Seite Advanced Preferences festgelegt Nach dem Festlegen muss sich der Benutzer abmelden und erneut anmelden um seine Anmeldeinformatio nen f r das IVE zu speichern Wenn der Benutzer das n chste Mal auf das 108 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Remote SSO Lesezeichen klickt um sich bei der Anwendung anzumel den sendet das IVE die aktualisierten Anmeldeinformationen Hinweis bergeben Sie mithilfe der Remote SSO Funktion Daten an Anwen dungen in deren HTML Formularen statische POST Aktionen enthalten sind Es empfiehlt sich nicht Remote SSO mit Anwendungen zu verwenden bei denen sich regelm ig ndernde URL PO
131. nnen mit Tages und Zeitwerten verglichen werden Zeitvariablen sind time und loginTime c Die Operatoren NOT AND und OR werden von der h chsten zur niedrigsten Priorit t in folgender Rangfolge ausgewertet NOT von rechts AND von links OR von links NetScreen Instant Virtual Extranet Plattform 441 Administrationshandbuch Platzhalterabgleich In einer Zeichenfolge die in Anf hrungszeichen eingeschlossen ist k nnen Platzhalter verwendet werden Folgende Platzhalter werden unterst tzt e Sternchen Ein Sternchen steht f r eine beliebige Folge von null oder mehr Zeichen e Fragezeichen Ein Fragezeichen steht f r ein einzelnes Zeichen e Eckige Klammern Eckige Klammern stehen f r ein Zeichen aus einem Bereich m glicher Zeichen der zwischen den Klammern angegeben wird Zwei durch einen Bindestrich getrennten Zeichen stehen f r die beiden Zeichen und die lexikalisch dazwischen liegenden Zeichen Beispiel dept 0 9 steht anstelle der Zeichenfolgen dept0O dept1 usw bis einschlie lich dept9 Die Escape Zeichen f r Platzhalter sind eckige Klammern So ergibt der Ausdruck userAttr x value beispielsweise true wenn das Attribut x genau gleich value ist DN Variablen Sie k nnen einen Distinguished Name DN mit einem anderen DN oder einer Zeichenfolge vergleichen Platzhalter werden dabei jedoch ignoriert Bei Vergleichen wird die GroB und Kleinschreibung
132. oracle firmenname de gesendet wurde leitet es den Datenverkehr an oracle firmennetzwerk net 8000 weiter Wenn Sie Clientanforderungen an das IVE anhand des Hostnamenalias wei terleiten m ssen Sie das IVE au erdem dem externen DNS Server hinzu f gen Diese Option bietet sich an wenn in Ihrem Unternehmen restriktive Richtlinien f r das ffnen von Firewallports f r interne Server oder Server in der DMZ gelten Ebenso wie das eigentliche Vermittlungsmodul bietet die Durchgangsproxy Option eine h here Sicherheit als Secure Application Manager da das IVE dem Client bei Aktivierung f r eine Anwendung erm glicht nur Layer 7 Verkehr an feste Anwendungsports an das Firmennetzwerk zu senden Wenn diese Option aktiviert ist kann das IVE Anwendungen mit Kompo nenten unterst tzen die nicht mit dem Modul f r die Inhaltsvermittlung kompatibel sind beispielsweise Java Applets in Anwendungen der Oracle E Business Suite oder Applets die auf einer nicht unterst tzten Java Virtual Machine ausgef hrt werden Hinweis Die Durchgangsproxy Option kann nur f r Anwendungen verwendet werden die feste Ports abfragen und bei denen der Client keine direkten Socket verbindungen herstellt NetScreen Instant Virtual Extranet Plattform 105 Administrationshandbuch Informationen zum Angeben von Anwendungen f r die das IVE eine mini male Vermittlung durchf hrt finden Sie unter Schreiben einer Ressourcen richtlinie f r Durchgangspro
133. speichert f gt Secure Meeting die Konferenz auf der Seite Meeting hinzu Die Seite wird allen IVE G sten einschlie lich des Konferenzerstellers hinzugef gt f r die Sie die Seite Meeting aktiviert haben Wenn Sie einen SMTP Mailserver Simple Mail Transfer Protocol aktivieren sendet Secure Meeting au erdem eine Benachrichtigungs E Mail an alle G ste mit einer bekannten E Mail Adresse Secure Meeting ruft die E Mail Adressen aus zwei Quellen ab e Seite Preferences Ein IVE Benutzer kann seine E Mail Adresse auf der Seite Preferences auf der IVE Startseite angeben Die Adresse wird 1 Secure Meeting gew hrleistet zwar dass Nicht IVE G ste bei der Anmeldung ihren Namen einge ben m ssen die Namen werden jedoch nicht authentifiziert Zur Authentifizierung von Nicht IVE G sten verwendet Secure Meeting nur die Konferenz IDs und Kennw rter NetScreen Instant Virtual Extranet Plattform 15 Administrationshandbuch dann automatisch verwendet wenn dieser Teilnehmer zu einer Konfe renz eingeladen wird e Seite Create Meeting Der Konferenzersteller kann die E Mail Adressen von Konferenzteilnehmern manuell eingeben oder berschrei ben wenn er eine Konferenz plant oder aktualisiert Die E Mail Nachricht enth lt Konferenzdetails und eine Verkn pfung ber die der Gast der Konferenz beitreten kann Teilnehmer k nnen einer Konfe renz bis 15 Minuten vor ihrem Start beitreten Weitere Informationen fin den
134. von Benutzern mit Anmeldung am IVE ber das Men Active Users k nnen Sie Benutzer berwachen die am IVE angemeldet sind Dabei werden der Name jedes Benutzers der Authentifi zierungsbereich und die Anmeldezeit aufgef hrt Hinweis Das IVE zeigt f r Nicht IVE Benutzer die sich zur Teilnahme an einem Secure Meeting am IVE angemeldet haben in den Spalten Realm und Role N A keine Angabe an 132 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch So berwachen Sie am IVE angemeldete Benutzer 1 W hlen Sie in der Webkonsole System gt Status gt Active Users aus 2 F hren Sie bei Bedarf die folgenden Vorg nge durch Abmelden von Benutzern von einer IVE Sitzung Um einen oder mehrere Endbenutzer oder Administratoren zwangsweise abzumelden aktiveren Sie die Kontrollk stchen neben den entsprechenden Namen und klicken Sie dann auf Delete Session Um alle aktuell angemeldeten Endbenutzer zwangsweise abzu melden klicken Sie auf Delete All Sessions Beachten Sie dass Sie Administratoren f r die Abmeldung einzeln ausw hlen und die Schaltfl che Delete Session verwenden m ssen e Konfigurieren der angezeigten Daten und ihrer Reihenfolge Geben Sie zum Anzeigen eines bestimmten Benutzers seinen Benutzernamen im Feld Show Users Named ein und klicken Sie auf Update Wenn Sie den genauen Benutzernamen nicht ken nen verwenden Sie einen Platzhalter Wenn z B ein Benutzer Joseph J
135. web browsing except applicable policies defined above Mm 2 Intranet Policy Details Grants access to the intranet Detailed Rules Edit 1 Deny 80 443 exec If userAttr dept exec Web Bookmarks for Users Details Users This policy is automatically generated to ensure that admin created bookmarks for this Detailed Rules 1 Allow http matrix neoteris com Details employees apac gt Web Bookmarks for employees apac This policy is automatically generated to ensure that admin created bookmarks for this Details employees emea gt Web Bookmarks for employees emea This policy is automatically generated to ensure that admin created bookmarks for this Details employees global gt Web Bookmarks for employees global This policy is automatically generated to ensure that admin created bookmarks for this Details employees hq gt Web Bookmarks for employees hq This policy is automatically generated to ensure that admin created bookmarks for this Details globalMarlom gt Web Bookmarks for globalMarCom This policy is automatically generated to ensure that admin created bookmarks for this Details guests b Web Bookmarks for guests This policy is automatically generated to ensure that admin created bookmarks for this Abbildung 99 Resource Policies gt Web gt Access Diese Abbildung zeigt die Seite Policies der Ressourcenrichtlinie f r Webzugriff
136. werden welche Konfiguration geladen werden soll geben Sie rollback ein und drucken Sie dann die Eingabetaste LI Hit Tab for choices or wait for auto load Choose configuration to load current rollback factory reset Hit Tab for choices or wait for auto load Choose configuration to load rollback Abbildung 132 IVE Serielle Konsole Nach dem Klicken auf Reboot Now auf der Seite Maintenance gt System gt Platform 456 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Hinweis Wenn Sie beim Ausw hlen l nger als 5 Sekunden warten wird automatisch die aktuelle Systemkonfiguration geladen Sie m ssen dann zur ck in die Webkonsole wechseln und auf Reboot Now klicken um den Vorgang erneut zu starten Wenn Sie bereits ein Systemrollback durchgef hrt haben ist die Rollbackoption erst wieder verf gbar wenn Sie die Serversoftware erneut aktualisieren Der Rollbackstatus des Servers wird auf den Bildschirm ausgegeben Wenn der Vorgang abgeschlossen ist werden Sie zum Dr cken der Eingabetaste aufgefordert um die Systemeinstellungen zu ndern Dadurch kehren Sie zu den Optionen f r das erste Setup zur ck Wenn Sie die Dateneingabe abgeschlossen haben schlie en Sie einfach das Programmfenster VI Zur cksetzen des IVE Ger ts auf die Werkseinstellungen Es kann im Ausnahmefall erforderlich sein das IVE Ger t auf die Werksein stellungen zur ckzusetzen Bevor Sie diese tief grei
137. you want users with a valid SMSESSION cookie to be automatically signed in To assign user roles use this user authentication realm Active Directory using LDAP Authenticate using custom agent Authenticate using HTML form post If authentication fails redirect to Using SiteMinder for authorization Authorize requests against SiteMinder policy server gif jpeg jpg pe a If authorization fails redirect to Resource for insufficient protection level Ignore authorization for files with extensions Save Changes Reset Abbildung 64 System gt Signing In gt Servers gt SiteMinder Server 262 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch EAT NETSCREEN Central Manager Help Sign Out System Servers gt D state empSalesEngineers gt Configuration D Network Settings ERFEitTE Users gt Clustering gt Log Monitoring BER Policy server options b Signing In Administrators Poll Interval none seconds none for no polling gt Authentication Max Connections 20 1 2048 gt Delegation Users Max Requests Connection 1000 1 10000 gt Authentication Idle Timeout none minutes none for no limit 1 35791394 b Roles D New User Accounting Port 44441 Resource Policies Authentication Port 44442 D Web D Files Authorization Port 44443 gt SAM D Telnet SSH SiteMinder caching D Network Connect D Meeti SiteMinder responses about resources and autho
138. zu dieser Rolle zu 32 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Diese Sicherheitsanforderung kann von allen Benutzern folgenderma en konfiguriert werden Resource Policies gt Ausgew hlte Ressource gt Ausgew hlte Richtlinie gt Detailed Rules gt Ausgew hlte Erstellte Regel gt Bedingungsfeld Cachebereinigung Sie k nnen den Zugriff auf das IVE und die Ressourcen durch Anforderung der Cachebereinigung einschr nken Bei Anmeldung von Administratoren oder Benutzern am IVE Der Benutzer muss sich von einem Computer anmelden der den Richt linien f r die Cachebereinigung entspricht die f r den Bereich angegeben wurden Wenn der Benutzercomputer den Anforderungen der Richtlinien f r die Cachebereinigung nicht entspricht die f r den Bereich angegeben wurden leitet das IVE die Anmeldeinformationen des Benutzers nicht an den Authentifizierungsserver weiter und dem Benutzer wird der Zugriff auf das IVE verweigert Administratoren konfigurieren diese Sicherheitsanforderung folgender ma en Administrators gt Authentication gt Ausgew hlter Bereich gt Authentication Policy gt Cachebereinigung Benutzer konfigurieren diese Sicherheitsanforderung folgenderma en Users gt Authentication gt Ausgew hlter Bereich gt Authentication Policy gt Cachebereinigung Bei Zuordnung von Administratoren oder Benutzern zu einer Rolle Der authentifizierte Benutzer muss sich von einem Compu
139. zur Verf gung Registry Root Key W hlen Sie einen Stammschl ssel aus der Dropdownliste aus Erforderlich Registry Subkey Geben Sie den Pfad zum Anwendungsordner an Erforderlich Name Der Name des Schl sselwertes der gefordert werden soll Dieser Name wird in der Spalte Name des Registrierungs Edi tors angezeigt Optional Type Der Typ des Schl sselwertes Zeichenfolge Bin rwert oder DWORD Dieser Typ wird in der Spalte Type des Registrierungs editors angezeigt Optional Value Der Wert des Schl sselwertes Diese Informationen wer den in der Spalte Data des Registrierungseditors angezeigt Optional Hinweis Wenn lediglich der Schl ssel und der Teilschl ssel angegeben werden berpr ft die Hostpr fung einfach das Vorhandensein des Ordners Subkey in der Registrierung Klicken Sie im Dialogfeld auf Save Changes NetScreen Instant Virtual Extranet Plattform Administrationshandbuch 145 5 Klicken Sie auf der Seite Hostprufung Configuration auf Save Changes um die Hostprufungs Richtlinie zu erstellen EN NETSCREEN Central Manager System gt Status b Configuration gt Network gt Clustering gt Log Monitoring D Signing In Administrators gt Authentication gt Delegation Users gt Authentication gt Roles gt New User Resource Policies gt Web gt Files D SAM gt Telnet SSH gt Network Connect bD Meetings gt Email
140. 0 14 98 Name or IP address Secondary Radius Port 1812 Secondary Radius Secret Be Save Changes Reset Abbildung 63 System gt Signing In gt Servers gt Radius Server Mi Konfigurieren des RADIUS Servers f r die Erkennung des IVE Sie m ssen den RADIUS Server durch folgende Angaben f r die Erkennung des IVE appliance Servers konfigurieren e Hostname der IVE appliance e Netzwerk IP Adresse der IVE appliance e Clienttyp der IVE appliance sofern vorhanden Wenn diese Option verf gbar ist w hlen Sie Single Transaction Server oder die entsprechende Option e Verschlusselungstyp f r die Authentifizierung der Clientkommunikation Die ausgew hlte Option muss mit dem Clienttyp bereinstimmen e Gemeinsamer geheimer Schl ssel der an der Web console auf der Seite System gt Signing In gt Servers gt Radius Server f r den RADIUS Server eingegeben wurde 246 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch NetScreen Instant Virtual Extranet Plattform 247 Administrationshandbuch Konfigurieren einer Netegrity SiteMinder Instanz Die folgenden Themen werden behandelt Netegrity SiteMinder bersicht uuuuneesssensnsensnsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnneenn 247 Konfigurieren des IVE als Web Agent auf einem SiteMinder Richtlinienserver 252 Konfiguration des IVE sodass Benutzer mit niedriger Sicherheitsebene sich neu authenliiizierensm ssen ans eee eee oc
141. 00220nsnennnnnnennnnnn nenn nennen nennen nen nnn nenn nennen 236 Verwalten von Benutzerkonten 2 22224024002002nn Rennen nennen nennen nennen nen nnnennennn 237 Delegieren von Benutzerverwaltungsrechten an Endbenutzer 238 lV Definieren einer lokalen IVE Server Instanz So definieren Sie einen lokalen IVE Server 1 W hlen Sie in der Web console System gt Signing In gt Servers aus 2 F hren Sie einen der folgenden Vorg nge aus e Um eine neue Serverinstanz auf dem IVE zu erstellen w hlen Sie aus der Liste New den Eintrag IVE Authentication aus und klicken Sie dann auf New Server e Klicken Sie zum Aktualisieren einer vorhandenen Serverinstanz auf die entsprechende Verkn pfung in der Liste Authentication Authorization Servers 3 Geben Sie einen Namen ein um die Serverinstanz zu bezeichnen Klicken Sie auf Save Changes Wenn Sie zum ersten Mal eine Serverinstanz erstellen werden die Registerkarten Users und Admin Users angezeigt 5 Geben Sie die Bereiche an die der Server f r die Authentifizierung und Autorisierung von Administratoren und Benutzern verwenden soll Seite 275 236 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch SEAT NETSCREEN Central Manager Help Sign Out System Servers gt D statif New IVE Authentication gt Configuration gt Network b Clustering Name lempHQ IvEadmins Label to reference this server gt Log
142. 004 02 04 14 51 56 ive 2 10 12 254 193 adminO3 Admin Users Administrators mike partners Policy Tracing turned on gt Troubleshooting Info PTR22787 2004 02 04 14 52 16 ive 2 10 12 254 193 mike partners Successful authentication with ibe auth server partners PTR10209 2004 02 04 14 52 16 ive 2 mike partners Realm partners running 1 mapping rules for user Info mike Info PTR10217 2004 02 04 14 52 16 ive 2 mike partners Variable user mike Info PTR10217 2004 02 04 14 52 16 ive 2 mike partners Variable sourceIp 10 12 254 193 PTR10217 2004 02 04 14 52 16 ive 2 mike partners Variable userAgent Mozilla 4 0 compatible MSIE 6 0 Windows NT 5 0 NET CLR 1 1 4322 Info PTR10217 2004 02 04 14 52 16 ive 2 mike partners Variable loginTime Wed Feb 4 14 52 16 2004 Info PTR10217 2004 02 04 14 52 16 ive 2 mike partners Variable networkIf internal Info PTR10217 2004 02 04 14 52 16 ive 2 mike partners Variable realm partners Info PTR10217 2004 02 04 14 52 16 ive 2 mike partners Variable auth partners Info PTR10217 2004 02 04 14 52 16 ive 2 mike partners Variable hostCheckerPolicy Info PTR10217 2004 02 04 14 52 16 ive 2 mike partners Variable cacheCleanerStatus 0 PTR10212 2004 02 04 14 52 16 ive 2 mike partners Mapped to roles partnerReseller Worldwide Widgets by rule user PTR10205 2004 02 04 14 52 16 ive 2 mike part
143. 2 Seite System gt Status gt Overview 128 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Mi Konfigurieren von Diagrammen zur Auslastung der Systemkapazit t So konfigurieren Sie Diagramme zur Auslastung der Systemkapazit t 1 W hlen Sie in der Webkonsole System gt Status gt Overviews aus Klicken Sie auf Page Settings 3 W hlen Sie aus welche Auslastungsdiagramme angezeigt werden sollen 4 W hlen Sie den Zeitraum aus der in den Diagrammen dargestellt wer den soll Die Intervalle k nnen zwischen 1 Stunde und 1 Jahr liegen 5 Geben Sie an wie oft die Diagramme aktualisiert werden sollen Klicken Sie auf Save Changes System Status Settings Microsoft Internet Explorer System Status Settings OI x Graphs Display Graphs V Concurrent Users IV Hits Per Second V CPU and Memory Usage V Throughput View Last 1 hour Refresh Refresh page every feo seconds Minimum 60 seconds Save Changes Cancel E Internet Abbildung 13 Seite System gt Status gt Overview gt Page Settings Mi Anzeigen kritischer Systemereignisse Mit dem Central Manager Dashboard f r Access Series und Meeting Series Appliances k nnen Sie ganz einfach die letzten zehn kritischen Systemereignisse anzeigen Im Fenster Event Monitor k nnen Sie schnell auf kritische Systemprobleme zugreifen und diese beheben W hrend Sie in der Webkonsole Rout
144. 2000020000nnn nenn nenne nnnnennnnennnne namen nnnen nennen 182 Auf den Registerkarten der Seite System gt Clustering k nnen Sie Folgendes durchf hren Definieren und Initialisieren eines Clusters us044044000B2ennnnnnnnnnee nennen 168 Angeben eines neuen Clustermitglieds u0004440ss nennen nnenneennnnnnne nenn 170 Verwalten von Netzwerkeinstellungen f r Clusterknoten 444222 00 172 Aktualisieren des Dienstpakets f r Clusterknoten 2002220022200222e nen 173 Hinzuf gen eines IVE zu einem Cluster ber die Webkonsole 176 Hinzuf gen eines IVE zu einem Cluster ber die serielle Konsole 179 ndern von Clustereigenschaften oder L schen eines Clusters 182 bersichtsinformationen zu Clustern finden Sie unter Cluster bersicht auf Seite 75 168 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Registerkarte Create Beim Erstellen eines Clusterpaares eines Cluster mit mehreren Einheiten oder eines Clusters mit mehreren Sites werden die Clustereinstellungen zun chst f r nur ein IVE festgelegt und anschlie end werden weitere Mitglieder hinzugef gt Verwenden Sie die Registerkarte Create um einen Cluster zu definieren und initialisieren Nach Angabe der Clustereinstellungen wird anstelle der Registerkarte Create die Registerkarte Status a
145. 2000222s0senennennnnnnenennnennnn 342 Registerkarte Remote SSO gt Headers Cookies 2200022200022snennennennnn 345 Registerkarte Web Proxy gt Policies u0 200224002200ennnennnennne nenne nnnnenennnnen 346 Registerkarte Web Proxy gt Settings ccccccccsssseeeccesseeeeceesseeessaeeeesseaeeeees 348 Auf der Seite Resource Policies gt Web k nnen Sie Folgendes durchf hren Schreiben einer Ressourcenrichtlinie f r den Webzugrift 330 Schreiben einer Ressourcenrichtlinie f r die Zwischenspeicherung 332 Angeben von Zwischenspeicheroptionen s22400220002200nenno nenn nenne nennen 335 Schreiben einer Ressourcenrichtlinie f r die Java Zugriffsteuerung 336 Schreiben einer Ressourcenrichtlinie f r die Java Codesignatur 337 Schreiben einer Ressourcenrichtlinie f r selektives Neuschreiben 339 Schreiben einer Ressourcenrichtlinie f r DurchgangSproxyS cccceeceeeeeeees 341 Schreiben einer Ressourcenrichtlinie f r Remote SSO Form POST 342 Schreiben einer Ressourcenrichtlinie f r SSO Header und Cookies 345 Schreiben einer Ressourcenrichtlinie f r WeDprOoxyS c cccccceeeeeeeeeseeeeeeeeees 346 Angeben von Einstellungen f r WebproxyS cccccccceceeeeeceeeeeceeeeeseeeeeeaeeeseaes 348 Schrei
146. 22002002200200000 0200 ano nennen nnenennnnn 285 Registerkarte General gt Overview ensusssesssensensnennnennnnnnnnnnennnnnnnnnnennnnene nennen 286 Registerkarte General gt Restrictions 2 0220020002002n0ennennnnnnennennnnnne nennen 287 Registerkarte General gt Session Options u22200220002n0nenn nennen nenn nenn nennen 289 Registerkarte General gt Ul Options u222002002200nnnnnnennnnnnennnennnnne nenn nnnenn 293 Registerkarte Web gt Bookmarks 2220220020022s0snnnnunennnnnennnnenennnennnnnnennne nenn 294 Registerkarte Web gt Options 2 20220022002s02nnennnnnnennnnnnnnnnennnnnnnnnennnnnnnn nennen 296 Registerkarte Files gt Windows Bookmarks cccccceceseeeeeeceeeeeeceeeseeeeeeeseeneees 299 Registerkarte Files gt UNIX Bookmarks 2202220220022002nennnennnsnnennnennne nenne 301 Registerkarte Files gt Options 2 022002200220snnennnnnnnnnnnnnnnnnennnennnnne nenn nnnennnnen 302 Registerkarte SAM gt Applications us224022002240nennenenenenenennnennennnnennenenen nenn 304 Registerkarte SAM gt Options cccccceccsecceeeceeceeeeeeeceeeeueeeeetaeesseceetseeseeeseeeaes 312 Registerkarte Telnet SSH gt Sessions 0022022002200200nnnnnnennnnnnnnnnennne nennen 315 Registerkarte Telnet SSH gt Options
147. 351 Konfigurieren der Seite BAM uuussssssesnsnnennenneonennnonnnnne nennen 361 Konfigurieren der Seite Telnet SSH 00002220022snneneneeennnn 365 Konfigurieren der Seite Network Connect cccccceeeeeeeseeeeeeeeees 369 Konfigurieren der Seite Meetings uu000444440BRnennen nennen 375 Konfigurieren der Seite Email Client u002222002ssnneeneeneennnn 379 Konfigurieren der Seite System uu022220200002000n0 nennen en nnnnnnn nenne 383 Konfigurieren der Seite Import Export u002220002220eeneennenenneenn 389 Konfigurieren der Seite Push Cornfig us 424400Bnen nenn nneennee een 399 Konfigurieren der Seite Archiving 240s0440ennee nennen nennen nenn 403 Konfigurieren der Seite Troubleshooting 20002220220o 409 123 124 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch NetScreen Instant Virtual Extranet Plattform 125 Administrationshandbuch Konfigurieren der Seite Status Die Seite System gt Status enth lt die folgenden Registerkarten Registerkarte Overview nueesssssesssnsesnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnne 125 Registerkarte Active Users uu022s0020s0nnnennnnennnne nenne nenne nenne nnnnenenn 131 Registerkarte Meeting Schedule
148. 4 00 am gt New User 05 00 am Resource Policies 06 00 am D Web 07 00 am D Files 08 00 am D SAM 09 00 am D Telnet SSH 10 00 am 2 D Network Connect 11 00 am 1 D Meetings D Email Client 12 00 pm 1 z 01 00 pm 1 Maintenance 02 00 pm 1 ee 03 00 pm 1 D Import Export D Push Config 04 00 pm 1 D Archiving 05 00 pm 2 b Troubleshooting 06 00 pm 2 07 00 pm 1 08 00 pm I 09 00 pm 10 00 pm 11 00 pm Peak Mail Hourly peak load of Mail users Sunday Monday Tuesday Wednesday Thursday Friday Saturday 2 1 2004 2 2 2004 2 3 2004 2 4 2004 2 5 2004 2 6 2004 2 7 2004 12 00 am 01 00 am 02 00 am 03 00 am 04 00 am 05 00 am 06 00 am 07 00 am 08 00 am 09 00 am 10 00 am 11 00 am 12 00 pm 01 00 pm 02 00 pm Abbildung 49 System gt Log Monitoring gt Statistics 202 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch NetScreen Instant Virtual Extranet Plattform 203 Administrationshandbuch Konfigurieren der Seite Signing in Die Seite System gt Signing in enth lt die folgenden Registerkarten Registerkarte Sign in Policies ccccccseccecssececseeeecaeeeecaeseecauseesauseesauseessaseesoes 203 Registerk rte Sign inPage nennen Bali us 209 Regiswierkarte Server nr 212 Auf der Seite System gt Signing in k nnen Sie Folgendes durchf hren Erstellen und Konfigurieren von Anmelderichtlinien s4444s Rn 204 Legen Sie die Reihenfolge fest in der
149. 4 Tage im Voraus vom Ablauf seines LDAP Kennwortes informieren Hinweis Beim Aktivieren dieser Option auf einem der folgenden Sever iPlanet Server Beachten Sie dass das IVE nur Richtlinien f r das Ablaufen von Kennw rtern auf Benutzerebene erkennt keine Richtlinien auf Gruppenebene Active Directory Server Beachten Sie dass das Kontoablaufdatum keinen Einfluss auf das Ablaufdatum des Benutzerkennwortes hat Unterst tzte Funktionen f r die Kennwortsperrung e Sperren des Zugriffs auf das IVE und den LDAP Server wenn das Kennwort des Benutzers deaktiviert oder gesperrt ist Unterst tzte Funktionen f r die Kennwortvalidierung e Erzwingen einer Mindestl nge f r LDAP Kennworter e Erzwingen eines Mindestalters f r LDAP Kennw rter um zu verhindern dass der Benutzer sein Kennwort zu h ufig ndert e Festlegen einer Komplexit tsanforderung f r LDAP Kennworter um zu verhindern dass der Benutzer seinen Benutzernamen seinen Vornamen oder seinen Nachnamen im Kennwort verwendet Au erdem soll das Kennwort 3 Zeichen aus den folgenden Kategorien enthalten Gro buchstaben Kleinbuchstaben Ziffern und Sonderzeichen beispielsweise e Ber cksichtigen der LDAP Kennworthistorie des Benutzers Wenn Sie den Wert f r die Kennworthistorie auf null festlegen kann der Benutzer dasselbe Kennwort erneut verwenden 234 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch EAT NETSCREEN
150. 6 Anmeldeseiten benutzerdefiniert 209 Definition 209 INDEX Standard 209 Zuordnung zu Anmelderichtlinien 204 Anmeldung Optionen Benutzereinschr nkungen 428 429 432 433 434 435 anonymer Server Siehe Authentifizierungsserver anonymer Server Anpassbare Oberfl che mit SiteMinder verwenden 249 Anpassbare Oberfl che hochladen 209 Anwendungscaches leeren 63 Archiv Definition 96 Planung 403 archiveFileTransferFailed MIB Objekt 198 archiveServerLoginFailed MIB Objekt 198 archiveServerUnreachable MIB Objekt 198 ARP Ping Timeout Konfiguration 158 161 ARP Befehl 417 458 Attribute konfigurieren 277 Attributserver Siehe Authentifizierungsserver Ausfallfreie Aktualisierung bersicht 67 Ausf hrung unter MS und SUN JVM 71 Authentifizierung unterst tzte Server 36 Authentifizierungsbereiche Siehe Bereich Authentifizierungseinstellungen f r Benutzer 428 432 433 434 435 Authentifizierungsrichtlinie Konfiguration 275 Authentifizierungsrichtlinien Definition 6 23 35 Konfiguration 36 Authentifizierungsschema Definition 248 Authentifizierungsserver ACE Server ACE Agent Datei generieren 219 Agent Konfigurationsdatei 219 Konfiguration 217 SecurlD Authentifizierung 248 SecurlD Token 247 Ubersicht 215 Active Directory Konfiguration 213 221 anonymer Server Konfiguration 224 263 Ubersicht 223 Definition 5 23 35 Konfiguration grundlegende Schritte 212 LDAP Attribute Konfiguration 277 Beispiel 225 Konfiguratio
151. 7 Lokaler Authentifizierungsserver Siehe Authentifizierungsserver lokale Authentifizierung Lokaler IVE Server Siehe Authentifizierungsserver lokale Authentifizierung 235 Loopback Adressen J SAM 111 115 Lotus Notes Abbildung 120 bersicht 119 Unterst tzung 85 90 119 Macintosh Cachesteuerungs Header Unterst tzung 332 Macintosh Unterst tzung Secure Meeting 18 Macintosh Unterst tzung J SAM 113 Mail Server konfigurieren 379 Spitzennutzungsstatistik 200 Major Protokollmeldung Definition 96 Management Information Base bersicht 96 MAPI Unterst tzung 85 87 McAfee Firewall erzwingen 143 Integration 91 Meeting Series Siehe Secure Meeting Methode Definition 92 MIB bersicht 96 Microsoft Authenticode Zertifikat 72 Microsoft JVMSiehe JVM Minor Protokollmeldung Definition 97 MS Exchange Abbildung 118 Protokoll Unterstutzung 85 Unterstutzung 87 Windows Registrierung aktualisieren 118 Multicast Synchronisierungsprotokoll 81 N Namenssperrung Unterstutzung 216 NCP konfigurieren 141 Netegrity SiteMinder Siehe Authentifizierungsserver SiteMinder INDEX 471 Netscape Cachesteuerungs Header Unterst tzung 332 JVM Ausf hrung 72 Mail Unterst tzung 88 Messenger Unterst tzung 86 Secure Meeting Unterst tzung 18 Webserver 147 NetScreen Communication Protocol konfigurieren 141 NetScreen Support Zusammenarbeit mit 418 NetScreen Support ix N rue Zusammenarbeit mit 413 Network Co
152. 90 Info Protokollmeldung Definition 97 InfoExpress erzwingen 143 Integration 91 Initialisierungsmodus Access Series FIPS 10 Installation Kontaktaufnahme mit Support Hilfe ix Instant Virtual Extranet Siehe IVE Interner Port Konfiguration 157 Internet Explorer Cachesteuerungs Header Unterstutzung 332 Secure Meeting Unterstutzung 18 Siehe IE Explorer Internet Explorer JVM Ausf hrung 72 Internet Mail Application Protocol Unterst tzung 85 Internet Explorer JVM Ausf hrung 72 IP Adresse Anmeldeeinschr nkungen Benutzer 428 434 435 Aufl sung 164 Benutzeranforderungen angeben 26 Definition in Ressourcenrichtlinien 46 47 48 49 50 f r externen Port 157 161 Konfiguration 158 161 Network Connect Zuordnung 100 Pools Ressourcenrichtlinien 51 Richtlinien 428 IVE als SiteMinder Webagent konfigurieren 252 Definition 3 Erstkonfiguration 7 herunterfahren 383 in LAN Abbildung 4 Konfiguration grundlegende Schritte 5 RADIUS f r Erkennung konfigurieren 245 IVE neu starten IVE herunterfahren neu starten 383 IVE G ste Siehe Secure Meeting Rollen INDEX iveLogFull MIB Objekt 197 iveLogNearlyFull MIB Objekt 197 iveMaxConcurrentUsersSignedIn MIB Objekt 197 iveReboot MIB Objekt 198 iveShutdown MIB Objekt 198 iveStart MIB Objekt 198 ive TooManyFailedLoginAttempts MIB Objekt 198 J Java Plug In Cache 72 Java Virtual Machine Siehe JVM Java Applets Verbindungen angeben 336 337 JavaScript Aktivi
153. AN Verbindung ber den internen Port der Appliance vor ber den internen Port werden alle WAN und LAN Anforderungen an jede Ressource abgewickelt d h Webbrowserabfragen Dateiabfragen Authen tifizierung und ausgehende Mailanforderungen Nachdem Sie das IVE ein gerichtet haben k nnen Sie mithilfe der Registerkarte System gt Network gt Internal Port die urspr nglichen Einstellungen bei Bedarf aktualisieren Sie k nnen die Appliance auch im Dual Port Modus bereitstellen um ein gehende Proxy SSL Verbindungen f r Web und E Mail an einem externen Port abzufragen wie unter Registerkarte External Port auf Seite 161 beschrieben Au erdem k nnen Sie auf der Registerkarte System gt Network gt Internal Port Einstellungen f r den zus tzlichen virtuellen Hostnamen WINS und den Masterbrowser konfigurieren vi ndern von Netzwerkeinstellungen f r den internen Port LAN Schnittstelle Auf der Registerkarte Internal Port k nnen Sie die Netzwerkeinstellungen ndern die Sie bei der ersten Konfiguration eingegeben haben und Einstel lungen f r den zus tzlichen virtuellen Hostnamen WINS und Masterbrow ser konfigurieren 158 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Hinweis In den meisten Feldern dieser Seite werden bereits die bei der IVE Installation eingegebenen Einstellungen angezeigt So ndern Sie Netzwerkeinstellungen f r den internen Port LAN Schnittstelle 1 Wahlen
154. Abbildung 52 System gt Signing In gt Sign in Policies gt Ausgew hlte Seite 212 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch lV Hochladen einer benutzerdefinierten Anmeldeseite So laden Sie benutzerdefinierte Seiten in das IVE hoch 1 Wahlen Sie in der Webkonsole System gt Signing In gt Sign in Pages aus Klicken Sie auf Upload Custom Pages 3 Geben Sie einen Namen ein um die Seite zu bezeichnen Navigieren Sie im Browser zu der ZIP Datei die Ihre benutzerdefinierte n Seite n enthalt Hinweis Fur die Erstellung benutzerdefinierter Anmeldeseiten stehen Ihnen unter www support netscreen com Vorlagen und Dokumentation zur Verf gung 5 Klicken Sie auf Save Changes Registrierkarte Server Authentifizierungsserver authentifizieren Anmeldeinformationen der Benutzer w hrend Autorisierungsserver Benutzerinformationen bereitstellen die das IVE zur Ermittlung von Benutzerberechtigungen im System verwendet Sie k nnen z B eine Zertifikatserverinstanz angeben die Benutzer anhand ihrer clientseitigen Zertifikatsattribute authentifiziert und dann eine LDAP Serverinstanz erstellen die Benutzer anhand der Werte autorisiert die in einer Zertifikatsperrliste Certificate Revocation List CRL aufgef hrt sind Weitere Informationen zu Authentifizierungsservern finden Sie unter Authentifizierungsserver auf Seite 35 NetScreen Instant Virtual Extranet Plattform 213 Admini
155. Abbildung wird voraus gesetzt dass der Benutzer in der Clientanwendung eine IP Adresse f r localhost als Server festlegt Wenn Sie das IVE f r die Verwendung der automatischen Hostzuordnung f r PC Benutzer konfigurieren beachten Sie Client Server Kommunikation mithilfe von J SAM auf Seite 112 1 Der Benutzer startet eine auf der Seite Client Applications des IVE auf gef hrte Clientanwendung Die Anwendung l st den Remoteserver in localhost auf Die Clientanwendung nimmt Verbindung mit dem auf dem Computer des Benutzers ausgef hrten J SAM auf und beginnt mit dem Senden von Anforderungen J SAM kapselt alle Clientanforderungen und leitet diese ber SSL an das IVE weiter Das IVE entkapselt die Clientdaten und leitet sie zum festgelegten Anwendungsserver weiter Der Anwendungsserver antwortet mit Daten an den IVE Server Das IVE kapselt die Antwort und leitet die Antwort vom Anwendungsserver ber SSL an J SAM weiter J SAM entkapselt die Anwendungsserverdaten und leitet sie an die Clientanwendung weiter NetScreen Instant Virtual Extranet Plattform 113 Administrationshandbuch Client Machine Enterprise Servers Client Application 127 0 1 10 Secure Application ee notes1 company com Manager Java applet f Java applet Port 443 SSL encapsulates Lotus Notes data and securely port forwards it to the IVE notes company com Internet Abbildung 8 Java Secure Application Manager In dieser Abbildu
156. Allow Java applets Diese Option erm glicht es Benutzern zu Webseiten zu navigieren die clientseitige Java Applets enthalten Der IVE Server wird f r den Anwendungsserver wie ein Browser ber SSL behandelt Das IVE verarbeitet alle durch ein Java Applet initiierten HTTP Anforderungen und TCP Verbindungen transparent und verarbeitet signierte Java Applets Wenn Sie diese Funktion aktivieren k nnen die Benutzer Java Applets starten und Anwendungen ausf hren die als clientseitige Java Applets implementiert wurden z B VNC Java Client Virtual Computing Citrix NFuse Java Client WRQ Reflections Web Client und Lotus WebMail Diese Funktion wird zusammen mit den Ressourcenrichtlinien f r die Java Codesignatur verwendet Mask hostnames while browsing Diese Option erm glicht es Benutzern Zielressouren im URL zu verbergen die von Benutzern aufgerufen werden k nnen Wenn Sie die Option ausw hlen werden die IP Adressen und Hostnamen f r den Benutzer an folgenden Stellen maskiert e Adressleiste des Webbrowsers wenn der Benutzer eine Seite aufruft e Statusleiste des Webbrowsers beim F hren des Mauszeigers uber einen Hyperlink e HTML Quelldateien wenn der Benutzer View Source ausw hlt e Die Hostnamencodierung verhindert dass sich zuf llige Besucher den URL einer internen Ressource notieren k nnen da der Zielserver im URL verborgen wird ohne dabei den vollst ndigen Pfadname die Zieldatei oder die Portnummer z
157. Anforderungen f r Feld Wert Paare f r die Ressourcenrichtlinie erf llt die f r die Benutzeranfor derung angegeben wurde Besitzt der Benutzercomputer nicht die Zertifikatsinformationen die f r eine Ressource erforderlich sind verwei gert das IVE dem Benutzer den Zugriff auf die Ressource Die Stammzertifizierungsstelle die zur berpr fung der Clientzertifikate verwendet werden soll wird folgenderma en angegeben System gt Configuration gt Certificates gt CA Certificates Benutzer konfigurieren diese Sicherheitsanforderung folgenderma en Resource Policies gt Ausgew hlte Ressource gt Ausgew hlte Richtlinie gt Detailed Rules gt Ausgew hlte Erstellte Regel gt Bedingungsfeld Kennwort Sie k nnen den Zugriff auf das IVE und auf Ressourcen anhand der Kenn wortl nge einschr nken Bei Anmeldung von Administratoren oder Benutzern am IVE Der Benutzer muss ein Kennwort eingeben das der Mindestkennwort l nge entspricht die f r den Bereich angegeben wurde Beachten Sie dass die Datens tze f r lokale Benutzer und Administratoren auf dem IVE Authentifizierungsserver gespeichert werden Auf diesem Server m ssen Kennw rter mindestens 6 Zeichen lang sein unabh ngig von dem Wert der f r die Authentifizierungsrichtlinie des Bereichs angege ben wurde Administratoren konfigurieren diese Sicherheitsanforderung folgender ma en Administrators gt Authentication gt Ausgew hlter Bereich gt Authentica
158. Ausw hlen l nger als 5 Sekunden warten wird automatisch die aktuelle Systemkonfiguration geladen Sie m ssen dann zur ck in die Webkonsole wechseln und auf Reboot Now klicken um den Vorgang erneut zu starten 6 Wenn Sie aufgefordert werden das Zur cksetzen auf die Werkseinstel lungen zu best tigen geben Sie proceed ein und dr cken Sie dann die Eingabetaste Choose configuration to load current factory reset Hit Tab for choices or wait for auto load Choose configuration to load factory reset Loading factory reset You have chosen to perform a factory reset This operation will restore your appliance to the original factory software configuration IMPORTANT MOTE All system software updates and configuration changes you have performed will he permanently erased Please contact support if you have questions regarding the factory reset Are you sure you want to proceed with factory reset Minicom 1 83 8 i WT182 i Online 6H 68 Abbildung 134 IVE Serielle Konsole Hier wurde das Zur cksetzen auf die Werkseinstellungen ausgew hlt 458 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Das System beginnt mit dem Zur cksetzen des Ger ts auf die Original einstellungen und gibt dabei mehrere Bildschirme mit Daten aus Nach einigen Minuten werden Sie aufgefordert f r die Auswahl von Konfigura tionsoptionen die Tab Taste zu dr cken Hit Tab for choices or wait for au
159. Bei Aktivierung dieser Option k nnen Benutzer Cookies ber die Seite Advanced Preferences l schen 5 Klicken Sie auf Save Changes 298 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch EA NETSCREEN Central Manager Help Sign Out System Roles gt D Status employees hq gt Configuration D Network General Bie Files SAM Telnet SSH Meetings Network Connect D Clustering Bookmarks Options gt Log Monitoring D Signing In Administrators Save Changes N D Authentication gt Delegation Uzar Browsing gt Authentication Specify the web browsing privileges for this role b Roles M User can type URLs Users can browse to sites by typing URLs on their bookmarks page gt New User Resource Policies D Web V Allow Java applets 5 If Java applets are enabled they will normally be modified to allow secure network connections They will be re D Files 2 Fe signed based on the Java Code Signing policy D SAM D Telnet SSH V Mask hostnames while browsing D Network Connect Conceals the actual server name in URLs while the user is browsing gt Meetings D Email Client l Unrewritten pages open in new window Maint When users access pages that are not rewritten see the Selective Rewriting policy page you can force the aintenance content to appear in a new window This can help remind users that they still have a secure session D System D Import Export Bookmarks D Push Config D Archiving M User can a
160. Beispiele Wenn der Anwendungsserver den Namen anwl firma com hat geben Sie die folgenden Ausnahmen ein anwl anwl firma com 127 0 0 1 Wenn der Exchange Server den Namen exchange firma com hat geben Sie die folgenden Ausnahmen ein exchange exchange firma com 127 0 0 1 312 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Registerkarte SAM gt Options Auf der Registerkarte SAM gt Options k nnen Sie allgemeine Optionen f r Secure Application Manager angeben z B f r Start Aktualisierung und Deinstallation von Secure Application Manager sowie zuvor bereitgestellte Ressourcen in Secure Application Manager Ressourcenrichtlinien WM Angeben allgemeiner Optionen f r Secure Application Manager So legen geben Sie allgemeine Optionen f r Secure Application Manager an 1 3 W hlen Sie in der Webkonsole Users gt Roles gt Ausgew hlte Rolle gt SAM gt Options aus Legen Sie unter Secure Application Manager die Optionen fest die f r Benutzer aktiviert werden sollen Auto launch Secure Application Manager Wenn diese Option aktiviert ist startet das IVE Secure Application Manager automatisch wenn sich ein Benutzer anmeldet Wenn die Option nicht aktiviert wird m ssen Benutzer Secure Application Manager im Men Client Applications manuell starten Auto uninstall Secure Application Manager Wenn diese Option aktiviert ist deinstalliert das IVE Secure Application Ma
161. Benutzer folgenderma en vorgehen 1 Konfigurieren Sie Netscape so dass gel schte Nachrichten in den Papier korbordner verschoben werden und aktivieren Sie die Option zum Lee ren des Posteingangs bei Beendigung des Programms 2 Sie sollten immer nur eines der Programme ausf hren und schlie en wenn Sie Ihre Arbeit beendet haben Der Posteingang des anderen Pro gramms wird dann mit dem Server synchronisiert sodass die gleichen Nachrichten angezeigt werden Gesendete E Mail Nachrichten werden au erdem in den Netscape Ord ner f r gesendete Objekte oder einen anderen benutzerdefinierten Ord ner verschoben Wenn Benutzer m chten das gesendete Nachrichten im Ordner Gesendete Objekte von Microsoft Exchange Server angezeigt werden m ssen sie sie manuell aus dem Netscape Ordner f r gesendete Objekte in den Ordner Gesendete Objekte ziehen Exchange Server und POP Clients Wenn es sich bei dem firmeneigenen Mailserver um Exchange Server han delt ist der B rocomputer eines Mitarbeiters wahrscheinlich f r die Ver wendung des E Mail Clients Outlook 2000 oder 2002 im systemeigenen MAPI Modus konfiguriert Laptopbenutzer in der Firma Diese Benutzer k nnen f r den Remote zugriff auf Exchange Server ber das IVE einen der unterst tzten Outlook Express Clients verwenden Benutzer mit Heimcomputern Diese Benutzer k nnen f r den Remotezugriff auf Exchange Server ber das IVE einen der vier Outlook Clients verwenden wob
162. Beschreibung f r das Lesezeichen angeben werden diese Informationen anstelle des Servers der Freigabe auf der IVE Startseite angezeigt Hinweis Ein Windows Server kann nicht mit einem Lesezeichen versehen werden Sie m ssen sowohl den Server als auch den Freigabenamen angeben 300 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch 3 W hlen Sie f r Appearance eine der folgenden Optionen aus e Appear as bookmark on homepage and in file browsing Das Lesezeichen wird dem Benutzer sowohl auf der Willkommensseite als auch beim Navigieren durch Netzwerkdateien angezeigt e Appear in file browsing only Das Lesezeichen wird dem Benutzer nur beim Navigieren durch Netzwerkdateien angezeigt 4 Geben Sie f r Access Folgendes an e Enable auto allow access to this bookmark Das IVE erstellt f r die Windows Zugriffsressourcenrichtlinie automatisch ein Lesezei chen f r diese Rolle Diese Funktion gilt nur f r Rollenlesezeichen nicht f r Lesezeichen die von Benutzern erstellt wurden Das Lese zeichen wird dem Benutzer sowohl auf der Willkommensseite als auch beim Navigieren durch Netzwerkdateien angezeigt e Read write access damit Benutzer Dateien auf dem Server speichern k nnen e Include sub folders damit Benutzer Dateien in den Verzeichnissen unter dem angegebenen Lesezeichenpfad anzeigen k nnen 5 Klicken Sie auf Save Changes oder Save New um ein weiteres Lesezeichen hinzuzuf gen EA N
163. C Policy applies to SELECTED roles C Policy applies to all roles OTHER THAN those selected below Available roles Selected roles Users Add gt none employees apac Au employees emea Remove employees global _Remove N employees hq v Action Allow access Read only Deny access C Use Detailed Rules available after you click Save Changes Abbildung 104 Resource Policies gt Files gt UNIX NFS gt New Policy 360 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Registerkarte Encoding Auf der Registerkarte Files gt Encoding k nnen Sie festlegen wie das IVE die Daten bei der Interaktion mit Dateiservern codiert Mi Angeben der Codierung f r die Internationalisierung von IVE Datenverkehr So geben Sie die Codierung f r die Internationalisierung von IVE Datenverkehr an 1 W hlen Sie in der Webkonsole Resource Policies gt File gt Encoding aus 2 W hlen Sie die entsprechende Option aus e Western European ISO 8859 1 e Japanese Shift JIS e Korean 3 Klicken Sie auf Save Changes EAN NETSCREEN Central Manager Help Sign Out System File Encoding 2 Windows Unix NFS EEEE D Configuration D Network Specify the encoding to use when communicating with Windows and NFS file shares gt Clustering gt Log Monitoring Western European ISO 8859 1 gt Signing In C Japanese Shift JIS Administrators eee D Authentication D Delegati p
164. CE SecurID Token Authentifizierung Der SiteMinder Richtlinienserver authentifiziert Benutzer auf Grundlage von Benutzername und Kennwort die von einem ACE SecurID Token generiert werden NetScreen Instant Virtual Extranet Plattform 249 Administrationshandbuch e Authentifizierung ber clientseitige Zertifikate Der SiteMinder Richtlinienserver authentifiziert Benutzer auf Grundlage ihrer Anmeldeinformationen des clientseitigen Zertifikats Wenn Sie diese Authentifizierungsmethode ausw hlen zeigt das IVE Benutzern weiterhin die Standardanmeldeseite mit der Eingabeaufforderung f r Benutzernamen und Kennwort an Benutzer k nnen diese Felder jedoch einfach leer lassen und auf Submit klicken kann sofern weder das IVE noch der SiteMinder Server die Eingabe von Benutzername und Kennwort erfordern Wichtig Wenn Benutzer anhand dieser Methode authentifiziert werden sollen m ssen Sie die Zertifikate der Zertifizierungsstelle ins IVE importieren Verwenden Sie hierf r die Registerkarte System gt Certificates gt CA Certificates Seite 153 Wichtig Um das IVE so zu konfigurieren dass es mit verschiedenen Authentifizierungsschemas arbeitet ordnen Sie jedem SiteMinder Authentifizierungsschema einen IVE Anmelde URL zu W hrend der Produktion wird folgenderma en verfahren 1 Der Benutzer w hlt einen der Bereiche aus indem er sich unter einem dem Bereich zugeordneten URL anmeldet oder indem er einen Bereich aus einer Dropdown
165. Cachebereinigung Configuration auf Save Changes um diese Einstellungen global zu speichern EA NETSCREEN Central Manager Help Sign Out aysina Configuration D Status b Configuration Licensing EGMA Certificates D Network i y gt Clustering Security Options Host Checker Cache Cleaner gt Log Monitoring gt Signing In Administrators Cleaner Frequency feo minutes min 1 max 60 gt Authentication gt Delegation Status Update Frequency E minutes min 1 max 60 Users gt Authentication bo Rolex Save Changes gt New User Resource Policies gt Web Abbildung 22 System gt Configuration gt Security gt Cache Cleaner NetScreen Instant Virtual Extranet Plattform 147 Administrationshandbuch Registerkarte Certificates gt Server Certificate Auf der Registerkarte System gt Configuration gt Certificates gt Server Certificate k nnen Sie eine Datei mit einem digitalen Serverzertifikat und dem entsprechenden Schl ssel auf das IVE importieren Ein Serverzertifi kat sichert den Netzwerkverkehr von und zu dem IVE Wenn Ihr Unterneh men bereits ber ein digitales Serverzertifikat verf gt importieren Sie die Zertifikatsdatei und den entsprechenden Schl ssel in das IVE Auf dieser Registerkarte k nnen Sie auch ein auf dem vorhandenen privaten Schl ssel basierendes erneuertes Zertifikat importieren oder ein Zertifikat importie ren das auf einer Zertifikatssignaturanforderung basiert die Sie an
166. Client Maintenance D System gt Import Export gt Push Config b Archiving gt Troubleshooting Help Sign Out Configuration Licensing Eis Certificates Security Options Host Checker Cache Cleaner Perform check every fo minutes Save Changes New Delete Host Checker Policy Licensed to YourCompany Inc Host Id ive 2 Copyright 2001 2004 NetScreen Technologies Inc All rights reserved Abbildung 21 System gt Configuration gt Security gt Host Checker 146 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Registerkarte Security gt Cache Cleaner Auf der Registerkarte System gt Configuration gt Security gt Cacheberei nigung k nnen Sie angeben wie oft die Cachebereinigung ausgef hrt und der IVE Status aktualisiert wird Weitere Informationen finden Sie unter Cachebereinigung bersicht auf Seite 63 Mi Angeben globaler Einstellungen f r die Cachebereinigung So geben Sie globale Einstellungen f r die Cachebereinigung an 1 W hlen Sie in der Webkonsole System gt Configuration gt Security gt Cachebereinigung aus 2 Geben Sie auf der Registerkarte Security gt Cachebereinigung Folgen des an e Cleaner Frequency gibt an wie oft die Cachebereinigung ausge f hrt wird e Status Update Frequency gibt an wie oft das IVE erwartet dass die Cachebereinigung sich selbst aktualisiert 3 Klicken Sie auf der Seite
167. ED roles Hiermit gilt die Richtlinie nur f r Benutzer die zu Rollen in der Liste Selected roles zugeordnet sind Dieser Liste m ssen Rollen aus der Liste Available roles hinzugef gt werden e Policy applies to all roles OTHER THAN those selected below Hiermit gilt die Richtlinie f r alle Benutzer au er den Benutzern die zu Rollen in der Liste Selected roles zugeordnet sind Dieser Liste m ssen Rollen aus der Liste Available roles hinzugef gt werden Geben Sie im Bereich Action Folgendes an e Allow socket access Hiermit erlauben Sie den Zugriff auf die Anwendungsserver die in der Liste Resources aufgefuhrt sind e Deny socket access Hiermit verweigern Sie den Zugriff auf die Anwendungsserver die in der Liste Resources aufgefuhrt sind e Use Detailed Rules Hiermit geben Sie eine oder mehrere detaillierte Regeln fur diese Richtlinie an Weitere Informationen finden Sie unter Schreiben einer detaillierten Regel auf Seite 52 Klicken Sie auf Save Changes 8 Ordnen Sie die Richtlinien auf der Seite Secure Application Manager Policies in der Reihenfolge an in der sie vom IVE ausgewertet werden sollen Hinweis Wenn das IVE die Ressource die von einem Benutzer angefordert wurde zu einer Ressource in der Liste Resource f r eine Richtlinie oder ausf hrliche Regel zuordnet f hrt es die angegebene Aktion aus und beendet die Richtlinienverarbeitung 364 NetScreen Instant Virtual Extranet Plattform Adm
168. ETSCREEN Central Manager Help Sign Out System Roles gt gt shee employees hq gt Configuration D Network General Web SAM Telnet SSH Meetings Network Connect gt Cluster Windows Bookmarks UNIX Bookmarks Options D Log Monitoring m m D Signing In Administrators New Bookmark Duplicate Delete t a Save Changes gt Authentication gt Delegation Users Bookmarks Resource Access D Athen m 1 Ghost softwares WGhost softwares m P Roles M 2 Users dana share users carolyn D New User Filtering on for doc Resource Policies D Web D Files D SAM gt Telnet SSH gt Network Connect gt Meetings R D Email Client Maintenance D System See also Windows access control policies that apply to this role ne Im Abbildung 86 Users gt Roles gt Ausgew hlte Rolle gt Files gt Windows Bookmarks NetScreen Instant Virtual Extranet Plattform 301 Administrationshandbuch Registerkarte Files gt UNIX Bookmarks Auf der Registerkarte Files gt UNIX Bookmarks k nnen Sie UNIX NFS Lesezeichen erstellen die auf der IVE Startseite angezeigt werden Sie k nnen den IVE Benutzernamen des Benutzers in den URL Pfad einf gen um so einen schnellen Zugriff auf die Netzwerkverzeichnisse des Benutzers zu erm glichen VI Erstellen von Lesezeichen f r UNIX Ressourcen So erstellen Sie ein Lesezeichen f r eine UNIX NFS Ressource 1 W hlen Sie in der Webkonsole Users gt
169. ETSCREEN NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Konfigurieren einer ACE Serverinstanz Die folgenden Themen werden behandelt ACE Server bersicht cccceccccccccccsececccccccueccecccceccucsecceceuauseseceecuaarseseeeees 215 Definieren einer ACE ServerinsStanZ ccccccececcecececececeecececececceaeaeaecereeaveeaeaes 216 Generieren einer ACE Agent Konfigurationsdatel cccccseccceeseseeeeeseeeeeeeeeees 219 ACEIServer bersicht Wenn die Benutzerauthentifizierung ber einen RSA ACE Server erfolgt k nnen sich Benutzer mit zwei Methoden anmelden e Unter Verwendung der IVE Standardanmeldeseite Der Benutzer wechselt zur Standardanmeldeseite f r das IVE und gibt dann den Benutzernamen und das Kennwort ein bestehend aus der Kombination von PIN und dem aktuellen Wert des RSA SecurID Hardware oder Softwaretokens Das IVE leitet diese Anmeldeinformationen des Benutzers dann an ACE Server weiter e Unter Verwendung der RSA SecurID Authentifizierungsseite Wenn der Benutzer RSA SecurID Software im System installiert hat kann er unter Verwendung des folgenden URL Formats auf die Seite RSA SecurID Authentication wechseln https IVE login ServerInstanz und Eingabe der PIN In Abh ngigkeit von der RSA Konfiguration muss der Benutzer m glicherweise auch den Benutzernamen eingeben Wenn die IVE Appliance die G ltigkeit der Anmeldeanforderung best tigt hat
170. G 10 y y 1 1D y y 2 10 y y n WET U WE j IWEn Internal NIC Internal NIC Internal NIC 10 x_x 1 10 xx2 10 x xn Intranet LAN or WAN Abbildung 5 Aktiv Aktiv Konfiguration Diese Abbildung zeigt eine Aktiv Aktiv Clusterkonfiguration die hinter einem externen Load Balancer bereitgestellt wird Sie k nnen ein Clusterpaar oder ein Cluster mit mehre ren Einheiten im Aktiv Aktiv Modus bereitstellen IVE Benutzeranforderungen werden an die Cluster VIP geleitet die auf dem Load Balancer festgelegt wurde der sie an das ent sprechende Ger t weiterleitet Statussynchronisierung Die Synchronisierung des IVE Status erfolgt nur ber die internen Netz werkkarten daher muss jedes Clustermitglied das Clusterkennwort besit zen um mit anderen Mitgliedern kommunizieren zu k nnen Die Clustermitglieder synchronisieren Daten wenn bei einem der Mitglieder des Clusters eine Status nderung erfolgt IVE Clusterstatusdaten sind entwe der permanent d h dauerhaft im IVE gespeichert oder tempor r d h nur f r die Dauer der Benutzersitzung im IVE gespeichert IVE Statusdaten werden in die folgenden Hauptkategorien unterteilt 80 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch e Systemstatus Dieser Status ist permanent und ndert sich nicht h ufig e Netzwerkeinstellungen e Authentifizierungsserver Konfiguration e Konfiguration von Autorisierungsgruppen zum Beispiel Zugriffssteue rungsliste
171. IP Einschr nkungen auf den unterschiedlichen Ebenen an e Bereichsebene Navigieren Sie zu e Administrators gt Authentication gt Ausgew hlter Bereich gt Authentication Policy gt Source IP e Users gt Authentication gt Ausgew hlter Bereich gt Authentication Policy gt Source IP e Rollenebene Navigieren Sie zu e Administrators gt Delegation gt Ausgew hlte Rolle gt General gt Restrictions gt Source IP e Users gt Authentication gt Ausgew hlter Bereich gt Role Mapping gt Ausgew hlte erstellte Regel gt Benutzerdefinierter Ausdruck e Users gt Roles gt Ausgew hlte Rolle gt General gt Restrictions gt Source IP e Ressourcenrichtlinienebene Navigieren Sie zu Resource Policies gt Ausgew hlte Ressource gt Ausgew hlte Richtlinie gt Detailed Rules gt Ausgew hlte Erstellte Regel gt Bedingungsfeld Gehen Sie anschlie end folgenderma en vor W hlen Sie eine der folgenden Optionen aus e Users can sign in from any IP address Hiermit k nnen sich Benutzer von einer beliebigen IP Adresse aus beim IVE anmelden um die Anforderungen f r die Zugriffsverwaltung zu erf llen e Users can only sign in from the following IP addresses Schr nkt die Anzahl der IP Adressen ein von denen aus sich Benutzer anmelden k nnen um die Anforderungen f r die Zugriffsverwaltung NetScreen Instant Virtual Extranet Plattform 429 Administrationshandbuch zu erf llen Wenn Sie diese Option
172. IV IP pools Export selected settings Export Configuration Abbildung 116 Maintenance gt Import Export gt Roles and Policies gt Export NetScreen Instant Virtual Extranet Plattform 397 Administrationshandbuch Iv Importieren von Rollen und Ressourcenrichtlinien So importieren Sie Rollen und Ressourcenrichtlinien 1 Wahlen Sie in der Web console Maintenance gt Import Export gt Roles and Policies gt Import aus 2 Navigieren Sie zu dem Verzeichnis mit der XML Datendatei die Sie importieren m chten 3 Aktivieren Sie das Kontrollk stchen Overwrite duplicate settings um die Einstellungen auf dem Ziel IVE mit Einstellungen zu berschreiben nicht anzuh ngen die in der XML Datei enthalten sind optional 4 Klicken Sie auf Import Settings EAN Nerscreen Central Manager System D Status gt Configuration D Network gt Clustering gt Log Monitoring D Signing In Administrators gt Authentication gt Delegation Users D Authentication D Roles Help Sign Out Import Export Configuration User Accounts GeCe elf Export Import Import user roles and resource policies from an XML data file ML data file Browse l Overwrite duplicate settings Import Settings Abbildung 117 Maintenance gt Import Export gt Roles and Policies gt Import 398 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch NetScreen Instant Virtual Extranet
173. Key stick screen train windfall quartz poplar reader Permanent Permanent Permanent Permanent NetScreen 4 5000 Advanced 4 Unit Multi Site Cluster 1000 Simultaneous Users razor hardcopy vehicle writer quiz visa terrain YourCompany Inc x X x x x x x x x x 139 140 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Registerkarte Security gt Security Options Mit der Registerkarte System gt Configuration gt Security gt Security Options k nnen Sie die Standardsicherheitseinstellungen f r das IVE fest legen Wir empfehlen die Standardsicherheitseinstellungen zu verwenden die h chste Sicherheit gew hrleisten Falls die Benutzer bestimmte Browser jedoch nicht verwenden oder auf bestimmte Webseiten nicht zugreifen k n nen m ssen Sie diese Einstellungen jedoch m glicherweise ndern Iv Festlegen von systemweiten Sicherheitsoptionen Wenn bei Benutzern beim Zugriff auf bestimmte Webseiten Browser probleme auftreten m ssen Sie ggf Folgendes anpassen e Zul ssige SSL bzw TLS Version F r den NetScreen IVE Server sind standardm ig SSL Version 3 und TLS erforderlich In lteren Browsern wird SSL Version 2 verwendet Sie k nnen entweder die Benutzer ihre Browser aktualisieren lassen oder die Einstellung ndern damit sowohl SSL Version 2 als auch SSL Version 3 zul ssig sind e Zul ssige Verschl sselungsst rke F r
174. Konfigurieren einer Zertifikatserverinstanz u 02240224002n0nnnenenenennn nennen nenn 225 Konfigurieren einer LDAP Serverinstanz 002400222022n0 anne ennenenenennn nee nenen nenn 229 Konfigurieren einer lokalen IVE Server Instanz 2 2002200224000n0enn nennen 235 Konfigurieren einer NIS Serverinstanz 2220222002402enunennennnnennenenenennnennenenenennen 241 Konfigurieren einer RADIUS Serverinstanz 022200220022400ennnnne nenn nenn nenn nennen 243 Konfigurieren einer Netegrity SiteMinder Instanz s2200220002200nnn nennen 247 Anzeigen und L schen von Benufzersitzungen uu22uu2suenennnnnennnnennnennnnnnnn nennen 263 Konfigurieren der Seite Delegation 02200200002200nnno nenn nen ennnenen 265 Registerkarte General annkiieneeucen 268 Registerkarte SVSsieN sen 268 Registerkarte User Role Admin 202200220220020002n0 nenn nnnnnn nenn nnnennnennnnenennn 271 Konfigurieren eines Authentifizierungsbereichs 24022400240 22200 273 Registerkarte General aaa 273 Registerkarte Authentication Policy cccccccccseccsseceeceeceseeteeeeeeeeeseeeeeeenseeneees 275 Registerkarte Role Mapping u22400240020400000 nenn nenne nnn onen nenn nenne nano nano nenn nennen 277 Konfigurieren der Seite Roles 2
175. Leerzeichen oder andere nicht alphanumerische Zeichen enth lt muss der Benutzer Escapezeichen z B 20 in den URL einf gen Geben Sie im Feld ACE Port einen Standardport an Das IVE verwendet diese Einstellung nur wenn in der Datei sdconf rec kein Port angegeben ist Importieren Sie die RSA ACE Agent Konfigurationsdatei Aktualisieren Sie diese Datei im IVE unbedingt bei jeder nderung an der Quelldatei Ebenso m ssen Sie wenn Sie die Instanzdatei aus dem IVE l schen zur Konfigurationsverwaltungsanwendung f r ACE Server wechseln wie unter Generieren einer ACE Agent Konfigurationsdatei auf Seite 219 beschrieben und das Kontrollk stchen Sent Node Secret deaktivieren Klicken Sie auf Save Changes Wenn Sie zum ersten Mal eine Serverinstanz erstellen werden die Registerkarten Settings und Users angezeigt Geben Sie die Bereiche an die der Server f r die Authentifizierung und Autorisierung von Administratoren und Benutzern verwenden soll Seite 273 Hinweis Informationen zum berwachen und L schen von Sitzungen von Benutzern die zu diesem Zeitpunkt ber den Server angemeldet sind finden Sie unter Anzeigen und L schen von Benuizersitzungen auf Seite 263 218 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch EAI NerScreen Central Manager Help Sign Out System Servers gt D state ACEServer D Configuration D Network Settings Users D Clustering D Log Monitoring gt Signi
176. Lesezeichen Nachrichtenubermittlung und Anwendungsdaten e Benutzerprofil Diese Daten k nnen permanent oder tempor r sein je nachdem ob best ndige Cookies und permanente Kennwortzwischenspei cherung aktiviert sind Wenn keine dieser Funktionen aktiviert ist sind die Daten tempor r und fallen in die n chste Kategorie e Benutzerlesezeichen permanent e Permanente Benutzercookies Wenn die Funktion f r permanente Cookies aktiviert ist speichert das IVE Benutzercookies f r Websites die permanente Cookies ausgeben e Permanente Benutzerkennw rter Wenn die Funktion zum Zwi schenspeichern von Kennw rtern aktiviert ist k nnen Benutzer fest legen dass ihre Anmeldeinformationen f r Anwendungen und Websites gespeichert werden e Benutzersitzung Dieser Status ist tempor r und dynamisch Die Benut zersitzungsdaten umfassen Folgendes e Das IVE Sitzungscookie des Benutzers e Tempor re Benutzerprofildaten zu denen Cookies und Kennw rter z hlen die nur w hrend der Benutzersitzung gespeichert werden e berwachungstatus Dieser permanente Status ist dynamisch und besteht aus Protokollmeldungen Das IVE ist f r die Synchronisierung von Daten zwischen Clustermitgliedern verantwortlich unabh ngig davon ob Sie einen Cluster im Aktiv Passiv Modus oder im Aktiv Aktiv Modus bereitstellen Das IVE synchronisiert alle Systemdaten Benutzerprofildaten und das IVE Benutzersitzungscookie sofort Wenn ein Clustermitgli
177. Liste Resources angegeben ist Anmeldeinformationen erforderlich sind vermittelt das IVE die Anfrage indem eine Authentifizierungsanfrage auf dem IVE angezeigt wird Der Benutzer muss die Anmeldeinformationen f r die Freigabe eingeben auf die er zugreifen m chte Use Detailed Rules Hiermit geben Sie eine oder mehrere detaillierte Regeln f r diese Richtlinie an Weitere Informationen finden Sie unter Schreiben einer detaillierten Regel auf Seite 52 7 Klicken Sie auf Save Changes 8 Ordnen Sie die Richtlinien auf der Seite Windows File Access Policies in der Reihenfolge an in der sie vom IVE ausgewertet werden sollen Hin weis Wenn das IVE die Ressource die von einem Benutzer angefordert wurde zu einer Ressource in der Liste Resource f r eine Richtlinie oder ausf hrliche Regel zuordnet f hrt es die angegebene Aktion aus und beendet die Richtlinienverarbeitung NetScreen Instant Virtual Extranet Plattform 357 Administrationshandbuch EA NETSCREEN Central Manager Help Sign Out System Status Configuration Network Clustering Log Monitoring 2 RT OS 97 9 Signing In Administrators D Authentication gt Delegation Users gt Authentication gt Roles gt New User Resource Policies Web Files SAM Telnet SSH Network Connect Meetings T T OF F Yy 2 Email Client Maintenance D System D Import Export gt Push Config D Archiving gt Troubleshooting Windows Credent
178. M Options User can add applications Users can define their own port forwarding applications subject to the ACL M Automatic host mapping Use automatic host mapping to automatically map application servers to the user s workstation for secure port forwarding This requires editing the local hosts file which generally requires that the user have administrative privileges on their workstation If you do not enable this you will need to add the appropriate entries to your external DNS Skip web proxy registry check Select this option to prevent J SAM from checking the user s registry for a web proxy Abbildung 90 Users gt Roles gt Ausgew hlte Rolle gt SAM gt Options NetScreen Instant Virtual Extranet Plattform 315 Administrationshandbuch Registerkarte Telnet SSH gt Sessions Auf der Registerkarte Telnet SSH gt Sessions k nnen Sie Lesezeichen f r sichere Terminalsitzungen erstellen die dieser Rolle zugeordneten Benut zern auf der Willkommensseite angezeigt werden In Lesezeichen f r Termi nalsitzungen sind Informationen zu Terminalsitzungen f r Telnet oder SSH Sitzungen festgelegt die von Benutzer gestartet werden k nnen Diese Sit zungen gew hren Benutzern Zugriff auf eine Reihe von vernetzten Ger ten beispielsweise UNIX Server Netzwerkger te und Legacyanwendungen die das Terminal verwenden Wenn Sie die Aktualisierungsoption Secure Terminal Access aktivieren Telnet SSH den Benutzern jedo
179. Mit der auf der Registerkarte Users gt Roles gt Web gt Option aktivierten Option fur automatische Erlaubnis werden Richtlinien erstellt die gew hrleisten dass Benutzer die f r die Rolle erstellten Weblesezeichen zugreifen k nnen 330 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Registerkarte Access Auf der Registerkarte Access k nnen Sie eine Webressourcenrichtlinie schreiben die steuert auf welche Webressourcen Benutzer zugreifen d rfen um eine Verbindung mit dem Internet Intranet oder Extranet herzustellen Sie k nnen den Zugriff auf Webressourcen nach URL oder IP Bereich zulassen bzw verweigern F r URLs k nnen Sie die Platzhalter und verwenden um mehrere Hostnamen und Pfade effektiv anzugeben F r Ressourcen die Sie nach Hostnamen angeben k nnen Sie au erdem entweder HTTP HTTPS oder beide Protokolle ausw hlen VI Schreiben einer Ressourcenrichtlinie f r den Webzugriff So schreiben Sie eine Ressourcenrichtlinie f r den Webzugriff 1 W hlen Sie in der Webkonsole Resource Policies gt Web gt Access aus Klicken Sie auf der Seite Web Access Policies auf New Policy 3 Geben Sie auf der Seite New Policy Folgendes ein 1 Eine Bezeichnung f r diese Richtlinie 2 Eine Beschreibung der Richtlinie Optional 4 Geben Sie im Bereich Resources die Ressourcen an f r die diese Richtlinie gelten soll Weitere Informationen finden Sie unter Angeben von
180. Modul verwaltet private Kryptographieschl ssel und f hrt SSL Handshakes durch Dabei stellt es die Kompatibilit t mit FIPS sicher und delegiert rechenintensive PKI Aufgaben Public Key Infrastruc ture von der Appliance an das dedizierte Modul Administratoren m ssen f r Access Series FIPS Ger te im Prinzip die glei chen Konfigurationsaufgaben wie f r IVEs durchf hren die nicht dem FIPS Standard entsprechen Nur bei der Initialisierung Clusterbildung und Zerti fikatserzeugung sind kleinere Konfigurations nderungen erforderlich F r die wenigen F lle in denen die Verwaltungsaufgaben abweichen enth lt dieses Handbuch die entsprechenden Anweisungen f r Access Series und Access Series FIPS Administratoren F r Endbenutzer gibt es keine Unter schiede zwischen einem Access Series FIPS System und einem IVE Stan dardsystem Wie funktioniert NetScreen Access Series FIPS Bei der Erstinstallation eines Access Series FIPS Systems werden Sie ber die serielle Konsole des IVE durch die Schritte zum Einrichten einer Security World gef hrt Eine Security World ist ein von Access Series FIPS verwen detes Schl sselmanagementsystem das sich aus den folgenden Elementen zusammensetzt e Kryptographiemodul Das Kryptographiemodul auch als Hardware sicherheitsmodul oder HSM bezeichnet von Access Series FIPS enth lt Hardware und Firmware die direkt in der Appliance installiert wird Eine Security World kann aus einem einzelnen Krypt
181. Monitoring Signing In Administrators Save Changes Reset gt Authentication ed eee eee Abbildung 59 System gt Signing In gt Servers gt Local IVE Authentication lV Erstellen lokaler Benutzer Wenn Sie als Typ des Authentifizierungsservers IVE Authentication auswahlen mussen Sie fur diese Datenbank Datensatze fur lokale Benutzer definieren Ein Datensatz fur einen lokalen Benutzer besteht aus einem Benutzernamen dem vollstandigen Namen und dem Kennwort des Benutzers Datens tze f r lokale Benutzer k nnen fur Benutzer erstellt werden die normalerweise von einem externen Authentifizierungsserver berpr ft werden den Sie deaktivieren m chten Dies bietet sich auch an wenn Sie schnell eine Gruppe von tempor ren Benutzern erstellen m chten So erstellen Sie lokale Benutzerdatens tze f r die lokale IVE Authentifizierung 1 F hren Sie in der Web console einen der folgenden Vorg nge aus e Wahlen Sie System gt Signing In gt Servers aus und klicken Sie auf die IVE Datenbank der Sie ein Benutzerkonto hinzuf gen m chten Klicken Sie auf die Registerkarte Users und dann auf New e Wahlen Sie Users gt New User aus 2 Geben Sie den Benutzernamen den vollst ndigen Namen des Benutzers und ein Kennwort ein Hinweis e In Benutzernamen darf die Zeichenkombination nicht enthalten sein e Wenn Sie den Benutzernamen eines Benutzers nach dem Erstellen seines Kontos ndern m chten m ssen
182. NETSCREEN Central Manager Help Sign Out System Servers gt D Statis partners gt Configuration D Network Settings Users Admin Users D Clustering gt Log Monitoring Signi I igning In Show users named F Show Pan users Update Administrators gt Authentication N Delet gt Delegation _New Delete Users Username Name gt Authentication ERa MT bob Robert Brown D New User M mike Michael Smith Resource Policies fM jen Jennifer Parker D Web M sue Susanne Jackson gt Files gt SAM D Telnet SSH D Network Connect gt Meetings D Email Client Maintenance D System D ImporyExport gt Push Config D Archiving gt Troubleshooting New Delete Abbildung 66 System gt Signing In gt Servers gt Ausgewahlter Server gt Users NetScreen Instant Virtual Extranet Plattform 265 Administrationshandbuch Konfigurieren der Seite Delegation Auf der Seite Administrators gt Delegation k nnen Sie Administrations berechtigungen schreibgesch tzt lese und schreibberechtigt abzulehnen f r verschiedene Systemaufgaben wie Netzwerkbetrieb Einrichtung von Clustern und Protokollierung sowie f r die Funktionen zum Verwalten der auf dem System definierten Benutzerrollen festlegen Weitere Informationen finden Sie unter Delegierte Administration bersicht auf Seite 83 Die Seite Administrators gt Delegation enth lt die folgenden Registerkarten Registerka
183. Notes Zielserver in der Lotus Notes Anforderung Die Anforderung wird dann an den Zielserver weitergeleitet Jede Anforderung im Lotus Notes Protokoll codiert den Zielserver f r die Anforderung Wenn Lotus Notes Anforderungen vom Anwendungsproxy eingehen ruft der IVE Server die Zielserverinformationen von den Anfor derungen ab und verteilt die Anforderungen an den entsprechenden Ziel server weiter Deshalb wird diese Funktion auch dann transparent ausgef hrt wenn von einem einzigen Benutzer auf mehrere Lotus Notes Server zugegriffen wird Der Lotus Notes Server antwortet dem IVE mit E Mail Daten Das IVE kapselt die Antwort vom Lotus Notes Server und leitet diese ber SSL an Secure Application Manager weiter 7 Secure Application Manager entkapselt die vom IVE gesendeten Informationen und leitet die normale Antwort vom Lotus Notes Server an den Lotus Notes Client weiter 120 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Client Machine Enterprise Servers Lotus Notes 127 0 0 1 EEE T notes1 company com gt Port 443 SSL Java applet encapsulates Lotus Notes data and securely port forwards it to the IVE Internet notes2 company com Abbildung 11 Java Secure Application Manager und erweiterte Lotus Notes Unterst tzung In dieser Abbildung wird der Remotestandortwert des Lotus Notes Clients dargestellt der auf dem localhost konfiguriert wird Erweiterte Unterst tzung
184. Obere Bits e IP a b c d Beispiel 10 11 149 2 24 oder 10 11 149 2 255 255 255 0 Sonderzeichen sind nicht zul ssig NetScreen Instant Virtual Extranet Plattform 51 Administrationshandbuch e Ports optional M gliche Werte Entspricht ALLEN Ports andere Sonderzeichen sind nicht zulassig Port Port Eine durch Kommas getrennte Liste einzelner Ports Gultige Portnummern sind 1 65535 Port 1 Ein Portbereich von Port 1 bis Port 2 einschlie lich Port 2 Hinweis Sie k nnen Portlisten und Portbereiche mischen Beispiel 80 443 8080 8090 Wenn kein Port angegeben ist wird der Standardport 80 f r http und 443 fur https zugewiesen Bei der Angabe eines Ports muss das Trennzeichen eingegeben werden Beispiele e lt USER gt danastreet net 5901 5910 e 10 10 149 149 22 23 e tcp 10 11 0 10 80 e udp 10 11 0 10 Angeben von IP Adresspools Kanonisches Format IP_Bereich Der IP Bereich kann im Format a b c d e angegeben werden wobei der letzte Bestandteil der IP Adresse ein durch einen Bindestrich begrenzter Bereich ist Sonderzeichen sind nicht zulassig Beispiel 10 10 10 1 100 52 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Schreiben einer detaillierten Regel Mit den Zugriffsfunktionen f r Web Dateien Secure Application Manager Telnet SSH und Network Connect k nnen Sie Ressourcenrichtlinien f r ein zelne Web Datei Anwendungs und Telnet S
185. Options k nnen Sie benutzerdefinierte Einstellungen f r die IVE Willkommensseite angeben die dieser Rolle zugeordneten Benutzern angezeigt wird Die IVE Willkommensseite oder Startseite ist die Weboberfl che die authentifizierten IVE Benutzern angezeigt wird Aktivieren Sie auf der Registerkarte General gt Overview das Kontrollk stchen UI Options um diese Einstellungen f r die Rolle zu aktivieren Iv Anpassen der IVE Willkommensseite fur Benutzer mit Rollen So passen Sie die IVE Willkommensseite fur Benutzer mit Rollen an 1 Wahlen Sie in der Webkonsole Users gt Roles gt Ausgew hlte Rolle gt General gt UI Options aus Andern Sie in den Abschnitten Custom Text und Custom Error Messages den fur die verschiedenen Fenstertitel verwendeten Standardtext nach Bedarf Legen Sie im Abschnitt Header eine benutzerdefinierte Logobilddatei und eine andere Farbe fur den Seitenkopf fest Um Benutzern benutzerdefinierte Hilfeinformationen oder zusatzliche Anweisungen bereitzustellen wahlen Sie Show Help Button geben Sie eine Beschriftung fur die Schaltflache ein und legen Sie eine HTML Datei fest die in das IVE hochgeladen werden soll Beachten Sie dass im IVE keine Bilder und anderen Inhalte angezeigt werden auf die auf dieser HTML Seite verwiesen wird Klicken Sie auf Save Changes Die Anderungen werden sofort wirksam doch m glicherweise muss bei den aktuellen Browsersitzungen von Benutzern eine Aktualisierung durchge
186. P Ne Ree ee Signing In Administrators gt Authentication D Delegation Users gt Authentication D Roles gt Mew User Resource Policies D Web D Files D SAM gt Telnet SSH D Network Connect D Meetings D Email Client Maintenance D System D Import Export D Push Config D Archiving gt Troubleshooting Help Sign Out Servers gt empSalesEngineers Settings Advanced Users lempSalesEngineers 10 10 10 10 Comma delimited list of names C Yes No SE Agent Name Isalesive A Included for backwards compatibility On logout redirect to Custom Pages feature instead F Protected resource for authentication as configured on ve authentication policy server example ive authentication Resource action for authentication as configured on GET 2 policy server Label to reference this server Name Policy Server Name or IP address Backup Server s Failover Mode Secret Name configured on Policy Server Plesse use the Protected Resource Resource Action SMSESSION cookie settings When sending cookies to the end user s browser yourcompany net Example company com HTTPS Cookie Domain Protocol When sending cookies to the SiteMinder cookie provider Cookie Provider Domain yourcompany net Example company com Protocol HTTPS HTTP Use HTTPS to send cookies securely SiteMinder authentication settings l Automatic Sign In Check if
187. Password Additional Options Email Client Maintenance D System D Import Export 4 C Use LDAP to get Kerberos realm name D Push Config D Archiving C Specify Kerberos realm name gt Troubleshooting Save Changes Reset Licensed to YourCompany Inc TAY Host Id ive 2 Copyright 2001 2004 NetScreen Technologies Inc All rights reserved Abbildung 55 System gt Signing In gt Servers gt Active Directory Windows NT NetScreen Instant Virtual Extranet Plattform 223 Administrationshandbuch Konfigurieren einer Instanz eines anonymen Servers Ein anonymer Server erm glicht Benutzern den Zugriff auf das IVE ohne Angabe von Benutzername oder Kennwort Wenn ein Benutzer den URL einer Anmeldeseite eingibt f r die Authentifizierung durch einen anonymen Server konfiguriert ist umgeht das IVE die IVE Standardanmeldeseite und zeigt dem Benutzer sofort die IVE Willkommensseite an Sie k nnen anonyme Authentifizierung ausw hlen wenn Sie es nicht f r notwendig halten dass die Ressourcen auf dem IVE sehr hohen Sicherheitsanforderungen unterliegen oder wenn Sie die anderen Sicherheitsma nahmen auf dem IVE f r ausreichend halten Sie k nnen z B eine Benutzerrolle mit beschr nktem Zugriff auf interne Ressourcen erstellen und diese Rolle dann mithilfe einer Richtlinie authentifizieren die nur verlangt dass sich Benutzer von einer IP Adresse aus Ihrem internen Netzwerk anmelden Bei dieser Methode wird davon a
188. Policies D Web Save User Accounts Delete b Files gt SAM gt Telnet SSH I 2004 02 04 14 51 07 Restore D Network Connect User accounts backup gt Meetings D Email Client Maintenance D System D Import Export gt Push Config b Archiving gt Troubleshooting Abbildung 120 Maintenance gt Archiving gt Local Backups NetScreen Instant Virtual Extranet Plattform 409 Administrationshandbuch Konfigurieren der Seite Troubleshooting Die Seite Maintenance gt Troubleshooting enth lt die folgenden Registerkarten Registerkarte Policy Tr cing rear 409 Registerkarte Session Recording ccccceccccceeceeceeceeceeeeeceeeeeceuseeseuseesseeeessaes 413 Registerkarte System Snapshot 022200002200002nnnonnnnnennnnnnnnnnne nenne nennen 414 Registerkarte Gr DUMP zen te eal ee ee ees 415 Registerkarte Commands cccccccccsssceceeececceucecseaceceuseecsseessuacesseaeessansessaaees 417 Registerkarte Remote Debugging 2z02220000000n0onnnnnonnnnnonnnnnennnnne nennen 418 Auf der Seite Maintenance gt Troubleshooting k nnen Sie Folgendes durchf hren Aufzeichnen einer Richtlinienverfolgungsdatei zur Fehlerbehebung 409 Aufzeichnen einer Ablaufverfolgungsdatei zur Fehlerbehebung 413 Erstellen eines Snapshots des IVE Systemstatus c cccccseseeeeeeeeeeeeeeeeaeeees 414 Sniffing von Net
189. Policies gt Ausgew hlte Ressource gt Ausgew hlte Richtlinie gt Detailed Rules gt Ausgew hlte Erstellte Regel gt Bedingungsfeld 28 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Browser Sie k nnen den Zugriff auf das IVE und auf Ressourcen anhand des Brow sertyps einschr nken Bei Anmeldung von Administratoren oder Benutzern am IVE Der Benutzer muss sich von einem Browser anmelden dessen Benutzer Agent Zeichenfolge dem Zeichenfolgenmuster entspricht das f r den ausgew hlten Authentifizierungsbereich angegeben wurde Wenn die Be nutzer Agent Zeichenfolge des Browsers fur den Bereich zul ssig ist lei tet das IVE die Anmeldeinformationen an den Authentifizierungsserver weiter Wenn die Benutzer Agent Zeichenfolge des Browsers nicht f r den Bereich zul ssig ist leitet das IVE die Anmeldeinformationen nicht an den Authentifizierungsserver weiter Administratoren konfigurieren diese Sicherheitsanforderung folgender ma en Administrators gt Authentication gt Ausgew hlter Bereich gt Authentication Policy gt Browser Benutzer konfigurieren diese Sicherheitsanforderung folgenderma en Users gt Authentication gt Ausgew hlter Bereich gt Authentication Policy gt Browser Bei Zuordnung von Administratoren oder Benutzern zu einer Rolle Der authentifizierte Benutzer muss sich von einem Browser anmelden dessen Benutzer Agent Zeichenfolge den jeweils angegebenen Zeichen folgen
190. Resources einer Richtlinie angegebenen Ressource abgleicht wertet es weitere Richtlinieneinschr n kungen aus und gibt die entsprechende Aktion an das IVE zur ck Es wer den keine weiteren Richtlinien ausgewertet Wenn keine Richtlinie zutrifft wertet das IVE Lesezeichen f r automatische Erlaubnis sofern definiert aus andernfalls wird die Standardaktion f r die Richtlinie zur ckgegeben Die erforderlichen kanonischen Formate werden in folgenden Abschnitten beschrieben e Angeben von Webressourcen 46 e Angeben von Windows Dateiressourcen 48 e Angeben von UNIX NFS Dateiressourcen 49 e Angeben von Serverressourcen 50 e Angeben von IP Adresspools 51 Allgemeine Anmerkungen zu kanonischen Formaten e Wenn eine Pfadkomponente mit einem Schragstrich und einem Stern chen endet entspricht dies dem untergeordneten Knoten und allen weiteren Unterverzeichnissen Wenn eine Pfadkomponente mit einem Schr gstrich und einem Prozentzeichen endet entspricht dies dem untergeordneten Knoten und allen Elementen die sich genau einer Ebene darunter befinden Beispiel intranet entspricht Folgendem intranet intranet home html intranet elee public index html intranet entspricht Folgendem 46 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch intranet intranet home html but NOT intranet elee public index html Der Hostname und die IP Adresse einer Ressource werden gleichzeitig
191. Resta see eee 253 Festlegen einer Netegrity SiteMinder Instanz ccccceccceseeececeeeeeseeeeeseeeeeeaees 255 Einrichten von erweiterten SiteMinder Konfigurationsoptionen 260 Netegrity SiteMinder bersicht Bei der Benutzerauthentifizierung eines Benutzers mit einem Netegrity SiteMinder Server berpr ft das IVE auf der Anmeldeseite eingegebene Benutzername und das Kennwort ber einen Netegrity SiteMinder Server bevor es ggf Zugriff gew hrt Bei der Authentifizierung leitet das IVE die Anmeldeinformationen an den Netegrity SiteMinder Server weiter um Benutzern Authentifizierung per Einzelanmeldung ber SiteMinder zu erm glichen Der SiteMinder Server kann Standard Netegrity Authentifizierung ACE SecurID Tokens oder clientseitige Zertifikate zur Authentifizierung der Anmeldeinformationen verwenden die vom IVE weitergeleitet wurden wie unter Authentifizierung mit mehreren Authentifizierungsschemas auf Seite 248erl utert Wenn ein Benutzer ber einen SiteMinder Server mit einer bestimmten Sicherheitsebene authentifiziert wird erh lt der Benutzer nahtlosen Zugriff auf SiteMinder Webressourcen die Sicherheitsebene entsprechen oder eine niedrigere Sicherheitsebene aufweisen Wenn ein Benutzer versucht auf eine Webressource einer h heren Sicherheitsebene zuzugreifen kann auch eine erneute Authentifizierung ber das IVE erfolgen wie unter Konfiguration des IVE sodass Benutzer mit niedri
192. Rolle Benutzerrolle Siehe Rolle Bereich Definition 6 23 Konfiguration 273 427 Sicherheitsanforderungen 24 vorkonfigurierte Bereiche 6 Zuordnung zu Anmelderichtlinie 204 Beschleunigerkarte SSL 387 ZIP 387 Broadcast Synchronisierungsprotokoll 81 Browser Anmeldeeinschrankungen Benutzer 429 Cachesteuerung Unterstutzung 332 Einschrankungen konfigurieren 24 25 28 INDEX 467 Richtlinien 429 Browsereinschrankungen konfigurieren 24 Browsingprobleme Web 413 C Cache Header 334 Java Plug In 72 leeren 63 Regeln 332 Cachebereinigung Einschrankungen konfigurieren 24 25 Konfiguration 64 146 Sicherheitsanforderungen festlegen 32 Ubersicht 63 Cachesteuerung No Store 334 Central Manager Ubersicht 67 Chat Fenster Siehe Secure Meeting Textnachrichten Citrix NFuse Liste unterstutzter Versionen 120 Ubersicht 120 Clientseitige Java Applets Verbindungen angeben 336 337 Cluster ACE Server Unterstutzung 216 aktiv aktiv 78 aktiv passiv 76 Aktualisierung 173 Beitritt 175 Definition 168 Eigenschaften andern 182 Erstellung 168 Hostnamen 158 164 Initialisierung 76 168 Kennwort 79 Konfiguration 75 167 loschen 184 Protokollierung 80 81 Status Definition 173 197 Statussynchronisierung 79 Synchronisierung 76 79 81 uber serielle Konsole hinzufugen 179 uber Webkonsole hinzufugen 176 Verwaltung 170 172 INDEX Clusterpaar Anforderungen 167 Definition 75 Codesignaturrichtlinien f r Java 337 Codesignaturzertifika
193. Rollen aus der Liste Available roles hinzugef gt werden e Policy applies to all roles OTHER THAN those selected below Hiermit gilt die Richtlinie f r alle Benutzer au er den Benutzern die zu Rollen in der Liste Selected roles zugeordnet sind Dieser Liste m ssen Rollen aus der Liste Available roles hinzugef gt werden Geben Sie im Bereich Action Folgendes an e Allow access Hiermit erlauben Sie den Zugriff auf die Server die in der Liste Resources aufgefuhrt sind e Deny access Hiermit verweigern Sie den Zugriff auf die Server die in der Liste Resources aufgefuhrt sind e Use Detailed Rules Hiermit geben Sie eine oder mehrere detaillierte Regeln fur diese Richtlinie an Weitere Informationen finden Sie unter Schreiben einer detaillierten Regel auf Seite 52 Klicken Sie auf Save Changes NetScreen Instant Virtual Extranet Plattform 367 Administrationshandbuch 8 Ordnen Sie die Richtlinien auf der Seite Telnet SSH Policies in der Reihenfolge an in der sie vom IVE ausgewertet werden sollen Hinweis Wenn das IVE die Ressource die von einem Benutzer angefordert wurde zu einer Ressource in der Liste Resource f r eine Richtlinie oder ausf hrliche Regel zuordnet f hrt es die angegebene Aktion aus und beendet die Richtlinienverarbeitung EA NETSCREEN Central Manager Help Sign Out System D Status gt Configuration D Network gt Clustering gt Log Monitoring D Signing In Administra
194. Rollen in der Liste Selected roles zugeordnet sind Dieser Liste m ssen Rollen aus der Liste Available roles hinzugef gt werden 340 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch 6 Geben Sie im Bereich Action Folgendes an e Rewrite content Das IVE vermittelt samtliche Webinhalte der Ressourcen die in der Liste Resources angegeben sind e Don t rewrite content Das IVE vermittelt keine Webinhalte der Ressourcen die in der Liste Resources angegeben sind Wenn ein Benutzer eine Ressource anfordert auf die diese Option zutrifft zeigt das IVE eine Seite an die eine Verknupfung mit der angeforderten Ressource enthalt und der Benutzer wird aufgefordert auf diese Verkn pfung zu klicken Durch diese Verkn pfung wird die Ressource in einem neuen Browserfenster ge ffnet und die Seite von der die Anforderung urspr nglich durchgef hrt wurde wird weiterhin im IVE angezeigt e Use Detailed Rules Hiermit geben Sie eine oder mehrere detaillierte Regeln f r diese Richtlinie an Weitere Informationen finden Sie unter Schreiben einer detaillierten Regel auf Seite 52 7 Klicken Sie auf Save Changes 8 Ordnen Sie die Richtlinien auf der Seite Web Rewriting Policies in der Reihenfolge an in der sie vom IVE ausgewertet werden sollen Hinweis Wenn das IVE die Ressource die von einem Benutzer angefordert wurde zu einer Ressource in der Liste Resource f r eine Richtlinie oder ausf hrliche Regel
195. S 461 Wiederherstellen einer archivierten Security World nur Access Series FIPS 463 VI Herstellen einer Verbindung mit der seriellen Konsole des IVE Um Aufgaben ber die serielle Konsole des IVE durchf hren zu k nnen m ssen Sie eine Terminalkonsole oder einen Laptop an das IVE Ger t anschlie en So stellen Sie eine Verbindung mit der seriellen Konsole des IVE her 1 Schlie en Sie ein Nullmodem Crossover Kabel vom Konsolenterminal oder Laptop an das IVE Ger t an Dieses Kabel ist im Lieferumfang des Ger ts enthalten Verwenden Sie kein einfaches serielles Kabel 2 Konfigurieren Sie das Terminal oder die Terminalemulationssoftware beispielsweise HyperTerminal mit den folgenden Parametern f r serielle Verbindungen e 9600 Bit pro Sekunde e 8 Bit keine Parit t 8N1 e 1 Stopp Bit e Keine Flusskontrolle 3 Dr cken Sie die Eingabetaste bis die serielle Konsole von IVE angezeigt wird Hinweis Wenn Sie ein Access Series FIPS Ger t betreiben und zum ersten Mal eine Verbindung mit der seriellen Konsole herstellen m ssen Sie zudem den Modusschalter des Kryptographiemoduls auf Initialisierungsmodus stellen 454 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch IVE HyperTerminal File Edit View Call Transfer Help Current version 4 8 codefreeze 130 1 build 5466 Rollback version 3 3 1 GA build 5130 View set network settings IP netmask gate
196. SH Meetings Network Connect D Clustering Bookmarks Options D Log Monitoring D Signing In Administrators SO New Bookmark _ Duplicate Delete gt Delegation Users Bookmarks ABeouncE save Changes D Authentication O 1 Web server http matrix neoteris com b Roles gt New User Resource Policies R D Web gt Files D SAM gt Telnet SSH D Network Connect D Meetings D Email Client Maintenance i s See also Web policies that apply to this role D System D Import Export Access control policies e Selective rewriting gt Push Config Caching Passthrough proxy D Archiving Java access control Single Sign On gt Troubleshooting Java code signing e Web proxy Abbildung 84 Users gt Roles gt Ausgew hlte Rolle gt Web gt Bookmarks 296 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Registerkarte Web gt Options Auf der Registerkarte Web gt Options k nnen Sie allgemeine Webbrowsingoptionen festlegen Mi Angeben von allgemeinen Webbrowsingoptionen So geben Sie allgemeine Webbrowsingoptionen an 1 W hlen Sie in der Webkonsole Users gt Roles gt Ausgew hlte Rolle gt Web gt Options aus Geben Sie unter Browsing die Optionen an die f r Benutzer aktiviert werden sollen User can type URLs Diese Option erm glicht es Benutzern auf der Willkommensseite URLs einzugeben und zu Sites im Internet zu navigieren
197. ST Aktionen zur Anwendung kommen ein Ablauf nach einer bestimmten Zeit auftritt oder POST Aktionen ablaufen die zum Zeitpunkt der Erstellung des Formulars generiert wurden NetScreen Instant Virtual Extranet Plattform 109 Administrationshandbuch Secure Application Manager bersicht Die Aktualisierungsoption Secure Application Manager erm glicht sicheren Remotezugriff von Clientanwendungen auf Unternehmensserver auf Anwendungsebene Sie k nnen zwei Versionen von Secure Application Manager bereitstellen e Windows Version W SAM Die Windows Version von Secure Application Manager ist eine Windows 32 L sung f r die sichere transparente Umleitung ausgehender TCP Ver bindungen ber ein IVE Ger t f r jeweils eine Anwendung oder einen Host Die Software wird von einem im IVE gehosteten ActiveX Steuerele ment heruntergeladen und gestartet Weitere Informationen finden Sie unter Windows Secure Application Manager W SAM bersicht auf Seite 109 e Java Version J SAM Die Java Version des Secure Application Manager bietet Unterst tzung f r TCP Client Server Anwendungen mit statischen Ports einschlie lich er weiterter Unterst tzung von Microsoft MAPI Lotus Notes und Citrix NFuse J SAM unterst tzt zudem NetBIOS wodurch Benutzer bestimmten gesch tzten Ressourcen Laufwerke zuordnen k nnen J SAM funktioniert fehlerfrei in einer Vielzahl von Netzwerkkonfigurationen wobei TCP Client Server Anwendungen mit dyn
198. Save Changes Reset Licensed to YourCompany Inc a Host Id ive 2 i Copyright 2001 2004 NetScreen Technologies Inc All rights reserved r gt Abbildung 44 System gt Log Monitoring gt Events gt Settings NetScreen Instant Virtual Extranet Plattform Administrationshandbuch EA NETSCREEN Central Manager System D Status D Configuration D Network gt Clustering b Log Monitoring D Signing In Administrators gt Authentication D Delegation Users gt Authentication D Roles gt Mew User Resource Policies Web D D Files D SAM D Telnet SSH D Network Connect D Meetings D Email Client Maintenance D System D Import Export gt Push Config D Archiving gt Troubleshooting Licensed to YourCompany Inc Host Id ive 2 Copyright amp 2001 2004 NetScreen Technologies Inc All rights reserved 4 Help Sign Out Logs Events WESTENS Admin Access SNMP Statistics Filters Log Settings Save Changes Reset Maximum Log Size Max Log Size 200 MB Note To archive log data see the Archiving page Select Events to Log V Login logout M Java Proxy M User Settings V Secure Terminal V Network Connect V Web Requests M File Requests V Meeting V Email Requests Syslog Servers Events are logged locally You can also log them to one or more external Syslog servers Server name IP u Facility Filter LOCALO WELF WELF
199. Serverzertifikat und einen privaten Schl ssel auf den IVE importieren Zun chst m ssen Sie das Serverzertifikat und die pri vate Schl sseldatei vom vorhandenen Webserver exportieren Anschlie Bend importieren Sie diese Dateien ber die Registerkarte System gt Configuration gt Certificates gt Server Certificate Seite 147 Wichtig Beim Importieren eines Zertifikats muss dieses verschl sselt sein und das Kennwort muss mit dem Zertifikat exportiert werden Au erdem k n nen Sie k nnen den privaten Schl ssel eines Webserverzertifikats nicht auf ein Access Series FIPS Ger t importieren da dieser Schl ssel in einer Umge bung erzeugt wird die nicht mit FIPS kompatibel ist Sie k nnen aber einen Zertifikatsschl ssel zusammen mit der Security World von einem anderen NetScreen IVE Access Series Ger t impotieren Erstellen Sie eine Zertifikatssignaturanforderung Certificate Signing Request CSR die an eine Zertifizierungsstelle gesendet wird Seite 151 Wenn die Zertifizierungsstelle die signierte Datei zur ck sendet importieren Sie diese ber die Registerkarte System gt Configuration gt Certificates gt Server Certificate Seite 152 Clientzertifikate Sie k nnen das IVE so konfigurieren dass ein Benutzer f r die Anmeldung am System ein g ltiges clientseitiges Zertifikat angeben muss Um festzule gen dass ein Benutzer ein g ltiges clientseitiges Zertifikat angeben muss m ssen Sie die folgenden Schritte a
200. Sie anschlie end auf Save Changes Optional Aktivieren Sie unter Options folgende Kontrollk stchen e Session Options um die auf der Registerkarte General gt Session Options konfigurierten Einstellungen auf die Rolle anzuwenden e UI Options um die auf der Registerkarte General gt UI Options konfigurierten Einstellungen auf die Rolle anzuwenden Aktivieren Sie unter Access features die f r die Rolle vorgesehenen Funktionen Folgende Optionen stehen zur Verf gung Web Dateien Secure Application Manager Windows oder JAVAVERSION Telnet SSH Konferenzen E Mail Client und Network Connect Klicken Sie auf Save Changes um die Einstellungen auf die Rolle anzuwenden NetScreen Instant Virtual Extranet Plattform Administrationshandbuch 287 EA NerScreen Central Manager System Status Configuration Network Clustering Log Monitoring S77 Se Se Q2 9 Signing In Administrators gt Authentication gt Delegation Users gt Authentication b Roles gt New User Resource Policies D Web gt Files D SAM gt Telnet SSH D Network Connect gt Meetings D Email Client Maintenance b gt System D Import Export gt Push Config D Archiving gt Troubleshooting Help Sign Out Roles gt employees hq eine Web Files SAM Telnet SSH Meetings Network Connect Restrictions Overview Session Options UI Options Name lemployees hh Description a ja Save Cha
201. Sie es ber seine Webkonsole zu einem Cluster hinzuf gen e Serielle Konsole Ein werksseitig eingestelltes IVE k nnen Sie ber seine serielle Konsole zu einem Cluster hinzuf gen indem Sie bei der Ersteinrichtung die Minimalinformationen eingeben Wenn ein IVE einem Cluster hinzugef gt wird initialisiert es seinen Status von einem vorhandenen Mitglied das Sie angeben Das neue Mitglied sen det eine Nachricht an das vorhandene Mitglied und fordert die Synchroni sierung an Das bestehende Mitglied sendet daraufhin den Systemstatus an das neue Mitglied wodurch alle Systemdaten dieses Ger ts berschrieben werden Wenn sich zu einem sp teren Zeitpunkt bei einem der Cluster mitglieder der Status ndert synchronisieren die Clustermitglieder die Daten Die Kommunikation zwischen Clustermitgliedern ist verschl sselt um Angriffe von au erhalb der firmeninternen Firewall zu verhindern Jedes IVE verwendet das gemeinsame Kennwort zum Entschl sseln der Nachrich ten von anderen Clustermitgliedern Das Clusterkennwort wird aus Sicher heitsgr nden nicht ber die IVEs hinweg synchronisiert Bei der Synchronisierung empf ngt der neue Knoten das Dienstpaket das den Knoten aktualisiert sofern auf diesem noch ein lteres Dienstpaket ausge f hrt wird Weitere Informationen finden Sie unter Bereitstellen eines Clusterpaars im Aktiv Passiv Modus 220222002220022200 en 76 Bereitstellen eines Clusterpaars oder eines Clusters
202. Sie in der Webkonsole System gt Network gt Internal Port aus 2 Geben Sie im Feld Virtual Hostname den vollst ndig qualifizierten Hostnamen des IVE ein der von Secure Meeting und den Pass Through Proxy Funktionen verwendet werden soll Secure Meeting verwendet den angegebenen Hostnamen zum Einf gen der Konferenz URLs in Benachrichtigungs E Mails und fur SMTP Aufrufe Seite 375 Die Funk tion Pass Through Proxy verwendet den angegebenen Hostnamen als Alias f r den Hostnamen des Anwendungsservers Seite 348 Hinweis Wenn die IVE Appliances in einem Cluster gruppiert sind wird der angegebene virtuelle Hostname im Cluster synchronisiert In Clustern mit mehreren Sites empfiehlt es sich jedoch diese Einstellung zu berschreiben und unterschiedliche Hostnamen f r die einzelnen Knoten des Clusters mit hilfe der Optionen auf der Seite System gt Clustering anzugeben 3 Aktualisieren Sie im Abschnitt Address Information die Einstellungen f r IP Adresse Netzmaske Gateway und bertragungsrate f r die jeweilige IVE Appliance Diese Felder enthalten standardm ig die Ein stellungen die beim ersten IVE Setup eingegeben wurden 4 Geben Sie im Feld ARP Ping Timeout an wie lange das IVE h chstens auf Antworten auf ARP Anforderungen Address Resolution Protocol warten soll Cluster von IVE Appliances senden ARP Anforderungen an die Gateways von anderen IVE Appliances um zu berpr fen ob die Kommunikation ordnunggem
203. Sie unter Zugriff auf den Konferenz URL auf Seite 17 Erstellen von Sofortkonferenzen Durch Erstellung einer Sofortkonferenz kann die Konferenzplanung erheb lich abgek rzt werden Wenn der IVE Benutzer auf Instant Meeting klickt erstellt Secure Meeting automatisch eine Konferenz mit einem eindeutigen Namen und Kennwort legt den Beginn der Konferenz auf sofort fest gibt eine Dauer von 30 Minuten an f gt den Konferenzersteller als einzigen Teil nehmer hinzu und zeigt die Seite Launch Meeting Application auf dem Desktop des Konferenzerstellers an Auf dieser Seite aus kann der Konfe renzersteller das automatisch erstellte Kennwort ndern oder annehmen und die Konferenz starten Da der Konferenzersteller der einzige Teilnehmer der Sofortkonferenz ist kann er andere Teilnehmer nicht mithilfe von E Mail Benachrichtigungen hinzuf gen Stattdessen muss er anderen Teilnehmern die f r die Konfe renzteilnahme erforderlichen Informationen zusenden z B URL ID und Kennwort Diese Informationen werden auf der Seite Launch Meeting Application angegeben Da der Konferenzersteller auch der einzige IVE Teilnehmer ist kann er als Einziger die Konferenz leiten Konferenzteilnahme Wenn der Gast der Konferenz beitritt l dt Secure Meeting eine ActiveX Komponente oder ein Java Applet auf das System des Gastes herunter Die Clientkomponente enth lt einen Konferenz Betrachter Pr sentationstools und eine Anwendung zur bermittlung von Text
204. Typ des Webservers f r den das Zertifikat bestimmt ist W hlen Sie apache_modssl aus Falls mehrere Optionen mit apache _modssl verf gbar sind k nnen Sie eine beliebige ausw hlen W hlen Sie au erdem falls Sie zur Auswahl des Formats des herunterzuladenden Zertifikats aufgefordert wer den das Standardformat aus SEA 722777777 Central Manager Help Sign Out System D Status b Configuration D Network b Clustering gt Log Monitoring D Signing In Administrators gt Authentication D Delegation Users gt Authentication D Roles gt New User Resource Policies D Web D Files D SAM D Telnet SSH D Network Connect D Meetings gt Email Client Maintenance D System D Import Export gt Push Config D Archiving gt Troubleshooting There is already a pending CSR You can resend the pending CSR if you believe that your request was lost or you did not receive the certificate from the Certificate Authority Alternatively fill out the form below to create a new CSR but this will delete the pending CSR New Certificate Signing Request Use this page to create a new Certificate Signing Request CSR to send to your Certificate Authority of choice Common Name e 9 secure company com Organization Name e 9 Company Inc liveserver yourcompany co YourCompany Inc Org Unit Name e g IT Group Locality e 9 SomecCity State fully spelled out
205. URLs festlegen e Die erste Richtlinie verwendet den URL admin und ordnet die Standardanmeldeseite f r Administratoren zu e Die zweite Richtlinie verwendet den URL eigenefirma com admin und ordnet eine benutzerdefinierte Anmeldeseite f r Administratoren zu Wenn Sie die Richtlinien auf der Seite Sign in Policies in dieser Reihenfolge auff hren wertet das IVE die zweite Richtlinie niemals aus bzw verwendet sie nie da der erste URL den zweiten einschlie t Selbst bei der Anmeldung eines Administrators ber den URL eigenefirma com admin zeigt das IVE die Standardanmeldeseite f r Administratoren an Wenn Sie die Richtlinien hingegen in umgekehrter Reihenfolge auff hren zeigt das IVE die benutzerdefinierte Anmeldeseite allen Administratoren an die ber den URL eigenefirma com admin auf das IVE zugreifen Das IVE akzeptiert nur Platzhalterzeichen im Hostnamenabschnitt des URL und ordnet den URL anhand des exakten Pfades zu Sie k nnen z B zwei Administrator Anmelderichtlinien mit zwei verschiedenen URL Pfaden festlegen e Die erste Richtlinie verwendet den URL marketing und ordnet eine benutzerdefinierte Anmeldeseite f r die gesamte Marketingabteilung zu e Die zweite Richtlinie verwendet den URL marketing joe und ordnet eine benutzerdefinierte Anmeldeseite zu die ausschlie lich f r den Mitarbeiter Joe der Marketingabteilung vorgesehen ist Wenn Sie die Richtlinien auf der Seite Sign in Policies in dieser Reihenfo
206. VE erfolgen soll Authenticate using HTML form post W hlen Sie diese Option aus wenn die Authentifizierung ber einen anderen Web Agent erfolgen soll Geben Sie dann die Einstellungen f r die Formularbereitstellung an Einstellung Target Protocol Webagent Port Path Parameters Beschreibung URL auf dem externen Netegrity f higen Webserver Protokoll f r die Kommunikation zwischen dem IVE und dem angegebenen Web Agent Verwenden Sie HTTP f r die ungesicherte Kommunikation oder HTTPS f r die sichere Kommunikation Name des Web Agents von dem das IVE SMSESSION Cookies abrufen soll In diesem Feld kann keine IP Adresse eingegeben werden Wenn die IP Adresse als Web Agent angegeben wird k nnen manche Browser keine Cookies akzeptieren Port 80 f r HTTP oder Port 443 f r HTTPS Pfad der Web Agent Anmeldeseite Post Parameter die bei der Anmeldung eines Benutzers gesendet werden Standardm ig verwendet das IVE die Variablen _ _USER_ _ _ _PASS_ _und_ _TARGET_ _ Diese Variablen werden durch den vom Benutzer auf der Anmeldeseite des Web Agents eingegebenen Benutzernamen und das Kennwort sowie durch den im Feld Target angegebenen Wert ersetzt Weitere Informationen und Einschr nkungen zu diesen Optionen finden Sie unter Automatische Anmeldung beim IVE mithilfe von SiteMinder Authentifizierung auf Seite 249 258 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch 16
207. VE mit der Aktualisie rungsoption Secure Application Manager lizenziert sein 87 88 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Exchange Server und IMAP Clients Falls es sich bei dem firmeneigenen Mailserver um Exchange Server han delt ist der B rocomputer eines Mitarbeiters wahrscheinlich f r die Ver wendung des E Mail Clients Outlook 2000 oder 2002 im systemeigenen MAPI Modus konfiguriert Laptopbenutzer in der Firma Diese Benutzer k nnen einen der Outlook Express oder Netscape Clients f r den Remotezugriff auf Exchange Server ber das IVE verwenden Benutzer mit Heimcomputern Diese Benutzer k nnen einen der sechs unterst tzten E Mail Clients f r den Remotezugriff auf Exchange Server ber das IVE verwenden wobei davon ausgegangen wird dass auf dem Remotecomputer kein MAPI Konto konfiguriert ist Wenn Benutzer die Outlook Express oder Netscape Clients im IMAP Modus ausf hren beachten Sie bitte das folgende Verhalten bei der Ordner verwaltung Bei Verwendung von Outlook Express E Mail Clients Gel schte E Mail Nachrichten werden im Posteingang von Outlook Express durchgestrichen angezeigt Sie werden nicht in den Ordner Gel schte Objekte auf dem Exchange Server verschoben wie es bei Verwendung des Outlook 2000 oder 2002 Clients der Fall ist Wenn ein Benutzer gel schte E Mail Nachrichten in einem Outlook Express Client entfernt werden die E Mail Nachrichten endg ltig gel sch
208. VETZEILN Kalte ee ee ee ee T AT 69 Glientzertufiik le ass an kiklalk 70 PAD DICTZOMINIKANS nern 71 Gl ster bersicht un ae asien 75 Gluster UDersiCht za an ee ee 75 Bereitstellen eines Clusterpaars im Aktiv Passiv Modus 2 0022002200220 220er 76 Bereitstellen eines Clusterpaars oder eines Clusters mit mehreren Einheiten im AKUVAKUV Modus ea 78 StatUSSYAEHTORISIEFUNG iraina aaa rel 179 Bereitstellen eines Clusters in einer Access Series FIPS Umgebung 81 Delegierte Administration bersicht 2222444222204 Ren nnnnnnnnnnennnnnen nennen 83 E Mail Client bersicht 0 cccccccscsceccesecceceescceccesecesseseccesessnseesessncesensnceevesaaees 85 Ausw hlen eines E Mail Clients 022002202200220snesnnennnsnnennnennnnenennnnnennnennnnen 86 Arbeiten mit einem standardbasierten Mailserver u024022402400en nen nnn nennen 86 Arbeiten mit Microsoft Exchange Server cccccccseccceecceeeceeeseeceuseceeecueesegeeeeesaes 87 Arbeiten mit Lotus Notes und Lotus Notes Mail Server us 0022002sseneneennenneenn 90 Hostpr fung bersicht 222204422204442nnenennnnnnnnnnnnnnnnnnnnnnnnnennnnnnnnnnnnnennnnnnn 91 Protokollierung und berwachung bersicht 2220042224444220e nennen 95 Schweregrade der Protokolldatei 2 2022200200000000000 00000 nnn onen nenn
209. Virtual Extranet Plattform Administrationshandbuch Angeben von Anwendungen die mit J SAM gesichert werden sollen 306 Konfigurieren der externen DNS Server und Benutzercomputer falls erforderlich 310 Konfigurieren eines PCs der die Verbindung mit dem IVE ber einen Proxywebseiver neristelll nssen ne oe ee ee 311 Angeben allgemeiner Optionen fur Secure Application Manager 312 Erstellen von Lesezeichen f r sichere Terminalsitzungen 044e en 315 Angeben allgemeiner Optionen f r Telnet SSH 20002220002220nennnen 316 Aktivieren und Konfigurieren von Konferenzen f r Benutzerrollen 318 Festlegen der Option fur das lokale Subnetz von Network Connect 322 Registerkarte General gt Overview Auf der Registerkarte General gt Overview k nnen Sie den Namen und die Beschreibung von Rollen bearbeiten Sitzungs und Benutzeroberfl chen optionen an und ausschalten sowie Zugriffsfunktionen aktivieren Wenn Sie eine Zugriffsfunktion aktivieren m ssen Sie auch entsprechende Ressourcenrichtlinien erstellen VI Verwalten allgemeiner Einstellungen und Optionen f r Rollen So verwalten Sie allgemeine Einstellungen und Optionen f r Rollen 1 W hlen Sie in der Webkonsole Users gt Roles gt Ausgew hlte Rolle gt General gt Overview aus berpr fen Sie den Namen und die Beschreibung und klicken
210. W hlen Sie in der Webkonsole System gt Configuration gt Security gt Host Checker aus 2 Geben Sie auf der Registerkarte Security gt Host Checker einen Namen f r die Hostpr fung Richtlinie an und klicken Sie dann auf Continue 3 W hlen Sie unter Host Checking Method eine beliebige Anzahl der fol genden Optionen aus Sygate Enforcement API Zur Verwendung dieser Option muss das Produkt Sygate Personal Firewall auf dem Clientcomputer installiert sein Sygate Security Agent Zur Verwendung dieser Option muss Sygate Security Agent auf dem Clientcomputer installiert sein Zone Labs Zone Alarm Pro und Zone Labs Integrity Zur Verwendung dieser Option muss entweder Zone Alarm Pro oder Zone Labs Integrity auf dem Clientcomputer installiert sein McAfee Desktop Firewall 8 0 Zur Verwendung dieser Option muss McAfee Desktop Firewall 8 0 auf dem Clientcomputer installiert sein InfoExpress CyberGatekeeper Agent Zur Verwendung dieser Option muss InfoExpress CyberGatekeeper Agent auf dem Clientcomputer installiert sein 4 Erstellen Sie unter Rule Settings Regeln die von der Hostpr fung durch gesetzt werden sollen 1 W hlen Sie einen Regeltyp aus der Dropdownliste aus und klicken Sie anschlie end auf Add Beschreibungen hierzu finden Sie unter Erstel len globaler Richtlinien f r die Hostpr fung auf Seite 91 Geben Sie im Dialogfeld Add Attribute Check die erforderlichen Informationen f r die Regel ein
211. Web Files SAM Telnet SSH Meetings Network Connect D Clustering Overview Restrictions Session Options UI Options gt Log Monitoring D Signing In Administrators Save Changes gt Authentication gt Delegation Session lifetime Users gt Authentication Idle Timeout ho minutes min 5 b Roles x Fr Max Session Length feo minutes min 6 D New User Resource Policies Reminder Time 5 minutes min 4 D Web D Files Enable session timeout warning gt SAM D Telnet SSH C Enabled D Network Connect Disabled gt Meetings D Email Client Roaming session Maintenance Roaming sessions allow user sessions to work across source IP addresses This is useful for mobile users with dynamically assigned IP addresses as it allows them to sign in from their desk and continue working from a gt System conference room However older browsers may have vulnerabilities that allew malicious code to steal user cookies If D Import Export this is a concern you can limit roaming to a subnet range or disable this feature entirely gt Push Config D Archiving Enabled maximize mobility D Troubleshooting C Limit to subnet some mobility increased security Netmask C Disabled maximize security Abbildung 82 Users gt Roles gt Ausgew hlte Rolle gt General gt Session Options NetScreen Instant Virtual Extranet Plattform 293 Administrationshandbuch Registerkarte General gt Ul Options Auf der Registerkarte General gt UI
212. Webressourcen auf Seite 46 5 Geben Sie im Bereich Roles Folgendes an e Policy applies to ALL roles Hiermit gilt die Richtlinie f r alle Benutzer e Policy applies to SELECTED roles Hiermit gilt die Richtlinie nur f r Benutzer die zu Rollen in der Liste Selected roles zugeordnet sind Dieser Liste m ssen Rollen aus der Liste Available roles hinzugef gt werden e Policy applies to all roles OTHER THAN those selected below Hiermit gilt die Richtlinie f r alle Benutzer au er den Benutzern die zu Rollen in der Liste Selected roles zugeordnet sind Dieser Liste m ssen Rollen aus der Liste Available roles hinzugef gt werden NetScreen Instant Virtual Extranet Plattform 331 Administrationshandbuch 6 Geben Sie im Bereich Action Folgendes an e Allow access Hiermit erlauben Sie den Zugriff auf die Ressourcen die in der Liste Resources aufgef hrt sind e Deny access Hiermit verweigern Sie den Zugriff auf die Ressourcen die in der Liste Resources aufgef hrt sind e Use Detailed Rules Hiermit geben Sie eine oder mehrere detaillierte Regeln f r diese Richtlinie an Weitere Informationen finden Sie unter Schreiben einer detaillierten Regel auf Seite 52 7 Klicken Sie auf Save Changes 8 Ordnen Sie die Richtlinien auf der Seite Web Access Policies in der Reihenfolge an in der sie vom IVE ausgewertet werden sollen Hinweis Wenn das IVE die Ressource die von einem Benutzer angefordert wurde zu einer Ress
213. Zertifikats ist sicherer da die Zer tifizierungsstelle ein neues Zertifikat und einen neuen privaten Schl ssel generiert und dabei die G ltigkeit des lteren privaten Schl ssels auf hebt Zur Verwendung dieser Erneuerungsmethode m ssen Sie zuerst ber die Webkonsole eine Zertifikatssignaturanforderung erstellen Wei tere Informationen finden Sie unter Erstellen einer Zertifikatssignatur anforderung f r ein neues Serverzertifikat auf Seite 151 Wichtig Sie k nnen den privaten Schl ssel eines Webserverzertifikats nicht auf ein Access Series FIPS Ger t importieren da dieser Schl ssel in einer Umgebung erzeugt wird die nicht mit FIPS kompatibel ist Basierend auf der vorher bei der Zertifizierungsstelle eingereich ten Zertifikatssignaturanforderung eine Erneuerung anfordern Dieser Vorgang zur Erneuerung eines Zertifikats ist weniger sicher da die Zertifizierungsstelle ein Zertifikat generiert das den vorhandenen priva ten Schl ssel verwendet Wichtig Geben Sie bei der erneuten Anforderung eines Zertifikats diesel ben Informationen an die in der urspr nglichen Zertifikatssignaturanforderung verwendet wurden Anhand dieser Informationen erstellt die Zertifizierungs stelle ein neues Zertifikat das dem vorhandenen Schl ssel entspricht So importieren Sie ein erneuertes Serverzertifikat das den vorhandenen privaten Schl ssel verwendet 1 3 Befolgen Sie die Anweisungen der Zertifizierungsstelle zur Erneue
214. Zugriff Wenn der LDAP Server den Zustand zul ssig zur ckgibt wird der Benutzer vom IVE einer Rolle zugewiesen die auf einem vom LDAP Server zur ckgegebenen Wert basiert Bei der Authentifizierung von Benutzern anhand ihrer Zertifikatattribute empfiehlt es sich die Benutzer anzuweisen ihre Browser nach Beenden ihrer IVE Sitzungen zu schlie en Dies gew hrleistet dass auf den Benutzersystemen keine Client Anmeldeinformationen wie Cookies und Zertifikate zwischengespeichert werden Mi Festlegen einer Zertifikatserverkonfiguration Gehen Sie zum Festlegen eines Zertifikatservers auf dem IVE folgenderma en vor 1 Importieren Sie die Stammzertifizierungsstelle mit der die Clientzertifikate signiert werden 1 Navigieren Sie zu System gt Configuration gt Certificates gt CA Certificates 2 Importieren Sie das Stammzertifikat 226 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Konfigurieren Sie eine Zertifikatserverinstanz 1 Navigieren Sie zu System gt Signing In gt Servers 2 Wahlen Sie aus der Liste New den Eintrag Certificate Server aus und klicken Sie anschlie end auf New Server 3 Geben Sie einen Namen ein um die Serverinstanz zu bezeichnen Wenn Sie den Namen eines vorhandenen Servers ndern erstellt das IVE eine neue Zertifikatinstanz mit dem neuen Namen und beh lt den alten Server jedoch weiterhin 4 Klicken Sie auf Save Changes Wenn Sie zum ersten Mal eine Serveri
215. a employees hq hqSales Bi none Resource Policies Web Access control Selective rewriting Caching l Passthrough proxy Java access control Web proxy Java code signing Files Windows access control Windows credentials M UNIX NFS access control Applications T SAM access control Telnet SSH Telnet SSH access control Network Connect l Access control T IP pools Push selected settings Push Configuration Abbildung 118 Maintenance gt Push Config 402 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch NetScreen Instant Virtual Extranet Plattform 403 Administrationshandbuch Konfigurieren der Seite Archiving Die Seite Maintenance gt Archiving enth lt die folgenden Registerkarten Registerkarte FTP Server een ee ehdeoseds oes 403 Registerkarte Local Backups ccccccccceccceececeseeceeeseeeeseueeseueecsusecsusessueenaes 406 Auf der Seite Maintenance gt Archiving k nnen Sie Folgendes durchfuhren Planen der Archivierung von Systemdaten auf einem externen FTP Server 403 Speichern eines Snapshots der aktuellen Konfiguration 406 Wiederherstellen des System oder Benutzerkontenstatus aus einem Snapshot 406 Registerkarte FTP Server WM Planen der Archivierung von Systemdaten auf einem externen FTP Server Sie k nnen festlegen dass Systemprotokolldateien Konfigurationsdateien und Ben
216. able more secure configurations DMZ Setting Enable Disable Address Information IP Address Netmask 255 255 0 0 Gateway hoso IP address Link speed ato o Note If you need to specify static routes you can do so on the Static Routes page Link status Connected no Speed 10Mb s Duplex half Auto negotiation on ARP Ping Timeout E Save Changes Save Changes Reset Link status Number of Seconds Should be Greater than 0 Licensed to YourCompany Inc av Host Id ive 2 Copyright 2001 2004 NetScreen Technologies Inc All rights reserved Abbildung 28 System gt Network gt External Port 1 Das IVE f hrt beim Versuch die Kommunikation im Cluster einzurichten zwei ARP Anforderungen aus eine an das Gateway des internen Ports und eine an das Gateway des externen Ports NetScreen Instant Virtual Extranet Plattform Administrationshandbuch 163 Registerkarte Static Routes Mi Angeben von statischen Routen f r den Netzwerkverkehr Auf der Registerkarte Static Routes k nnen Sie Routingtabelleneintr ge hinzuf gen Hinweis Alle Verbindungsanforderungen an interne Ressourcen erfolgen von dem internen IVE Port aus unabh ngig von den Routeneinstellungen Die Rou teneinstellungen des externen Ports werden nur zur Weiterleitung von Paketen verwendet die Verbindungen zugeordnet sind die von einem Remoteclient initi iert wurden Weitere Informationen finden Sie unter
217. access C Deny access Use Detailed Rules see Detailed Rules page Abbildung 103 Resource Policies gt Network Connect gt Access gt Ausgew hlte Richtlinie gt General NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Registerkarte IP Address Pools ber die Registerkarte IP Address Pools k nnen Sie eine Network Connect Ressourcenrichtlinie schreiben die einen IP Pool angibt aus dem das IVE den Server und Clientprozessen f r eine Network Connect Sitzung eine IP Adresse zuweist Wenn ein IVE eine Clientanforderung zum Starten einer Network Connect Sitzung empf ngt weist es sowohl dem clientseitigen Network Connect Agent als auch dem serverseitigen IVE Prozess eine IP Adresse zu Die Zuweisung der IP Adressen erfolgt anhand der Richtlinien f r den IP Adresspool die auf eine Benutzerrolle zutreffen Knoten in einem Cluster mit mehreren Sites nutzen die Konfigurationsinfor mationen gemeinsam d h dass IVEs in verschiedenen Netzwerken einen IP Pool gemeinsam nutzen Da jeder IVE Knoten die Clientanforderung zum Starten der Network Connect Sitzung empfangen kann m ssen Sie f r Knoten einen IP Filter angeben der lediglich die f r den betreffenden Knoten ver f gbaren Netzwerkadressen herausfiltert Wenn der Clusterknoten eine Anfor derung zum Erstellen einer Network Connect Sitzung empf ngt weist er aus dem gefilterten IP Pool die zwei IP Adressen f r die Sitzung zu lV Schreiben
218. ach Abschluss der Sitzung bewusst sind Aktivieren Sie unter Persistent password caching das Optionsfeld Enabled damit zwischengespeicherte Kennw rter ber mehrere Sitzungen f r eine Gruppe erhalten bleiben k nnen Der IVE unterst tzt die NTLM und HTTP Standardauthentifizierung sowie Server die sowohl f r NTLM Anmeldungen als auch f r anonyme Anmeldungen eingerichtet sind Das IVE speichert von Benutzern eingegebene Kennw rter f r die NTLM und HTTP Standardauthentifizierung im Cache sodass die Benutzer nicht wiederholt aufgefordert werden die Anmeldeinformationen einzugeben die bereits bei der Anmeldung beim IVE Server oder einer anderen Ressource in der NT Dom ne verwendet wurden Standardm ig leert der IVE Server zwischengespeicherte Kennw rter aus dem Cache wenn sich ein Benutzer abmeldet Ein Benutzer kann zwischengespeicherte Kennw rter ber die Seite Advanced Preferences l schen Aktivieren Sie unter Browser request follow through das Optionsfeld Enabled sodass Benutzeranforderungen vom IVE verarbeitet werden k nnen die nach Ablauf einer Benutzersitzung und erneuter Authentifizierung des Benutzers vorgenommen wurden Klicken Sie auf Save Changes um die Einstellungen auf die Rolle anzuwenden 292 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch EJN NETSCREEN Central Manager Help Sign Out System Roles gt D Status employees hq gt Configuration D Network ec
219. ach zugegriffen werden Sie k nnen die Verkn pfung in der Benachrichtigungs E Mail verwen den Sie k nnen den URL auf der Seite Launch Meeting application eingeben Sie k nnen auf die Verkn pfung Join Meeting klicken die in der Benut zersitzung ber das sichere Gateway angezeigt wird nur IVE G ste Der Gast kann den URL in folgendem Format zusammensetzen und dann in die Navigationsleiste des Browser eingeben https IhrIVE Meeting KonferenzID Dabei gilt IhrIVE ist der Name und die Dom ne des IVE auf dem die Konferenz stattfindet z B iveserver firmenname com Dieser Name wird aus dem Feld Virtual Hostname auf der Registerkarte System gt Network gt Internal Port bernommen sofern er dort angegeben wurde Andern falls verwendet Secure Meeting beim Erstellen des Konferenz URLs den IVE Namen aus dem Browser des Konferenzerstellers Meeting ist eine Literalzeichenfolge Beachten Sie dass diese Zeichen folge nicht ver ndert wird KonferenzIp ist die eindeutige Kennnummer aus 8 Ziffern die f r diese Konferenz generiert wurde optional Wenn der Benutzer die ID nicht in den URL einf gt wird er bei der Konferenzanmeldung zur Eingabe des URL aufgefordert Beispiel https connect acmegizmo com Meeting 86329712 1 Secure Meeting h lt Onlinekonferenzen auf dem NetScreen Instant Virtual Extranet ab an denen sowohl IVE Benutzer als auch Nicht IVE Benutzer teilnehmen k nnen Nicht IVE Konferenzteilnehme
220. ader bereinstimmen muss der vom Browser gesendet wurde 2 W hlen Sie eine der folgenden Optionen aus Allow um Benutzern die Verwendung eines Browsers mit einem User Agent Header zu erm glichen der die Teilzeichenfolge lt browser_zeichenfolge gt enth lt oder Deny um Benutzern die Verwendung eines Browsers mit einem User Agent Header zu verweigern der die Teilzeichenfolge lt browser_zeichenfolge gt enth lt Klicken Sie zum Speichern der Einstellungen auf Save Changes NetScreen Instant Virtual Extranet Plattform 431 Administrationshandbuch Hinweis e Regeln werden der Reihenfolge nach angewendet d h die erste bereinstimmende Regel wird angewendet e Bei Literalzeichen in Regeln wird die Gro und Kleinschreibung beachtet Leerzeichen sind dabei zul ssig Beispiele e Die Zeichenfolge Netscape findet f r alle f r Benutzer Agent Zeichenfolgen eine bereinstimmung die die Teilzeichenfolge Netscape enth lt e Der folgende Regelsatz erm glicht Ressourcenzugriff nur dann wenn Benutzer ber Internet Explorer 5 5x oder Internet Explorer 6 x angemeldet sind In diesem Beispiel werden einige wichtige andere Browser als Internet Explorer ber cksichtigt die die Teilzeichenfolge MSIE im User Agent Header senden Opera Deny AOL Deny MSTE 5 5 Allow MSIE 6 Allow Deny Zertifikateinschrankungen Legen Sie anhand einer Zertifikateinschrankung fest dass Clientcomputer ber ein g
221. ahmen des standardm igen IVE Synchronisierungs vorgangs freigeben Stattdessen muss zum Erstellen eines Access Series FIPS Clusters Folgendes ausgef hrt werden 82 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch 1 Erstellen Sie einen Cluster von Access Series FIPS Ger ten ber die Webkonsole Wie bei einem standardm igen IVE Cluster wird jeder Clusterknoten in einem Access Series FIPS Cluster mit den Systemstatusdaten vom ange gebenen Clustermitglied initialisiert wobei alle vorhandenen Daten auf dem Knotenger t berschrieben werden 2 Aktualisieren Sie die Security World auf jedem Ger t manuell Nach dem Erstellen eines Clusters m ssen Sie jeden Clusterknoten mit der Security World des angegebenen Mitglieds initialisieren Dazu ver wenden Sie eine Administratorkarte die bereits f r die Security World initialisiert ist einen Smartcardleser und die serielle Konsole Anweisungen hierf r finden Sie unter Hinzuf gen eines IVE zu einem Clu ster uber die Webkonsole auf Seite 176 Wenn Sie eine vorhandene Security World in einem Cluster ndern m ch ten m ssen Sie das Kryptographiemodul der einzelnen Clustermitglieder mithilfe einer Administratorkarte eines Smartcardlesers und der seriellen Konsole des IVE aktualisieren Anweisungen hierf r finden Sie unter Anhang D auf Seite 453 NetScreen Instant Virtual Extranet Plattform 83 Administrationshandbuch Delegierte
222. ail Session Information 60 minutes Max Session Length 720 minutes Idle Timeout Abbildung 110 Resource Policies gt Email Client NetScreen Instant Virtual Extranet Plattform 383 Administrationshandbuch Konfigurieren der Seite System Die Seite Maintenance gt System enth lt die folgenden Registerkarten Registerkarte sPl allo m sera ee 383 Registerkarte Upgrade Downgrade cccccceecccceeeeeceeeeeceeeceesueeeeseeeeseeeeesaes 384 Registerkarte Options Auf der Seite Maintenance gt System k nnen Sie Folgendes durchf hren Neustarten Herunterfahren und Testen der Verbindung 383 Installieren eines NetScreen Softwaredienstpakets cccceseseeeeeeeeeeeeeeees 385 Aktivieren von Versionsuberwachung und Beschleunigerkarten 386 Registerkarte Platform Mi Neustarten Herunterfahren und Testen der Verbindung Auf der Seite Platform k nnen Sie die IVE Verbindung neu starten herunterfahren oder testen sowie Systemdaten anzeigen beispielsweise den IVE Hostnamen und die Zeit des letzten Neustarts Informationen zur Handhabung der folgenden Situationen finden Sie in Anhang D auf Seite 453 Sie haben Ihre Anmeldedaten vergessen Sie haben die IP Beschr nkungen so eingestellt dass Sie sich nicht mehr am Ger t anmelden k nnen Sie m chten das System in den vorherigen Zustand zur cksetzen
223. alsitzung beginnen k nnen Die Installation Konfiguration und Verwaltung des IVE sind unkompliziert Bei dem IVE handelt es sich um eine Netzwerkappliance die innerhalb 1 Die verf gbaren Funktionen h ngen von dem erworbenen Produkt der NetScreen Access Series und den erworbenen Aktualisierungsoptionen ab 8 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch weniger Minuten im Rack montiert werden kann Sobald eine Verbindung mit Ihrem Netzwerk besteht m ssen Sie an der seriellen Konsole nur noch einige System und Netzwerkeinstellungen eingeben um auf die Webkon sole zuzugreifen Die Webkonsole ist die Webschnittstelle ber die Sie das IVE nach den Anforderungen Ihres Unternehmens konfigurieren und ver walten k nnen Die folgenden Features erm glichen eine problemlose Bereitstellung und effiziente Wartung des Systems Einfache Serverintegration Das IVE l sst sich in vorhandene Authenti fizierungsserver LDAP RADIUS NIS Windows NT Dom ne Active Directory und RSA ACE Server des Unternehmens integrieren Sie m ssen keine nderungen an den internen Webservern Dateiservern oder Netzwerken vornehmen Zertifikatauthentifizierung Sch tzt Anwendungen ohne nderungen an den internen Ressourcen Sie w hlen lediglich die digitalen Zertifikate als Teil des Authentifizierungsschemas f r das Access Series IVE aus Hohe Verf gbarkeit und Redundanz Keine Ausfallzeit f r die Benutzer im seltene
224. aluates policies related to the user s request sequentially processing each policy until it finds the policy whose resource list and designated roles match the users request The IVE then performs the action specified allow or deny access to the resource or evaluate the policy s detailed rules which specify conditions that if met either allow or deny access to the resource Does the matched policy allow NO access to the resource IVE intermediates user request User accesses resource Forwards user request to appropriate server and or application server then forwards server response to the user User ends session Signs out of VE or does not make user request within the tinme limit for idle sessions and the I VE forces the user out At any point during a user session the IVE may force the user out if the user session reaches the maximum session length Abbildung 130 Schritt 3 von 3 IVE wertet die Ressourcenrichtlinien entsprechend der Benutzeranforderung aus 427 Appendix B Konfigurieren der Zugriffsverwaltungsoptionen Das IVE erm glicht Ihnen die Sicherung Ihrer Unternehmensressourcen auf drei Ebenen Bereich Auf der Bereichsebene konfigurieren Sie die Anforderungen f r die Zugriffsverwaltung in der Authentifizierungsrichtlinie Rolle Auf der Rollenebene konfigurieren Sie die Anforderungen f r die Zugriffsverwaltung entweder in den Rollenzuordnungsregeln der Authentifizierungsrichtlinie o
225. amen wie partner acmegizmo com der berall verwendet werden kann sollten sich IVE Benutzer vor dem Erstellen einer Konferenz unter partner acmegizmo com anmelden Andernfalls erhalten G ste ohne IVE E Mal Benachrichtigungen in denen Verkn pfungen mit einem nicht erreichbaren IVE enthalten sind 376 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch VI Schreiben einer Ressourcenrichtlinie f r E Mail Benachrichtigungen von Secure Meeting So schreiben Sie eine Ressourcenrichtlinie fur E Mail Benachrichtigungen von Secure Meeting 1 Wahlen Sie in der Web console Resource Policies gt Meetings aus 2 Wahlen Sie Enabled aus 3 Geben Sie im Feld SMTP Server die IP Adresse oder den Hostnamen eines SMTP Servers ein der E Mail Nachrichten von der Appliance an die Konferenzgaste weiterleiten kann Geben Sie bei entsprechender Anforderung vom SMTP Server in den Feldern SMTP Login und SMTP Password einen gultigen Anmeldenamen und ein Kennwort fur den angegebenen SMTP Mail Server ein Geben Sie im Feld SMTP Email Ihre E Mail Adresse oder die Adresse eines anderen Administrators ein Secure Meeting verwendet die angegebene Adresse als E Mail Adresse des Absenders wenn der Ersteller der E Mail Nachricht im NetScreen Instant Virtual Extranet keine eigene E Mail Adresse konfiguriert hat Klicken Sie auf Save Changes Konfigurieren Sie Secure Meeting Einstellungen fur einzelne Rollen anhand der Anweisung
226. amischen Ports vom Server initiierte Verbindungen oder UDP Datenverkehr jedoch nicht unterst tzt werden J SAM reserviert bei der Ausf hrung 20 bis 30 MB RAM die genaue Speichermenge h ngt vom verwendeten JVM ab und beh lt falls die Zwi schenspeicherung aktiviert ist auf dem Clientcomputer eine JAR Datei bei Weitere Informationen finden Sie unter Java Secure Application Ma nager J SAM bersicht auf Seite 111 Hinweis Gegenw rtig wird auf Windows Linux oder Macintosh Plattformen Sun JVM Version 1 4 1 oder h her unterst tzt Die MS JVM die auf Sun JRE Version 1 1 beruht wird unter Windows ebenfalls unterst tzt Windows Secure Application Manager W SAM bersicht Die Windows Version von Secure Application Manager W SAM ist ein Dienst der anhand des LSP Verfahrens Layered Service Provider Daten verkehr von Clientanwendungen sichert die auf einem PC ausgef hrt wer den Die LSP Dienstkomponenten werden auf einem Client PC anhand eines ActiveX Steuerelements installiert das heruntergeladen wird wenn ein Benutzer Secure Application Manager ber die IVE Startseite startet Nach der Installation f ngt Secure Application Manager Folgendes ab 110 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch e TCP Verbindungsaufrufe von im IVE konfigurierten Anwendungen DNS Abfragen f r im IVE konfigurierten Zielhostnamen Wenn ein Benutzer Secure Application Manager startet wird ein Sta
227. an das Richtlinienmodul weitergegeben Wenn ein Server in der Liste Resources einer Richtlinie als IP Adresse angegeben ist erfolgt die Auswertung anhand der IP Adresse Andernfalls versucht das Modul die beiden Hostnamen abzugleichen Es f hrt kein Reverse DNS Lookup zur Ermittlung der IP Adresse durch Wenn ein Hostname in der Liste Resources einer Richtlinie nicht voll st ndig qualifiziert ist wenn z B netscreen anstelle von intranet net screen net angegeben ist f hrt das Modul die Auswertung anhand der vorliegenden Angaben durch der Hostname wird nicht weiter qualifiziert Angeben von Webressourcen Kanonisches Format Protokol1 Host Ports Pfad Die vier Bestandteile sind Protokoll optional M gliche Werte http und https Gro oder Kleinschreibung wird nicht ber cksichtigt Wenn das Protokoll fehlt werden sowohl http als auch https angenom men Bei der Eingabe eines Protokolls muss das Trennzeichen ein gegeben werden Sonderzeichen sind nicht zul ssig Host erforderlich M gliche Werte e DNS Hostname Beispiel www netscreen com Sonderzeichen sind zul ssig einschlie lich Entspricht ALLEN Zeichen Entspricht einem beliebigen Zeichen au er dem Punkt Entspricht genau einem Zeichen NetScreen Instant Virtual Extranet Plattform Administrationshandbuch e IP Adresse Netzmaske Die IP Adresse muss das folgende Format aufweisen a b c d Die Netzmaske kann eins de
228. anet Plattform Administrationshandbuch Tabelle 3 NetScreen MIB Objekte Traps Fortsetzung Objekt iveTooManyFailedLoginAttempts externalAuthServerUnreachable iveStart iveShutdown iveReboot archiveServerUnreachable archiveServerLoginFailed archiveFile TransferFailed Beschreibung Fur die angegebene IP Adresse sind zu viele fehlgeschlagene Anmeldeversuche ausgefuhrt worden Wird ausgelost wenn die Authentifizierung eines Benutzers im Verlauf einer Stunde 180 mal fehlschl gt Nach dem Empfang dieser Meldung wird die IP Adresse des Benutzers f r 2 Minuten gesperrt bevor seine Anmeldung wieder zul ssig ist Wenn dann der Anmeldevorgang des Benutzers innerhalb von 30 Minuten 90 mal fehlschl gt wird seine IP Adresse erneut gesperrt Dieser Zyklus wird fortgesetzt wobei der Zeitraum und die Anzahl fehlgeschlagener Anmeldeversuche jeweils halbiert wird Im dritten Zyklus wird der Benutzer nach 45 fehlgeschlagenen Anmeldeversuchen innerhalb von 15 Minuten gesperrt im vierten Zyklus nach 23 fehlgeschlagenen Anmeldeversuchen innerhalb von 8 Minuten usw Wenn dieses Trap gesendet wird wird auch der Parameter blockedIP Quell IP der Anmeldeversuche gesendet Ein externer Authentifizierungsserver beantwortet keine Authentifizierungsanforderungen Wenn dieses Trap gesendet wird wird auch der Parameter authServerName Name des nicht erreichbaren Servers gesendet IVE wurde soeben eingeschaltet IVE wurde soebe
229. anz F r die Benutzerauthentifizierung mit einem RADIUS Server m ssen Sie diesen so konfigurieren dass das IVE als Client erkannt wird Au erdem m ssen Sie f r den RADIUS Server einen gemeinsamen geheimen Schl ssel angeben der f r die Authentifizierung der Clientanforderung verwendet wird Das IVE unterst tzt die RADIUS Standardauthentifizierungsschemas Diese lauten Access Request Access Accept Access Reject und Access Challenge Der IVE unterst tzt auch RSA ACE Server unter Verwendung des RADIUS Protokolls und eines SecurID Tokens erhaltlich von Security Dynamics Wenn Sie fur die Authentifizierung von Benutzern SecurID verwenden mussen die Benutzer ihre Benutzer ID und die Kombination aus PIN und dem Tokenwert angeben Wenn Sie einen PassGo Defender RADIUS Server verwenden erfolgt die Benutzeranmeldung folgenderma en 1 Der Benutzer meldet sich beim IVE mit einem Benutzernamen und einem Kennwort an Das IVE leitet diese Anmeldeinformationen an Defender weiter 2 Defender sendet eine eindeutige Anfragezeichenfolge an das IVE und im IVE wird diese Anfragezeichenfolge dem Benutzer angezeigt 3 Der Benutzer gibt die Anfragezeichenfolge in einem Defender Token ein und das Token erzeugt eine Antwortzeichenfolge 4 Der Benutzer gibt die Antwortzeichenfolge im IVE ein und klickt auf Sign In lV Definieren eines RADIUS Servers So definieren Sie einen RADIUS Server 1 Wahlen Sie in der Web console System gt S
230. aredienstpakets Exportieren Sie vor der Installation eines neuen Dienstpakets die aktuelle Systemkonfiguration die lokalen Benutzerkonten die Lesezeichen der Benutzer und die Rollen und Richtlinieninformationen wie unter Konfigurieren der Seite Import Export auf Seite 389 erl utert So installieren Sie ein Dienstpaket 1 Navigieren Sie zur NetScreen Support Website http support netscreen com und rufen Sie das gew nschte Dienstpaket ab W hlen Sie in der Web console Maintenance gt System gt Upgrade Downgrade aus Klicken Sie auf Browse um das von der Supportsite heruntergeladene Dienstpaket auf der Festplatte zu suchen Wenn Sie die aktuellen Konfi gurationseinstellungen l schen aber weiterhin dieselbe IVE Version ver wenden m chten w hlen Sie das derzeit in Ihrer Appliance installierte Dienstpaket aus Wenn Sie die Software auf ein lteres Dienstpaket herunterstufen oder die Konfigurationseinstellungen l schen w hlen Sie Delete all system and user data Wichtig Wenn Sie das IVE zur cksetzen und mit dieser Option alle System und Benutzerdaten aus der Appliance l schen m chten m ssen Sie vor der erneuten Systemkonfiguration die Netzwerkverbindungen wiederherstellen Beachten Sie au erdem dass kein Rollback auf eine ltere IVE Version als 3 1 durchgef hrt werden kann 5 W hlen Sie die Dienstpaketdatei aus und klicken Sie auf Install Now 386 NetScreen Instant Virtual Extranet
231. as IVE ruft Secure HTTP Inhalte ber eine direkte Verbindung ab Authentifizierung ber Webproxys wird nicht unterst tzt Wenn Sie die Webproxyfunktion des IVE verwenden m chten m ssen Sie Ihren Webproxy so konfigurieren dass nicht authentifizierte Benutzer akzeptiert werden WM Angeben von Einstellungen f r Webproxys Auf der Registerkarte Web Proxy k nnen Sie Einstellungen f r den Webproxy angeben So geben Sie Einstellungen f r den Webproxy an 1 W hlen Sie in der Webkonsole Resource Policies gt Web gt Web Proxy gt Settings aus Geben Sie unter Web Proxy Server Information den Namen oder die IP Adresse des Webproxyservers sowie die Portnummer ein an der der Proxyserver Daten abfragt Aktivieren Sie unter Unqualified hostnames das Kontrollk stchen Send requests specified without a domain name to the Web proxy falls URLs mit unvollst ndigen Hostnamen wie zum Beispiel http host xyz anstelle von http host domain com xyz an den Proxyserver weitergeleitet werden sollen Klicken Sie auf Save Changes NetScreen Instant Virtual Extranet Plattform Administrationshandbuch 349 EFN NETSCREEN Central Manager System D Status gt Configuration gt Network D Clustering gt Log Monitoring D Signing In Administrators gt Authentication gt Delegation Users gt Authentication gt Roles gt New User Resource Policies b Web D Files b SAM D Telnet SSH He
232. ation Angabe einer benutzerdefinierten Client Server Anwendung Geben Sie im Feld Filename den Namen der ausf hrbaren Datei f r die Datei an Sie k nnen dar ber hinaus den Dateipfad und den MD5 Hash der ausf hrbaren Datei angeben Optional Wenn Sie einen MD5 Hash Wert eingeben berpr ft W SAM ob der Pr fsummenwert der ausf hrbaren Datei diesem Wert entspricht Wenn die Werte nicht bereinstimmen teilt W SAM dem Benutzer mit dass die Identit t der Anwendung nicht sichergestellt werden konnte und leitet Verbindungen von der Anwendung zum IVE nicht weiter 4 Klicken Sie auf Save Changes oder Save New 3 Geben Sie Ressourcen aus der Liste W SAM allowed servers an f r die W SAM den Client Server Verkehr zwischen dem Client und dem IVE sichert 1 Klicken Sie auf Add Servers 2 Geben Sie den Hostnamen die Platzhalterzeichen oder sind zul ssig oder ein IP Netzmaske Paar an Geben Sie mehrere Ports f r einen Host als separate Eintr ge an 3 Klicken Sie auf Add 4 Legen Sie in einer Secure Application Manager Ressourcenrichtlinie fest an welche Unternehmensressourcen basierend auf der Kombination aus IP Adresse und Port das IVE eine Anwendungs oder Serveranforderung senden kann Sie k nnen auch auf der Registerkarte SAM gt Options die Option Auto allow application servers aktivieren sodass das IVE automatisch eine SAM Ressourcenrichtlinie erstellt die den Zugriff auf den angegebenen Server
233. atische Daten oder eine Systemvariable eingeben Eine Liste g ltiger Variablen finden Sie auf Systemvariablen und Beispiele auf Seite 442 User modifiable Setzen Sie diese Einstellung auf Not modifiable wenn Sie es Benutzern verbieten m chten Informa tionen im Feld Value zu ndern Setzen Sie sie auf User CAN change value wenn Sie es dem Benutzer erm glichen m chten Daten f r eine Back End Anwendung anzugeben Setzen Sie diese Einstellung auf User MUST change value wenn Benutzer zus tz liche Daten eingeben m ssen um auf die Back End Anwendung zugreifen zu k nnen Wenn Sie eine der letzteren Einstellungen ausw hlen wird auf der Benutzerseite Advanced Preferences auf dem IVE ein Dateneingabefeld angezeigt Dieses Feld wird mit dem im Feld User label eingegebenen Text beschriftet Wenn Sie im Feld Value einen Wert angeben wird dieser im Feld angezeigt kann jedoch ge ndert werden 8 Klicken Sie auf Save Changes 9 Ordnen Sie die Richtlinien auf der Seite Form POST Policies in der Reihenfolge an in der sie vom IVE ausgewertet werden sollen Hinweis Wenn das IVE die Ressource die von einem Benutzer angefordert wurde zu einer Ressource in der Liste Resource f r eine Richtlinie oder ausf hrliche Regel zuordnet f hrt es die angegebene Aktion aus und beendet die Richtlinienverarbeitung Ein Beispiel f r eine Webressourcenrichtlinie finden Sie in den Abbildungen unter Schreiben einer Webressourcenrichtlinie
234. atzhalterabgleich ausgewertet Verwenden Sie einen umgekehrten Schr gstrich als Escape Zeichen f r die folgenden Zeichen einfaches Anf hrungszeichen doppeltes Anf hrungszeichen umgekehrter Schr gstrich Hexadezimalzahl hh 0 9a fA F time ist die Uhrzeit in einem der folgenden Formate SS MM 24 Stunden Format SS MMam 12 Stunden Format SS MMpm 12 Stunden Format S MM 24 Stunden Format S MMam 12 Stunden Format S MMpm 12 Stunden Format ORValue ist eine Zeichenfolge die einen oder mehrere OR Vergleiche enthalt Variable comparTsonoperator Zahl OR Zahl Variable comparTsonoperator Zeichenfolge OR Zeichenfolge 440 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch ANDValue 1sEmpty 1sUnknown NOT OR AND amp amp customExpr ist eine Zeichenfolge die einen oder mehrere AND Vergleiche enth lt Variable comparTsonoperator Zahl AND Zahl Variable comparTsonoperator Zeichenfolge AND Zeichenfolge ist eine Funktion die eine einzelne Variable als Argument nimmt und einen booleschen Wert zur ckgibt isEmpty ist true wenn die Variable unbekannt ist eine L nge von Null hat oder Zeichenfolgen der L nge Null bzw leere Listen enth lt Beispiel isEmpty userAttr terminationDate ist eine Funktion die eine einzelne Variable als Argument nimmt und einen booleschen Wert zur ckgibt isUnknown i
235. auf Seite 325 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Registerkarte Remote SSO gt Headers Cookies Auf der Registerkarte Remote SSO gt Headers Cookies k nnen Sie eine Webressourcenrichtlinie schreiben die benutzerdefinierte Webanwendungen angibt an die das IVE Header und Cookies sendet Weitere Informationen zu dieser Funktion finden Sie unter Remote SSO bersicht auf Seite 107 lV Schreiben einer Ressourcenrichtlinie fur SSO Header und Cookies So schreiben Sie eine Ressourcenrichtlinie fur SSO Header Cookies 1 Wahlen Sie in der Webkonsole Resource Policies gt Web gt Remote SSO gt Headers Cookies aus 2 Klicken Sie auf der Seite the Headers Cookies Policies auf New Policy 3 Geben Sie auf der Seite New Policy Folgendes ein 1 Eine Bezeichnung f r diese Richtlinie 2 Eine Beschreibung der Richtlinie Optional 4 Geben Sie im Bereich Resources die Ressourcen an fur die diese Richtlinie gelten soll Weitere Informationen finden Sie unter Angeben von Webressourcen auf Seite 46 5 Geben Sie im Bereich Roles Folgendes an e Policy applies to ALL roles Hiermit gilt die Richtlinie f r alle Benutzer e Policy applies to SELECTED roles Hiermit gilt die Richtlinie nur f r Benutzer die zu Rollen in der Liste Selected roles zugeordnet sind Dieser Liste m ssen Rollen aus der Liste Available roles hinzugef gt werden e Policy applies to all roles OTHER THAN
236. auf Seite 48 Geben Sie im Bereich Roles Folgendes an Policy applies to ALL roles Hiermit gilt die Richtlinie fur alle Benutzer Policy applies to SELECTED roles Hiermit gilt die Richtlinie nur fur Benutzer die zu Rollen in der Liste Selected roles zugeordnet sind Dieser Liste m ssen Rollen aus der Liste Available roles hinzugef gt werden Policy applies to all roles OTHER THAN those selected below Hiermit gilt die Richtlinie f r alle Benutzer au er den Benutzern die zu Rollen in der Liste Selected roles zugeordnet sind Dieser Liste m ssen Rollen aus der Liste Available roles hinzugef gt werden Geben Sie im Bereich Action Folgendes an Use specified credentials Mithilfe dieser Option k nnen Sie Administrator Anmeldeinformatio nen angeben die das IVE an die Ressourcen sendet die auf Ordner und Dateiebene in der Liste Resources angegeben ist Der IVE Server f r die Dateinavigation h lt jedoch die Verbindungen mit einem Ser 356 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch ver Freigabe offen sodass die Verbindung mit einem anderen Ordner auf derselben Freigabe ber ein anderes Konto m glicherweise nicht zuverl ssig funktioniert Wenn die angegebenen Anmeldeinformatio nen nicht funktionieren fordert das IVE den Benutzer auf die An meldeinformationen auf einer zwischengeschalteten Seite einzugeben Prompt for user credentials Wenn f r eine freigegebene Datei die in der
237. auf eine Ressource zugreift die eine h here Sicherheitsebene als sein SMSESSION Cookie hat ffnet sich eine gesicherte Anmeldeseite Nach der erneuten Authentifizierung erh lt er ein SMSESSION Cookie mit einer h heren Sicherheitsebene und wird auf eine Webseite umgeleitet Die Art der Webseite die das IVE anzeigt h ngt von der Konfiguration ab Gehen Sie bei der erneuten Authentifizierung folgenderma en vor e Standard Web Agent 4 x oder 5 x mit FCCCompatMode yes Geben Sie im Feld Resource for insufficient protection level eine Webseite auf diesem Standard Web Agentein Sie m ssen dabei nicht den gesamten URL der Ressource z B https connect2 netscreen com DanaInfo www stdwebagent com index html sondern nur die Ressource eingeben index html In diesem Fall kann das IVE nach der erneuten Authentifizierung nur auf eine Webseite auf dem Standard Web Agent umleiten Es kann nicht auf die Ressource umleiten auf die der Benutzer urspr nglich zugreifen wollte NetScreen Instant Virtual Extranet Plattform 259 Administrationshandbuch e Standard Web Agent 5 x V5QMR3 oder h her mit FCCCompatMode no Lassen Sie das Feld Resource for insufficient protection level leer um auf die Ressource umzuleiten auf die der Benutzer urspr nglich zugreifen wollte Sie k nnen auch eine statische Ressource eingeben e IVE Konfigurieren Sie den Richtlinienserver nach den Anweisungen unter Konfiguration des IVE s
238. auf einem externen DNS nicht zu oder erfordern die Maskierung interner Hostnamen Wenn Sie auf der Registerkarte System gt Network Settings gt Hosts eines Clusters Hostnamenzuordnungen eingeben werden die Einstellungen f r die anderen Knoten bernommen Wenn Sie Zuordnungen von Hostnamen f r einen bestimmten Knoten eingeben m chten w hlen Sie die Registerkarte System gt Clustering anschlie end in der Liste Cluster Members einen Knoten und dann f r diesen Knoten die Registerkarte Hosts aus So geben Sie Hostnamen an die das IVE lokal aufl sen soll 1 W hlen Sie in der Webkonsole die Registerkarte Network gt Network Settings gt Hosts aus 2 Geben Sie eine IP Adresse eine durch Kommas getrennte Liste von Host namen die zu der IP Adresse aufgel st werden und bei Bedarf einen Kom mentar von h chstens 200 W rtern ein und klicken Sie dann auf Add EA NETSCREEN Central Manager System b Status gt Configuration D Clustering D Log Monitoring D Signing In Administrators gt Authentication gt Delegation Users gt Authentication gt Roles gt New User Resource Policies gt Web NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Help Network Settings Internal Port To allow the IVE to resolve specific hostnames to IP addresses without relying on DNS create IP address hostname mappings below an IP can be mapped to multiple hostnames by seperating
239. ausgestellt und mit optional ange gebenen Anforderungen fur Feld Wert Paare fur jede der Rollen erfullt zu der das IVE den Benutzer zuordnet Besitzt der Benutzercomputer nicht die Zertifikatinformationen die fur eine Rolle erforderlich sind ord net das IVE den Benutzer nicht zu dieser Rolle zu Die Stamm zertifizierungsstelle die zur berpr fung der Clientzertifikate verwendet werden soll wird folgenderma en angegeben System gt Configuration gt Certificates gt CA Certificates Administratoren konfigurieren diese Sicherheitsanforderung folgender ma en Administrators gt Delegation gt Ausgew hlte Rolle gt General gt Restrictions gt Certificate Benutzer konfigurieren diese Sicherheitsanforderung folgenderma en Users gt Authentication gt Ausgew hlter Bereich gt Role Mapping gt Ausgew hltelerstellte Regel gt Zertifikatattribut Benutzerdefinierter Ausdruck 30 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Weitere Rollenanforderungen k nnen folgenderma en angegeben wer den Users gt Roles gt Ausgew hlte Rolle gt General gt Restrictions gt Certificate Bei Anforderung einer Ressource durch einen Benutzer Der authentifizierte autorisierte Benutzer muss eine Ressourcenanforde rung von einem Computer ausf hren der die angegebenen Anforderun gen des clientseitigen Zertifikats von der richtigen Zertifizierungsstelle CA ausgestellt und mit optional angegebenen
240. ave Changes 6 Gehen Sie in der Netzwerkverwaltungsstation folgenderma en vor 1 2 Laden Sie die NetScreen MIB Datei herunter Geben Sie die Community Zeichenfolge an die beim Abfragen des IVE ben tigt wird siehe Schritt 3 Konfigurieren Sie die Netzwerkverwaltungssoftware f r den Empfang von IVE Traps NetScreen Instant Virtual Extranet Plattform 197 Administrationshandbuch Tabelle 2 NetScreen MIB Objekte Gets Objekt Beschreibung logFullPercent Gibt den Prozentsatz der verf gbaren Dateigr e zur ck der durch das aktuelle Protokoll belegt wird signedinWebUsers Gibt die Anzahl der uber einen Webbrowser beim IVE angemeldeten Benutzer zuruck signedinMailUsers Gibt die Anzahl der am E Mail Client angemeldeten Benutzer zur ck productName Gibt den Produktnamen des lizenzierten IVE zur ck productVersion Gibt die Softwareversion des IVE Systems zur ck Tabelle 3 NetScreen MIB Objekte Traps Objekt Beschreibung iveLogNearlyFull Eines der Protokolle System Benutzerzugriff oder Administratorenzugriff ist zu 90 voll Wenn dieses Trap gesendet wird wird auch der Parameter logFullPercent Protokolldatei ist zu voll gesendet iveLogFull Eines der Protokolle System Benutzerzugriff oder Administratorenzugriff ist restlos voll iveMaxConcurrentUsersSignedIn H chstanzahl oder zul ssige Anzahl gleichzeitig angemeldeter Benutzer ist angemeldet plus 10 198 NetScreen Instant Virtual Extr
241. ayOfWeek Verf gbar in e Rollenzuordnungsregeln e Ressourcenrichtlinienregeln time dayOfYear Verf gbar in e Rollenzuordnungsregeln e Ressourcenrichtlinienregeln NetScreen Instant Virtual Extranet Plattform Die Uhrzeit zu der die Rollenzuordnungsregel oder die Ressourcenrichtlinienregel ausgewertet wird Die Uhrzeit kann im 12 oder 24 Stunden Format angegeben werden Die Uhrzeit zu der der Benutzer seine Anmeldeinformationen an das IVE sendet Die Uhrzeit kann im 12 oder 24 Stunden Format angegeben werden Der Wochentag an dem die Rollenzuordnungsregel oder Ressourcenrichtlinienregel ausgewertet wird M gliche Werte sind Mon Tue Wed Thu Fri Sat Sun Der Tag im Jahr an dem die Rollenzuordnungsregel oder Ressourcenrichtlinienregel ausgewertet wird M gliche Werte sind 1 365 time 9 00am to 5 00pm time 09 00 to 17 00 time Mon to Fri Beispiele f r Kombinationen Erlaubt leitenden Angestellten und deren Assistenten den Zugriff von Montag bis Freitag userAttr employeeType manager or assistant and group executiveStaff and time Mon to Fri time day 9 00am to 5 00pm time day 09 00 to 17 00 time day Mon to Fri time dayOfweek Mon to Fri time mon to fri and time 9 00am to 5 00pm time sat to sun and time 8 00 to 23 00 time dayOfYear 100 time month Verf gbar in e Rollenzuordnungsregeln e Ressourcenrichtl
242. ben Das IVE fungiert als E Mail Proxy f r den bzw die angegebenen Server Das IVE unterst tzt mehrere Mailserver Sie k nnen festlegen dass alle Benutzer einen Standardmailserver verwenden m ssen oder Sie k nnen Benutzern die M glichkeit geben einen benutzerdefinierten SMTP und IMAP bzw POP Mailserver anzugeben Wenn Sie Benutzern das Festlegen eines benutzerdefinierten Mailservers erm glichen m ssen diese die Servereinstellungen ber das IVE vornehmen Der IVE Server verwaltet die E Mail Benutzernamen um Namenskonflikte zu vermeiden lV Schreiben einer E Mail Client Ressourcenrichtlinie fur Mailserver So schreiben Sie eine E Mail Client Ressourcenrichtlinien fur Mailserver 1 Wahlen Sie in der Web console Resource Policies gt E Mail Client aus 2 Klicken Sie unter Email Client Support auf Enabled 380 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch 3 W hlen Sie unter Email Authentication Mode eine der folgenden Optionen aus e Web based email session Benutzer m ssen eine einmalige E Mail Einrichtung f r das IVE vor nehmen Anschlie end konfigurieren sie ihren E Mail Client so dass der Benutzername und das Kennwort verwendet werden die durch die E Mail Einrichtung f r das IVE generiert werden Es empfiehlt sich dass die Benutzer sich an dem IVE anmelden um eine E Mail Sitzung zu starten Standardeinstellung e Combined IVE and mail server authentication Benutzer kon
243. ben einer Webressourcenrichtlinie Wenn Sie einer Rolle Zugriff auf das Web gew hren m ssen Sie Ressourcenrichtlinien erstellen die angeben auf welche Ressourcen ein Benutzer zugreifen darf ob das IVE den vom Benutzer angeforderten Inhalt neu schreiben muss sowie Angaben zu Zwischenspeicherung zum Applet und zu Anforderungen f r die Einzelanmeldung machen F r jede Webanforderung ermittelt das IVE die konfigurierten Richtlinien f r das 1 Wenn Sie kein Neuschreiben von Ressourcenrichtlinien Rewriting konfigurieren setzt das IVE die Auswertung anhand der Richtlinien fort die f r die Anforderung des Benutzers gelten 326 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Neuschreiben Wenn der Benutzer eine Ressource anfordert die nicht neu geschrieben werden darf don t rewrite weil sie entweder selektiv neu geschrieben werden soll oder aufgrund einer Ressourcenrichtlinie f r Durchgangsproxy leitet das IVE die Anforderung des Benutzers an die entsprechende Back End Ressource weiter Andernfalls setzt das IVE die Auswertung der Ressourcenrichtlinien fort die der Anforderung entsprechen wie z B Java Ressourcenrichtlinien bei der Anforderung eines Java Applet Wenn das IVE f r eine Benutzeranforderung einer Ressource die in der entsprechenden Richtlinie aufgef hrt ist eine bereinstimmung findet f hrt es die f r die Ressource angegebene Aktion aus Beim Schreiben einer Webressourcenri
244. benen Zertifikatl sungen sind jedoch nur Erg nzungen zur Authentifizierung ber einen Authentifizie rungsserver w hrend ein Zertifikatserver Benutzer nur aufgrund ihrer Zertifizierungsattribute authentifiziert Weitere Informationen finden Sie unter Konfigurieren einer Zertifikatserverinstanz auf Seite 225 Das IVE unterst tzt X 509 Zertifikate die mit DER NET oder PEM u a die Dateierweiterungen cer crt der net und pem bzw PKCS 12 Datei erweiterungen u a pfx und p12 codiert sind Serverzertifikate Das IVE verwendet ein tempor res selbst signiertes digitales Zertifikat das mit den bei der Initialisierung eingegebenen Daten lokal erstellt wird Mit hilfe dieses Serverzertifikats k nnen die Benutzer sofort mit der Verwen dung des IVE beginnen 1 Die Verschl sselung f r das w hrend der Initialisierung erstellte selbst signierte Zertifikats ist zwar absolut sicher f r die Benutzer wird jedoch bei jeder Anmeldung am IVE eine Sicherheitswarnung angezeigt da das Zertifikat nicht von einer Zertifizierungsstelle ausgestellt wurde Zu Produktionszwecken empfiehlt es sich ein digitales Zertifikat von einer Zertifizierungsstelle zu beschaffen 70 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Wenn Sie nicht das selbst signierte Zertifikat des IVE verwenden m chten k nnen Sie ein digitales Zertifikat f r das IVE mithilfe einer der folgenden Methoden beziehen Ein vorhandenes
245. bindung herstellt So aktivieren Sie Remotefehlerbehebung 1 Wenden Sie sich an den NetScreen Support um die Bedingungen f r eine Remotesitzung zur Fehlerbehebung einzurichten 2 W hlen Sie in der Web console Maintenance gt Troubleshooting gt Remote Debugging aus NetScreen Instant Virtual Extranet Plattform 419 Administrationshandbuch 3 Geben Sie den Fehlerbehebungscode ein den Sie vom NetScreen Support erhalten haben 4 Geben Sie den Hostnamen ein den Sie vom NetScreen Support erhalten haben 5 Klicken Sie auf Enable Debugging sodass das NetScreen Support Team auf das IVE zugreifen kann 6 Teilen Sie dem NetScreen Support mit dass auf Ihr IVE zugegriffen werden kann 7 Klicken Sie auf Disable Debugging wenn der NetScreen Support Ihnen mitteilt dass die Remotesitzung zur Fehlerbehebung beendet ist EA NETSCREEN Central Manager Help Sign Out al Troubleshooting D Status D Configuration Policy Session System TCP ne Remote D Network Tracing Recording Snapshot Dump Debugging D Clusteri s a zen Remote debugging allows NetScreen to directly access this system over a secure connection You D LogMonieiig should only enable this feature if you have been requested to do so by NetScreen Customer Support in b signing at response to an issue you have reported Administrators D Authentication Debugging Status Disabled D Delegation Debugging Code I Users u Connect to Iservice neoteri
246. bkonsole hinzuf gen Wenn Sie ein werkseitig eingestelltes IVE zu einem Cluster hinzuf gen empfiehlt es sich die serielle Konsole zu verwenden Der Beitritt zu einem bestehenden Cluster kann dann im Verlauf des Initialisierungsvorgangs unter Eingabe nur weniger Informationen erfolgen Wenn ein IVE einem Cluster beitritt empf ngt es die Clusterstatuseinstellungen Dabei werden alle Einstellungen auf einem IVE mit einer bestehenden Konfiguration berschrieben und neuen Ger ten werden die erforderlichen Vorabinformationen bereitgestellt Mi Hinzuf gen eines IVE zu einem Cluster ber die serielle Konsole Ein werkseitig eingestelltes oder konfiguriertes IVE kann einem Cluster erst hinzugef gt werden wenn dem Cluster dessen Identit t bekannt ist Anweisungen zur Angabe eines IVE dass einem Cluster hinzugef gt werden soll finden Sie unter Angeben eines neuen Clustermitglieds auf Seite 170 Wichtig Wenn Sie ein eigenst ndiges IVE ber die Webkonsole zu einem Cluster hinzuf gen m chten muss dieses ber die gleiche Lizenz verf gen wie die anderen Mitglieder Au erdem muss das gleiche Dienstpaket auf der gleichen Hardwareplattform wie bei den anderen Mitgliedern ausgef hrt werden So f gen Sie ein IVE ber seine serielle Konsole zu einem Cluster hinzu 1 W hlen Sie in der Webkonsole eines bestehenden Clustermitglieds die Registerkarte System gt Clustering gt Status aus und geben Sie das IVE an das dem Cluster hi
247. bugging ccccccsscceseeceeeceeeceueceeccueeseesaeeesaeeseeenaeees 418 Chapter 4 Zusatzinformationen 2 20 00 o 421 Appendix A Authentifizierung und Autorisierung Flussdiagramm 423 Appendix B Konfigurieren der Zugriffsverwaltungsoptionen 427 Quell IP Einschr nkungen mersani eie nabeeeattect vee Uedenebeeceta bent 428 Browsereinschr nkungen 2 z0 200 00002000nnn nun nnnnnnnnnnnnonnnonnnn nenn nnnnennne nano nenn nennen 429 Zertifikateinschr nkungen cccccccesecsecesseecueeceecececeusceuecsucecseeceueesueesseeseeeseeesnanes 431 KenhWOorteinschranKung 2 el 433 Hostpr fungseinstellungen 22200240022000200neno nenn nenne nenn nenn ann nnnn nen nenn nennen 434 Cachebereinigungseinschr nkungen uuesssenesenennnennnnnnnnenennnennnnnnnnnnnnenenenennennnnn 435 Appendix C Schreiben benutzerdefinierter Ausdr cke 2 002002200 437 Systemvariablen und Beispiele u22002200022002000n0no nenn ann ennnenenenennnennnenne nennen 442 Appendix D Verwenden der seriellen Konsole des IVE u222002402200 453 Vorwort In diesem Handbuch finden Sie die erforderlichen Informationen zum Konfigurieren und Verwalten des NetScreen Instant Virtual Extranet IVE unter anderem zu den folgenden Themen e bersicht ber die
248. bzuge ben nicht nur an IVE Benutzer e Disable remote control more secure Die Auswahl dieser Option beschrankt die Steuerung des Desktops und der Desktopanwendun gen des Vorf hrenden der Konferenz ausschlie lich auf den Vorfuh renden selbst Geben Sie im Bereich Meeting Policy Settings an ob Sie die von Secure Meeting Benutzern verwendeten Ressourcen einschr nken m chten e Aktivieren Sie das Kontrollk stchen Limit number of scheduled meetings und geben Sie einen entsprechenden Wert f r die H chstanzahl von Konferenzen ein die zu einem bestimmten Zeitpunkt f r die Rolle geplant werden kann e Aktivieren Sie das Kontrollk stchen Limit number of simultaneous meetings und geben Sie einen entsprechenden Wert fur die H chstanzahl von Konferenzen ein die gleichzeitig von Mitgliedern der Rolle abgehalten werden kann Aktivieren Sie das Kontrollk stchen Limit number of simultaneous meeting attendees und geben Sie einen entsprechenden Wert f r die H chstanzahl von Personen ein die gleichzeitig an von Mitgliedern der Rolle geplanten Konferenzen teilnehmen k nnen e Aktivieren Sie das Kontrollk stchen Limit duration of meetings minutes und geben Sie einen entsprechenden Wert in Minuten fur die maximale Dauer einer Konferenz ein Wichtig Das IVE begrenzt die Anzahl von Konferenzen an denen Benutzer teilnehmen k nnen Ein einzelner Benutzer kann pro Computer stets nur an einer Konferenz und innerhalb von jeweils 3
249. cation D Roles Help Sign Out Certificates Licensing Security Beide Server Certificates CA Certificates Applet Certificates Users can be required to present valid client side certificates to sign in see Users Authentication page Specify the root certificate authority used to validate client side certificates Root Certificate Authority Certificate Details Issued To Issued By Valid to gt New User 7 Import Certificate Resource Policies N ah Abbildung 25 System gt Configuration gt Certificates gt CA Certificates Registerkarte Certificates gt Applet Certificates Importieren Sie mithilfe der Registerkarte System gt Configuration gt Certificates gt Applet Certificate Codesignaturzertifikate f r die Benutzer wie unter Appletzertifikate auf Seite 71 beschrieben Mi Importieren eines Codesignaturzertifikats So importieren Sie ein Codesignaturzertifikat 1 W hlen Sie in der Webkonsole System gt Configuration gt Certificates gt Applet Certificates aus Klicken Sie unter Applet Signing Certificates auf Import Certificates Navigieren Sie auf der Seite Import Certificates zu den entsprechen den Dateien mit dem Codesignaturzertifikat geben Sie die Informa tionen f r den Kennwortschl ssel ein und klicken Sie dann auf Import 4 Geben Sie mithilfe der Einstellungen auf der Registerkarte Resource Policies gt Web gt Java gt Code Signing an welche Ressourc
250. cen verwendet werden K nnen finden Sie unter Systemvariablen und Beispiele auf Seite 442 comparisonOperator kann folgende Werte annehmen gleich Kann f r Zeichenfolgen Zahlen und DNs verwendet werden I ungleich Kann f r Zeichenfolgen Zahlen und DNs verwendet werden lt _ kleiner als Kann mit Zahlen verwendet werden lt kleiner oder gleich Kann mit Zahlen verwendet werden gt _ gr er als Kann f r Zahlen verwendet werden gt gr er oder gleich Kann f r Zahlen verwendet werden NetScreen Instant Virtual Extranet Plattform 439 Administrationshandbuch simpleValue kann folgende Werte annehmen Zeichenfolge Zeichenfolge in Anf hrungszeichen die Platzhalter enthalten kann IP Adresse a b c d Subnetz a b c d Subnetz Anzahl Bits Zahl positive oder negative Ganzzahl Tag SUN MON TUE WED THU FRI SAT Hinweise zu Zeichenfolgen Eine Zeichenfolge kann alle Zeichen au er lt nl gt und lt cr gt enthalten Bei Zeichenfolgenvergleichen wird die Gro und Kleinschreibung nicht ber cksichtigt Zeichenfolgen k nnen in einfache oder doppelte Anf hrungszeichen gesetzt werden Eine Zeichenfolge in Anf hrungsstrichen kann Platzhalter enthalten d h Sternchen Fragezeichen und eckige Klammern Weitere Informationen finden Sie unter Platzhalterabgleich auf Seite 441 Vergleiche vom Typ variable comparisonOperator variable werden ohne Pl
251. ch 443 certAttr allName email Joe company com certAttr altName directoryName eN joe ou company 0 com certAttr altName ipAddress 10 10 83 2 certAttr SN userAttr certSerial certAttr SN 6f 05 45 ab certDN cn John Harding ou eng c Company certDN userDN DN des Zertifikat Subjekts wird mit dem DN des LDAP Benufzers abgeglichen certDN userAttr x509SubjectName certDN cn John Harding ou eng c Company or cn Julia Yount ou eng c Company certDN OU company certDN E joe company com certDN ST CA 444 Administrationshandbuch certDNText Verf gbar in e Rollenzuordnungsregeln e Ressourcenrichtlinienregeln e Felder f r SSO Parameter certissuerDN Verfugbar in e Rollenzuordnungsregeln e Ressourcenrichtlinienregeln certlssuerDN lt ssuer attr gt Verfugbar in e Rollenzuordnungsregeln e Ressourcenrichtlinienregeln e Felder f r SSO Parameter certilssuerDNText Verfugbar in e Rollenzuordnungsregeln e Ressourcenrichtlinienregeln e Felder f r SSO Parameter NetScreen Instant Virtual Extranet Plattform Als Zeichenfolge gespeicherter Benutzer DN eines Clientzertifi kats Es sind nur Zeichenfolgen vergleiche mit diesem Wert zulassig Subjekt DN des Clientzertifikat Ausstellers Diese Variable ver halt sich wie ein Standard DN Attribut wie z B CertDN Beliebige Variable aus dem Subjekt DN des Clientzertifikat Ausstellers
252. ch nicht die M glichkeit bieten eigene Lesezeichen zu erstellen m ssen Sie unbedingt die Sitzungslesezeichen f r sie konfigurieren Andernfalls k nnen Benutzer diese Funktion nicht nutzen Hinweis Gegenw rtig wird die Sun JVM in der Version 1 4 1 oder h her unterst tzt V Erstellen von Lesezeichen f r sichere Terminalsitzungen So erstellen Sie Lesezeichen f r sichere Terminalsitzungen 1 W hlen Sie in der Webkonsole Users gt Roles gt Ausgew hlte Rolle gt Telnet SSH gt Sessions aus 2 Klicken Sie auf Add Session und geben Sie die erforderlichen Informa tionen ein die durch ein Sternchen gekennzeichnet sind Wenn Sie einen Namen und eine Beschreibung f r ein Lesezeichen angeben wer den diese Informationen auf der Seite Terminal Sessions angezeigt 3 Klicken Sie auf Save Changes oder Save New NetScreen Instant Virtual Extranet Plattform Administrationshandbuch EAN NETSCREEN Central Manager System D Status gt Configuration D Network D Clustering gt Log Monitoring D Signing In Administrators gt Authentication Help Sign Out Roles gt employees hq General Web Files SAM Bill Meetings Network Connect Sessions Options Add Session Duplicate Delete gt Delegation Users Telnet SSH session Resource Type D A thenti CASN O 1 SSH to jib jib danastreet net 22 SSH er SSH to Theron s machine oles gt New U
253. che Regel zuordnet f hrt es die angege bene Aktion aus und beendet die Richtlinienverarbeitung 342 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch 9 Wenn Sie Folgendes ausw hlen Use virtual hostname m ssen Sie au erdem Folgendes durchf hren 1 Hinzuf gen einen Eintrags f r jeden Hostnamenalias eines Anwendungsservers im externen DNS der f r das IVE aufgel st wird 2 Hochladen eines Serverzertifikats mit Platzhaltern in das IVE empfohlen Use IVE port m ssen Sie Datenverkehr f r den IVE Port ffnen den Sie f r den Anwendungsserver in der Firmenfirewall angegeben haben Hinweis Wenn die Anwendung mehrere Ports berwacht konfigurieren Sie jeden Anwendungsport als separaten Durchgangsproxyeintrag mit einem separaten IVE Port Wenn Sie ber verschiedene Hostnamen oder IP Adressen auf den Server zugreifen m chten m ssen Sie diese Optionen einzeln konfigurieren Sie k nnen dann denselben IVE Port verwenden Ein Beispiel f r eine Webressourcenrichtlinie finden Sie in den Abbildungen unter Schreiben einer Webressourcenrichtlinie auf Seite 325 Registerkarte Remote SSO gt Form POST Auf der Registerkarte Remote SSO gt Form POST k nnen Sie eine Webressourcenrichtlinie schreiben die Webanwendungen angibt an die das IVE Daten sendet In den Daten k nnen Benutzername und Kennwort eines IVE Benutzers und durch Systemvariablen gespeicherte Systemdaten enthalten
254. chtlinie m ssen Sie die folgenden zentralen Informationen angeben Ressourcen Eine Ressourcenrichtlinie muss mindestens eine Ressource angeben auf die sich die Richtlinie bezieht Beim Schreiben einer Webrichtlinie m ssen Sie Webserver oder bestimmte URLs angeben Weitere Informationen finden Sie unter Angeben von Webressourcen auf Seite 46 Rollen Eine Ressourcenrichtlinie muss die Rollen angeben auf die sie sich bezieht Wenn ein Benutzer eine Anforderung durchf hrt ermittelt das IVE zun chst die f r die Rolle g ltigen Richtlinien und wertet dann die Richtlinien aus die auf die Anforderung zutreffen Aktionen Jeder Typ von Ressourcenrichtlinie f hrt eine bestimmte Aktion aus Zugriff auf eine Ressource gew hren bzw verweigern oder eine Funktion wie Neuschreiben von Inhalten Neusignieren von Applets Bereitstellen von Webdaten ausf hren bzw nicht ausf hren Sie k nnen auch detaillierte Regeln schreiben mit denen Sie weitere Bedingungen f r eine Benutzeranforderung festlegen Weitere Informationen finden Sie unter Schreiben einer detaillierten Regel auf Seite 52 NetScreen Instant Virtual Extranet Plattform 327 Administrationshandbuch EA NETSCREEN Central Manager Help Sign Out System Web Access Policies gt staan New Policy D gt Configuration gt Network gt Clustering D D Log Monitorin 5 i be Name Intranet Policy Required Label to reference this policy Signing In
255. chtlinien Einstellungen einer Webzugriffs Ressourcenrichtlinie einen Webser ver angeben k nnen Sie eine detaillierte Regel definieren die einen bestimmte Pfad auf diesem Server angibt und dann die Aktion f r diesen Pfad ndern e Es kann vom Benutzer verlangt werden dass er zum Anwenden der Aktion bestimmte Bedingungen erf llt die in Form boolescher Aus dr cke oder benutzerdefinierter Ausdr cke geschrieben wurden Weitere Informationen finden Sie unter Schreiben einer detaillierten Regel auf Seite 52 Das IVE beendet die Verarbeitung von Ressourcenrichtlinien sobald die angeforderte Ressource in der Liste Resource einer Richtlinie oder in einer detaillierten Regel gefunden wird NetScreen Instant Virtual Extranet Plattform 45 Administrationshandbuch Angeben von Ressourcen fur eine Ressourcenrichtlinie Fur das IVE Modul dass Ressourcenrichtlinien auswertet m ssen die in der Liste Resources einer Richtlinie aufgelisteten Ressourcen im kanonischen Format aufgefuhrt sein In diesem Abschnitt werden die kanonischen Formate beschrieben die zum Angeben von Web Datei und Serverres sourcen verfugbar sind Wenn ein Benutzer versucht auf eine bestimmte Ressource zuzugreifen vergleicht das IVE die angeforderte Ressource mit der in den entsprechenden Richtlinien angegebenen Ressource Es beginnt dabei mit der ersten Richtlinie in der Richtlinienliste Wenn das Modul eine angeforderte Ressource mit einer in der Liste
256. creen Instant Virtual Extranet Plattform Administrationshandbuch 4 Verwenden Sie die Einstellungen auf der Registerkarte Users gt Authentication gt Authentication Policy gt Certificate um das Zertifi kat zu aktivieren und optional bestimmte Werte f r ausgew hlte Zertifi katfelder erforderlich zu machen 5 Mit den Einstellungen auf der Registerkarte Users gt Authentication gt Authentication Policy gt Certificate k nnen Sie Zertifikateinstellungen auf Bereichsebene festlegen Wichtig Wenn Sie keinen Zertifikatserver verwenden wird die clientseitige SSL Authentifizierung erst aktiviert wenn Sie diese Option im Bereich der Seite Authentication Policy explizit ausw hlen 6 Mit den Einstellungen auf der Registerkarte Users gt Roles gt General gt Restrictions gt Certificates k nnen Sie Zertifikateinstellungen f r Rol len festlegen Wichtig Um Zertifikatseinschrankungen f r Rollen zu aktivieren m ssen Sie zun chst das Speichern von Zertifikatinformationen aktivieren oder Zertifikateinschr nkungen f r Bereiche auf der Registerkarte Users gt Authentication gt Authentication Policy gt Certificate aktivieren NetScreen Instant Virtual Extranet Plattform 155 Administrationshandbuch EW NETSCREEN Central Manager System D Status b Configuration gt Network gt Clustering gt Log Monitoring D Signing In Administrators D Authentication gt Delegation Users gt Authenti
257. d E Mail Client Sie k nnen auch detaillierte Regeln f r eine Ressourcenrichtlinie definieren mit denen Sie zus tzliche Anforde rungen f r bestimmte Benutzeranforderungen auswerten k nnen In diesem Abschnitt finden Sie Informationen zu folgenden Themen Typen von Ressourcenrichtlinien 4440444444 Renee nennn nennen 41 Bestandteile einer Ressourcenrichtlinie 444444444 Rennen nee 42 Auswerten von Ressourcenrichtlinien 440044444 Rene nn nenne nenn 43 Angeben von Ressourcen f r eine Ressourcenrichtlinie 45 Schreiben einer detaillierten Regel 2 u00222000002200000nRnnnn een 52 Typen von Ressourcenrichtlinien e Webressourcenrichtlinien Die Webzugriffsfunktion verf gt ber die folgenden Typen von Ressourcenrichtlinien e Access Gibt Webressourcen an zu denen Benutzer navigieren bzw nicht navigieren d rfen Seite 330 e Caching Gibt an f r welche Webressourcen das IVE Seitenheader sendet oder ndert Seite 331 e Java Access Gibt die Server an mit denen Java Applets eine Verbin dung herstellen k nnen Seite 336 e Java Signing Gibt an ob Java Applets mit einem Appletzertifikat oder dem Standard IVE Zertifikat neu signiert werden Seite 336 e Selective Rewriting Gibt an welche Ressourcen das IVE neu schrei ben kann Seite 340 e Pass through Proxy Gibt Webanwendungen an fur die das IVE eine minima
258. d Fehlerbehebung von Secure Mee ting finden Sie unter Nur Meeting Series Appliances Anzeigen der Auslastung der Systemkapazit t 2u0004444ennennne nennen 126 Anzeigen und Absagen geplanter Konferenzen 4444m4enne nennen 133 Secure Meeting Fehlerbehebung cccccssceccccseeececesseeeceesseeesseeeeeesuaaeees 20 Hinweis Die hier aufgef hrten Anweisungen erg nzen die Standard Konfigurationsanweisungen f r das IVE die in diesem Handbuch aufgef hrt sind Konferenzplanung teilnahme und durchf hrung Konferenzplanung Jede Secure Meeting Onlinekonferenz muss durch einen IVE Benutzer geplant werden ber die sichere Gatewayschnittstelle stellt der Ersteller der Konferenz die Konferenzdetails bereit einschlie lich Konferenzname Beschreibung Startzeit Startdatum Dauer Kennwort Teilnehmerliste und E Mail Adressen der Teilnehmer Wenn der Ersteller der Konferenz die ein zuladenden Personen angibt muss er jeden Gast in eine der folgenden Kategorien einordnen e IVE Gast Ein IVE Gast auch als netzinterner Gast bezeichnet ist ein IVE Benutzer der sich an demselben Server wie der Ersteller der Konfe renz anmeldet e Nicht IVE Gast Ein Nicht IVE Gast auch als netzexterner Gast bezeichnet ist ein Nicht IVE Benutzer oder ein IVE Benutzer der sich ber ein anderes IVE als das IVE des Konferenzerstellers authentifi ziert Wenn der Konferenzersteller die Konferenz
259. dd bookmarks gt Troubleshootin s Users can add personal bookmarks V Auto allow role bookmarks Use auto allow to automatically add web bookmarks for this role to the Web access control policy Note that this only applies to role bookmarks not user bookmarks Cookies Persistent cookies User preferences and application settings are sometimes stored in persistent cookies To maximize supported sites and usability you should allow this But if necessary they can be flushed whenever the user signs out Abbildung 85 Users gt Roles gt Ausgew hlte Rolle gt Web gt Options NetScreen Instant Virtual Extranet Plattform 299 Administrationshandbuch Registerkarte Files gt Windows Bookmarks Auf der Registerkarte Files gt Windows Bookmarks k nnen Sie Windows Lesezeichen erstellen die dieser Rolle zugeordneten Benutzern auf der Willkommensseite angezeigt werden Sie k nnen den IVE Benutzernamen des Benutzers in den URL Pfad einf gen um so einen schnellen Zugriff auf die Netzwerkverzeichnisse des Benutzers zu erm glichen Wenn IVE Benutzer zu Dateien auf einem Dfs Server navigieren gibt der Dfs Server anhand der in Active Directory gespeicherten Site Konfigurationsdaten Dfs Verweise in der richtigen Reihenfolge an das IVE zur ck Verweise auf n here Servers befinden sich in der Liste an einer h heren Position als Verweise auf weiter entfernte Server Die Clients durchlaufen die Verweise in der Reihenfolg
260. deinformationen von SiteMinder akzeptiert und somit die M glichkeit zur Einzelanmeldung von SiteMinder f r das IVE erm glichen wie unter Automatische Anmeldung beim IVE ber SiteMinder auf Seite 250 erl utert Wichtig Zur Zeit der Drucklegung dieses Dokuments bietet NetScreen Unterst tzung f r Netegrity Siteminder Server Version 5 5 mit Standard Agent Versionen 5QMR5 und 4QMR6 und ist mit Netegrity Siteminder Server Version 4 61 kompatibel Authentifizierung mit mehreren Authentifizierungsschemas Ein Authentifizierungsschema bietet in SiteMinder eine M glichkeit Anmeldinformationen zu sammeln und die Identit t eines Benutzers zu ermitteln Sie k nnen verschiedene Authentifizierungsschemas erstellen und ihnen jeweils verschiedene Sicherheitsebenen zuordnen Sie k nnen z B zwei Schemas erstellen eins das Benutzer nur auf Grundlage ihrer clientseitigen Zertifikate authentifiziert und sie mit einer niedrigen Sicherheitsebene versieht und ein zweites das ACE SecurlD Tokenauthentifizierung verwendet und eine h here Sicherheitsebene bereitstellt Das IVE funktioniert mit folgenden Arten von SiteMinder Authentifizierungsschemas e Einfache Authentifizierung ber Benutzername und Kennwort Benutzername und Kennwort werden an den SiteMinder Richtlinienserver weitergeleitet Der Richtlinienserver kann diese dann selbst authentifizieren oder sie zur Authentifizierung an einen anderen Server weiterleiten Seite 250 e A
261. den gegenw rtig nicht unterst tzt Sie k nnen auch auf der Registerkarte SAM gt Options die Option Auto allow application servers aktivieren sodass das IVE automatisch eine SAM Ressourcenrichtlinie erstellt die den Zugriff auf diesen Server erlaubt So geben Sie Anwendungen und Server an die mit W SAM gesichert werden sollen 1 2 W hlen Sie in der Webkonsole Users gt Roles gt Ausgew hlte Rolle gt SAM gt Applications aus Geben Sie Ressourcen aus der Liste W SAM supported application an f r die W SAM den Client Server Verkehr zwischen dem Client und dem IVE sichert 1 Klicken Sie auf Add Application 1 Sie k nnen Secure Application Manager so konfigurieren dass er bei der Anmeldung eines Benutzers automatisch gestartet wird Benutzer k nnen diese Einstellung ber das Men IVE System gt Preferences au er Kraft setzen Wenn der automatische Start deaktiviert ist muss Secure Application Manager manuell gestartet werden indem auf die entsprechende Verkn pfung im IVE Startseitenmen geklickt wird 306 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch 2 Geben Sie den Namen der Anwendung und bei Bedarf eine Beschreibung ein Diese Informationen werden auf der Seite Client Applications f r IVE Benutzer angezeigt 3 Wahlen Sie eine der folgenden Optionen aus e Standard application Auswahl von Citrix NFuse Lotus Notes oder Microsoft Outlook Exchange e Custom applic
262. den ist Das IVE leitet keine Anfor derungen von der externen Schnittstelle ein und diese Schnittstelle akzep tiert keine anderen Verbindungen mit Ausnahme von Ping und Tracerouteverbindungen Alle Anforderungen an eine beliebige Ressource werden von der internen Schnittstelle ausgegeben Weitere Informationen finden Sie unter Registerkarte Internal Port auf Seite 157 VI Aktivieren des externen Ports DMZ Schnittstelle Auf der Registerkarte External Port k nnen Sie die DMZ Funktion aktivieren Hinweis Der externe Port fragt nur Anforderungen von Benutzern ab die am IVE angemeldet sind und leitet nur deren Anforderungen weiter Wenn Sie die DMZ Funktion aktivieren k nnen sich Administratoren standardm ig nicht mehr von einem externen Standort aus anmelden Sie k nnen den externen Port f r Administratoren auf der Registerkarte Administrators gt Authentication gt Authentication Policy gt Source IP ffnen So aktivieren Sie den externen Port 1 W hlen Sie in der Webkonsole System gt Network gt External Port aus 2 W hlen Sie unter DMZ Setting die Option Enable aus 3 Geben Sie unter Address Information IP Adresse Netzmaske Gate way und bertragungsrate f r den externen Port des IVE ein In den meisten F llen empfiehlt es sich die Einstellungen von der Seite Internal Port zu bernehmen und dann die Informationen zum internen Port in eine lokale IP Adresse und Netzmaske sowie ein lokales Gatewa
263. der ber die Einschr nkungsoptionen f r die Rolle Ressourcenrichtlinie Auf der Ebene der Ressourcenrichtlinie konfigurieren Sie die Anforderungen f r die Zugriffsverwaltung indem Sie Bedingungen f r Rollen schreiben Konfigurationsanweisungen f r Optionen der Zugriffsverwaltung finden Sie unter Angeben von Quell IP Einschr nkungen 22244000 0snnee nennen nnnenneennnnnnne nen 428 Angeben von Browsereinschr nkungen ussussnensenennnnnennennennennennn nenne nnennnnnn 429 Angeben clientseitiger Zertifikateinschr nkungen uss222440Hnnenene nennen 432 Angeben einer Kennwortl ngeneinschr nkung uu rs0sessnnnennennenne nennen 433 Angeben von Hostpr fungseinschr nkungen cccsseecceeseeeeeeseeeeeeeeaeeeeeeenaaes 434 Angeben von Quell IP Einschr nkungen 222400s0n0enne nennen nnnennennnnenne nen 428 Angeben von Quell IP Einschr nkungen 22244400B2snne nennen nnnenneennnnnnne nen 428 bersichtsinformationen finden Sie unter Zugriffsverwaltung bersicht auf Seite 23 428 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Quell IP Einschr nkungen Mit einer Quell IP Einschr nkung kann gesteuert werden von welcher IP Adresse aus Benutzer auf eine IVE Anmeldeseite oder eine Ressource zugreifen oder einer Rolle zugeordnet werden k nnen Mi Angeben von Quell IP Einschr nkungen So geben Sie Quell
264. derer Informationen basiert zu denen Folgende geh ren k nnen 1 Beachten Sie dass Sie die gleiche Ressourcenliste wie auf der Registerkarte General auch als detaillierte Regel angeben k nnen wenn deren einziger Zweck die Anwendung von Bedingungen auf eine Benutzeranforderung ist NetScreen Instant Virtual Extranet Plattform 53 Administrationshandbuch e Die Eigenschaften einer Ressource beispielsweise Header Inhaltstyp oder Dateityp e Die Eigenschaften eines Benutzers beispielsweise der Benutzername und die Rollen denen er zugeordnet ist e Die Eigenschaften einer Sitzung beispielsweise die Quell IP oder der Browsertyp eines Benutzers ob der Benutzer die Hostpr fung oder Cachebereinigung ausf hrt die Uhrzeit oder Zertifikatattribute Mit detaillierten Regeln kann die Ressourcenzugriffssteuerung flexibler gestaltet werden das bestehende Ressourcen oder Berechtigungsinforma tionen zum Angeben anderer Anforderungen f r andere Benutzer verwen det k nnen auf die die Basisressourcenrichtlinie angewendet wird So schreiben Sie eine detaillierte Regel f r eine Ressourcenrichtlinie 1 Geben Sie auf der Seite New Policy f r eine Ressourcenrichtlinie die erforderlichen Ressourcen und Rolleninformationen ein 2 W hlen Sie im Bereich Action die Option Use Detailed Rules aus und klicken Sie auf Save Changes 3 Klicken Sie auf der Registerkarte Detailed Rules auf New Rule F hren Sie auf der Seite Detailed Rule Fo
265. dern f r Benutzername und Bereich zu entfernen 412 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch EA NETSCREEN Central Manager Help Sign Out System D Status Troubleshooting D Configuration D Network Policy Session System TCP Garamands Remote b Clustering Tracing Recording Snapshot Dump Debugging gt Log Monitoring 2 s r a This page allows you to record policy trace events for a given user under a given realm Policy trace D Signing In oan A 4 events determine policies applied on the user under the given realm Administrators D Authentic Enter the user name realm name and click on the Start Recoraing button events get logged for the gt particular user from this point onwards Inspect the trace file after you Stop Recording Please Delegation f contact NetScreen help support neoteris com for any further review Users gt Authentication D Roles Record Trace File D New User Status Recording Resource Policies User mike Web D D Files Realm partners gt SAM D Telnet SSH Stop Recording Delete Trace Hide Log lt lt D D D Network Connect Meetings Current Policy Trace Log Show 1000 KTuc Update Save Log As Clear Log Email Client Date Earliest Date to Latest Date moving Maintenance User Name mike Realm Name partners D System Export Format Standard D Import Export gt Push Config D Archiving Info Severity ID Message PTR10103 2
266. des neuen Clusters zu best tigen Nachdem das IVE den Cluster initialisiert hat werden auf der Seite Clustering die Registerkarten Status und Properties angezeigt NetScreen Instant Virtual Extranet Plattform 169 Administrationshandbuch EAT NETSCREEN Central Manager Help Sign Out ee Create New Cluster b Status gt Configuration Join Create D Network B Clustering TaN NetScreen SA 5000 Advanced 4 Unit Multi Site Cluster Fr ee KRR 1000 Simultaneous Users og Monitoring ee D Signing iA te ot the cluster to Cluster Name NorthAmerica ast beislaba enoe Administrators ir ze 5 OF gt Authentication Cluster Password gt Delegation Confirm Password Du Users gt Authentication gt Roles gt New User Resource Policies Create Cluster gt Web b Files D SAM Name of this IVE in the Member Name live 1 cluster Must be alphanumeric pm Abbildung 31 System gt Clustering Startseite EN NETSCREEN Central Manager Help Sign Out aysa Clustering D Status gt Configuration Status Properties D Network Cluster Name NorthAmerica gt Log Monitoring Type NetScreen SA 5000 Advanced 4 Unit Multi Site Cluster 1000 Simultaneous Users D Signing In Administrators Add Member Enable Disable Remove gt Authentication D Delegation Member Name Internal Address External Address Status Notes syne Rank Update Use D live 1 10 10 9 1 16 Enabled m
267. designatur 1 W hlen Sie in der Webkonsole Resource Policies gt Web gt Java gt Access Control aus Klicken Sie auf der Seite Java Signing Policies auf New Policy 3 Geben Sie auf der Seite New Policy Folgendes ein 1 Eine Bezeichnung f r diese Richtlinie 2 Eine Beschreibung der Richtlinie Optional 338 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch 4 Geben Sie im Bereich Resources die Ressourcen an f r die diese Richtlinie gelten soll Weitere Informationen finden Sie unter Angeben von Webressourcen auf Seite 46 5 Geben Sie im Bereich Roles Folgendes an Policy applies to ALL roles Hiermit gilt die Richtlinie f r alle Benutzer Policy applies to SELECTED roles Hiermit gilt die Richtlinie nur f r Benutzer die zu Rollen in der Liste Selected roles zugeordnet sind Dieser Liste m ssen Rollen aus der Liste Available roles hinzugef gt werden Policy applies to all roles OTHER THAN those selected below Hiermit gilt die Richtlinie f r alle Benutzer au er den Benutzern die zu Rollen in der Liste Selected roles zugeordnet sind Dieser Liste m ssen Rollen aus der Liste Available roles hinzugef gt werden 6 Geben Sie im Bereich Action Folgendes an Resign applets using applet certificate Erlaubt dass Java Applets eine Verbindung mit den Servern und ggf Ports in der Liste Resources herstellen Resign applets using applet certificate Verhindert dass Java Applets eine
268. die Datei hosts nicht automatisch verar beiten und die Hostnamenaufl sung in localhost findet nicht statt Benut zer ohne die entsprechenden Berechtigungen haben die folgenden Alternativen e Sie k nnen ihren externen DNS Server zum Aufl sen von Anwendungs servern in localhost konfigurieren Wenn Sie Ihren externen DNS Ser ver so konfigurieren dass er eine localhost Adresse anstelle des Hostnamens des Anwendungsservers verwendet m ssen Remotebenut zer die Reihenfolge in der ihr Computer nach DNS Servern sucht so konfigurieren dass mit der Firmen DNS begonnen wird e Sie definieren weniger strikte Berechtigungen f r das Verzeichnis etc und die Datei etc hosts um J SAM das Ausf hren der notwendigen Anderungen zu erm glichen e Benutzer konfigurieren eines Clientanwendung f r die Verwendung der localhost Adresse die durch das IVE zugewiesen wurde indem sie nor malerweise in der Clientanwendung den Hostnamen des Anwendungs servers angeben Weitere Informationen finden Sie unter Ermitteln der vom IVE zugewiesenen Loopback Adresse auf Seite 115 Zugriff auf privilegierte Ports f r Benutzer von Linux und Macintosh Linux Benutzer haben keinen Zugriff auf Ports unter 1024 wenn sie auf Ihrem Computer nicht als root angemeldet sind Macintosh Benutzer haben keinen Zugriff auf Ports unter 1024 es sei denn sie geben bei einer ent sprechenden Aufforderung durch J SAM das Administratorkennwort ein So unterst tzen Sie Anwen
269. dministrationshandbuch NetScreen Instant Virtual Extranet Plattform 229 Administrationshandbuch Konfigurieren einer LDAP Serverinstanz Das IVE unterst tzt zwei LDAP spezifische Authentifizierungsoptionen e Unencrypted Benutzername und Kennwort werden im Klartext unverschl sselt an den LDAP Verzeichnisdienst gesendet e LDAPS Die Daten in der LDAP Authentifizierungssitzung werden mit dem SSL Protokoll Secure Socket Layer verschl sselt bevor sie an den LDAP Verzeichnisdienst gesendet werden Das IVE unterst tzt au erdem dynamische LDAP Gruppen und LDAP Kennwortverwaltung ber das IVE Mithilfe der Kennwortverwaltung k nnen Benutzer die sich ber einen LDAP Server authentifizieren ihre Kennw rter anhand der auf dem LDAP Server definierten Richtlinien ber das IVE zu verwalten Beispiel Ein Benutzer verwendet f r die Anmeldung am IVE ein Kennwort dessen G ltigkeit in K rze abl uft Das IVE f ngt die Benachrichtigung ber das abgelaufene Kennwort ab zeigt sie dem Benutzer in der IVE Oberfl che an und leitet dann die Antwort des Benutzers an den LDAP Server zur ck ohne dass sich der Benutzer separat am LDAP Server anmelden muss Weitere Informationen finden Sie unter Definieren einer LDAP Serverinstanz ccccececcecececececcccecececececacaeeerereceeaeaes 229 Unterst tzte Funktionen f r die LDAP Kennwortverwaltung 232 lV Definieren einer LDAP Serverinstanz
270. dnet sind Benutzer die sich von einer IP Adresse aus anmelden k nnen eine aktive IVE Sitzung nicht von einer anderen IP Adresse aus fortsetzen Benutzersitzungen sind an die urspr ngliche Quell IP Adresse gebunden Aktivieren Sie unter Persistent session das Optionsfeld Enabled um das IVE Sitzungscookie auf die Festplatte des Clients zu schreiben sodass die Anmeldeinformationen des IVE Benutzers f r die Dauer der IVE Sitzung gespeichert werden Standardm ig wird das IVE Sitzungscookie aus dem Speicher des Browsers gel scht wenn der Browser geschlossen wird Die IVE Sitzungsdauer wird sowohl vom Wert des Leerlaufzeitlimits als auch dem Wert der H chstsitzungsdauer bestimmt die Sie f r die Rolle angeben Die IVE Sitzung wird nicht beendet wenn ein Benutzer den Browser schlie t Eine IVE Sitzung wird erst dann beendet wenn sich ein Benutzer vom IVE abmeldet Wenn ein Benutzer das Browserfenster NetScreen Instant Virtual Extranet Plattform 291 Administrationshandbuch schlie t ohne sich abzumelden kann jeder beliebige Benutzer eine andere Instanz desselben Browsers ffnen um auf das IVE zuzugreifen ohne g ltige Anmeldeinformationen zu senden Hinweis Wir empfehlen diese Funktion nur f r Rollen zu aktivieren deren Mitglieder den Zugriff auf Anwendungen ben tigen f r die IVE Anmeldeinformationen erforderlich sind Zudem sollten Sie daf r sorgen dass sich diese Benutzer der Bedeutung der Abmeldung vom IVE n
271. dule die zur Security World geh ren Einen Smartcardleser Eine Administratorkarte die mit der Security World und dem Admini stratorkennwort vorinitialisiert ist die Sie importieren m chten So importieren Sie eine vorhandene Security World in ein eigenst ndiges IVE 1 Importieren Sie die Systemkonfigurationsdatei die die archivierte Security World und das entsprechende Zertifikat enth lt in das IVE Seite 389 und initialisieren Sie ggf die Security World Enth lt die Konfigurationsdatei eine archivierte Version von e der Security World die auf dem Computer bereits vorhanden war ist keine weitere Konfiguration erforderlich e einer anderen Security World als der die auf dem Computer bereits vorhanden war m ssen Sie die neue Security World initialisieren Hinweis Wenn Sie eine Konfigurationsdatei importieren die eine andere Security World enth lt k nnen Sie Ihre vorhandenen Administratorkarten erst f r die importierte Security World verwenden wenn Sie sie mit den Daten der neuen Security World neu formatiert haben Schlie en Sie das Kabel des Smartcardlesers an den Leseger tport des Kryptographiemoduls an der sich an der Frontplatte des IVE Ger ts befindet Legen Sie eine Administratorkarte die mit der importierten Security World vorinitialisiert wurde mit den Kontakten nach oben in den Smartcardleser ein Stellen Sie den Modusschalter des Kryptographiemoduls auf I Initialisierungsmodus 464 Ne
272. dungen die ber privilegierte Ports Ports unter 1024 ausgef hrt werden beispielsweise eine Telnet Anwendung e Benutzer k nnen den Browser in dem J SAM gestartet wird als root starten e Sie oder der Benutzer k nnen eine Client Portnummer ab Port 1024 angeben wenn Sie die Anwendung der Liste Client Applications hinzu f gen Wenn beispielsweise f r eine Telnet Anwendung als Clientport 2041 und als Serverport 23 angegeben ist wird folgender Befehl zum Ausf hren der Anwendung verwendet telnet loopbackIP 2041 Dabei steht loopbackIP fur die IP Loopback Adresse die dem Anwen dungsserver vom IVE zugewiesen wurde J SAM berwacht Port 2041 auf Datenverkehr von der Telnet Anwendung und leitet diesen an das IVE wei ter Das IVE leitet den Datenverkehr dann an Port 23 auf dem Zielserver NetScreen Instant Virtual Extranet Plattform 115 Administrationshandbuch weiter Weitere Informationen ber die Ermittlung der vom IVE zugewie senen Loopback Adresse finden Sie unter Ermitteln der vom IVE zuge wiesenen Loopback Adresse auf Seite 115 Ermitteln der vom IVE zugewiesenen Loopback Adresse Benutzer k nnen den Firmen DNS Server f r Anwendungen nicht ndern der f r die Portweiterleitung hinzugef gt werden Wenn Sie Benutzern das Angeben von Anwendungen erm glichen f r die J SAM als Proxy fungieren soll m ssen diese eine Clientanwendung konfigurieren um die Adresse des localhost verwenden zu k nnen die v
273. e Authentication Authorization Servers Geben Sie einen Namen ein um die Serverinstanz zu bezeichnen Geben Sie den Namen oder die IP Adresse des NIS Servers an Geben Sie den Dom nennamen f r den NIS Server an Oo oe Klicken Sie auf Save Changes Wenn Sie zum ersten Mal eine Serverinstanz erstellen werden die Registerkarten Settings und Users angezeigt 7 Geben Sie die Bereiche an die der Server f r die Authentifizierung und Autorisierung von Administratoren und Benutzern verwenden soll Seite 273 Hinweis Informationen zum berwachen und L schen von Sitzungen von Benutzern die zu diesem Zeitpunkt ber den Server angemeldet sind finden Sie unter Anzeigen und L schen von Benuizersitzungen auf Seite 263 242 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch EA NETSCREEN Central Manager Help Sign Out System Servers gt D Status empHQ gt Configuration D Network Settings Users D Clustering D Log Monitoring gt Signing In Name JempHa Label to reference this server Administrators NIS Server nis yourcompany net Name or IP address D Authentication NIS Domain Inis yourcompany net D Delegation users Save Changes Reset gt Authentication gt Roles gt New User Abbildung 62 System gt Signing In gt Servers gt NIS Server NetScreen Instant Virtual Extranet Plattform 243 Administrationshandbuch Konfigurieren einer RADIUS Serverinst
274. e in der diese empfangen werden Wenn eine Anforderung von einem Client eingeht der sich in einem nicht in der Liste aufgef hrten Subnetz befindet besitzt der Server keine Informationen ber den Standort des Clients und gibt die Verweise in zuf lliger Reihenfolge zur ck Auf diese Weise greifen Dfs Anforderungen vom IVE in diesem Falle in der Rolle des Clients m glicherweise auf einen wesentlich weiter entfernten Server zu Dies wiederum kann zu erheblichen Verz gerungen f hren insbesondere wenn das IVE versucht auf einen Server zuzugreifen der aus dem Subnetz mit dem IVE nicht erreichbar ist Wenn das IVE in einem Subnetz installiert ist das sich nicht in der Liste des Dfs Servers befindet kann der Dfs Administrator das Subnetz mit dem IVE auf dem Dom nencontroller mit dem Tool Active Directory Standorte und Dienste zur entsprechenden Site hinzuf gen lV Erstellen von Lesezeichen fur Windows Ressourcen So erstellen Sie ein Lesezeichen fur eine Windows Ressource 1 W hlen Sie in der Webkonsole Users gt Roles gt Ausgew hlte Rolle gt Files gt Windows Bookmarks aus 2 Klicken Sie auf New Bookmark und wechseln Sie dann zum Server und Freigabenamen bzw geben Sie diesen ein Geben Sie einen Pfad ein um den Zugriff weiter einzuschranken Wenn Sie den Benutzernamen des Benutzers einf gen m chten geben Sie an der entsprechenden Stelle im Pfad lt USER gt in Gro buchstaben ein Wenn Sie einen Namen und eine
275. e von allen kompatiblen Browsern unterst tzt werden In der folgenden Liste der von IVE unterst tzten Browser werden Cachesteuerungs Header ber cksichtigt Win2k IE5 5 SP2 Win2k IE6 0 Win98 Netscape4 79 Win98 IE5 5 SP2 MacOS9 2 1E5 1 5 MacOSx IE5 2 VI Schreiben einer Ressourcenrichtlinie f r die Zwischenspeicherung So schreiben Sie eine Ressourcenrichtlinie fur die Webzwischenspeicherung 1 W hlen Sie in der Webkonsole Resource Policies gt Web gt Caching gt Policies aus Klicken Sie auf der Seite Web Caching Policies auf New Policy 3 Geben Sie auf der Seite New Policy Folgendes ein 1 Eine Bezeichnung f r diese Richtlinie 2 Eine Beschreibung der Richtlinie Optional Geben Sie im Bereich Resources die Ressourcen an f r die diese Richtlinie gelten soll Weitere Informationen finden Sie unter Angeben von Webressourcen auf Seite 46 Geben Sie im Bereich Roles Folgendes an e Policy applies to ALL roles Hiermit gilt die Richtlinie f r alle Benutzer e Policy applies to SELECTED roles Hiermit gilt die Richtlinie nur f r Benutzer die zu Rollen in der Liste Selected roles zugeordnet sind Dieser Liste m ssen Rollen aus der Liste Available roles hinzugef gt werden e Policy applies to all roles OTHER THAN those selected below Hiermit gilt die Richtlinie f r alle Benutzer au er den Benutzern die zu Rollen in der Liste Selected roles zugeordnet sind Dieser Liste m ssen Rollen aus der Liste
276. e IP Adresse und nicht auf einen Hostnamen verweist wird nur durchgelassen wenn ein entsprechender Eintrag f r die IP Adresse in der Liste Resources vorhanden ist Geben Sie im Bereich Roles Folgendes an e Policy applies to ALL roles Hiermit gilt die Richtlinie f r alle Benutzer e Policy applies to SELECTED roles Hiermit gilt die Richtlinie nur f r Benutzer die zu Rollen in der Liste Selected roles zugeordnet sind Dieser Liste m ssen Rollen aus der Liste Available roles hinzugef gt werden e Policy applies to all roles OTHER THAN those selected below Hiermit gilt die Richtlinie f r alle Benutzer au er den Benutzern die zu Rollen in der Liste Selected roles zugeordnet sind Dieser Liste m ssen Rollen aus der Liste Available roles hinzugef gt werden Geben Sie im Bereich Action Folgendes an e Access web resources directly Das IVE vermittelt die Anforderung des Benutzers an einen Back End Server und die Antwort des Servers an den Benutzer Dies gilt f r Anforderungen an eine Ressource die in der Liste Resources angegeben ist e Access web resources through a web proxy Wenn ein Benutzer den Zugriff auf eine Ressource anfordert die in der Liste Resources aufgef hrt ist sendet das IVE die Benutzerdaten die im Bereich POST details angegeben sind nicht an den angegebenen URL Wenn Sie diese Option ausw hlen m ssen Sie die Einstellungen f r den Webproxy angeben Weitere Informationen finden Sie unter Reg
277. e Lesezeichen Freigaben und Anwendungen den individuellen Benutzerrollen zur Verf gung stehen und sie au erdem die Seiten Resource Policy und somit die Richtlinien anzeigen k nnen die einzelnen Benutzern den Zugriff auf ihre Lesezeichen Freigaben und Anwendungen verweigern e Verweigern Sie den Helpdesk Administratoren Zugriff auf die restlichen Seiten System und Maintenance die haupts chlich zum Konfigurieren von Systemeinstellungen Installation von Lizenzen und Dienstpaketen und nicht zur Behebung von einzelnen Benutzerproblemen verwendet werden Verwenden Sie die Einstellungen auf der Seite Administrators gt Delegation Seite 265 um andere Administratorrollen zu erstellen und deren Zugriff auf die Webkonsole anzupassen 1 Neben evtl von Ihnen erstellten delegierten Administratorrollen verf gt das IVE ber zwei Grund typen von Administratoren Superadministratoren Administrators role die alle Administrationsauf gaben ber die Webkonsole ausf hren d rfen und Administratoren mit Lesezugriff Read only Administrators role die die gesamte IVE Konfiguration auf der Webkonsole anzeigen jedoch nicht ndern d rfen Superadministratoren und Administratoren mit Lesezugriff sind in allen IVE Produk ten verf gbar 84 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch NetScreen Instant Virtual Extranet Plattform 85 Administrationshandbuch E Mail Client bersicht Die vom IVE berei
278. e Meeting wird von unterschiedlichen Betriebssystemen in verschie denem Umfang unterst tzt Ausf hrung von Secure Meeting unter folgen den Betriebssystemen e Windows Betriebssystem Sie k nnen auf alle Konferenzfunktionen zugreifen Zu den unterst tzten Betriebssystemen von Windows geh ren Windows 98 SE Windows ME Windows 2000 mit Service Pack 4 Windows NT 4 0 mit Service Pack 6 und Windows XP mit Service Pack 1 Zu den unterst tzten Browsern auf Betriebssystemen von Windows geh ren Internet Explorer 6 0 mit Service Pack 1 und Netscape Navigator 7 1 Mit Ausnahme von Windows XP werden unter allen oben genannten Betriebssystemen von Windows Internet Explorer 5 0 und 5 5 mit Service Pack 2 unterst tzt e Andere Betriebssysteme als Windows Konferenzen k nnen ange zeigt geleitet oder remote gesteuert jedoch nicht vorgef hrt werden Secure Meeting kann theoretisch unter jedem Betriebssystem ausge f hrt werden wenn die entsprechende Java Virtual Machine JVM auf NetScreen Instant Virtual Extranet Plattform 19 Administrationshandbuch diesem installiert ist In Umgebungen die nicht unter Windows laufen wird jedoch empfohlen Mac OS X 10 3 mit Safari 1 1 1 oder Linux Redhat 7 3 mit Mozilla 1 1 zu verwenden Zus tzlich zu den oben genannten Browseranforderungen m ssen im Brow ser JavaScript und eine der folgenden Komponenten installiert sein e ActiveX Komponenten ActiveX Steuerelemente werden f r Admini stra
279. e Uhrzeit zu der der Benutzer seine Anmeldeinformationen an das IVE sendet Die Zeit basiert auf der IVE Zeit Hinweis Bei Verwendung die ser Variable in einem SSO Parameterfeld gibt die Variable die UNIX string time Zeichen folge die die Uhrzeit enthalt zur ck Der numerische Tag an dem der Benutzer seine Anmeldeinformationen an das IVE sendet wobei day einen Wert von 1 31 annehmen kann Die Zeit basiert auf der IVE Zeit NetScreen Instant Virtual Extranet Plattform Administrationshandbuch 445 group preferredPartner group goldPartner or group silverPartner group employees and time month 9 Beispiele f r Kombinationen Erlaubt alle Partner mit dem Status Aktiv von Montag bis Freitag jedoch bevorzugte Partner von Montag bis Samstag group partners and time Mon to Fri or group preferredPartners and time Mon to Sat and userAttr partnerStatus active hostCheckerPolicy Norton and Sygate and cacheCleanerStatus 1 loginTime 8 00am to 5 00pm loginTime Mon to Fri loginTime day 3 446 loginTime dayOfWeek Verf gbar in e Rollenzuordnungsregeln e Ressourcenrichtlinienregeln loginTime dayOfYear Verf gbar in e Rollenzuordnungsregeln e Ressourcenrichtlinienregeln loginTime month Verfugbar in e Rollenzuordnungsregeln e Ressourcenrichtlinienregeln loginTime year Verfugbar in e Rollenzuordnungsregeln e Ressourcen
280. e daher nicht an die IVE Appliance bergeben e SiteMinder sendet das SMSESSION Cookie als dauerhaftes Cookie an das IVE Um ein H chstma an Sicherheit zu gew hrleisten setzt das IVE das dauerhafte Cookie nach Abschluss der Authentifizierung zu einem Sitzungscookie zur ck e Das IVE unterst tzt weder W SAM noch Network Connect oder Authentifizierungs Vorabpr fungen durch die Hostpr fung bzw Cachebereinigung mit der Funktion Automatic Sign in Mi Konfigurieren des IVE als Web Agent auf einem SiteMinder Richtlinienserver Sie k nnen einen SiteMinder Server erst als IVE Authentifizierungsserver hinzuf gen wenn Sie das IVE auf dem SiteMinder Richtlinienserver als Agent konfiguriert haben Das folgende Verfahren enth lt die grundlegenden Schritte zur Konfiguration eines SiteMinder Richtlinienservers Weitere Informationen finden Sie in der Dokumentation zu Ihrem SiteMinder Server NetScreen Instant Virtual Extranet Plattform 253 Administrationshandbuch So konfigurieren Sie das IVE als Web Agent auf einem SiteMinder Richtlinienserver 1 Melden Sie sich auf der Benutzeroberfl che des Richtlinienservers an 2 Erstellen Sie einen Agent f r das IVE Wenn Sie SiteMinder Version 5 verwenden erstellen Sie ein Hostkonfigurationsobjekt oder duplizieren Sie ein vorhandenes Hostkonfigurationsobjekt und ndern Sie die Parameterwerte 3 Konfigurieren Sie eine neue Richtliniendom ne oder verwenden Sie eine vorhandene R
281. e eine der folgenden Optionen aus e Allow all users Der Benutzer erf llt die Zugriffsvoraussetzungen auch dann wenn die Hostpr fung nicht installiert ist NetScreen Instant Virtual Extranet Plattform 435 Administrationshandbuch e Allow all users amp install Host Checker Legt fest dass das IVE die Hostpr fung auf den Clientcomputer herunterladen muss e Allow only users whose workstations meet the requirements specified by the following Richtlinien Der Benutzer erf lt die Zugriffsvoraussetzungen nur wenn die Hostpr fung die angegebene Richtlinie f r die Hostpr fung ausf hrt Wenn Sie eine Hostpr fung Anforderung auf Rollenebene konfigurieren w hlen Sie eine der folgenden Optionen aus e Allow all users Der Benutzer erf llt die Zugriffsvoraussetzungen auch dann wenn die Hostpr fung nicht installiert ist e Allow only users whose workstations meet the requirements specified by the following Richtlinien Der Benutzer erf lt die Zugriffsvoraussetzungen nur wenn die Hostpr fung die angegebene Richtlinie f r die Hostpr fung ausf hrt Sie k nnen auch einen benutzerdefinierten Ausdruck f r die Rollen zuordnungsregel schreiben um den Status von Hostpr fung anhand der Variable hostcheckerpolicy auszuwerten Zum Erstellen von Hostpr fung Einschr nkungen auf der Ressourcenrichtlinienebene m ssen Sie einen benutzerdefinierten Ausdruck in einer detaillierten Regel erstellen Cachebereinig
282. e f r alle Benutzer e Policy applies to SELECTED roles Hiermit gilt die Richtlinie nur f r Benutzer die zu Rollen in der Liste Selected roles zugeordnet sind Dieser Liste m ssen Rollen aus der Liste Available roles hinzugef gt werden e Policy applies to all roles OTHER THAN those selected below Hiermit gilt die Richtlinie f r alle Benutzer au er den Benutzern die zu Rollen in der Liste Selected roles zugeordnet sind Dieser Liste m ssen Rollen aus der Liste Available roles hinzugef gt werden Klicken Sie auf Save Changes 7 Ordnen Sie die Richtlinien auf der Seite Network Connect IP Address Policies in der Reihenfolge an in der sie vom IVE ausgewertet werden sollen Hinweis Wenn das IVE die Ressource die von einem Benutzer angefordert wurde zu einer Ressource in der Liste Resource f r eine Richtlinie oder ausf hrliche Regel zuordnet f hrt es die angegebene Aktion aus und beendet die Richtlinienverarbeitung NetScreen Instant Virtual Extranet Plattform 375 Administrationshandbuch Konfigurieren der Seite Meetings Auf der Seite Resource Policies gt Meetings k nnen Sie Folgendes durchf hren Schreiben einer Ressourcenrichtlinie f r E Mail Benachrichtigungen von Secure WIE ON ee ee a ee ee 376 Mithilfe der Aktualisierungsoption Secure Meeting k nnen Benutzer inner halb des gesamten Unternehmens Onlinekonferenzen ber eine intuitiv bedienbare Webseite planen und abhalten Weitere Informa
283. e g California Country 2 letter code i e US Email Address Please enter some random characters to augment the system s random key generator We recommend that you enter approximately twenty characters Random Data used for key generation Create CSR mr Abbildung 24 System gt Configuration gt Certificates gt Server Certificates gt New CSR Mi Importieren eines signierten Serverzertifikats das anhand einer Zertifikatssignaturanforderung erstellt wurde Wenn Sie eine Zertifikatssignaturanforderung ber die Webkonsole erstel len wird auf der Registerkarte Server Certificate das Formular Import the Certificate for a pending CSR angezeigt NetScreen Instant Virtual Extranet Plattform 153 Administrationshandbuch So importieren Sie ein signiertes Serverzertifikat das anhand einer Zertifikatssignaturanforderung erstellt wurde 1 W hlen Sie in der Webkonsole System gt Configuration gt Certificates gt Server Certificate aus Klicken Sie auf Import Renew Navigieren Sie unter Import the Certificate for a pending CSR zu der Zertifikatdatei die Sie von der Zertifizierungsstelle erhalten haben und klicken Sie dann auf Import Abbildung 23 auf Seite 149 Registerkarte Certificates gt CA Certificate Verwenden Sie die Registerkarte System gt Configuration gt Certificates gt CA Certificate um ein Stammzertifikat zu importieren Wenn Sie festlegen dass die Benutzer zur Anme
284. e nano nenenenn 96 Benutzerdefinierte Filterung von Protokolldateien u024002240024002nn ern 97 Network Connect bersicht 222224442222444 RR nnnnnnnnnennnnnnnnnnnnnnnnnnnnnnen nennen 99 Durchgangsproxy bersicht 222042224442nnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 103 Remote SSO bersicht uuu0222044eennnnenennnnnennnnnnnnnnnennnnnnnnnnnennnnnnnennnnnn nennen 107 Secure Application Manager bersicht 222224442222nRennnnnnennnnene een 109 Windows Secure Application Manager W SAM bersicht 109 Java Secure Application Manager J SAM bersicht 22200 nn 111 Erweiterte Unterst tzung f r MS Exchange 222220222002200nnne nennen nnnenne nennen 116 Erweiterte Unterst tzung f r Lotus Notes 0022002220020002n0 nen nennennenenenennnenn 119 Erweiterte Unterst tzung f r Citrix NFuse 2u22susssusssensnsnnnnnennennnnnnnennne nennen 120 Teil 3 IVE Konfiguration eeesseee 123 Konfigurieren der Seite Status u2 00200220022002000nnnnnnennnennnnnnn nenn enenen 125 Registerkarte Overview ueassesnuessunssunnnsnnnnnnonnnnnnnnnnnnnnsnnnnnennnnnnnnnnnnnnnnnnne nenn nenn 125 Registerkarte Active Users 002u00ssusssennunenennnnnnnnnunnnennnnnnnnnn
285. e zu diesem Zeitpunkt ber den Server angemeldet sind finden Sie unter Anzeigen und L schen von Benutzersitzungen auf Seite 263 232 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Unterst tzte Funktionen f r die LDAP Kennwortverwaltung Im Folgenden werden die LDAP Kennwortrichtlinie sowie die Sperr und Validierungsfunktionen beschrieben die das IVE bei der Authentifizierung mit LDAP Servern f r Microsoft Active Directory Sun iPlanet und Novell eDirectory unterst tzt Bei der Authentifizierung mit einem generischen LDAP Server wie IBM Secure Directory unterst tzt das IVE nur die Authentifizierung und erlaubt es dem Benutzer sein Kennwort zu ndern Diese Funktionen m ssen durch den LDAP Server selbst festgelegt werden bevor das IVE die entsprechenden Meldungen Funktionen und Beschr nkungen an Endbenutzer weitergeben kann Hinweis Beim Verwenden von Active Directory m ssen Sie Folgendes beachten In Active Directory kann das Aktualisieren einer Richtlinie bis zu 90 Minuten dauern wenn Richtlinienfunktionen festgelegt werden Bis Active Directory die Aktualisierung einer Richtlinie abgeschlossen hat bleiben die alten Richtlinieneinstellungen in Kraft Um das ndern von Kennw rtern beim Verwenden der Active Directory Kennwortverwaltung zu unterst tzen muss LDAPS auf dem Active Directory Server aktiviert sein Das ist genauso einfach wie das Importieren eines g ltigen signiert
286. ebUsers MIB Objekt 197 Simple Mail Transfer Protocol Siehe SMTP Mailserver SiteMinder Siehe Authentifizierungsserver SiteMinder Sitzungen beenden 132 Sitzungsparameter konfigurieren 56 Sitzungsrolle Definition 58 Sitzungszeitbegrenzungen Einfluss auf die Cachebereinigung 64 Konfiguration 24 Smart Caching 333 Smartcard Siehe Access Series FIPS Administratorkarte SMSESSION Cookies 247 256 SMTP Mailserver Aktivierung 379 Unterst tzung 85 Verwendung mit Secure Meeting 14 Snapshotdatei zur Fehlerbehebung 414 Snapshots erstellen 406 SNMP Einstellungen angeben 196 IVE als Agent berwachen 195 Unterst tzung 96 Sofortkonferenz Siehe Secure Meeting Sofortkonferenz Software herunterladen 129 Installation 385 Installation in einem Cluster 173 Speichernutzung Anzeige 126 SSL Beschleuniger 387 Handshakes delegieren 387 Management 9 Navigation zu Sites 140 zul ssige Verschl sselungsst rke 140 zul ssige Version 140 Standardformat f r Protokolldatei 195 Statische Routen Konfiguration 163 Statistikanzeige 200 Statussynchronisierung 79 Sun JVM Siehe JVM Sygate Enforcement API Integration 91 Security Agent Integration 91 Sicherheit erzwingen 143 Synchronisierungsprotokoll Cluster 81 Syslog Server konfigurieren 190 System Daten archivieren 403 Fehlerbehebung 413 414 415 417 418 Kapazit t Anzeige 126 Konfiguration 383 Konfiguration exportieren 389 Konfiguration importieren 390 Rollback
287. eben Sie das Intervall ein nach dessen Ablauf das IVE den SiteMinder Richtlinienserver auf neue Schl ssel abfragt e Policy Server options Zur Leistungssteigerung k nnen Sie ggf die Einstellungen f r die Verbindung und die Leerlaufh chstdauer einstellen Beachten Sie jedoch die empfohlenen Standardeinstellungen Max Connections steuert die H chstanzahl gleichzeitiger Verbindungen an die das IVE mit dem Richtlinienserver herstellen kann Der Standardwert lautet 20 Max Requests Connection steuert die H chstanzahl von Anforderungen die die Richtlinienserververbindung verarbeitet bevor das IVE die Verbindung trennt Der Standardwert lautet 1000 Idle Timeout steuert die H chstanzahl von Minuten f r die sich eine Verbindung mit dem Richtlinienserver im Leerlauf befinden kann d h keine Anforderungen verarbeitet bevor das IVE die Verbindung trennt Die Standardeinstellung none gibt an dass es keine zeitliche Begrenzung gibt Accounting Port Der Standardwert lautet 44441 Authentication Port Der Standardwert lautet 44442 Authentication Port Der Standardwert lautet 44443 e Flush Cache Hiermit kann der Ressourcencache des IVE gel scht werden in dem Ressourcenautorisierungsdaten 10 Minuten lang zwischengespeichert werden NetScreen Instant Virtual Extranet Plattform Administrationshandbuch 261 EAT NETSCREEN Central Manager System Status Configuration Network Clustering Log Monitoring
288. eben Sie mit dieser Regel den Speicherort einer benutzerdefinierten DLL an die anhand der Hostpr fungs API geschrieben wird Die Host pr fung ruft die DLL auf um benutzerdefinierte clientseitige Uberpru fungen auszuf hren Wenn die DLL eine Best tigung an die Hostpr fung zur ckgibt sieht das IVE die Regel als erf llt an Weitere Informationen ber die Hostprufungs API finden Sie in der API Doku mentation auf der NetScreen Support Site http support netscreen com Port check Verwenden Sie diese Regel um von einem Clientcomputer das ffnen bzw Schlie en bestimmter Ports f r den Benutzerzugriff auf das IVE zu fordern Process check Verwenden Sie diese Regel um vom Clientcomputer das Ausf hren bzw Unterdr cken eines bestimmten Prozesses f r den Benutzerzu griff auf das IVE zu fordern File check Verwenden Sie diese Regel um von einem Clientcomputer den Besitz bzw das Fehlen einer bestimmten Datei f r den Benutzerzugriff auf das IVE zu fordern Registry settings check Verwenden Sie diese Regel um von einem Clientcomputer das Vor handensein bestimmter Registrierungseinstellungen f r den Benut zerzugriff auf das IVE zu fordern Sie k nnen eine beliebige Anzahl von zu verwendenden Methoden und Regeln f r die Hostpr fung ausw hlen um zu berpr fen ob ein Client ber die erforderlichen Eigenschaften der Endpunktsicherheit verf gt Diese NetScreen Instant Virtual Extranet Plattform Administra
289. ebenen Lesezeichenpfad anzeigen k nnen 5 Klicken Sie auf Save Changes oder Save New um ein weiteres Lesezeichen hinzuzuf gen 302 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch EAN NETSCREEN Central Manager Help Sign Out System Roles gt gt shee employees hq gt Configuration D Network General Web EJES SaM Telnet SSH Meetings Network Connect D Clustering Windows Bookmarks UNIX Options gt Log Monitoring Zn D Signing In Administrators New Bookmark Duplicate Delete t Save Changes D Authentication gt Delegation Users Bookmarks Resource Access D Authentication b Roles gt New User Resource Policies gt Web N D Files gt SAM gt Telnet SSH gt Network Connect D Meetings D Email Client Maintenance See also Unix NFS access control policies that apply to this role D Sustam Abbildung 87 Users gt Roles gt Ausgew hlte Rolle gt Files gt UNIX Bookmarks Registerkarte Files gt Options Auf der Registerkarte Files gt Options k nnen Sie die Optionen zum Navigie ren in Windows und UNIX NFS Netzwerken angeben einschlie lich der M g lichkeit Ressourcen anzuzeigen und Ordnerlesezeichen zu erstellen Diese Optionen werden zusammen mit den Dateiressourcenrichtlinien verwendet Mi Angeben von allgemeinen Optionen zum Navigieren durch Dateien So geben Sie allgemeine Optionen f r die Dateinavigation an 1 W hl
290. ed offline geschaltet wird m ssen sich die Benutzer daher nicht erneut am IVE anmelden Wenn das IVE Benutzersit zungsprofile synchronisiert und Statusdaten berwacht tritt eine geringf gige Latenz auf Falls ein Mitglied offline geschaltet wird kann es passieren dass sich der Benutzer bei manchen Back End Webanwendungen anmelden muss und Administratoren keinen Zugriff auf die Protokolle auf dem ausge fallenen Computer haben Sie k nnen auch Synchronisierungseinstellungen konfigurieren um die Lei stung zu verbessern 1 Wenn Sie ein IVE zu einem Cluster hinzuf gen sendet der Clusterleiter keine Protokollmeldungen an das neue Mitglied Protokollmeldungen werden nicht zwischen Clustermitgliedern synchronisiert wenn ein Mitglied seinen Dienst wieder aufnimmt oder ein offline geschaltetes IVE wieder online geschaltet wird Sobald alles IVEs online sind werden die Protokollmeldungen jedoch synchronisiert NetScreen Instant Virtual Extranet Plattform 81 Administrationshandbuch e Angeben des Synchronisierungsprotokolls Wenn Sie drei oder mehr IVEs in einen Cluster mit mehreren Einheiten oder mehreren Sites betreiben k nnen Sie das Synchronisierungsproto koll ausw hlen das der Konfiguration Ihrer Netzwerkhardware am be sten entspricht e Unicast Das IVE sendet an alle Knoten im Cluster die gleiche Meldung Dies ist das einzige Synchronisierungsprotokoll das fur Cluster mit zwei Knoten und Multisite Cluster verf gbar
291. eeseaeeeeesaees 200 Weitere Informationen zu Protokollen und Uberwachungsfunktionen des IVE finden Sie unter Protokollierung und Uberwachung bersicht auf Seite 95 Registerkarten Events User Access und Admin Access Auf den Seiten System gt Log Monitoring gt Events User Access und Admin Access k nnen Sie das Ereignisprotokoll das die Systemereignisse enth lt das Benutzerzugriffsprotokoll das die Endbenutzeranforderungen und nderungen enth lt und das Administratorzugriffsprotokoll das die Administrator nderungen enth lt filtern und formatieren Die Seiten Events User Access und Admin Access enthalten jeweils die folgenden Registerkarten Registerkarte GLO un ee ernennen 188 Registerkarte Einstellungen u0020000200002000000n nenne nnnnennnnennnnennnne nenne nnnnenn 189 Registerkarte Filters 220002000020000R0nnnnnn anne nano nnnnennnnennnnennnnennnnennnnennnne namen 194 Hinweis Bei den Ereignis Benutzerzugriffs und Administratorzugriffsprotokollen handelt es sich um drei eigenst ndige Dateien Obwohl die grundlegenden Konfigurationsanweisungen f r alle drei gleich sind wirken sich Einstellungs nderungen bei einer der Dateien nicht auf die Einstellungen der anderen aus Weitere Informationen zu den Inhalten der einzelnen Dateien finden Sie unter Protokollierung und berwachung bersicht auf Seite 95 188 NetScreen Instant V
292. egotiation on gt Files ARP Ping Timeout 5 edge Should be b SAM ae D Teine ssi DNS Name Resolution gt Network ae First DNS 10 10 0 10 IP addrass D Meetings D Email Client Second DNS IP address Maintenance DNS Domain s dana danastreet net le a P Svetin Windows Networking D Import Export gt Push Config WINS Name or IP address D ke Arch ige Not using WINS Complex networks may require that you specify one or more Master Browsers to enable users to gt Troubleshooting browse Windows networks V Enable network discovery allows detection of Windows shared folders Save Changes Save Changes Reset ae Jee Te a ee O Abbildung 27 System gt Network gt Internal Port NetScreen Instant Virtual Extranet Plattform 161 Administrationshandbuch Registerkarte External Port Die externe DMZ Schnittstelle Demilitarized Zone fragt nur Anforderun gen von Benutzern ab die am IVE angemeldet sind und leitet nur deren Anforderungen weiter Vor dem Senden eines Pakets ermittelt das IVE ob das Paket einer TCP Verbindung zugeordnet ist die von einem Benutzer ber die externe Schnittstelle initiiert wurde Ist dies der Fall sendet das IVE das Paket an die externe Schnittstelle Alle brigen Pakete werden an die interne Schnittstelle gesendet Die f r jede Schnittstelle festgelegten Routen werden verwendet nachdem das IVE ermittelt hat ob die interne oder die externe Schnittstelle zu verwen
293. ei s 4u4s0200sneennennne nennen 389 Importieren einer Systemkonfigurationsdatei us 2224400B000nnn een en nennen 390 Exportieren lokaler Benutzerkonten 44444444444Hnnennnnnennnnne nenne nnnene nennen 393 Importieren lokaler Benutzerkonten 44444444004ennn nenne nnennennennennennenennennn 393 Exportieren von Rollen und Ressourcenrichtlinien 444444 nenne 395 Importieren von Rollen und Ressourcenrichtlinien u 44044eRe nennen 397 Registerkarte Configuration Mithilfe dieser Registerkarte k nnen Sie eine Systemkonfigurationsdatei importieren oder exportieren Die Systemkonfigurationsdatei enth lt alle System und Netzwerkeinstellungen Weitere Informationen zum Festlegen eines Archivierungsplans f r die Serverkonfiguration finden Sie unter Planen der Archivierung von Systemdaten auf einem externen FTP Server auf Seite 403 vi Exportieren einer Systemkonfigurationsdatei Exportieren einer Systemkonfigurationsdatei 1 W hlen Sie in der Web console System gt Import Export gt Configuration aus 2 Geben Sie unter Export ein Kennwort ein wenn die Konfigurationsdatei durch ein Kennwort gesch tzt werden soll 390 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch 3 Klicken Sie zum Speichern der Datei auf Save Config As Wichtig Beim Exportieren einer Access Series FIPS Konfigura
294. ei davon ausgegangen wird dass auf dem Remotecomputer kein MAPI Konto konfiguriert ist Netscape E Mail Clients k nnen im POP Modus nicht f r den Remotezugriff verwendet werden da sie S POP nicht unterst tzen Dieses Protokoll ist jedoch f r den IVE Server f r die sichere Daten bertragung erforderlich 90 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Exchange Server und Outlook Web Access Um auf dem Exchange Server OWA Zugriff zur Verf gung zu stellen und es Benutzern zu erm glichen ber die Webbrowsingfunktion des IVE auf den Exchange Server zuzugreifen m ssen Sie OWA lediglich im Intranet als Webanwendung bereitstellen Es ist keine weitere Einrichtung erforderlich um eine OWA Implementierung au erhalb des Netzwerks bereitzustellen Hinweis Bei Verwendung des IVE Servers f r den Zugriff auf Outlook Web Access wird der IIS Webserver f r OWA vor Standardangriffen z B Nimda gesch tzt und bietet daher erheblich h here Sicherheit als der Einsatz von OWA direkt ber das Internet Arbeiten mit Lotus Notes und Lotus Notes Mail Server Der Lotus Notes Mail Server stellt POP3 und IMAP4 Schnittstellen zur Ver f gung sodass Benutzer E Mail von einer Lotus Notes Mailkonfiguration ber das IVE abrufen k nnen Um zu ermitteln welcher E Mail Client sich f r die E Mail Benutzer im Unternehmen empfiehlt die Remotezugriff auf den Lotus Mailserver ben tigen lesen Sie den Abschnitt ber die Arb
295. ein dass er auf den IVE Server verweist e Benutzer mit Heimcomputern Diese Benutzer k nnen f r den Remotezugriff auf den IMAP Server ber das IVE jeden der sechs unterst tzten E Mail Clients verwenden POP Mailserver e Laptopbenutzer in der Firma Diese Benutzer k nnen einen der vier Outlook E Mail Clients verwenden Wir empfehlen im B ro und unter wegs den gleichen Client zu verwenden um bergangsloses Arbeiten zu erm glichen Der Client muss dabei so konfiguriert sein dass er auf den IVE Server verweist e Benutzer mit Heimcomputern Diese Benutzer k nnen f r den Remotezugriff auf den POP Server ber das IVE einen der vier Outlook E Mail Clients verwenden Netscape E Mail Clients k nnen im POP Modus nicht f r den Remotezugriff verwendet werden da sie S POP nicht unterst tzen Dieses Protokoll ist jedoch f r den IVE Server f r die sichere Daten bertragung erforderlich Arbeiten mit Microsoft Exchange Server Der Microsoft Exchange Server unterst tzt e Systemeigene MAPI Clients Messaging Application Programming Interface e IMAP Clients e POP Clients e Outlook Web Access OWA Der IVE Server bietet Zugriff auf Microsoft Exchange Server ber IMAP und POP Clients anhand der Aktualisierungsoption Secure Email Client und ber OWA anhand der Funktion f r sicheres Webbrowsing Wenn Sie den Zugriff auf Microsoft Exchange Server ber das systemeigene MAPI Protokoll erm glichen m chten muss das I
296. einer Network Connect Ressourcenrichtlinie fur IP Adresspools So schreiben Sie eine Network Connect Ressourcenrichtlinie fur IP Adresspools 1 Wahlen Sie in der Webkonsole Resource Policies gt Network Connect gt IP Address Pools aus 2 Klicken Sie auf der Seite Network Connect IP Address Policies auf New Policy 3 Geben Sie auf der Seite New Policy Folgendes ein 1 Eine Bezeichnung f r diese Richtlinie 2 Eine Beschreibung der Richtlinie Optional 4 Geben Sie unter Resources IP Adressen oder einen IP Adress Bereich an die das IVE Clients zuweisen soll die den Network Connect Dienst ausf hren Informationen zum Angeben eines IP Bereichs finden Sie unter Angeben von IP Adresspools auf Seite 51 373 374 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Da das IVE pro Network Connect Sitzung zwei IP Adressen reserviert m ssen Sie eine gerade Anzahl von IP Adressen angeben Um z B eine Network Connect Sitzung in einem IVE zuzulassen geben Sie zwei IP Adressen an Um 100 Sitzungen zuzulassen geben Sie 200 IP Adressen an Hinweis Wenn in einem LAN oder WAN einen Multi Unit Cluster ausf hren muss der IP Pool Adressen enthalten die f r jeden Knoten im Cluster g ltig sind Konfigurieren Sie dann einen IP Filter f r jeden Knoten der auf diesen IP Pool angewendet werden soll Geben Sie im Bereich Roles Folgendes an e Policy applies to ALL roles Hiermit gilt die Richtlini
297. einfach zu erraten sind Die Sicherheit Ihres Kennwortes erh ht die Sicherheit der von Ihnen durchgef hrten Operationen Verwenden Sie nur Administratorkarten aus bekannten und ver trauensw rdigen Quellen Verwenden Sie nur Smartcards aus vertrauensw rdigen Quellen legen Sie Smartcards nie in nicht vertrauensw rdige Smartcardleser ein und legen Sie keine nicht vertrauensw rdigen Smartcards in Ihren Smart cardleser ein NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Secure Meeting bersicht Mit Secure Meeting k nnen IVE Benutzer Onlinekonferenzen sicher planen und durchf hren an denen sowohl IVE Benutzer als auch Nicht IVE Benut zer teilnehmen k nnen W hrend einer Konferenz kann ein Benutzer seinen Desktop und seine Anwendungen ber eine sichere Verbindung freigeben sodass seine elektronischen Daten umgehend auch auf den Bildschirmen der anderen Teilnehmer vorliegen ber die Desktop Remotesteuerung und Textchats die in einem eigenen von der Vorf hrung unabh ngigem Fenster erfolgen k nnen die Konferenzteilnehmer auch sicher online zusammen arbeiten NetScreen bietet Secure Meeting auf zwei verschiedenen Appliances an e Meeting Series Appliance Die Meeting Series Appliance ist ein dedi zierter Konferenzserver f r Umgebungen in denen h ufig Konferenzen abgehalten werden e Access Series Appliance mit Secure Meeting Aktualisierung Die Secure Meeting Aktualisierung ist auf Be
298. eit mit standardbasierten Mailservern Arbeiten mit einem standardbasierten Mailserver auf Seite 86 NetScreen Instant Virtual Extranet Plattform 91 Administrationshandbuch Hostpr fung bersicht Hostpr fung ist ein clientseitiger Agent der Endpunktsicherheitspr fungen an Hosts durchf hrt die mit dem IVE eine Verbindung herstellen Sie k nnen die Hostpr fung aufrufen bevor Sie einem Benutzer eine IVE Anmeldeseite anzeigen lassen und wenn die Rollenzuordnungsregel oder Ressourcenricht linie ausgewertet wird Das IVE kann die Eigenschaften f r die Endpunkt sicherheit auf Hosts mithilfe der folgenden Verfahren berpr fen e Implementierung der NetScreen Hostpr fung einer unterst tzten Anwendung f r die Endpunktsicherheit Das ActiveX Steuerelement ruft die Integration der NetScreen Hostpr fung des angegebenen Endpunktsicherheitsprodukts eines Drittanbieters auf und untersucht den R ckgabewert um festzustellen ob das Produkt entsprechend den konfigurierten Richtlinien ausgef hrt wird Das IVE un terst tzt gegenw rtig die nahtlose Integration der NetScreen Hostpr fung mit folgenden Produkten e Sygate Enforcement API e Sygate Security Agent e Zone Labs ZoneAlarm Pro und Zone Labs Integrity e McAfee Desktop Firewall 8 0 e InfoExpress CyberGatekeeper Agent e NetScreen Hostprufung Integration anhand einer benutzerdefinierten DLL Die NetScreen Hostpr fungs API erm glicht Ihnen das Schreiben ein
299. eitdauer im Java Plug In nicht geladen 74 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch NetScreen Instant Virtual Extranet Plattform 75 Administrationshandbuch Cluster bersicht Secure Access Series und Secure Access FIPS Series unterst tzen verschie dene Clusterkonfigurationen Ein Clusterpaar besteht aus zwei Access 1000 3000 oder 5000 Plattformen die ber ein LAN oder WAN in einer Aktiv Passiv oder Aktiv Aktiv Konfiguration bereitgestellt werden um hohe Verf gbarkeit und Lastenausgleich zu gew hrleisten Ein Cluster aus meh reren Einheiten besteht aus zwei oder mehr Access 5000 Plattformen die ber ein LAN oder WAN in einer Aktiv Passiv oder Aktiv Aktiv Konfigura tion bereitgestellt werden um bessere Skalierbarkeit hohe Verf gbarkeit und h here Leistung zu gew hrleisten In diesem Abschnitt erhalten Sie eine bersicht ber Cluster Informationen zur Vorgehensweise finden Sie unter Definieren und Initialisieren eines Clusters 200002244400BRnennen nennen nnenneee nen 168 Hinzuf gen eines IVE zu einem Cluster ber die Webkonsole 176 Hinzuf gen eines IVE zu einem Cluster ber die serielle Konsole 179 Angeben eines neuen Clustermitglieds 00044440s nennen nnenne nennen nen 170 Verwalten von Netzwerkeinstellungen f r Clusterknoten 04444442 00 0 172 ndern von Clustere
300. elden dessen Kombination aus IP Adresse und Netzmaske den angegebenen Quell IP Anforderungen f r jede der Rollen entspricht zu denen das IVE den Benutzer zuordnet Verf gt der Benutzercomputer nicht ber eine Kombination aus IP Adresse und Netzmaske die f r eine Rolle erforder lich ist ordnet das IVE den Benutzer nicht zu dieser Rolle zu Administratoren konfigurieren diese Sicherheitsanforderung folgender ma en Administrators gt Delegation gt Ausgew hlte Rolle gt General gt Restrictions gt Source IP Benutzer konfigurieren diese Sicherheitsanforderung folgenderma en Users gt Authentication gt Ausgew hlter Bereich gt Role Mapping gt Ausgew hltelerstellte Regel gt Benutzerdefinierter Ausdruck oder so Users gt Roles gt Ausgew hlte Rolle gt General gt Restrictions gt Source IP Bei Anforderung einer Ressource durch einen Benutzer Der authentifizierte autorisierte Benutzer kann eine Ressourcen anforderung nur von einem Computer durchf hren dessen Kombination aus IP Adresse und Netzmaske den im Zusammenhang mit der Benutzer anforderung angegebenen Quell IP Anforderungen f r die Ressourcen richtlinie entspricht Verf gt der Benutzercomputer nicht ber die erforderliche Kombination aus IP Adresse und Netzmaske die f r eine Ressource erforderlich ist gew hrt das IVE dem Benutzer keinen Zugriff auf die Ressource Benutzer konfigurieren diese Sicherheitsanforderung folgenderma en Resource
301. eln e Ressourcenrichtlinienregeln e Felder f r SSO Parameter Der Benutzer DN von einem LDAP Server Wenn der Benut zer durch den LDAP Server authentifiziert wird stammt die ser DN vom Authentifizierungs server andernfalls stammt der DN vom Verzeichnis Attribut server des Bereichs Beliebige Variable aus dem Benutzer DN wobei user attr der Name des RDN Schl ssels ist Als Zeichenfolge gespeicherter Benutzer DN Es sind nur Zeichenfolgenvergleiche mit diesem Wert zul ssig NetScreen Instant Virtual Extranet Plattform 451 Administrationshandbuch userDN cn John Harding ou eng c Company userDN ou eng userDN Text cn John Harding ou eng c Company 452 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch 453 Appendix D Verwenden der seriellen Konsole des IVE Die serielle Konsole des IVE bietet eine Oberfl che zum Durchf hren der folgenden Vorg nge Herstellen einer Verbindung mit der seriellen Konsole des IVE 453 Rollback zu einem vorherigen Systemzustand s 2224400420snennnnnn nennen nenn 454 Zur cksetzen des IVE Ger ts auf die WerkseinstellUngen 456 Durchf hren gangiger WiederherstellUNGSVOrgange ccccesseeeeeeeeeeeeeeeaaeeees 458 Erstellen weiterer Administratorkarten nur Access Series FIPS 460 Erstellen einer neuen Security World nur Access Series FIP
302. en Weitere Systemanforderungen und Einschr nkungen Secure Meeting unterst tzt das Abhalten von Konferenzen mit 16 Bit oder 32 Bit Farbanzeige auf dem Bildschirm Secure Meeting wird nicht in IVE Umgebungen unterst tzt die mit dem 2 x Autorisierungsmodus des IVE 1 Wenn im Browser ActiveX Komponenten aktiviert sind l dt Secure Meeting eine ActiveX Kompo nente auf den Clientcomputer herunter wenn Sie einer Konferenz beitreten Wenn hingegen eine JVM installiert ist ladt Secure Meeting ein Java Applet herunter wenn Sie einer Konferenz beitreten 20 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch konfiguriert sind Legacymodus Sie k nnen mit Secure Meeting keine Streamingmedien Anwendungen freigeben Diese Einschr nkungen gelten zus tzlich zu den Einschr nkungen in der Lizenz Wenn Sie Secure Meeting mit einem SSL Zertifikat verwenden empfiehlt es sich auf Produktionsebene ein Zertifikat auf dem Secure Meeting Server d h dem IVE zu installieren Wenn Sie ein selbst signiertes SSL Zertifikat installieren k nnen f r Secure Meeting Benutzer m glicherweise Schwie rigkeiten bei der Konferenzanmeldung auftreten siehe Serverzertifikate auf Seite 69 Wenn Sie ein selbst signiertes Zertifikat verwenden m chten weisen Sie die Konferenzteilnehmer an das Zertifikat vor dem Beitreten der Konferenz zu installieren In Internet Explorer klicken die Benutzer auf Zertifikat anzeigen und dann auf Zert
303. en Ein benutzerdefinierter Ausdruck ist eine Kombination von Variablen die das IVE als boolesches Objekt als true wahr false falsch oder error Fehler auswertet Mithilfe von benutzerdefinierten Aus dr cken k nnen Sie komplexe Bedingungen fur Richtlinienauswertung und Protokollabfragen erstellen die die Ressourcenzugriffskontrolle verbessern und erleichtern Sie k nnen benutzerdefinierte Ausdr cke in den folgenden Formaten schreiben Syntax f r benutzerdefinierte Ausdr cke variable comparisonOperator variable variable comparisonOperator simpleValue variable comparisonOperator simpleValue variable comparisonOperator ORValues variable comparisonOperator ANDValues variable comparisonOperator time TO time variable comparisonoperator day TO day isEmpty variable 1sUnknown variable customExpr NOT customExpr I customExpr customExpr OR customExpr customExpr customExpr customExpr AND customExpr customExpr amp amp customExpr 438 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Dabei gilt Folgendes variable isteine Systemvariable Ein Variablenname ist eine durch Punkte getrennte Zeichenfolge Jede Komponente darf Zeichen aus dem Bereich a z A Z 0 9 _ enthalten darf jedoch nicht mit einer Ziffer 0 9 starten Bei Variablennamen wird die Gro und Kleinschreibung nicht ber cksichtigt Informationen zu Systemvariablen die in Rollenzuordnungsregeln und ressour
304. en beispielsweise der CPU Auslastung laden Sie die UC Davis MIB Datei in Ihre SNMP Managementanwendung Sie erhalten die MIB Datei im Internet unter folgender Adresse http net snmp sourceforge net UCD SNMP MIB txt Weitere Informationen finden Sie unter Schweregrade der Protokolldatei ccccccsecceceeceeceeeeeceeeeeeaneeeeaeeees 96 Benutzerdefinierte Filterung von Protokolldateien 97 Konfigurieren der Seite Log Monitoring ccccceeeeeeeeeseeeeeeeeaeeeees 187 Schweregrade der Protokolldatei Ereignisse in den IVE Protokolldateien f r Ereignisse Benutzerzugang und Administratorzugang werden anhand der folgenden Richtlinien hierarchi siert e Critical Sicherheitsstufe 10 Wenn das IVE Benutzer und Admini stratoranforderungen nicht bedienen kann oder seine Funktionen f r einen Gro teil der Untersysteme verliert wird ein kritisches Ereignis Critical Event protokolliert e Major Sicherheitsstufe 8 9 Wenn das IVE seine Funktionen in mindestens einem Untersystem verliert aber noch auf die Appliance f r NetScreen Instant Virtual Extranet Plattform 97 Administrationshandbuch andere Zugangsmechanismen zugreifen kann wird ein gr eres Ereig nis Major Event protokolliert e Minor Sicherheitsstufe 5 7 Wenn das IVE einen Fehler findet der keinem gr eren Ausfall in einem Untersystem entspricht wird ein klei neres Ereignis Min
305. en beispielsweise Richtlinien f r Zugriffssteuerung Zwi schenspeicherung oder selektives Neuschreiben Klicken Sie auf Push Configuration um die ausgew hlten Rollen und Ressourcen auf das Ziel IVE zu kopieren Das IVE zeigt den Ubertra gungsstatus unten auf der Seite Maintenance gt Push Config im Quell IVE an NetScreen Instant Virtual Extranet Plattform 401 Administrationshandbuch EAN NETSCREEN Central Manager Help Sign Out System Push Configuration b Status b Configuration This tool allows you to push selected configurations to other IVES D Network D Clustering Target Host Sign in s D Log Monitoring URL ul D signing In Admin Username Administrators gt Authentication D Delegation Users gt Authentication b gt Roles gt Mew User Resource Policies Password Auth Realm V Overwrite duplicate settings Push Configuration Select All V Delegated Admin Roles D Web D Files D SAM D Telnet SSH D Network Connect D Meetings D Email Client Maintenance D System Iv D Import Export b Push Config D Archiving gt Troubleshooting ALL roles Available Roles Selected Roles Administrators C SELECTED roles Add Read Only Administrators Help Desk Administrators Remove none User Roles ALL roles Available Roles Selected Roles SELECTED roles partnerReseller Worldwide Widgets quests employees eme
306. en Bereich festgelegt wurden Wenn dies nicht der Fall ist leitet das IVE die Anmeldeinformationen des Benutzers nicht an den Authentifizierungsserver weiter und der Benutzer kann nicht auf das IVE zugreifen e Benutzerrolle Wenn das IVE die Liste der geeigneten Rollen ermittelt denen ein Admini strator oder Benutzer zugeordnet ist wertet es die Einschr nkungen der einzelnen Rollen aus um zu ermitteln ob die Rolle die Ausf hrung der Cachebereinigung auf der Arbeitsstation des Benutzers erfordert Wenn dies der Fall ist und das Ger t des Benutzers die Cachebereinigung noch nicht ausf hrt ordnet das IVE den Benutzer dieser Rolle nicht zu e Ressourcenrichtlinie Wenn ein Benutzer eine Ressource anfordert wertet das IVE die detaillier ten Regeln der Ressourcenrichtlinie aus um zu ermitteln ob die Cachebe reinigung auf der Arbeitsstation des Benutzers installiert werden muss oder bereits ausgef hrt wird Das IVE verweigert den Zugriff auf die betreffende Ressource wenn das Ger t des Benutzers nicht der festgelegten Cachebe reinigung Richtlinie entspricht 64 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Ausf hren der Cachebereinigung Wenn Sie die Cachebereinigung als Anforderung f r eine Rolle oder Res sourcenrichtlinie festlegen m chten muss der Agent bei der Anmeldung des Benutzers minimal installiert werden Dies wird in der Authentifizie rungsrichtlinie des Bereichs konfiguriert Nach d
307. en SSL Zertifikats in den Personal Certificates Store mit der MMC bei Auswahl des Certificates Snap In verf gbar Das CN Subjekt dieses Zertifikats muss genau mit dem Hostnamen des Active Directory Servers bereinstimmen Das SSL Zertifikat muss von einer vertrauensw rdigen Zertifizierungsstelle signiert sein einschlie lich vertrauensw rdigen lokalen Zertifizierungsstellen Beachten Sie dass das Stammzertifikat in einem Stammzertifikatspeicher installiert sein muss damit eine Vertrauensbeziehung hergestellt werden kann Unterst tzte Funktionen f r Kennwortrichtlinien e Authentifizieren des IVE Benutzers durch den LDAP Server e Dem Benutzer gestatten sein LDAP Kennwort auf der IVE Seite System gt Preferences zu ndern e Abmelden des Benutzers vom IVE nach erfolgreicher nderung des LDAP Kennwortes e Festlegen dass der Benutzer sein LDAP Kennwort bei der n chsten Annmeldung am IVE ndern muss NetScreen Instant Virtual Extranet Plattform 233 Administrationshandbuch Hinweis Wenn Sie diese Option f r einen iPlanet Server aktivieren m ssen Sie beachten dass Sie sich anschlie end am Directory Manager anmelden und das Kennwort des Benutzers ndern m ssen um den Benutzer zur ckzusetzen Bei der n chsten Anmeldung des Benutzers mit dem neuen Kennwort wird der Benutzer vom IVE zum ndern seines Kennwortes aufgefordert e Benachrichtigen des Benutzers ber den Ablauf des LDAP Kennwortes e Den Benutzer 1
308. en Sie auf die Protokolldatei anwenden m chten 4 Klicken Sie auf Add 5 Wiederholen Sie den Vorgang ggf f r mehrere Server und verwenden Sie unterschiedliche Formate und Filter f r verschiedene Server und Facilitys Wichtig Vergewissern Sie sich dass der Syslog Server Nachrichten mit den folgenden Einstellungen akzeptiert faci lity LOG_USER und level LOG_INFO 6 Klicken Sie auf Save Changes NetScreen Instant Virtual Extranet Plattform 191 Administrationshandbuch EA NETSCREEN Central Manager Help Sign Out System Logs b Status D Configuration Sm User Access Admin Access SNMP Statistics gt Network D Clustering Log Settings Filters ale Save Changes Reset D Signing In Administrators Maximum Log Size D Authentication gt Delegation Max Log Size 200 MB Users D AuthentickUAR Note To archive log data see the Archiving page D Roles Select Events to Log D New User Resource Policies V Connection Requests Statistics D Web V System Status Performance D Files V Rewrite V Reverse Proxy PISAD M System Errors V Meeting Events D Telnet SSH Email P 3 t D Network Connect rue ag Syslog Servers D Email Client Maintananel Events are logged locally You can also log them to one or more external Syslog servers D System Server name IP Facility Filter D Import Export 4 WELF wWEF H gt Push CARIE LOCALD WELF WELF z D Archiving D Troubleshooting Save Changes
309. en Sie in der Webkonsole Users gt Roles gt Ausgew hlte Rolle gt Web gt Options aus 2 Geben Sie unter Windows Network Files die Optionen an die f r Benutzer aktiviert werden sollen e User can browse network file shares Diese Option erm glicht es Benutzern Lesezeichen f r Ressourcen in verf gbaren Windows Dateifreigaben anzuzeigen und zu erstellen NetScreen Instant Virtual Extranet Plattform Administrationshandbuch e User can add bookmarks Diese Option erm glicht es Benutzern Lesezeichen f r Ressourcen in verf gbaren Windows Dateifreigaben anzuzeigen und zu erstellen 3 Geben Sie unter UNIX Network Files die Optionen an die f r Benutzer aktiviert werden sollen User can browse network file shares Diese Option erm glicht es Benutzern Lesezeichen f r Ressourcen in verf gbaren UNIX Dateifreigaben anzuzeigen und zu erstellen e User can add bookmarks Diese Option erm glicht es Benutzern Lesezeichen f r Ressourcen in verf gbaren Windows Dateifreigaben anzuzeigen und zu erstellen e Allow automount shares Diese Option erm glicht es Benutzern auf Automount Freigaben zuzugreifen die auf einem NIS Server angegeben sind 4 Klicken Sie auf Save Changes EN NETSCREEN Central Manager Help Sign Out System Roles gt D Status employees hq D Configuration D Network General Web MACES SAM Telnet SSH Meetings Network Connect gt Cluster Windows Bookmarks UNIX Bookmarks Options gt
310. en Web Agent der mithilfe des Netegrity Software Development Kit SDK erstellt wurde Wenn sich ein Benutzer bei einer IVE applianceanmeldet leitet der benutzerdefinierte Web Agent die Benutzeranmeldeinformationen an den SiteMinder Richtlinienserver weiter Wenn die Anmeldeinformationen authentifiziert werden erstellt der benutzerdefinierte Web Agent ein SMSESSION Cookie und speichert es in der IVE appliance Beim Versuch des Benutzers auf eine Webressource auf einem Standard Web Agent zuzugreifen bergibt die IVE appliance das Cookie zur Authentifizierung an den Web Agent Wichtig Wenn Sie diese Option ausw hlen m ssen Sie Ihren Web Agent mit dem entsprechenden Siteminder Agent Quarterly Maintenance Release QMR aktualisieren damit dieser unser Cookie erkennen kann e Web Agents f r SiteMinder Version 4 Verwenden Sie den QMR Patch V4QMR4 010 zip der ber die Netegrity Website verf gbar ist M glicherweise m ssen Sie auch vorausgesetzte Hotfixes installieren wie etwa VAQMR4 Windows zip e Web Agents f r SiteMinder Version 5 Verwenden Sie das QMR5 Hotfix bei Netegrity seit dem 30 September 2002 erh ltlich Beachten Sie auch dass Sie das Attribut Accept Third Party Cookie AcceptTPCookie in der Web Agent Konfigurationsdatei webagent conf auf yes oder in der Windows Registrierung auf 1 f r den IIS Webserver setzen m ssen Der Speicherort dieses Attributs h ngt von der verwendeten SiteMinder Ver
311. en in Registerkarte Meetings auf Seite 317 So deaktivieren Sie automatische E Mail Benachrichtigungen fur Konferenzg ste 1 W hlen Sie in der Web console Resource Policies gt Meetings aus 2 W hlen Sie Disabled aus 3 Klicken Sie auf Save Changes NetScreen Instant Virtual Extranet Plattform 377 Administrationshandbuch EN NETSCREEN Central Manager Help Sign Out System Meeting Settings b Status gt Configuration gt Network gt Clustering Please specify the virtual hostname on the Network page under Network Identity b D Log Monitoring Signing I az Save Changes Administrators gt Authentication Email meeting notifications gt Delegation Email notifications allow meeting creators to easily notify invitees with known email addresses of new or modified Users meetings If you enable email notifications you must specify an SMTP server that is accessible by the IVE You must also specify the IVE s fully qualified hostname on the Network page under Network Identity gt Authentication D Roles gt New User Enabled Resource Policies SMTP Server server yourcompany com Name or IP address D Web SMTP Login Username used to access the server gt Files gt SAM Password Password used to access the server gt Telnet SSH Pe Default email address used to send meeting notification emails SMTP Email admin yourcompany con and receive bounce back messages
312. en von dem Appletzertifikat erneut signiert werden sollen 156 Administrationshandbuch NetScreen Instant Virtual Extranet Plattform EA NETSCREEN Central Manager System BIETE Y 2 Status Configuration Network Clustering Log Monitoring Signing In Administrators D D Authentication Delegation Users D D D Authentication Roles New User Resource Policies TESE v R NT a Web Files SAM Telnet SSH Network Connect Meetings Email Client Maintenance D D D System Import Export Push Config D Archiving gt Troubleshooting Licensed to YourCompany Inc Host Id ive 2 Copyright 2001 2004 NetScreen Technologies Inc All rights reserved Help Sign Out Certificates Licensing Security felted ier Server Certificates CA Certificates Applet Certificates When a user accesses an applet through the IVE the browser displays a security warning that the root is not a trusted root To forestall this warning you can import a code signing certificate that the IVE will use to re sign applets that it intermediates You can control which applets are re signed using the Code Signing Policies Applet Signing Certificates Import Certificates Microsoft Authenticode Certificate You may import a Microsoft Authenticode Certificate for use in re signing applets that require either the MS JVM or Sun JVM Note that we only support Microsoft Authenticode
313. enen Seite f r Netzwerkeinstellungen eine andere Adresse f r den Knoten an Zum ffnen dieser Seite klicken Sie in der Spalte Member Name auf den Namen des Knotens Wenn Sie die externe IP Adresse auf der Seite Network gt Network Settings ndern wirkt sich die nderung auf alle Clusterknoten aus Gibt den Status des Knotens an e Gr nes Licht Enabled Der Knoten bearbeitet Benutzeranforderungen und nimmt an der Clustersynchronisierung teil e Gelbes Licht Transitioning Der Knoten tritt dem Cluster bei e Rotes Licht Disabled Der Knoten bearbeitet keine Benutzeranforderungen und nimmt nicht an der Clustersynchronisierung teil Hinweis Der Status eines Knotens wird als eigenst ndig betrachtet wenn der Knoten au erhalb eines Clusters bereitgestellt wird oder aus einem Cluster entfernt wurde NetScreen Instant Virtual Extranet Plattform 175 Administrationshandbuch Tabelle 1 Clustering gt Registerkarte Status Fortsetzung plement det Beschreibun Benutzeroberflache g Spalte Notes Gibt den Status der Verbindung des Knotens mit dem Cluster an Der Status kann folgenderma en lauten e OK Der Knoten ist aktiver Bestandteil des Clusters e Transitioning Der Knoten wechselt vom eigenst ndigen Status in den aktivierten Status e Unreachable Der Knoten kommuniziert nicht mehr mit dem Cluster Ein Clustermitglied kann selbst dann unreachable sein wenn es online ist und ber
314. ennnnennnnnennn nenne 131 Registerkarte Meeting Schedule 20022022002200200 nn nnn nenn nnnennnnnnnnne nenn 133 Konfigurieren der Seite Schedule 022002200240220020000n0 nennen nennen 136 Konfigurieren der Seite Configuration 0224022400220 nen nennen 137 Registerkarte Licensing 2 0022002002200nnnnnnunnnennnnnnnennnnnnnnunenennnennnnnnennne nenn 137 Registerkarte Security gt Security Options uus22002200nnnennnenenennnnnnnne nenn nennen 140 Registerkarte Security gt Host Checker 0 cece cece cece ceceeeeeeceeeneceeeeeeeseeeeneenees 143 Registerkarte Security gt Cache Cleaner 022002000220nnennnenenennnnnnennnennenen 146 Registerkarte Certificates gt Server Certificate u02202220sssensesenennnennenenennn 147 Registerkarte Certificates gt CA Certificate 002u022002ssessennnennnnnenenennnennne nenn 153 Registerkarte Certificates gt Applet Certificates u02200224022n0 nenne ennenenen nenn 155 Konfigurieren der Seite Network u02200220020020000n0 nen ennnennnnnnn nennen 157 Registerkarte Mtema POE as ee ee N 157 Registerkarte External Port 220220022002n0nenennnnnnnnnnnnnennnnennnnnennn nenn nennen 161 Registerkarte State ROUTES unsinnig 163 Registerkarte Hosts
315. enutzer diese Option ausw hlt meldet das IVE ihn bei der aktuellen Sitzung ab und fordert die Eingabe der Anmeldinformationen die f r die Ressource der h heren Sicherheitsebene erforderlich sind Wenn die Anmeldeinformationen authentifiziert werden k nnen leitet es ihn auf die Seite weiter auf die er urspr nglich zugreifen wollte e Cancel Wenn der Benutzer diese Option ausw hlt wird er zur vorherigen Seite umgeleitet 254 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Wenn Sie sich hingegeben festlegen dass keine erneute Authentifizierung ber das IVE erfolgen soll h ngt der erneute Authentifizierungsprozess davon ab ob der Richtlinienserver einen Authentifizierungsschema URL an den Benutzer zur ckgibt Wenn auf dem Richtlinienserver Folgendes vorgeht Keine R ckgabe eines Authentifizierungsschema URL Das IVE sendet dann Meldung ber die fehlgeschlagene Validierung an den Benutzer zur ck und f hrt die erneute Authentifizierung ber die Standardseite welcome cgi durch Der Benutzer wird aufgefordert sich erneut anzumelden wobei ihm allerdings die urspr ngliche Sicherheitsebene zugeordnet wird und er m glicherweise immer noch keinen Zugriff auf die gew nschte Seite hat R ckgabe eines Authentifizierungsschema URL Das IVE leitet den Benutzer an einen Standard Web Agent um ber den die erneute Authentifizierung erfolgen soll So erfolgt die erneute Authentifizierung ber das IVE
316. er NOTE To create a new cluster select 1 to continue as a stand alone IVE and create the cluster from the WEB based IYE administrator console Please select an option 2 Please provide the following information Internal IP address of an active cluster member 1 18 18 9 1 Cluster password Name of this host in the cluster 1 1ve 2 Internal IP address for this host 10 12 113 Netmask for this host Paid 20d 0 Gateway for this host 18 18 8 1 Contacting host with internal IP 18 10 9 1 2 0 4 Connected 0 24 29 ANSIW 9600 8 N 1 SCROL Car NUM Abbildung 39 Serielle Konsole Angeben des neuen Clustermitglieds 182 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch eiveClusterMember HyperTerminal a oj x File Edit View Call Transfer Help This host successfully contacted cluster member 18 18 9 1 and received the following information about the cluster Cluster Name homebranch Cluster Members ive 1 10 10 055 255 ive 21 10 12 173 2 255 255 06 This host is ready now to join the cluster as member 1ive 2 WARNING This host s entire state will be overwritten with the current cluster configuration including bookmarks IP address netmask etc Please select one of the options 1 Continue join cluster operation 2 Abort and boot with the previous settings Enter 1 or 2 1 4 Connected 0 48 58 ANSIW 9600 8 N 1 jscrou cars NUM Cap
317. er DLL die benutzerdefinierte clientseitige Uberprufungen ausfuhrt Sie m ssen diese DLL auf jedem Clientcomputer installieren Die Dokumen tation zur NetScreen Hostpr fung APl ist verf gbar auf der Supportsite http support netscreen com e Attributuberprufung Das ActiveX Steuerelement sucht nach den Spuren der angegebenen An wendung einschlie lich Prozessen Dateien und Registrierungseintr gen Erstellen globaler Richtlinien f r die Hostpr fung Um die Hostpr fung zum Durchsetzen von Richtlinien f r die Verwaltung von Endpunktsicherheit verwenden zu k nnen m ssen Sie globale Richtli nien f r die Hostpr fung erstellen die Folgendes angeben 92 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch e Host berpr fungsmethoden Eine Methode ist die Implementierung der NetScreen Hostpr fung eines Endpunktsicherheitsprodukts von einem Drittanbieter das ermittelt ob eine Anwendung entsprechend den konfigurierten Richtlinien ausgef hrt wird Gegenw rtig bietet die Hostpr fung Methoden f r folgende Produkte Sygate Enforcement API Sygate Security Agent Zone Labs ZoneAlarm Pro und Zone Labs Integrity McAfee Desktop Firewall 8 0 InfoExpress CyberGatekeeper Agent e Rule Settings Eine Regel ist eine Anforderung die ein Client erf llen muss damit die Hostpr fung eine Best tigung an das IVE zur ckgeben kann Sie k nnen f nf Typen von Regeln festlegen Custom NHC integration G
318. er Konferenz die Entscheidung dar ber berlassen ob f r die Teilnahme an der Konferenz ein Kennwort erforderlich ist Wenn Sie diese Option ausw hlen kann jeder der den URL die ID Nummer und das Kennwort sofern vorhanden kennt an der Konferenz teilnehmen nicht nur IVE Benutzer e Require meeting password more secure Bei Auswahl dieser Option muss der Ersteller der Konferenz entweder ein Kennwort f r die Konferenz erstellen oder das von Secure Meeting erzeugte Kennwort verwenden Wenn Sie diese Option ausw hlen kann jeder der den URL die ID Nummer und das Kennwort kennt an der Konferenz teilnehmen nicht nur IVE Benutzer e Require server generated password even more secure Bei Auswahl dieser Option muss der Ersteller der Konferenz das von Secure Meeting erzeugte Kennwort verwenden Wenn Sie diese Option auswahlen kann jeder der den URL die ID Nummer und das Kenn wort kennt an der Konferenz teilnehmen nicht nur IVE Benutzer e Require secure gateway authentication most secure Bei Auswahl dieser Option k nnen nur solche eingeladene Benutzer an Konferen zen teilnehmen die am sicheren IVE Gateway authentifiziert wurden Wenn Sie diese Option ausw hlen muss der Ersteller der Konferenz kein Kennwort f r die Konferenz erstellen da sich alle Benutzer am sicheren IVE Gateway authentifizieren m ssen Geben Sie die Methode f r Password Distribution an die von den Erstellern von Konferenzen angewendet werden sol
319. er Konfiguration l dt das IVE das ActiveX Steuerelement auf das System des Benutzers herunter Die Cachebereinigung wird in dem Intervall ausgef hrt dass Sie auf der Registerkarte System gt Configuration gt Security gt Cache Cleaner konfigurieren F r die Ausf hrung der Cachebereinigung muss auf den Benutzercomputern ActiveX aktiviert sein Hinweis ActiveX Steuerelemente werden f r Administratoren und Hauptbenutzer in Windows 2000 Systemen automatisch aktiviert Standardbenutzer m ssen sie hingegen manuell aktivieren Um ActiveX Steuerelemente in Internet Explorer zu aktivieren w hlen Sie Extras gt Internetoptionen gt Sicherheit gt Anpassen aus und aktivieren Sie anschlie end im Dialogfeld Sicherheitseinstellungen die ActiveX Komponenten Cachebereinigung f hrt in folgenden Situationen eine endg ltige Bereini gung aus e Der Benutzer meldet sich explizit von seiner Benutzersitzung ab Wenn ein Benutzer auf der IVE Startseite auf Sign Out klickt f hrt die Cachebereinigung eine endg ltige Bereinigung aus und deinstalliert sich anschlie end selbst vom Benutzersystem e Die H chstdauer f r die Benutzersitzung ist berschritten Wenn eine Zeit berschreitung auftritt f hrt die Cachebereinigung eine Be reinigung durch Wenn sich der Benutzer erneut anmeldet f hrt die Cache bereinigung eine erneute Bereinigung durch Die Cachebereinigung berpr ft in bestimmten Abst nden die G ltigkeit einer Sitzung und er
320. erf gbaren Datum geschrieben werden das in der Protokolldatei gespeichert ist Sie k nnen auch manuell ein Startdatum eingeben 2 Klicken Sie im Abschnitt End Date auf Latest Date damit alle Protokolle bis zum letzten verf gbaren Datum geschrieben werden das in der Protokolldatei gespeichert ist Sie k nnen auch manuell ein Enddatum eingeben 3 Verwenden Sie die Sprache f r benutzerdefinierte Ausdr cke des IVE im Abschnitt Query um die Auswahl der Daten zu steuern die das IVE ins Protokoll schreibt NetScreen Instant Virtual Extranet Plattform 195 Administrationshandbuch 7 Sie k nnen eine der Optionen aus dem Abschnitt Export Format verwenden um das Datenformat im Protokoll zu steuern e Wahlen Sie die Option Standard WELF oder WSC aus um die Protokolleintr ge mithilfe eines dieser standardisierten Formate zu formatieren Weitere Informationen finden Sie unter Benutzerdefinierte Filterung von Protokolldateien auf Seite 97 e Wahlen Sie die Option Custom aus und geben Sie das Format ein das im Feld Format verwendet werden soll Schlie en Sie Variablen bei der Eingabe des Formats in Prozentzeichen ein z B user Alle anderen Zeichen im Feld werden als Literalzeichen behandelt 8 Klicken Sie auf Speichern SEAT 722777777 Central Manager Help Sign Out System Lo gs D Status D Configuration See User Access Admin Access SNMP Statistics D Network i Log Settings Filters D Clustering z
321. ersionen des IVE enthalten Beachten Sie dass auch die Seiten die ber die Registerkarte System gt Signing In gt Sign in Page ge ndert werden als Standardanmeldeseiten z hlen Benutzerdefinierte Anmeldeseiten Benutzerdefinierte Anmeldeseiten sind THTML Seiten die Sie mithilfe des Template Toolkit erstellen und in Form einer archivierten ZIP Datei in das IVE hochladen Die Erstellung von benutzerdefinierten Anmeldeseiten ist eine lizenzierte Funktion die es Ihnen erm glicht anstelle der ge nderten IVE Anmeldeseite eigene Seiten zu verwenden F r die Erstellung benutzerdefinierter Anmeldeseiten stehen Ihnen unter www support netscreen com Vorlagen und Dokumentation zur Verf gung lV Andern der Standardanmeldeseite So andern Sie die IVE Standardanmeldeseite 1 W hlen Sie in der Webkonsole System gt Signing In gt Sign in Pages aus Klicken Sie auf New 3 Geben Sie einen Namen ein um die Seite zu bezeichnen 4 ndern Sie in den Abschnitten Custom Text und Custom Error Messages den f r die verschiedenen Fensterbeschriftungen verwendeten Standardtext nach Bedarf Legen Sie im Abschnitt Header eine benutzerdefinierte Logobilddatei und eine andere Farbe f r den Seitenkopf fest Um Benutzern benutzerdefinierte Hilfeinformationen oder zus tzliche Anweisungen bereitzustellen w hlen Sie Show Help Button aus geben Sie eine Beschriftung f r die Schaltfl che ein und geben Sie eine HTML Datei an die in da
322. erst tzung 85 87 90 Port Anforderungen angeben 92 Definition in Ressourcenrichtlinien 51 extern ndern 157 161 Ports Definition in Ressourcenrichtlinien 47 Post Office Protocol Siehe POP POST Richtlinie bersicht 107 Pragma No Cache PNC Header 334 Privater Schl ssel Import 147 Management 9 productName MIB Objekt 197 productVersion MIB Objekt 197 Protokoll Definition in Ressourcenrichtlinien 46 50 Protokollierung Clientprotokolle Cachebereinigung 65 Secure Meeting 21 Cluster 80 81 Filter Konfiguration 194 bersicht 97 Formate Konfiguration 194 bersicht 97 Installationsprotokolle Secure Meeting 21 Konfiguration 187 Kritische Ereignisse 128 Protokolldateien speichern 188 Schweregrade 96 bersicht 95 zu protokollierende Ereignisse angeben 189 Proxy Siehe Durchgangsproxy Q Quell IP Einschr nkungen konfigurieren 24 25 26 R RADIUS Siehe Authentifizierungsserver RADIUS Redundanz Aktiv Passiv Modus 77 Regel Bestandteil einer Ressourcenrichtlinie 43 Cachesteuerung 332 Definition 92 Konfiguration 52 278 Regeln f r die Zwischenspeicherung von Inhalten 332 Registrierung Sicherheitsanforderungen Definition 92 Registrierungseinstellungen J SAM 118 Remote SSO Konfiguration 342 Ressourcenrichtlinien 342 Remote SSO Option bersicht 107 Remotesteuernder Siehe Secure Meeting Rollen Ressourcen Bestandteil einer Ressourcenrichtlinie 42 Ressourcenrichtlinien Auswertung 43 Codierung 360
323. ertifikat importieren m chten m ssen Sie ein Zertifikat mit einem FIPS kompatiblen pri vaten Schl ssel ausw hlen Um FIPS Kompatibilit t zu gew hrlei sten w hlen Sie ein Zertifikat und die zugeh rigen privaten Security World Schl ssel aus die auf einem Access Series FIPS System erzeugt wurden e Gesamter Cluster Gehen Sie beim Einschlie en von Netzwerkein stellungen vorsichtig vor Da IP Adressen und andere Einstellungen wahrscheinlich nicht f r alle Mitglieder des Clusters gelten k nnte die Kommunikation zwischen den Mitgliedern unterbrochen werden nachdem die Einstellungen auf alle Mitglieder bertragen wurden 4 Klicken Sie auf Restore Die nderungen werden erst nach einem Neustart des IVE wirksam Anschlie end m ssen Sie sich erneut am IVE anmelden um auf die Web console zugreifen zu k nnen 408 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch EA NETSCREEN Central Manager Help Sign Out pa Sh Archiving D Status D Configuraiam FTP Server Local Backups Backups D Network D Clustering Use Backups to save and restore up to 5 copies of your current system settings or user accounts gt Log Monitoring D Signing In Save Configuration Delete Administ Saved configurations Include when restoring gt Authentication D Delegation C 2004 02 04 14 51 02 N Certificate D IP Address T Network Settings Restore Users gt Authentication D Roles gt Mew User Resource
324. erung 19 Secure Meeting Anforderungen 19 JavaSoft Zertifikat 72 JVM Anforderungen J SAM 119 Secure Meeting 19 Applet Signierung 72 mit nicht unterstutzten Versionen arbeiten 104 K Kalender Siehe Secure Meeting Kalender Kanonisches Format Ubersicht 45 Kennwort Einschrankungen konfigurieren 24 Richtlinien 433 Sicherheitsanforderungen festlegen 30 Kennwortverwaltung Konfiguration 229 Knoten Cluster 170 172 Konferenzleiter Siehe Secure Meeting Rollen Konfiguration Systemaktualisierung ix Konfigurationsdatei ACLs und Lesezeichen exportieren 395 ACLs und Lesezeichen importieren 397 lokale Benutzerkonten exportieren 393 lokale Benutzerkonten importieren 393 System exportieren 389 System importieren 390 bertragung 399 Konfigurations bertragung 399 Konsole seriell Siehe Serielle Konsole Web Siehe Webkonsole Kryptographiemodul Definition 9 Siehe Access Series FIPS L L7 berpr fungs URL 78 LAN Netzwerkeinstellungen ndern 157 161 LDAP Server Siehe Authentifizierungsserver LDAP Legacymodus Siehe 2 x Autorisierungsmodus Lesezeichen Export 395 f r das Web erstellen 295 296 299 302 312 315 316 322 Import 397 Konfiguration 24 unter UNIX erstellen 301 Linux Unterst tzung Secure Meeting 18 Linux Unterst tzung J SAM 113 Lizenzen Aktualisierung 138 bersicht 137 Load Balancer in einem Cluster verwenden 78 Localhost Hostnamenaufl sung 113 Remoteserver aufl sen 112 logFullPercent MIB Objekt 19
325. erver angeben Die Zugriffs funktionen f r Secure Meeting und Email Client verf gen jeweils ber eine global anwendbare Richtlinie F r diese beiden Richtlinien geben Sie Ser vereinstellungen an die f r alle Rollen verwendet werden durch die diese Zugriffsfunktionen erm glicht werden F r alle anderen Zugriffsfunktionen k nnen Sie eine beliebige Anzahl von Ressourcenrichtlinien angeben und f r jede eine oder mehrere detaillierte Regeln definieren Eine detaillierte Regel ist eine Erweiterung einer Ressourcenrichtlinie die Folgendes angeben kann e Zus tzliche Ressourceninformationen wie bestimmte Pfade Dateien oder Dateitypen f r Ressourcen die auf der Registerkarte General aufgelistet sind e Eine Aktion die von der auf der Registerkarte General angegebenen Aktion abweicht obwohl die Optionen die gleichen sind e Bedingungen die erf llt sein m ssen damit die detaillierte Regel ange wendet werden kann In vielen F llen erm glicht die Basis Ressourcenrichtlinie d h die auf der Registerkarte General einer Ressourcenrichtlinie angegebenen Informatio nen ausreichende Zugriffssteuerung f r eine Ressource Wenn ein Benutzer der definierte_Rollen angeh rt versucht auf definierte_Ressourcen zuzugreifen FUHRE die angegebene Ressourcen_Aktion aus Sie k nnen eine oder mehrere detaillierte Rollen f r eine Richtlinie definie ren wenn Sie eine Aktion durchf hren m chten die auf einer Kombination an
326. erver sowie einen Port an von dem der URL normalerweise intern auf die Anwendung zugreift W hlen Sie aus wie die Durchgangsproxy Funktion aktiviert werden soll e Use virtual hostname Wenn Sie diese Option auswahlen mussen Sie einen Hostnamenalias fur den Anwendungsserver angeben Wenn das IVE eine Clientanforderung fur den Hostnamenalias des Anwendungsservers empfangt leitet es die Anforderung an den angegebenen Anwendungsserverport im Feld URL weiter Wichtig Wenn Sie diese Option auswahlen mussen Sie auf der Registerkarte System gt Network Settings gt Internal Port im Bereich Network Identity auch den IVE Namen und den Hostnamen definieren e Use IVE port Wenn Sie diese Option ausw hlen m ssen Sie einen eindeutigen IVE Port zwischen 11000 11099 angeben Das IVE uberwacht auf dem an gegebenen IVE Port die Clientanforderungen an den Anwendungs server und leitet diese an den Anwendungsserverport weiter der im Feld URL angegeben wurde Geben Sie im Bereich Action die Methode an die das IVE zum Vermitteln des Datenverkehrs verwenden soll e Rewrite XML e Rewrite external links Klicken Sie auf Save Changes 8 Ordnen Sie die Richtlinien auf der Seite Pass through Proxy Policies in der Reihenfolge an in der sie vom IVE ausgewertet werden sollen Hin weis Wenn das IVE die Anwendung die von einem Benutzer angefor dert wurde zu einer in der Liste Resource angegebenen Anwendung fur eine Richtlinie oder ausf hrli
327. erverinstanz u00444440RRnennnee nennen nennen 225 e Konfigurieren einer LDAP ServerinstanZ cccccccsseeeeeeseeeeeeseaeeeeeesaeeeeeeas 229 e Konfigurieren einer lokalen IVE Server Instanz ccccceccceeeeeeeeeeeeeeeeeees 235 e Konfigurieren einer Netegrity SiteMinder Instanz 040 no 247 e Konfigurieren einer NIS Serverinstanz cccccceeseeeeeeseeeeeeeeeeaeeeeeeeaeeeeeeeaas 241 e Konfigurieren einer RADIUS Serverinstanz cccceccceceeeeeceeeeeseeeeeeseeeeees 243 Hinweis Ein Authentifizierungsserver muss eine Verbindung mit dem IVE Server herstellen k nnen Wenn ein Authentifizierungsserver wie RSA ACE Server keine IP Adressen f r die Agent Hosts verwendet muss er den IVE Hostnamen ber einen DNS Eintrag oder einen Eintrag in der eigenen Hostdatei aufl sen k nnen Authentifizierungsrichtlinien Eine Authentifizierungsrichtlinie besteht aus einer Reihe von Regeln f r einen Aspekt der Zugriffsverwaltung die steuern ob dem Benutzer eine Anmeldeseite f r den Bereich angezeigt wird Eine Authentifizierungsrichtlinie ist Bestandteil der Konfiguration eines Authentifizierungsbereichs Sie gibt die Regeln f r das IVE an die vor dem Anzeigen einer Anmeldeseite ber cksichtigt werden m ssen Wenn der Benutzer die Anforderungen der Authentifizierungsrichtlinie f r den Bereich erf llt zeigt das IVE dem Benutzer die Anmeldeseite an und leitet die NetScreen I
328. erwenden Sie eine Kennworteinschr nkung um eine minimale erforderliche Kennwortl nge f r den Bereich festzulegen Mi Angeben einer Kennwortl ngeneinschr nkung So geben Sie eine Kennworteinschr nkung auf der Bereichsebene ein Navigieren Sie zu Administrators gt Authentication gt Ausgew hlter Bereich gt Authentication Policy gt Password Users gt Authentication gt Ausgew hlter Bereich gt Authentication Policy gt Password Gehen Sie anschlie end folgenderma en vor W hlen Sie eine der folgenden Optionen aus Allow all users passwords of any length F r Benutzer die sich beim IVE anmelden wird keine Kennwortl ngeneinschr nkung angewendet Only allow users that have passwords of a minimum length Bei dieser Option muss das einzugebende Kennwort eine festgelegte Anzahl von Zeichen lang sein Klicken Sie zum Speichern der Einstellungen auf Save Changes Hinweis F r das IVE m ssen die auf der Anmeldeseite eingegebenen Benutzerkennw rter standardm ig mindestens vier Zeichen lang sein F r den zur berpr fung der Anmeldeinformationen eines Benutzers verwendeten Authentifizierungsserver ist unter Umst nden eine andere Mindestl nge erforderlich F r die lokale Authentifizierungsdatenbank von IVE m ssen die Benutzerkennw rter beispielsweise mindestens sechs Zeichen lang sein 434 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Hostpr fungseinstellungen
329. es gt D Status employees hq gt Configuration D Network General Web Files SAM Mehl Meetings Network Connect D Clustering Sessions gt Log Monitorimg __ D Signing In Administrators M User can add sessions Users can define their own telnetYSSH sessions gt Authentication gt Delegation Users MV Auto allow role Telnet SSH sessions at Use auto allow to automatically add telnet SSH session hosts to the Telnet SSH access control policy Note that b Authentication this only applies to role bookmarks not user bookmarks b Roles D New User Save Changes Resource Policies Abbildung 92 Users gt Roles gt Ausgew hlte Rolle gt Telnet SSH gt Options Registerkarte Meetings Auf der Registerkarte Meetings k nnen Sie zu einem beliebigen Zeitpunkt festlegen welche Benutzerrollen Konferenzen planen k nnen siehe unter Secure Meeting bersicht auf Seite 13 um die Sicherheitsstufen f r die zu erstellenden Konferenzen zu steuern und um die f r Konferenzen verwendeten Systemressourcen zu verwalten Beachten Sie bei der Erstellung von Benutzerrollen Folgendes Wenn Benutzer mehreren Rollen zugeordnet sind und Sie diese zusammenf hren Seite 277 werden alle Optionen auf der Seite User gt Roles gt Meetings mit Ausnahme der Richtlinieneinstellungen zusammengef hrt sodass Sie erweiterten Zugriff gew hren der jedoch zu Lasten der Sicherheit geht Wenn die Richtlinieneinstellungen angewendet we
330. es Feld leer lassen wird Benutzern die Standard IVE Anmeldeseite angezeigt login cgi Wichtig Das Feld On logout redirect to befindet sich aus Grunden der Abwartskompatibilitat in Produktversion 4 0 wird in zuk nftigen Versionen jedoch nicht mehr enthalten sein Wenn Sie Benutzer nach der Abmeldung auf eine andere Anmeldeseite umleiten m chten empfiehlt es sich dringend stattdessen die Funktion Custom Pages zu verwenden Seite 209 256 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch 10 11 12 13 14 Geben Sie im Feld Protected Resource eine gesch tzte Ressource ein Seite 253 Das IVE verwendet diesen URL um die Sicherheitsebene des Benutzers f r die jeweilige Sitzung festzulegen Wenn die Benutzer sich an dem URL Standard IVE Anmeldeseite anmelden geben Sie ive authentication ein Beachten Sie bei Resource Action dass die Ressourcenaktion bei einem neuen SiteMinder Server GET lautet schreibgesch tzt Wenn die SiteMinder Instanz von einer 3 x Instanz aktualisiert wird ist die Ressourcenaktion GET POST PUT usw dieselbe wie die bereits zuvor verwendete Hinweis Um eine vorhandene Ressourcenaktion auf GET zu ndern m ssen Sie sie l schen und eine neue SiteMinder Serverinstanz erstellen Geben Sie im Feld Cookie Domain die Cookiedom ne des IVE ein Beachten Sie dabei Folgendes e Mehrere Dom nen m ssen durch Kommas getrennt werden z B vertrieb eigene
331. es an Perform the POST defined below Wenn ein Benutzer den Zugriff auf eine Ressource anfordert die in der Liste Resources aufgef hrt ist f hrt das IVE mit den Benutzerdaten die im Bereich POST details angegeben sind einen Form POST durch Do NOT perform the POST defined below Das IVE f hrt keinen Form POST mit den Benutzerdaten durch die im Bereich POST details angegeben wurden Use Detailed Rules Hiermit geben Sie eine oder mehrere detaillierte Regeln f r diese Richtlinie an Weitere Informationen finden Sie unter Schreiben einer detaillierten Regel auf Seite 52 Geben Sie im Bereich POST details Folgendes an URL der Anmeldeseite der Back End Webanwendung Aktivieren Sie Deny direct login for this resource wenn Sie verhindern m chten dass Benutzer direkt auf diesen URL zugreifen k nnen Zum Senden bestimmter Benutzerdaten und nderungsberechtigung f r den Benutzer e User label Text der auf der Benutzerseite Advanced Preferences auf dem IVE angezeigt wird Dieses Feld ist erforderlich wenn Sie Benutzern erlauben oder oder von ihnen fordern Daten zu ndern die an Back End Anwendungen gesendet werden e Name Dieser Name bezeichnet die Daten im Feld Value Dieser Name wird vermutlich von der Back End Anwendung erwartet 344 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Value Der Wert der f r den angegebenen Namen an das Formular gesendet wird Sie k nnen st
332. etScreen Instant Virtual Extranet Plattform Administrationshandbuch e Rollenebene Navigieren Sie zu Administrators gt Delegation gt Ausgew hlte Rolle gt General gt Restrictions gt Browser Users gt Authentication gt Ausgew hlter Bereich gt Role Mapping gt Ausgew hltelerstellte Regel gt Benutzerdefinierter Ausdruck Users gt Roles gt Ausgew hlte Rolle gt General gt Restrictions gt Browser e Ressourcenrichtlinienebene Navigieren Sie zu Resource Policies gt Ausgew hlte Ressource gt Ausgew hlte Richtlinie gt Detailed Rules gt Ausgew hlte Erstellte Regel gt Bedingungsfeld Gehen Sie anschlie end folgenderma en vor W hlen Sie eine der folgenden Optionen aus Allow all users matching any user agent string sent by the browser Erm glicht Benutzern den Zugriff auf das IVE oder auf Ressourcen mit einem beliebigen unterst tzten Webbrowser Only allow users matching based on the user agent string sent by the browser Erm glicht Ihnen die Definition von Regeln f r die Browserzugriffssteuerung So erstellen Sie eine Regel 1 Geben Sie fur User agent string pattern eine Zeichenfolge in folgendem Format ein lt browser_zeichenfolge gt wobei Start ein optionales Zeichen ist das f r ein beliebiges Zeichen steht und lt browser_zeichenfolge gt ein Muster darstellt Gro und Kleinschreibung wird ber cksichtigt das mit einer Teilzeichenfolge im User Agent He
333. ewiesenen IP Adressen f r die Kommunikation mit dem im IVE ausgef hrten Net work Connect Prozess Der serverseitige Network Connect Prozess verwendet die zugewiesene IP Adresse f r die Kommunikation mit Unternehmensressourcen NetScreen Instant Virtual Extranet Plattform 101 Administrationshandbuch Enterprise Resources Client Machines Network Connect Admin specified IP pool Windows Internet IVE allocates two IP addresses per NC session Specify IP address A client connects to the Client 1 1 e Router of IVE s intemal Enterprise company s LAN the remote port as gateway for LAN via the Network Cient 2 P r ann network responses Resources Connect tunnel eee eae Pe Router Router Abbildung 6 Client Server Kommunication mit Network Connect Der clientseitige Network Connect Dienst kommuniziert mit dem im IVE ausgef hrten serverseitigen Network Connect Prozess Dieser Prozess leitet Clientanforderungen an Unternehmensressourcen weiter 102 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch NetScreen Instant Virtual Extranet Plattform 103 Administrationshandbuch Durchgangsproxy bersicht Mithilfe der Durchgangsproxy Funktion k nnen Sie Webanwendungen angeben f r die das IVE eine minimale Vermittlung durchf hrt Anders als die herk mmliche Antwortproxyfunktion bei der ebenfalls nur selektive Teile einer Serverantwort neu geschrieben werden jedoch sowohl Net
334. f r Citrix NFuse Wenn ein Benutzer auf einem NFuse Server eine Anwendung ausw hlt sendet der NFuse Server eine ICA Datei an den Client Wenn das IVE die ICA Datei berschreibt ersetzt es Hostnamen und IP Adressen durch vor her bereitgestellte IP Adressen des localhost Der ICA Client sendet dann Anwendungsanforderungen an eine der IP Adressen des localhost Secure Application Manager kapselt die Daten und sendet sie an das IVE Das IVE entkapselt die Daten und sendet sie ber Port 1494 an den passenden MetaFrame Server Liste unterstutzter Versionen e MetaFrame Server Versionen 1 8 XP 1 0 mit Service Packs 1 und 2 e Nfuse Webserver Versionen 1 5 1 6 und 1 7 e ICA Clients e Windows 32 Bit PN Client Version 6 30 und Webclient Version 7 0 e Benutzer von Program Neighborhood mussen den Server und die Anwendungen festlegen auf die sie bei Verwendung des PN Client zugreifen mochten Diese Version des IVE unterstutzt den NetScreen Instant Virtual Extranet Plattform 121 Administrationshandbuch Suchmechanismus nicht ber den Anwendungen auf MetaFrame Servern f r Benutzer von Program Neighborhood angezeigt werden e Java Version 6 2 f r den eigenst ndigen Client und Versionen 6 2 und 6 3 f r den Appletmodus Wenn Sie den Appletmodus des Java Client verwenden m chten m ssen Sie darauf achten dass die Unterst tzung f r Java Applets unter Web gt General page aktiviert ist Hinweis Das IVE bietet e
335. fende Systemwieder herstellungsoption ausf hren wenden Sie sich bitte unter der Adresse help support netscreen com an den NetScreen Support Vor dem Zur cksetzen auf die Werkseinstellungen sollten Sie nach M glichkeit die aktuellen System und Benutzerkonfigurationsdaten exportieren So setzen Sie das Ger t auf die Werkseinstellungen zur ck 1 2 3 4 Stellen Sie eine Verbindung mit der seriellen Konsole her Seite 453 Melden Sie sich in einem Browserfenster an der Webkonsole an W hlen Sie Maintenance gt System gt Platform aus Klicken Sie auf Reboot Now und wechseln Sie dann wieder zum Konsolenprogrammfenster zur ck Im Fenster werden Sie in einer Meldung informiert dass das System neu gestartet wird Nach kurzer Zeit werden Sie aufgefordert f r die Auswahl von Optionen die Tab Taste zu dr cken Dr cken Sie die Tab Taste Wenn Sie gefragt werden welche Konfiguration geladen werden soll geben Sie factory reset ein und dr cken Sie dann die Eingabetaste LI Hit Tab for choices or wait for auto load Choose configuration to load current factory reset Hit Tab for choices or wait for auto load Choose configuration to load factory reset Loading factory reset Abbildung 133 IVE Serielle Konsole NetScreen Instant Virtual Extranet Plattform 457 Administrationshandbuch Nach dem Klicken auf Reboot Now auf der Seite Maintenance gt System gt Platform Hinweis Wenn Sie beim
336. figurieren ihren E Mail Client so dass die folgenden Anmeldeinformationen verwendet werden e Benutzername Der normale Benutzername eines Benutzers f r den Mailserver oder ein Benutzername der beim E Mail Setup f r das IVE generiert wird wenn eine der folgenden Bedingungen zutrifft der Benutzer verf gt ber mehrere Benutzernamen f r den Mailserver die Benutzernamen auf dem IVE Server und dem Mailserver sind unterschiedlich e Kennwort Das IVE Kennwort des Benutzers gefolgt von einem benutzerdefinierbaren Trennzeichen f r Anmeldeinformationen gefolgt von dem Mailserverkennwort des Benutzers Benutzer m ssen sich nicht am beim IVE anmelden um E Mail zu verwenden e Mail server authentication only Benutzer konfigurieren ihren E Mail Client so dass ihre normalen Mailserver Benutzernamen und Kennworter verwendet werden Benutzer mussen sich nicht am IVE anmelden um E Mail zu verwenden oder zu konfigurieren Hinweis Die Benutzer k nnen ihre Benutzernamen und Kennworter fur E Mail problemlos auf der Seite Email Setup ermitteln 4 Geben Sie unter Default Server Information Ihre Mailserverdaten an Das IVE fungiert als E Mail Proxy fur diesen Server Wichtig Sie k nnen nur einen Standardmailserver angeben Wenn Benut zer E Mail Nachrichten von mehreren SMTP und POP bzw IMAP Servern abrufen mussen bieten Sie ihnen durch Aktivieren des entsprechenden Kon trollk stchens die M glichkeit weitere Mailserver z
337. fikat ausw hlen bei dem ein FIPS kompati bler privater Schl ssel verwendet wird Um FIPS Kompatibilitat zu gew hrlei sten w hlen Sie ein Zertifikat und die zugeh rigen privaten Security World Schl ssel aus die auf einem Access Series FIPS System erzeugt wurden NetScreen Instant Virtual Extranet Plattform 391 Administrationshandbuch 3 W hlen Sie eine Importoption aus Beachten Sie folgende Punkte e Wenn Sie die IP Adresse ausschlie en wird die IP Adresse des Servers beim Importieren der Datei nicht ge ndert e Wenn Sie die Netzwerkeinstellungen ausschlie en werden die Informationen auf der Seite System gt Network Settings Einstellungen f r internen Port externen Port und statische Routen beim Importieren der Datei nicht ge ndert 4 Wechseln Sie zu der Konfigurationsdatei die in der Standardeinstellung system cfg hei t 5 Geben Sie das f r die Datei festgelegte Kennwort ein Wenn Sie vor dem Export der Datei kein Kennwort festgelegt haben lassen Sie dieses Feld leer 6 Klicken Sie auf Import Config Wichtig Beim Importieren eines Serverzertifikats und der zugeh rigen Security World auf ein Access Series FIPS Ger t m ssen Sie die Initialisierung der Security World mit der seriellen Konsole und mit einer Administratorkarte abschlie en die der neuen importierten Security World zugeordnet ist Weitere Informationen finden Sie unter Wiederherstellen einer archivierten Security World nur Access
338. fuhrt werden damit die Anderungen angezeigt werden Klicken Sie auf Restore Factory Defaults um die Darstellung der Anmeldeseite der IVE Startseite fur Benutzer und der Webkonsole zur ckzusetzen 294 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch EJN NETSCREEN Central Manager Help Sign Out System Roles gt D shea employees hq D Configuration D Network ee Web Files SAM Telnet SSH Meetings Network Connect D Clustering Overview Restrictions Session Options UI Options gt Log Monitoring D Signing In Administrators Save Changes Restore Factory Defaults gt Authentication gt Delegation N Header Users gt Authentication Current appearance b Roles gt New User B i Recommended size Logo Image Browse Less than 40 pixels tall and 10KB Resource Policies Background color 66666 Select from palette or type hexadecimal RGB D Web gt Files gt SAM Start page gt Telnet SSH D Network Connect gt Meetings D Email Client The start page determines where a user starts after signing in Bookmarks page C Maintenance Sus enr page D System Start page URL Example http www domain com D Import Export D Push Config D Archiving Browsing toolbar D Troubleshooting Show Standard Toolbar C Show Framed Toolbar C Do not show any toolbar Recommended size Logo image Browse Less than 24 pixels tall and 6KB Personalized greetin
339. g Resource Policies D Web Dump file D Files Download Delete Dump file from Wed Feb 4 14 55 05 2004 34794 bytes D SAM D Telnet SSH N Mabano Annan Abbildung 125 Maintenance gt Troubleshooting gt TCP Dump nach Erstellung einer Dumpdatei Registerkarte Commands V Ausf hren eines ARP ping traceroute oder nslookup Befehls Auf dieser Registerkarte k nnen Sie UNIX Befehle ausf hren um die IVE Netzwerkverbindung zu testen So f hren Sie einen UNIX Befehl aus um die IVE Netzwerkverbindung zu testen 1 W hlen Sie in der Web console Maintenance gt Troubleshooting gt Commands aus 2 W hlen Sie in der Liste Command den Befehl aus der ausgef hrt werden soll 3 Geben Sie im Feld Target Server die IP Adresse des Zielservers ein 4 Klicken Sie zur Ausf hrung des Befehls auf OK 418 p NetScreen Instant Virtual Extranet Plattform Administrationshandbuch EN NETSCREEN Central Manager Help Sign Out Sy Troubleshooting Status Configuration Policy Session System TCP Remote Network Tracing Recording Snapshot Dump Debugging D D D D Clustering D Log Monitoring D Signing In Administrators gt Authentication gt Delegation Users gt Authentication D Roles gt New User Resource Policies Web Files SAM Network Connect Command Ping Target server 10 10 9 1 OK Clear Output PING 10 10 9 1 10 10 9 1 from 10 12 173 2
340. g Display user s full name if available or username on their bookmarks page Enabled Disabled Abbildung 83 Users gt Roles gt Ausgew hlte Rolle gt General gt Ul Options Registerkarte Web gt Bookmarks Auf der Registerkarte Web gt Bookmarks k nnen Sie Weblesezeichen erstellen die dieser Rolle zugeordneten Benutzern auf der Willkommensseite angezeigt werden Sie k nnen den IVE Benutzernamen eines Benutzers im URL Pfad einf gen um bei Einzelanmeldung den Zugriff auf Back End Webanwendungen zu erm glichen NetScreen Instant Virtual Extranet Plattform 295 Administrationshandbuch lV Erstellen von Lesezeichen fur Webressourcen So erstellen Sie ein Lesezeichen fur eine Webressource 1 Wahlen Sie in der Webkonsole Users gt Roles gt Ausgew hlte Rolle gt Web gt Bookmarks aus 2 Klicken Sie auf New Bookmark und geben Sie dann die erforderlichen Informationen ein Wenn Sie den Benutzernamen des Benutzers einf gen m chten geben Sie an der entsprechenden Stelle im URL lt USER gt in GroBbuchstaben ein Wenn Sie einen Namen und eine Beschreibung fur das Lesezeichen angeben werden diese Informationen anstelle des URLs auf der IVE Startseite angezeigt 3 Klicken Sie auf Save oder Save New um ein weiteres Lesezeichen hinzuzufugen EAT NETSCREEN Central Manager Help Sign Out System Roles gt employees hq D Configuration D Network General Bes Files SAM Telnet S
341. ge Email Authentication Mode C Web based email session Users sign in to the IVE to start an email session Users must also generate username and password credentials and enter them into their email cilent Allow email password caching if unchecked users must enter their email password whenever starting an email session Combined IYE and mail server authentication Users do not need to sign in to the IYE to use email but may need to sign in for initial setup to specify alternative mail servers or generate a unique username which must then be entered into their email client For password users enter a combination of their IYE and mail server passwords delimited by password separator defined below Password Separator comma C Mail server authentication only Users do not need to sign in to the IVE to use email and simply configure their email client with their email username and password as normal Users who are not using the default mail server must sign in once to specify their email information Name conflicts are also resolved in this way This option is the least secure and is not recommended Default Server Information SMTP Server Iwin2k ga danastreet net Port 25 M Allow user to specify a custom SMTP server POP Server win2k qa danastreet net Port 110 M Allow user to specify a custom POP server IMAP Server Iwin2k ga danastreet net Port 143 M Allow user to specify a custom IMAP server Em
342. ger Sicherheitsebene sich neu authentifizieren m ssen auf Seite 253 erl utert Die IVE appliance erm glicht die Einzelanmeldung bei Netegrity gesch tzten Ressourcen indem es Netegrity SiteMinder Security Token auch als SMSESSION Cookies bezeichnet speichert Die IVE appliance stellt eine Verbindung mit dem Web Agent her der in der Webkonsole angegeben wurde und sendet die Anmeldinformationen an den Web Agent weiter sobald sich ein Benutzer bei der IVE applianceanmeldet Wenn die Anmeldeinformationen authentifiziert werden k nnen bergibt der Web Agent ein SMSESSION Cookie an die IVE appliance die es berpr ft und anschlie end speichert Beim Versuch des Benutzers auf eine Webressource auf einem Standard Web Agent zuzugreifen bergibt die IVE appliance das Cookie zur Authentifizierung an den Web Agent 248 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch SMSESSION Cookies speichern verschiedene Benutzerinformationen darunter Benutzername Kennwort und autorisierte Sicherheitsebenen SMSESSION Cookies k nnen auf zwei Wegen erstellt und an den Browser des Benutzers bermittelt werden Anhand des benutzerdefinierten IVE Agents der mithilfe des Netegrity SDK erstellt wurde oder anhand anderer Standard Web Agents wie unter Automatische Anmeldung beim IVE mithilfe von SiteMinder Authentifizierung auf Seite 249 erl utert Sie k nnen das IVE bei Bedarf auch so konfigurieren dass es Anmel
343. gisterkarte Telnet SSH gt Options ccccccccccccseceeceeeeeseeeeeseeeeeseeeeesseeeesaaes 316 Registerkarte Meetings u0224002000000000n0nnennnn nenne nenne nnnne nen namen anne nennen 317 Registerkarte Network Connect 0222200222200220000nnennennennen nennen nenne nennen 322 Auf den Registerkarten der Seite Users gt Roles k nnen Sie Folgendes durchf hren Verwalten allgemeiner Einstellungen und Optionen f r Rollen 286 Festlegen von Zugriffsverwaltungsoptionen f r die Rolle 288 Angeben der Einstellungen f r Benutzersitzungszeiten Roaming Best ndigkeit und Anforderungen 222200222200220000nnnnnennnnnennnnnennnnnnennnnnennnnnennnnnennnnne nennen 289 Anpassen der IVE Willkommensseite f r Benutzer mit Rollen 293 Erstellen von Lesezeichen f r Webressourcen uussuusssesnenenenennnnnen nennen nennen 295 Angeben von allgemeinen Webbrowsingoptionen cccceccecsseeeeeeeeeeaeeeeeaees 296 Erstellen von Lesezeichen f r Windows Ressourcen uunsuesseessnenennnnnnnnnennneen 299 Erstellen von Lesezeichen f r UNIX Ressourcen ccccceceeeeeeeeeeeeeeaeeeaeeeeees 301 Angeben von allgemeinen Optionen zum Navigieren durch Dateien 302 Angeben von Anwendungen und Servern die mit W SAM gesichert werden sollen305 286 NetScreen Instant
344. gn into this realm Abbildung 73 Users Administrators gt Authentication gt Bereichsname gt Role Mapping VI Use the server catalog Der Server Catalog ist ein sekundares Fenster in dem Sie Zusatzinformationen angeben k nnen die das IVE f r die Zuordnung von Benutzern zu Rollen verwendet darunter e Attributes Auf der Registerkarte Server Catalog Attributes wird eine Liste von allgemeinen LDAP Attributen angezeigt z B cn uid uniquemember und memberof Diese Registerkarte kann nur beim Zugriff auf den Serverkatalog eines LDAP Servers aufgerufen werden Auf dieser 280 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Registerkarte k nnen Sie die Attribute eines LDAP Servers verwalten indem Sie seinem IVE Serverkatalog benutzerdefinierte Werte hinzuf gen oder Werte aus diesem l schen Beachten Sie dass das IVE eine lokale Kopie der LDAP Serverwerte aufbewahrt Attribute werden dem W rterbuch weder hinzugef gt noch aus diesem gel scht e Groups Uber die Registerkarte Server Catalog Groups k nnen Gruppeninformationen einfach von einem LDAP Server abgefragt und dem Serverkatalog eines IVE Servers hinzugef gt werden Sie geben den BaseDN der Gruppen und ggf einen Filter an um die Suche zu starten Wenn Ihnen der genaue Container der Gruppen nicht bekannt ist k nnen Sie den Dom nenstamm als BaseDN festlegen z B dc netscreen dc com Die Suchseite gibt eine Gruppenliste vom Server zur c
345. gsressourcen ber das IVE Wichtig Benutzer m ssen auf ihrem Windows PC ber Administrator oder Hauptbenutzerberechtigungen verf gen um das IVE f r die Installation des Network Connect Agent zu aktivieren Die Seite Resource Policies gt Network Connect enth lt die folgenden Registerkarten Registerkarte Access uuuensenennnnennnnnnnnnnnnnnnnennnnennnnennnnennnnennnnennnnennnen namen namen 370 Registerkarte IP Address Pools 200224002220020n0 nenne nnnn nenne nenne nenn nenn 373 Auf der Seite Resource Policies gt Network Connect k nnen Sie Folgendes durchf hren Schreiben einer Network Connect Ressourcenrichtlinie f r IP Adresspools 373 Konfigurieren von Network Connect Wenn Sie die Zugriffsfunktion Network Connect f r eine Rolle konfigurieren m ssen Sie Ressourcenrichtlinien erstellen die angeben auf welche Ressourcen ein Benutzer zugreifen darf und von welchen IP Pools das IVE dem Network Connect Client Agent und dem Serverprozess IP Adressen zuweisen kann Au erdem m ssen Sie den Router so konfigurieren dass dieser auf die IP Adresse des internen Ports des IVE als Gateway f r Routen von Antworten auf Clientanforderungen ber das Netzwerk weist Anforderungen f r Cluster Wenn Sie einen Multisite Cluster ausf hren und f r jeden Knoten unter schiedliche Netzwerkadressen verwendet werden m ssen Sie folgende Schritte ausf hren e Konfigurieren Sie eine Richt
346. h Resources die Ressourcen an f r die diese Richtlinie gelten soll Weitere Informationen finden Sie unter Angeben von Webressourcen auf Seite 46 Geben Sie im Bereich Roles Folgendes an e Policy applies to ALL roles Hiermit gilt die Richtlinie f r alle Benutzer e Policy applies to SELECTED roles Hiermit gilt die Richtlinie nur f r Benutzer die zu Rollen in der Liste Selected roles zugeordnet sind Dieser Liste m ssen Rollen aus der Liste Available roles hinzugef gt werden e Policy applies to all roles OTHER THAN those selected below Hiermit gilt die Richtlinie f r alle Benutzer au er den Benutzern die zu Rollen in der Liste Selected roles zugeordnet sind Dieser Liste m ssen Rollen aus der Liste Available roles hinzugef gt werden Geben Sie im Bereich Action Folgendes an e Allow socket access Erlaubt dass Java Applets eine Verbindung mit den Servern und ggf Ports in der Liste Resources herstellen e Deny socket access Verhindert dass Java Applets eine Verbindung mit den Servern und ggf Ports in der Liste Resources herstellen NetScreen Instant Virtual Extranet Plattform 337 Administrationshandbuch e Use Detailed Rules Hiermit geben Sie eine oder mehrere detaillierte Regeln f r diese Richtlinie an Weitere Informationen finden Sie unter Schreiben einer detaillierten Regel auf Seite 52 7 Klicken Sie auf Save Changes 8 Ordnen Sie die Richtlinien auf der Seite Java Access Policies in
347. he Rollen dem Benutzer zugeordnet werden Eine Rolle ist eine definierte Einheit die die IVE Sitzungseigenschaften f r die Benutzer angibt die der Rolle zugeordnet sind Diese Sitzungseigen schaften enthalten Informationen wie Sitzungszeitbegrenzungen Lesezei chen und aktivierte Zugriffsfunktionen Webbrowsing Dateinavigation Secure Application Manager Telnet SSH Network Connect Secure Meeting und E Mail Client Die Rollenkonfiguration bildet die zweite Ebene der Ressourcenzugriffssteuerung Eine Rolle gibt nicht nur die Zugriffsmecha nismen an die einem Benutzer zur Verf gung stehen sondern auch Beschr nkungen denen Benutzer entsprechen m ssen um einer Rolle zugeordnet werden zu k nnen Der Benutzer muss diese Sicherheitsanfor derungen erf llen andernfalls ordnet ihn das IVE keiner Rolle zu Auf Rollenebene k nnen Sie Sicherheitsanforderungen auf der Grundlage folgender Aspekte angeben Quell IP des Benutzers Browser Besitz eines clientseitigen Zertifikats ob die Hostpr fung installiert ist oder bestimmte Richtlinien auf dem Benutzercomputer durchsetzt und ob die Cachebereini gung auf dem Benutzercomputer ausgef hrt wird Wenn der Benutzer die Anforderungen erf llt die von einer Rollenzuordnungsregel oder den Ein schr nkungen einer Rolle angegeben sind ordnet das IVE den Benutzer zu 1 Sicherheitsanforderungen f r eine Rolle k nnen an zwei Positionen angegeben werden in den Rollenzuordnungsregeln eines Authent
348. hen DMZ Toolkits fur Extranets bereitzustellen oder den Mitarbeitern ein VPN Virtual Private Network fur Remotezugriffe zur Verfugung zu stellen Die Appliance ver mittelt Daten zwischen externen Verbindungen uber die sie sichere Anfor derungen erhalt und internen Ressourcen an die sie Anforderungen fur authentifizierte Benutzer sendet 4 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Internal M Corporate LAN h N Intranet N J Application KIT mere Servers Mobile Employee lt i External Session Standard Internal Session Abbildung 1 Die IVE Appliance innerhalb eines LAN Wie funktioniert das IVE Das IVE arbeitet als sicheres Gateway auf Anwendungsebene das s mtli che Anforderungen zwischen dem ffentlichen Internet und internen Unter nehmensressourcen vermittelt S mtliche Anforderungen die das Instant Virtual Extranet erh lt wurden bereits durch im Browser des Endbenutzers per 128 Bit oder 168 Bit SSL HTTPS verschl sselt Unverschl sselte Anforderungen werden verworfen Jede Anforderung unterliegt der vom Administrator definierten Zugriffssteuerung bei der z B 2 Faktor Authenti fizierung oder clientseitige digitale Zertifikate eingesetzt werden bevor sie an die internen Ressourcen weitergeleitet wird Da das IVE eine stabile Sicherheitsschicht zwischen dem ffentlichen Internet und den internen Ressourcen zur Verf gung stellt m ssen Administrato
349. ials Policies gt Users General Detailed Rules Name Users Required Label to reference this policy Description Filtering on for doc Resources Resources ne gt AG 28 10 10 10 10 share Roles Policy applies to ALL roles Policy applies to SELECTED roles Policy applies to all roles OTHER THAN those selected below Available roles Selected roles Users Add gt employees hq employees apac employees emea Remove employees global _Remove globalMarCom Ba Action C Use specified credentials Username Password Prompt for user credentials C Use Detailed Rules see Detailed Rules page Abbildung 103 Resource Policies gt Files gt Windows gt Credentials gt New Policy 358 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Registerkarte UNIX NFS ber die Registerkarte UNIX NFS k nnen Sie eine Dateiressourcenricht linie schreiben die angibt auf welche UNIX NFS Ressourcen Benutzer zugreifen d rfen Sie geben UNIX NFS Ressourcen an indem Sie einen Serverhostnamen oder die IP Adresse eingeben und bei Bedarf den Pfad zu einer bestimmten Freigabe angeben VI Schreiben einer UNIX NFS Ressourcenrichtlinie So schreiben Sie eine UNIX NFS Ressourcenrichtlinie 1 W hlen Sie in der Webkonsole Resource Policies gt File gt UNIX NFS aus 2 Klicken Sie auf der Seite Unix NFS File Access Policies auf New Policy 3 Gebe
350. ibute and group membership information LDAP server returns user attribute and group membership information IVE evaluates realm role mapping rules Uses information from LDAP or RADIUS authorization server or the user s username to determine eligible user roles IVE enforces role restrictions Determines valid user roles for users who meet requirements of role restrictions which may include Source IP Host Checker Browser type Cache Cleaner Client side Certificate IVE creates session user role Merges valid roles to determine session permissions The merge is additive so allowed resources from each valid role are granted to the user User interface settings are determined by the first role to which the user is mapped If the IVE is configured not to merge roles then the IVE assigns the user to the first role to which the user is mapped Abbildung 129 Schritt 2 von 3 IVE ordnet den Benutzer zu einer oder mehreren Rollen zu 426 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch USER IVE Auth Server User requests a resource Browses to a Web or file server or client application makes server request Is corresponding Access feature enabled for the session user role Access tenures includa Web browsing file browsing SAM Network Connect Email Glent Secure Mesting User denied access No to resource IVE evaluates resource policies Ev
351. ichtliniendom ne 4 Erstellen Sie unterhalb der Richtliniendom ne einen SiteMinder Bereich Legen Sie den Ressourcenfilter auf fest und legen Sie dann eine GET Regel fest um alle Ressourcen mit zu sch tzen Verwenden Sie ive authentication um die IVE Standardeinstellung zuzuordnen Wenn Sie die Einstellungen f r den SiteMinder Authentifizierungsserver sp ter in der Webkonsolekonfigurieren m ssen Sie die entsprechenden Einstellungen f r das Feld Protected Resource verwenden 5 Erstellen Sie unterhalb der Richtliniendom ne eine Richtlinie die die Regeln zu vorhandenen Benutzerverzeichnissen zuordnet WM Konfiguration des IVE sodass Benutzer mit niedriger Sicherheitsebene sich neu authentifizieren m ssen W hrend der Konfiguration des IVE m ssen Sie eine gesch tzte Ressource URL angeben um die Sicherheitsebene zu steuern die f r die SiteMinder Sitzung des Benutzers zugelassen ist Das IVE extrahiert den relevanten Abschnitt des URL alle auf den Dom nennamen folgenden Angaben und bergibt ihn zur Authentifizierung an SiteMinder SiteMinder gew hrt dem Benutzer dann eine Sicherheitsebene die dem URL entspricht Wenn ein Benutzer versucht auf eine Webressource zuzugreifen die eine h here Sicherheitsebene erfordert als seine Zugriffsrechte erlauben kann die erneute Authentifizierung ber das IVE erfolgen indem es ihn auf eine Seite mit folgenden Optionen weiterleitet e Continue Wenn ein B
352. ie Seite RSA SecurID Authentication anmelden Die RSA SecurID Software bergibt das Token ber die IVE Appliance und ohne Benutzerinteraktion an ACE Server Wenn der Benutzer die neue PIN oder das nachste Token eingibt je nach Modus bleiben drei Minuten fur die Eingabe der erforderlichen Informationen Danach bricht das IVE die Transaktion ab und fordert den Benutzer zur erneuten Eingabe der Anmeldeinformationen auf Das IVE kann bis zu 200 ACE Server Transaktionen gleichzeitig verarbeiten Eine Transaktion dauert nur so lange wie die Authentifizierung bei ACE Server Wenn sich ein Benutzer z B am IVE anmeldet wird die ACE Server Transaktion beim Senden der Anforderung durch den Benutzer initiiert Die Transaktion wird beendet sobald ACE Server die Verarbeitung der Anforderung beendet hat Der Benutzer kann mit der IVE Sitzung fortfahren obwohl die ACE Server Transaktion beendet wurde Das IVE unterstutzt die folgenden ACE Server Features New PIN Modus Next Token Modus DES SDI Verschl sselung AES Verschlusselung Unterstutzung untergeordneter ACE Server Namenssperrungen und Clustering Das IVE unterst tzt ber das RADIUS Protokoll auch die New PIN und Next Token Modi von RSA SecurlD Hinweis Wegen der Einschrankungen der ACE Server Bibliothek unter UNIX konnen Sie u U nur eine ACE Server Konfiguration festlegen Informationen zum Erzeugen einer ACE Agent Konfigurationsdatei fur die IVE Appliance auf dem ACE Server finden
353. ie diese Richtlinie gelten soll Weitere Informationen finden Sie unter Angeben von Windows Dateiressourcen auf Seite 48 Geben Sie im Bereich Roles Folgendes an e Policy applies to ALL roles Hiermit gilt die Richtlinie f r alle Benutzer e Policy applies to SELECTED roles Hiermit gilt die Richtlinie nur f r Benutzer die zu Rollen in der Liste Selected roles zugeordnet sind Dieser Liste m ssen Rollen aus der Liste Available roles hinzugef gt werden e Policy applies to all roles OTHER THAN those selected below Hiermit gilt die Richtlinie f r alle Benutzer au er den Benutzern die zu Rollen in der Liste Selected roles zugeordnet sind Dieser Liste m ssen Rollen aus der Liste Available roles hinzugef gt werden NetScreen Instant Virtual Extranet Plattform 353 Administrationshandbuch 6 Geben Sie im Bereich Action Folgendes an e Allow access Hiermit erlauben Sie den Zugriff auf die Ressourcen die in der Liste Resources aufgefuhrt sind Aktivieren Sie Read only damit die Benutzer keine Dateien auf dem Server speichern k nnen e Deny access Hiermit verweigern Sie den Zugriff auf die Ressourcen die in der Liste Resources aufgefuhrt sind e Use Detailed Rules Hiermit geben Sie eine oder mehrere detaillierte Regeln fur diese Richtlinie an Weitere Informationen finden Sie unter Schreiben einer detaillierten Regel auf Seite 52 7 Klicken Sie auf Save Changes 8 Ordnen Sie die Richtlinien auf der Seite
354. ien Die Network Connect Zugriffsfunktion verf gt ber zwei Typen von Ressourcenrichtlinien Diese erlaubt oder verweigert den Zugriff auf die angegebenen Server und gibt IP Adresspools an Seite 369 Secure Application Manager Ressourcenrichtlinien Die Secure Application Manager Zugriffsfunktion verf gt ber einen Typ von Ressourcenrichtlinien Diese aktiviert oder deaktiviert E Mail Benach richtigungen an Benutzer die zu einer Secure Meeting Konferenz eingeladen wurden Seite 375 Secure Email Client Ressourcenrichtlinien Die Secure Email Client Zugriffsfunktion verf gt ber einen Typ von Ressourcenricht linien Diese aktiviert oder deaktiviert E Mail Client Unterst tzung Seite 379 Bestandteile einer Ressourcenrichtlinie Eine Ressourcenrichtlinie enth lt die folgenden Informationen Ressourcen Eine Reihe von Ressourcennamen URLs Hostnamen oder Kombinationen aus IP Adresse Netzmaske die die Ressourcen ange ben f r die die Richtlinie gilt Sie k nnen eine Ressource mit einem Platzhalterpr fix angeben das f r einen Hostnamen steht Die Standardressource f r eine Richtlinie wird durch ein Sternchen ange geben d h die Richtlinie gilt f r alle entsprechenden Ressourcen NetScreen Instant Virtual Extranet Plattform 43 Administrationshandbuch Weitere Informationen finden Sie unter Angeben von Ressourcen f r eine Ressourcenrichtlinie auf Seite 45 e Rollen Eine optionale Liste von Be
355. ien NeoterisSetup log e C NeoterisSetup log Wenn Secure Meeting in einer anderen Umgebung als unter Windows aus gef hrt wird schreibt es in die Java Konsole Kopieren Sie den Inhalt der Java Konsole und f gen Sie ihn in eine Datei ein die Sie an den NetScreen Support senden k nnen Zugriff auf Administratorprotokolle Administratorprotokolle sind in der Webkonsole auf der Seite System gt Log Monitoring zu finden Beachten Sie dabei dass es drei Protokolle gibt Ereignisprotokoll Events Log Benutzerzugriffsprotokoll User Access Log und Administratorzugriffsprotokoll Administrator Access Log 22 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch NetScreen Instant Virtual Extranet Plattform 23 Administrationshandbuch Zugriffsverwaltung bersicht Das IVE erm glicht Ihnen die Ressourcen Ihres Unternehmens mithilfe von Authentifizierungsrichtlinien Benutzerprofilen und Ressourcenrichtlinien zu sichern Mit diesen drei Kontrollstufen k nnen Sie die Zugriffsverwaltung f r das gesamte Unternehmen steuern Sie k nnen Sicherheitsanforderun gen angeben die Benutzer erf llen m ssen um sich beim IVE anzumelden und auf IVE Funktionen oder bestimmte URLs Dateien und weitere Server ressourcen zugreifen zu k nnen Das IVE setzt die konfigurierten Richt linien Regeln und Einschr nkungen sowie die Bedingungen durch mit deren Hilfe die Benutzer daran gehindert werden Verbindungen mit unaut
356. iert Sie m ssen also zumindest diesen Servern Benutzer hinzuf gen um den Benutzern Zu griff auf das IVE zu erlauben 5 6 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch 4 Definieren des Authentifizierungsbereichs Seiten der Webkonsole Users gt Authentication und Administrators gt Authentication Authentifizierungsbereiche enthalten Richtlinien die die Bedingungen festlegen die Benutzer und Administratoren f r die Anmeldung am IVE erf llen m ssen Sie k nnen z B anhand einer Authentifizierungsricht linie angeben dass Benutzer nur auf das IVE zugreifen k nnen wenn sie sich von einer bestimmten IP Adresse aus anmelden oder einen be stimmten Browser verwenden Beim Konfigurieren eines Authentifizie rungsbereichs m ssen Sie Regeln erstellen um Benutzer zu Rollen zuzuordnen und festzulegen welche n Server das IVE f r die Authenti fizierung und Autorisierung der Bereichsmitglieder verwenden darf Auf dem IVE ist bereits ein Bereich Users vorkonfiguriert der alle ber den Server System Local authentifizierten Benutzer zur Rolle Users zuordnet Au erdem ist auf dem IVE bereits ein Bereich Admin Users vorkonfiguriert der alle ber den Server Administrators authentifizier ten Benutzer zur Rolle Administrators zuordnet Definieren von Anmelderichtlinien Seite der Webkonsole System gt Signing In gt Sign In Policies Anmelderichtlinien definieren
357. ierte IP Adresse localhost verwendet 1 Sie k nnen Secure Application Manager so konfigurieren dass er bei der Anmeldung eines Benut zers automatisch gestartet wird Benutzer k nnen diese Einstellung ber das Men IVE System gt Preferences au er Kraft setzen Wenn der automatische Start deaktiviert ist muss Secure Application Manager manuell gestartet werden indem auf die entsprechende Verkn pfung im IVE Startseitenmen geklickt wird NetScreen Instant Virtual Extranet Plattform 111 Administrationshandbuch Enterprise Servers Client Machine Secure Application f ween Manager Windows E ar Port 443 SSL Application list Wins2 service intercepts u Host list Resource ACLs requests from specified applications and traffic for specified hosts Internet Enterprise Resources Abbildung 7 Windows Secure Application Manager Java Secure Application Manager J SAM bersicht Die Java Version von Secure Application Manager J SAM bietet sichere Portweiterleitung f r Anwendungen die auf einem Remotecomputer ausge f hrt werden Das IVE weist jedem Anwendungsserver den Sie f r einen bestimmten Port festlegen eine eindeutige IP Loopback Adresse zu Wenn Sie beispielsweise f r einen einzigen Port folgendes festlegen appl eigenefirma de app2 eigenefirma de app3 eigenefirma de weist das IVE jeder Anwendung eine eindeutige IP Loopback Adresse zu 127 0 1 10 127 0 1 11 127 0 1 12
358. ifer Parker D Web M sue Susanne Jackson D Files Abbildung 61 System gt Signing In gt Servers gt Local IVE Authentication gt Users Vv Delegieren von Benutzerverwaltungsrechten an Endbenutzer Auf der Registerkarte System gt Signing In gt Admin Users k nnen Sie Benutzerverwaltungsrechte an ausgew hlte Endbenutzer delegieren einschlie lich des Rechts Benutzer zu einem lokalen IVE Authentifizierungsserver hinzuzuf gen Benutzer zu l schen vollst ndige Namen von Benutzern zu bearbeiten und Benutzerkennw rter ber das Men User Admin auf der Startseite des sicheren Gateways zu ndern Hinweis Benutzeradministratoren k nnen nur lokale IVE Authentifizierungsserver verwalten Au erdem d rfen Benutzeradministratoren keine Bereiche oder Rollenzuordnungen verwalten Daher wird die Aktivierung der Funktion User Admin nur dann empfohlen wenn die Rollenzuordnungsregeln des Authentifizierungsbereichs es nicht zugeordneten Benutzern erlauben sich am IVE anzumelden sodass der Benutzeradministrator neue Benutzer ohne Eingreifen des Administrators hinzuf gen kann Wenn die Rollenzuordnungen automatisch erfolgen k nnen Benutzeradministratoren die neuen Benutzer ohne Hilfe des Administrators manuell einer Rolle zuordnen NetScreen Instant Virtual Extranet Plattform 239 Administrationshandbuch So delegieren Sie Benutzerverwaltungsrechte an einen Endbenutzer 1 W hlen Sie in der Web console System gt Signing
359. ifikat installieren wenn die Fehler meldung angezeigt wird Secure Meeting Fehlerbehebung Wenn mit Secure Meeting Probleme auftreten empfehlen wir Folgendes e Deinstallieren Sie den Secure Meeting Client von Ihrem System Wenn beim Starten von Secure Meeting ein Problem auftritt klicken Sie auf die Verkn pfung Joining a Meeting Troubleshooting auf der Seite Launch Meeting Application Klicken Sie dann auf Uninstall Klicken Sie auf Return to Meeting und versuchen Sie erneut die Konferenz zu starten Beim n chsten Versuch einer Konferenz beizutreten aktualisiert Secure Meeting Ihren Client mit der aktuellen Version e Weitere Informationen k nnen Sie der PDF Datei Secure Meeting Error Messages entnehmen In der PDF Datei Secure Meeting Error Messages sind Fehler aufgef hrt die beim Konfigurieren oder Verwenden von Secure Meeting auftreten k nnen und wird der Umgang mit diesen Fehlern erl utert Die PDF Da tei ist verf gbar auf unserer Supportsite www support netscreen com e Kontaktaufnahme mit dem NetScreen Support Wenn ein Fehler auftritt den Sie mit den oben beschriebenen Verfahren nicht beheben k nnen senden Sie eine klare Beschreibung des Problems an den NetScreen Support Geben Sie detailliert an wie der Fehler und der Fehlermeldungstext nachzuvollziehen sind und geben Sie Ihr IVE Betriebssystem mit Buildnummer und Ihre IVE Administratorprotokoll dateien Installationsprotokolldateien und Clientprotokol
360. ifizierungsbereichs mit benutzerdefinierten Ausdr cken oder durch die Angabe von Einschr nkungen in der Rollendefinition Das IVE wertet die angegebenen Anforderungen an beiden Positionen aus Dies gew hrleistet dass nur Benutzer einer Rolle zugeordnet werden die die Anforderungen erf llen NetScreen Instant Virtual Extranet Plattform 25 Administrationshandbuch einer Rolle zu Wenn ein Benutzer eine Anforderung an die f r die Rolle ver f gbaren Backend Ressourcen sendet wertet das IVE die entsprechenden Ressourcenrichtlinien f r die Zugriffsfunktion aus Eine Ressourcenrichtlinie ist eine Reihe von Ressourcennamen wie URLs Hostnamen und Kombinationen aus IP Adresse und Netzmaske denen der Zugriff oder die Ausf hrung anderer ressourcenspezifischer Aktionen wie Neuschreiben oder Zwischenspeicherung gew hrt oder verweigert wird Eine Ressourcenrichtlinie bildet die dritte Ebene der Ressourcenzugriffssteuerung Eine Rolle gew hrt den Zugriff auf bestimmte Funktionen und Ressourcen wie Lesezeichen und Anwendungen wohingegen eine Ressourcenrichtlinie den Benutzerzugriff auf eine bestimmte Ressourcen steuert Mithilfe dieser Richtlinien k nnen sogar Bedingungen angegeben werden die sofern erf llt den Benutzerzugriff auf eine Serverfreigabe oder Datei verweigern oder gew hren Derartige Bedingungen k nnen auf den von Ihnen angegebenen Sicherheitsanforderungen basieren Der Benutzer muss diese Sicherheitsan forderungen erf
361. igenschaften oder L schen eines Clusters 182 Aktualisieren des Dienstpakets f r Clusterknoten 20022200222002220 Rene 173 Cluster bersicht Sie legen einen Cluster in einem IVE mithilfe der folgenden drei Angaben fest 1 Eine Bezeichnung f r den Cluster 2 Ein gemeinsames Kennwort f r die Clustermitglieder 3 Einen Namen der das IVE im Cluster kennzeichnet Nachdem Sie diese Daten auf der Registerkarte System gt Clustering gt Create angegeben haben klicken Sie auf Create Cluster um den Cluster zu initiieren und das aktuelle IVE zum Cluster hinzuzuf gen Nach dem Definieren des Clusters werden auf der Seite Clustering die Registerkarten Status und Properties angezeigt Die Registerkarte Status enth lt den Clusternamen und typ erm glicht Ihnen die Angabe neuer Mitglieder sowie die Verwaltung bestehender Mitglieder und bietet umfassende Informationen zum Clusterstatus 1 Ein Cluster mit mehreren Einheiten ist nur als Clusterpaar im Aktiv Passiv Modus verf gbar 76 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Nach der Definition und Initialisierung eines Clusters m ssen Sie angeben welche IVEs dem Cluster hinzugef gt werden Nachdem ein IVE als vor gesehenes Mitglied angegeben wurde k nnen Sie es dem Cluster ber fol gende Komponenten hinzuf gen e Webkonsole Wenn ein konfiguriertes IVE als eigenst ndiges Ger t betrieben wird k nnen
362. igning In gt Servers aus 2 F hren Sie einen der folgenden Vorg nge aus e Um eine neue Serverinstanz auf dem IVE zu erstellen wahlen Sie in der Liste New den Eintrag Radius Server aus und klicken Sie dann auf New Server e Klicken Sie zum Aktualisieren einer vorhandenen Serverinstanz auf die entsprechende Verkn pfung in der Liste Authentication Authorization Servers 3 Geben Sie einen Namen ein um die Serverinstanz zu bezeichnen 4 Geben Sie den Namen oder die IP Adresse des RADIUS Servers an 244 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch 10 11 12 Geben Sie den Port fur den RADIUS Server ein Normalerweise ist dies Port 1645 Geben Sie eine Zeichenfolge fur den gemeinsamen geheimen Schlussel ein Sie m ssen diese Zeichenfolge auch eingeben wenn Sie den RADIUS Server f r die Erkennung des IVE Ger ts als Client konfigurieren Geben Sie die Zeitspanne ein f r die das IVE auf eine Antwort vom RADIUS Server bis zur Zeit berschreitung f r die Verbindung warten soll Geben Sie die Anzahl der weiteren Verbindungsversuche ein die das IVE nach dem ersten fehlgeschlagenen Versuch ausf hren soll Geben Sie einen sekund ren RADIUS Server an der vom IVE verwendet wird wenn der prim re in dieser Instanz definierte Server nicht erreichbar ist Geben Sie f r den sekund ren Server folgende Angaben ein e Name oder IP Adresse e Port e Gemeinsamer geheimer Schl ssel Hi
363. ii Save Changes Users Abbildung 105 Resource Polices gt Files gt Encoding NetScreen Instant Virtual Extranet Plattform 361 Administrationshandbuch Konfigurieren der Seite SAM Auf der Seite Resource Policies gt SAM k nnen Sie Folgendes durchf hren Schreiben einer Ressourcenrichtlinie f r Secure Application Manager 362 Mithilfe der Aktualisierungsoption Secure Application Manager k nnen Benutzer ber einen verschl sselten SSL Tunnel auf Anwendungsserver zugreifen als ob sie sich im Firmen LAN bef nden Weitere Informationen finden Sie unter Secure Application Manager bersicht auf Seite 109 Schreiben einer SAM Ressourcenrichtlinie Wenn Sie die Zugriffsfunktion Secure Application Manager f r eine Rolle aktivieren m ssen Sie Ressourcenrichtlinien erstellen die die Anwendungs server angeben auf die die Benutzer zugreifen d rfen Diese Richtlinien gel ten sowohl f r die Java als auch f r die Windows Version von Secure Application Manager J SAM bzw W SAM Wenn ein Benutzer eine Anforde rung f r einen Anwendungsserver vornimmt wertet das IVE die SAM Res sourcenrichtlinien aus Wenn das IVE f r eine Benutzeranforderung f r eine Ressource die in einer SAM Richtlinie aufgef hrt ist eine bereinstimmung findet f hrt es die f r die Ressource angegebene Aktion aus Beim Schreiben einer SAM Ressourcenrichtlinie m ssen Sie die folgenden zentralen Informationen angeben
364. il Client Konfiguration 24 379 MIB Objekt 197 Ressourcenrichtlinien 42 379 bersicht 85 Endpunktsicherheitspr fung Siehe Hostpr fung Event Monitor Anzeige 128 Exchange Server Unterst tzung 90 externalAuthServerUnreachable MIB Objekt 198 Externer Port Konfiguration 161 F Failover Vorg nge 78 Federal Information Processing Standards Siehe Access Series FIPS Fehlerbehebung Ablaufverfolgungsdatei 413 remote 418 Snapshotdatei 414 TCP Dumpdatei 415 UNIX Befehle 417 Fehlermeldungen andern 209 FIPS Siehe Access Series FIPS Firewall Unterst tzung 91 Firewalls mit Cachebereinigung verwenden 64 Form POST Richtlinie bersicht 107 Freigabe Definition in Ressourcenrichtlinien 48 FTP Archiv Definition 96 G Gateway f r externen Port 157 161 Konfiguration 158 161 Gruppenmitgliedschaft LDAP 278 G ltige Rollen Definition 38 58 H Hardwaresicherheitsmodul Siehe Access Series FIPS Header Cookies Richtlinie bersicht 107 Hilfe ndern 209 Hilfe an Support wenden ix Host Definition in Ressourcenrichtlinien 46 50 Hostname Aufl sung 164 Definition in Ressourcenrichtlinien 46 48 49 Hostpr fung API 91 Einschr nkungen konfigurieren 24 25 Konfiguration 143 Richtlinien 434 435 Sicherheitsanforderungen festlegen 31 bersicht 91 Hostzuordnung f r Client Server Anwendungen 314 HP OpenView Unterst tzung 96 HSM Siehe Access Series FIPS INDEX 469 IMAP Mailserver 379 Unterstutzung 85 87
365. ilding 3 805 11th Avenue Sunnyvale CA 94089 www netscreen com Warnung nderungen oder Modifikationen an diesem Produkt k nnen zum Erl schen der Garantie und der Betriebserlaubnis f r das Ger t f hren Haftungsausschluss DIE SOFTWARELIZENZ UND EINGESCHR NKTE GARANTIE F R DAS BEILIEGENDE PRODUKT SIND IM INFORMATIONSPAKET NIEDERGELEGT DAS IM LIEFERUMFANG DES PROKUKTS ENTHALTEN IST UND WIRD DURCH DIESEN HINWEIS BESTANDTEIL DES VERTRAGS WENN SIE DIE SOFTWARELIZENT ODER DIE EINGESCHR NKTE GARANTIE NICHT FINDEN K NNEN ERHALTEN SIE EINE KOPIE VON IHREM NETSCREEN H NDLER Copyright 2001 D J Bernstein Copyright 1985 2003 Massachusetts Institute of Technology Alle Rechte vorbehalten Copyright 2000 Zero Knowledge Systems Inc Copyright 2001 Dr Brian Gladman lt brg gladman uk net gt Worcester UK Alle Rechte vorbehalten Copyright 1989 1991 Free Software Foundation Inc Copyright 1989 1991 1992 Carnegie Mellon University Derivative Work 1996 1998 2000 Copyright 1996 1998 2000 The Regents of the University of California Alle Rechte vorbehalten Copyright 1999 2001 The OpenLDAP Foundation Redwood City California USA Alle Rechte vorbehalten Das Kopieren und Verteilen wortgetreuer Kopien dieses Dokuments ist gestattet Copyright 1995 Tatu Ylonen lt ylo cs hut fi gt Espoo Finland Alle Rechte vorbehalten Copyright 1986 Gary S Brown Copyright 1998 CORE SDI S A Buenos Aires Argentina C
366. illierte Regeln f r diese Richtlinie an Weitere Informationen finden Sie unter Schreiben einer detaillierten Regel auf Seite 52 7 Klicken Sie auf Save Changes 8 Ordnen Sie die Richtlinien auf der Seite Unix NFS File Access Policies in der Reihenfolge an in der sie vom IVE ausgewertet werden sollen Hinweis Wenn das IVE die Ressource die von einem Benutzer angefordert wurde zu einer Ressource in der Liste Resource f r eine Richtlinie oder ausf hrliche Regel zuordnet f hrt es die angegebene Aktion aus und beendet die Richtlinienverarbeitung EAN NETSCREEN Central Manager System D Status D Configuration D Network D Clustering gt Log Monitoring D Signing In Administrators gt Authentication gt Delegation Users gt Authentication D Roles D New User Resource Policies gt Web b Files D SAM gt Telnet SSH D Network Connect gt Meetings D Email Client Maintenance D System gt Import Export D Push Config b gt Archiving gt Troubleshooting Help Sign Out Unix NFS File Access Policies gt New Policy Name Required Label to reference this policy Description a pa Resources Specify the resources for which this policy applies one per line Resources Examples 3 domain com public nfs domain com lt USER gt 10 10 10 10 255 255 255 0 ha 10 10 10 10 24 public 4 Roles Policy applies to ALL roles
367. ine Alternative zur Bereitstellung von CSG 122 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Teil 3 IVE Konfiguration In diesem Abschnitt finden Sie Informationen zur Konfiguration und Verwaltung von Access Series Produkten Inhalt Konfigurieren der Seite Status 220022220022200nnnnnnennnnnenennnenn 125 Konfigurieren der Seite Schedule 2000222000220nne nennen 136 Konfigurieren der Seite Configuration 4u4000442nee essen 137 Konfigurieren der Seite Network u 2u0sssssesnssnesnennennnneennnnn 157 Konfigurieren der Seite Clustering u00044444BRnennnn nennen 167 Protokollierung und berwachung Ubersicht ccccccccsceeeseeeees 95 Konfigurieren der Seite Signing in ccccccsssseeccessssecceeeeeessanseees 203 Konfigurieren eines Authentifizierungsbereichs gt 273 Konfigurieren der Seite Delegation u 244000n0nnene nennen 265 Konfigurieren der Seite Roles u0022200002200022nnne nenne nennen 285 Konfigurieren der Seite New User us 2uussssssessssnennnnnennnneennnnn 323 Konfigurieren der Seite Web u220uu00202susnsnnnnnnnnnnnnnnnnnnnnnnenennn 325 Konfigurieren der Seite Files u0022220022220022ennennennnenennnenennnenn
368. ineaufgaben zur Wartung und Konfiguration ausf h ren k nnen Sie das Fenster Event Monitor ge ffnet lassen und die Syste mereignisse berwachen NetScreen Instant Virtual Extranet Plattform 129 Administrationshandbuch So zeigen Sie schnell kritische Systemereignisse an W hlen Sie in der Webkonsole System gt Status gt Overviews aus Klicken Sie auf Critical Events Im Fenster Event Monitor werden der Schweregrad und eine Meldung zu kritischen Ereignissen in der System protokolldatei angezeigt Klicken Sie auf Refresh um die neuesten Ereignisse anzuzeigen optional Klicken Sie auf See All um zur Registerkarte System gt Log Monito ring gt Events gt Log zu navigieren auf der alle Ereignisse von infor mativ bis kritisch angezeigt werden optional Weitere Informationen finden Sie unter Konfigurieren der Seite Log Monitoring auf Seite 187 4 Event Monitor Microsoft Internet Explorer Event Monitor Severity Message CO There are no critical messages to display 118 Internet Abbildung 14 Seite System gt Status gt Overview gt Critical Events VI Herunterladen des aktuellen Servicepakets Auf der Registerkarte System gt Status gt Overview k nnen Sie das Ser vicepaket herunterladen dass zurzeit im IVE installiert ist damit Sie es leicht speichern und auf einem anderen IVE installieren k nnen So laden Sie das aktuelle Servicepaket herunter 1 2 W
369. ing DNs Type CN HelpServicesGroup CN Users DC middleearth DC danastreet DC net static CN TelnetClients CN Users DC middleearth DC danastreet DC net static CN Administrators cN Builtin DC middlesearth DC danastreet DC net static CN Users CN Builtin DC middleearth DC danastreet DC net static CN Guests CN Builtin DC middleearth DC danastreet DC net static CN Print Operators CN Builtin DC middleearth DC danastreet DC net static CN Backup Operators CN Builtin DC middleearth DC danastreet DC net static CN Replicator CN Builtin DC middleearth DC danastreet DC net static CN Remote Desktop Users CN Builtin DC middleearth DC danastreet DC net static Back Server Catalog for tse Attributes Expressions To add a group type a name and click Add Group To edit an existing group select it make your changes and click Save Changes When you are done click OK Name TelnetClients DN CN TelnetClients CN Users DC middleearth DC danastreet DC net Type static Save Changes N OK New Delete Search gt Abbildung 76 Registerkarte Server Catalog Groups Hinzuf gen einer LDAP Gruppe NetScreen Instant Virtual Extranet Plattform Administrationshandbuch SEA NETSCREEN Central Manager System User Authentication Realms gt TSELDapREALM gt gt staan Role Mapping Rule gt Configuration D Network Rule based on Group membership Update gt Clustering D Log Monit
370. ings Filters D signingae EMAA Standard Standard default gt Show TEE Update Administrators gt Authentication Clear Log Save Log As gt Delegation Filter Standard default Date Oldest to Newest Users Query gt Authentication Export Format Standard D Roles Severity ID Message gt New User AUT20920 2004 02 04 12 30 46 ive 2 10 12 254 183 System Connection from IP 10 12 254 183 not authenticated yet URL dana na imags space gif AUT20920 2004 02 04 12 30 46 ive 2 10 12 254 183 System Connection from IP 10 12 254 183 not authenticated yet URL dana na auth url_admin welcome cgi Resource Policies D Web gt sTS20642 2004 02 04 12 00 12 ive 2 System Number of concurrent mail users logged in to the email gt Files proxy 0 D SAM STS20641 2004 02 04 12 00 12 ive 2 System Number of concurrent users logged in to the IVE 1 D Telnet SSH AUT20920 2004 02 04 11 41 56 ive 2 10 12 254 193 System Connection from IP 10 12 254 193 not D Network Connect authenticated yet URL dana nafimgs space gif gt Meetings AUT20920 2004 02 04 11 41 56 ive 2 10 12 254 193 System Connection from IP 10 12 254 193 not authenticated yet URL D Email Client STS20642 2004 02 04 11 00 09 ive 2 System Number of concurrent mail users logged in to the email Maintenance pion STS20641 2004 02 04 11 00 09 ive 2 System Number of concurrent users logged in to the IVE 1
371. inienregeln time year Verf gbar in e Rollenzuordnungsregeln e Ressourcenrichtlinienregeln user Verf gbar in e Rollenzuordnungsregeln e Ressourcenrichtlinienregeln e Felder f r SSO Parameter userAgent Verfugbar in e Rollenzuordnungsregeln e Ressourcenrichtlinienregeln e Felder fur SSO Parameter Der Monat in dem die Rollenzuordnungsregel oder Ressourcenrichtlinienregel ausgewertet wird Mogliche Werte sind 1 12 Das Jahr in dem die Rollenzuordnungsregel oder Ressourcenrichtlinienregel ausgewertet wird year kann auf 1900 2999 gesetzt werden IVE Benutzername Wenn sich der Benutzer an einem Zertifi kat Authentifizierungsserver anmeldet ist sein IVE Benut zername derselbe wie CertDN cn Die Benutzer Agent Zeichenfolge des Browsers NetScreen Instant Virtual Extranet Plattform Administrationshandbuch 449 time month gt 9 and time month lt 12 and time year 2004 group employees and time month 9 time year 2005 user steve and time mon user steve user steve user steve or jankowski userAgent MSIE NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Von einem LDAP oder RADIUS Server abgerufene Benutzerattribute userAttr lt auth attr gt Verfugbar in e Rollenzuordnungsregeln e Ressourcenrichtlinienregeln e Felder fur SSO Parameter Wichtig Nur die fur Rollenzuordnungsregeln ausgewerteten At
372. inistrationshandbuch NetScreen Instant Virtual Extranet Plattform 365 Administrationshandbuch Konfigurieren der Seite Telnet SSH Auf der Seite Resource Policies gt Telnet SSH k nnen Sie Folgendes durchf hren Schreiben einer Telnet SSH Ressourcenrichtlinie c ccccececcecececececeeeecereress 366 Mithilfe der Aktualisierungsoption sicherer Terminalzugriff k nnen Benutzer eine unverschl sselte Verbindung mit internen Serverhosts ber Telnet Protokolle herstellen oder in einer verschl sselten SSH Sitzung Secure Shell ber eine webbasierte Terminalsitzungs Emulation kommunizieren Diese Funktion unterst tzt die folgenden Anwendungen und Protokolle e Netzwerkprotokolle Telnet e SSH e Terminaleinstellungen e VT100 VT320 und Ableitungen e Bildschirmpuffer e Sicherheit e Web Clientsicherheit ber SSL e Hostsicherheit SSH sofern erw nscht Schreiben einer Telnet SSH Ressourcenrichtlinie Wenn Sie die Zugriffsfunktion Telnet SSH f r eine Rolle aktivieren m ssen Sie Ressourcenrichtlinien erstellen die die Remoteserver angeben auf die die Benutzer zugreifen d rfen Wenn das IVE f r eine Benutzeranforderung f r eine Ressource die in einer Telnet SSH Richtlinie aufgef hrt ist eine bereinstimmung findet f hrt es die f r die Ressource angegebene Aktion aus Beim Schreiben einer Telnet SSH Ressourcenrichtlinie m ssen Sie die folgenden zentralen Informationen angeben e Ressourcen
373. ion ab die auf der Registerkarte Role Mapping des Bereichs angegeben ist 1 Administratoren erstellen Rollenzuordnungsregeln auf der Registerkarte Administrators gt Authentication gt Ausgew hlter Bereich gt Role Mapping Benutzer erstellen Rollenzuordnungsregeln auf der Registerkarte Users gt Authentication gt Ausgew hlter Bereich gt Role Mapping NetScreen Instant Virtual Extranet Plattform 39 Administrationshandbuch Weitere Informationen ber Rollen finden Sie unter Benutzerrollen ber sicht auf Seite 55 Weitere Informationen ber das Angeben von Rollenzu ordnungsregeln finden Sie unter Angeben von Rollenzuordnungsregeln f r einen Authentifizierungsbereich auf Seite 277 40 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch NetScreen Instant Virtual Extranet Plattform 41 Administrationshandbuch Ressourcenrichtlinien bersicht Eine Ressourcenrichtlinie ist eine Richtlinie die Ressourcen und Aktionen f r eine bestimmte Zugriffsfunktion angibt Eine Ressource kann entweder ein Server oder eine Datei sein auf die ber das IVE zugegriffen werden kann Mithilfe einer Aktion wird einer Ressource erlaubt oder verboten eine Funktion durchzuf hren Jede Zugriffsfunktion verf gt ber minde stens einen Richtlinientyp der die Antwort des IVE auf eine Benutzeran frage oder die Art bestimmt wie eine Zugriffsfunktion aktiviert wird im Fall von Secure Meeting un
374. ionen f r die Rolle fest 1 W hlen Sie in der Webkonsole Users gt Roles gt Ausgew hlte Rolle gt General gt Restrictions aus 2 Klicken Sie auf die Registerkarte die der Option entspricht die Sie f r die Rolle konfigurieren m chten e Source IP Seite 428 e Browser Seite 429 e Certificate Seite 432 e Host Checker Seite 434 e Cache Cleaner Seite 435 F r die Rolle kann eine beliebige Anzahl von Zugriffsverwaltungsoptionen konfiguriert werden Wenn ein Benutzer nicht alle Beschr nkungen erf llt ordnet das IVE ihn der Rolle nicht zu EFN NETSCREEN Central Manager System gt Status gt Configuration D Network gt Clustering gt Log Monitoring D Signing In Administrators gt Authentication gt Delegation Users gt Authentication b Roles gt New User Resource Policies D Web gt Files gt SAM gt Telnet SSH Help Sign Out Roles gt employees hq eine Web Files SAM Telnet SSH Meetings Network Connect Overview Restrictions Session Options UI Options Source IP Browser Certificate Host Checker Cache Cleaner Users can sign in from any IP address C Users can only sign in from the following IP addresses IP Address Netmask GREEN EEE Add Note This restriction will mot be enforced if no IP addresses are listed Add one or more source IP addresses from which users are allowed to sign in Save Changes Abbildung 81 Users gt
375. ions and Conditions System D 5 D Configuration D Haiwgek b Slurtering b Log Monitoring b Signing Im Administrators b Athini gt Dalagati n Username INE username Password Realm Active Directory using LDAP Sign In Help htips iveserver yourcompany cam Abbildung 2 Zugriffsverwaltung TETTE A u t hi E ni t i a E i Mi Administrators Do Aether bey D Balaqation Users hear D Ha Urer Resource Policies D Web b Fisi b Sam b Take tH Eee Cinai D Mestirgpi D Emal ghani Maintenance D Syriam b imponi isport b Puch Config D Archiving a JG mrna mr S we Duster eae Dean Users bo Authentics b Rai b Hav rar Resource Policies b wab b Filed b BAM b Teinsbhfg b Hitri Cannad Do bHaitngs b Emal chent Maintenance b Syihemn b bp Enpa b Pugh Config b Anchissineg DFS gd Reser ss sm 0h3 0 nf Sra 7 Fon E In dieser Abbildung ist die Reihenfolge dargestellt in der das IVE Richtlinien Regeln Ein schrankungen und Bedingungen auswertet nachdem ein Benutzer seine Anmeldeinfor mationen auf der Anmeldeseite Ubermittelt hat Angeben von Sicherheitsanforderungen Mit dem IVE k nnen Sicherheitsanforderungen f r Administratoren und Benutzer ganz einfach uber die folgenden Optionen und Funktionen ange geben werden Quell IP o oo ce ceeeeecccccccceeeeeeaeeeeseseeeceeeeeeeecaeesensesececeseeeeesaaeaenseceeeeeeeeesaaaans 26 PON OT ee
376. iption A zu Resources Specify the resources for which this policy applies one per line Resources Examples a lt USER gt domain com 22 23 exchange domain com 10 10 10 107299 259 239 10 10 10 10 24 3000 9000 Roles Policy applies to ALL roles C Policy applies to SELECTED roles Policy applies to all roles OTHER THAN those selected below Available roles Selected roles Users Add gt employees apac employees emea Remove employees global employees hg Action Allow socket access C Deny socket access Use Detailed Rules available after you click Save Changes Abbildung 106 Resource Policies gt SAM gt New Policy VI Schreiben einer Ressourcenrichtlinie f r Secure Application Manager So schreiben Sie eine Ressourcenrichtlinie f r Secure Application Manager 1 W hlen Sie in der Webkonsole Resource Policies gt SAM aus 2 Klicken Sie auf der Seite Secure Application Manager Policies auf New Policy NetScreen Instant Virtual Extranet Plattform 363 Administrationshandbuch Geben Sie auf der Seite New Policy Folgendes ein 1 Eine Bezeichnung f r diese Richtlinie 2 Eine Beschreibung der Richtlinie Optional Geben Sie im Bereich Resources die Anwendungsserver an f r die diese Richtlinie gelten soll Geben Sie im Bereich Roles Folgendes an e Policy applies to ALL roles Hiermit gilt die Richtlinie f r alle Benutzer e Policy applies to SELECT
377. irtual Extranet Plattform Administrationshandbuch Registerkarte Log WM Speichern Anzeigen oder L schen der Protokolldatei So zeigen Sie die Ereignisprotokolldatei an speichern sie oder l schen sie 1 2 W hlen Sie in der Webkonsole System gt Log Monitoring aus Klicken Sie auf die Registerkarte Events User Access oder Admin Access und w hlen Sie dann Log aus Gilt nur f r Central Manager W hlen Sie aus der Liste View by filter den benutzerdefinierten Filter aus den das IVE zum Filtern von Daten verwenden sollte Geben Sie im Feld Show eine Nummer ein und klicken Sie auf Update wenn Sie die Anzahl der jeweils vom IVE angezeigten Protokolleintr ge ndern m chten Klicken Sie auf Save Log As wechseln Sie zum gew nschten Netzwerkspeicherort geben Sie einen Dateinamen ein und klicken Sie dann auf Save um die Protokolldatei manuell zu speichern Klicken Sie auf Clear Log um das lokale Protokoll und die Datei log old zu l schen Hinweis Wenn Sie das lokale Protokoll l schen wirkt sich dies nicht auf die vom Syslog Server aufgezeichneten Ereignisse aus Die nachfolgenden Ereignisse werden in einer neuen lokalen Protokolldatei aufgezeichnet NetScreen Instant Virtual Extranet Plattform 189 Administrationshandbuch EAT NETSCREEN Central Manager EEE System Logs D Status D Configura 30n User Access Admin Access SNMP Statistics D Network D Clustering Log Sett
378. is e F gen Sie zur Verwendung des Benutzernamens der auf der Anmeldeseite f r die Suche eingegeben wird im Filter die Zeichenfolge lt USER gt in Gro buchstaben ein Beispiel DN CN cay CN dave ou eng ou mktg o netscreen com NetScreen Instant Virtual Extranet Plattform 231 Administrationshandbuch e Es empfiehlt sich einen Filter anzugeben der keinen oder einen Benutzer DN zur ckgibt 12 Geben Sie unter Determining group membership Folgendes an e Base DN von dem an nach Benutzereintr gen gesucht werden soll Filter wenn die Suche eingegrenzt werden soll e Member Attribute um die Mitglieder einer statischen Gruppe anzugeben e Query Attribute um die Mitglieder einer dynamischen Gruppe anzugeben 13 W hlen Sie unter Bind Options Folgendes aus Simple bind um Daten im Klartext unverschl sselt an den LDAP Verzeichnisdienst zu senden e StartTLS bind um die Daten in der LDAP Authentifizierungssitzung ber das TLS Protokoll Transport Layer Security zu verschl sseln bevor sie an den LDAP Verzeichnisdienst gesendet werden 14 Klicken Sie auf Save Changes Wenn Sie zum ersten Mal eine Serverinstanz erstellen werden die Registerkarten Settings und Users angezeigt 15 Geben Sie die Bereiche an die der Server f r die Authentifizierung und Autorisierung von Administratoren und Benutzern verwenden soll Seite 273 Hinweis Informationen zum berwachen und L schen von Sitzungen von Benutzern di
379. is role Abbildung 89 Users gt Roles gt Ausgew hlte Rolle gt SAM gt Applications NetScreen Instant Virtual Extranet Plattform 305 Administrationshandbuch Mi Angeben von Anwendungen und Servern die mit W SAM gesichert werden sollen Auf der Registerkarte Applications k nnen Sie Anwendungen und Server festlegen f r die W SAM den Datenverkehr sichert Wenn W SAM auf einen Client PC heruntergeladen wird enth lt dieser Informationen die Sie f r die Rolle auf der Registerkarte Applications konfiguriert haben Nachdem ein Benutzer Secure Application Manager gestartet hat f ngt W SAM Anforderungen von Clientanwendungen an Server im internen Netzwerk und Anforderungen von auf dem Client ausgef hrten Prozessen an interne Hosts ab Sie legen diese Ressourcen auf der Registerkarte Applications fest indem Sie zwei Listen konfigurieren Liste W SAMsupported applications Diese Liste enth lt Anwendungen f r die W SAM den Client Server verkehr zwischen dem Client und dem IVE sichern soll Liste W SAM allowed servers Diese Liste enth lt Hosts f r die W SAM den Client Serververkehr zwischen dem Client und dem IVE sichern soll Wichtig Wenn Sie anhand von W SAM mit NetBIOS auf eine Freigabe zugreifen m chten m ssen Sie den NetBIOS Namen des Servers alphanume rische Zeichenfolge mit bis zu 15 Zeichen an zwei Stellen explizit angeben auf der Seite Add Server und in einer SAM Ressourcenrichtlinie Platzhalter wer
380. ist e Multicast Das IVE sendet eine Meldung an alle Clusterknoten im Netzwerk e Broadcast Das IVE sendet eine Meldung an alle Ger te im Netzwerk wobei nicht zum Cluster geh rige Knoten die Meldung l schen Hinweis Die auf der Cluster Eigenschaftenseite konfigurierte Einstellung f r die Daten bertragung wird nur von den Mitgliedern derselben Site desselben Subnetzwerks verwendet Beispielsweise k nnen Sie in einer Cluster Site mit 4 Knoten die Multicast Synchronisierungsmethode festlegen Die betreffende Site kann jedoch nur mit Sites kommunizieren die die Unicast Methode anwenden e Angeben ob Protokollmeldungen synchronisiert werden sollen Protokollmeldungen k nnen zu umfangreicher Belastung des Netzwerks f hren und die Clusterleistung beeintr chtigen Wir empfehlen diese Option zu deaktivieren insbesondere bei einer Multi Unit Konfiguration Bereitstellen eines Clusters in einer Access Series FIPS Umgebung Neben der Freigabe von Status Benutzerprofil Benutzersitzungs und berwachungsstatusdaten k nnen Mitglieder eines Access Series FIPS Clusters auch Security World Daten gemeinsam nutzen Alle Cluster mitglieder verwenden gemeinsam denselben privaten Schl ssel und sie sind ber dieselben Administratorkarten zug nglich Da f r das ndern einer Security World der physische Zugriff auf ein Kryptographiemodul erforderlich ist k nnen Access Series FIPS Clustermitglieder jedoch nicht alle ihre Daten im R
381. iste Resource fur eine Richtlinie oder ausf hrliche Regel zuordnet f hrt es die angegebene Aktion aus und beendet die Richtlinienverarbeitung 372 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch EA NETSCREEN System D Status gt Configuration D Network b Clustering gt Log Monitoring D Signing In Administrators gt Authentication gt Delegation Users gt Authentication gt Roles gt New User Resource Policies D Web gt Files D SAM gt Telnet SSH b Network Connect D Meetings D Email Client Maintenance D System D Import Export D Push Config gt Archiving gt Troubleshooting Central Manager Name Description Resources Resources Roles Action Help Sign Out Network Connect Access Policies gt Roles with opened Network Connect General Detailed Rules Roles with opened Network Connect Required Label to reference this policy 7 Specify the resources for which this policy applies one per line Examples tcp lt USER gt domain com 22 23 udp damain com icmp 10 10 10 10 255 255 255 0 6021 6022 Policy applies to ALL roles Policy applies to SELECTED roles N Policy applies to all roles OTHER THAN those selected below Available roles Selected roles Add gt Users employees apac Remove employees emea employees global employees hq Bi none Allow
382. isterkarte Web Proxy gt Settings auf Seite 348 e Use Detailed Rules Hiermit geben Sie eine oder mehrere detaillierte Regeln f r diese Richtlinie an Weitere Informationen finden Sie unter Schreiben einer detaillierten Regel auf Seite 52 Klicken Sie auf Save Changes 8 Ordnen Sie die Richtlinien auf der Seite Headers Cookies Policies in der Reihenfolge an in der sie vom IVE ausgewertet werden sollen Hinweis Wenn das IVE die Ressource die von einem Benutzer angefordert 348 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch wurde zu einer Ressource in der Liste Resource f r eine Richtlinie oder ausf hrliche Regel zuordnet f hrt es die angegebene Aktion aus und beendet die Richtlinienverarbeitung Ein Beispiel f r eine Webressourcenrichtlinie finden Sie in den Abbildungen unter Schreiben einer Webressourcenrichtlinie auf Seite 325 Registerkarte Web Proxy gt Settings Sie k nnen alle vom IVE durchgef hrten Webanforderungen an einen Web proxy leiten statt mit dem IVE eine direkte Verbindung mit den Web servern herzustellen Diese Funktion bietet sich an wenn Ihre Richtlinien f r die Netzwerksicherheit diese Konfiguration erfordern oder wenn Sie zur Leistungssteigerung einen Webproxy mit Zwischenspeicherung verwenden m chten Gegenw rtig gilt f r das IVE Folgendes Das IVE unterst tzt nur HTTP Proxys HTTPS Proxys Secure HTTP werden nicht unterst tzt D
383. iteMinder Server der IVE Webkonsole angegeben ist und ihnen wird eine Rolle zugewiesen die auf den Einstellungen auf der Registerkarte Users gt Authentication gt Bereich gt Role Mapping basiert Wenn Sie die Option Automatic Sign in aktivieren m ssen Sie Folgendes beachten e Wenn sich ein Benutzer automatisch an einem URL anmeldet der mehreren Authentifizierungsbereichen zugeordnet ist meldet das IVE den Benutzer an demjenigen Bereich an der auf der Registerkarte System gt Signing In gt Servers gt SiteMinder Server in der IVE Webkonsoleangegeben ist nicht an dem URL der auf der Registerkarte System gt Signing In gt Sign in Policies angegeben ist e Wenn die Sicherheitsebene die dem SMSESSION Cookie eines Benutzers zugeordnet ist von der Sicherheitsebene des IVE Bereichs abweicht verwendet das IVE die Sicherheitsebene die dem Cookie zugeordnet ist Abrufen des korrekten Benutzernamens f r Einzelanmeldung Wenn verschiedene Authentifizierungsschemas und Anmeldepunkte verf gbar sind kann das IVE f r ein und denselben Benutzer durchaus unterschiedliche Benutzernamen empfangen F r den Fall dass das IVE denselben Benutzernamen f r verschiedene Server verwendet wird vorzugsweise der von SiteMinder bereitgestellte Name verwendet Wenn ein Benutzer Folgendes vornimmt e Anmeldung ber die Standard IVE Anmeldeseite Das IVE gibt dem Benutzernamen den Vorzug den SiteMinder im OnAuthAccept Header zur c
384. joe human resources realm Variable loginTime Wed Jan 28 17 93 12 2004 PTR10217 2004 01 28 17 53 12 ive 2 joefhuman resources realm Variable networkIf internal PTR10217 2004 01 28 17 53 12 ive 2 joefhuman resources realm Variable realm human resources realm PTR10217 2004 01 28 17 53 12 ive 2 joe human resources realm Variable auth human resources server PTR10217 2004 01 28 17 53 12 ive 2 joe human resources realm Variable hostCheckerPolicy PTR10217 2004 01 28 17 53 12 ive 2 joe human resources realm Variable cacheCleanerStatus 0 PTR10212 2004 01 28 17 53 12 ive 2 joe human resources realm Mapped to roles All Employees by rule user PTR10218 2004 01 28 17 53 12 ive 2 joe human resources realm No match on rule group humanresources PTR10218 2004 01 28 17 53 12 ive 2 joe human resources realm No match on rule group humanresources PTR10205 2004 01 28 17 53 12 ive 2 joe lhuman resources realm Realm human resources realm mapped user joe to roles All Employees m _ m Lem m m m gt II om gt Jalal a o m Oo m 9 o m o o oO O 0 o o o Beim Durchgehen der Verfolgungsdatei sehen Sie dass das Problem in Eintrag PTR10218 liegt joe human resources realm No match on rule group humanresources Dieser Eintrag zeigt dass das IVE Joe nicht der R
385. k aus der Sie Gruppen ausw hlen k nnen die in die Liste Groups eingegeben werden Hinweis Der auf der Konfigurationsseite des LDAP Servers unter Finding user entries angegebene BaseDN Wert ist der Standard BaseDN Wert Der Filterwert ist standardm ig auf cn gesetzt Sie k nnen Gruppen auch auf der Registerkarte Groups angeben Sie m ssen den FODN Fully Qualified Distinguished Name einer Gruppe angeben z B cn Manager ou Zentrale ou NetScreen o com c DE k nnen dieser Gruppe jedoch eine Bezeichnung zuordnen die in der Liste Groups angezeigt wird Beachten Sie dass diese Registerkarte nur beim Zugriff auf den Serverkatalog eines LDAP Servers aufgerufen werden kann e Expressions Auf der Registerkarte Server Catalog Expressions k nnen Sie benutzerdefinierte Ausdr cke f r die Rollenzuordnungsregel schreiben Server Catalog for ldap ad Server Catalog for ldap ad Attributes Groups Expressions Attributes Groups Expressions accountExpires badPwdCount businessCategory ou Attribute laccountNew sAMAccountName Attribute laccountNew lt Add Sr Save Changes accountNew OK New Delete Abbildung 74 Registerkarte Server Catalog Attributes Hinzuf gen eines Attributs NetScreen Instant Virtual Extranet Plattform 281 Administrationshandbuch NV NETSCREEN Central Manager Help Sign Out System User Authentication Realms gt HOUserRealm gt D Status Role Mapping
386. kat zu installieren Wichtig Senden Sie nur jeweils eine Zertifikatssignaturanforderung an eine Zertifizierungsstelle Andernfalls fallen u U doppelte Geb hren an Sie k nnen Details zu zuvor gesendeten ausstehenden Anforderungen anzeigen indem Sie auf die Verkn pfung Certificate Signing Request Details auf der Registerkarte Server Certificates klicken So erstellen Sie eine Zertifikatssignaturanforderung 1 W hlen Sie in der Webkonsole System gt Configuration gt Certificates gt Server Certificate aus Klicken Sie unter Pending Certificate Signing Request auf New CSR 3 Geben Sie die erforderlichen Informationen ein und klicken Sie auf Create CSR 4 Folgen Sie den Anweisungen auf dem Bildschirm Darin wird neben dem Sendeverfahren erl utert welche Informationen an die Zertifizierungs stelle gesendet werden m ssen Wenn Sie von der Zertifizierungsstelle ein signiertes Zertifikat erhalten importieren Sie die Zertifikatdatei Befolgen Sie dabei die unter Importieren eines signierten Serverzertifi kats das anhand einer Zertifikatssignaturanforderung erstellt wurde auf Seite 152 angegebenen Anweisungen 151 152 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Hinweis Wenn Sie eine Zertifikatssignaturanforderung bei einer Zertifizie rungsstelle einreichen werden Sie u U dazu aufgefordert entweder den Typ des Webservers anzugeben auf dem das Zertifikat erstellt wurde oder den
387. kgibt Wenn SiteMinder keinen Benutzernamen bereitstellt verwendet das IVE den Benutzernamen den der Benutzer bei der Anmeldung eingegeben hat Andernfalls wenn also weder SiteMinder noch der Benutzer einen Benutzernamen angeben verwendet das IVE den Benutzer DN den der Richtlinienserver zur ckgibt Dies kommt nur dann vor wenn Sie festgelegt haben dass Benutzer auf dem SiteMinder Server anhand eines Zertifikats von einer Zertifizierungsstelle authentifiziert werden 252 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch e Anmeldung beim IVE anhand der SiteMinder Anmeldeinformationen Das IVE gibt demjenigen Benutzernamen den Vorzug den SiteMinder im OnAuthAccept Header zur ckgibt Wenn SiteMinder keinen Benutzernamen bereitstellt verwendet das IVE den Benutzernamen im SMSESSION Cookie Ansonsten verwendet es die den Benutzer DN im SMSESSION Cookie Um den korrekten Benutzernamen weiterzuleiten konfigurieren Sie folgende Optionen auf dem Richtlinienserver f r den IVE Web Agent 1 Navigieren Sie zum Bereich mit der Ressource ive authentication 2 Erstellen Sie eine neue Regel in der Folgendes gilt e Action Authentifizierungsereignis e OnAuthAccept ist aktiviert 3 Erstellen Sie eine neue Antwort in der Folgendes gilt e Attribute Name WebAgent HTTP Header Variable e Variable Name IVEUSERNAME Zusatzinformationen e Netegrity speichert die IP Adresse nicht im SMSESSION Cookie und kann si
388. l e Do not display the password in the notification email more secure Bei Auswahl dieser Option m ssen Ersteller von Konferenzen das Konferenzkennwort manuell an die eingeladenen Teilnehmer verteilen und nicht automatisch ber die von Secure Meeting versendeten E Mail Benachrichtigungen Wenn das Kennwort nicht in der Konferenz E Mail enthalten ist erh ht dies die Sicherheit f r die Konferenz e Display the password in the notification email more accessible Bei Auswahl dieser Option wird das Konferenzkennwort automatisch ber die E Mail Benachrichtigung verteilt die von Secure Meeting gesendet wird e Allow the meeting creator to decide Bei Auswahl dieser Option kann der Ersteller der Konferenz festlegen ob das Konferenzkennwort 319 320 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch 8 10 ber die automatisch von Secure Meeting versendeten E Mail Benachrichtigungen verteilt werden soll Geben Sie an ob Sie Vorf hrenden der Konferenz erm glichen m chten die Steuerung ihrer Desktops und Anwendungen mit anderen Teilneh mern der Konferenz zu teilen indem Sie im Bereich Remote Control eine der folgenden Optionen ausw hlen e Allow remote control of shared windows more functional Die Aus wahl dieser Option erlaubt dem Vorf hrenden oder Leiter der Konfe renz die Steuerung des Desktops und der Desktopanwendungen des Vorfuhrenden an einen beliebigen Teilnehmer der Konferenz a
389. ldateien an NetScreen Instant Virtual Extranet Plattform 21 Administrationshandbuch Zugriff auf Clientprotokolldateien Je nach den Rechten des Betriebssystems installiert Secure Meeting Client dateien in unterschiedlichen Verzeichnissen Folgende Browseroptionen sind m glich e Power user or administrative privileges on a Windows system Secure Meeting installiert Dateien im Verzeichnis C Programme Neoteris Secure Meeting lt Versionsnummer gt dsCboxUI log e Regular user privileges on a Windows system Secure Meeting installiert Dateien im Verzeichnis C Dokumente und Einstellungen lt Benutzername gt Lokale Einstellungen Temp dsCboxUI log oder unter C dsCboxUI log Wenn Sie die Protokolldateien nicht im ersten Verzeichnis finden m ssen Sie ggf die Anzeige von versteckten Dateien und Ordnern aktivieren W hlen Sie in Windows Explorer im Men Extras die Option Ordnerop tionen aus Aktivieren Sie auf der Registerkarte Ansicht die Option Alle Dateien und Ordner anzeigen und klicken Sie anschlie end auf OK e Andere Systeme als Windows Secure Meeting schreibt in die Java Konsole Kopieren Sie den Inhalt der Java Konsole und f gen Sie ihn in eine Datei ein die Sie an den NetScreen Support senden k nnen Zugriff auf Installationsprotokolle Wenn Secure Meeting in einer Windows Umgebung ausgef hrt wird suchen Sie die Installationsprotokolle in folgenden Verzeichnissen e C WINNT Ubertragene Programmdate
390. ldung am IVE ein clientseitiges Zertifikat ange ben m ssen m ssen Sie ein Stammzertifikat angeben Anhand des Stamm zertifikats wird berpr ft ob das vom Browser bereitgestellte Zertifikat g ltig ist Weitere Informationen finden Sie unter Clientzertifikate auf Seite 70 Iv Importieren eines Stammzertifikats zur berpr fung clientseitiger Zertifikate Hinweis Das IVE unterstutzt keine Zwischenserverzertifikate Wenn Sie ein ver kettetes Zertifikat d h ein vom Schl ssel eines Stammzertifikats signiertes Zwi schenzertifikat in das IVE importieren importiert das IVE nur das erste Zertifikat Wenn der Benutzer dann auf das IVE zugreifen m chte wird eine Warnung ange zeigt dass das Zertifikat nicht vertrauensw rdig ist Diese Warnung wird auch angezeigt wenn der Benutzer ein Stammzertifikat in das IVE importiert das nicht in den Browser des Benutzers eingebettet ist Beachten Sie jedoch dass das VeriSign Zwischenzertifikat in das IVE eingebettet ist Wenn Sie den Stamm eines verketteten VeriSign Serverzertifikats importieren wird dem Benutzer daher keine Warnung vor einem nicht vertrauensw rdigen Zertifikat angezeigt So geben Sie ein Stammzertifikat an 1 W hlen Sie in der Webkonsole System gt Configuration gt Certificates gt CA Certificate aus Klicken Sie auf Import Certificate Navigieren Sie zu der Datei mit dem signierten Zertifikat f r das Stamm zertifikat und klicken Sie auf Import 154 NetS
391. le Vermittlung durchf hrt Seite 348 e Form POST Gibt an ob die IVE Anmeldeinformationen eines Benut zers direkt an ein Anmeldeformular einer Backend Webanwendung gesendet werden Seite 342 e Cookies Headers Gibt an ob Cookies und Header an ein Anmelde formular einer Backend Webanwendung gesendet werden Seite 342 42 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Dateiressourcenrichtlinien Die Dateizugriffsfunktion verf gt ber die folgenden Typen von Ressourcenrichtlinien e Windows Access Gibt Windows Dateiressourcen an zu denen Benut zer navigieren bzw nicht navigieren d rfen Seite 352 e Windows Credentials Gibt Windows Dateiressourcen an f r die Sie oder Benutzer zus tzliche Anmeldeinformationen angeben m ssen Seite 352 e UNIX NFS Access Gibt UNIX NFS Dateiressourcen an zu denen Benutzer navigieren bzw nicht navigieren d rfen Seite 358 Secure Application Manager Ressourcenrichtlinien Die Secure Application Manager Zugriffsfunktion verf gt ber einen Typ von Ressourcenrichtlinien Diese erlaubt oder verweigert Anwendungen die zum Verwenden von J SAM oder W SAM konfiguriert sind die Herstel lung von Socketverbindungen Seite 361 Telnet SSH Ressourcenrichtlinien Die Telnet SSH Zugriffsfunktion verf gt ber einen Typ von Ressourcenrichtlinien Diese erlaubt oder verweigert den Zugriff auf die angegebenen Server Seite 365 Network Connect Ressourcenrichtlin
392. les SAM Telnet SSH Network Connect Meetings SAY eae ee Email Client Maintenance D System D Import Export gt Push Config D Archiving gt Troubleshooting Help Sign Out Configuration Licensing BEE Certificates Host Checker Cache Cleaner Security Options Allowed SSL and TLS Version The older SSL Y2 protocol has known security issues addressed by SSL Y3 and TLS Older browsers may only support SSL V2 Accept only SSL V3 and TLS maximize security Accept SSL V2 and V3 and TLS maximize browser compatibility Allowed Encryption Strength Stronger ciphers improve the security of SSL encryption Some browsers may only support 40 bit ciphers C Accept only 168 bit and greater maximize security Accept only 128 bit and greater security and browser compatibility Accept 40 bit and greater maximize browser compatibility Browsing to SSL Sites This appliance supports browsing to SSL protected Web sites but the site certificate will not be validated If you have concerns about the validity of the site certificate disable this capability Enable browsing to SSL sites maximize supported sites Disable browsing to SSL sites maximize security Basic authentication intermediation Browsers cache basic authentication credentials possibly allowing users to access resources through a shared browser using another user s credentials The IVE can intermediate basic authentication to prevent thi
393. les Folgendes an e Policy applies to ALL roles Hiermit gilt die Richtlinie f r alle Benutzer e Policy applies to SELECTED roles Hiermit gilt die Richtlinie nur f r Benutzer die zu Rollen in der Liste Selected roles zugeordnet sind Dieser Liste m ssen Rollen aus der Liste Available roles hinzugef gt werden e Policy applies to all roles OTHER THAN those selected below Hiermit gilt die Richtlinie f r alle Benutzer au er den Benutzern die zu Rollen in der Liste Selected roles zugeordnet sind Dieser Liste m ssen Rollen aus der Liste Available roles hinzugef gt werden NetScreen Instant Virtual Extranet Plattform 371 Administrationshandbuch 6 Geben Sie im Bereich Action Folgendes an e Allow access Hiermit erlauben Sie den Zugriff auf die Ressourcen die in der Liste Resources aufgef hrt sind e Deny access Hiermit verweigern Sie den Zugriff auf die Ressourcen die in der Liste Resources aufgef hrt sind e Use Detailed Rules Hiermit definieren Sie Regeln fur Ressourcenrichtlinien die die angegebenen Ressourcen zusatzlich einschranken Weitere Informationen finden Sie unter Schreiben einer detaillierten Regel auf Seite 52 7 Klicken Sie auf Save Changes 8 Ordnen Sie die Richtlinien auf der Seite Network Connect Access Policies in der Reihenfolge an in der sie vom IVE ausgewertet werden sollen Hinweis Wenn das IVE die Ressource die von einem Benutzer angefordert wurde zu einer Ressource in der L
394. lge auff hren zeigt das IVE die benutzerdefinierte Anmeldeseite f r Joe immer dann an wenn Joe ber den URL eigenefirma com marketing joe auf das IVE zugreift Joe wird die Marketinganmeldeseite nicht angezeigt obwohl sie als erste aufgef hrt und ausgewertet wird da der Pfadabschnitt seines URL nicht genau mit dem URL bereinstimmt der in der ersten Richtlinie definiert ist So ndern Sie die Reihenfolge in der die Anmelderichtlinien f r Administratoren ausgewertet werden 1 W hlen Sie in der Webkonsole System gt Signing In gt Sign in Policies aus 2 Wahlen Sie eine Anmelderichtlinie aus der Liste Administrator URL aus 3 ndern Sie die Position der Richtlinie in der Liste mithilfe der Pfeile nach oben oder nach unten 4 Klicken Sie auf Save Changes 208 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch EA NETSCREEN Central Manager Help Sign Out System D Status Signing In gt Configuration D Network elle Sign in Pages Servers D Clustering gt Log Monitoring Restrict access to administrators only Adminis IERE Only administrator URLs will be accessible Note that IVE Administrators can attempt to sign in even if all rules on ministrators this page are disabled gt Authentication gt Delegation Daiete Enable Dicabie 6 e __ Saye Changes Users gt Authentication ag Administrator URLs Sign In Page Authentication Realm s Enabled ew
395. lgendes aus 1 Konfigurieren Sie im Bereich Action die Aktion die ausgef hrt werden soll wenn die Benutzeranforderung einer Ressource in der Liste Resource entspricht optional Beachten Sie dass die auf der Registerkarte General angegebene Aktion standardm ig ubertra gen wird 2 Geben Sie im Bereich Resources eine der folgenden Optionen an erforderlich Die vollst ndige oder einen Teil der Ressourcenliste die auf der Registerkarte General angegeben ist e Einen bestimmten Pfad oder eine bestimmte Datei auf den Ser vern die auf der Registerkarte General angegeben sind Gegebe nenfalls k nnen Platzhalter verwendet werden Informationen zum Verwenden von Platzhaltern in einer Resources Liste finden Sie in der Dokumentation der entsprechenden Ressourcen richtlinie e Ein Dateityp dem gegebenenfalls ein Pfad vorangestellt ist oder geben Sie einfach Dateierweiterung an um Dateien mit der angegebenen Erweiterung innerhalb aller Pfade auf den Servern anzuzeigen die auf der Registerkarte General angegeben sind 54 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch 3 Geben Sie im Abschnitt Conditions mindestens einen Ausdruck an der f r die Ausf hrung der Aktion ausgewertet wird optional e Boolesche Ausdr cke Schreiben Sie unter Verwendung von Systemvariablen mindestens einen boolschen Ausdruck mit den Operatoren NOT OR oder AND Eine Liste der in Ressourcenricht linien verf gbaren Va
396. licht somit die Einzelanmeldung Single Sign In f r andere Intranetsites NetScreen Instant Virtual Extranet Plattform 141 Administrationshandbuch Wenn Sie die Option f r die Einzelanmeldung ausw hlen stellt das IVE sicher dass die Anmeldeinformationen nur innerhalb des Firmenintranets weitergeleitet werden e NetScreen Communication Protocol NCP f r Client Server Anwendungen Das Instant Virtual Extranet verwendet das NetScreen Communication Protocol NCP f r die Kommunikation zwischen dem IVE Server und ei nigen Clientanwendungen z B Secure Meeting W SAM Windows Version des Secure Application Manager und Network Connect Das IVE kann zwei Versionen dieses Protokolls verwenden optimiertes NCP oNCP und Standard NCP Wenn Sie Auto select Enabled ausw hlen optimiert das IVE die Systemleistung indem es f r einen Gro teil der Client Server Kommunikation oNCP verwendet und ggf zu Standard NCP wechselt 1 Das IVE verwendet haupts chlich dann Standard NCP wenn keine direkte Socketverbindung her gestellt werden kann im Allgemeinen weil ein Proxy vorhanden ist NetScreen Instant Virtual Extranet Plattform Administrationshandbuch EA NETSCREEN Central Manager System Status Configuration Network Clustering Log Monitoring PITIT ee OO Signing In Administrators gt Authentication gt Delegation Users gt Authentication gt Roles gt New User Resource Policies Web Fi
397. licken Sie auf Save Changes Der Benutzerdatensatz wird der IVE Datenbank hinzugef gt 324 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch EA NETSCREEN Central Manager Help Sign Out System Status New Local User Configuration Network Username Clustering Log Monitoring Fullname Sign paia Authenticate using empHQ IVYEadmins v Administrators gt Authentication Password gt Delegation Confirm Password Users gt Authentication D Roles Save Changes EIER TIERE ee ee Abbildung 95 Users gt New User NetScreen Instant Virtual Extranet Plattform 325 Administrationshandbuch Konfigurieren der Seite Web Die Seite Resource Policies gt Web enth lt die folgenden Registerkarten Registerkarte ACCESS nee een a 330 Registerkarte Caching gt Policies 0022200022200002n0n nennen nennen nnnnne nennen 331 Registerkarte Caching Oplions anna ae nae 335 Registerkarte Java gt Access Control u0 220000220sesnnnnennnnnennnnnennnnne nennen 336 Registerkarte Java gt Code Signing ccccssssccccssssecececeeseeecaueeeeeecseseeecssaaaeees 337 Registerkarte Rewriting gt Selective Rewriting 200222200222nseneeneenennennnn 339 Registerkarte Rewriting gt Pass through Proxy uunsssesnesnennenneennnnennnnnn nennen 340 Registerkarte Remote SSO gt Form POST 2 0022
398. linie f r IP Adresspools f r die unterschiedli chen Netzwerkadressen die von den einzelnen Knoten im Cluster ver wendet werden e Geben Sie f r jeden Knoten im Cluster einen IP Filter an der nur die f r den Knoten verf gbaren Netzwerkadressen herausfiltert 370 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Erstellen Sie f r den Router einen Zeiger f r die IP Adresse des internen Ports jedes Clusterknotens Alle vom Router angegebenen IP Adressen m ssen sich im gleichen Subnetzwerk befinden wie der jeweilige Clusterknoten Registerkarte Access ber die Registerkarte Access k nnen Sie eine Network Connect Ressourcenrichtlinie schreiben die angibt mit welchen Ressourcen Benutzer ber Network Connect eine Verbindung herstellen d rfen VI Schreiben einer Ressourcenrichtlinie f r Network Connect Zugriff So schreiben Sie eine Ressourcenrichtlinie f r Network Connect Zugriff 1 Wahlen Sie in der Webkonsole Resource Policies gt Network Connect gt Access aus Klicken Sie auf der Seite Network Connect Access Policies auf New Policy Geben Sie auf der Seite New Policy Folgendes ein 1 Eine Bezeichnung f r diese Richtlinie 2 Eine Beschreibung der Richtlinie Optional Geben Sie im Bereich Resources die Ressourcen an f r die diese Richtlinie gelten soll Weitere Informationen finden Sie unter Angeben von Serverressourcen auf Seite 50 Geben Sie im Bereich Ro
399. linie f r das selektive Neuschreiben wenn das IVE den Datenverkehr von Websites vermitteln soll die sich au erhalb des Firmennetzwerks befinden z B yahoo com oder wenn das IVE keinen Datenverkehr f r Client Serveranwendungen vermitteln soll die Sie als Webressourcen bereitgestellt haben z B Microsoft OWA Outlook Web Access lV Schreiben einer Ressourcenrichtlinie fur selektives Neuschreiben So schreiben Sie eine Ressourcenrichtlinie fur selektives Neuschreiben 1 Wahlen Sie in der Webkonsole Resource Policies gt Web gt Rewriting gt Selective Rewriting aus Klicken Sie auf der Seite Web Rewriting Policies auf New Policy 3 Geben Sie auf der Seite New Policy Folgendes ein 1 Eine Bezeichnung fur diese Richtlinie 2 Eine Beschreibung der Richtlinie Optional 4 Geben Sie im Bereich Resources die Ressourcen an fur die diese Richtlinie gelten soll Weitere Informationen finden Sie unter Angeben von Webressourcen auf Seite 46 5 Geben Sie im Bereich Roles Folgendes an e Policy applies to ALL roles Hiermit gilt die Richtlinie fur alle Benutzer e Policy applies to SELECTED roles Hiermit gilt die Richtlinie nur fur Benutzer die zu Rollen in der Liste Selected roles zugeordnet sind Dieser Liste m ssen Rollen aus der Liste Available roles hinzugef gt werden e Policy applies to all roles OTHER THAN those selected below Hiermit gilt die Richtlinie f r alle Benutzer au er den Benutzern die zu
400. liste auf der IVE Anmeldeseite ausw hlt 2 Das IVE sendet die gesch tzte Ressource die dem ausgew hlten Bereich zugeordnet ist an SiteMinder 3 SiteMinder bestimmt anhand der Ressource die Art des Authentifizierungsschemas die verwendet werden soll und die Sicherheitsebene des Benutzers 4 Das IVE sammelt die f r das Authentifizierungsschema erforderlichen Anmeldinformationen und leitet sie zur Authentifizierung an SiteMinder weiter Automatische Anmeldung beim IVE mithilfe von SiteMinder Authentifizierung Um Einzelanmeldung vom IVE bei SiteMinder zu erm glichen muss ein Web Agent SMSESSION Cookies erstellen und an den Browser des Benutzers senden SMSESSION Cookies k nnen auf zwei Wegen erstellt und an den Browser des Benutzers bermittelt werden Entweder durch 1 Die SiteMinder Authentifizierung ber clientseitige Zertifikate l uft getrennt von der IVE Authentifizierung ber clientseitige Zertifikate 2 Wenn Benutzern nicht die IVE Standardanmeldeseite angezeigt werden soll k nnen Sie diese mit den Funktionen zum Anpassen der Benutzeroberfl che ndern die Ihnen auf der NetScreen Supportseite zur Verf gung stehen 250 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch SiteMinder oder durch den benutzerdefinierten IVE Web Agent mithilfe des folgenden Verfahrens e Authentifizierung anhand des benutzerdefinierten Agent Seite 257 Die IVE appliance verwendet einen benutzerdefiniert
401. lldatei weniger als 5000 Protokollmeldungen enth lt werden ltere Protokollmeldungen aus der Sicherungsprotokolldatei ge ffnet sodass insgesamt 5000 Protokollmeldungen angezeigt werden Dabei werden die Protokollda 96 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch teien wie eine einzige Datei angezeigt obwohl sie aufgrund der konfigurier ten maximalen Dateigr e getrennt gespeichert sind Wichtig Wenn Sie die Protokollmeldungen speichern oder die FTP Archivie rungsfunktion auf der Seite Maintenance gt Archiving verwenden m chten wird die Sicherungsprotokolldatei an die aktuelle Protokolldatei angeh ngt und beide werden anschlie end als eine Protokolldatei heruntergeladen Wenn die Proto kolldateien nicht archiviert oder gespeichert werden gehen die ltesten Protokoll meldungen in der Sicherungsprotokolldatei gespeichert beim n chsten Verschieben der aktuellen Protokolldatei in die Sicherungsprotokolldatei verloren Au erdem k nnen Sie das IVE mit einem Netzwerkverwaltungstool wie HP OpenView als SNMP Agent berwachen Das IVE unterst tzt SNMP v2 implementiert eine private MIB Management Information Base und defi niert eigene Traps Um die Verarbeitung dieser Traps in der Netzwerkver waltungsstation zu erm glichen m ssen Sie die NetScreen MIB Datei herunterladen und die entsprechenden Angaben zum Empfangen der Traps machen Hinweis Zum berwachen wesentlicher IVE Systemstatistik
402. lokaler Benutzer Wenn Sie als Typ des Authentifizierungsservers IVE Authentication aus wahlen mussen Sie fur diese Datenbank Datensatze fur lokale Benutzer definieren Ein Datensatz fur einen lokalen Benutzer besteht aus einem Benutzernamen dem vollstandigen Namen und dem Kennwort des Benut zers Datens tze f r lokale Benutzer k nnen f r Benutzer erstellt werden die normalerweise von einem externen Authentifizierungsserver berpr ft werden den Sie deaktivieren m chten Dies bietet sich auch an wenn Sie schnell eine Gruppe von tempor ren Benutzern erstellen m chten So erstellen Sie lokale Benutzerdatens tze f r die lokale IVE Authentifizierung 1 F hren Sie in der Web console einen der folgenden Vorg nge aus e Wahlen Sie System gt Signing In gt Servers aus und klicken Sie auf die IVE Datenbank der Sie ein Benutzerkonto hinzuf gen m chten Klicken Sie auf die Registerkarte Users und dann auf New e Wahlen Sie Users gt New User aus 2 Geben Sie den Benutzernamen den vollstandigen Namen des Benutzers und ein Kennwort ein Hinweis e In Benutzernamen darf die Zeichenkombination nicht enthalten sein e Wenn Sie den Benutzernamen eines Benutzers nach dem Erstellen seines Kontos ndern m chten m ssen Sie ein neues Konto erstellen 3 Nur auf der Seite Users gt New User W hlen Sie aus der Liste Authenticate Using die IVE Datenbank aus der Sie ein Benutzerkonto hinzuf gen m chten 4 K
403. lp Sign Out Web Proxy Settings Access Caching Java Rewriting Remote SSO EAJ JIES Policies Settings Web Proxy Server Information Address can be 3 fully qualified domain name e g Address Port proxy net or an IP Unqualified Hostnames T Send requests specified without a domain name e g servername not servername domain com to the web proxy Save Changes Save Changes Abbildung 101 Resource Policies gt Web gt Web Proxy gt Settings 350 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch NetScreen Instant Virtual Extranet Plattform 351 Administrationshandbuch Konfigurieren der Seite Files Die Seite Resource Policies gt Files enth lt die folgenden Registerkarten Registerkarte Windows gt Access ccccceccceseecseeeceseceeeecaueeceueeseeeessueeseeeesanes 352 Registerkarte Windows gt Credentials 2200002220022220 00 nennen nnnnnenennnenen 355 Registerkarte UNPYNFS Teenie 358 Registerkarte EN COGING u an 360 Auf der Seite Resource Policies gt Files k nnen Sie Folgendes durchf hren Schreiben einer Ressourcenrichtlinie f r Windows ZuO iff ccceceeeeeeeeeees 352 Schreiben einer Ressourcenrichtlinie f r Windows Anmeldeinformationen 355 Schreiben einer UNIX NFS Ressourcenrichtlinie c ccecescecececececeeeeecereress 358 Angeben der Codierung f r die Internati
404. ltiges clientseitiges Zertifikat verf gen m ssen um auf eine IVE Anmeldeseite oder eine Ressource zugreifen oder einer Rolle zugeord net werden zu k nnen Wenn Sie dieses Feature verwenden stellen Sie sicher dass Sie ein Stammzertifikat importieren um das clientseitige Zerti fikat zu berpr fen Um die Sicherheit dieses Features zu optimieren soll ten die Clienteinstellungen eines Benutzers so festgelegt werden dass der Benutzer bei jeder Anmeldung ein Kennwort eingeben muss In der Stan dardeinstellung wird bei einigen Browserversionen das Zertifikatkennwort gespeichert d h der Benutzer wird nach Installation des Zertifikats nicht zur Eingabe dieser zus tzlichen Anmeldeinformationen aufgefordert 432 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Iv Angeben clientseitiger Zertifikateinschrankungen So geben Sie Zertifikateinschrankungen auf den unterschiedlichen Ebenen an e Bereichsebene Navigieren Sie zu e Administrators gt Authentication gt Ausgew hlter Bereich gt Authentication Policy gt Certificate e Users gt Authentication gt Ausgew hlter Bereich gt Authentication Policy gt Certificate e Rollenebene Navigieren Sie zu e Administrators gt Delegation gt Ausgew hlte Rolle gt General gt Restrictions gt Certificate e Users gt Authentication gt Ausgew hlter Bereich gt Role Mapping gt Ausgew hltelerstellte Regel gt Benutzerdefinierter Ausdruck e Use
405. lungen gt Netzwerk und DFU Verbindungen gt LAN Verbindung und dann Eigenschaften aus W hlen Sie Internetprotokoll TCP IP aus und klicken Sie dann auf Eigenschaften Klicken Sie auf Erweitert und dann auf die Registerkarte DNS Klicken Sie auf Diese DNS Suffixe anh ngen und dann auf Hinzuf gen F gen Sie die internen Dom nen Ihres Unternehmens als zus tzliche DNS Suffixe hinzu Iv Konfigurieren eines PCs der die Verbindung mit dem IVE uber einen Proxywebserver herstellt Dieses Verfahren kann jedoch nur angewendet werden wenn der PC eines Remotebenutzers so konfiguriert ist dass in Internet Explorer ein Web proxy verwendet wird Dieses Verfahren gewahrleistet dass Clientanwen dungen eine Verbindung mit Secure Application Manager herstellen statt zu versuchen eine Verbindung mit dem Webproxy herzustellen So konfigurieren Sie einen PC der in Internet Explorer eine Verbindung mit dem IVE ber einen Webproxy herstellt 1 W hlen Sie in Internet Explorer im Men Extras die Option Internetoptionen aus Klicken Sie auf der Registerkarte Verbindungen auf die Schaltfl che LAN Einstellungen Klicken Sie unter Proxyserver auf die Schaltfl che Erweitert 4 Geben Sie unter Ausnahmen die Adressen ein fur die kein Proxyserver verwendet werden soll Geben Sie alle Adressen Hostnamen und localhost ein die die Clientanwendung beim Herstellen einer Verbindung ber Secure Application Manager verwendet
406. luster ber die Webkonsole Ein werkseitig eingestelltes oder konfiguriertes IVE kann einem Cluster erst hinzugef gt werden wenn dem Cluster dessen Identit t bekannt ist Anweisungen zur Angabe eines IVE dass einem Cluster hinzugef gt werden soll finden Sie unter Angeben eines neuen Clustermitglieds auf Seite 170 Wichtig Wenn Sie ein eigenst ndiges IVE ber die Webkonsole zu einem Cluster hinzuf gen m chten muss dieses ber die gleiche Lizenz verf gen wie die anderen Mitglieder Au erdem muss das gleiche Dienstpaket auf der gleichen Hardwareplattform wie bei den anderen Mitgliedern ausgef hrt werden So f gen Sie ein IVE ber die Webkonsole einem Cluster hinzu 1 W hlen Sie in der Webkonsole eines bestehenden Clustermitglieds die Registerkarte System gt Clustering gt Status aus und geben Sie das IVE an das dem Cluster hinzugef gt werden soll Weitere Informationen finden Sie unter Angeben eines neuen Clustermitglieds auf Seite 170 Verfahren Sie folgenderma en in der Webkonsole des IVE das einem Cluster hinzugef gt werden soll 1 W hlen Sie die Registerkarte System gt Configuration gt Licensing aus und geben Sie den Lizenzcode ein um die Clusterfunktion zu aktivieren 2 W hlen Sie die Registerkarte System gt Clustering gt Join aus und geben Sie Folgendes ein e Die Bezeichnung des Clusters dem das IVE beitreten soll e Das Clusterkennwort das Sie beim Definieren des Clusters
407. m 414 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch EAT 722777777 Central Manager Help Sign Out al Troubleshooting D Status D Configuration Policy Session System TCP ne Remote D Network Tracing Recording Snapshot Dump Debugging z Cluster Occasionally users may encounter a Web site that is not displayed properly when viewed through the D Log MonKanae IVE Determining the cause of such problems and resolving them can be simplified by examining a D Signing In comprehensive trace generated while browsing the problem site This page allows you to record such a Administrators trace for a given user D Authari After the user has browsed the problem site you should turn recording off inspect the trace file and D Delegation then send the trace file to NetScreen Support for review Note that users will be notified they are Users being recorded and starting a trace will force a signed in user to sign in again gt Authentication D Rolas Record Trace File Current Trace File D New User Status Recording Trace file Recording Resource Policies Username to record mike Ben Stop Recording D Files n maus Abbildung 122 Maintenance gt Troubleshooting gt Session Recording Registerkarte System Snapshot V Erstellen eines Snapshots des IVE Systemstatus Auf dieser Registerkarte k nnen Sie einen Snapshot des IVE Systemstatus erstellen Wenn Sie diese Option verwenden f h
408. m gt Configuration k nnen Sie die folgenden Aufgaben durchf hren Eingeben oder Aktualisieren einer IVE Lizenz u 44024404Bennn nenne nennen 138 Festlegen von systemweiten Sicherheitsoptionen 22220022220022nen 22 140 Erstellen einer globalen Hostpr fung Richtlinie 2000222002se nennen 143 Angeben globaler Einstellungen f r die Cachebereinigung 146 Importieren eines vorhandenen Serverzertifikats und eines privaten Schl ssels 147 Importieren eines erneuerten Serverzertifikats das den vorhandenen privaten Schl ssel verwendelya 22 2 222 222 ee una 150 Erstellen einer Zertifikatssignaturanforderung fur ein neues Serverzertifikat 151 Importieren eines signierten Serverzertifikats das anhand einer Zertifikatssignaturanforderung erstellt wurde ccccseeeeeeeeeeeeeeeeeeeeeeeaeeeeeeeeanes 152 Importieren eines Stammzertifikats zur berpr fung clientseitiger Zertifikate 153 Importieren eines Codesignaturzertifikats uu0s44444400240Rne nn ennne nennen nenn 155 Registerkarte Licensing Das IVE enth lt eine Lizenz f r den Standardzugriff auf das IVE Um das System im vollen Umfang nutzen zu k nnen m ssen Sie sich jedoch an der Webkonsole anmelden und die Lizenzen eingeben die Sie per E Mail von NetScreen erhalten haben Die E Mail kann bis zu drei unterschiedliche Arten von Lizenzen e
409. m auf den Registerkarten f r Rollen mit der Konfiguration zu beginnen Die Seite Users gt Roles enth lt die folgenden Registerkarten Registerkarte General gt Overview eensesesssssesnsnnnnnnnnenennnnnnnnnonnnnnnonnnnennennnenn 286 Registerkarte General gt Restrictions 0222200022000022nnonnnnne nenne nennen 287 Registerkarte General gt Session Options u000222000220neennnnennnnne nennen 289 Registerkarte General gt Ul Options 222000222000220000nennn nenne nennen nennen 293 Registerkarte Web gt Bookmarks 222002240020000nenee nenne nenne nenne nenne nennen 294 Registerkarte Web gt Options u00222000222000nennnonnnnne nenne nennen nnnnne nennen 296 Registerkarte Files gt Windows Bookmarks 0s22402220002000 nenne nnnne nennen 299 Registerkarte Files gt UNIX Bookmarks 0222402220002200nnenennene nenne nennen nennen 301 Registerkarte Files gt Options s 22u0022200enennnennnnnennnnnennnnnennnnne nenne nennen 302 Registerkarte SAM gt Applications 022200022220022nnnennnnnennnnne nenne nennen 304 Registerkarte SAM gt Options 02222u0022200onennnennnnnennnnne nenne nenne nenne nennen 312 Registerkarte Telnet SSH gt Sessions 2222000202000nsnnnnnnnnnnnennnonnnnnenennnenn 315 Re
410. mit mehreren Einheiten im AKtiv AKtiv MOUS 0cccceeccceeeeceeeeceseeceeeeceececeececeeceeeeeteaeeteneeteneeteneeteeeteeeneeees 78 Stat ssynchronisierung 2 22 22 179 Bereitstellen eines Clusters in einer Access Series FIPS Umgebung 81 Bereitstellen eines Clusterpaars im Aktiv Passiv Modus Die NetScreen Access 1000 3000 und 5000 Plattformen k nnen als Clusterpaar im Aktiv Passiv Modus bereitgestellt werden In diesem Modus bearbeitet ein IVE aktiv Benutzeranforderungen w hrend das andere IVE passiv im Hintergrund ausgef hrt wird um Statusdaten einschlie lich Systemstatus Benutzerprofil und Protokollmeldungen zu synchronisieren Benutzeranforderungen an die Cluster VIP werden an das aktive IVE gelei NetScreen Instant Virtual Extranet Plattform 77 Administrationshandbuch tet Wird das aktive IVE offline geschaltet beginnt das Standby IVE auto matisch mit der Bearbeitung der Benutzeranforderungen Die Benutzer m ssen sich nicht neu anmelden IVE Sitzungsdaten die ein paar Sekun den vor der Offline Schaltung des aktiven Ger ts eingegeben wurden bei spielsweise Cookies und Kennw rter werden jedoch m glicherweise nicht in das aktuelle IVE Feld synchronisiert In diesem Fall m ssen sich die Benut zer an den Back End Webservern neu anmelden Die folgende Abbildung zeigt eine IVE Clusterkonfiguration vom Typ Aktiv Passiv mit zwei IVEs f r die externe Ports aktiviert sind Dieser Modus erh h
411. muss das folgende Format aufweisen a b c d Die beiden vorangehenden umgekehrten Schragstriche sind erfor derlich e Freigabe optional Wenn keine Freigabe angegeben ist wird von einem Sternchen aus gegangen was bedeutet dass ALLE Pfade zutreffen Die Systemvariable lt USER gt darf verwendet werden e Pfad optional Sonderzeichen sind zulassig einschlieBlich Entspricht einem beliebigen Zeichen Entspricht einem beliebigen Zeichen au er einem umgekehrten Schr gstrich Entspricht genau einem Zeichen Wenn kein Pfad angegeben ist wird von einem umgekehrten Schr g strich ausgegangen d h es werden nur die Ordner der obersten Ebene ber cksichtigt Beispiele e danastreet net share lt USER gt e netscreen com dana e 10 11 0 10 share web e 10 11 254 227 public doc NetScreen Instant Virtual Extranet Plattform 49 Administrationshandbuch Angeben von UNIX NFS Dateiressourcen Kanonisches Format Server Pfad Die beiden Bestandteile sind e Server erforderlich M gliche Werte e Hostname Die Systemvariable lt USER gt kann verwendet werden e IP Adresse Die IP Adresse muss das folgende Format aufweisen a b c d Die beiden vorangehenden umgekehrten Schragstriche sind erforderlich e Pfad optional Sonderzeichen sind zulassig einschlieBlich Entspricht einem beliebigen Zeichen Entspricht einem beliebigen Zeichen au er einem umgekehrten Schrag
412. mustern f r die einzelnen Rollen entspricht denen der Benutzer durch das IVE zugeordnet werden kann Wenn die Benutzer Agent Zei chenfolge nicht den Zulassungsanforderungen f r eine Rolle entspricht ordnet das IVE den Benutzer nicht zu dieser Rolle zu Administratoren konfigurieren diese Sicherheitsanforderung folgender ma en Administrators gt Delegation gt Ausgew hlte Rolle gt General gt Restrictions gt Browser Benutzer konfigurieren diese Sicherheitsanforderung folgenderma en Users gt Authentication gt Ausgew hlter Bereich gt Role Mapping gt Ausgew hltelErstellte Regel gt Benutzerdefinierter Ausdruck oder so Users gt Roles gt Ausgew hlte Rolle gt General gt Restrictions gt Browser Bei Anforderung einer Ressource durch einen Benutzer Der authentifizierte autorisierte Benutzer kann eine Ressourcenanforde rung nur von einem Browser durchf hren dessen Benutzer Agent Zei chenfolge mit den Zulassungsanforderungen f r die Ressourcenrichtlinie bereinstimmt die f r die Benutzeranforderung gilt Wenn die Benutzer Agent Zeichenfolge nicht den Zulassungsanforderungen f r eine Ressource entspricht verweigert das IVE dem Benutzer den Zugriff auf die Ressource NetScreen Instant Virtual Extranet Plattform 29 Administrationshandbuch Benutzer konfigurieren diese Sicherheitsanforderung folgenderma en Resource gt Ausgew hlte Ressource gt Ausgew hlte Richtlinie gt Detailed Rules gt Au
413. n Im Feld Remote Server den vollst ndig qualifizierten Dom nennamen oder die IP Adresse des Servers beispielsweise terminalserver netscreen com e Im Feld Client Port den Port der von J SAM auf Datenverkehr von Clients zum Server Uberwacht werden soll beispielsweise 3389 e Im Feld Server Port den Port den der Remoteserver auf Datenverkehr von der Clientanwendung J SAM berwachen soll beispielsweise 3389 3 Klicken Sie auf Add um die Informationen zu speichern 4 Schlie en Sie das Secure Application Manager Browserfenster 5 Klicken Sie auf der Seite IVE Client Applications auf Start Session um Secure Application Manager neu zu starten 6 Klicken Sie im Secure Application Manager Browserfenster auf Details 7 Sehen Sie auf der Registerkarte Details nach welche Loopback Adresse das IVE dem Remoteserver zugewiesen hat beispielsweise 127 0 1 18 8 Geben Sie in der Clientanwendung beispielsweise Remote Desktop Connection die Loopback Adresse im Konfigurationsfeld f r den Server an Dieses Feld wird in den einzelnen Anwendungen an unterschiedlicher Stelle angezeigt Benutzer k nnen diese Angaben ber einen Setup Assistenten oder ein sonstiges Dialogfeld f r die Konfiguration eingeben Erweiterte Unterst tzung f r MS Exchange Remotebenutzer k nnen den Microsoft Outlook Client auf ihren PCs zum Zugrei fen auf E Mail ihre Kalender und andere Outlook Funktionen ber das IVE ver wenden Daf r m ssen keine
414. n mit dem das NetScreen Instant Virtual Extranet zu vermittelnde Applets neu signiert 12 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Folgende Codesignaturzertifikate werden unterst tzt Microsoft Authenticode Zertifikat Mit diesem Zertifikat signiert das IVE Applets die ber MS JVM oder SUN JVM ausgef hrt werden Beachten Sie dass nur von Verisign ausge stellte Microsoft Authenticode Zertifikate unterst tzt werden JavaSoft Zertifikat Mit diesem Zertifikat signiert das IVE Applets die ber SUN JVM ausge f hrt werden Beachten Sie bei der Auswahl des zu importierenden Codesignatur zertifikats folgende Browserabh ngigkeiten Internet Explorer Auf neuen Computern auf denen bei der Lieferung Windows XP vorinstal liert ist wird in Internet Explorer normalerweise die SUN JVM ausgef hrt Dies bedeutet dass Applets vom IVE mit dem JavaSoft Zertifikat neu signiert werden m ssen Auf PCs unter Windows 98 oder 2000 oder auf PCs die auf Windows XP aktualisiert wurden wird in Internet Explorer normalerweise die MS JVM ausgef hrt Dies bedeutet dass Applets vom IVE mit einem Authenti code Zertifikat neu signiert werden m ssen Netscape Netscape Browser unterst tzen nur die SUN JVM Dies bedeutet dass Applets vom IVE mit dem JavaSoft Zertifikat neu signiert werden m ssen Weitere Hinweise f r Benutzer der SUN JVM Standardm ig werden Applets vom Java Plug In zusammen mi
415. n 213 229 lokale Authentifizierung 235 Konfiguration 213 263 NIS Server Konfiguration 241 RADIUS 243 ACE Server Protokoll 216 Attribute konfigurieren 277 SiteMinder 252 255 Einzelanmeldung 250 bersicht 247 unterst tzte Versionen 248 bersicht 212 vorkonfigurierte Server 5 Zertifikatserver Definition 69 Konfiguration 225 zu Bereich zuordnen 274 Authentifizierungsvermittlung konfigurieren 140 Autorisierungsgruppe Anmeldeeinschr nkungen ber IP 428 434 435 ber Zertifikat 432 433 Lesezeichen f r das Web erstellen 295 296 299 302 312 315 316 322 unter UNIX erstellen 301 Autorisierungsserver Siehe Authentifizierungsserver B Basis Authentifizierungsvermittlung konfigurieren 140 Befehle UNIX 417 Benachrichtigungs E Mails Siehe Secure Meeting Benachrichtigungs E Mails Benutzer Benutzeradministratoren authentifizieren 213 Definition 238 Aktivit t anzeigen 126 Anmeldeeinschr nkungen ber Browser 429 ber Zertifikat 432 433 Anmeldeinformationen vermitteln 141 Attribute konfigurieren 277 Beenden erzwingen 132 clientseitiges Zertifikat erforderlich 70 153 Codesignaturzertifikat f r 71 Daten Export 395 Import 397 Erstellung 236 H chstanzahl 275 Konten Export 393 Import 393 Kontoverwaltung 237 PCs konfigurieren 310 311 Profildaten 80 Rolle Definition 55 Sitzungen berwachen 131 Sitzungsdaten 80 berwachung 131 Benutzerdefinierte Ausdr cke verwenden 278 Benutzer Rolle Siehe auch
416. n Fall eines Systemausfalls und Stateful Peering durch das die Benutzereinstellungen die Systemeinstellungen und die Sitzungs daten der Benutzer synchronisiert werden in einer Cluster Umgebung Einfache Firewallrichtlinien Von au en ist nur SSL Zugriff auf die IVE Appliance erforderlich Ressourcenzugriffskontrolle auf der Ebene der Dateien und URLs die das IVE 4 0 Zugriffsverwaltungssystem verwenden Authentifizierungs bereiche Benutzerrollen und Ressourcenrichtlinien Zentralisierte Protokollierung auf Anwendungsebene durch die Admini strator und Benutzeraktionen Verbindungs Datei und Webanforde rungen sowie Systemfehler verfolgt werden Systemsoftwareaktualisierungen ber das Internet SNMP und DMZ Unterst tzung NetScreen Instant Virtual Extranet Plattform 9 Administrationshandbuch Access Series FIPS bersicht FIPS oder Federal Information Processing Standards Bundesstan dards f r Informationsverarbeitung sind Bestimmungen des NIST National Institute of Standards and Technology f r die Behandlung von Schl sseln und verschl sselten Daten NetScreen Access Series FIPS ist ein Standard A5000 oder A3000 NetScreen Instant Virtual Extranet das mit einem Kryptographiemodul mit FIPS Zertifikat ausger stet ist Das auf einem Access Series FIPS System installierte manipulationssichere Hard waresicherheitsmodul erf llt die Sicherheitsanforderungen des FIPS 140 2 Zertifikats der Ebene 3 Das
417. n Gateway im Thema Hinzuf gen ndern und L schen von Benutzern d h in der ber das IVE verf gbaren Benutzerhilfe 240 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch NetScreen Instant Virtual Extranet Plattform 241 Administrationshandbuch Konfigurieren einer NIS Serverinstanz Beim Authentifizieren von Benutzern mit einem UNIX NIS Server berpr ft der IVE ob der auf der Anmeldeseite eingegebene Benutzername und das Kennwort einem g ltigen Paar aus Benutzer ID und Kennwort auf dem NIS Server entsprechen Beachten Sie dass der an das IVE gesendete Benutzername keine zwei aufeinander folgenden Tilden enthalten darf Hinweis Sie k nnen NIS Authentifizierung nur mit dem IVE verwenden wenn die Kennw rter auf dem NIS Server im Crypt oder MD5 Format gespeichert sind Au erdem k nnen Sie dem IVE nur eine NIS Serverkonfiguration hinzuf gen mit der jedoch eine beliebige Anzahl von Bereichen authentifiziert werden k nnen i Festlegen einer NIS Serverinstanz So definieren Sie eine NIS Serverinstanz 1 W hlen Sie in der Web console System gt Signing In gt Servers aus 2 F hren Sie einen der folgenden Vorg nge aus e Um eine neue Serverinstanz auf dem IVE zu erstellen w hlen Sie aus der Liste New den Eintrag NIS Server aus und klicken Sie dann auf New Server e Klicken Sie zum Aktualisieren einer vorhandenen Serverinstanz auf die entsprechende Verkn pfung in der List
418. n Serverzertifikat mit Platz halter in folgendem Format in das IVE hochladen domaene de Wenn das IVE beispielsweise iveserver firmenname de lautet muss der Hostnamenalias im Format anwserver firmenname de und mit Platzhalter im Format firmenname de angegeben werden Wenn Sie kein Zertifikat mit Platzhalter verwenden stellt der Browser eines Clients eine Warnung zu einer Zertifikatsnamen berpr fung aus wenn ein Benutzer zu einem Anwendungsserver wechselt da der Hostnamenalias des Anwendungs servers nicht mit dem Zertifikatsdom nennamen bereinstimmt Dies hindert einen Benutzer jedoch nicht daran auf den Anwendungsserver zuzugreifen 104 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Beispiele Wenn das IVE den Namen iveserver firmenname de hat und Sie ber einen Oracle Server bei oracle firmennetzwerk net 8000 verf gen k nnten Sie diese Anwendungsparameter bei der Angabe eines IVE Ports angeben Server oracle firmennetzwerk net Port 8000 IVE Port 11000 Wenn das IVE Datenverkehr vom Oracle Client empf ngt der an iveserver firmenname de 11000 gesendet wurde leitet es den Verkehr an oracle firmennetzwerk net 8000 weiter Wenn Sie einen Hostnamenalias angeben m chten k nnen Sie die Anwen dung mit folgenden Parametern konfigurieren Server oracle firmennetzwerk net Port 8000 IVE Alias oracle firmenname de Wenn das IVE Datenverkehr vom Oracle Client empf ngt der an
419. n Sie auf der Seite New Policy Folgendes ein 1 2 Eine Bezeichnung f r diese Richtlinie Eine Beschreibung der Richtlinie Optional 4 Geben Sie im Bereich Resources die Ressourcen an f r die diese Richt linie gelten soll Weitere Informationen finden Sie unter Angeben von UNIX NFS Dateiressourcen auf Seite 49 5 Geben Sie im Bereich Roles Folgendes an Policy applies to ALL roles Hiermit gilt die Richtlinie f r alle Benutzer Policy applies to SELECTED roles Hiermit gilt die Richtlinie nur f r Benutzer die zu Rollen in der Liste Selected roles zugeordnet sind Dieser Liste m ssen Rollen aus der Liste Available roles hinzugef gt werden Policy applies to all roles OTHER THAN those selected below Hiermit gilt die Richtlinie f r alle Benutzer au er den Benutzern die zu Rollen in der Liste Selected roles zugeordnet sind Dieser Liste m ssen Rollen aus der Liste Available roles hinzugef gt werden 6 Geben Sie im Bereich Action Folgendes an Allow access Hiermit erlauben Sie den Zugriff auf die Ressourcen die in der Liste Resources aufgef hrt sind Aktivieren Sie Read only damit die Benutzer keine Dateien auf dem Server speichern k nnen Deny access Hiermit verweigern Sie den Zugriff auf die Ressourcen die in der Liste Resources aufgef hrt sind NetScreen Instant Virtual Extranet Plattform 359 Administrationshandbuch e Use Detailed Rules Hiermit geben Sie eine oder mehrere deta
420. n Sie unter Konfigurieren der Seite Log Monitoring auf Seite 187 98 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch NetScreen Instant Virtual Extranet Plattform 99 Administrationshandbuch Network Connect bersicht Die Aktualisierungsoption Network Connect bietet M glichkeiten zur Ver wendung eines VPN ohne Client und stellt somit ein weiteres Verfahren f r den Remotezugriff auf Unternehmensressourcen ber das IVE bereit Die ses Feature unterst tzt alle Modi f r den Internetzugang einschlie lich DF Verbindungen Breitband und LAN Szenarien vom Clientcomputer aus und funktioniert bei Vorhandensein clientseitiger Proxys und Firewalls die den SSL Datenverkehr ber Port 443 zulassen Wenn ein Benutzer Network Connect startet wird der gesamte Datenver kehr zum und vom Client ber den sicheren Network Connect Tunnel ber tragen Die einzige Ausnahme besteht f r Datenverkehr der von anderen IVE f higen Features initiiert wird z B Webbrowsing Navigieren durch Dateien und Telnet SSH Wenn Sie f r bestimmte Benutzer keine weiteren IVE Funktionen aktivieren m chten erstellen Sie eine Benutzerrolle f r die nur die Option Network Connect aktiviert ist Achten Sie darauf dass die Benutzer die dieser Rolle zugeordnet sind nicht noch weiteren Rollen zuge ordnet sind die weitere IVE Funktionen aktivieren Beim Ausf hren von Network Connect wird der Client wie ein Knoten im Remo
421. n auf Save Changes wenn es sich bei den Benutzern um PC Benutzer handelt Clientanwendungen m ssen Anwendungsserver zur IP Adresse eines localhost aufl sen Wenn Sie die automatische Hostzuordnung f r Benutzer von Remote PCs nicht aktivieren m chten oder wenn es sich bei Ihren Benutzern um Linux Benutzer handelt m ssen Sie Ihren externen DNS Server zum Aufl sen von Anwendungsservernamen zum localhost eines Benutzers konfigurieren Detaillierte Informationen finden Sie unter Konfigurieren der externen DNS Server und Benutzercomputer falls erforderlich auf Seite 310 6 Wenn der PC eines Remotebenutzers fur die Verwendung eines Webproxys in Internet Explorer eingerichtet ist konfigurieren Sie den Clientcomputer so dass der Proxyserver umgangen wird wenn der Benutzer Anwendungen startet die eine Verbindung mit Secure Application Manager herstellen mussen Weitere Informationen finden Sie unter Konfigurieren eines PCs der die Verbindung mit dem IVE uber einen Proxywebserver herstellt auf Seite 311 7 Fugen Sie dem IVE DNS Domanen hinzu wenn Sie Uber mehrere interne Dom nen verf gen zum Beispiel firma a com und firma b com sodass Namen wie zum Beispiel anwl firma a com und anw2 firma b com ordnungsgem aufgel st werden 1 Klicken Sie auf das Men Network gt Network Settings 2 F gen Sie unter DNS Name Resolution im Feld DNS Domains eine durch Kommas getrennte Liste der Dom nen hinzu 3 Klicken Sie auf Sa
422. n een nee 28 ZOMtiFIKAL cee ccccccccccececcceeeeeeeeeeeeeeceeeeeeeeeaeesseececeeeeeeaesaeesensecececeeeeeeaeaaenns 29 K SPINY ON ee E EE 30 FOS rO ee sc ee ee 31 Cachebereinigung 0cccccceeececceeeeeeccueseeeceueeecceuseseessaeeeecsuaneeessaaaes 32 Quell IP Sie k nnen den Zugriff auf das IVE und die Ressourcen anhand der Quell IP einschranken e Bei Anmeldung von Administratoren oder Benutzern am IVE Der Benutzer muss sich von einem Computer anmelden dessen Kombi nation aus IP Adresse und Netzmaske den angegebenen Quell IP Anfor NetScreen Instant Virtual Extranet Plattform 27 Administrationshandbuch derungen f r den ausgew hlten Authentifizierungsbereich entspricht Verf gt der Benutzercomputer nicht ber eine f r den Bereich erforderli che Kombination aus IP Adresse und Netzmaske leitet das IVE die An meldeinformationen des Benutzers nicht an den Authentifizierungsserver weiter und dem Benutzer wird der Zugriff auf das IVE verweigert Administratoren konfigurieren diese Sicherheitsanforderung folgender ma en Administrators gt Authentication gt Ausgew hlter Bereich gt Authentication Policy gt Source IP Benutzer konfigurieren diese Sicherheitsanforderung folgenderma en Users gt Authentication gt Ausgew hlter Bereich gt Authentication Policy gt Source IP Bei Zuordnung von Administratoren oder Benutzern zu einer Rolle Der authentifizierte Benutzer muss sich von einem Computer anm
423. n g ltiges clientseiti ges Zertifikat anfordern um sich beim IVE anzumelden 4 Sie k nnen den Benutzerzugriff ber die Men seiten Users weiter ein schr nken e Authentication gt Authentication Policy gt Certificate e Roles gt General gt Restrictions gt Certificate Sie k nnen auch den Administrator und delegierten Administratorzugriff uber die Menuseiten Administrators einschranken e Authentication gt Authentication Policy gt Certificate e Delegation gt General gt Restrictions gt Certificate Auf diesen Registerkarten k nnen Sie X 509 DN Attribute Distinguished Name angeben die fur die Authentifizierung erforderlich sind Dies k nnte beispielsweise erforderlich sein wenn Sie dasselbe Zertifikat zwar f r mehrere Rollen verwenden den Zugriff auf eine bestimmte Ressource jedoch dadurch beschr nken m chten dass das Zertifikat eines Benut zers bestimmte DN Attribute aufweisen muss Appletzertifikate Wenn das IVE ein signiertes Java Applet vermittelt signiert es das Applet mit einem eigenen Zertifikat neu das nicht mit einem Standardstammzerti fikat verkettet ist Wenn ein Benutzer ein Applet anfordert das Aufgaben mit einem hohen Risikopotential durchf hrt z B Zugreifen auf Netzwerk server wird im Browser des Benutzers in einer Sicherheitswarnung ange zeigt dass der Stamm nicht vertrauensw rdig ist Um die Anzeige dieser Warnung zu vermeiden k nnen Sie ein Codesignaturzertifikat importiere
424. n heruntergefahren IVE wurde soeben neu gestartet IVE kann den konfigurierten FTP Archivierungsserver nicht erreichen IVE kann sich nicht beim konfigurierten FTP Archivierungsserver anmelden IVE kann keine erfolgreiche bertragung des Archivs auf den konfigurierten FTP Archivierungsserver ausf hren NetScreen Instant Virtual Extranet Plattform 199 Administrationshandbuch EAT NETSCREEN Central Manager Help Sign Out System SNMP D Status D Configuration Events User Access Admin Access Statistics D Network gt Clustering MIB File a You must download the NetScreen MIB file and install it in your SNMP manager application to gt Sion monitor the IVE Administrators Agent Properties gt Authentication D Delegation Agent Status On Users System Name YourCompanylVE gt Auth System Location ServerRoom D Roles gt New User System Contact admin yourcompany con Resource Policies Community public gt Web pele Save Changes D SAM D Telnet SSH D Network Connect Traps D Meetings z gt Email Gian Specify the servers to which the IVE will send any traps it generates Maintenance Hostname IP Address Port Community optional D System D Import Export Add gt Push Config D Archiving gt Troubleshooting Abbildung 48 System gt Log Monitoring gt SNMP 200 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Registerkarte Statistics
425. n type URLs Allow Java applets Mask hostnames while browsing Unrewritten pages open in new window e Lesezeichenoptionen User can add bookmarks Auto allow role bookmarks e Cookieoptionen Persistent cookies Dateieinstellungen Aktivierung Deaktivierung der Dateizugriffsfunk tion Definition der Dateilesezeichen und Optionen f r die Dateinaviga tion Letzteres kann Folgendes umfassen e Windows Netzwerkdateien User can browse network file shares User can add bookmarks Users can add personal bookmarks to Windows folders e UNIX Netzwerkdateien User can browse network file shares User can add bookmarks Users can add personal bookmarks to UNIX NFS directories NetScreen Instant Virtual Extranet Plattform 57 Administrationshandbuch e Telnet SSH Einstellungen Aktivierung Deaktivierung der Zugriffs funktion Secure Terminal Access Lesezeichen f r Telnet SSH Sitzungs einstellungen f r diese Rolle und Telnet SSH Optionen Letzteres kann Folgendes umfassen e User can add sessions e Auto allow role Telnet SSH sessions e SAM Einstellungen Aktivierung Deaktivierung der Zugriffsfunktion Secure Application Manager J SAM W SAM Lesezeichen f r W SAM oder J SAM Anwendungen Letzteres kann Folgendes umfassen e Allgemeine Optionen f r Secure Application Manager Auto launch Secure Application Manager Auto uninstall Secure Application Manager Auto allow application servers e Optionen f r Windows SAM Auto upgrade
426. n von benutzerdefinierten Filtern und Formaten fur Protokolidateien Mithilfe der Optionen auf der Registerkarte Filters k nnen Sie angeben welche Daten in den Protokolldateien erfasst werden und welches Format verwendet wird Diese Option ist nur mit dem Central Manager Paket verf gbar 1 2 W hlen Sie in der Webkonsole System gt Log Monitoring aus Klicken Sie auf die Registerkarte Events User Access oder Admin Access und w hlen Sie dann Filters aus F hren Sie einen der folgenden Vorg nge aus e Um einen bestehenden Filter zu ndern klicken Sie auf seinen Namen e Um einen neuen Filter zu erstellen klicken Sie auf New Filter Geben Sie eine Bezeichnung f r den Filter ein Wichtig Wenn Sie ein Format ausw hlen und dann im Feld Filter Name eine neue Bezeichnung angeben erstellt das IVE kein neues benutzerdefiniertes Filterformat das auf dem bestehenden Format basiert Stattdessen berschreibt es das bestehende Format mit den von Ihnen vorgenommenen nderungen Klicken Sie auf Make Default um den ausgew hlten Filter als Standard Protokolldateityp festzulegen Sie k nnen f r die Ereignis Benutzerzugriffs und Administratorzugriffsprotokolle jeweils unterschiedliche Standardfilter einstellen Anhand der Optionen im Abschnitt Query k nnen Sie die Auswahl der Daten steuern die das IVE ins Protokoll schreibt 1 Klicken Sie im Abschnitt Start Date auf Earliest Date damit alle Protokolle ab dem ersten v
427. nachrichten Nachdem Secure Meeting die ActiveX Komponente oder das Java Applet auf dem Desktop des Benutzers gestartet hat wird der Benutzer zum Konferenz teilnehmer und kann sich an der Konferenz beteiligen Informationen ber das von Secure Meeting heruntergeladene ActiveX Steuerelement bzw Java Applet finden Sie unter Von Secure Meeting unterst tzte Umge bungen auf Seite 18 16 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Sobald ein Teilnehmer einer Konferenz beigetreten ist kann er im Fenster Secure Meeting Chat Textnachrichten an andere Teilnehmer senden Konferenzdurchf hrung Der Konferenzleiter ist f r das Starten der Konferenz verantwortlich und muss einen Vorf hrenden benennen Solange er einer Konferenz nicht bei getreten ist k nnen die anderen Teilnehmer nur chatten Sie k nnen keine Vorf hrung anzeigen oder durchf hren weil der Konferenzleiter standard m ig auch gleichzeitig Vorf hrende ist Er oder ein von ihm ernannter Teilnehmer startet die Konferenzvorf hrung indem er seinen Desktop oder einige Anwendungen f r die anderen Teilnehmer freigibt Nach der Freigabe durch den Vorf hrenden wird auf dem Desktop jedes Konferenzteilnehmers automatisch ein Konferenz Betrachter ge ffnet in dem die freigegebenen Anwendungen des Vorf hrenden angezeigt werden Der Konferenzleiter kann Teilnehmer ggf auch von der Konferenz aus schlie en die Konferenz verl ngern falls die
428. nachrichtigen lassen Hierzu werden die folgenden Daten an Net Screen gemeldet Name Ihrer Firma MD5 Hash Ihrer Lizenzeinstellungen und Informationen zur aktuellen Softwareversion Auf der Seite Options k nnen au erdem Beschleunigerkarten zur Leistungssteigerung aktiviert werden Hinweis Die Einstellungen f r die Beschleunigerkarte werden nur angezeigt wenn Sie ein A5000 IVE mit der entsprechenden Karte erworben haben So aktivieren Sie automatische Aktualisierungen und Beschleunigerkarten 1 W hlen Sie in der Web console Maintenance gt System gt Options aus NetScreen Instant Virtual Extranet Plattform 387 Administrationshandbuch 2 Aktivieren Sie das Kontrollk stchen Automatic Version Monitoring um automatisch ber wichtige Softwarepatches und aktualisierungen benachrichtigt zu werden Wichtig Zum Schutz Ihres Systems wird dringend empfohlen diesen automatischen Dienst zu aktivieren Sie k nnen ihn jedoch ggf auch deaktivieren 3 Aktivieren Sie das Kontrollk stchen SSL Accelerator damit die Ver und Entschl sselung von SSL Handshakes von der Appliance an die Beschleunigerkarte delegiert wird optional 4 Aktivieren Sie das Kontrollk stchen ZIP Accelerator damit alle HTML JavaScript und CSS Daten komprimiert werden auf die beim Webbrowsing oder bei der Dateinavigation zugegriffen wird optional 5 Klicken Sie auf Save Changes EA NETSCREEN Central Manager Help Sign Out System
429. nager automatisch nach der Abmeldung des Benutzers Auto allow application servers Wenn diese Option aktiviert ist erstellt das IVE automatisch eine SAM Ressource die den Zugriff auf den in der Liste f r W SAM Anwendungen und Server sowie in der Liste der J SAM Anwendungen angegebenen Server zul sst Aktivieren Sie unter Windows SAM Options die Option Auto upgrade Secure Application Manager damit das IVE Secure Application Manager bei einer Benutzeranmeldung automatisch aktualisiert Legen Sie unter Java SAM Options die Optionen fest die f r Benutzer aktiviert werden sollen User can add applications Diese Option erm glicht Benutzern das Hinzuf gen von Anwendungen Damit Benutzer Anwendungen hinzuf gen k nnen m ssen Sie den DNS Namen und die Client Serverports des Anwendungsservers kennen Wenn Sie diese Option aktivieren k nnen Benutzer die Portumleitung zu einem beliebigen Host oder Port im Unternehmen einrichten Bevor Sie Benutzern die M glichkeit geben Anwendungen hinzuzuf gen vergewissern Sie sich dass diese Funktion mit Ihren Sicherheitsanfor NetScreen Instant Virtual Extranet Plattform 313 Administrationshandbuch derungen vereinbar ist Wenn ein Benutzer eine Anwendung hinzu f gt bleibt diese f r den Benutzer auch dann verf gbar wenn die Funktion sp ter deaktiviert wird e Automatic host mapping Diese Option erm glicht es Secure Application Manager die Datei hosts des Windows PCs
430. nd Sitzungseinstellungen f r die aktivierten Zugriffsfunktionen konfigurieren Weitere Informationen finden Sie unter Konfigurieren der Seite Roles auf Seite 285 56 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Rollenkomponenten Eine Benutzerrolle enth lt die folgenden Informationen Rolleneinschr nkungen Die Verf gbarkeit der Rolle f r die Benutzer beruht auf den Anforderungen bez glich Quell IP clientseitigem Zertifi kat Hostpr fung und Cachebereinigung die erf llt sein m ssen damit ein Benutzer einer Rolle zugewiesen wird Sitzungsparameter Sitzungseinstellungen u a f r H chstdauerwerte Leerlauf Maximum Erinnerung Warnungen bei Zeit berschreitung Roamingsitzungen und Einzelanmeldung sowie Sitzungsoptionen bei spielsweise f r permanente Kennwortzwischenspeicherung best ndige Sitzungscookies und Verfolgung der Browseranforderungen Optionen f r die Benutzeroberfl che Individuelle Einstellungen einschlie lich Anmeldeseite Kopf und Fu zeile der Seiten sowie Anzeige der Browsing Symbolleiste Wenn der Benutzer mehreren Rollen zugeordnet ist zeigt das IVE die Benutzeroberfl che entsprechend der ersten Rolle an der der Benutzer zugeordnet wurde Webeinstellungen Aktivierung Deaktivierung der Webzugriffs funktion Definition der Weblesezeichen f r die Rolle und Optionen f r das Webbrowsing Letzteres kann Folgendes umfassen e Browsingoptionen User ca
431. nd die Option ist daher nicht ver f gbar Wenn Sie eine Serveraktualisierung durchgef hrt haben gehen NetScreen Instant Virtual Extranet Plattform 455 Administrationshandbuch alle System und Benutzerkonfigurationsdaten die nach der Aktualisie rung erstellt wurden verloren Dies vermeiden Sie indem Sie die aktu ellen Konfigurationsdateien vor dem Rollback des Systems exportieren und anschlie end wieder importieren Ein Rollback zu einem vorherigen Systemzustand ist auch ber die Webkonsole m glich wie unter Installieren eines NetScreen Softwaredienstpakets auf Seite 385 beschrieben Hinweis Wenn Sie ein Access Series FIPS Ger t betrieben und ein Rollback zu einer vorherigen Security World vornehmen m chten folgen Sie den Anweisun gen unter Wiederherstellen einer archivierten Security World nur Access Series FIPS auf Seite 463 So fuhren Sie ein Rollback zum vorherigen Serverzustand durch 1 Stellen Sie eine Verbindung mit der seriellen Konsole her Seite 453 2 Melden Sie sich in einem Browserfenster an der Webkonsole an 3 Wahlen Sie Maintenance gt System gt Platform aus 4 Klicken Sie auf Reboot Now und wechseln Sie dann wieder zum Konsolenprogrammfenster zuruck Im Fenster werden Sie in einer Meldung informiert dass das System neu gestartet wird 5 Nach kurzer Zeit werden Sie aufgefordert fur die Auswahl von Optionen die Tab Taste zu drucken Drucken Sie die Tab Taste Wenn Sie gefragt
432. nd wertet dann die Richtlinien aus die auf die Anforderung zutreffen 352 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch e Aktionen Jeder Typ von Ressourcenrichtlinie f hrt eine bestimmte Aktion aus Zugriff auf eine Ressource gew hren bzw verweigern oder eine Funktion ausf hren bzw nicht ausf hren z B einem Benutzer Schreibzugriff auf ein Verzeichnis zu gew hren Sie k nnen auch detaillierte Regeln schreiben mit denen Sie weitere Bedingungen f r eine Benutzeranforderung festlegen Weitere Informationen finden Sie unter Schreiben einer detaillierten Regel auf Seite 52 Registerkarte Windows gt Access ber die Registerkarte Windows gt Access k nnen Sie eine Dateiressour cenrichtlinie schreiben die angibt auf welche Windows Ressourcen Benut zer zugreifen d rfen F r Windows Ressourcen geben Sie den Server und die Freigabe sowie bei Bedarf den Pfad f r einen bestimmten Ordner ein VI Schreiben einer Ressourcenrichtlinie f r Windows Zugriff So schreiben Sie eine Ressourcenrichtlinie f r Windows Zugriff 1 W hlen Sie in der Webkonsole Resource Policies gt File gt Windows gt Access aus Klicken Sie auf der Seite Windows File Access Policies auf New Policy 3 Geben Sie auf der Seite New Policy Folgendes ein 1 Eine Bezeichnung f r diese Richtlinie 2 Eine Beschreibung der Richtlinie Optional Geben Sie im Bereich Resources die Ressourcen an f r d
433. ndern m chten F r den Clusterknoten wird die Seite Network Settings mit den Registerkarten Clustering Internal Port External Port Static Routes Hosts und Network Connect sofern lizenziert angezeigt Wenn Sie Anderungen auf diesen Registerkarten speichern wirken sich die neuen Einstellungen nur auf den entsprechenden Knoten aus Wichtig Wenn Sie die Netzwerkeinstellungen auf der Seite Network gt Network Settings in der Webkonsole eines Clustermitglieds ndern werden die nderungen an alle Knoten im Cluster weitergegeben Um nur die Einstellungen f r einen bestimmten Knoten zu ndern m ssen Sie auf der Registerkarte Status jedes aktiven Mitglieds eine Verbindung mit der Seite Network Settings des Knotens herstellen EA NETSCREEN Central Manager Help Sign Out System Clustering gt D Status as D Config Network Settings for node ive 1 b Network gt Clustering Internal Port External Port disabled Static Routes Hosts Network Connect gt Log Monitori r i zZ Member Information gt Signing In Administrators Name live 1 gt Authentication Save Changes gt Delegati si Save Changes Reset Users Abbildung 35 System gt Clustering gt Status Nach dem Klicken auf einen IVE Knoten in der Spalte Member Name Wichtig Sie k nnen die knotenspezifischen Einstellungen nur ber die Registerkarte Clustering gt Status eines aktiven Mitglieds aufrufen Das Men System gt Network ist hellgrau he
434. ne neue initialisie ren m chten M Wartungsmodus engl Maintenance In k nftigen Versionen kann die Firmware auf dem Kryptographiemodul mit dieser Einstellung aktua lisiert werden Bisher nicht unterst tzt NetScreen Instant Virtual Extranet Plattform 11 Administrationshandbuch Weitere Informationen zum Initialisieren des Moduls und Erstellen einer neuen Security World finden Sie in der Kurzanleitung f r NetScreen Access Series FIPS die dem Produkt beiliegt Erstellen von Administratorkarten Im Lieferumfang des Access Series FIPS sind sechs Smartcards enthalten Eine Smartcard ist ein transportabler Schl ssel der f r den Zugriff auf zentrale Daten und Prozesse erforderlich ist die vom Kryptographiemodul gesteuert werden Bei der Initialisierung des Kryptographiemoduls ber die serielle Konsole werden Sie von Access Series FIPS zun chst dazu aufgefor dert eine Smartcard zu verwenden W hrend dieses Vorgangs erstellt Access Series FIPS eine Security World und wandelt die Smartcard in eine Administratorkarte um die dem Karteninhaber exklusiven Zugriff auf die Security World gew hrt Die Administratorkarte wird nur zum Initialisieren des Moduls ben tigt F r den normalen IVE Betrieb nach der Initialisierung ist sie nicht erforderlich Die Administratorkarte ist zum Durchf hren der folgenden Aktionen erforderlich e Hinzuf gen eines weiteren Access Series FIPS Ger ts zu einem Cluster siehe Hinzuf gen eine
435. nen Archivierungs plan an F r Systemereignisse Zugriff und Administratorprotokolle k n nen Sie au erdem einen Protokollfilter angeben und den Inhalt der Protokolldatei nach der Archivierung l schen Klicken Sie auf Save Changes NetScreen Instant Virtual Extranet Plattform 405 Administrationshandbuch EN NerScreen Central Manager Help Sign Out System Archiving To FTP Server D Status D Configuration Local Backups D Network m nn You can schedule automatic archiving of log data system configuration and user accounts To do so a specify an FTP accessible location for the data an FTP account to use and the specific schedule for D Log Monitanni each type of archived data D Signing In Administrators Archive Settings D Authentication D Delegation Archive Server Iyourcompany com Name or IP address Users Destination Directory archives gt Authentication D gt Roles FTP Username admin P Nav S FTP Password Pe Resource Policies sie Archive Schedule gt Files gt SAM gt Telnet SSH V Archive Event log data D Network Connect D Meetings Use this filter Standard Standard default D Email Client Sun Mon Tue Wed Thu Fri Sat Maintenance Bg fs gt otf 00 00 AM D System D Import Export Clear Event log after archiving gt Push Config V Archive Access log data Use this filter Standard Standard default gt Sun Mon Tue Wed Thu Fri Sat Cee ee
436. ners Realm partners mapped user mike to roles partnerReseller Worldwide Widgets Info Info Info Abbildung 121 Maintenance gt Troubleshooting gt Policy Tracing NetScreen Instant Virtual Extranet Plattform 413 Administrationshandbuch Registerkarte Session Recording VI Aufzeichnen einer Ablaufverfolgungsdatei zur Fehlerbehebung Auf dieser Registerkarte k nnen Sie eine Ablaufverfolgungsdatei aufzeich nen in der die Aktionen eines Benutzers beim Navigieren zu einer Website aufgef hrt werden die ber das IVE nicht ordnungsgem angezeigt wird Wenn Sie diese Option verwenden erzwingt das IVE eine erneute Anmel dung des angegebenen Benutzers und beginnt dann mit der Aufzeichnung s mtlicher Benutzeraktionen Beachten Sie dass das IVE die Benutzer ber die Aufzeichnung der Benutzeraktionen benachrichtigt So zeichnen Sie eine Ablaufverfolgungsdatei auf 1 W hlen Sie in der Web console Maintenance gt Troubleshooting gt Session Recording aus Geben Sie den Benutzernamen des Benutzers ein und klicken Sie auf Start Recording Weisen Sie den Benutzer an zu der problematischen Website zu navigieren Klicken Sie auf Stop Recording Klicken Sie auf dsrecord log um die Datei auf einen Netzwerkcomputer herunterzuladen Entfernen Sie alle vertraulichen Daten mithilfe eines Text Editors Senden Sie die Datei zur berpr fung per E Mail an die folgende Adresse help support netscreen co
437. ng 111 Maintenance gt System gt Platform Registerkarte Upgrade Downgrade Sie installieren ein anderes Dienstpaket indem Sie zuerst von der NetScreen Support Website die Software herunterladen und diese dann ber die Web console hochladen Paketdateien werden verschl sselt und signiert sodass der IVE Server nur g ltige von NetScreen ausgegebene Pakete akzeptiert Mit dieser Ma nahme wird verhindert dass der IVE Server als Trojanische Pferde bezeichnete Programme akzeptiert Dieses Feature wird meist dazu verwendet Aktualisierungen auf neuere Versionen der Systemsoftware durchzuf hren Sie k nnen jedoch mit diesem Verfahren die Systemsoftware auch auf eine ltere Version herunterstufen oder alle aktuellen Konfigurationseinstellungen l schen und eine neue Ausgangsbasis schaffen Ein Rollback zu einem vorherigen Systemzustand ist auch ber die serielle Konsole m glich Dieser Vorgang ist unter Rollback zu einem vorherigen Systemzustand auf Seite 454 beschrieben Hinweis Die Installation eines neuen Dienstpakets kann einige Minuten dauern Das IVE muss anschlie end neu gestartet werden Da bei diesem Vorgang die vorhandenen Systemdaten gesichert werden l sst sich die Installationsdauer verk rzen indem der Inhalt des Systemprotokolls vor der Installation eines Dienstpakets gel scht wird NetScreen Instant Virtual Extranet Plattform 385 Administrationshandbuch VI Installieren eines NetScreen Softw
438. ng In Name ACEServer Label to reference this server Administrators ACE Port 5500 gt Authentication D Delegation Configuration File Users Current config file Dana share users sgraham sdconf rec gt Authan Imported on Fri Jan 9 15 40 12 2004 D Roles D New User Specify new configuration file and click Import new config file Browse E Briten save Unanges Resource Policies D b Files b SAM Node Verification File D Telnet SSH D D D Network Connect Meetings Node Creation Time Email Client Ci ive 2 Maintenance D System Delete D Import Export D Push Config Save Changes D Archiving gt Troubleshooting Save Changes Reset Licensed to YourCompany Inc a Host Id ive 2 i z i i securED ar Copyright 2001 2004 NetScreen Technologies Inc All rights reserved He At Abbildung 54 System gt Signing In gt Servers gt ACE Server NetScreen Instant Virtual Extranet Plattform 219 Administrationshandbuch VI Generieren einer ACE Agent Konfigurationsdatei Wenn Sie ACE Server f r die Authentifizierung verwenden m ssen Sie auf dem ACE Server eine ACE Agent Konfigurationsdatei sdconf rec f r das IVE generieren So generieren Sie eine ACE Agent Konfigurationsdatei 1 RO ee ie 10 Starten Sie die Konfigurationsverwaltungsanwendung f r ACE Server und klicken Sie auf Agent Host Klicken Sie auf Add Agent Host Geben Sie unter Name einen Namen f r den IVE Agent ein
439. ng wird vorausgesetzt dass der Benutzer in der Clientanwendung eine IP Adresse f r localhost als Server festlegt Hostnamenaufl sung in localhost Damit diese L sung ordnungsgem funktioniert muss eine Clientanwen dung auf dem Benutzercomputer den Anwendungsserver in den Client localhost aufl sen sodass J SAM die f r den Anwendungsserver bestimmten Daten erfassen und ber das IVE sicher ber Ports leiten kann J SAM kann eine automatische Hostzuordnung ausf hren wobei die Datei hosts auf dem Client bearbeitet wird um Anwendungsserver zum local host zuzuordnen Damit J SAM die Datei hosts eines Benutzers bearbeiten kann muss der Benutzer ber die entsprechenden Rechte auf dem Client computer verf gen e Windows 2000 Benutzer k nnen einer beliebigen Benutzergruppe angeh ren F r die Exchange MAPI Unterst tzung m ssen Benutzer auf dem betreffenden Computer jedoch mindestens ber Hauptbenutzer berechtigungen verf gen e Windows XP Benutzer m ssen ber Administratorberechtigungen auf ihren Computern verf gen e Benutzer von Linux RedHat m ssen den Browser in dem J SAM gestartet wird als root aufrufen e Macintosh Benutzer m ssen das Administratorkennwort eingeben wenn Sie von J SAM eine entsprechende Aufforderung erhalten 114 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Wenn Benutzer nicht ber die entsprechenden Berechtigungen auf ihren Computern verf gen kann J SAM
440. nges Options If these settings are not specified by any roles assigned to the user the settings specified in Default Options will be used V Session Options Edit V UI Options Edit Access features Check the features to enable for this user role and specify any role based options Note that features disabled here may be granted by other roles assigned to the user V Web 1 Bookmarks Options V Files Windows 2 Bookmarks Options 4 Files UNIX NFS 0 Bookmarks Options xI Secure Application Manager 3 Applications Options Windows version Java version l Telnet SSH 1 Sessions Options V Meetings Options MV Email Client No role based options l Network Connect Options Abbildung 80 Users gt Roles gt Ausgew hlte Rolle gt General gt Overview Registerkarte General gt Restrictions Legen Sie auf der Registerkarte General gt Restrictions Zugriffsverwaltungsoptionen f r die Rolle fest Das IVE ber cksichtigt diese Beschr nkungen wenn es ermittelt ob ein Benutzer einer Rolle zugeordnet wird Benutzer werden der Rolle vom IVE nur dann zugeordnet wenn Sie die angegebenen Beschr nkungen erf llen Weitere Informationen zur Zugriffsverwaltung finden Sie unter Zugriffsverwaltung bersicht auf Seite 23 288 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Mi Festlegen von Zugriffsverwaltungsoptionen f r die Rolle So legen Sie Zugriffsverwaltungsopt
441. ngezeigt ber diese Registerkarte k nnen Sie dem Cluster weitere IVEs hinzuf gen und den Cluster verwalten lV Definieren und Initialisieren eines Clusters Wir empfehlen vor dem Definieren eines Clusters zunachst die System und Benutzereinstellungen auf einem IVE zu konfigurieren Erstellen Sie anschlieBend auf dem gleichen IVE den Cluster Dieses IVE wird dem Cluster im Rahmen des Erstellungsvorgangs hinzugefugt Wenn dem Cluster weitere IVEs beitreten gibt dieses IVE seine Konfiguration an die neuen Clustermitglieder weiter So definieren und initialisieren Sie einen Cluster 1 Konfigurieren Sie ein IVE mit den gew nschten System Benutzer Ressourcen und Anwendungseinstellungen 2 Wahlen Sie in der Webkonsole des konfigurierten IVE die Registerkarte System gt Configuration gt Licensing aus und geben Sie Ihren Lizenzcode ein um die Clusterfunktion zu aktivieren Unter der berschrift System wird die Men option Clustering angezeigt 3 Geben Sie auf der Registerkarte System gt Clustering gt Create die Bezeichnung fur den Cluster ein Clusterkennwort und einen Namen f r dieses IVE ein zum Beispiel ive 1 Hinweis Wenn Sie weitere IVEs konfigurieren die dem Cluster hinzugef gt werden sollen m ssen Sie das Kennwort erneut eingeben Alle IVEs in dem Cluster verwenden dieses Kennwort f r die Kommunikation 4 Klicken Sie auf Create Cluster Klicken Sie auf Create wenn Sie aufgefordert werden die Erstellung
442. nicht FIPS kompatibel ist Sie k n nen jedoch einen Zertifikatsschlussel zusammen mit der Security World von einem anderen NetScreen IVE Access Series Ger t impotieren Weitere Informationen finden Sie unter Importieren einer Systemkonfigurationsdatei auf Seite 390 148 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch So importieren Sie ein vorhandenes digitales Serverzertifikat und einen privaten Schl ssel 1 W hlen Sie in der Webkonsole System gt Configuration gt Certificates gt Server Certificate aus Klicken Sie auf Import Renew 3 W hlen Sie das entsprechende Formular f r den Import des Zertifikats aus e Falls sich das Zertifikat und der Schl ssel in einer Datei befinden verwenden Sie das Formular Certificate file includes private key e Handelt es sich bei dem Zertifikat und dem Schl ssel um separate Dateien verwenden Sie das Formular Certificate and private key are separate files 4 Wechseln Sie im entsprechenden Formular zu der Datei mit dem Zertifi kat und dem Schl ssel Wenn die Datei verschl sselt ist geben Sie den Kennwortschl ssel ein 5 Klicken Sie auf Import NetScreen Instant Virtual Extranet Plattform 149 Administrationshandbuch EW NETSCREEN Central Manager Help Sign Out System Certificates gt D Statt Import Renew Certificate b Configuration AE Use one of the forms below to import an existing certificate and its corresponding private
443. nicht ber cksichtigt Leerzeichen werden ignoriert und die Reihenfolge der Variablen wird ber cksichtigt Wenn ein Ausdruck einen DN mit einer Zeichenfolge vergleicht wird diese vor der Auswertung des Ausdrucks in einen DN konvertiert Wenn die Zeichenfolge aufgrund fehlerhafter Syntax nicht konvertiert werden kann schl gt der Vergleich fehl DN Variablen sind e userDN e certDN e certIssuerDN 442 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Systemvariablen und Beispiele Hinweis Diese Liste enth lt keine Variablen die in einer Filterabfrage oder einem Exportformat f r ein Systemprotokoll verwendet werden Variablen Beschreibung Beispiele auth Name des auth MyLDAPServer Authentifizierungsservers der Verfugbar in i wail einen Benutzer authentifiziert e Rollenzuordnungsregeln e Ressourcenrichtlinienregeln cacheCleaner Der Status der cacheCleanerStatus 1 Cachebereinigung Mogliche Werte 1 wenn sie ausgefuhrt wird 0 wenn sie nicht ausgef hrt wird Verf gbar in cacheCleanerStatus 0 e Rollenzuordnungsregeln e Ressourcenrichtlinienregeln certAttr lt cert attr gt Attribute aus einem certAttr OU Retail Products Group clientseitigen Zertifikat cert attr Verfugbar in i kann einen der folgenden Werte e Rollenzuordnungsregeln annehmen C ST L O OU Ressourcenrichtlinienregeln CN T I G S D SN UI oder LDAP Konfiguration Email Felder f
444. nigung bersicht Bei der Cachebereinigung handelt es sich um einen Client Agent der brig gebliebene Daten wie tempor re Dateien oder Anwendungscaches nach einer IVE Sitzung vom Benutzercomputer entfernt Wenn sich beispiels weise ein Benutzer von einem Internet Kiosk beim IVE anmeldet und mit hilfe eines Browser Plugins ein Microsoft Word Dokument ffnet entfernt die Cachebereinigung nach Beenden der Sitzung die im Browsercache im Ordner Windows gespeicherte tempor re Kopie der Word Datei Durch das Entfernen der Kopie verhindert die Cachebereinigung dass andere Benutzer des Kiosks das Word Dokument suchen und ffnen k nnen nach dem der IVE Benutzer seine Sitzung beendet hat Sie k nnen den Zugriff auf das IVE und die Ressourcen durch die Cachebe reinigung einschr nken e Richtlinie f r Bereichsauthentifizierung Wenn Administratoren versuchen sich beim IVE anzumelden wertet das IVE die Authentifizierungsrichtlinie des angegebenen Bereichs aus und er mittelt ob die Cachebereinigung zu den Anforderungen geh rt die vor der Authentifizierung erf llt sein m ssen Sie k nnen eine Richtlinie f r die Be reichsauthentifizierung so konfigurieren dass die Cachebereinigung herun tergeladen wird die Cachebereinigung heruntergeladen und ausgef hrt wird oder dass die Cachebereinigung nicht erforderlich ist Der Benutzer muss sich von einem Computer anmelden der den Cachebereinigung An forderungen entspricht die f r d
445. nnect Abbildung 101 Aktivierung und Konfiguration 369 Konfiguration 24 Ressourcenrichtlinien 42 369 Rollen 57 Ubersicht 23 26 99 107 Verwendung 100 Network Time Protocol verwenden 130 Netzmaske Benutzeranforderungen definieren 26 Definition in Ressourcenrichtlinien 47 50 fur externen Port 157 161 Konfiguration 158 161 Netzwerk Einstellungen erstmalig 157 Konfiguration 157 Hostnamen fur lokale Auflosung angeben 164 Pakete Sniffing 415 statische Routen angeben 163 Neuschreiben Durchgangsproxy Option 103 339 Remote SSO Option 342 New PIN Modus Unterstutzung 215 Next Token Modus Unterstutzung 216 Nicht IVE G ste Siehe Secure Meeting Rollen Nslookup Befehl 417 NT Dom ne Siehe Authentifizierungsserver Active Directory INDEX NTML Konfiguration 213 NTP verwenden 130 Nullserver Siehe Authentifizierungsserver anonymer Server O Operationsmodus Access Series FIPS 10 Optimiertes NCP konfigurieren 141 Oracle Unterstutzung 104 Outlook Express Unterstutzung 86 Outlook Unterstutzung 86 87 88 J SAM 116 OWA Unterstutzung 90 P PassGo Defender RADIUS Server Konfiguration 243 Permanente Daten Definition 79 Permissive Zusammenf hrung bersicht 58 Pers nliche Firewall mit Cachebereinigung verwenden 64 Unterst tzung 91 Pfad Definition in Ressourcenrichtlinien 47 48 49 Ping Befehl 417 458 Plattform hochstufen und herunterstufen 383 Pocket PC bersicht 7 POP Clients 89 Mailserver 379 Unt
446. nnnnennnnennnnnennn nenne 346 Registerkarte Web Proxy gt Settings u22200200000800nnn ann onnn nenn nenne anne nnne nenn nennen 348 Konfigurieren der Seite Files u020022002200200200onnnnnnennnennn nennen enenen 351 Registerkarte Windows gt Access ccccccscceeeceeececeeeeteeeteeeseeeseeeeeeeeeeeeeeeeeneeenenes 352 Registerkarte Windows gt Credentials 0220220022002202nnennennnennnennennneneneen 355 Registerkarte zu NDYNFS ask es era 358 REgISTErKAartE ZENCOANG ee en au 360 Konfigurieren der Seite SAM a 361 Konfigurieren der Seite Telnet SSH 0 20022022002000220 nennen nennen 365 Konfigurieren der Seite Network Connect 22022200200220 0220222 369 Registerkarte Access sen 370 Registerkarte IP Address Pools u2 20220022022002000nnn nn nnnnnnn anne nnnnnnnnnne nenn 373 Konfigurieren der Seite Meetings u2 2002400200000n0 Ran nnn nenn nennen 375 Konfigurieren der Seite Email Client 2 2022002200220020 nennen 379 Konfigurieren der Seite System 02200200220022002n nen ennnnnnn nennen nennen 383 Registerkarte Platon nee aiinikeuleiikn 383 Registerkarte Upgrade Downgrade 200222022000snnnenenenenennnennnennennnenenenenen nenn 384
447. nnnnnnnnnnnnenennn 9 Secure Meeting bersicht uuneeeneenssennnsennnnnnennnnnnnnnnnnnnnnnnnnnnnennennnnn 13 Zugriffsverwaltung Ubersicht cccccccccccesscccssccceseeseseeseseseseesesseeeees 23 Authentifizierungsbereiche bersicht 35 Ressourcenrichtlinien Ubersicht cccccccccccssecesseecseecesseeenseesseneees 41 Benutzerrollen bersicht nennen 55 NetScreen Instant Virtual Extranet Plattform 3 Administrationshandbuch Einfuhrung in das NetScreen Instant Virtual Extranet Mit dem NetScreen Instant Virtual Extranet k nnen Sie Mitarbeitern Part nern und Kunden ber einen beliebigen Webbrowser berall sicheren und kontrollierten Zugriff auf Datei und Webserver des Unternehmens system eigene Nachrichten und E Mail Clients gehostete Server und vieles mehr gew hren Was ist das NetScreen Instant Virtual Extranet Das NetScreen Instant Virtual Extranet oder IVE ist eine geh rtete Netz werkappliance die solide Sicherheitsfunktionen bietet Sie fungiert als Zwi schenglied f r die Datenstr me die zwischen externen Benutzern und internen Ressourcen bertragen werden Zu diesen geh ren e MS Terminal Server e MS Exchange Server e Lotus Notes Server e Internet E Mail Server e Terminalbasierte Anwendungen IBM 3270 VT100 e Dokumente auf Dateiservern e Webbasierte Unternehmensanwendungen e Intranetseiten Mit dem IVE wird es berfl ssig in einer herk mmlic
448. none employees apac employees emea Remove employees global employees hq x Action Allow access M Read only Deny access Use Detailed Rules available after you click Save Changes Abbildung 102 Resource Policies gt Files gt Windows gt Access gt New Policy NetScreen Instant Virtual Extranet Plattform 355 Administrationshandbuch Registerkarte Windows gt Credentials Auf der Registerkarte Windows gt Credentials k nnen Sie eine Dateiressourcenrichtlinie schreiben mit der Sie Anmeldeinformationen f r das IVE angeben k nnen die an einen Dateiserver gesendet werden wenn eine Benutzeranfrage einer Ressource in der Liste Resource entspricht Sie k nnen au erdem das IVE so konfigurieren dass Benutzer zur Eingabe ihrer Anmeldeinformationen aufgefordert werden lV Schreiben einer Ressourcenrichtlinie fur Windows Anmeldeinformationen So schreiben Sie eine Ressourcenrichtlinie fur Windows Anmeldeinformationen 1 Wahlen Sie in der Webkonsole Resource Policies gt File gt Windows gt Credentials aus Klicken Sie auf der Seite Windows Credentials Policies auf New Policy 3 Geben Sie auf der Seite New Policy Folgendes ein 1 2 Eine Bezeichnung fur diese Richtlinie Eine Beschreibung der Richtlinie Optional Geben Sie im Bereich Resources die Ressourcen an fur die diese Richt linie gelten soll Weitere Informationen finden Sie unter Angeben von Windows Dateiressourcen
449. nse verwenden Zertifikate Soft ID und Defender Authentifizierung werden z B nicht unterst tzt e Sie d rfen das Administratorkonto nicht so konfigurieren dass der Administrator eine Rolle ausw hlen muss um sich auf dem Ziel IVE anzumelden Sie d rfen einen einzelnen Benutzer z B nicht mehreren Rollen zuordnen auch nicht der Rolle des Konfigurations bertragung Administrators sofern Sie diese Rollen nicht permissiv zusammenf h ren Wir empfehlen das Erstellen eines Kontos das ausschlie lich Admi nistratoren f r die Konfigurations bertragung vorbehalten ist Dies gew hrleistet dass der Administrator bei der Anmeldung keine Rolle ausw hlen muss und die Aktionen von Administratoren f r die Konfigu rations bertragung in den Protokolldateien eindeutig nachvollzogen wer den k nnen 400 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch So bertragen Sie ausgew hlte Rollen und Ressourcen von einem IVE auf ein anderes 1 Erstellen von Administratorkonten auf beiden IVE Appliances Anweisungen hierf r finden Sie unter Konfigurieren der Seite Delegation auf Seite 265 Siehe die oben aufgef hrten Beschr nkungen W hlen Sie in der Web console Maintenance gt Push Config aus 3 Geben Sie unter Target Host Sign in URL den Administrator URL des IVE ein auf den Rollen und Ressourcenrichtlinien bertragen werden sollen Beispiel https 10 10 10 10 admin Geben Sie den Benutze
450. nstant Virtual Extranet Plattform 37 Administrationshandbuch Anmeldeinformationen des Benutzers an den entsprechenden Authentifizie rungsserver weiter Wenn der Benutzer durch den Server authentifiziert wird beginnt das IVE mit der Rollenauswertung Verzeichnisserver Ein Verzeichnisserver ist eine Datenbank in der Benutzer und meistens Gruppeninformationen gespeichert werden Sie k nnen einen Authentifizie rungsbereich so konfigurieren dass ein Verzeichnisserver Benutzer oder Gruppeninformationen abruft die in Rollenzuordnungsregeln und Ressour cenrichtlinien verwendet werden Gegenw rtig unterst tzt das IVE hierf r LDAP Server ein LDAP Server kann daher zur Authentifizierung und Autori sierung verwendet werden Sie m ssen nur eine Serverinstanz definieren dann wird der Name der LDAP Serverinstanz in den Dropdownlisten Authentication Server und Directory Attribute Server auf der Register karte General des Bereichs angezeigt Sie k nnen denselben Server f r eine unbeschr nkte Anzahl von Bereichen verwenden Neben einem LDAP Server k nnen Benutzerattribute auch mit einem RADIUS Server abgerufen werden um sie in Rollenzuordnungsregeln zu verwenden Eine RADIUS Serverinstanz wird jedoch im Gegensatz zu einer LDAP Serverinstanz nicht in den Dropdownlisten des Bereichs und von Directory Attribute Server angezeigt Um einen RADIUS Server zum Abrufen von Benutzerinformationen zu verwenden m ssen Sie nur seine Instanz in de
451. nstanz erstellen werden die Registerkarten Settings und Users angezeigt Hinweis Informationen zum berwachen und L schen von Sitzungen von Benutzern die gegenw rtig ber den Server angemeldet sind finden Sie unter Anzeigen und L schen von Benutzersitzungen auf Seite 263 Erstellen Sie eine LDAP Serverinstanz sofern Zertifikatattribute mit LDAP berpr ft werden sollen optional Zum Abrufen der benutzerspezifischen Attribute die durch das Zertifikat berpr ft werden sollen m ssen Sie die Optionen Finding user entries auf der LDAP Konfigurationsseite verwenden Erstellen Sie einen Authentifizierungsbereich ber eine der folgenden Registerkarten e Users gt Authentication e Administrators gt Authentication Konfigurieren Sie den Bereich f r den bzw die neuen Server 1 Navigieren Sie zu Users Administrators gt Authentication gt General 2 Wahlen Sie den Zertifikatserver aus der Liste Authentication Server aus 3 Wahlen Sie in der Liste Directory Attribute server den LDAP Server sofern vorhanden oder None aus Wenn der Benutzerzugriff auf den Bereich anhand einzelner Zertifikatattribute eingeschrankt werden soll 1 Navigieren Sie zu Users Administrators gt Authentication gt Bereich gt Authentication Policy gt Certificate 2 Wahlen Sie die Option Only allow users with client side certificate aus 3 Geben Sie an welche Werte das Benutzer Administratorzertifikat enthalten muss
452. ntenance gt Archiving gt Local Backups NetScreen Instant Virtual Extranet Plattform 269 Administrationshandbuch So legen Sie Administrationsberechtigungen f r eine Administratorrolle fest 1 W hlen Sie in der Webkonsole Administrators gt Delegation aus 2 W hlen Sie die Administratorrolle aus die Sie ndern m chten 3 4 Geben Sie f r jede Hauptkategorie System tasks Maintenance tasks Klicken Sie auf die Registerkarte System Resource policies und Users die f r die Rolle zul ssige Zugriffsebene an Jede Hauptkategorie entspricht direkt Optionen in der Webkonsole e Deny All Gibt an dass Mitglieder der Administratorrolle keine Einstellungen in der Kategorie anzeigen oder ndern k nnen e Read All Gibt an dass Mitglieder der Administratorrolle Einstellungen in der Kategorie anzeigen aber nicht ndern k nnen e Read All Gibt an dass Mitglieder der Administratorrolle alle Einstellungen in der Kategorie ndern k nnen e Custom Settings Erm glicht Ihnen die Auswahl von Administratorberechtigungen Deny Read oder Write f r die einzelnen Funktionen innerhalb der Kategorie Klicken Sie auf Save Changes 270 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch EN NETSCREEN Central Manager Help Sign Out System Delegated Admin Roles gt D Statis Help Desk Administrators gt Configuration D Network General System User Role Admin gt Clustering D
453. nthalten e Produktlizenz Eine Produktlizenz bestimmt die Anzahl von IVEs in einem Cluster sowie die Anzahl von Benutzern die sich gleichzeitig beim 1 Mit der grundlegenden IVE Lizenz k nnen Sie f nf lokale Benutzerkonten erstellen zwei Benutzer k nnen sich gleichzeitig anmelden und es werden grundlegende Funktionen zum Navigieren durch Web Windows und UNIX NFS Dateien bereitgestellt 137 138 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch System anmelden k nnen Ihre Produktlizenz kann z B erlauben dass Sie einen 4 Unit Cluster aus A5000 Einheiten mit 2 500 Benutzern erstellen die gleichzeitig zugreifen k nnen Lizenz f r Aktualisierungspakete Mit einer Lizenz f r Aktualisie rungspakete k nnen Sie eine Reihe von Features verwenden Wenn Sie ber eine Central Manager Lizenz verf gen k nnen Sie verschiedene Funktionen verwenden IVE Dashboard Funktion zum berwachen der Systemkapazit t Konfigurations bertragungsfunktion zum bernehmen der Einstellungen aus einem IVE in ein anderes Funktion f r ausfallfreie Aktualisierungen zum Beschleunigen von Aktualisierungen Sicherungs funktion zum lokalen Speichern von Sicherungsdateien und Protokoll berichtsfunktion zum Anpassen des Protokolldateiformats Lizenz f r die Aktualisierungsfunktion Mit einer Lizenz f r die Aktualisierungsfunktion k nnen Sie eine einzelne Funktion verwenden Mit einer Secure Terminal Lizenz k nnen Sie z B
454. nutzer der Ascess Series zugeschnitten die nur in begrenztem Umfang Konferenzen durchf hren Bei dieser Option vermittelt der Server auf dem die Konferenzen durch gef hrt werden auch Anforderungen zwischen dem ffentlichen Inter net und den internen Unternehmensressourcen Der Konfigurationsprozess f r Meeting Series und Access Series Admini stratoren ist fast identisch da beide Appliances auf der IVE Plattform auf bauen F r die wenigen F lle in denen die Verwaltungsaufgaben abweichen enth lt dieses Handbuch die entsprechenden Anweisungen f r Access Series und Meeting Series Administratoren Eine bersicht ber die Funktionen und Systemanforderungen von Secure Meeting finden Sie unter Konferenzplanung teilnahme und durchf hrung 2244004ne nee 14 Zugriff auf den Konferenz URL ccccccsseecccceeeeeeeceesecececeuseeecseeeeeeseseeesssaees 17 Von Secure Meeting unterst tzte Umgebungen us22244000nnennen nennen 18 Konfigurationsanweisungen finden Sie unter Secure Meeting Aktivieren und Konfigurieren von Konferenzen f r Benutzerrollen 318 Konfigurieren der Seite Meetings 002220000222002nnnnennnnnennnnennnnneennnnn 375 ndern von Netzwerkeinstellungen f r den internen Port LAN Schnittstelle 157 13 14 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Anweisungen f r die berwachung un
455. nutzerrollen f r die diese Richtlinie gilt Standardm ig gilt die Richtlinie f r alle Rollen e Aktion Die Aktion die das IVE durchf hrt wenn ein Benutzer die Ressource entsprechend der Liste Ressource anfordert Eine Aktion kann angeben ob der Zugriff auf eine Ressource erlaubt oder verboten ist oder ob eine Aktion durchgef hrt wird z B das Neuschreiben von Webinhalt oder das Zulassen von Java Socketverbindungen e Detaillierte Regeln Eine optionale Liste von Elementen die Ressour cendetails angibt z B bestimmte URLs Verzeichnispfade Dateien oder Dateitypen auf die eine andere Aktion angewendet werden soll oder f r die vor der Anwendung der Aktion Bedingungen ausgewertet werden sollen Sie k nnen eine oder mehrere Regeln definieren und die Reihen folge angeben in der das IVE diese auswertet Weitere Informationen finden Sie unter Schreiben einer detaillierten Regel auf Seite 52 Auswerten von Ressourcenrichtlinien Wenn das IVE eine Benutzeranforderung erh lt wertet es die dem Anforde rungstyp entsprechenden Ressourcenrichtlinien aus Beim Verarbeiten der Richtlinie die der angeforderten Ressource entspricht f hrt es die angege bene Aktion f r die Anforderung aus Diese Aktion ist auf der Registerkarte General oder Detailed Rules der Richtlinie festgelegt Wenn ein Benutzer beispielsweise eine Webseite anfordert wei das IVE wie die Webres sourcenrichtlinien zu verwenden sind Im Fall von Webanfo
456. nweis Fur diesen sekund ren RADIUS Server m ssen Sie eine Instanz festlegen Klicken Sie auf Save Changes Wenn Sie zum ersten Mal eine Serverinstanz erstellen werden die Registerkarten Settings und Users angezeigt Konfigurieren Sie den prim ren und den sekund ren RADIUS Server f r die Erkennung des IVE Folgen Sie hierf r den folgenden Anweisungen Geben Sie die Bereiche an die der Server f r die Authentifizierung und Autorisierung von Administratoren und Benutzern verwenden soll Seite 273 Hinweis Informationen zum berwachen und L schen von Sitzungen von Benutzern die zu diesem Zeitpunkt ber den Server angemeldet sind finden Sie unter Anzeigen und L schen von Benutzersitzungen auf Seite 263 NetScreen Instant Virtual Extranet Plattform 245 Administrationshandbuch EAN NETSCREEN Central Manager Help Sign Out System D Status D Configuration D Network D Clustering D Log Monitoring Signing In Administrators gt Authentication gt Delegation Users gt Authentication D Roles gt New User Resource Policies D Web D Files D SAM D Telnet SSH D Network Connect D Meetings D Email Client ana t 2 SS Servers gt empEMEAandAPAC Settings Users Name lempEMEAandAPAC Label to reference this server Radius Server 10 11 24 24 Name or IP address Port 1812 Shared Secret Timeout fin seconds 30 Retries fi Secondary Radius Server 10 1
457. ny com Enterprise Servers nn m Java applet encapsulates ae gt Microsoft Exchange data exchange TCA pany co and securely port m forwards it to the IVE Internet Abbildung 10 Java Secure Application Manager und erweiterte MS Exchange Unterst tzung In dieser Abbildung wird das f r die automatische Hostzuordnung f r den MS Outlook Client konfigurierte IVE dargestellt Aktualisierungen der Windows Registrierung Beim Start von Secure Application Manager wird die Windows Registrie rungseinstellung Rpc_Binding_Order des Benutzers aktualisiert Diese Ein stellung wird der Registrierung hinzugef gt wenn der Outlook Client installiert wird und bestimmt die Protokollsequenz die der Client zum Kommunizieren mit dem Exchange Server verwendet Der urspr ngliche Wert dieser Einstellung ist ncalrpc ncacn_ip_tcp ncacn_spx ncacn_np netbios ncacn_vns_spp Nach dem erstmaligen Verwenden von Secure Application Manager ist der Wert ncalrpc ncacn_http ncacn_ip_tcp ncacn_spx ncacn_np netbios ncacn_vns_spp Die nderung an Rpc_Binding_Order betrifft nur die Ausf hrung von Secure Application Manager und hat keine anderen Auswirkungen auf dem PC des Benutzers Wichtig Zum Verwenden des Outlook Client Uber die Java Version von Secure Application Manager m ssen Benutzer von Windows PCs ber Admini stratorberechtigungen verf gen NetScreen Instant Virtual Extranet Plattform 119 Administrationshandbuch Erweiterte Un
458. nzugef gt werden soll Weitere Informationen finden Sie unter Angeben eines neuen Clustermitglieds auf Seite 170 2 Stellen Sie eine Verbindung mit der seriellen Konsole des IVE her dass dem Cluster hinzugef gt werden soll Weitere Informationen finden Sie unter Anhang D auf Seite 453 3 Schalten Sie das IVE aus und dann wieder ein und berwachen Sie beim Neustart die serielle Konsole Nach dem Start der Systemsoftware werden Sie in einer Meldung informiert dass das Gerat als eigenstandiges IVE gestartet wird und dass Sie die TAB Taste drucken 180 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch m ssen um die Clusteroptionen anzuzeigen Dr cken Sie die TAB Taste wenn Ihnen diese Meldung angezeigt wird Hinweis Sie m ssen die TAB Taste innerhalb von 5 Sekunden dr cken Wenn das Ger t bereits im eigenst ndigen Modus bootet warten Sie bis der Bootvorgang beendet ist und starten Sie das Ger t dann neu amp iveClusterMember HyperTerminal E Oj x File Edit View Call Transfer Help Starting system software version 3 1GA build 1840 About to boot as a stand alone IVE Hit TAB for clustering options wait or hit Enter to continue 1 Continue as a stand alone IVE 2 Join an existing cluster NOTE To create a new cluster select 1 to continue as a stand alone IVE and create the cluster from the WEB based IVE administrator console Please select an option 2 eee 4
459. odass Benutzer mit niedriger Sicherheitsebene sich neu authentifizieren m ssen auf Seite 253 19 Geben Sie im Feld Ignore authorization for files with extensions Dateierweiterungen von Dateitypen ein f r die keine Autorisierung erforderlich ist Sie m ssen die Erweiterung jedes einzelnen Dateityps eingeben der ignoriert werden soll und diese durch Kommas trennen Geben Sie beispielsweise gif jpeg jpg bmp ein um verschiedene Bilddateitypen zu ignorieren Es d rfen keine Platzhalterzeichen verwendet werden wie etwa oder um eine ganze Gruppe von Dateitypen zu ignorieren 20 Klicken Sie auf Save Changes 21 Richten Sie bei Bedarf erweiterte SiteMinder Konfigurationsoptionen ein Seite 260 22 Geben Sie die Bereiche an die der Server f r die Authentifizierung und Autorisierung von Administratoren und Benutzern verwenden soll Seite 275 Hinweis Informationen zum berwachen und L schen von Sitzungen von Benutzern die zu diesem Zeitpunkt ber den Server angemeldet sind finden Sie unter Anzeigen und L schen von Benutzersitzungen auf Seite 263 260 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch VI Einrichten von erweiterten SiteMinder Konfigurationsoptionen Beim Erstellen einer SiteMinder Serverinstanz wird die Registerkarte Advanced angezeigt auf der Sie erweiterte Einstellungen festlegen k nnen Die Registerkarte enth lt folgende Felder e Poll Interval G
460. ographiemodul Stan dardumgebung oder verschiedenen Modulen Clusterumgebung beste hen Eine einzelne Access Series FIPS Appliance ist aber immer mit einem Kryptographiemodul ausgestattet e Security World Schl ssel Ein Security World Schl ssel ist ein ein deutig verschl sselter Triple DES Schl ssel der die Sicherheit aller anderen Anwendungsschl ssel in einer Security World gew hrleistet Die Federal Information Processing Standards FIPS schreiben vor dass die ser Schl ssel nicht in eine Security World importiert werden kann son 10 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch dern direkt in einem Kryptographiemodul erzeugt werden muss In einer Clusterumgebung verwenden alle Module in der Security World densel ben Security World Schl ssel Weitere Informationen finden Sie unter Bereitstellen eines Clusters in einer Access Series FIPS Umgebung auf Seite 81 Smartcards Eine Smartcard ist ein transportabler Schl ssel der wie eine Kreditkarte aussieht Benutzer k nnen sich mithilfe einer Smart card authentifizieren um auf verschiedene Daten und Prozesse die vom Kryptographiehardwaremodul gesteuert werden zuzugreifen Beim Initia lisierungsvorgang muss der mit dem Kryptographiemodul gelieferte Smartcardleser angeschlossen und dann eine Smartcard in den Leser eingelegt werden W hrend des Initialisierungsvorgangs wird die Smart card in eine Administratorkarte umgewandelt die dem
461. olle Human Resource Staff zugeordnet hat weil er kein Mitglied der Gruppe Human Resources auf dem LDAP Server ist NetScreen Instant Virtual Extranet Plattform 411 Administrationshandbuch So erstellen Sie eine Richtlinienverfolgungsdatei 1 W hlen Sie in der Web console Maintenance gt Troubleshooting gt Policy Tracing aus Geben Sie im Feld User den Namen des Benutzers ein den Sie verfolgen m chten Beachten Sie dass das IVE keine Platzhalter akzeptiert W hlen Sie im Feld Realm den Bereich des Benutzers aus Auf dem IVE kann kein Bereich ausgew hlt werden der einem anonymen Authentifizierungsserver zugeordnet ist Klicken Sie auf Start Recording Bitten Sie den Benutzer nach dem Beginn der Aufzeichnung sich am IVE anzumelden Klicken Sie zum Anzeigen der Protokolleintr ge auf View Log 6 Klicken Sie auf Stop Recording wenn Sie gen gend Informationen beisammen haben Gehen Sie die Meldungen in der Protokolldatei durch um den Grund f r das abweichende Verhalten zu finden Wenn Sie Problem nicht erkennen und beheben k nnen klicken Sie auf Save Log As um eine Kopie der Protokolldatei im Netzwerk zu speichern Senden Sie die Datei anschlie end zur berpr fung an den NetScreen_Support unter help support netscreen com Klicken Sie auf Clear Log um den Inhalt der Protokolldatei zu l schen oder auf Delete Trace um den Inhalt der Protokolldatei zu l schen und die Standardeintr ge aus den Fel
462. om IVE zugewiesen wurde in dem sie normalerweise den Hostnamen des Servers eingeben Im Fensterausschnitt Details des J SAM Browserfensters wird neben dem vom Benutzer angegebenen Port die IP Loopback Adresse angezeigt die vom IVE zugewiesen wird Um zu bestimmen welche IP Adresse das IVE einer auf der Seite Client Applications IVE angegebenen Anwendung zuweist muss ein Benutzer nach dem Hinzuf gen der Anwendung Secure Application Manager neu starten Die der Anwendung zugewiesene Loop back Adresse wird im Fensterausschnitt Details des Secure Application Manager Browserfensters angezeigt DO NOT CLOSE Secure Applic P m Es Client Applications Exchange Addb 139 127 0 1 10 Siebel Reports 8080 127 0 1 16 Siebel S0 127 0 1 16 User added App 3359 127 0 1 13 Drive Mapping 139 127 01 20 Citrix MFuse Note Clasing this window will stop your secure client applications session Abbildung 9 Fensterausschnitt Details des Secure Application Manager J SAM In der Clientanwendung muss der Benutzer die vom IVE zugewiesene Loop back Adresse als Anwendungsserver eingeben Wenn ein Benutzer bei spielsweise auf einen Telnet Server hinter Ihrer Firmenfirewall zugreifen m chte muss er die folgenden Schritte ausf hren 1 Klicken Sie auf der IVE Seite Client Applications auf Add Application 116 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch 2 Geben Sie auf der Seite Add Application Folgendes a
463. on Settings wird nur f r Clusterpaare nicht jedoch f r Cluster mit mehreren Einheiten angezeigt W hlen Sie die gew nschten Synchronisierungseinstellungen aus Geben Sie dabei auch das zu verwendende Synchronisierungsprotokoll an und legen Sie fest ob Protokollmeldungen und Sitzungsdaten der Benutzer synchronisiert werden sollen Erl uterungen der Synchronisierungseinstellungen finden Sie unter otatussynchronisierung auf Seite 79 184 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch e Legen Sie die entsprechenden berpr fungseinstellungen Health Check f r das Netzwerk fest einschlie lich der zul ssigen Anzahl von ARP Pingfehlern bevor die interne Schnittstelle des IVE deaktiviert wird Legen Sie auch fest ob die externe Schnittstelle des IVE bei einem Ausfall der internen Schnittstelle deaktiviert werden soll So l schen Sie einen Cluster 1 W hlen Sie in der Webkonsole eines aktiven Clustermitglieds die Registerkarte System gt Clustering gt Properties aus 2 W hlen Sie Delete Cluster aus Nach Beendigung des Vorgangs werden alle Clusterknoten als eigenst ndige IVEs ausgef hrt EA NETSCREEN Central Manager Help Sign Out az Clustering D Status D Configursien Status Properties D Network b Clustering Type NetScreen SA 5000 Advanced 4 Unit Multi Site Cluster 1000 Simultaneous gt Log Monitoring Users gt Signing In Cluster Name NorthAmerica Adminis
464. onalisierung von IVE Datenverkehr 360 Schreiben einer Dateiressourcenrichtlinie Wenn Sie die Dateizugriffsfunktion f r eine Rolle aktivieren m ssen Sie Ressourcenrichtlinien erstellen die angeben auf welche Windows und UNIX NFS Ressourcen ein Benutzer zugreifen darf und welche Codierung f r die Kommunikation mit Windows und NFS Dateifreigaben verwendet werden soll Wenn ein Benutzer eine Datei anfordert wertet das IVE die entsprechenden Ressourcenrichtlinien aus z B Ressourcenrichtlinien f r den Windows Zugriff bei einer Anforderung eines MS Word Dokuments DOC Datei Wenn das IVE f r eine Benutzeranforderung einer Ressource die in der entsprechenden Richtlinie aufgef hrt ist eine bereinstimmung findet f hrt es die f r die Ressource angegebene Aktion aus Beim Schreiben einer Dateiressourcenrichtlinie m ssen Sie die folgenden zentralen Informationen angeben e Ressourcen Eine Ressourcenrichtlinie muss mindestens eine Ressource angeben auf die sich die Richtlinie bezieht Beim Schreiben einer Dateirichtlinie m ssen Sie Dateiserver oder bestimmte Freigaben angeben Weitere Informationen finden Sie unter Angeben von Windows Dateiressourcen auf Seite 48 und Angeben von UNIX NFS Dateiressourcen auf Seite 49 e Rollen Eine Ressourcenrichtlinie muss die Rollen angeben auf die sie sich bezieht Wenn ein Benutzer eine Anforderung durchfuhrt ermittelt das IVE zunachst die fur die Rolle gultigen Richtlinien u
465. ones hei t Sie sich aber nicht erinnern k nnen ob der Benutzername Joe oder Joseph lautet geben Sie im Feld Show Users Named die Zeichenfolge Jo ein Das IVE gibt eine Liste aller Benutzer zur ck deren Benutzername mit den Buch staben jo beginnt Um zu steuern wie viele Benutzer und Administratoren auf der Seite Active Users angezeigt werden geben Sie im Feld Show N users eine Zahl ein und klicken Sie auf Update Um die Tabelle der aktuell angemeldeten Benutzer und Admini stratoren zu sortieren klicken Sie auf eine Spalten berschrift Klicken Sie zum Aktualisieren des Seiteninhalts auf Update e Erstellen einer Verkn pfung mit weiteren Registerkarten Klicken Sie zum Bearbeiten des Authentifizierungsbereichs eines Benutzers neben dem Namen auf die Verkn pfung Realm und folgen Sie den Anweisungen unter Konfigurieren eines Authentifi zierungsbereichs auf Seite 273 Klicken Sie zum Bearbeiten der Rolle eines Benutzers auf die Ver kn pfung Role neben seinem Namen und folgen Sie den Anwei sungen unter Konfigurieren der Seite Delegation auf Seite 265 f r Administratoren oder Konfigurieren der Seite Roles auf Seite 285 f r Endbenutzer NetScreen Instant Virtual Extranet Plattform 133 Administrationshandbuch 10 722777777 Central Manager Help Sign Out li Active Users b Status D Configuration Overview Active Users Meeting Schedule D Network D Clu
466. onfigurationsfehler verursachen die schwer aufzusp ren und zu beheben sind NetScreen Instant Virtual Extranet Plattform 395 Administrationshandbuch Iv Exportieren von Rollen und Ressourcenrichtlinien So exportieren Sie Rollen und Ressourcenrichtlinien 1 Wahlen Sie in der Web console Maintenance gt Import Export gt Roles and Policies gt Export aus Aktivieren Sie das Kontrollkastchen Delegated Admin Roles um delegierte Administrationsrollen zu kopieren Gehen Sie anschlieBend folgenderma en vor e Wahlen Sie All roles aus um alle delegierten Administrationsrollen zu kopieren e Wahlen Sie Selected roles und dann Rollen aus der Liste Available Roles aus Klicken Sie auf Add wenn Sie nur einige Rollen kopieren m chten Aktivieren Sie das Kontrollk stchen User Roles um Benutzerrollen zu kopieren e Wahlen Sie All roles aus um alle delegierten Administratorrollen zu kopieren e Wahlen Sie Selected roles und dann Rollen aus der Liste Available Roles aus Klicken Sie auf Add wenn Sie nur einige Rollen kopieren m chten Aktivieren Sie das Kontrollk stchen Resource Policies um Ressourcenrichtlinien zu kopieren Aktivieren Sie anschlie end die Kontrollk stchen f r die Typen von Ressourcenrichtlinien die Sie kopieren m chten beispielsweise Richtlinien f r Zugriffssteuerung Zwischenspeicherung oder selektives Neuschreiben Klicken Sie auf Export Configuration um die Informationen in einer XML Da
467. ontrollk stchen neben dem Namen des Knotens und klicken Sie dann auf Disable Initialisieren Sie das Clustermitglied mit einer Security World Gehen Sie folgenderma en vor e Wenn dies der erste Knoten im Cluster ist erstellen Sie eine neue Security World Seite 461 e Wenn dies ein nachfolgender Knoten im Cluster ist initialisieren Sie das Ger t mit der vorhandenen Security World des Clusters Seite 464 Kehren Sie zur Registerkarte System gt Clustering gt Status des Knotens zuruck aktivieren Sie in der Spalte Cluster Members das Kontrollkastchen neben dem Namen des Knotens und klicken Sie dann auf Enable Fuhren Sie diese Schritte fur jeden Knoten im Cluster durch NetScreen Instant Virtual Extranet Plattform 463 Administrationshandbuch VI wiederherstellen einer archivierten Security World nur Access Series FIPS In seltenen F llen m ssen Sie das System mithilfe einer archivierten Security World wiederherstellen Die archivierte Security World kann eine altere Version als die im System vorhandene Security World sein oder mit dieser bereinstimmen Um das System wiederherzustellen m ssen Sie auf die Systemkonfigurationsdatei in der Standardeinstellung system cfg zugreifen k nnen die die archivierte Security World und das entsprechende Zertifikat enth lt Wenn Sie ein Security World mit einer anderen Security World berschrei ben m ssen Sie au erdem ber Folgendes verf gen Alle Kryptographiemo
468. onymen Server konfiguriert ist Seite 275 224 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch e Sie k nnen die Sitzungen von anonymen Benutzern im Gegensatz zu anderen Authentifizierungsservern nicht l schen und nicht ber die Registerkarte Users anzeigen da keine Benutzernamen eingegeben wurden und das IVE daher keine individuellen Sitzungsdaten anzeigen kann vi Definieren einer Instanz eines anonymen Servers So definieren Sie einen anonymen Server 1 W hlen Sie in der Web console System gt Signing In gt Servers aus 2 F hren Sie einen der folgenden Vorg nge aus e Um eine neue Serverinstanz auf dem IVE zu erstellen w hlen Sie aus der Liste New den Eintrag Anonymous Server aus und klicken Sie dann auf New Server e Klicken Sie zum Aktualisieren einer vorhandenen Serverinstanz auf die entsprechende Verkn pfung in der Liste Authentication Authorization Servers 3 Geben Sie einen Namen ein um die Serverinstanz zu bezeichnen Klicken Sie auf Save Changes 5 Geben Sie die Bereiche an die der Server f r die Autorisierung von Benutzern verwenden soll Seite 273 EAN NETSCREEN Central Manager Help Sign Out System Servers gt D statie New Anonymous Server D Configuration D Network b Clustering Name Marketing Site Label to reference this server D Log Monitoring Signing In vr Save Changes Reset gt Authentication 3 Reset D Delegation Abbild
469. opyright 1995 1996 by David Mazieres lt dm lcs mit edu gt Copyright 1993 2002 The OpenSSL Project Alle Rechte vorbehalten Copyright 1989 2001 Larry Wall Alle Rechte vorbehalten Copyright 1989 1991 Free Software Foundation Inc Copyright 1996 2002 Andy Wardley Alle Rechte vorbehalten Copyright 1993 2002 Canon Research Centre Europe Ltd Copyright 1995 1998 Jean loup Gailly and Mark Adler Secure Access Product Group NetScreen Technologies Inc 940 Stewart Drive Sunnyvale CA 94085 USA Telefon 408 962 8200 Fax 408 962 8201 400A020404 VOLWORL ie ee ee tee ix Tel IVE Series anien ee 1 Einf hrung in das NetScreen Instant Virtual Extranet un 3 Access Series bersicht 222444222044222Bnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennn 7 Access Series FIPS bersicht 2220222204422204Rnnnnnnnnnnnnnnnnennnnnnnnnnnnnnnnn 9 Secure Meeting bersicht 222444222244402040Rnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 13 Konferenzplanung teilnahme und durchf hrung 02220022002000 nen nennen 14 Zugriff auf den K nferenz URE sense aa 17 Von Secure Meeting unterst tzte Umgebungen uu2220222022nenennnnnnnennennnennnen nenn 18 Secure Meeting Fehlerbehebung 2 2202420200002000nnn none nano nnnn ann nenne nnnennnn 20 Zugriffsverwaltung bersicht
470. or Event protokolliert Kleinere Ereignisse entspre chen blicherweise einzelnen fehlgeschlagenen Anforderungen e Info Sicherheitsstufe 1 4 Wenn das IVE eine Benachrichtigungs meldung anzeigt ein Benutzer eine Anforderung vornimmt oder ein Administrator eine nderung durchf hrt wird ein Informationsereignis Informational Event protokolliert Benutzerdefinierte Filterung von Protokolldateien Mit dem Central Manager Paket k nnen Sie die Daten in den Protokollda teien f r Ereignisse Benutzerzugriff und Administratorzugriff filtern und formatieren Wenn Sie Protokolldateien filtern speichert das IVE nur die Meldungen die in der Filterabfrage angegeben wurden Sie k nnen z B eine Abfrage erstellen die nur Eintr ge f r einen bestimmten IP Adress Bereich oder f r Benutzer protokolliert die in einem bestimmten Bereich angemeldet sind Eine Abfrage wird mithilfe der IVE Sprache f r benutzerdefinierte Aus dr cke erstellt Wenn Sie Protokolldateien formatieren ndert das IVE lediglich das Ausse hen der Meldungen entsprechend Ihrer Angaben Protokollformate wirken sich nicht auf die Auswahl von Daten aus die das IVE speichert sondern nur auf die Art wie das IVE sie anzeigt Das IVE umfasst Standard WELF und W3C Protokollformate es steht Ihnen jedoch frei benutzerdefinierte Formate zu erstellen Benutzerdefinierte Formate k nnen mithilfe der Pro tokollfelder erstellt werden Konfigurationsanweisungen finde
471. or f r alle Funktionen innerhalb einer Benutzerrolle Lese und Schreibzugriff gew hren gestattet das IVE dem delegierten Administrator auch Lesezugriff auf die Webkonsole Startseite f r diese Benutzerrolle User gt Role gt Rolle gt General gt Overview Das IVE deaktiviert f r alle delegierten Administratoren die Befehle New Role Duplicate und Delete auf der Seite User gt Roles Wenn Sie einem delegierten Administrator ber die Seite Administrators gt Delegation gt Administratorrolle gt System Schreibzugriff auf eine Ressourcenrichtlinie erteilen kann er eine Ressourcenrichtlinie erstellen die auf alle Benutzerrollen anwendbar ist auch wenn er nicht ber Lesezugriff auf diese Rolle verf gt So definieren Sie Rollenverwaltungsberechtigungen f r eine Administratorrolle 1 W hlen Sie in der Webkonsole Administrators gt Delegation aus 2 W hlen Sie die Administratorrolle aus die Sie ndern m chten 3 4 W hlen Sie unter Allowed Roles die Benutzerrollen aus deren Klicken Sie auf die Registerkarte User Role Admin Verwaltung Sie dem Administrator erlauben m chten Geben Sie unter Permissions die dem Administrator erm glichte Zugriffsebene an e Write All Gibt an dass Mitglieder der Administratorrolle alle Einstellungen f r die ausgew hlte n Benutzerrolle n ndern k nnen e Custom Settings Erm glicht Ihnen die Auswahl von Administratorberechtigungen Deny Read oder Write f
472. org com marketing eigeneorg com e Bei Dom nennamen wird die Gro und Kleinschreibung ber cksichtigt e Es d rfen keine Platzhalterzeichen verwendet werden Geben Sie im Feld Cookie Provider Domain die Internetdom ne n an an die die IVE appliance die Inhalte der SMSESSION Cookies sendet Wenn Sie f r einen Cookieanbieter die Einzelanmeldung ber mehrere Cookiedom nen aktiviert haben geben Sie den Namen des Cookieanbieters ein Andernfalls geben Sie die Dom ne n der Web Agents ein f r die Einzelanmeldung erw nscht ist W hlen Sie im Abschnitt Protocol die Option HTTPS um Cookies sicher zu senden sofern andere Web Agents f r den Empfang sicherer Cookies eingerichtet sind oder w hlen Sie HTTP aus um Cookies ungesichert zu senden Aktivieren Sie das Kontrollk stchen Automatic Sign In wenn Benutzer die ber ein g ltiges SMSESSION Cookie verf gen automatisch beim IVE angemeldet werden sollen W hlen Sie dann den Authentifizierungsbereich aus dem die Benutzer zugeordnet werden Weitere Informationen und Einschr nkungen zu diesen Optionen finden Sie unter Automatische Anmeldung beim IVE ber SiteMinder auf Seite 250 NetScreen Instant Virtual Extranet Plattform 257 Administrationshandbuch 15 W hlen Sie eine der folgenden Cookie Authentifizierungsmethoden aus Authenticate using custom agent W hlen Sie diese Option aus wenn die Authentifizierung ber den benutzerdefinierten Web Agent des I
473. oring 7 Re Re a F O Signing In Administrators gt Authentication gt Delegation Users gt Authentication b Roles D New User Resource Policies Web Files SAM Telnet SSH Network Connect Meetings 72 7 Oe Oe Email Client Maintenance D System gt Import Export gt Push Config D Archiving gt Troubleshooting Help Sign Out Roles gt employees hq General Web Files BEE Telnet SSH Meetings Network Connect Applications Options Windows SAM C Java SAM Secure Application Manager options M Auto launch Secure Application Manager Use auto launch to automatically start the Secure Application Manager when users sign in l Auto uninstall Secure Application Manager Use auto uninstall to automatically uninstall the Secure Application Manager after users sign off M Auto allow application servers Use auto allow to automatically add WSAM allowed servers and JSAM application servers to the SAM access control policy Note that this does not apply to any user configured applications Windows SAM Options M Auto upgrade Secure Application Manager Use auto upgrade to automatically upgrade the Secure Application Manager when users sign in Please specify the timeout that should be used for connection based applications e g Telnet This indicates the time after which an inactive session will be timed out by Secure Application Manager Connection idle timeout 120 minutes Java SA
474. oring Rule If user is a member of any of these selected groups D Signing In ER Available Groups Selected Groups Administrators Een z elnetClents b Authentication Add gt D Delegation Remove Users gt Authentication gt Roles D New User Resource Policies Groups then assign these roles Available Roles Selected Roles gt Web ShortTimeoutEmployees NSProdDey D Files ploy Add gt D y NSExecsRole D Telnet SsH nl _ Remove D Network Connect D Meetings D Email Client Maintenance NSSalesRole f Stop processing rules when this rule matches Sign Out 283 Abbildung 77 Die im Serverkatalog hinzugef gte Gruppe steht fur die Rollenzuordnungsregel zur Verf gung Server Catalog for tse Server Catalog for tse Attributes Groups Expressions Attributes Groups Expressions timebasedCondition timebasedCondition ANDcondition Name Expression Name ANDcondition Expression igroup Sales AND group Support OR useri ttr title execs OR SourceIP 10 10 0 0 16 lt Add Expression N lt Add Expression OK New Delete OK New Delete Abbildung 78 Registerkarte Server Catalog Expressions Hinzuf gen eines benutzerdefinierten Ausdrucks 284 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch SEA 722777777 Central Manager Help Sign Out System D Status gt Configuration D Network
475. orisierten Ressourcen und Inhalten herzustellen oder diese herunter zuladen Weitere Informationen finden Sie unter Richtlinien Regeln und Einschr nkungen sowie Bedingungen 23 Angeben von Sicherheitsanforderungen ceeeeeeeeeeeeeeeeeeeeeeeaneeeees 26 Richtlinien Regeln und Einschrankungen sowie Bedingungen Der Zugriff auf Ressourcen beginnt im Authentifizierungsbereich Als Authentifizierungsbereich wird eine Gruppierung von Authentifizierungs ressourcen bezeichnet Dies umfasst e Ein Authentifizierungsserver der die Identitat des Benutzers uber pr ft und best tigt Das IVE leitet die Anmeldeinformationen eines Benutzers von der Anmeldeseite an einen Authentifizierungsserver weiter Seite 212 e Eine Authentifizierungsrichtlinie die die Sicherheitsanforderungen des Bereichs angibt die erf llt sein m ssen damit das IVE die Anmeldeinformationen eines Benutzers zur berpr fung an einen Authentifizierungsserver weiterleitet Seite 203 e Ein Verzeichnisserver ist ein LDAP Server der dem IVE Benutzer und Gruppeninformationen bereitstellt mit denen das IVE Benutzer zu einer oder mehreren Benutzerrollen zuordnet Seite 229 e Rollenzuordnungsregeln geben die Bedingungen an die ein Benutzer erf llen muss damit ihn das IVE zu einer oder mehreren Rollen zuweist Diese Bedingungen beruhen entweder auf den Benutzerinformationen die der Verzeichnisserver des Bereichs zur ckgibt oder auf dem Ben
476. osen Pocket PC Ger ten Standard e Interne Dateiserver NFS und CIFS des Unternehmens sowie Funktio nen zur Datei bertragung an und von beliebigen Verzeichnissen Standard e Systemeigene Nachrichtenclients wie Microsoft Outlook und IBM Lotus Notes von jedem PC aus Aktualisierungsoption f r Secure Email Client e Auf Standards basierende E Mail Clients wie Microsoft Outlook Express Netscape Communicator und Eudora von Qualcomm von jedem PC aus Aktualisierungsoption f r Secure Application Manager e Client Serveranwendungen wie Citrix ICA Client pcAnywhere und MS Terminaldienste von jedem PC aus Aktualisierungsoption fur Secure Application Manager e Gehostete Server Uber Telnet und SSH von jedem PC aus Aktualisie rungsoption fur sicheren Terminalzugriff e Funktionen fur die sichere Zusammenarbeit einschlieBlich der Planung von Konferenzen Remote Konferenzvorfuhrungen Remotesteuerung des Desktops des Vorf hrenden sowie Textchats Aktualisierungsoption Secure Meeting Ihre Mitarbeiter Partner und Kunden ben tigen lediglich einen Standard webbrowser f r den PC Internet Explorer Netscape AOL Pocket IE und eine Internetverbindung f r den Zugriff auf die intuitive Startseite des Access Series IVE Auf dieser Seite wird das Fenster bereitgestellt ber das die Benutzer sicher Web oder Dateiserver durchsuchen HTML f hige Unternehmensanwendungen verwenden den Client Serveranwendungs proxy starten oder eine Termin
477. ource in der Liste Resource f r eine Richtlinie oder ausf hrliche Regel zuordnet f hrt es die angegebene Aktion aus und beendet die Richtlinienverarbeitung Ein Beispiel f r eine Webressourcenrichtlinie finden Sie in den Abbildungen unter Schreiben einer Webressourcenrichtlinie auf Seite 325 Registerkarte Caching gt Policies Auf der Registerkarte Caching gt Policies k nnen Sie eine Webressourcen richtlinie schreiben die steuert welche Webinhalte auf einem Benutzer computer zwischengespeichert werden Die Zwischenspeicherung im Browser ist standardm ig deaktiviert sodass das IVE s mtliche Seiten die f r Remotebenutzer bereitgestellt werden als nicht zwischenspeiche rungsf hig markiert Durch diese Einstellung wird verhindert dass vertrau liche Seiten auf Remotecomputern verbleiben nachdem ein Benutzer den Browser geschlossen hat Diese Option kann jedoch auch zu einer Verlang samung des Browsers f hren weil sie zum wiederholten Abrufen von Inhal ten f hrt Bei sehr langsamen Verbindungen k nnen Probleme mit der Systemleistung auftreten Alternativ k nnen Sie eine Richtlinie angeben die gestattet dass einige Inhalte wie Bilder die eine bestimmte Gr enbe schr nkung nicht berschreiten zwischengespeichert werden k nnen 332 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Browserunterst tzung Bei den Cachesteuerungsdirektiven handelt es sich um W3C Standards di
478. plizit gespeicherten Dateien Internet Explorer Plugins ActiveX Steuerelemente oder Eintr ge in index dat eine private Tabelle von URLs die vom Internet Explorer verwaltet wird Weitere Informationen zu den Optionen der Zugriffsverwaltung finden Sie unter Zugriffsverwaltung bersicht auf Seite 23 66 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch NetScreen Instant Virtual Extranet Plattform 67 Administrationshandbuch Central Manager bersicht Central Manager ist ein zweischichtiges System Client Server fur die Ver waltung mehrerer IVEs unabhangig davon ob diese sich in einem Cluster befinden Central Manager enthalt Folgendes e System Dashboard Die Dashboard Funktion von Central Manager zeigt Diagramme und Warnhinweise zur Systemkapazitat an und erm glicht Ihnen damit die komfortable Uberwachung des Systems Seite 125 e Verbesserte Protokollierung und berwachung Sie k nnen eigene Filter f r die Protokollierung erstellen sodass Sie nur ausgew hlte Protokollmeldungen im gew nschten Format anzeigen und speichern k nnen Seite 187 e Konfigurations bertragung Die Funktion f r die Konfigurations bertragung erm glicht eine komfor table zentrale Verwaltung da Sie Einstellungen ganz einfach von einem IVE auf ein anderes bertragen k nnen Seite 399 e Ausfallfreie Aktualisierung Die Funktion f r ausfallfreie Aktualisierung beschleunigt die Aktualisie rung
479. ption auswahlen gibt das IVE einem authentifizierten Benutzer eine Liste zulassiger Rollen aus Der Benutzer muss eine Rolle aus der Liste auswahlen und das IVE weist den Benutzer dann fur die Dauer der Benutzersitzung dieser Rolle zu 1 Siehe Rollenzuordnungsregeln auf Seite 53 NetScreen Instant Virtual Extranet Plattform 59 Administrationshandbuch Richtlinien f r permissive Zusammenf hrungen Eine permissive Zusammenf hrung ist eine Zusammenf hrung die aktivierte Funktionen und Einstellungen anhand der folgenden Richtlinien kombiniert Die Aktivierung einer Zugriffsfunktion in einer Rolle hat Vorrang vor der Deaktivierung der gleichen Funktion in einer anderen Rolle Wenn bei spielsweise Secure Meeting f r eine Rolle der ein Benutzer angeh rt deaktiviert f r eine andere Rolle jedoch aktiviert ist darf der Benutzer Secure Meeting in dieser Benutzersitzung verwenden Bei Secure Application Manager aktiviert das IVE die Version die der ersten Rolle entspricht f r die diese Funktion aktiviert ist Au erdem f hrt das IVE die Einstellungen aller Rollen zusammen die der ausge w hlten Version entsprechen Bei den Optionen f r die Benutzeroberfl che wendet das IVE die Einstel lungen an die der ersten Rolle entsprechen der der Benutzer zugeord net ist Bei berschreitungen der Sitzungsdauer wendet das IVE den h chsten Wert aller Rollen auf die Benutzersitzung an Wenn die Roaming Sitzungsfunktion f
480. r k nnen im IVE jedoch ausschlie lich auf die Konferenz zugreifen zu der sie eingeladen wurden 18 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Von Secure Meeting unterst tzte Umgebungen Secure Meeting kann in den unterschiedlichsten Umgebungen eingesetzt werden Je nach Systemkonfiguration arbeitet Secure Meeting m glicher weise unterschiedlich und stellt andere Funktionsebenen bereit Dies wird in den folgenden Abschnitten beschrieben Mit der Secure Meeting Kompatibilit ts berpr fung k nnen Sie am einfach sten feststellen ob Ihr System mit Secure Meeting kompatibel ist Wech seln Sie hierf r mithilfe des Konferenz URL https IhrIVE Meeting zur Konferenzanmeldeseite und klicken Sie auf Konferenzkompatibilit t berpr fen Secure Meeting ermittelt den Grad der Kompatibilit t und schl gt zum Erreichen voller Kompatibilit t ggf Aktualisierungen vor Nach der Planung einer Konferenz k nnen Sie jederzeit die Kompatibilit ts ber pr fung ausf hren Sie m ssen damit nicht bis zum Beginn der Konferenz warten Wichtig Die Kompatibilit ts berpr fung von Secure Meeting berpr ft nicht die Verbindungsgeschwindigkeit den Legacymodus und weitere Faktoren die eine Konferenz beeinflussen k nnen Informationen zu Faktoren die nicht ber pr ft werden finden Sie unter Weitere Systemanforderungen und Einschr nkun gen auf Seite 19 Betriebssystem und Browseranforderungen Secur
481. r Administrator seinen Bereichsnamen manuell auf der Anmeldeseite eingeben e User picks from a list of authentication realms Die Anmelderichtlinie ist nur dem von Ihnen gew hlten Authentifizierungsbereich zugeordnet Das IVE zeigt dem Benutzer oder Administrator diese Bereichsliste bei der Anmeldung am IVE an und erm glicht die Auswahl eines in der Liste aufgef hrten Bereichs Wenn dem URL nur ein einziger Bereich zugeordnet ist zeigt das IVE keine Dropdownliste von Bereichen an Stattdessen verwendet es automatisch den von Ihnen festgelegten Bereich 8 Klicken Sie auf Save Changes 206 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch E N NETSCREEN Central Manager Help Sign Out System Signing In gt ai Status Configuration Network Save Changes D D D D Clustering D b Log Monitoring Signing In User type Users Administrators Administrators Sign in URL Fr You can use wildcards D Authentication Description Default User Sign In gt Delegation Users z gt Authentication Sign in page Default Sign In Page To create or manage pages see Sign In pages D Roles D New User Authentication realm Resource Policies an Specify how to select an authentication realm when signing in gt Web D Files C User types the realm name D SAM The user must type the name of one of the available authentication realms D Telnet SSH gt Network Connect D Maetinal
482. r Liste Authentication Server angeben und dann in der Liste Directory Attribute server die Option None ausw hlen Dann konfigu rieren Sie Rollenzuordnungsregeln um Attribute des RADIUS Servers zu verwenden die in einer Attributliste auf der Seite Role Mapping Rule ver f gbar sind nachdem Rule based on User attribute ausgew hlt wurde Weitere Informationen zum Angeben eines Verzeichnisservers finden Sie unter Erstellen eines Authentifizierungsbereichs auf Seite 273 Weitere Informationen zum Angeben von LDAP oder RADIUS Attributen in Rollen zuordnungsregeln finden Sie unter Angeben von Rollenzuordnungsregeln f r einen Authentifizierungsbereich auf Seite 277 Rollenzuordnungsregeln Eine Rollenzuordnungsregel ist eine Anweisung die in folgendem Format angegeben wird Wenn die angegebene Bedingung wahrlnicht wahr ist dann ordne den Benutzer den ausgew hlten Rollen zu 38 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Sie erstellen eine Rollenzuordnungsregel auf der Registerkarte Role Mapping eines Authentifizierungsbereichs Wenn Sie auf dieser Register karte auf New Rule klicken wird die Seite Role Mapping Rule angezeigt Sie enth lt einen integrierten Editor f r die Definition von Regeln Der Editor f hrt Sie durch die drei Schritte die zum Erstellen einer Regel notwendig sind 1 Geben Sie den Bedingungstyp an auf dem die Regel beruhen soll Folgende Optionen stehen zur Verf gung
483. r Verzeichnisserver benutzen Custom Expressions Custom Expressions sind benutzerdefinierte Ausdr cke die Sie im Serverkatalog definieren W hlen Sie diese Option aus wenn Benutzer anhand benutzerdefinierter Ausdr cke zu Rollen zugeordnet werden sollen Dieser Regeltyp ist f r alle Bereiche verf gbar 5 Geben Sie unter Rule die auszuwertende Bedingung an die dem ausgew hlten Regeltyp entspricht und folgende Punkte umfasst 1 Angeben von mindestens einem Benutzernamen einem RADIUS oder LDAP Benutzerattribut einem Zertifikatsattribut einer LDAP Gruppe oder einem benutzerdefinierten Ausdruck Angeben der Wertentsprechungen Dies kann auch eine Liste von IVE Benutzernamen Benutzerattributswerten von einem RADIUS oder LDAP Server clientseitigen Zertifikatswerten statische oder LDAP Attribute LDAP Gruppen oder benutzerdefinierten Ausdr cken umfassen 6 Nehmen Sie unter then assign these roles folgende Eingaben vor 1 2 Geben Sie die Rollen an die Sie dem authentifizierten Benutzer zuordnen wollen indem Sie Rollen zur Liste Selected Roles hinzuf gen Aktivieren Sie die Option Stop processing rules when this rule matches wenn das IVE die Auswertung der Rollenzuordnungsregeln anhalten soll wenn der Benutzer die f r diese Regel angegebenen Bedingungen erf llt NetScreen Instant Virtual Extranet Plattform 279 Administrationshandbuch 7 Klicken Sie auf Save Changes um die Regel auf der Registerka
484. r auf die Schaltfl che Restore System Settings auf der Seite IVE Advanced Preferences klicken Wenn die Anderung wieder aktiviert werden soll m ssen sie einen Neustart ausf hren 308 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch So geben Sie Anwendungen an die mit J SAM gesichert werden sollen 1 W hlen Sie in der Webkonsole Users gt Roles gt Ausgew hlte Rolle gt SAM gt Applications aus Geben Sie den Namen der Anwendung und bei Bedarf eine Beschreibung ein Diese Informationen werden auf der Seite Client Applications f r IVE Benutzer angezeigt W hlen Sie eine der folgenden Optionen aus e Standard application Auswahl von Citrix NFuse Lotus Notes oder Microsoft Outlook Exchange e Benutzerdefinierte Anwendung 1 Geben Sie im Feld Server den DNS Namen oder die IP Adresse des Servers ein 2 Geben Sie im Feld Server Port den Port ein an dem der Remoteserver die Clientverbindungen berwacht Wenn beispielsweise Telnet Verkehr von einem Remotecomputer weitergeleitet werden soll legen Sie sowohl f r den Clientport an dem J SAM berwacht als auch f r den Serverport an dem der Telnet Server berwacht Port 23 fest Hinweis Sie aktivieren die Laufwerkzuordnung zu dieser Ressource indem Sie 139 als Serverport eingeben 3 Geben Sie im Feld Local Port den Port ein den J SAM auf Verbindungen mit Clientanwendungen berwachen soll Normalerweise stimmt der Wert f r den
485. r beiden Formate aufweisen e Pr fix Obere Bits e IP a b c d Beispiel 10 11 149 2 24 oder 10 11 149 2 255 255 255 0 Sonderzeichen sind nicht zul ssig Ports optional M gliche Werte Entspricht ALLEN Ports andere Sonderzeichen sind nicht zul ssig Port Port Eine durch Kommas getrennte Liste einzelner Ports G ltige Portnummern sind 1 65535 Port 1 Ein Portbereich von Port 1 bis Port 2 einschlie lich Port 2 Hinweis Sie k nnen Portlisten und Portbereiche mischen Beispiel 80 443 8080 8090 Wenn kein Port angegeben ist wird der Standardport 80 f r http und 443 f r https zugewiesen Bei der Angabe eines Ports muss das Trennzeichen eingegeben werden Pfad optional Wenn kein Pfad angegeben ist wird von einem Sternchen ausgegan gen was bedeutet dass ALLE Pfade zutreffen Bei der Angabe eines Pfa des muss das Trennzeichen eingegeben werden Es werden keine weiteren Sonderzeichen unterst tzt Beispiele e http www netscreen com 80 e https www netscreen com 443 intranet e yahoo com 80 443 e danastreet net 80 share users lt USER gt 48 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Angeben von Windows Dateiressourcen Kanonisches Format Server Freigabe Pfad Die drei Bestandteile sind e Server erforderlich M gliche Werte e Hostname Die Systemvariable lt USER gt kann verwendet werden e IP Adresse Die IP Adresse
486. r die einzelnen Funktionen innerhalb der Benutzerrolle W hlen Sie unter Read only roles die Benutzerrollen aus die der Administrator anzeigen nicht jedoch verwalten darf Klicken Sie auf Save Changes NetScreen Instant Virtual Extranet Plattform Administrationshandbuch EAN NETSCREEN Central Manager System Status Configuration Network Clustering Log Monitoring CPt A re ee Signing In Administrators gt Authentication gt Delegation Users gt Authentication D Roles gt Mew User Resource Policies Web D D Files D SAM D Telnet SSH D Network Connect D Meetings D Email Client Maintenance D System D Import Export D Push Config D Archiving gt Troubleshooting Help Sign Out Delegated Admin Roles gt Help Desk Administrators User Role Admin Save Changes Allowed roles General System C Administrator can manage ALL roles Administrator can manage SELECTED roles Available roles Selected roles employees apac employees emea employees global employees hq globalMarCom x Add gt Remove Permissions Custom Settings General Read Web Read Files Write SAM Read Telnet SSH Read Network Connect Read Write Deny All administrators that have access to the selected roles have at least read only access to the role s Name and Description as displayed on the General page
487. r zugeordnet werden kann 2 Das IVE ber cksichtigt dabei ob konfiguriert wurde dass die Verarbeitung bei einem Treffer beendet werden soll Option Stop on Match Wenn dies der Fall ist f hrt das Modul mit Schritt 5 fort Gem Prozessschritt 2 wertet das IVE die n chste Regel aus die auf der Registerkarte Role Mapping des Authentifizierungsbereichs angegeben ist Dies wird f r alle folgenden Regeln wiederholt bis alle Rollenzuord nungsregeln ausgewertet sind und das IVE eine vollst ndige Liste der zul ssigen Rollen aufgestellt hat Das IVE wertet die Definitionen aller Rollen in der Liste der zul ssigen Rollen aus und berpr ft ob der Benutzer Rolleneinschr nkungen unter liegt Das IVE erstellt anhand dieser Informationen eine Liste der g lti gen Rollen zu erstellen d h der Rollen f r die der Benutzer zus tzliche Anforderungen erf llt Wenn die Liste g ltiger Rollen nur eine Rolle enth lt ordnet das IVE den Benutzer dieser Rolle zu Andernfalls setzt das IVE die Auswertung fort F r Benutzer die mehreren Rollen zugeordnet sind wertet das IVE die Einstellung aus die auf der Registerkarte Role Mapping angegeben ist e Merge settings for all assigned roles Wenn Sie diese Option auswahlen fuhrt das IVE eine permissive Zusammenfuhrung aller gultigen Benutzerrollen durch um die Gesamtrolle Netzrolle fur eine Benutzersitzung zu ermitteln e User must select from among assigned roles Wenn Sie diese O
488. rden die die Anzahl der Konferenzen und der pro Rolle zul ssigen Teilnehmer steuern durchl uft Secure Meeting die verschiedenen Rollen um solche zu finden deren H chstzahl noch nicht erreicht ist 318 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Sie k nnen z B festlegen dass die folgenden Rollen die angegebene Anzahl von Konferenzen planen k nnen Entwicklung 25 Konferenzen Management 50 Konferenzen e Vertrieb 200 Konferenzen Wenn Joe diesen Rollen in der genannten Reihenfolge zugeordnet ist und versucht eine Konferenz zu planen berpr ft Secure Meeting zun chst ob die zul ssige Anzahl geplanter Konferenzen f r die Rolle Entwicklung bereits erreicht ist Wenn dies der Fall ist berpr ft Secure Meeting die Konferenzanzahl f r die Rolle Management Wenn auch hier die H chstzahl erreicht ist berpr ft Secure Meeting diejenige f r die Rolle Vertrieb Nur wenn die H chstzahl f r alle Rollen erreicht ist wird Joe von Secure Meeting eine Meldung angezeigt dass die H chstzahl geplanter Konferenzen erreicht ist und er keine Konferenz erstellen kann Die Anzahl von Konferenzen oder Konferenzteilnehmern kann nicht auf Bereichsebene begrenzt werden VI Aktivieren und Konfigurieren von Konferenzen f r Benutzerrollen So aktivieren und konfigurieren Sie Konferenzen 1 2 W hlen Sie in der Web console Users gt Roles aus W hlen Sie eine Rolle aus
489. rderungen star tet das IVE immer mit den Richtlinien f r Web Rewriting Neuschreiben von Webinhalt Selective Rewriting selektives Neuschreiben und Pass Through Proxy Durchgangsproxy um zu bestimmen ob die Anforderung verarbeitet werden soll Wenn keine dieser Richtlinien angewendet werden kann oder keine definiert ist wertet das IVE die Richtlinien f r Web Access Webzugriff aus bis es eine findet die zur angefragten Ressource geh rt Das IVE wertet eine Gruppe von Ressourcenrichtlinien f r eine Zugriffsfunk tion von oben nach unten aus d h es startet mit der ersten Richtlinie und durchl uft dann die Liste bis eine passende Richtlinie gefunden wird Wenn Sie detaillierte Regeln f r die passende Richtlinie definiert haben wertet das IVE die Regeln von oben nach unten aus und stoppt wenn es in der Liste Resource der Regel eine passende Ressource findet In der folgenden Abbildung werden die allgemeinen Schritte der Richtlinienauswertung dargestellt 44 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch IVE receives user request and evaluates user s session role to determine if the corre sponding access feature is enabled If yes IVE evaluates resource policies related to user request sequentially processing each policy until finding the policy whose resource list and designated roles match the request IVE evaluates detailed rules for the matching reso
490. reich 275 Angeben von Rollenzuordnungsregeln f r einen Authentifizierungsbereich 277 Use the server catalog ee een lei 279 Registerkarte General Auf der Registerkarte General k nnen Sie einen Authentifizierungsbereich erstellen Weitere Informationen zu Bereichen finden Sie unter Authentifizierungsbereiche bersicht auf Seite 35 V Erstellen eines Authentifizierungsbereichs So erstellen Sie einen Authentifizierungsbereich 1 Wahlen Sie in der Webkonsole Administrators gt Authentication oder Users gt Authentication aus Klicken Sie auf der entsprechenden Seite Authentication Realms auf New Realm Verfahren Sie auf der Seite New Realm folgendermaBen 1 2 3 Geben Sie eine Bezeichnung fur diesen Bereich ein Geben Sie eine Beschreibung f r den Bereich ein Optional Aktivieren Sie When editing start on the Role Mapping page wenn die Registerkarte Role Mapping beim Offnen des Bereichs zur Bearbeitung aktiviert sein soll 274 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch 4 Legen Sie unter Servers Folgendes fest e Einen Authentifizierungsserver der zum Authentifizieren von Benutzern verwendet werden soll die sich bei diesem Bereich anmelden e Einen Verzeichnis Attributserver zum Abrufen von Benutzerattributen und Gruppeninformationen f r Rollenzuordnungsregeln und Ressourcenrichtlinien Optional 5 Klicken Sie auf
491. ren nicht fortw hrend Sicherheitsrichtlinien verwalten und Sicherheitsl cken f r zahlreiche ver schiedene Anwendungen und Webserver beheben die in der ffentlichen DMZ bereitgestellt werden Das Instant Virtual Extranet vermittelt den Zugriff auf verschiedenste Arten von Anwendungen und Ressourcen mithilfe einfacher Webbrowsertechnologien Die Benutzer erhalten ber eine durch die Appliance gehostete Extranetsitzung einen authentifizierten Zugriff auf autorisierte Ressourcen Benutzer k nnen von jedem Webbrowser mit Internetanbindung ber eine sichere Websitzung auf umfangreiche webbasierte Unternehmensanwendungen Java NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Anwendungen Dateifreigaben Terminalhosts und weitere Client Server Anwendungen wie z B Microsoft Outlook und Lotus Notes zugreifen Wie wird das IVE konfiguriert Die Konfiguration des IVE erfolgt in f nf grundlegenden Schritten ber die Webkonsole des Administrators 1 Definieren von Benutzer und Administratorrollen Seiten der Webkonsole User gt Roles und Administrators gt Delegation Rollensteuerung auf die Ressourcenbenutzer und Administratoren zu greifen k nnen Sie k nnen z B eine Rolle erstellen die Benutzern den Zugriff auf Netzwerkverzeichnisse erlaubt und gleichzeitig den Webzu gang verweigert Auf dem IVE sind bereits eine Benutzerrolle Users und zwei Admini stratorenrollen Administrators
492. riablen finden Sie unter Systemvariablen und Beispiele auf Seite 442 e Benutzerdefinierte Ausdr cke Schreiben Sie unter Einhaltung der entsprechenden Syntax mindestens einen benutzerdefinierten Ausdruck Informationen zur Syntax und zu Variablen finden Sie unter Schreiben benutzerdefinierter Ausdr cke auf Seite 437 Beachten Sie dass benutzerdefinierte Ausdr cke nur mit der erweiterten Lizenz verf gbar sind 4 Klicken Sie auf Save Changes 5 Ordnen Sie die Regeln auf der Registerkarte Detailed Rules in der Rei henfolge an in der sie vom IVE ausgewertet werden sollen Sobald das IVE f r die vom Benutzer angeforderte Ressource eine entsprechende Ressource in der Liste Resource f r eine Regel findet wird die angege bene Aktion durchgef hrt und die Verarbeitung der Regeln und weiterer Ressourcenrichtlinien beendet NetScreen Instant Virtual Extranet Plattform 55 Administrationshandbuch Benutzerrollen bersicht Eine Benutzerrolle ist eine Einheit die die folgenden Einstellungen festlegt Parameter f r Benutzersitzungen Sitzungseinstellungen und optionen individuelle Einstellungen benutzerdefinierte Einrichtung der Oberfl che und Lesezeichen und aktivierte Zugriffsfunktionen Web Datei Anwendungs Netzwerk Konferenz und E Mail Zugriff Eine Benutzerrolle steuert werden den Ressourcenzugriff noch gibt sie andere ressourcenbasierte Optionen f r einzelne Anforderungen an Mithilfe einer Benu
493. richtlinienregeln networklf Verfugbar in e Rollenzuordnungsregeln e Ressourcenrichtlinienregeln e Felder fur SSO Parameter NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Der numerische Wochentag an dem der Benutzer seine Anmeldeinformationen an das IVE sendet dayOfWeek kann auf 0 6 gesetzt werden 0 Sonntag Der numerische Tag des Jahres an dem der Benutzer seine Anmeldeinformationen an das IVE sendet wobei dayOfYear auf 0 365 gesetzt werden kann Der Monat in dem der Benutzer seine Anmeldeinformationen an das IVE sendet wobei month auf 1 12 gesetzt werden kann 1 Januar Das Jahr in dem der Benutzer seine Anmeldeinformationen an das IVE sendet wobei year auf 1900 2999 gesetzt werden kann Die Netzwerkschnittstelle an der eine Benutzerabfrage empfangen wird M gliche Werte internal oder external loginTime dayOfWeek 0 OR 6 loginTime dayOfYear 100 loginTime month gt 4 AND loginTime month lt 9 loginTime year 2005 sourcelp 192 168 1 0 24 and networklf internal realm Verf gbar in e Rollenzuordnungsregeln e Ressourcenrichtlinienregeln e Felder f r SSO Parameter resource Verf gbar in Ressourcenrichtlinienregeln role Verf gbar in e Ressourcenrichtlinienregeln e SSO sourcelp Verf gbar in e Rollenzuordnungsregeln e Ressourcenrichtlinienregeln e Felder f r SSO Parame
494. rization are temporarily cached so that multiple requests for the same eeTgz resource in a short period of time do not require multiple queries to the SiteMinder server You can flush this cache if D Email Client necessary Maintenance Flush Cache D System D Import Export b Push Config Save Changes Reset D Archiving D Troubleshooting Abbildung 65 System gt Signing In gt Servers gt SiteMinder Server gt Advanced NetScreen Instant Virtual Extranet Plattform 263 Administrationshandbuch Anzeigen und L schen von Benutzersitzungen Mi Anzeigen und L schen aktiver IVE Benutzersitzungen Die Konfigurationsseite f r die meisten IVE Authentifizierungsserver enth lt eine Registerkarte Users auf der Sie aktive IVE Benutzersitzungen anzeigen und l schen k nnen Auf den folgenden Typen von Authentifizierungsservern wird diese Registerkarte nicht angezeigt e Anonymer Server Das IVE kann keine individuellen Sitzungsdaten f r Benutzer anzeigen die sich ber einen anonymen Server anmelden da bei der Benutzeranmeldung ber einen anonymen Server keine Benutzernamen oder anderen Anmeldeinformationen erfasst werden e Lokaler IVE Server Das IVE zeigt f r lokale IVE Server statt einer Registerkarte Users eine Registerkarte Local Users an auf der Sie Benutzerkonten anstelle von Benutzersitzungen hinzuf gen und l schen k nnen Bei s mtlichen anderen Typen von Authentifizierungsservern k nnen Sie aktive Benut
495. rnamen das Kennwort und den Authentifizierungsbereich eines Administratorkontos auf dem Ziel IVE ein das ber volle Administratorberechtigungen verf gt Aktivieren Sie das Kontrollk stchen Overwrite duplicate settings wenn Sie Benutzerrollen delegierte Administrationsrollen und Ressourcenrichtlinien auf dem Ziel IVE berschreiben wollen die den gleichen Namen wie eine Benutzerrolle delegierte Administrationsrolle oder Ressourcenrichtlinie auf dem Quell IVE aufweisen Aktivieren Sie das Kontrollk stchen Delegated Admin Roles um delegierte Administrationsrollen auf das Ziel IVE zu kopieren e Wahlen Sie All roles aus um alle delegierten Administrationsrollen auf das Ziel IVE zu kopieren e Wahlen Sie Selected roles und dann Rollen aus der Liste Available Roles aus Klicken Sie auf Add wenn Sie nur einige Rollen auf das Ziel IVE kopieren m chten Aktivieren Sie das Kontrollk stchen User Roles um Benutzerrollen auf das Ziel IVE zu kopieren e Wahlen Sie All roles aus um alle delegierten Administratorrollen auf das Ziel IVE zu kopieren e Wahlen Sie Selected roles und dann Rollen aus der Liste Available Roles aus Klicken Sie auf Add wenn Sie nur einige Rollen auf das Ziel IVE kopieren m chten Aktivieren Sie das Kontrollk stchen Resource Policies um Ressour cenrichtlinien auf das Ziel IVE zu kopieren Aktivieren Sie anschlie end die Kontrollk stchen f r die Typen von Ressourcenrichtlinien die Sie kopieren m cht
496. rs gt Roles gt Ausgew hlte Rolle gt General gt Restrictions gt Certificate e Ressourcenrichtlinienebene Navigieren Sie zu Resource Policies gt Ausgew hlte Ressource gt Ausgew hlte Richtlinie gt Detailed Rules gt Ausgew hlte Erstellte Regel gt Bedingungsfeld Gehen Sie anschlie end folgenderma en vor W hlen Sie eine der folgenden Optionen aus e Allow all users no client side certificate required Clients von Benutzern m ssen nicht ber ein clientseitiges Zertifikat verf gen e Only allow users with a client side certificate signed by Certification Authority to sign in Legt fest dass der Client eines Benutzers ber ein clientseitiges Zertifikat verf gen muss um die Anforderungen f r die Zugriffsverwaltung zu erf llen Um den Zugriff noch weiter einzuschr nken k nnen Sie eindeutige Attribut Wert Paare f r das Zertifikat festlegen Klicken Sie zum Speichern der Einstellungen auf Save Changes NetScreen Instant Virtual Extranet Plattform 433 Administrationshandbuch Hinweis Alle X 509 DN Attribute Distinguished Name werden unterst tzt z B C CN L O OU Bei den Attribut und Wertefeldern wird die Gro und Kleinschreibung nicht beachtet Definieren Sie f r jedes Attribut nur einen Wert Wenn Sie mehrere Werte angeben kann das clientseitige Zertifikat m glicherweise nicht ordnungsgem anhand des Stammzertifikats authentifiziert werden Kennworteinschr nkung V
497. rt das IVE verschiedene Dienstprogramme aus um Details zum IVE Systemstatus zu erfassen beispielsweise zum belegten Speicherplatz zur Auslagerungsleistung zur Anzahl der ausgef hrten Prozesse zur Systembetriebszeit zur Anzahl der ge ffneten Dateibeschreibungen zu den verwendeten Ports und zu den Access Series FIPS Protokollmeldungen Das IVE speichert bis zu zehn Snapshots die in einer verschl sselten Dumpdatei bzw Sicherungsdatei abgelegt werden Diese k nnen Sie auf einen Netzwerkcomputer herunterladen und dann per E Mail an den NetScreen Support senden So erstellen Sie einen Snapshot des IVE Systemstatus 1 W hlen Sie in der Web console Maintenance gt Troubleshooting gt System Snapshot aus 2 Klicken Sie auf Take Snapshot NetScreen Instant Virtual Extranet Plattform 415 Administrationshandbuch 3 Wenn das IVE das Erstellen des Snapshots beendet hat klicken Sie auf Download um die Datei auf einen Netzwerkcomputer herunterzuladen 4 Senden Sie die Datei zur berpr fung per E Mail an die folgende Adresse help support netscreen com EAT 722777777 Central Manager Help Sign Out System Troubleshooting D Status D Configuration Policy Session System TCP ERE Remote D Network Tracing Recording Snapshot Dump Debugging D Clustering D Log Monitoring State snapshot created D Signing In A snapshot of the IVE system state captures details that can help NetScreen Support diagnose Admini
498. rte General sn sa se 268 Registerkarte Sysiet eu each hs a a A ed 268 Registerkarte User Role Admin cccccseccceseccsseceeeccseescuseceueesceessaeessaseseas 271 Auf den Registerkarten der Seite Administrators gt Delegation k nnen Sie die folgenden Aufgaben durchf hren Erstellen ndern und L schen von Administratorrollen s 265 Konfigurieren allgemeiner Einstellungen f r eine Administratorrolle 268 Delegieren von Verwaltungsaufgaben an eine Administratorrolle 268 Delegieren von Benutzerrollenverwaltung an eine Administratorrolle 271 mi Erstellen ndern und L schen von Administratorrollen Wenn Sie zu Administrators gt Delegation navigieren wird die Seite Delegated Admin Roles angezeigt Auf dieser Seite k nnen Sie Administratorrollen erstellen ndern und l schen sowie Standardoptionen f r Sitzungen und Benutzeroberfl che f r delegierte Administratorrollen festlegen So erstellen Sie eine Administratorrolle 1 W hlen Sie in der Webkonsole Administrators gt Delegation aus 2 F hren Sie einen der folgenden Vorg nge aus e Klicken Sie zum Erstellen einer neuen Administratorrolle mit den Standardeinstellungen auf New Role e Aktivieren Sie das Kontrollk stchen neben einer vorhandenen Administratorrolle und klicken Sie auf Duplicate um die Rolle und benutzerdefinierten Berechtigungen zu kopieren 3 Geben Sie unter Name
499. rte Role Mapping zu erstellen Gehen Sie nach dem Abschluss der Regelerstellung folgenderma en vor e Bringen Sie die Regeln unbedingt in die Reihenfolge in der das IVE diese auswerten soll Diese ist besonders dann wichtig wenn die Verarbeitung der Rollenzuordnungsregeln bei einer bereinstimmung angehalten werden soll e Geben Sie an ob die Einstellungen f r alle zugeordneten Rollen zusammengef hrt werden sollen Weitere Informationen finden Sie unter Richtlinien fur permissive Zusammenf hrungen auf Seite 59 EAN NETSCREEN Central Manager Help Sign Out System User Authentication Realms gt D Status empHQ gt Configuration D Network General Authentication Policy eMeaevealiate gt Clustering D Log Monitoring Specify how to assign roles to users when they sign in Users that are not assigned a role will not be b Signing In able to sign in Administrators gt Authentication New Rule Duplicate Delete Save Changes gt Delegation P Delete g Users When users meet these conditions assign these roles Stop Patania MT 1 username is gt employees hq gt Roles gt New User Resource Policies When more than one role is assigned to 3 user ls D Web gt Files C Merge settings for all assigned roles D SAM User must select from among assigned roles gt Telnet SSH gt Network Connect D Meetings Note Users that do not meet any of the above rules will not be able to si
500. rung eines Zertifikats das Sie zuvor dort erworben haben Wichtig Vergewissern Sie sich dass Sie dieselben Informationen ange ben die in der urspr nglichen Zertifikatssignaturanforderung verwendet wur den Anhand dieser Informationen erstellt die Zertifizierungsstelle ein neues Zertifikat das dem vorhandenen Schl ssel entspricht W hlen Sie in der Webkonsole System gt Configuration gt Certificates gt Server Certificate aus Klicken Sie auf Import Renew NetScreen Instant Virtual Extranet Plattform Administrationshandbuch 4 Navigieren Sie ber das Formular Renew the Certificate zu der Datei mit dem erneuerten Zertifikat und klicken Sie dann auf Renew Abbil dung 23 auf Seite 149 VI Erstellen einer Zertifikatssignaturanforderung f r ein neues Serverzertifikat Falls Ihr Unternehmen ber kein digitales Zertifikat f r die Webserver ver f gt oder Sie ein Access Series FIPS Ger t betreiben k nnen Sie ber die Webkonsole eine Zertifikatssignaturanforderung CSR erstellen und diese dann zur Verarbeitung an eine Zertifizierungsstelle senden Wenn Sie ber die Webkonsole eine Zertifikatssignaturanforderung erstellen wird lokal ein privater Schl ssel erstellt der der Zertifikatssignaturanforderung ent spricht Wenn Sie die Zertifikatssignaturanforderung l schen wird diese Datei ebenfalls gel scht Es ist dann nicht mehr m glich ein ber die Zerti fikatssignaturanforderung erstelltes signiertes Zertifi
501. rvern empfiehlt es sich nicht den Hostnamen sondern die IP Adresse anzugeben Dies kann die Failover Verarbeitung beschleunigen da der Hostname nicht in eine IP Adresse aufgel st werden muss Geben Sie an ob die Verbindung zwischen dem IVE und dem LDAP Verzeichnisdienst unverschl sselt bleiben oder ob SSL LDAPs verwendet werden soll Geben Sie den Typ des LDAP Servers an ber den Sie Benutzer authentifizieren m chten Das IVE unterst tzt dynamische Gruppen mit Active Directory und iPlanet Servern Klicken Sie auf Test Connection um die Verbindung zwischen der IVE appliance und den angegebenen LDAP Servern zu pr fen optional Das IVE kann Verbindungen mit dem prim ren Server und beiden Sicherungsservern testen Wenn das IVE gegen das LDAP Verzeichnis authentifiziert werden soll um eine Suche durchzuf hren oder das Kennwort mithilfe der Kennwortverwaltungsfunktion zu ndern Seite 232 aktivieren Sie das Kontrollk stchen Authentication required to search LDAP und geben Sie Administrator DN und Kennwort ein Beispiel DN CN Administrator CN Users DC eng DC NetScreen DC com Hinweis Dies ist erforderlich wenn Kennworter in Active Directory ge ndert oder ein Dynamic DN zum Durchsuchen der Active Directory Datenbank verwendet werden soll Geben Sie unter Finding user entries Folgendes an e Base DN von dem an nach Benutzereintr gen gesucht werden soll e Filter wenn die Suche eingegrenzt werden soll Hinwe
502. rvorgehoben Dies weist Sie darauf hin dass Sie nicht direkt durch Klicken auf das Netzwerkmen auf diese Seite gelangt sind da dieses Men in dem Fall gelb NetScreen Instant Virtual Extranet Plattform 173 Administrationshandbuch hervorgehoben w rde Wenn Sie die Netzwerkeinstellungen f r das Cluster auf der Seite Network Settings ndern werden die Anderungen an alle Knoten im Cluster weitergegeben VI Aktualisieren des Dienstpakets f r Clusterknoten Hinweis Sie k nnen Clustermitglieder nicht herunterstufen Sie k nnen jedoch jedes Clustermitglied durch ein Rollback auf seinen vorherigen Nicht Cluster Zustand zur cksetzen So aktualisieren Sie einen Cluster mit einem neueren Dienstpaket 1 Melden Sie sich bei der Webkonsole eines Clusterknotens an 2 Installieren Sie das Dienstpaket wie unter Installieren eines NetScreen Softwaredienstpakets auf Seite 385 beschrieben 3 Wenn der Installationsprozess abgeschlossen ist und der Clusterknoten neu startet weist er die anderen Knoten zur Aktualisierung an Tabelle 1 Clustering gt Registerkarte Status Semen cer Beschreibung Benutzeroberfl che Schaltfl che Add Member Klicken Sie auf diese Schaltfl che um ein IVE anzugeben das dem Cluster beitreten soll Diesen Schritt m ssen Sie f r jedes IVE durchf hren das Sie dem Cluster hinzuf gen m chten Schaltfl che Enable Klicken Sie auf diese Schaltfl che um einen zuvor deaktivierten Kno
503. rweisen um eine sichere Portweiterleitung zu gew hrleisten Das IVE kann nur automatische Hostzuweisung durchf hren wenn der PC Benutzer auf dem Computer ber Administratorrechte verf gt Andernfalls m ssen Sie sicherstellen dass die internen Anwendungsservernamen extern zum localhost eines PCs aufgel st werden F gen Sie dem externen mit dem Internet verbundenen DNS Server hierf r entsprechende Eintr ge hinzu siehe folgende Beispiele 127 0 0 1 anwl firma a com 127 0 0 1 anw2 firma b com 127 0 0 1 exchangel firma a com 127 0 0 1 exchangel fima b com Wenn die Clientanwendung einen unvollst ndigen Namen f r den Anwendungsserver verwendet m ssen Benutzer DNS Suffixe angeben damit der PC das Suffix hinzuf gen und f r die Namensaufl sung eine Verbindung mit dem externen DNS Server herstellen kann Ein Beispiel Ein MS Outlook Client hat blicherweise einen unvollst ndigen Namen f r einen MS Exchange Server Damit der unvollst ndige Name in die Adresse 127 0 0 1 aufgel st werden kann m ssen Benutzer die entsprechenden DNS Suffixe auf ihren PCs angeben Das Hinzuf gen von Dom nennamen wirkt sich nicht auf andere Vorg nge auf dem PC aus einschlie lich der Verwendung der Clientanwendung innerhalb des Unternehmens NetScreen Instant Virtual Extranet Plattform 311 Administrationshandbuch So konfigurieren Sie einen Benutzer PC mit DNS Suffixen Windows 2000 1 W hlen Sie im Startmen von Windows Einstel
504. s Enable intermediation maximize security Enable intermediation AND single sign in for intranet sites security and convenience Disable intermediation standard browser behavior not recommended NetScreen Communication Protocol NCP for Client Server applications Client server applications use this protocol for connections between the client and the IVE Enabling the Auto Select will use the oNCP optimized NCP by default and will revert to NCP if a direct connection is not possible e g proxy Auto select Enabled This option is suitable for most applications The protocol automatically selects the most efficient mode of operation C Auto select Disabled This option is provided for compatibility and should not ordinarily be selected Abbildung 20 System gt Configuration gt Security gt Security Options NetScreen Instant Virtual Extranet Plattform 143 Administrationshandbuch Registerkarte Security gt Host Checker Auf der Registerkarte System gt Configuration gt Security gt Hostpr fung k nnen Sie globale Hostpr fung Richtlinien erstellen die dann f r Authenti fizierungsrichtlinien f r Authentifizierungsbereiche Rollenzuordnungs regeln und Ressourcenrichtlinien zur Verf gung stehen Weitere Informationen finden Sie unter Hostpr fung bersicht auf Seite 91 V Erstellen einer globalen Hostpr fung Richtlinie So erstellen Sie eine globale Hostpr fung Richtlinie 1
505. s Auf der Registerkarte SAM gt Applications k nnen Sie Client Server Anwendungen angeben die von Secure Application Manager vermittelt werden sollen Auf dieser Registerkarte werden je nach SAM Version die f r die Rolle aktiviert ist unterschiedliche Optionen angezeigt Bei Aktivierung von e W SAM siehe Angeben von Anwendungen und Servern die mit W SAM gesichert werden sollen auf Seite 305 e J SAM siehe Angeben von Anwendungen und Servern die mit W SAM gesichert werden sollen auf Seite 305 EW NETSCREEN Central Manager Help Sign Out System Roles gt gt seen employees hq D Configuration D Network General Web Files AWE Telnet SSH Meetings Network Connect gt Clustering Applications Options gt Log Monitoring D Signing In Administrators gt Authentication Add Application Duplicate Delete gt Delegation Users WSAM supported applications gt Authentication I notepad b Roles m notepad exe b Nez NetBIOS file browsing Resource Policies D Web D Files D SAM gt Telnet SSH For client applications not listed above specify what servers if any should be allowed These servers D Netwerk N will be accessible to any client application gt Meetings gt Email Client Add Server Delete N Maintenance b System WSAM allowed servers gt Import Export gt Push Config D Archiving b Troubleshooting See also SAM access control policies that apply to th
506. s IVE hochgeladen werden soll Beachten Sie dass im IVE keine Bilder und anderen Inhalte angezeigt werden auf die in dieser HTML Seite verwiesen wird 210 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch 7 Klicken Sie auf Save Changes Die nderungen werden sofort wirksam doch m glicherweise muss bei den aktuellen Browsersitzungen von Benutzern eine Aktualisierung durchgef hrt werden damit die nderungen angezeigt werden Hinweis Klicken Sie auf Restore Factory Defaults um die Darstellung der Anmeldeseite der IVE Startseite f r Benutzer und der Webkonsole zur ckzusetzen NetScreen Instant Virtual Extranet Plattform Administrationshandbuch 211 EA NETSCREEN Central Manager System Status D gt Configuration D Network gt Clustering gt Log Monitoring Signing In Administrators gt Authentication gt Delegation Users gt Authentication gt Roles gt New User Resource Policies Web D D Files D SAM gt Telnet SSH D Network Connect D Meetings D Email Client Maintenance D System D Import Export gt Push Config D Archiving gt Troubleshooting Help Sign Out Signing In gt Default Sign In Page Default Sign In Page Label to reference the sign in page Name Custom text m welcome message Portal name Username Username Password Password 7 This prompt appears when the sign in page supports more
507. s IVE zu einem Cluster ber die Webkonsole auf Seite 176 e Neuinitialisieren eines Moduls mit einer neuen oder einer anderen Security World Seite 461 e Erstellen weiterer Administratorkarten Seite 460 Als Faustregel gilt dass f r jede Access Series FIPS Operation die ber die serielle Konsole ausgef hrt werden muss eine Administratorkarte erforder lich ist Hinweis Bei jeder nderung der Security World m ssen Sie bestimmen wie die vorhandenen Administratorkarten verwendet werden Folgende Optionen stehen zur Verf gung Sie richten die vorhandenen Administratorkarten f r die neue Security World neu ein Sie verwenden Administratorkarten die f r die neue Security World vorinitiali siert sind und lassen die vorhandenen Administratorkarten unver ndert Beachten Sie aber dass Sie bei dieser Option die alten nicht ge nderten Karten nicht zum Zugriff auf die neue Security World verwendet werden k nnen Da Administratorkarten f r Access Series FIPS Operationen und die Sicher heit innerhalb Ihrer Security World von entscheidender Bedeutung sind werden folgende Sicherheitsma nahmen dringend empfohlen 12 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Erstellen mehrerer Administratorkarten Sie k nnen Administratorkarten nur ersetzen wenn Sie eine andere g l tige Karte besitzen und das Kennwort f r den Kartensatz kennen Das Kryptographiemodul speichert keine Wiederherstell
508. s com gt Authentication D Roles D New User n Enable Debugging Resource Policies gt Web gt Files Abbildung 127 Maintenance gt Troubleshooting gt Remote Debugging 420 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch 421 Chapter 4 Zusatzinformationen In diesem Abschnitt finden Sie weiterf hrende Informationen zur Konfiguration von Access Series Produkten Inhalt Authentifizierung und Autorisierung Flussdiagramm u 44442s0ene nennen 423 Konfigurieren der Zugriffsverwaltungsoptionen 2 02222000022000nenne nennen 427 Schreiben benutzerdefinierter Ausdr cke usss22244000nnennen nennen nennen nennen 437 Verwenden der seriellen Konsole des IVE cccccceccceccccecececececececececeneneneneas 453 422 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch 423 Appendix A Authentifizierung und Autorisierung Flussdiagramm In diesem Flussdiagramm werden die Transaktionen zwischen Benutzer und IVE sowie zwischen IVE und Authentifizierungsbereich dargestellt Das Flussdiagramm beginnt an dem Punkt an dem ein Benutzer in der IVE Anmeldungsseite einen URL eingibt und endet damit dass der Benutzer die Benutzersitzung eigenst ndig beendet 424 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch USER IVE Auth Server User enters IVE URL in a browser Examples hips emplo
509. sein Weitere Informationen zu dieser Funktion finden Sie unter Remote SSO bersicht auf Seite 107 lV Schreiben einer Ressourcenrichtlinie fur Remote SSO Form POST So schreiben Sie eine Ressourcenrichtlinie fur Remote SSO Form POST 1 Wahlen Sie in der Webkonsole Resource Policies gt Web gt Remote SSO gt Form POST aus Klicken Sie auf der Seite Form POST Policies auf New Policy 3 Geben Sie auf der Seite New Policy Folgendes ein 1 2 Eine Beschreibung der Richtlinie Optional Eine Bezeichnung f r diese Richtlinie NetScreen Instant Virtual Extranet Plattform 343 Administrationshandbuch Geben Sie im Bereich Resources die Ressourcen an fur die diese Richtlinie gelten soll Weitere Informationen finden Sie unter Angeben von Webressourcen auf Seite 46 Geben Sie im Bereich Roles Folgendes an Policy applies to ALL roles Hiermit gilt die Richtlinie f r alle Benutzer Policy applies to SELECTED roles Hiermit gilt die Richtlinie nur f r Benutzer die zu Rollen in der Liste Selected roles zugeordnet sind Dieser Liste m ssen Rollen aus der Liste Available roles hinzugef gt werden Policy applies to all roles OTHER THAN those selected below Hiermit gilt die Richtlinie f r alle Benutzer au er den Benutzern die zu Rollen in der Liste Selected roles zugeordnet sind Dieser Liste m ssen Rollen aus der Liste Available roles hinzugef gt werden Geben Sie im Bereich Action Folgend
510. ser Resource Policies gt Web D Files D SAM gt Telnet SSH D Network Connect D Meetings D Email Client Maintenance D system See also Telent SSH access control policies that apply to this role Abbildung 91 Users gt Roles gt Ausgew hlte Rolle gt Telnet SSH gt Sessions Registerkarte Telnet SSH gt Options Auf der Registerkarte Telnet SSH gt Options k nnen Sie allgemeine Optionen f r Telnet SSH festlegen Diese Optionen werden zusammen mit den Telnet SSH Ressourcenrichtlinien verwendet mi Angeben allgemeiner Optionen f r Telnet SSH So geben Sie allgemeine Optionen f r Telnet SSH an 1 W hlen Sie in der Webkonsole Users gt Roles gt Ausgew hlte Rolle gt Telnet SSH gt Options aus 2 Aktivieren Sie User can add sessions um Benutzer zu erlauben eigene Sitzungslesezeichen zu definieren Wenn Sie diese Option aktivieren wird auf der Seite Terminal Sessions die Schaltfl che Add Terminal Session angezeigt wenn ein Benutzer die IVE Willkommensseite das n chste Mal aktualisiert NetScreen Instant Virtual Extranet Plattform 317 Administrationshandbuch 3 Aktivieren Sie Auto allow role Telnet SSH sessions um dem IVE die automatische Erstellung einer Telnet SSH Ressourcenrichtlinie zu erm glichen die den Zugriff auf den im Sitzungslesezeichen angegebenen Server zul sst 4 Klicken Sie auf Save Changes EAN NETSCREEN Central Manager Help Sign Out System Rol
511. sgew hlte Erstellte Regel gt Bedingungsfeld Zertifikat Sie k nnen den Zugriff auf das IVE und die Ressourcen durch Anforderung clientseitiger Zertifikate einschranken Bei Anmeldung von Administratoren oder Benutzern am IVE Der Benutzer kann sich nur von einem Computer anmelden der das an gegebene clientseitige Zertifikat besitzt von der richtigen Zertifizie rungsstelle CA ausgestellt und mit optional angegebenen Anforderungen fur Feld Wert Paare Wenn der Benutzercomputer die fur den Bereich erforderlichen Zertifikatsinformationen nicht besitzt leitet das IVE die Anmeldeinformationen des Benutzers nicht an den Authenti fizierungsserver weiter Die Stamm zertifizierungsstelle die zur berpr fung der Clientzertifikate verwendet werden soll wird folgenderma en angegeben System gt Configuration gt Certificates gt CA Certificates Administratoren konfigurieren diese Sicherheitsanforderung folgender ma en Administrators gt Authentication gt Ausgew hlter Bereich gt Authentication Policy gt Certificate Benutzer konfigurieren diese Sicherheitsanforderung folgendermaBen Users gt Authentication gt Ausgew hlter Bereich gt Authentication Policy gt Certificate Bei Zuordnung von Administratoren oder Benutzern zu einer Rolle Der authentifizierte Benutzer muss sich von einem Computer anmelden der die angegebenen Anforderungen des clientseitigen Zertifikats von der richtigen Zertifizierungsstelle CA
512. sich von einem Computer anmelden der den Hostpr fung Richtlinien f r jede der Rollen entspricht zu denen das IVE den Benutzer zuordnet Wenn der Benutzercomputer die Anfor derungen der Hostpr fung Richtlinien nicht erf llt die f r eine Rolle angegeben wurden ordnet das IVE den Benutzer nicht zu dieser Rolle zu Systemweite Richtlinien f r die Hostpr fung werden folgenderma en an gegeben System gt Configuration gt Security gt Hostpr fung Administratoren konfigurieren diese Sicherheitsanforderung folgender ma en Administrators gt Delegation gt Ausgew hlte Rolle gt General gt Restrictions gt Hostpr fung Benutzer konfigurieren diese Sicherheitsanforderung folgenderma en Users gt Authentication gt Ausgew hlter Bereich gt Role Mapping gt Ausgew hltelerstellte Regel gt Benutzerdefinierter Ausdruck Weitere Rollenanforderungen k nnen folgenderma en angegeben wer den Users gt Roles gt Ausgew hlte Rolle gt General gt Restrictions gt Hostpr fung e Bei Anforderung einer Ressource durch einen Benutzer Der authentifizierte autorisierte Benutzer kann eine Ressourcenanforde rung nur von einem Computer ausf hren der den Hostpr fung Richt linien f r die Ressourcenrichtlinie entspricht die f r die Benutzeranforderung gilt Wenn der Benutzercomputer die Anforderun gen der Hostpr fung Richtlinien nicht erf llt die f r eine Ressource angegeben wurden ordnet das IVE den Benutzer nicht
513. sion und dem Webserver ab Weitere Informationen finden Sie in der Dokumentation zu Ihrem SiteMinder Server e Authentifizierung mithilfe der Option HTML Form Post Seite 257 Die IVE appliance generiert kein SMSESSION Cookie sondern ruft das Cookie von einem anderen Web Agent ab Beachten Sie Folgendes wenn Sie die Option Authenticate using HTML form post aktivieren e Dies wird nicht in Kombination mit der Authentifizierung ber clientseitige Zertifikate unterst tzt e SecurID New Pin und Next Token Modi werden nicht unterst tzt Automatische Anmeldung beim IVE ber SiteMinder Um die Einzelanmeldung von einem anderen Web Agent am IVEzu erm glichen muss das IVE ein vorhandenes SMSESSION Cookie pr fen das von einem Standard Web Agent von SiteMinder Version 4 x oder 5 x erstellt NetScreen Instant Virtual Extranet Plattform 251 Administrationshandbuch wurde Bei der Auswahl der Option Automatic Sign in Seite 256 kann der Benutzer wenn er sich bereits an einem anderen Netegrity f higen Server in der gleichen Dom ne wie die IVE appliance angemeldet hat ohne Aufforderung zur einer erneuten Anmeldung auf die IVE appliance zugreifen Die IVE appliance berpr ft lediglich anhand des Richtlinienservers das vom Browser des Benutzers gesendete SMSESSION Cookie Alle Benutzer die sich auf diese Weise beim IVE anmelden werden dem Bereich zugeordnet der auf der Registerkarte System gt Signing In gt Servers gt S
514. st true wenn die Variable nicht definiert ist Benutzerattribute userAttr Variablen sind unbekannt wenn das Attribut nicht in LDAP definiert ist oder wenn der Attribut Lookup fehlschl gt wenn z B der LDAP Server au er Betrieb ist Beispiel isUnknown userAttr bonusProgram ist der Vergleichsoperator f r die logische Negation Der negierte Ausdruck ergibt true wenn der benutzerdefinierte Ausdruck false ist und false wenn der benutzerdefinierte Ausdruck true ist ist der logische Operator OR oder die quivalent sind ist der logische Operator AND oder amp amp die quivalent sind ist ein in der Syntax f r benutzerdefinierte Ausdr cke geschriebener Ausdruck siehe oben a Zum Schreiben eines benutzerdefinierten Ausdrucks in einem Protokollabfragefeld m ssen Sie Systemprotokollvariablen verwenden Zu diesen Variablen sind Onlinebeschreibungen verf gbar Klicken Sie hierf r auf der Seite New Filter auf die Schaltfl che System gt Log Monitoring gt Events User Access Admin Access gt Registerkarte Filters b Tag und Zeitvergleiche werden in der Zeitzone des IVE ausgewertet Berechnungen der Tagesbereiche Tag TO Tag beginnen mit dem ersten angegebenen Tag und werden schrittweise ausgef hrt bis der zweite angegebene Tag erreicht wird In Berechnungen f r Zeitbereiche time TO time muss der erste Wert zeitlich vor dem zweiten Wert liegen Nur Zeitvariablen k
515. st Checker auf dem Client Der Agent kann von Benutzern manuell deinstalliert werden indem in diesem Ver zeichnis die Datei uninstall exe ausgef hrt wird Dieses Verzeichnis enth lt au erdem eine Protokolldatei die bei jedem Ausf hren der Hostpr fung neu geschrieben wird Weitere Informationen zu den Optionen der Zugriffsverwaltung finden Sie unter Zugriffsverwaltung bersicht auf Seite 23 NetScreen Instant Virtual Extranet Plattform 95 Administrationshandbuch Protokollierung und berwachung bersicht IVE Protokolldateien sind auf dem IVE gespeicherte Textdateien die zur Verfolgung von Systemereignissen dienen Das IVE generiert drei Arten von Protokolldateien e Events log Diese Protokolldatei enth lt eine Reihe von Systemereig nissen wie z B Sitzungsabl ufe beispielsweise aufgrund von Leerlauf oder berschreitung der Sitzungsh chstdauer Systemfehler und warnungen Anforderungen zur berpr fung der Serververbindung und Benachrichtigungen ber einen Neustart des IVE Dienstes Der IVE berwachungsprozess pr ft in regelm igen Abst nden den IVE Server und startet ihn neu falls das IVE nicht reagiert e User Access log Diese Protokolldatei enth lt Informationen ber Benutzerzugriffe auf das IVE einschlie lich der Anzahl gleichzeitig ange meldeter Benutzer jeweils nach Ablauf einer Stunde Anmeldung zur vollen Stunde Benutzeran und abmeldungen Dateianforderungen durch Benutzer und
516. stemkapazit t 128 Anzeigen kritischer SySteEMereigQniSSe cccccecceeseeceeeeeeeeseeeeeeeeeees 128 Herunterladen des aktuellen Servicepakets cccccsecceeeeeeeeeeeeeees 129 Bearbeiten von Systemdatum und zeit uuus2220022nseensennenennnenn 130 126 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Mi Anzeigen der Auslastung der Systemkapazit t Das Central Manager Dashboard f r Access Series und Meeting Series Appliances bietet Diagramme ber die Auslastung der Systemkapazit t in denen Sie problemlos ablesen und bersehen k nnen wie hoch die Systemauslastung normalerweise ist Um diese Informationen an anderen Stellen f r Datenberichte zu verwenden k nnen Sie sie anhand der Optio nen auf der Seite Maintenance gt Import Export gt Configuration als XML Datei exportieren Diese Diagramme werden in der ge ffneten Webkonsole auf der Register karte System gt Status gt Overview angezeigt und Sie k nnen Folgendes leicht ablesen Concurrent Users Dieses Diagramm zeigt die Anzahl von Benutzern an die am IVE ange meldet sind Bei einer Cluster Umgebung werden im Diagramm zwei Linien angezeigt Die erste Linie zeigt die Anzahl der lokalen Benutzer an die an dem Knoten angemeldet sind der in der Dropdownliste ausge w hlt ist und die zweite Linie zeigt die Anzahl der gleichzeitig am gesam ten Cluster angemeldeten Benutzer an Concurrent Meetings n
517. stering Show users named Show users Update gt Log Monitoring D Signing In Delete Session Delete All Sessions Administrators D Authent EA User Realm Roles Signed in gt Delegation admind3 Admin Users Administrators 2004 2 4 10 27 10 Users mike partners partnerReseller Worldwide Widgets 2004 2 4 11 42 02 gt Authentication b Roles N Baas lleas Abbildung 17 System gt Status gt Active Users Registerkarte Meeting Schedule Mi Anzeigen und Absagen geplanter Konferenzen Zeigen Sie mit den Seiten Meeting Schedule Access Series Appliance oder Schedule Meeting Series Appliance alle gegenw rtig auf dem IVE geplanten Konferenzen an und sagen Sie ggf Konferenzen ab Eine Beschreibung der Option Secure Meeting finden Sie unter Secure Meeting bersicht auf Seite 13 So zeigen Sie geplante Konferenzen an oder sagen diese ab 1 W hlen Sie in der Webkonsole System gt Status gt Meeting Schedule Access Series Appliance oder System gt Schedule Meeting Series Appliance aus Das IVE zeigt Echtzeitinformationen zu allen gegenw r tig ausgef hrten oder geplanten Konferenzen an einschlie lich e Time and Status Zeigt die geplante Zeit und Dauer der Konferenz sowie den aktuellen Status an Meeting Details Zeigt den Konferenznamen sowie ID und Kennwortanforderungen an Diese Spalte enth lt au erdem eine Verkn pfung Details ber die Sie Informationen zur Konferen
518. stlegen Anweisungen hierf r finden Sie unter Erstellen lokaler Benutzer auf Seite 236 214 Administrationshandbuch NetScreen Instant Virtual Extranet Plattform EA NETSCREEN Help Sign Out Central Manager System Status Configuration Network Clustering Log Monitoring P RNY See Signing In Administrators gt Authentication gt Delegation Users gt Authentication gt Roles gt Mew User Resource Policies Web D D Files D SAM gt Telnet SSH D Network Connect D Meetings D Email Client Maintenance D System D Import Export gt Push Config D Archiving gt Troubleshooting Signing In Sign in Policies Sign in Pages Servers New Select server type New Server Delete r r fed en EI FEINEN EI Authentication Authorization Servers AcEServer Active Directory using LDAP Active Directory using NTLM Administrators authorization Active Directory using NTLM empEMEAandAPAC empHO empHO IVEadmins empSalesEngineers Marketing Site partners Licensed to YourCompany Inc Host Id ive 2 Copyright 2001 2004 NetScreen Technologies Inc All rights reserved Abbildung 53 System gt Signing In gt Servers Type ACE Server LDAP Server Active Directory Windows NT IVE Authentication LDAP Server Radius Server NIS Server IVE Authentication SiteMinder Server Anonymous Server IVE Authentication IN SECURED ar N
519. strationshandbuch VI Definieren einer Authentifizierungsserverinstanz So definieren Sie eine Serverinstanz 1 Geben Sie Einstellungen f r die individuelle Serverinstanz an Anweisungen hierf r finden Sie unter Konfigurieren einer ACE Serverinstanz 215 Konfigurieren einer Active Directory oder einer NT Dom neninstanz 221 Konfigurieren einer Instanz eines anonymen Servers 223 Konfigurieren einer Zertifikatserverinstanz 225 Konfigurieren einer LDAP Serverinstanz 229 Konfigurieren einer lokalen IVE Server Instanz 235 Konfigurieren einer Netegrity SiteMinder Instanz 247 Konfigurieren einer NIS Serverinstanz 241 Konfigurieren einer RADIUS Serverinstanz 243 Hinweis Beachten Sie bei der Auswahl des Servertyps Folgendes Sie k nnen nur eine ACE und eine RADIUS Serverinstanz pro IVE erstellen Sie k nnen den Active Directory Server mit folgenden Protokollen authentifizieren e NTLM Protokoll W hlen Sie Active Directory Windows NT Domain Seite 221 aus e LDAP Protokoll W hlen Sie LDAP Server Seite 229 aus Wenn Sie eine Serverinstanz zum Authentifizieren von Benutzeradministratoren erstellen Seite 238 mussen Sie IVE Authentication auswahlen Geben Sie die Bereiche an die der Server fur die Authentifizierung und Autorisierung von Administratoren und Benutzern verwenden soll Seite 273 Wenn Sie den lokalen IVE Authentifizierungsserver konfigurieren m ssen Sie lokale Benutzerkonten fe
520. strators system performance problems The IVE stores up to ten snapshots which are packaged into an gt Authenti ARE encrypted dump file that you can download to a network machine and then email to NetScreen 5 Support D Delegation Users Snapshot Control a ae Take snapshot Delete All Snapshots I Include system config Oe Download Snapshots Resource Policies D Download Delete Snapshot from 2004 02 04 14 54 18 241220 bytes Admin generated snapshot gt Web b Files gt SAM noi jamia Abbildung 123 Maintenance gt Troubleshooting gt System Snapshot Registerkarte TCP Dump Mi Sniffing von Netzwerkpaketheadern Auf dieser Registerkarte k nnen Sie Sniffing von Netzwerkpaketheadern durchf hren und die Ergebnisse in einer verschl sselten Dumpdatei bzw Sicherungsdatei speichern Diese k nnen Sie auf einen Netzwerkcomputer herunterladen und dann per E Mail an den NetScreen Support senden So f hren Sie Sniffing von Netzwerkpaketheadern durch 1 W hlen Sie in der Web console Maintenance gt Troubleshooting gt TCP Dump aus 2 W hlen Sie den IVE Port aus an dem Sniffing von Netzwerkpaketheadern durchgef hrt werden soll 3 Deaktivieren Sie den Promiscuous Modus sodass Sniffing nur f r Pakete durchgef hrt wird die f r das IVE bestimmt sind 416 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Klicken Sie auf Start Sniffing 5 Klicken Sie auf Stop
521. strich Entspricht genau einem Zeichen Wenn kein Pfad angegeben ist wird von einem umgekehrten Schr g strich ausgegangen d h es werden nur die Ordner der obersten Ebene ber cksichtigt Beispiele e danastreet net share users lt USER gt e netscreen com dana e 10 11 0 10 web e 10 11 254 227 public txt 50 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Angeben von Serverressourcen Kanonisches Format Protokol1 Host Ports Die drei Bestandteile sind Protokoll optional Hinweis Nur f r Network Connect Richtlinien verf gbar F r weitere Ressourcenrichtlinien f r Zugriffsfunktionen wie Secure Application Manager oder Telnet SSH ist die Angabe dieser Bestandteile ung ltig M gliche Werte Gro oder Kleinschreibung wird nicht ber cksichtigt e tcp e udp e icmp Wenn kein Protokoll angegeben ist werden alle drei Protokolle angenom men Bei der Eingabe eines Protokolls muss das Trennzeichen ein gegeben werden Sonderzeichen sind nicht zul ssig Host erforderlich M gliche Werte e DNS Hostname Beispiel www netscreen com Sonderzeichen sind zulassig einschlieBlich Entspricht ALLEN Zeichen Entspricht einem beliebigen Zeichen au er dem Punkt Entspricht genau einem Zeichen e IP Adresse Netzmaske Die IP Adresse muss das folgende Format aufweisen a b c d Die Netzmaske kann eins der beiden Formate aufweisen e Pr fix
522. t Siehe Zertifikat Appletzertifikat Codierung von Ressourcenrichtlinien 360 CPU Nutzung Anzeige 126 Critical Protokollmeldung Definition 96 CRL 5 225 CyberGatekeeper erzwingen 143 Integration 91 D Dashboard Konfiguration 125 Ubersicht 67 Datei Navigation konfigurieren 24 Ressourcenrichtlinien 42 351 Definition 48 49 Rollen konfigurieren 56 Server Codierung 360 Zugriffsstatistik 200 Dateibereinigung 63 Datenbank fur Authentifizierung 36 Datum und Uhrzeit einstellen 130 Delegierte Administration Ubersicht 83 Siehe auch Administratorrollen DES SDI Verschl sselung Unterst tzung 216 Detaillierte Regeln Siehe Regeln Diagramme Konfiguration 125 Dienstpaket herunterladen 129 Installation 385 Installation in einem Cluster 173 Digitales Zertifikat Siehe Zertifikat Distinguished Name Attribute Angabe 71 DMZ Konfiguration 161 Schnittstelle 157 161 DN Attribute Angabe 71 DNS f r externen Port 157 161 f r J SAM konfigurieren 310 Hostname Definition in Ressourcenrichtlinien 46 50 Namensaufl sung Konfiguration 159 Durchgangsproxy Anwendungen angeben f r 339 Beschreibung 103 Ressourcenrichtlinien Ressourcenrichtlinien Durchgangsproxy 340 Durchsatz Anzeige 126 E Einschr nkungen Benutzeranmeldung 432 433 Einzelanmeldung Siehe Authentifizierungsserver SiteMinder Remote SSO Option E Mail Benachrichtigungen Secure Meeting Siehe Secure Meeting Benachrichtigungs E Mails E Ma
523. t Bedingungsfeld N chster Schritt Wenn Sie eine Cachebereinigungsanforderung auf Bereichsebene konfigurieren w hlen Sie eine der folgenden Optionen aus e Just load Cache Cleaner Der Benutzer erf llt die Zugriffsvoraus setzungen auch dann wenn die Cachebereinigung nicht ausgef hrt wird diese ist jedoch f r eine sp tere Verwendung verf gbar e Load and enforce Cache Der Benutzer erf llt die Zugriffsanforde rungen nur wenn das IVE die Cachebereinigung herunterl dt und ausf hrt e Diasble Cache Cleaner Der Benutzer erf llt die Zugriffsvorausset zungen auch dann wenn die Cachebereinigung nicht installiert ist Aktivieren Sie zum Konfigurieren einer Cachebereinigungsanforderung auf Rollenebene die folgende Option e Enable Cache Cleaner Der Benutzer erf llt die Zugriffsanforderun gen nur wenn die Cachebereinigung ausgef hrt wird Sie k nnen auch einen benutzerdefinierten Ausdruck f r die Rollenzuord nungsregel schreiben um den Status der Cachebereinigung anhand der Variable cachecleaner auszuwerten Zum Erstellen einer Cachebereini gungseinschr nkung auf der Ressourcenrichtlinienebene m ssen Sie einen benutzerdefinierten Ausdruck in einer detaillierten Regel erstellen 437 Appendix C Schreiben benutzerdefinierter Ausdr cke Mit dem IVE k nnen Sie benutzerdefinierte Ausdr cke schreiben die in Rol lenzuordnungsregeln Ressourcenrichtlinien und Protokollfilterabfragen aus gewertet werd
524. t Wir empfeh len Benutzern von Outlook Express die folgende Vorgehensweise e Zu l schende E Mail Nachrichten sollten manuell in den unter Lokale Ordner angeordneten Ordner Gel schte Objekte verschoben werden hierbei handelt es sich um Standardordner Dieser Ordner wird mit dem Ordner Gel schte Objekte auf dem Exchange Server synchronisiert sodass Benutzer gel schte E Mail Nachrichten sp ter abrufen k nnen e Sie sollten die gel schten E Mail Nachrichten zun chst im Posteingang von Outlook Express lassen und sie dann bei der n chsten Anmeldung bei Outlook 2000 oder 2002 in den Ordner Gel schte Objekte verschieben Bei Verwendung von Netscape E Mail Clients Gel schte E Mail Nachrichten werden in den Papierkorbordner von Netscape verschoben und im Posteingang von Netscape nicht mehr an 1 Der Outlook 2000 Client unterst tzt nur eine Mailserverkonfiguration in diesem Fall den system eigenen MAPI Modus Dies verhindert dass Benutzer den gleichen Client f r den Remotezugriff verwenden Der Outlook 2002 Client bietet Unterst tzung f r gleichzeitige MAPI und IMAP Server konfigurationen Er unterst tzt jedoch keinen IMAP Zugriff wenn das MAPI Konto offline ist und verhindert hierdurch dass Remotebenutzer E Mail Nachrichten abrufen k nnen NetScreen Instant Virtual Extranet Plattform 89 Administrationshandbuch gezeigt Aus dem Posteingang von Outlook 2000 oder 2002 werden sie jedoch erst dann entfernt wenn die
525. t an 4 Stellen Sie die Systemzeit mithilfe einer der folgenden Methoden ein e Use NTP server Wahlen Sie die Option Use NTP Server aus geben Sie die IP Adresse oder den Namen des Servers ein und geben Sie ein Aktualisierungs intervall an e Set Time Manually Wahlen Sie die Option Set Time Manually aus und geben Sie Werte f r Datum und Uhrzeit ein Sie k nnen auch auf Get from Browser klicken damit Daten in die Felder Date und Time eingegeben werden 5 Klicken Sie auf Save Changes NetScreen Instant Virtual Extranet Plattform Administrationshandbuch 131 EAT NETSCREEN Central Manager Help Sign Out System gt Status gt Configuration gt Network gt Clustering gt Log Monitoring D Signing In Administrators gt Authentication gt Delegation Users gt Authentication b Roles gt New User Resource Policies gt Web gt Files gt SAM gt Telnet SSH gt Network Connect D Meetings gt Email Client Maintenance Status gt Date and Time System Date 2 4 2004 System Time 11 38 50 AM Time Zone GMT 08 00 Pacific Time US amp Canada Tijuana z Time Source C Use NTP Server NTP Server Update Interval fo minutes Set Time Manually Date Time AM Get from Browser Save Changes Save Changes dl yyyy Abbildung 16 System gt Status gt Overview gt Date and Time Registerkarte Active Users V berwachen
526. t dem Codesignaturzertifikat zwischengespeichert das beim Benutzerzugriff auf das Applet bereitgestellt wird Der Browser stellt Applets also auch nach dem Importieren eines Codesignaturzertifikats in das IVE weiterhin mit dem urspr nglichen Zertifikat bereit Um sicherzustellen dass Benutzer der SUN JVM keine Aufforderungen f r nicht vertrauensw r dige Zertifikate f r Applets erhalten auf die sie vor dem Import eines Codesignaturzertifikats zugegriffen haben muss der Cache des Java Plug Ins geleert werden Benutzer k nnen den Cache auch deaktivieren Dies kann jedoch die Leistung beeintr chtigen da das Applet bei jedem Benutzerzugriff abgerufen werden muss Das Java Plug In verwaltet eine eigene Liste vertrauensw rdiger Web serverzertifikate die sich von der entsprechenden Liste des Browsers unterscheidet Wenn ein Benutzer auf ein Applet zugreift stellt die SUN JVM zus tzlich zum Browser eine eigene Verbindung mit dem Webserver her auf dem sich das Applet befindet Dem Benutzer bietet NetScreen Instant Virtual Extranet Plattform 73 Administrationshandbuch sich dann die M glichkeit zus tzlich zum Codesignaturzertifikat das Webserverzertifikat anzunehmen In solchen F llen muss der Benutzer die Schaltfl che Always Trust f r das Webserverzertifikat ausw hlen Wenn der Benutzer bei der Auswahl dieser Schaltfl che f r das Webser verzertifikat zu lange wartet wird das Applet aufgrund einer voreige stellten H chstz
527. t et et se Time 00 00 AM gt Clear Access log after archiving D Troubleshooting V Archive Admin log data Use this filter Standard Standard default Sun Mon Tue Wed Thu Fri Sat u ff ws ft 00 00 AM Clear Admin log after archiving Abbildung 119 Maintenance gt Archiving gt FTP Server 406 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Registerkarte Local Backups Iv Speichern eines Snapshots der aktuellen Konfiguration Mit den Central Manager Appliances fur Access Series und Meeting Series k nnen Snapshots der aktuellen Systemkonfiguration und Benutzerkonten direkt im IVE gespeichert werden Mithilfe dieser Konfigurationen k nnen das IVE oder IVE Cluster in dem Zustand wiederhergestellt werden der in der verschlusselten Datei enthalten ist Beachten Sie dass diese Dateien nur Konfigurationsinformationen und keine Protokolle enthalten Sie k nnen auf dem IVE bis zu f nf Snapshots der Systemkonfiguration sowie funf Snapshots von Benutzerkonten speichern Wenn Sie diese Zahl berschreiten Uberschreibt das IVE den ltesten Snapshot mit dem neuen Snapshot Wenn der alteste Snapshot nicht Uberschrieben werden soll m ssen Sie vor dem Speichern des neuesten Snapshots einen anderen Snapshot ausw hlen der gel scht werden soll So speichern Sie die aktuelle Systemkonfiguration 1 W hlen Sie in der Web console Maintenance gt Archiving gt Local Backups
528. t settings that you can override on a per group basis in the Server Catalog Base DN example dc sales dc com Filter example cn lt GROUPNAME gt Member Attribute C ah a to identify members of a Query Attribute oOo au nl members Bind options If this server will be used to authenticate users select one of the following methods for binding Bind method Simple bind C StartTLS bind Abbildung 58 System gt Signing In gt Servers gt LDAP Server NetScreen Instant Virtual Extranet Plattform 235 Administrationshandbuch Konfigurieren einer lokalen IVE Server Instanz Im IVE k nnen Sie eine oder mehrere lokale Datenbanken f r vom IVE authentifizierte Benutzer erstellen Sie k nnen lokale Benutzerdatens tze f r Benutzer erstellen die normalerweise von einem externen Authentifizierungsserver berpr ft werden der deaktiviert werden soll Dies bietet sich auch an wenn Sie eine Gruppe von tempor ren Benutzern erstellen m chten Hinweis Alle Administratorenkonten werden als lokale Datens tze gespeichert Administratoren k nnen jedoch ber einen externen Server authentifiziert werden Anweisungen hierf r finden Sie unter Angeben einer Richtlinie f r einen Authentifizierungsbereich auf Seite 275 In diesem Abschnitt werden folgende Vorg nge behandelt Definieren einer lokalen IVE Server Instanz u2220222002200 Rene nnnn nennen nennen 235 Erstellen lokaler Benutzer 22u020022
529. t zwar weder den Durchsatz noch die Benutzerkapazit t bietet jedoch Redundanz um auf unerwartete Systemausf lle zu reagieren Internet LAN or WAN External External MIC NIG Cluster VIP 216 x x x Cluster Hostname iveserver yourcompany com Internal NIG Internal NIG 10 x 1 10 x x 2 Intranet LAN or WAN Abbildung 4 Aktiv Passiv Clusterpaar Die Abbildung zeigt einen Aktiv Passiv Cluster innerhalb des Netzwerks IVE Benutzer anforderungen werden an die Cluster VIP geleitet die diese dann an das aktive IVE weiterleitet 78 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Bereitstellen eines Clusterpaars oder eines Clusters mit mehreren Einheiten im Aktiv Aktiv Modus Die NetScreen Access 1000 3000 und 5000 Plattformen k nnen als Clusterpaar im Aktiv Aktiv Modus bereitgestellt werden Im Aktiv Aktiv Modus verarbeiten alle IVEs im Cluster aktiv die Benutzer anforderungen die von einem externen Load Balancer oder nach dem Rotationsprinzip ber DNS gesendet wurden Der Load Balancer hostet die Cluster VIP und leitet Benutzeranforderungen auf der Grundlage von SIP Weiterleitung Source IP an ein in seiner Clustergruppe definiertes IVE weiter Wenn ein IVE offline geschaltet wird verteilt der Load Balancer die Datenlast auf den aktiven IVEs um Die Benutzer m ssen sich nicht neu anmelden IVE Sitzungsdaten die ein paar Sekunden vor der Offline Schal tung des aktiven Ger ts eingegeben w
530. tScreen Instant Virtual Extranet Plattform Administrationshandbuch Greifen Sie auf die serielle Konsole des IVE zu und starten Sie das IVE Seite 453 neu 6 Geben Sie die angeforderten Initialisierungsinformationen ein 7 Stellen Sie den Modusschalter des Kryptographiemoduls auf O Operationsmodus zuruck wenn Sie dazu aufgefordert werden So importieren Sie eine vorhandene Security World in einen Cluster 1 Melden Sie sich an der Webkonsole eines Clusterknotens an den Sie mit einer neuen Security World neu formatieren m chten Um auf die Webkonsole eines Clusterknotens zuzugreifen geben Sie in einem Browser seine interne IP Adresse gefolgt von admin ein Beispiel https x x x x admin Aktivieren Sie auf der Registerkarte System gt Clustering gt Status in der Spalte Cluster Members das Kontrollk stchen neben dem Namen des Knotens und klicken Sie dann auf Disable Importieren Sie eine archivierte Security World in das Clustermitglied Seite 463 Nach Abschluss des Installationsvorgangs kehren Sie zur Registerkarte System gt Clustering gt Status des Knotens zur ck aktivieren in der Spalte Cluster Members das Kontrollk stchen neben dem Namen des Knotens und klicken dann auf Enable F hren Sie diese Schritte f r jeden Knoten im Cluster durch Index Symbole Administratorrolle 268 Read Only Administratorrolle 268 Zahlen 128 Bit Verschl sselung 140 168 Bit Verschl sselung 140
531. tatus conn aa eas tuko _U__ _ D Network gt Log Monitoring Joining Cluster NorthAmerica D Signing In Restarting Network Administrators AMAT NEEE gt Authentication Type NetScreen S4 5000 Advanced 4 Unit Multi Site Cluster 1000 Simultaneous Users gt Delegation Users Add Member Enable Disable Pemove gt Authentication D Roles D New User Member Name Internal Address External Address Status Notes Sync Rank Update Resource Policies 10 10 9 1 16 Enabled 0 D Web i D Files O ive 2 10 12 173 2 16 Enabled Transitioning gt SAM gt Telnet SSH D Network Connect D Meetings D Email Client Indicates the IVE you are currently using Maintananca Abbildung 37 System gt Clustering gt Status Neustarten von Diensten auf einem neuen Clustermitglied Sobald ein neuer Knoten eine Verbindung mit einem Cluster herstellt werden auf der Clusterseite die Registerkarten Status und Eigenschaften angezeigt W hrend der neue Knoten seinen Status mit dem aktivierten Clustermitglied synchronisiert wird sein Status als Transitioning angezeigt NetScreen Instant Virtual Extranet Plattform 179 Administrationshandbuch Verfahren ber die serielle Konsole Sie k nnen ein IVE ber seine serielle Konsole zu einem Cluster hinzuf gen es sei denn diese wird in einer Access Series FIPS Umgebung ausgef hrt In letzterem Fall m ssen Sie jedes IVE ber seine We
532. te LAN Unternehmens LAN behandelt und im lokalen LAN des Benutzers nicht mehr angezeigt Das IVE wird als DNS Gateway f r den Client verwendet und verf gt ber keine Informationen zum lokalen LAN des Benutzers Benutzer k nnen jedoch auf ihrem PC statische Routen fest legen um bei bestehender Verbindung mit dem Remote LAN weiterhin auf das lokale LAN zugreifen zu k nnen Da der gesamte PC Datenverkehr ber den Network Connect Tunnel zu den internen Unternehmensressourcen bertragen wird m ssen Sie darauf achten dass andere Hosts im lokalen Netzwerk des Benutzers keine Verbindung mit dem PC herstellen k nnen auf dem Network Connect ausgef hrt wird Sie k nnen sicherstellen dass andere Hosts im lokalen LAN eines Remote benutzers nicht auf die internen Unternehmensressourcen zugreifen k n nen indem Sie den Benutzerzugriff auf das lokale Subnetz verweigern Dies wird ber die Registerkarte Users gt Roles gt Rollenname gt Network Connect konfiguriert Wenn Sie keinen Zugriff auf das lokale Subnetz gew hren beendet das IVE Network Connect Sitzungen die von Clients initiiert wurden auf denen statische Routen festgelegt sind Sie k nnen festlegen dass Clients vor dem Starten einer Remotezugriffssitzung auf Netzwerkebene L sungen f r die Endpunktsicherheit ausf hren m ssen z B eine pers nliche Firewall Mit der Hostpr fung die auf Hosts die mit dem IVE eine Verbindung herstellen Endpunktsicherheitspr fungen durch
533. tei zu speichern 396 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch EAT NerScreen Central Manager Help Sign Out System Status Configuration Network Clustering Log Monitoring Se Ne BEL a Signing In Administrators D Authentication D Delegation Users gt Authentication gt Roles gt Mew User Resource Policies D Web gt Files gt SAM gt Telnet SSH D Network Connect D Meetings D Email Client Maintenance D System b Impor Export gt Push Config D Archiving gt Troubleshooting Import Export Configuration User Accounts eE ae Aan Export Import This tool allows you to export roles and policies to an XML file Export Configuration Select All V Delegated Admin Roles Available Roles ALL roles Selected Roles SELECTED roles Help Desk Administrators Add Help Desk Administrators Remove V User Roles Available Roles partnerReseller Worldwide Widgets af Add Remove ALL roles SELECTED roles Selected Roles quests employees emea employees hq hqSales x V Resource Policies Web M Access control M Selective rewriting M Caching IV Passthrough proxy VW Java access control M Web proxy M Java code signing Files V Windows access control MV UNIX NFS access control Applications V SAM access control Telnet SSH V Telnet SSH access control Network Connect V Access control
534. tellungen f r eine Administratorrolle Auf dieser Registerkarte k nnen Sie Quell IP Einschr nkungen Browser einschr nkungen Zertifikateinschr nkungen Hostpr fungseinschr nkungen Sitzungsoptionen und UI Optionen f r delegierte Administratorrollen konfigurieren Weitere Informationen zu den Optionen auf diesen Register karten finden Sie unter Registerkarte General gt Overview auf Seite 286 Registerkarte System Mi Delegieren von Verwaltungsaufgaben an eine Administratorrolle Auf dieser Registerkarte k nnen Sie IVE Verwaltungsaufgaben an verschiedene Administratorrollen delegieren Beachten Sie beim Delegieren von Berechtigungen dass alle Administratoren mindestens ber Lesezugriff auf die Webkonsole Startseite System gt Status gt Overview verf gen unabh ngig von der ausgew hlten Berechtigungsebene Beachten Sie auch dass delegierte Administratoren keinen Schreibzugriff auf Seiten haben auf denen Sie ihre eigenen Berechtigungen ndern k nnen Nur die systemintegrierten Administratorrollen Administrators und Read Only Administrators d rfen auf diese Seiten zugreifen e System gt Signing In e Administrators gt Authentication e Administrators gt Delegation e Users gt Authentication e Users gt New User e Maintenance gt Import Export Read Only Administrators k nnen Einstellungen in dieser Seite exportieren jedoch nicht importieren e Maintenance gt Push Config e Mai
535. ten zu aktivieren Wenn Sie einen Knoten wieder aktivieren werden alle Statusinformationen auf dem Knoten synchronisiert Schaltfl che Disable Klicken Sie auf diese Schaltfl che um einen Knoten in einem Cluster zu deaktivieren Der Knoten kommuniziert noch mit dem Cluster ist jedoch f r Statussynchronisierungen deaktiviert und empf ngt keine Benutzeranforderungen mehr es sei denn der Benutzer meldet sich direkt bei diesem Knoten an 174 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Tabelle 1 Clustering gt Registerkarte Status Fortsetzung Element der Benutzeroberfl che Schaltfl che Remove Spalte Member Name Spalte Internal IP Address Spalte External IP Address Spalte Status Beschreibung Klicken Sie auf diese Schaltfl che um den oder die ausgew hlten Knoten aus dem Cluster zu entfernen Nachdem der Knoten entfernt wurde wird er im eigenst ndigen Modus ausgef hrt F hrt alle Knoten auf die zu dem Cluster geh ren Sie k nnen auf den Namen eines Knoten klicken um seinen Namen und die Netzwerkeinstellungen zu ndern Gibt die interne IP Adresse des Clustermitglieds in der CIDR Schreibweise Classless Inter Domain Routing an Gibt die externe IP Adresse des Clustermitglieds in der CIDR Schreibweise Classless Inter Domain Routing an Beachten Sie dass diese Spalte nur die externe IP Adresse des Clusterleiters enth lt es sei denn Sie geben auf seiner eig
536. ter Der Name des Authentifzierungsbereichs an dem der Benutzer angemeldet ist Ressource auf die ein Benutzer zuzugreifen versucht Liste aller Benutzerrollen f r eine Sitzung Wenn Sie in SSO alle Rollen an Back End Anwendungen senden m chten verwenden Sie lt role sep gt wobei sep die Zeichenfolge zum Trennen mehrerer Werte ist Die IP Adresse des Ger ts auf dem sich der Benutzer authentifiziert Hinweis In der Ressourcen richtlinie kann die Netzmaske mit der Bitzahl oder im Netz maskenformat 255 255 0 0 angegeben werden NetScreen Instant Virtual Extranet Plattform 447 Administrationshandbuch Realm GoldPartners or SilverPartners Hinweis Die Bedingung AND f hrt zu keinem Ergebnis da sich ein Benutzer in einer Sitzung nur an einem einzigen Bereich anmelden kann Resource www yahoo com Role sales or engineering Role Sales AND Support sourcelp 192 168 10 20 sourcelp 192 168 10 0 24 Klasse A sourcelp 192 168 1 0 24 and networklf internal userAttr dept eng or it and sourcelp 10 11 0 0 16 448 Administrationshandbuch time Verf gbar in e Rollenzuordnungsregeln e Ressourcenrichtlinienregeln HINWEIS F gen Sie f r time day eine separate Zeile ein hnlich wie bei login Time day time day Verf gbar in e Rollenzuordnungsregeln e Ressourcenrichtlinienregeln time d
537. ter Bereich gt Authentication Policy gt Limits e Users gt Authentication gt Ausgew hlter Bereich gt Authentication Policy gt Limits Nur wenn ein Benutzer der in einer der Anmeldeseiten dieses Bereichs einen URL eingibt alle Benutzeranforderungen hinsichtlich Zugriffsverwaltung und gleichzeitig angemeldeter Benutzer erf llen die f r die Authentifizierungs richtlinie festgelegt sind wird vom IVE eine Anmeldeseite ge ffnet 276 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch EAT NETSCREEN Central Manager Help Sign Out System User Authentication Realms gt D Status empHQ D Configuration D Network General ENGER Role Mapping D Clustering Source IP Browser Certificate Password Host Checker Cache Cleaner Lirnits gt Log Monitoring D Signing In Users can sign in from any IP address Administrators g Y C Users can only sign in from the following IP addresses gt Authentication gt Delegation IP Address Netmask Users EEE DO Add gt Authentication gt Roles gt New User Resource Policies D Web Note This restriction will mot be enforced if no IP addresses are listed Add one or more source IP addresses from D Files which users are allowed to sign in gt SAM b Telnet SSH Save Changes D Network Connect Abbildung 72 Users Administrators gt Authentication gt Bereichsname gt Authentication Policy NetScreen Instant Virtual Extranet Plattform
538. ter anmelden der der Anforderung f r die Cachebereinigung entspricht die f r jede der Rollen angegeben wurde zu der das IVE den Benutzer zuordnet Dabei muss die Cachebereinigung je nach Konfiguration auf der Arbeitsstation ausgef hrt oder ggf installiert werden Wenn der Benutzercomputer die Anforderungen f r die Cachebereinigung die f r eine Rolle angegeben wurden nicht erf llt ordnet das IVE den Benutzer nicht zu dieser Rolle ZU Administratoren konfigurieren diese Sicherheitsanforderung folgender ma en Administrators gt Delegation gt Ausgew hlte Rolle gt General gt Restrictions gt Cachebereinigung Benutzer konfigurieren diese Sicherheitsanforderung folgenderma en Users gt Roles gt Ausgew hlte Rolle gt General gt Restrictions gt Cachebereinigung Weitere Rollenanforderungen k nnen folgenderma en angegeben wer den Users gt Roles gt Ausgew hlte Rolle gt General gt Restrictions gt Cachebereinigung Bei Anforderung einer Ressource durch einen Benutzer Der authentifizierte autorisierte Benutzer muss sich von einem Compu ter anmelden der der Anforderung an die Cachebereinigung f r die NetScreen Instant Virtual Extranet Plattform 33 Administrationshandbuch Ressourcenrichtlinien entspricht die f r die Anforderung des Benutzers g ltig ist Dabei muss die Cachebereinigung je nach Konfiguration auf der Arbeitsstation ausgef hrt oder ggf installiert werden Wenn der Be nut
539. terst tzung f r Lotus Notes Remotebenutzer k nnen den Lotus Notes Client auf ihren PCs zum Zugrei fen auf E Mail ihre Kalender und andere Funktionen ber das IVE verwen den Daf r m ssen keine nderungen am Lotus Notes Client vorgenommen werden und es ist keine Verbindung auf Netzwerkebene wie beispielsweise ein VPN erforderlich Diese Funktion ben tigt die Microsoft oder Sun JVM und wird auf PCs unter Windows 2000 mit Internet Explorer 5 5 oder 6 0 unterst tzt Client Server Kommunikation mithilfe von J SAM Damit Remotebenutzer diese Funktion verwenden k nnen m ssen sie den Lotus Notes Client zum Verwenden von localhost als Einstellung f r den Remotestandort konfigurieren Secure Application Manager nimmt dann vom Lotus Notes Client angeforderte Verbindungen auf Die folgende Abbil dung beschreibt die Interaktionen zwischen dem Lotus Notes Client und einem Lotus Notes Server ber das IVE 1 Der Benutzer startet den Lotus Notes Client mit der Home Location Ein stellung Der Client ermittelt die Proxyeinstellung d h den localhost den PC des Benutzers f r seine Home Location Einstellung 2 Der Lotus Notes Client stellt eine Verbindung mit Secure Application Manager her und beginnt damit Anforderungen f r E Mail zu senden 3 Secure Application Manager kapselt Anforderungen vom Lotus Notes Client und leitet diese ber SSL an das IVE weiter 4 Das IVE entkapselt die Clientdaten und ermittelt den Lotus
540. tgestellte E Mail Unterst tzung h ngt von den optionalen Funktionen ab die f r den IVE Server lizenziert sind e Secure Email Client Aktualisierungsoption Wenn Sie ber die Aktualisierungsoption Secure Email Client verf gen unterst tzt das IVE IMAP4 Internet Mail Application Protocol POP3 Post Office Protocol und SMTP Simple Mail Transfer Protocol Sie k nnen den Zugriff auf die IMAP POP SMTP Mailserver der Firma ganz einfach aktivieren indem Sie den Mailserver die E Mail Sitzung und die Authentifizierungsinformationen auf der Seite Resource Policies gt Email Settings Seite 379 angeben e Secure Application Manager Aktualisierungsoption Wenn Sie ber die Aktualisierungsoption Secure Application Manager verf gen unterst tzt das IVE das systemeigene MAPI Protokoll von Microsoft Exchange und das systemeigene Lotus Notes Protokoll Sie k nnen den Zugriff auf Microsoft Exchange Server und Lotus Notes Server auf der Seite User gt Roles gt SAM gt Applications Seite 304 aktivieren Wichtig Wenn der IVE Server mit der Aktualisierungsoption Secure Application Manager lizenziert ist die das systemeigene MAPI Protokoll von Microsoft Exchange und das systemeigene Lotus Notes Protokoll unter st tzt trifft dieser Abschnitt nicht zu Die Aktualisierungsoption Secure Email Client bietet Benutzern die M glich keit mit standardbasierten E Mail Clients sicher von Remotestandorten auf firmeninterne E Mail Nachrichten zuz
541. the External Port disabled Static Routes Network Connect hostnames with comma Hosts Comment i y Abbildung 30 System gt Network gt Hosts Sign Out Add 165 166 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch NetScreen Instant Virtual Extranet Plattform 167 Administrationshandbuch Konfigurieren der Seite Clustering Wir empfehlen einen Cluster zun chst in einer Stagingumgebung bereitzustellen und erst zu einer Produktionsumgebung zu wechseln nachdem Sie den Authentifizierungsbereich die Benutzerrolle und Ressourcenrichtlinie sowie die Anwendungen die die Endbenutzer m glicherweise verwenden getestet haben Wichtig Vor dem Erstellen eines Clusters m ssen Sie sicherstellen dass es sich bei allen vorgesehenen IVE Knoten um die gleiche Hardwareplattform handelt beispielsweise ausschlie lich A3000 Ger te und dass auf allen Knoten die gleiche Dienstpaketversion ausgef hrt wird Die Seite System gt Clustering enth lt die folgenden Registerkarten Registerkarte Create u0020000020snesnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnen nenne nennen 168 Registerkarte Status 00022ssuennsnneennnnennnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnne nennen 170 Registrierkarte Join u0220002200022nnnnnnnnnnnnnnnennnnennnennnnennnne nase namen nnnennnnennnn 175 Registerkarte Properties 20220000
542. thentication gt Bereichsname gt General NetScreen Instant Virtual Extranet Plattform 275 Administrationshandbuch Registerkarte Authentication Policy Auf der Registerkarte Authentication Policy k nnen Sie eine Richtlinie f r einen Authentifizierungsbereich erstellen Weitere Informationen zu Bereichen finden Sie unter Authentifizierungsbereiche bersicht auf Seite 35 Mi Angeben einer Richtlinie f r einen Authentifizierungsbereich So geben Sie eine Richtlinie f r einen Authentifizierungsbereich an 1 W hlen Sie in der Webkonsole Administrators gt Authentication oder Users gt Authentication aus 2 W hlen Sie auf der entsprechenden Seite Authentication Realms einen Bereich aus und klicken Sie dann auf die Registerkarte Authentication Policy 3 Konfigurieren Sie auf der Seite Authentication Policy mindestens eine der folgenden Zugriffsverwaltungsoptionen e Quell IP Seite 428 e Browser Seite 429 e Zertifikat Seite 432 e Kennwort Seite 433 e Hostpr fung Seite 434 e Cachebereinigung Seite 435 Nur in Benutzerbereichen verf gbar e Begrenzungen Seite 428 Begrenzungen f r gleichzeitig angemeldete Benutzer Neben den Zugriffsverwaltungsoptionen die Sie f r eine Authentifizierungs richtlinie festlegen k nnen k nnen Sie auch die H chstanzahl gleichzeitig angemeldeter Benutzer festlegen Konfigurieren Sie diese Einstellung hier e Administrators gt Authentication gt Ausgew hl
543. those selected below Hiermit gilt die Richtlinie f r alle Benutzer au er den Benutzern die zu Rollen in der Liste Selected roles zugeordnet sind Dieser Liste m ssen Rollen aus der Liste Available roles hinzugef gt werden 6 Geben Sie im Bereich Action Folgendes an e Append headers as defined below Wenn ein Benutzer den Zugriff auf eine Ressource anfordert die in der Liste Resources aufgef hrt ist sendet das IVE die Benutzerdaten die im Bereich POST details angegeben sind an den angegebenen URL e Do NOT append headers as defined below Wenn ein Benutzer den Zugriff auf eine Ressource anfordert die in der Liste Resources aufgef hrt ist sendet das IVE die Benutzerdaten die im Bereich POST details angegeben sind nicht an den angegebenen URL 345 346 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch e Use Detailed Rules Hiermit geben Sie eine oder mehrere detaillierte Regeln f r diese Richtlinie an Weitere Informationen finden Sie unter Schreiben einer detaillierten Regel auf Seite 52 7 Geben Sie im Bereich Headers and values Folgendes an e Header name Text den das IVE als Headerdaten sendet e Value Wert f r den angegebenen Header 8 Klicken Sie auf Save Changes 9 Ordnen Sie die Richtlinien auf der Seite Headers Cookies Policies in der Reihenfolge an in der sie vom IVE ausgewertet werden sollen Hinweis Wenn das IVE die Ressource die von einem Benutzer angefordert wurde
544. tion Policy gt Password Benutzer konfigurieren diese Sicherheitsanforderung folgenderma en Users gt Authentication gt Ausgew hlter Bereich gt Authentication Policy gt Password NetScreen Instant Virtual Extranet Plattform 31 Administrationshandbuch Hostpr fung Sie k nnen den Zugriff auf das IVE und die Ressourcen anhand der Quell IP einschr nken e Bei Anmeldung von Administratoren oder Benutzern am IVE Der Benutzer muss sich von einem Computer anmelden der den Host pr fung Richtlinien entspricht die f r den Bereich angegeben wurden Wenn der Benutzercomputer den Anforderungen der Hostpr fung Richt linien nicht entspricht die f r den Bereich angegeben wurden leitet das IVE die Anmeldeinformationen des Benutzers nicht an den Authentifizie rungsserver weiter und dem Benutzer wird der Zugriff auf das IVE ver weigert Systemweite Richtlinien f r die Hostpr fung werden folgenderma en an gegeben System gt Configuration gt Security gt Hostpr fung Administratoren konfigurieren diese Sicherheitsanforderung folgender ma en Administrators gt Authentication gt Ausgew hlter Bereich gt Authentication Policy gt Hostpr fung Benutzer konfigurieren diese Sicherheitsanforderung folgenderma en Users gt Authentication gt Ausgew hlter Bereich gt Authentication Policy gt Hostpr fung e Bei Zuordnung von Administratoren oder Benutzern zu einer Rolle Der authentifizierte Benutzer muss
545. tionen finden Sie unter Secure Meeting bersicht auf Seite 13 Schreiben einer Ressourcenrichtlinie f r Secure Meeting Wenn Sie die Zugriffsfunktion Secure Meeting f r eine Rolle aktivieren m ssen Sie eine Ressourcenrichtlinie erstellen die angibt ob f r Secure Meeting G ste automatische E Mail Benachrichtigungen aktiviert werden sollen Im Gegensatz zu anderen Zugriffsfunktionen verf gt Secure Meeting nur ber eine Ressourcenrichtlinie die f r alle Rollen gilt f r die diese Funktion aktiviert ist Wenn Sie automatische E Mail Benachrichtigungen f r G ste aktivieren m ssen Sie f r das Routing von Konferenz E Mails einen SMTP Server verwenden auf den das IVE zugreifen kann Wichtig Wenn Sie einen SMTP Server f r die Verwendung mit Secure Meeting akti vieren m ssen Sie auf der Registerkarte System gt Network gt Internal Port im Bereich Network Identity auch einen virtuellen Hostnamen f r die IVE Appliance festlegen Secure Meeting verwendet den angegebenen Namen zum Einf gen der Konferenz URLs in Benachrichtigungs E Mails und f r SMTP Aufrufe Wenn dem IVE verschiedene Namen zugeordnet sind und Sie keinen Virtual Hostname angeben m ssen Sie vor dem Erstellen einer Konferenz u U einschr nken unter welchem Namen sich Benutzer anmel den k nnen Beispiel Wenn das IVE einem internen Namen zugeordnet ist wie vertrieb acmegizmo com der nur innerhalb der Firmenfirewall g ltig ist sowie einem weiteren N
546. tionsdatei m ssen Sie beachten dass in dieser Datei auch Informationen ber die Security World des Ger ts enthalten sind Daher ben tigen Sie eine Administratorkarte die der Security World zugeordnet ist um die Konfigurationsdatei auf ein anderes Ger t importieren zu k nnen WM Importieren einer Systemkonfigurationsdatei Beim Importieren einer Systemkonfigurationsdatei k nnen Sie das Serverzertifikat und die IP Adresse oder die Netzwerkeinstellungen des IVE Servers aus den importierten Informationen ausschlie en Um beispielsweise mehrere IVEs hinter einem Load Balancer einzurichten importieren Sie alle Daten au er der IP Adresse Um ein IVE als Sicherungsserver einzurichten importieren Sie alle Daten au er dem digitalen Zertifikat und den Netzwerkeinstellungen Hinweis Beim Importieren einer Konfigurationsdatei mit Lizenzen erhalten im IVE die bestehenden Lizenzen Vorrang die gegenw rtig auf dem IVE installiert sind Archivierte Lizenzen werden nur importiert wenn auf dem IVE gegenw rtig keine Lizenzen vorhanden sind So importieren Sie eine Konfigurationsdatei 1 W hlen Sie in der Web console System gt Import Export gt Configuration aus 2 Geben Sie an ob Sie das Serverzertifikat importieren m chten Das Zertifikat wird nur importiert wenn Sie das Kontrollk stchen Import Server Certificate aktivieren Wichtig Beim Importieren eines Serverzertifikats auf ein Access Series FIPS System m ssen Sie ein Zerti
547. tionshandbuch Regeln werden zu einer Richtlinie zusammengefasst die von der Hostpr fung auf dem Client berpr ft wird Sie k nnen dann den Zugriff auf das IVE und die Ressourcen durch Forderung einer Hostpr fung einschr nken e Richtlinie f r Bereichsauthentifizierung Wenn Administratoren versuchen sich beim IVE anzumelden wertet das IVE die Authentifizierungsrichtlinie des angegebenen Bereichs aus und ermittelt ob die Hostpr fung zu den Anforderungen geh rt die vor der Authentifizierung erf llt sein m ssen Sie k nnen eine Richtlinie f r die Bereichsauthentifizierung so konfigurieren dass die Hostpr fung herun tergeladen wird die Hostpr fung herunterladen und die f r den Bereich festgelegten Hostpr fung Richtlinien durchsetzen oder konfigurieren dass keine Hostpr fung erforderlich ist Der Benutzer muss sich von ei nem Computer anmelden der den Hostpr fung Anforderungen ent spricht die f r den Bereich festgelegt wurden Wenn dies nicht der Fall ist leitet das IVE die Anmeldeinformationen des Benutzers nicht an den Authentifizierungsserver weiter und der Benutzer kann nicht auf das IVE zugreifen e Benutzerrolle Wenn das IVE die Liste der zul ssigen Rollen ermittelt die einem Admi nistrator oder Benutzer zugeordnet sind wertet es die Einschr nkungen der einzelnen Rollen aus Dabei ermittelt es ob das Ger t des Benutzers f r die Rolle bestimmte Richtlinien f r die Hostpr fung einhalten
548. tivieren Sie das Kontrollk stchen Enable Network Discovery damit das IVE freigegebene Windows Ordner erkennen kann 8 Klicken Sie auf Master Browsers um einen WINS Server Dom nen controller oder anderen Server in der IVE Dom ne auszuw hlen der auf die NETBIOS Aufrufe reagiert und Namen von Arbeitsstationen und Standorten IP Adressen zuordnet sofern vorhanden F gen Sie den Masterbrowser dann ber die Seite Windows Networking Specify Master Browser hinzu 9 Klicken Sie auf der Registerkarte Internal Port auf Save Changes So setzen Sie Netzwerkeinstellungen f r den internen Port LAN Schnittstelle zur ck 1 W hlen Sie in der Webkonsole System gt Network gt Internal Port aus 2 Klicken Sie auf Reset um auf die letzten gespeicherten nderungen zur ckzusetzen 160 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch EAT NerScreen Central Manager Help Sign Out hg Network Settings D Status en CUER taa External Port disabled Static Routes Hosts Network Connect D Clustering Network Identity ee i Fully qualified hostname example D Signing In Virtual Hostname Be Administrators Address Information gt Authentication IP Address 10 12 173 2 D Delegation Netmask 255 255 0 0 Users gt Authentication Gateway 10 10 0 1 re D Roles Link speed Auto gt New User Link status Resource Policies Eo Connected yes Speed 100Mb s Duplex full D Web j Auto n
549. tlich das Leerlaufzeitlimit f r seine Autorisierungsgruppe erreichen da das IVE w hrend des Verfassens der E Mail keine Daten empf ngt Wenn Warnungen bei Sitzungszeit berschreitung aktiviert sind fordert das IVE den Benutzer jedoch auf die IVE Sitzung vor Ablauf der Zeitbegrenzung zu reaktivieren und erzwingt das Beenden der IVE Sitzung des Benutzers Diese Warnung gibt dem Benutzer die M glichkeit die teilweise verfasste E Mail zu speichern Geben Sie unter Roaming session Folgendes an e Enabled Erm glicht Roamingbenutzersitzungen f r Benutzer die dieser Gruppe zugeordnet sind Eine Roamingbenutzersitzung funktioniert ber Quell IP Adressen wodurch sich mobile Benutzer Benutzer von Laptops mit dynamischen IP Adressen von einem Standort aus im IVE anmelden k nnen und Ihre Arbeit von einem anderen Standort fortsetzen k nnen Einige Browser weisen jedoch eventuell Schwachstellen auf ber die durch b sartigen Code Benutzercookies gestohlen werden k nnen Ein b swilliger Benutzer kann dann anhand eines gestohlenen IVE Sitzungscookies am IVE anmelden e Limit to subnet Beschr nkt die Roamingsitzung auf das lokale Subnetz das im Feld Netmask angegeben ist Benutzer k nnen sich von einer IP Adresse aus anmelden und ihre Sitzungen mit einer anderen IP Adresse fortsetzen sofern sich die neue IP Adresse in demselben Subnetz befindet e Disabled Verbietet Roamingbenutzersitzungen f r Benutzer die dieser Rolle zugeor
550. tlinien 432 Schlussel vorhandenes exportieren 147 vorhandenes importieren 147 selbst signiert 69 Server Siehe Authentifizierungsserver Zertifikat server Serverzertifikat Definition 69 erneuertes Zertifikat importieren 150 vorhandenes exportieren 147 vorhandenes importieren 147 Zertifikatssignaturanforderung 151 Zertifikatssignaturanforderung importieren 152 Sicherheitsanforderungen festlegen 29 Signaturanforderung Erstellung 151 Import 152 Zertifikat importieren 152 Sperrliste 5 225 unterstutzte Formate 69 verkettetes Zertifikat 71 Zwischenzertifikat 71 Zertifikatssignaturanforderung Erstellung 151 Import 152 Zertifikat importieren 152 ZIP Beschleuniger 387 Zone Labs erzwingen 143 Integration 91 Zugriffssteuerung Liste ACL Export 395 Import 397 Webressourcen 330 370 373 Zugriffsverwaltung Definition 23 Zul ssige Rollen Definition 38 erstellen gt lt u UV NETSCREEN 1998 2004 NetScreen Technologies Inc All Rights Reserved
551. to load Choose configuration to load m Abbildung 135 IVE Serielle Konsole Nach dem Zur cksetzen auf die Werkseinstellungen 7 Wenn Sie zum Dr cken der Tab Taste aufgefordert werden gibt es folgende M glichkeiten e Warten Sie den automatischen Start der Standardoption ab current oder e dr cken Sie die Tab Taste geben Sie current ein und dr cken Sie dann die Eingabetaste Sie werden dann aufgefordert die urspr nglichen Konfigurationseinstel lungen des Ger ts einzugeben Detaillierte Informationen zur Vorgehens weise k nnen Sie dem Installationshandbuch entnehmen das dem Ger t beiliegt Dieses Handbuch steht auch auf der NetScreen Supportsite im PDF Format zur Verf gung Nach dem Abschluss des Initialisierungsvorgangs k nnen Sie auf das neueste Serverpaket aktualisieren und die gespeicherten System und Benutzerkonfigurationsdateien importieren um zum letzten funktions t chtigen Zustand des Ger ts zur ckzukehren VI Durchf hren g ngiger Wiederherstellungsvorg nge Wenn Sie den Administratorbenutzernamen und oder das Administrator kennwort f r das IVE vergessen sich aufgrund von Konfigurationsfehlern selbst vom Ger t ausgesperrt oder die IP Adresse des IVE Ger ts ge ndert haben und nicht mehr auf das Ger t zugreifen k nnen k nnen Sie die Ger teeinstellungen ber die serielle Konsole ndern Folgen Sie den Anweisungen unter Herstellen einer Verbindung mit der seriellen Konsole des IVE
552. toren und Hauptbenutzer in Windows 2000 Systemen automatisch aktiviert Standardbenutzer m ssen sie hingegen manuell aktivieren Um ActiveX Steuerelemente in Internet Explorer zu aktivieren w hlen Sie Extras gt Internetoptionen gt Sicherheit gt Stufe anpassen aus und aktivieren Sie anschlie end im Dialogfeld Sicherheitseinstellungen die ActiveX Komponenten e Microsoft Java Virtual Machine JVM Um Microsoft JVM in Inter net Explorer zu aktivieren w hlen Sie Extras gt Internetoptionen gt Sicherheit gt Stufe anpassen aus und aktivieren Sie dann im Dialog feld Security Settings die Option Microsoft VM e Sun Java Virtual Machine JVM 1 4 1_01 oder h her Secure Meeting f hrt ein Java Applet im Arbeitsspeicher aus wenn Sie einer Konferenz beitreten Secure Meeting wird von den Sun JVM Versionen 1 4 1_01 und h her unterst tzt Sun JVM kann unter der Adresse www java com heruntergeladen werden So aktivieren Sie JavaScript e Internet Explorer Navigieren Sie zur Registerkarte Extras gt Internetoptionen gt Sicherheit und w hlen Sie Stufe anpassen aus W hlen Sie unter Scripting von Java Applets die Option Aktivieren aus e Netscape Navigator Wechseln Sie zu Bearbeiten gt Einstellungen Aktivieren Sie unter Erweitert gt Scripts amp Plugins das Kontrollk stchen Navigator Die Anweisungen beziehen sich auf die neuesten Browserversionen Die Anweisungen f r ltere Browser k nnen davon abweich
553. tors gt Authentication gt Delegation Users gt Authentication gt Roles gt New User Resource Policies Web D D Files D SAM b Telnet SSH gt Network Connect D Meetings D Email Client Maintenance D System gt Import Export gt Push Config D Archiving gt Troubleshooting Telnet SSH Policies gt New Policy Name Required Label to reference this policy Description a Resources Specify the resources for which this policy applies one per line Resources gt N amples lt USER gt domain com 22 23 exchange domain com z 10 10 10 10 24 8000 9000 Ww Roles Policy applies to ALL roles C Policy applies to SELECTED roles Policy applies to all roles OTHER THAN those selected below Available roles Selected roles Users Add gt none employees apac employees emea Remove employees global _Remove employees hq Ba Action Allow access C Deny access C Use Detailed Rules available after you click Save Changes Abbildung 107 Resource Policies gt Telnet SSH gt New Policy 368 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch NetScreen Instant Virtual Extranet Plattform 369 Administrationshandbuch Konfigurieren der Seite Network Connect ber die Aktualisierungsoption Network Connect verf gen Sie auf Netz werkebene ber einen sicheren SSL basierten Remotezugriff auf alle Unternehmens Anwendun
554. trators Cluster Password pee gt Authenticati ZZ Confirm Password BE D Delegation Users z m m Synchronization Settings gt Authentication gt Roles oN Protocol Unicast Multicast Broadcast ew User Resource Policies a V Synchronize log messages M Synchronize User Session Data e D Files D SAM Network Healthcheck Settings D Telnet SSH D Network Connect Number of ARP Ping failures before interface is disabled should be greater than 0 5 D Meetings gt Email Client p i Disable external interface when internal interface fails aa 2 2 Abbildung 41 System gt Clustering gt Properties Cluster mit mehreren Sites NetScreen Instant Virtual Extranet Plattform Administrationshandbuch 185 EJN NETSCREEN Central Manager System Status Configuration Network Clustering Log Monitoring ZI U IR IR Signing In Administrators gt Authentication gt Delegation Users gt Authentication gt Roles gt New User Resource Policies D Web D Files D SAM gt Telnet SSH D Network Connect D Meetings D Email Client Maintenance D System D Import Export gt Push Config Help Sign Out R Clustering Status Properties Type NetScreen S4 3010 Advanced Cluster Pair 50 Simultaneous Users Cluster Name Ihomebranch Cluster Password Confirm Password f eka Configuration Settings Active Passive config
555. tribute sind in den detaillierten Rollen Bedingungen in den Ressourcenrichtlinien verf gbar Auch wenn der Benutzer einer Rolle mit einer Stop Regel zugeordnet wird werden Attribute von nachfolgenden Regeln nicht zum Sitzungskontext des Benutzers hinzugef gt userAttr building HQ or MtView 1 3 userAttr dept sales and eng userAttr dept eng or it or custsupport userAttr division sales userAttr employee Type contractor userAttr salaryGrade gt 10 userAttr salesConfirmed gt userAttr salesQuota Negative Beispiele userAttr company Acme Inc or not group contractors not user guest or group demo Beispiele fur Kombinationen Erlaubt leitenden Angestellten und deren Assistenten den Zugriff von Montag bis Freitag userAttr employee Type manager or assistant and group executiveStaff and time Mon to Fri Erlaubt alle Partner mit dem Status Aktiv von Montag bis Freitag jedoch bevorzugte Partner von Montag bis Samstag group partners and time Mon to Fri or group preferredPartners and time Mon to Sat and userAttr partnerStatus active userDN Verf gbar in e Rollenzuordnungsregeln e Ressourcenrichtlinienregeln userDN lt user attr gt Verf gbar in e Rollenzuordnungsregeln e Ressourcenrichtlinienregeln e Felder f r SSO Parameter userDNText Verf gbar in e Rollenzuordnungsreg
556. tual Extranet Plattform Administrationshandbuch Servereinstellungen speichern wird der Servername der der Instanz zuge wiesene Name auf der Registerkarte General des Bereichs in der Drop downliste Authentication Server angezeigt Wenn es sich beim Server um einen LDAP oder Active Directory Server handelt wird auch der Name der Instanz auf der Registerkarte General des Bereichs in der Dropdownliste Directory Attribute server angezeigt Sie k nnen denselben LDAP oder Active Directory Server in einem Bereich f r Authentifizierung und Autori sierung verwenden oder Sie verwenden dieselbe Serverinstanz zur Authen tifizierung in einem Bereich und zur Autorisierung in verschiedenen anderen Bereichen in denen andere Server zur Authentifizierung verwendet werden Das NetScreen Instant Virtual Extranet unterst tzt die g ngigen Authentifi zierungsserver z B Windows NT Dom ne Active Directory RADIUS LDAP NIS RSA ACE Server und Netegrity SiteMinder Sie k nnen eine oder meh rere lokale Datenbanken fur Benutzer erstellen die vom IVE authentifiziert wurden Einen berblick ber Server und Informationen zur Konfiguration finden Sie unter e Konfigurieren einer ACE Serverinstanz uusssnssneeennennnennennnnn nennen 215 e Konfigurieren einer Active Directory oder einer NT Dom neninstanz 221 e Konfigurieren einer Instanz eines anonymen Servers usssseneesneeseennnennnn 223 e Konfigurieren einer Zertifikats
557. ture Print echo As Abbildung 40 Serielle Konsole Bestatigen des Clusterbeitritts 6 Geben Sie zum Fortfahren die Nummer ein Wenn die Bestatigungsmeldung fur den Beitritt des IVE zum Cluster angezeigt wird Uberprufen Sie auf der Registerkarte Status gt Clustering gt Status von allen aktiven Clustermitgliedern ob der Status des neuen Mitglieds als grunes Licht angezeigt wird d h dass das IVE ein aktiver Knoten des Clusters ist Registerkarte Properties VI ndern von Clustereigenschaften oder L schen eines Clusters Auf der Registerkarte Properties k nnen Sie den Namen eines Clusters andern den Ausf hrungsmodus eines Clusterpaars angeben Synchronisierungseinstellungen festlegen oder einen Cluster l schen So ndern Sie Clustereigenschaften 1 W hlen Sie in der Webkonsole eines aktiven Clustermitglieds die Registerkarte System gt Clustering gt Status aus NetScreen Instant Virtual Extranet Plattform 183 Administrationshandbuch 2 Nehmen Sie die gew nschten nderungen vor und klicken Sie dann auf Save Changes Die Clusterbezeichnung k nnen Sie im Feld Cluster Name ndern Um die Konfigurationseinstellung f r ein Clusterpaar festzulegen w hlen Sie Active Passive oder Active Active aus F r eine Aktiv Passiv Konfiguration geben Sie eine interne VIP virtuelle IP Adresse und sofern der externe Port aktiviert ist eine externe VIP an Hinweis Der Abschnitt Configurati
558. tusfen ster als Prozess im System Tray ausgef hrt Benutzer k nnen auf dieses Symbol doppelklicken um den aktuellen Sitzungsstatus und eine Liste von Anwendungen und Hosts anzuzeigen die f r die Vermittlung ber Secure Application Manager angegeben sind Client Server Kommunikation mithilfe von W SAM Die folgende Abbildung verdeutlicht die Interaktion zwischen einer Client anwendung und dem Server ber das IVE 1 Zum Starten von Windows Secure Application Manager klicken Benutzer auf die IVE Men option f r Secure Application Manager Das IVE l dt das ActiveX Steuerelement auf den Clientcomputer herunter Dieses Steuerelement konfiguriert den Clientcomputer zum Ausf hren von clientseitigen Diensten LSP um den Anwendungsverkehr zu sichern Das Statusfenstersymbol f r den Secure Application Manager wird im System Tray angezeigt Der Benutzer startet eine vom Administrator festgelegte Anwendung oder initiiert einen Prozess der Daten von einem angegebenen Host anfordert Wenn die Clientanwendung oder der Prozess versucht eine Verbindung mit der Ressource herzustellen f ngt Secure Application Manager die Anforderung ab Secure Application Manager leitet den Hostnamen ber SSL an das IVE weiter Das IVE l st den Hostnamen auf und gibt die IP Adresse des Zielhosts an Secure Application Manager zur ck Secure Application Manager konfiguriert automatisch einen Kanal f r die Portumleitung Dazu wird die bereits vorkonfigur
559. tzerrolle kann z B definiert werden ob ein Benutzer ber die Berechtigung zum Webbrowsing verf gt Die einzelnen Webressourcen auf die ein Benutzer zugreifen darf werden jedoch durch Webressourcenrichtlinien definiert die separat konfiguriert werden In diesem Abschnitt finden Sie Informationen zu folgenden Themen FROG AIC i See Ssh Sores ee NE Een 55 Rollenkomponenten 22200224002200 00000 nnnn nenne nnnn namen anne nano nennen nnnennen 56 ROLENAUSWETIINg zn aa 58 Informationen zum Erstellen einer Benutzerrolle finden Sie unter Konfigurieren der Seite Roles auf Seite 285 Rollenarten Das IVE unterst tzt zwei Arten von Benutzerrollen e Administratoren Eine Administratorrolle ist eine Einheit die die IVE Verwaltungsfunktio nen und Sitzungseigenschaften f r Administratoren angibt die der Rolle zugeordnet sind Sie k nnen eine Administratorrolle anpassen indem Sie Gruppen von IVE Funktionen und Benutzerrollen ausw hlen die Mitglie der der Administratorrolle anzeigen und verwalten d rfen Weitere Infor mationen finden Sie unter Delegierte Administration bersicht auf Seite 83 e Benutzer Eine Benutzerrolle ist eine Einheit die Parameter f r Benutzersitzungen individuelle Einstellungen und aktivierte Zugriffsfunktionen definiert Sie k nnen eine Benutzerrolle anpassen indem Sie bestimmte IVE Zugriffs funktion aktivieren Web Anwendungs und Sitzungs Lesezeichen defi nieren u
560. u definieren Wenn Sie Benutzern die Festlegung benutzerdefinierter Server erm glichen m ssen die Benutzer diese Informationen auf ihrer IVE Seite Email Setup eingeben NetScreen Instant Virtual Extranet Plattform 381 Administrationshandbuch 5 Geben Sie unter Email Session Information Folgendes an e Einen Idle Timeout Wert der angibt wie lange sich die E Mail Sitzung eines Benutzers im Leerlauf befinden kann bevor das IVE die E Mail Sitzung beendet e Einen Wert f r Max Session Length der angibt wie lange sich die E Mail Sitzung eines Benutzers im Leerlauf befinden kann bevor das IVE die E Mail Sitzung beendet 6 Klicken Sie auf Save Changes NetScreen Instant Virtual Extranet Plattform Administrationshandbuch EAT NETSCREEN Central Manager System D Status D Configuration gt Network gt Clustering gt Log Monitoring D Signing In Administrators gt Authentication gt Delegation Users gt Authentication gt Roles gt New User Resource Policies D Web D Files D SAM gt Telnet SSH D Network Connect D Meetings Maintenance D System D Import Export gt Push Config D Archiving gt Troubleshooting Help Sign Out Email Settings Save Changes Reset Email Client Support Enabled Disabled Note This enables the secure email client service To allow users to use this service you must also enable this feature on the Users Roles pa
561. u maskieren Wenn ein Benutzer beispielsweise www msn com aufruft ohne dass NetScreen Instant Virtual Extranet Plattform 297 Administrationshandbuch selektives Neuschreiben oder Hostnamencodierung aktiviert ist wird der folgende URL in der Adressleiste des Webbrowsers des Benutzers angezeigt http www msn com Unrewritten pages open in new window Wenn Benutzer auf Seiten zugreifen die nicht neu geschrieben werden siehe Seite Selective Rewriting policy erzwingt diese Option dass der Inhalt in einem neuen Fenster angezeigt wird So werden Benutzer daran erinnert dass sie sich noch immer in einer sicheren Sitzung befinden 3 Geben Sie unter Bookmarks die Optionen an die f r Benutzer aktiviert werden sollen 4 User can add bookmarks Diese Option erm glicht es Benutzern auf der IVE Willkommensseite pers nliche Weblesezeichen zu erstellen Auto allow role bookmarks Diese Option erm glicht es dem IVE f r diese Rolle automatisch ein Weblesezeichen f r die Ressourcen richtlinien f r Webzugriff zu erstellen Beachten Sie dass diese Funk tion nur f r Rollenlesezeichen nicht f r von Benutzern erstellte Lesezeichen gilt Aktivieren Sie unter Cookies die Option Persistent cookies sodass Benutzer die dieser Rolle angeh ren ihre Browserumgebung durch Beibehaltung best ndiger Cookies anpassen k nnen Standardm ig l scht das IVE Webcookies die w hrend einer Benutzersitzung gespeichert wurden
562. ugreifen ohne dass weitere Software z B ein VPN Client ben tigt wird Der IVE Server funktioniert mit jedem Mailserver der IMAP4 Internet Mail Application Protocol POP3 Post Office Protocol und SMTP Simple Mail Transfer Protocol unterst tzt Hierzu z h len auch Microsoft Exchange Server und Lotus Notes Mail Server die IMAP4 POP3 SMTP Schnittstellen zur Verf gung stellen Der IVE Server befindet sich zwischen dem Remoteclient und dem Mail server und fungiert als sicherer E Mail Proxy Der Remoteclient verwendet den IVE Server als virtuellen Mailserver und sendet E Mail ber das SSL Protokoll Der IVE Server beendet SSL Verbindungen des Clients und leitet den entschl sselten E Mail Verkehr innerhalb des LAN an den Mailserver weiter Der IVE Server wandelt den unverschl sselten Datenverkehr des Mailservers dann in S IMAP Secure IMAP S POP Secure POP und S SMTP Secure SMTP Datenverkehr um und sendet ihn ber SSL an den E Mail Client 86 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Weitere Informationen finden Sie unter Ausw hlen eines E Mail Clients u 20022002200R2Re nen nnnnnnnn nennen 86 Arbeiten mit einem standardbasierten Mailserver 86 Arbeiten mit Microsoft Exchange Server cccccesececcssseeeeeeeeeeeeesaaeeees 87 Arbeiten mit Lotus Notes und Lotus Notes Mail Server 90 Ausw hlen eines E
563. ung 56 System gt Signing In gt Servers gt Anonymous Server NetScreen Instant Virtual Extranet Plattform 225 Administrationshandbuch Konfigurieren einer Zertifikatserverinstanz Der Zertifikatserver erm glicht die Authentifizierung von Benutzern anhand von Attributen in clientseitigen Zertifikaten Sie k nnen den Zertifikatserver allein oder in Verbindung mit einem anderen Server verwenden um Benutzer zu authentifizieren und sie Rollen zuzuordnen Sie k nnten Benutzer z B allein anhand ihrer Zertifikatattribute authentifizieren Wenn das IVE ein Benutzerzertifikat als g ltig einstuft wird der Benutzer auf der Grundlage seines CN Common Name angemeldet der im Zertifikat enthalten ist Der Benutzer muss keinen Benutzernamen und kein Kennwort angeben Sie k nnen Benutzer auch authentifizieren indem Sie ihre Clientzertifikatattribute an einen zweiten Authentifizierungsserver wie LDAP weiterleiten In diesem Szenario ermittelt der Zertifikatserver zun chst ob das Benutzerzertifikat g ltig ist Wenn dies der Fall ist leitet der Zertifikatserver ausgew hlte Attribute an einen LDAP Server mit einer CRL Certificate Revocation List Zertifikatssperrliste weiter Wenn das Zertifikat des Benutzers gesperrt wurde weil er beispielsweise nicht mehr in der Firma t tig ist oder seine berufliche Position gewechselt hat gibt der LDAP Server den Status unzul ssig an das IVE zur ck und dieser verweigert dem Benutzer den
564. ungsdaten f r Admi nistratorkarten Daher wird dringend empfohlen dass Sie mindestens eine Administratorkarte f r die Durchf hrung administrativer Standard aufgaben und eine weitere als Ersatz erstellen Andernfalls laufen Sie Ge fahr Ihre einzige Administratorkarte und damit den Zugriff auf Ihre Security World und alle darin gespeicherten Daten zu verlieren Aufbewahren einer Ersatzadministratorkarte an einem sicheren Ort Bewahren Sie Ihre Ersatzadministratorkarten an einem sicheren Ort und nicht zusammen mit der Karte auf die Sie f r die t glichen Verwaltungs aufgaben verwenden damit nicht alle Administratorkarten auf einmal verloren gehen k nnen z B durch Feuer oder Diebstahl berschreiben aller verbleibenden Administratorkarte im Falle des Verlusts eine Karte Bei Verlust oder Besch digung einer Administratorkarte sollten Sie um gehend eine neue Security World erstellen und alle verbleibenden Karten der alten Security World berschreiben Andernfalls kann ein Angreifer mit einer alten Administratorkarte u U auf die alten Hostdaten auf einem Sicherungsband oder einem anderen Host zugreifen Mit den alten Host daten und einer Karte ist der Angreifer dann vielleicht in der Lage neue Schl ssel zu erstellen Sch tzen des Kennwortes einer Administratorkarte Sie sollten Ihr Kennwort aus Sicherheitsgr nden niemals notieren oder nicht vertrauensw rdigen Benutzern mitteilen Verwenden Sie auch keine Kennworter die
565. ungseinschr nkungen Legen Sie anhand einer Cachebereinigungseinschr nkung fest dass Clientcomputer die angegebenen Cachebereinigungsrichtlinien erf llen m ssen um auf eine IVE Anmeldeseite bzw eine Ressourcenrichtlinie zugreifen oder einer Rolle zugeordnet werden zu k nnen Mi Angeben von Cachebereinigungseinschr nkungen So geben Sie Cachebereinigungseinschr nkungen an Systemweite Richtlinien f r die Hostpr fung werden folgenderma en angegeben System gt Configuration gt Security gt Hostpr fung Gehen Sie dann in den einzelnen Bereichen folgenderma en vor e Bereichsebene Navigieren Sie zu e Administrators gt Authentication gt Ausgew hlter Bereich gt Authentication Policy gt Cache Cleaner e Users gt Authentication gt Ausgew hlter Bereich gt Authentication Policy gt Cache Cleaner 436 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Rollenebene e Administrators gt Delegation gt Ausgew hlte Rolle gt General gt Restrictions gt Cache Cleaner e Users gt Authentication gt Ausgew hlter Bereich gt Role Mapping gt Ausgew hltelerstellte Regel gt Benutzerdefinierter Ausdruck e Users gt Roles gt Ausgew hlte Rolle gt General gt Restrictions gt Cache Cleaner Ressourcenrichtlinienebene Navigieren Sie zu Resource Policies gt Ausgew hlte Ressource gt Ausgew hlte Richtlinie gt Detailed Rules gt Ausgew hlte Erstellte Regel g
566. ur Secure Meeting Appliance Dieses Diagramm zeigt die Anzahl der gegenw rtig stattfindenden Kon ferenzen an Bei einer Cluster Umgebung werden im Diagramm zwei Linien angezeigt Die erste Linie zeigt die Anzahl der Konferenzen an die auf dem Knoten stattfinden der in der Dropdownliste ausgew hlt ist und die zweite Linie zeigt die Anzahl der gleichzeitig im gesamten Cluster stattfindenden Konferenzen an Hits Per Second Dieses Diagramm zeigt die Anzahl der gegenw rtig vom IVE verarbeite ten Zugriffe an In einer Clusterumgebung legen Sie durch die Auswahl eines IVE aus der Dropdownliste den Knoten fest dessen Daten im Dia gramm angezeigt werden Das Diagramm enth lt vier Linien Anzahl der Zugriffe Anzahl der Webzugriffe Anzahl der Dateizugriffe und Anzahl der Client Server Zugriffe CPU and Memory Usage Dieses Diagramm zeigt den Prozentsatz der aktuellen CPU und Speicher auslastung an In einer Clusterumgebung legen Sie durch die Auswahl ei nes IVE aus der Dropdownliste den Knoten fest dessen Daten im Diagramm angezeigt werden Throughput Dieses Diagramm zeigt die gegenw rtig verarbeitete Datenmenge in KB an In einer Clusterumgebung legen Sie durch die Auswahl eines IVE aus der Dropdownliste den Knoten fest dessen Daten im Diagramm ange zeigt werden Das Diagramm enthalt vier Linien extern ein extern aus intern ein und intern aus NetScreen Instant Virtual Extranet Plattform 127 Administrationshandbuch
567. uration This is a high availability failover mode in which one IVE is active while the other is held as backup Internal YIP 10 10 9 2 External VIP C Active Active configuration This mode requires an external load balancer Synchronization Settings V Synchronize log messages Synchronize User Session Data Abbildung 42 System gt Clustering gt Properties Clusterpaar 186 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch NetScreen Instant Virtual Extranet Plattform 187 Administrationshandbuch Konfigurieren der Seite Log Monitoring Die Seite System gt Log Monitoring enth lt die folgenden Registerkarten Registerkarten Events User Access und Admin Access u nenne 187 Registerkarte SNMP une een ein nee 195 Registerkarte Statistics sei ghicstica ale sock canada evel acd ited antetaneceuseetoniane 200 Auf der Seite System gt Log Monitoring k nnen Sie Folgendes durchf hren Speichern Anzeigen oder L schen der Protokolldatei 0000 188 Geben Sie an welche Ereignisse in der Protokolldatei gespeichert werden sollen 189 Erstellen von benutzerdefinierten Filtern und Formaten f r Protokolldateien 194 berwachen des IVE als SNMP Agent uuuuensessssssassnsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennenn 195 Anzeigen der Systemstatistik cccccseeccceesseeeeeseeeeeeesseeeeeeesaeeseeessaeeee
568. urce policy sequen tially processing each rule until finding the rule whose resource list matches the user s request IVE performs action specified by the matching resource policy either on its General tab or ina detailed rule Abbildung 3 Schritte bei der Auswertung von Ressourcenrichtlinien Details der einzelnen Auswertungsschritte 1 Die Sitzungsrolle eines Benutzers basiert auf der Rolle bzw den Rol len der bzw denen er wahrend des Authentifizierungsvorgangs zuge wiesen wird Die fur einen Benutzer aktivierten Zugriffsfunktionen werden durch eine Rollenzuordnungskonfiguration des Authentifizie rungsbereichs bestimmt Die Funktionen fur Web und Dateizugriff verfugen Uber mehrere Typen von Ressourcenrichtlinien Das IVE ermittelt daher zunachst den Anfor derungstyp z B auf eine Webseite ein Java Applet oder eine UNIX Datei und wertet dann die der Anforderung entsprechenden Ressourcenrichtlinien aus Fur die Webzugriffsfunktion werden z B fur jede Webanforderung zuerst die Richtlinien zum Neuschreiben ausge wertet Die verbleibenden funf Zugriffsfunktionen Secure Application Manager Secure Terminal Access Secure Meeting und Secure Email Client verfugen Uber nur eine Ressourcenrichtlinie Mit einer detaillierten Regel k nnen die folgenden beiden Vorg nge durchgef hrt werden e Ressourcen f r die eine Aktion gilt k nnen auf einer genaueren Ebene angegeben werden Wenn Sie z B in den Hauptri
569. urden beispielsweise Cookies und Kennw rter werden jedoch m glicherweise nicht in das aktuelle IVE Feld synchronisiert In diesem Fall m ssen sich die Benutzer an den Back End Webservern neu anmelden Der IVE Cluster selbst f hrt keine automatischen Failover oder Lastenaus gleichoperationen durch Er synchronisiert jedoch Statusdaten System Benutzer und Protokolldaten zwischen den Clustermitgliedern Wenn ein offline geschaltetes IVE wieder online geschaltet wird passt der Load Balancer die Datenlast erneut an um sie auf alle aktiven Mitglieder zu ver teilen Dieser Modus bietet gesteigerten Durchsatz und h here Leistung w hrend Spitzenlastzeiten verbessert jedoch die Skalierbarkeit ber die Gesamtzahl der lizenzierten Benutzer hinaus nicht Das IVE hostet eine HTML Seite die den Dienststatus f r jedes IVE in einem Cluster zur Verf gung stellt Externe Load Balancer k nnen anhand dieser Ressource ermitteln wie die Datenlast effektiv auf die Clusterknoten verteilt werden kann Der L7 berpr fungs URL lautet https lt IVE Hostname gt dana na healthcheck healthcheck cgi Die folgende Abbildung zeigt eine IVE Clusterkonfiguration vom Typ Aktiv Aktiv bei der externe Ports f r die IVEs aktiviert sind NetScreen Instant Virtual Extranet Plattform 79 Administrationshandbuch Cluster VIP 216 x x x Cluster Hostname iveserver yourcompany com External Load Balancer External NIC External NIC External NI
570. usf hren 1 2 Installieren Sie ein clientseitiges Zertifikat ber den Browser des Benut zers Hilfe dazu k nnen Sie den Anweisungen zu dem Browser entneh men Bei weiteren Fragen in diesem Zusammenhang lesen Sie die Ihrer IVE Version entsprechenden Versionshinweise Auf der Registerkarte System gt Configuration gt Certificates gt CA Certificate k nnen Sie ein Stammzertifikat in das IVE importieren das das clientseitige Zertifikat berpr ft Seite 153 NetScreen Instant Virtual Extranet Plattform 71 Administrationshandbuch Wichtig Das IVE unterst tzt keine Zwischenserverzertifikate Wenn Sie ein verkettetes Zertifikat d h ein vom Stammzertifikatsschlussel signiertes Zwischenzertifikat in das IVE importieren importiert das IVE nur das erste Zertifikat Wenn der Benutzer dann auf das IVE zugreifen m chte wird eine Warnung angezeigt dass das Zertifikat nicht vertrauensw rdig ist Diese Warnung wird auch angezeigt wenn der Benutzer ein Stammzertifikat in das IVE importiert das nicht in den Browser des Benutzers eingebettet ist Beachten Sie jedoch dass das VeriSign Zwischenzertifikat in das IVE einge bettet ist Wenn Sie den Stamm eines verketteten VeriSign Serverzertifikats importieren wird dem Benutzer daher keine Warnung vor einem nicht vertrau ensw rdigen Zertifikat angezeigt 3 Auf der Registerkarte Users Administrators gt Authentication gt Authentication Policy gt Certificate k nnen Sie ei
571. usgegangen dass ein Benutzer der zum Zugriff auf das interne Netzwerk berechtigt ist auch die Ressourcen anzeigen darf die im Rahmen dieser Benutzerrolle bereitgestellt werden Beachten Sie bei der Definition und berwachung einer Instanz eines anonymen Servers Folgendes e Sie k nnen nur eine Konfiguration f r anonyme Server hinzuf gen e Administratoren k nnen nicht mithilfe eines anonymen Servers authentifiziert werden 9 Bei der Konfiguration m ssen Sie auf der Registerkarte Users gt Authentication gt General den anonymen Server als Authentifizierungsserver und als Verzeichnis Attributserver ausw hlen Seite 273 e Beim Erstellen von Rollenzuordnungsregeln auf der Registerkarte Users gt Authentication gt Role Mapping Seite 277 gestattet das IVE keine Erstellung von Zuordnungsregeln die f r bestimmte Benutzer gelten z B Joe da auf einem anonymen Server keine Informationen zu Benutzernamen gespeichert werden Sie k nnen Rollenzuordnungsregeln erstellen die auf einem Standardbenutzernamen Zertifikatattributen oder benutzerdefinierten Ausdr cken basieren e Aus Sicherheitsgr nden k nnen Sie ggf die Anzahl der Benutzer beschr nken die sich gleichzeitig ber einen anonymen Server anmelden Verwenden Sie dazu die Option auf der Registerkarte Users gt Authentication gt Bereich gt Authentication Policy gt Limits Dabei ist Bereich der Bereich f r Benutzerauthentifizierung durch den an
572. uster 1000 Simultaneous Users D Signing In Administrators Add Member Enable Disable Remove gt Authentication D Delegation Sync Member Name Internal Address External Address Status Notes Users Rank _Update gt Authentication CI ive 1 10 10 9 1 16 Q Enabled gt Roles lo D New User D ive 2 10 12 173 2 16 g Enabled BD Unreachable Resource Policies gt Web gt Files gt SAM Indicates the IVE you are currently using D Telnet SSH Abbildung 34 System gt Clustering gt Status Nach dem Festlegen eines neuen Mitglieds Wichtige Informationen zum Verwalten von Netzwerkeinstellungen f r Knoten in einem Cluster mit mehreren Sites finden Sie unter Verwalten von Netzwerkeinstellungen f r Clusterknoten auf Seite 172 172 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch VI Verwalten von Netzwerkeinstellungen f r Clusterknoten Wenn Sie einen Cluster mit mehreren Site betreiben in dem Knoten in unterschiedlichen Unternetzwerken ausgef hrt werden m ssen Sie die knotenspezifischen Informationen ber die Registerkarte System gt Clustering gt Status ndern So ndern Sie die Netzwerkeinstellungen eines Clusterknotens 1 W hlen Sie in der Webkonsole eines aktiven Clustermitglieds die Registerkarte System gt Clustering gt Status aus 2 Klicken Sie in der Spalte Member Name auf den Namen des Knotens dessen Netzwerkeinstellungen Sie
573. ut zernamen des Benutzers Seite 277 24 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Einer IVE Anmeldeseite sind ein oder mehrere Authentifizierungsbereiche zugeordnet Wenn mehrere Bereiche f r eine Anmeldeseite vorhanden sind muss der Benutzer vor der bermittlung der Anmeldeinformationen einen Bereich angeben Wenn der Benutzer die Anmeldeinformationen bermittelt hat berpr ft das IVE die Authentifizierungsrichtlinie des gew hlten Bereichs Der Benutzer muss die f r die Authentifizierungsrichtlinien des Bereichs angegebenen Sicherheitsanforderungen erf llen andernfalls leitet das IVE die Anmeldeinformationen des Benutzers nicht an den Authentifi zierungsserver weiter Sie k nnen auf Bereichsebene Sicherheitsanforderungen angeben die auf folgenden Aspekten basieren der Quell IP des Benutzers dem Browser von dem aus der Zugriff auf das IVE erfolgt der Besitz eines clientseitigen Zertifikates die L nge des Benutzer Kennwortes ob die Hostpr fung installiert ist oder ob die Cachebereinigung auf dem Benutzercomputer installiert ist oder ausgef hrt wird Wenn der Benutzer die Anforderungen der Authentifizierungsrichtlinie f r den Bereich erf llt leitet das IVE die Anmeldeinformationen des Benutzers an den entsprechenden Authentifizie rungsserver weiter Wenn der Benutzer durch den Server authentifiziert wurde wertet das IVE die Rollenzuordnungsregeln f r den Bereich aus und ermittelt welc
574. utzerkonten t glich oder w chentlich archiviert werden Das IVE archiviert die Dateien an den von Ihnen ausgew hlten Tagen und Uhrzeiten ber FTP auf dem angegebenen Server und im angegebenen Verzeichnis Die Konfigurationsdateien und Benutzerkonten werden verschl sselt um eine sichere bertragung ber FTP und eine sichere Speicherung auf anderen Servern zu gew hrleisten Der Name der Archivdateien enth lt wie nachfolgend dargestellt das Datum und die Uhrzeit der Archivierung Systemkonfigurationsdateien NetScreenConf Datum Uhrzeit Benutzerkonten NetScreenUserAccounts Datum Uhrzeit Systemereignisse NetScreenccessLog Datum Uhrzeit Administratorereignisse NetScreenAdminLog Datum Uhrzeit Benutzereignisse NetScreenEventsLog Datum Uhrzeit 404 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch So geben Sie Archivierungsparameter an 1 W hlen Sie in der Web console Maintenance gt Archiving gt FTP Server aus Geben Sie unter Archive Settings den Zielserver ein Verzeichnis und Ihre FTP Anmeldeinformationen f r diesen Server an Schlie en Sie keine Laufwerksangabe f r das Zielverzeichnis ein beispielsweise netscreen log e Bei UNIX Computern geben Sie abh ngig vom Basisverzeichnis des Benutzers entweder einen absoluten oder einen relativen Pfad an e Bei Windows Computern geben Sie einen Pfad an der relativ zum Ordner ftproot ist Geben Sie f r alle Arten von archivierten Daten Sie ei
575. ve Changes Zus tzliche Aufgaben f r J SAM In diesem Abschnitt werden Aufgaben beschrieben die Sie je nach den f r J SAM konfigurierten Client Serveranwendungen und dem von Ihren Benutzern verwendeten Betriebssystem m glicherweise durchf hren m ssen Weiterhin enth lt der Abschnitt Anweisungen zum Testen von J SAM in Ihrem Unternehmen 310 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Folgende Themen werden behandelt e Konfigurieren der externen DNS Server und Benutzercomputer falls erforderlich 310 e Konfigurieren eines PCs der die Verbindung mit dem IVE ber einen Proxywebserver herstellt 311 Iv Konfigurieren der externen DNS Server und Benutzercomputer falls erforderlich Clientanwendungen m ssen Hostnamen von Servern zu J SAM aufl sen wodurch Daten zwischen einem Client und einem Server ber einen Proxy gesendet werden Auf Windows PCs werden Hostnamen von Servern in der Datei hosts gespeichert Damit Daten mit J SAM abgefangen werden k nnen m ssen die Servernamen in dieser Datei zur Adresse des lokalen Computers localhost aufgel st werden sodass das IVE den Datenverkehr vermitteln kann Bei der Zuordnung von Anwendungsservern zum lokalen PC eines Benutzers empfiehlt es sich die automatische Hostzuordnung zu aktivieren siehe Seite 314 Hierdurch erh lt das IVE die M glichkeit die Datei hosts des PCs so zu ndern dass Anwendungsserver auf den localhost des PCs ve
576. ve nicht administrative Benutzersitzung ge ffnet bleiben kann bevor sie beendet wird Die Mindestzeit betr gt drei Minuten Die Standardzeitbegrenzung f r eine Benutzersitzung betr gt sechzig Minuten Nach dieser Zeitspanne beendet das IVE die Benutzersitzung und protokolliert das Ereignis im Systemprotokoll e Reminder Time Geben Sie den Zeitpunkt an zu dem das IVE Benutzer au er Administratoren wegen einer bevorstehenden Sitzungs oder Leerlaufzeit berschreitung warnen soll Geben Sie die Anzahl von Minuten vor Erreichen der berschreitung an 3 Aktivieren Sie unter Enable Session timeout warning das Optionsfeld Enabled um vor dem Erreichen der Sitzungszeitbegrenzung oder des Leerlaufzeitlimits auch andere Benutzer als Administratoren zu benachrichtigen In diesen Warnungen werden Benutzer aufgefordert kurz vor Erreichen der Sitzungsbegrenzung oder des Leerlaufzeitlimits eine geeignete Aktion durchzuf hren um gerade in Verarbeitung befindliche Formulardaten speichern zu k nnen die andernfalls verloren gehen w rden Benutzer die sich dem Leerlaufzeitlimit n hern werden 290 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch zum Reaktivieren der Sitzung aufgefordert Benutzer die sich der Sitzungszeitbegrenzung n hern werden zum Speichern der Daten aufgefordert Ein IVE Benutzer kann zum Beispiel bei der Arbeit mit einem f r die Zusammenarbeit mit dem IVE konfigurierten E Mail Client unwissen
577. ver exchangel ihrefirma com herzustel len Das IVE l st den Hostnamen des Exchange Servers durch tempor re nderungen an der Datei hosts zu 127 0 0 1 localhost auf Outlook stellt eine Verbindung mit Secure Application Manager her der auf dem PC des Benutzers ausgef hrt wird und beginnt dann Anforderungen f r E Mail zu senden Secure Application Manager kapselt alle Anforderungen und leitet diese ber SSL vom Outlook Client an das IVE weiter Das IVE entkapselt die Clientdaten und sucht in der MAPI Anforderung nach dem Exchange Zielserver Die Anforderung wird dann an den Zielserver weitergeleitet Jede Anforderung im MAPI Protokoll codiert den Zielserver f r die Anforderung Wenn von Secure Application Managerstammende MAPI Anforderungen eingehen werden sie vom IVE Server berpr ft und jeweils zum entsprechenden Zielserver weiterverteilt Dieser Prozess wird auch bei Vorhandensein mehrerer Exchange Server unbemerkt ausgef hrt 6 Der Exchange Server antwortet dem IVE mit E Mail Daten Das IVE kapselt die Antwort und leitet sie vom Exchange Server ber SSL an Secure Application Manager weiter Secure Application Manager entkapselt die vom IVE gesendeten Informationen und leitet die normale MAPI Antwort vom Exchange Server an dem Outlook Client weiter 118 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Client Machine hosts file 127 0 0 1 exchange1 company com 127 0 0 1 exchange2 compa
578. way link speed Create admin username and password Display log Ping to a server Trace route to a server Remove all static routes Reboot LVE toggle password protection for the console Off Create a Super Admin session 11 Print ARP Cache 12 Clear ARP Cache 13 Print Routing Table Choice WO Oo OS Oe oo ho ee Abbildung 131 IVE Serielle Konsole VI Rollback zu einem vorherigen Systemzustand Sie k nnen das IVE System normalerweise ber die Webkonsole folgenderma en in einen vorherigen Systemzustand zur ckversetzen 1 Navigieren Sie zu den zuvor gespeicherten System und Benutzerkonfigurationsdateien in denen die gew nschten Daten gespeichert sind Laden Sie die gew nschten Serverpakete unter support netscreen com herunter Importieren Sie das gew nschte Serverpaket 4 Importieren Sie die gew nschten System und Benutzerkonfigurationsdateien Das IVE speichert die aktuellen Systemkonfigurationsinformationen und die des vorherigen Systemzustands Wenn Sie das Serverpaket aktuali sieren und Ihr Ger t in den vorherigen Zustand zur cksetzen m chten empfehlen wir Ihnen den zuvor aufgef hrten Anweisungen zu folgen Wenn Sie nicht auf die Webkonsole zugreifen k nnen stellen Sie eine Verbindung mit der seriellen Konsole her um ein Rollback zum vorherigen Systemzustand durchzuf hren Wenn Sie bisher noch keine Serveraktualisierung durchgef hrt haben gibt es keinen lteren Systemzustand u
579. xys auf Seite 341 106 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch NetScreen Instant Virtual Extranet Plattform 107 Administrationshandbuch Remote SSO bersicht Mithilfe der Funktion Remote SSO Single Sign On Einzelanmeldung k n nen Sie einen Anmeldeseiten URL einer Anwendung angeben an die das IVE die Anmeldeinformationen eines Benutzers senden soll Dadurch wird vermieden dass Benutzer ihre Anmeldeinformationen f r den Zugriff auf verschiedene Back End Anwendungen mehrmals angeben m ssen Sie k nnen au erdem zus tzliche Formularwerte und benutzerdefinierte Hea der einschlie lich Cookies angeben die an das Anmeldeformular einer Anwendung gesendet werden F r die Remote SSO Konfiguration m ssen Webressourcenrichtlinien ange geben werden e Form POST Richtlinie Diese Art von Remote SSO Richtlinie gibt den Anmeldeseiten URL einer Anwendung an an die IVE Daten und die zu ver ffentlichenden Daten gesendet werden sollen Diese Daten k nnen den IVE Benutzernamen und das IVE Benutzerkennwort sowie die Systemdaten enthalten die in Systemvariablen gespeichert sind Systemvariablen und Beispiele auf Seite 442 Sie k nnen au erdem angeben ob Benutzer diese Informa tionen ndern d rfen e Header Cookies Richtlinie Diese Art von Remote SSO Richtlinie gibt Ressourcen wie benutzerdefi nierte Anwendungen an an die benutzerdefinierte Header und Cookies gesendet werden k
580. y zu ndern 4 Geben Sie im Feld ARP Ping Timeout an wie lange das IVE h chstens auf Antworten auf ARP Anforderungen Address Resolution Protocol warten soll Cluster von IVE Appliances senden ARP Anforderungen an 162 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch die Gateways von anderen IVE Appliances um zu berpr fen ob die Kommunikation ordnunggem erfolgt Hinweis Wenn die IVEs in einem Cluster gruppiert sind wird die angegebene H chstdauer im Cluster synchronisiert In Clustern mit mehreren Sites k nnen Sie diese Einstellung f r die einzelnen Knoten mithilfe der Optionen auf der Seite System gt Clustering berschreiben Wenn Sie das IVE nicht in einer Clusterumgebung ausf hren wird die Einstellung f r ARP Ping Timeout nicht verwendet 5 Klicken Sie zum Speichern der Einstellungen auf Save Changes EA NETSCREEN Central Manager Help Sign Out System D Status D Configuration D Clustering gt Log Monitoring D Signing In Administrators gt Authentication gt Delegation Users gt Authentication D Roles gt New User Resource Policies gt Web gt Files D SAM D Telnet SSH D Network Connect D Meetings D Email Client Maintenance D System D Import Export gt Push Config D Archiving gt Troubleshooting Network Settings Internal Port SICHERER TE Static Routes Hosts Network Connect The external port can be used to en
581. yees yourcompany com marketing hips employees yourcompany conmvadmins https partneri yourcompany com IVE evaluates sign in policies Starts with Administrator URLs and continues to User URLs until it matches the entered hostname Upon match displays the sign in page for the URL and a list of authentication realms if 1 realm exists and if the WE is configured to do so User submits credentials Enters username and password If gt 1 authentication realm exists enters realm or chooses realm fram list IVE evaluates realm authentication policy for sign in requirements Users belonging to this realm may be restricted by Source IP Password length Browser type Host Checker Client side Certificate Cache Cleaner User denied access to IVE 4 NO Realm authentication policy check passed IVE forwards user credentials to realm authentication server Abbildung 123 Schritt 1 von 3 IVE authentifiziert Benutzer USER User denied access to IVE ano Is the authentication server LDAP NO NetScreen Instant Virtual Extranet Plattform 425 Administrationshandbuch IVE Auth Server Authentication server returns success or failure A RADIUS authentication server also retums attributes for the IVE to use in role mapping Authentication success Does realm have separate LDAP authorization server IVE queries LDAP LDAP authorization server returns user attr
582. z und Konferenzteilnahme anzeigen k nnen 134 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Meeting Role Zeigt die Rolle des Konferenzerstellers an Wenn der Ersteller beim Er stellen der Konferenz unter mehreren Rollen angemeldet war wenn er z B Mitglied mehrerer Rollen ist und die Appliance f r eine permis sive Zusammenf hrung konfiguriert ist w hlt Secure Meeting eine Rolle aus wie unter Aktivieren und Konfigurieren von Konferenzen f r Benutzerrollen auf Seite 318 dargestellt Attendee Roles Zeigt die Rollen der f r die Konferenz angemeldeten Teilnehmer die Anzahl der f r jede Rolle angemeldeten Teilnehmer und die Teilneh merobergrenze f r jede Rolle an Informationen dar ber wie Teilneh mer zu Rollen zugewiesen und wie Obergrenzen f r eine Rolle festgelegt werden finden Sie unter Aktivieren und Konfigurieren von Konferenzen f r Benutzerrollen auf Seite 318 2 Mithilfe der folgenden Methoden k nnen Sie die Konferenzansicht andern optional W hlen Sie aus den Gruppenregisterkarten Meeting Series Appliance oder in der Dropdownliste Access Series Appliance einen Zeitrahmen aus Daily Weekly In Progress oder Scheduled um festzulegen welche Konferenzen angezeigt werden Klicken Sie auf eine beliebige unterstrichene Spalten berschrift um die Sortierreihenfolge der derzeit angezeigten Konferenzen zu steuern 3 Klicken Sie unterhalb einer Konferenz auf die
583. zercomputer die Anforderung an die Cachebereinigung nicht erf llt die f r eine Ressource angegeben wurde gew hrt das IVE dem Benutzer keinen Zugriff auf die Ressource Diese Sicherheitsanforderung wird folgenderma en konfiguriert Resource Policies gt Ausgew hlte Ressource gt Ausgew hlte Richtlinie gt Detailed Rules gt Ausgew hlte Erstellte Regel gt Bedingungsfeld 34 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch NetScreen Instant Virtual Extranet Plattform 35 Administrationshandbuch Authentifizierungsbereiche bersicht Als Authentifizierungsbereich wird eine Gruppierung von Authentifizie rungsressourcen bezeichnet Dies umfasst e Ein Authentifizierungsserver durch den die Identit t des Benutzers berpr ft wird Das IVE leitet die Anmeldeinformationen eines Benutzers von der Anmeldeseite an einen Authentifizierungsserver weiter Seite 35 e Eine Authentifizierungsrichtlinie die die Sicherheitsanforderungen des Bereichs angibt die erf llt sein m ssen damit das IVE die Anmeld einformationen eines Benutzers zur berpr fung an einen Authentifizie rungsserver weiterleitet Seite 36 e Ein Verzeichnisserver ist ein LDAP Server der dem IVE Benutzer und Gruppeninformationen bereitstellt mit denen das IVE Benutzer zu einer oder mehreren Benutzerrollen zuordnet Seite 37 e Rollenzuordnungsregeln geben die Bedingungen an die ein Benutzer erf llen muss damit ihn das
584. zersitzungen anzeigen und l schen Folgen Sie hierf r den folgenden Anweisungen So zeigen Sie eine aktive Benutzersitzung an oder l schen sie 1 W hlen Sie in der Web console System gt Signing In gt Servers aus 2 Klicken Sie in der Liste Authentication Authorization Servers auf die entsprechende Verkn pfung 3 Klicken Sie auf die Registerkarte Users F hren Sie eine der folgenden Aufgaben durch e Geben Sie im Feld Show Users Named einen Benutzernamen ein und klicken Sie auf Update um nach einem bestimmten Benutzer zu suchen Sie k nnen auch ein Sternchen als Platzhalter verwenden das f r eine beliebige Anzahl von Zeichen steht null eins oder mehrere Wenn Sie z B nach allen Benutzernamen suchen m chten die die Buchstaben jo enthalten geben Sie im Feld Show users named die Zeichenfolge jo ein Bei der Suche wird die Gro und Kleinschreibung ber cksichtigt Wenn Sie wieder die Gesamtliste der Gruppenkonten anzeigen m chten geben Sie ein Sternchen ein oder l schen Sie den Feldinhalt und klicken Sie dann auf Update e Geben Sie im Feld Show N users eine Zahl ein und klicken Sie auf Update um die Anzahl von Benutzern anzugeben die auf der Seite angezeigt werden 264 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch e Aktivieren Sie das Kontrollk stchen neben den jeweiligen Benutzern und klicken Sie anschlie end auf Delete um deren IVE Sitzungen zu beenden EA
585. zu bearbeiten und Eintr ge von Windows Anwendungsservern durch localhost zu ersetzen Diese Eintr ge werden auf die Originaldaten zur ckgesetzt wenn ein Benutzer Secure Application Manager schlie t Die Java Version von Secure Application Manager kann nur dann ver wendet werden wenn zwischen der Clientanwendung und dem loka len PC auf dem Secure Application Manager als Anwendungsserver ausgef hrt wird eine Verbindung eingerichtet wird Bei der Zuord nung von Anwendungsservern zum lokalen PC eines Benutzers emp fiehlt es sich die automatische Hostzuordnung zu aktivieren Das IVE kann dann die Datei hosts automatisch so ndern dass Anwen dungsserver f r sichere Portumleitung zum lokalen Host des PCs ge leitet werden Sie k nnen auch den externen DNS Server konfigurieren e Skip web proxy registry check Wenn diese Option aktiviert ist berpr ft J SAM die Registrierung des Benutzers nicht auf einen Webproxy Manche Benutzer sind nicht berechtigt die eigene Registrierung einzusehen Wenn J SAM versucht die Registrierung aufzurufen kann dem Benutzer daher ein Fehler aufgrund fehlender Berechtigungen angezeigt werden Die Auswahl dieser Option gew hrleistet dass Benutzern diese Meldung nicht angezeigt wird 5 Klicken Sie auf Save Changes NetScreen Instant Virtual Extranet Plattform Administrationshandbuch EA NETSCREEN Central Manager System Status Configuration Network Clustering Log Monit
586. zuordnet f hrt es die angegebene Aktion aus und beendet die Richtlinienverarbeitung Ein Beispiel f r eine Webressourcenrichtlinie finden Sie in den Abbildungen unter Schreiben einer Webressourcenrichtlinie auf Seite 325 Registerkarte Rewriting gt Pass through Proxy Auf der Registerkarte Rewriting gt Pass through Proxy k nnen Sie eine Webressourcenrichtlinie schreiben die Webanwendungen angibt f r die das IVE nur minimale Vermittlung bernimmt Zum Erstellen einer Ressour cenrichtlinie f r Durchgangsproxys m ssen Sie zwei Angaben machen e Die Webanwendungen die ber den Durchgangsproxy vermittelt werden e Die Art der berwachung von Clientanforderungen an die Anwendungsserver durch das IVE Weitere Informationen zu dieser Funktion finden Sie unter Durchgangsproxy bersicht auf Seite 103 NetScreen Instant Virtual Extranet Plattform 341 Administrationshandbuch VI Schreiben einer Ressourcenrichtlinie f r Durchgangsproxys So schreiben Sie eine Ressourcenrichtlinie f r Durchgangsproxys 1 W hlen Sie in der Webkonsole Resource Policies gt Web gt Rewriting gt Pass through Proxy aus Klicken Sie auf der Seite Pass through Proxy Policies auf New Policy 3 Geben Sie auf der Seite New Policy Folgendes ein 1 Eine Bezeichnung f r diese Richtlinie 2 Eine Beschreibung der Richtlinie Optional Geben Sie im Feld URL einen Hostnamen oder eine IP Adresse f r den Anwendungss
587. zwer k nderungen als auch komplexe Konfigurationen vorgenommen werden m ssen m ssen Sie f r diese Funktion lediglich Anwendungsserver und die Methode angeben mit der das IVE Clientanforderungen an diese Anwen dungsserver empf ngt e Via an IVE port Wenn Sie eine Anwendung zur Vermittlung f r den Durchgangsproxy an geben geben Sie einen Port an an dem das IVE Clientanforderungen an den Anwendungsserver abfragen soll Wenn das IVE eine Clientanforde rung f r den Anwendungsserver empf ngt leitet es die Anforderung an den angegebenen Anwendungsserverport weiter Wenn Sie diese Option ausw hlen m ssen Sie bei Ihrer Firmenfirewall den Datenverkehr f r den angegebenen IVE Port freigeben e Via external DNS resolution Wenn Sie eine Anwendung zur Vermittlung f r den Durchgangsproxy an geben geben Sie einen Alias f r den Hostnamen des Anwendungsservers ein F r diesen Alias m ssen Sie einen Eintrag im externen DNS vorneh men der f r das IVE aufgel st wird Wenn das IVE eine Clientanforde rung f r den Alias empf ngt leitet es die Anforderung an den f r den Anwendungsserver angegebenen Port weiter Diese Option bietet sich an wenn in Ihrem Unternehmen restriktive Richtlinien f r das Offnen von Firewallports f r den Zugriff auf das IVE eingerichtet wurden Wenn Sie diese Option verwenden ist es empfeh lenswert dass jeder Hostnamenalias dieselbe Dom nenteilzeichenfolge enth lt wie der IVE Hostname und dass Sie ei
588. zwerkpaketheadern cccccsecccecesseeeeeeeeeeeeeeeeeeeeeeaaeeeeeseeeeeeeeas 415 Ausf hren eines ARP ping traceroute oder nslookup Befehls 417 Aktivieren von Remotefehlerbehebung f r den NetScreen Support 418 Registerkarte Policy Tracing VI Aufzeichnen einer Richtlinienverfolgungsdatei zur Fehlerbehebung Verwenden Sie diese Registerkarte wenn Benutzer melden dass Funktio nen nicht wie erwartet verwendet werden k nnen Die Richtlinienverfolgung erm glicht die Verfolgung einzelner Benutzer in jedem Bereich Wenn Sie eine Richtlinienverfolgungsdatei f r einen einzelnen Benutzer ausf hren zeigt das IVE Protokolleintr ge an in denen die Aktionen des Benutzers sowie Erkl rungen aufgef hrt sind warum ihm der Zugriff auf verschiedene Rollen gew hrt oder verweigert wird Sie k nnen beispielsweise einen Bereich Human Resources Personalabteilung mit zwei Rollenzuordnungsregeln erstellen e All Employees In dieser Rolle aktivieren Sie nur Webbrowsing Benutzer werden mithilfe der folgenden Regel zugeordnet if username map to All Employees Jeder Benutzer der sich in diesem Bereich anmelden darf wird also automatisch der Rolle All Employees zugeordnet 410 NetScreen Instant Virtual Extranet Plattform Administrationshandbuch Human Resources Staff F r diese Rolle aktivieren Sie die Web Datei und Konferenzfunktionen Benutzer werden
Download Pdf Manuals
Related Search