Neoteris Instant Virtual Extranet
Contents
1. 86 Authentication gt Unterregisterkarte Authentication Server 87 Authentication gt Unterregisterkarte Address Restrictions 89 Authentication gt Unterregisterkarte Certificate 91 Authentication amp Authorization gt Men Authentication Servers 92 Men Authentication amp Authorization gt Authorization Groups 126 General gt Unterregisterkarte Overview 127 General gt Unterregisterkarte Network Connect 129 General gt Unterregisterkarte Session 133 General gt Unterregisterkarte Options 135 Authentication gt Unterregisterkarte Authentication Server 137 Authentication gt Unterregisterkarte Address Restrictions 138 Authentication gt Unterregisterkarte Browser Restrictions 139 Authentication gt Unterregisterkarte2. 77 ACE Server 78 Netegrity SiteMinder Server 79 Authentication amp Authorization gt Men Administrators 82 Erstellen L schen Bearbeiten und Suchen von Administratorengruppenkonten 82 Festlegen von Zeitbegrenzungen f r Administratorengruppensitzungen 86 Festlegen eines Servers f r die Authentifizierung der Administratorengruppe 87 v Festlegen von IP Adresseinschr nkungen f r die Administratorengruppe 89 Angeben von Zertifikatanforderungen f r die Administratorengruppe 91 Authentication amp Authorization gt Men Authentication Servers 92 Definieren einer Authentifizierungsserverinstanz 92 Schritt 1 Angeben von Serverinformationen und der Option f r die Zuordnung von Benutzern zu Gruppen 92 Konfigurieren eines Servers f r das Gruppenlookup 97 Schritt 2 Angeben von Informationen f r die Gruppenzuordnung 98 Schritt
3. 245 Men Network gt Clustering 247 Registerkarte Status 257 Registerkarte Properties 262 Men Network gt Web Proxy 264 Men Network gt Email Settings 267 Men Network gt SNMP 270 xii xiii Vorwort In diesem Handbuch finden Sie die erforderlichen Informationen zum Konfigurieren und Verwalten des Neoteris Instant Virtual Extranet IVE unter anderem Eine allgemeine bersicht um die Funktionen des Ger ts kennen zu lernen Schrittweise Anleitungen zum Installieren und Konfigurieren des Neoteris IVE Server Anweisungen zum Durchf hren der Systemverwaltung Zielgruppe Dieses Handbuch wendet sich an Systemadministratoren die f r die Installation und Konfiguration einer Neoteris IVE Appliance zust ndig sind Weiterf hrende Informationen Wenn Sie bei der Installation Hilfe ben tigen schreiben Sie ein
4. 233 Konfigurieren der Aktualisierungsoption f r Secure Email Client 234 Ausw hlen eines E Mail Clients 235 Arbeiten mit einem standardbasierten Mailserver 236 Arbeiten mit Microsoft Exchange Server 236 Arbeiten mit Lotus Notes und Lotus Notes Mail Server 239 berwachen des IVE als SNMP Agent 239 Network gt Men Network Settings 240 ndern von Netzwerkeinstellungen f r den internen Port LAN Schnittstelle 240 Aktivieren des externen Ports DMZ Schnittstelle 241 Angeben von statischen Routen f r den Netzwerkverkehr 243 Angeben von Hostnamen die vom IVE lokal aufgel st werden sollen 245 Network gt Men Clustering 247 Definieren und Initialisieren eines Clusters 247 Hinzuf gen eines IVEs zu einem Cluster b
5. 22 Planen der Archivierung von Systeminformationen 24 Aufzeichnen einer Ablaufverfolgungsdatei zu Debuggingzwecken 26 Erstellen eines Snapshots des IVE Systemstatus 27 Abh ren von Netzwerkpaketheadern mit einem Sniffer Programm 28 Ausf hren eines ARP ping traceroute oder nslookup Befehls 30 Aktivieren von Remotedebugging f r den Neoteris Support 31 Festlegen systemweiter Anmeldeeinschr nkungen 32 Festlegen systemweiter Anmeldeoptionen 33 Festlegen der Codierung f r die Internationalisierung 35 System gt Men Appearance 36 Anpassen der Darstellung des IVE 36 Anpassen der IVE Anmeldeseite 38 System gt Men Certificates 41 Importieren eines bestehenden Serverzertifikats
6. 52 Registerkarte Applet Certificate 54 System gt Men Import Export 58 Registerkarte Configuration 58 Registerkarte User Accounts 60 Registerkarte ACLs amp Bookmarks 62 System gt Men Install Service Package 66 System gt Men Secure Meetings 67 Registerkarte General 68 x Registerkarte Schedule 70 Men s Authentication amp Authorization Authentication amp Authorization gt Men Administrators 82 Registerkarte Members 82 Registerkarte Session
7. 66 System gt Men Secure Meetings 67 Auf den Registerkarten des Men s System gt Settings k nnen Sie die folgenden systembezogenen Aufgaben durchf hren Anzeigen des Systemstatus Neustart Herunterfahren und Senden eines Ping Befehls an verbundene Server 6 Eingeben oder Aktualisieren der Systemlizenz 7 ndern systemweiter Sicherheits und Leistungseinstellungen 9 Einstellen der Systemzeit 16 Einstellen Anzeigen L schen und Speichern des Systemprotokolls 18 Anzeigen der Systemstatistik 22 Planen der Archivierung von Systeminformationen 24 Aufzeichnen einer Ablaufverfolgungsdatei zu Debuggingzwecken 26 Erstellen eines Snapshots des IVE Systemstatus 27 System gt Men Settings KAPITEL 2 Verwalten von systemweiten Einstellungen 6 Abh ren von Netzwerkpaketheadern mit einem Sniffer Programm 28 Ausf hren eines ARP ping traceroute oder nslookup Befehls 30 Aktivieren von Remotedebugging f r den Neoteris Support 31 Festlegen systemweiter Anmeldeeinschr nkungen 32 Festlegen systemweiter Anmeldeoptionen 33 Festlegen der Codierung f r die Internationalisierung 35 Anzeigen des Systemstatus Neustart Herunterfahren und Senden eines Ping Befehls an verbundene Server Wenn Sie sich an der Adminis
8. Einschr nken der m glichen IP Adressen f r die Benutzeranmeldung 138 Einschr nken der m glichen Browser f r die Benutzeranmeldung 139 Festlegen dass Clientcomputer ber ein g ltiges Zertifikat verf gen m ssen 142 Festlegen von allgemeinen Einstellungen f r Webbrowsing 148 Zugriffssteuerung f r Webressourcen 158 Erstellen von Lesezeichen f r Webressourcen 161 Angeben der Server mit denen Java Applets eine Verbindung herstellen k nnen 163 Steuern des Netzwerkzugriffs unter Windows und UNIX NFS 164 Zugriffssteuerung f r Windows Ressourcen 167 Erstellen von Lesezeichen f r Windows Ressourcen 170 Zugriffssteuerung f r UNIX NFS Ressourcen 172 Erstellen von Lesezeichen f r UNIX Ressourcen 174 Aktivieren der Aktualisierungsoption f r den Secure Email Client 176 Angeben von allgemeinen Client Server Anwendungseinstellungen 178 Men Authentication amp Authorization gt Authorization Groups 1 F r Autorisierungsgruppen ist in einigen IVE Produkten eine Lizenz erforderlich 127 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Konfigurieren der externen DNS Server und Benutzercomputer falls erforderlich 201 Konfigurieren eines PCs der die Verbindung mit dem IVE ber einen Proxywebserver herstellt 202 Testen von J SAM im Unternehmen 203 Erste
9. 178 Applications gt Unterregisterkarte Terminal Sessions 185 Applications gt Unterregisterkarte Secure Application Manager W SAM 187 Applications gt Unterregisterkarte Secure Application Manager J SAM 193 Applications gt Unterregisterkarte MS Exchange J SAM 205 Applications gt Unterregisterkarte Lotus Notes J SAM 210 Applications gt Unterregisterkarte Citrix NFuse J SAM 214 Registerkarte Meetings 216 xi Authentication amp Authorization gt Men Active Users 220 Authentication amp Authorization gt Men Active Users 223 Men snetwork Settings Registerkarte Internal Port 240 Registerkarte External Port 241 Registerkarte Static Routes 243 Registerkarte Hosts
10. Systemprotokolldateien NeoterisLog Datum Uhrzeit Systemkonfigurationsdateien NeoterisConf Datum Uhrzeit Benutzerkonten NeoterisUserAccounts Datum Uhrzeit So legen Sie Archivierungsparameter fest 1 Klicken Sie in der Administratorkonsole auf die Registerkarte System gt Settings gt Archiving um auf die Seite Archiving zuzugreifen 2 Geben Sie unter Archive Settings den Zielserver ein Verzeichnis und Ihre FTP Anmeldeinformationen f r diesen Server an Schlie en Sie keine Laufwerksangabe f r das Zielverzeichnis ein beispielsweise neoteris log Bei UNIX Computern geben Sie abh ngig vom Basisverzeichnis des Benutzers entweder einen absoluten oder einen relativen Pfad an Bei Windows Computern geben Sie einen Pfad an der relativ zum Ordner ftproot ist 3 F r alle Arten von archivierten Daten geben Sie einen Archivierungsplan an F r Systemprotokolldateien k nnen Sie ausw hlen ob die Protokolldatei nach ihrer Archivierung gel scht werden soll 4 Klicken Sie auf Save Changes Registerkarte Archiving 25 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Abbildung 10 System gt Settings gt Archiving KAPITEL 2 Verwalten von systemweiten Einstellungen 26 Aufzeichnen einer Ablaufverfolgungsdatei zu Debuggingzwecken Auf dieser Registerkarte k nnen Sie eine Ablaufverfolgungsdatei aufzeichnen in der die Aktionen eines Benutzers beim Navigieren zu einer We
11. Anzeigen des Systemprotokolls Ausf hren eines Ping Befehls auf einen Server Verfolgen der Route zu einem Server Entfernen aller statischen Routen Entfernen der clientseitigen SSL Authentifizierung f r Administratoren Herstellen einer Verbindung mit der seriellen Konsole des IVE Um Aufgaben ber die serielle Konsole von Neoteris durchf hren zu k nnen m ssen Sie ein Konsolenterminal oder einen Laptop an das Neoteris Ger t anschlie en So stellen Sie eine Verbindung mit der seriellen Konsole des IVE her 1 Schlie en Sie ein Nullmodem Crossover Kabel vom Konsolenterminal oder Laptop an das Neoteris IVE Ger t an Dieses Kabel ist im Lieferumfang des Ger ts enthalten Verwenden Sie kein einfaches serielles Kabel ANHANG A Verwenden der seriellen Konsole von Neoteris 274 2 Konfigurieren Sie das Terminal oder die Terminalemulationssoftware beispielsweise HyperTerminal mit den folgenden Parametern f r serielle Verbindungen 9600 Bit pro Sekunde 8 Bit keine Parit t 8N1 1 Stopp Bit Keine Flusskontrolle 3 Dr cken Sie Eingeben bis die serielle Konsole von Neoteris angezeigt wird Abbildung 112 Neoteris Serielle Konsole Rollback zu einem vorherigen Systemzustand Sie k nnen das System ber die Administratorkonsole in der Regel folgenderma en in einen vorherigen Systemzustand zur ckversetzen 1 Navigieren Sie zu den zuvor gespeicherten System und Ben
12. Der Prozessname der Anwendung Dieser Name ist der Prozessname der im Task Manager von Windows angezeigt wird 5 Geben Sie unter Additional Options dass Intervall in Minuten an in dem die Hostpr fung ausgef hrt werden soll Die Hostpr fung wird 120 Sekunden lang ausgef hrt Dann wird vom IVE eine Fehlermeldung angezeigt der Benutzer aus dem IVE entfernt und auf die Anmeldeseite umgeleitet Hinweis Das IVE wird nicht benachrichtigt wenn die Anwendung f r die End punktsicherheit beendet wird durch Absturz oder Fremdeinwirkung 147 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Abbildung 63 Authentication amp Authorization gt Authorization Groups gt GroupName gt Authentication gt Host Checker KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 148 Festlegen von allgemeinen Einstellungen f r Webbrowsing Auf dieser Registerkarte k nnen Sie Benutzeroptionen f r Webbrowsing angeben z B die M glichkeit zum Eingeben von URLs und zum Erstellen von Lesezeichen So legen Sie allgemeine Einstellungen f r Webbrowsing fest 1 W hlen Sie in der Administratorkonsole das Men Authentication amp Authorization gt Authorization Groups und anschlie end eine Gruppe aus 2 W hlen Sie aus den Gruppenregisterkarten Web gt General aus 3 W hlen Sie die Einstellungen f r die jeweiligen Optionen aus und klicken Sie anschlie end auf Save Changes Folgende Optionen s
13. Warten Sie den automatischen Start der Standardoption ab current oder dr cken Sie die Tab Taste geben Sie current ein und dr cken Sie dann die Eingabetaste Sie werden dann aufgefordert die urspr nglichen Konfigurationse instellungen des Ger ts einzugeben Detaillierte Informationen zur Vorgehensweise k nnen Sie dem Installationshandbuch entnehmen das dem Ger t beiliegt Dieses Handbuch steht auch auf der Neoteris Supportsite im PDF Format zur Verf gung Nach dem Abschluss des Initialisierungsvorgangs k nnen Sie auf das neueste Serverpaket aktualisieren und die gespeicherten System und Benutzerkon figurationsdateien importieren um zum letzten funktionst chtigen Zustand des Ger ts zur ckzukehren Durchf hren g ngiger Wiederherstellungsvorg nge Wenn Sie den Administratorbenutzernamen und oder das Administratorkennwort vergessen sich aufgrund von IP Einschr nkungen selbst aus dem Ger t ausgeschlossen oder die IP Adresse des Neoteris Ger ts ge ndert haben und das Ger t nicht mehr erreichen k nnen k nnen Sie die Ger teeinstellungen ber die serielle Konsole ndern Folgen Sie einfach den Anweisungen unter Herstellen einer Verbindung mit der seriellen Konsole des IVE auf Seite 273 und w hlen Sie dann den gew nschten Konfigurationsvorgang aus Abbildung 119 Neoteris Serielle Konsole Systemverwaltungsvorg nge 281 Index A Ablaufverfolgungsdatei zum Debuggen 26 Access Control Unterre
14. 3 Klicken Sie auf Browse und navigieren Sie zum Server und der Freigabe die zugelassen werden sollen Verwenden Sie NetBIOS Namen da die Angabe von Windows Ressources nach IP Adresse zu fehlerhaftem Verhalten f hrt 4 Wenn es sich bei der Ressource die zugelassen werden soll um einen Unterordner handelt geben Sie den Pfad im Feld Path an 5 Um die Ressource im schreibgesch tzten Modus hinzuzuf gen w hlen Sie Read only aus Die Benutzer k nnen in einer schreibgesch tzten Ressource keine Ordner erstellen und keine Dateien hochladen 6 Damit die Benutzer die Unterverzeichnisse der Ressource anzeigen k nnen w hlen Sie Show subdirectories aus 7 Um die Typen von Dateien einzuschr nken die den Benutzern angezeigt werden w hlen Sie Show only files of a specific type aus und geben Sie die Dateierweiterung f r jeden zugelassenen Dateityp ein 8 Klicken Sie auf Add Resource Benutzern wird die hinzugef gte Ressource auf der Seite Windows Files angezeigt wenn sie das n chste Mal auf die Seite zugreifen 6 Wenn Sie eine geschlossene Richtlinie verwenden werden die Benutzer standardm ig aufgefordert Anmeldeinformationen Benutzername und Kennwort f r gesch tzte Ressourcen einzugeben Stattdessen k nnen Sie folgenderma en einen Benutzernamen und ein Kennwort festlegen das Gruppenmitglieder beim Zugriff auf eine Ressource verwenden sollten 1 Klicken Sie auf das Symbol f r die Ressource 2 Vervolls
15. Nachdem Sie festgelegt haben wie Anforderungen weitergeleitet werden sollen m ssen Sie die entsprechenden Dom nen in der Liste Domains hinzuf gen Hierf r gibt es zwei M glichkeiten Als DNS Dom nennamen Als Kombination aus IP Adresse Netzmaske Die Anwendungslogik liest den Hostnamenabschnitt eines URL als Zeichenfolge aus und vergleicht die Zeichenfolge anschlie end mit den Eintr gen in der Liste Domains Men Network gt Web Proxy 265 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Beispiele Ein Eintrag in der Liste Domains in der Form alpha com entspricht URLs mit der Form http alpha com und http alpha com wobei eine beliebige Sequenz aus null oder mehr Zeichen ist Ein Eintrag in der Liste Domains in der Form 10 10 0 1 255 255 255 0 folgt der blichen IP Netzmaske Semantik und entspricht URLs in der Form http 10 10 0 NN wobei NN eine Zahl zwischen 1 und 254 und eine beliebige Sequenz aus null oder mehr Zeichen ist Hinweis Wenn Sie statt eines Bereichs eine bestimmte IP Adresse eingeben m chten m ssen Sie als Netzmaske unbedingt 255 255 255 255 angeben Wichtig Das IVE l st keine Dom nennamen in IP Adressen auf und f hrt kein Reverse Lookup f r IP Adressen durch Ein URL die statt auf einen Hostnamen auf eine IP Adresse verweist wird nur dann vm Proxy durchgelassen wenn die Dom nenliste einen entsprechenden Eintrag enth lt 6 Klicken S
16. Aktivieren und Angeben von Einstellungen f r den Durchgangsproxy 153 Zugriffssteuerung f r Webressourcen 158 Erstellen von Lesezeichen f r Webressourcen 161 Angeben der Server mit denen Java Applets eine Verbindung herstellen k nnen 163 Steuern des Netzwerkzugriffs unter Windows und UNIX NFS 164 Zugriffssteuerung f r Windows Ressourcen 167 Erstellen von Lesezeichen f r Windows Ressourcen 170 Zugriffssteuerung f r UNIX NFS Ressourcen 172 Erstellen von Lesezeichen f r UNIX Ressourcen 174 Aktivieren der Aktualisierungsoption f r den Secure Email Client 176 Angeben von allgemeinen Client Server Anwendungseinstellungen 178 Zus tzliche Optionen bei aktiviertem J SAM 181 Erstellen von Lesezeichen f r sichere Terminalsitzungen 185 bersicht ber Windows Secure Application Manager W SAM 187 Festlegen von Anwendungen und Hosts die mit W SAM gesichert werden so
17. Certificate 142 Authentication gt Unterregisterkarte Certificate 144 Web gt Unterregisterkarte General 148 Web gt Unterregisterkarte Access Control 158 Web gt Unterregisterkarte Bookmarks 161 Web gt Unterregisterkarte Java Socket ACL 163 Files gt Unterregisterkarte General 164 Files gt Unterregisterkarte Windows Access 167 Files gt Unterregisterkarte Windows Bookmarks 170 Files gt Unterregisterkarte UNIX Access 172 Files gt Unterregisterkarte UNIX Bookmarks 174 Registerkarte Email Client 176 Applications gt Unterregisterkarte General
18. KAPITEL 2 Verwalten von systemweiten Einstellungen 20 Abbildung 7 System gt Settings gt Log gt Settings So zeigen Sie die Systemprotokolldatei an speichern oder l schen sie 1 Klicken Sie in der Administratorkonsole auf die Unterregisterkarte System gt Settings gt Log gt View um f r das Systemprotokoll auf die Seite View zuzugreifen Auf dieser Seite werden die neuesten Systemdaten des Tages angezeigt 21 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch 2 F hren Sie eine der folgenden Aufgaben durch Zur Begrenzung der Anzahl an Ereignissen die gleichzeitig angezeigt werden geben Sie die gew nschte Anzahl der anzuzeigenden Nachrichten ein und klicken auf Update Zur Speicherung der Protokolldatei klicken Sie auf Save Log As wechseln zum gew nschten Netzwerkspeicherort geben einen Dateinamen ein und klicken dann auf Save Zum L schen des lokalen Protokolls und der Datei log old klicken Sie auf Clear Log Hinweis Wenn Sie das lokale Protokoll l schen wirkt sich dies nicht auf die vom Syslog Server aufgezeichneten Ereignisse aus Die nachfolgenden Ereig nisse werden in einer neuen lokalen Protokolldatei aufgezeichnet Abbildung 8 System gt Settings gt Log gt View KAPITEL 2 Verwalten von systemweiten Einstellungen 22 Anzeigen der Systemstatistik Das IVE protokolliert st ndlich die folgenden Daten Spitzenbelastung durch Webbenutzer S
19. 106 Festlegen einer LDAP Serverinstanz 108 Festlegen einer NIS Serverinstanz 112 Festlegen einer NIS Serverinstanz 112 Festlegen einer RADIUS Serverinstanz 113 Festlegen einer ACE Serverinstanz 116 Festlegen einer Netegrity SiteMinder Instanz 119 Hinweis Wenn Sie ACE Server f r die Authentifizierung verwenden m ssen Sie eine ACE Agent Konfigurationsdatei sdconf rec f r das IVE auf dem ACE Server generieren Entsprechende Anweisungen finden Sie unter Generieren einer ACE Agent Konfigurationsdatei auf Seite 117 6 Geben Sie im Abschnitt Authorization Group Settings an wie die Zuordnung von Benutzern zu Gruppen durch das IVE erfolgen soll indem Sie eine der folgenden Optionen ausw hlen Authorization group assigned based on attribute in authentication response Diese Option ist nur verf gbar wenn Sie in der Dropdownliste in Schritt 2 die Option LDAP Server oder Radius Server ausw hlen W hlen Sie diese Option aus wenn das IVE Benutzer Autorisierungs gruppen auf Grundlage der Gruppeninformationen zuordnen soll die von LDAP oder RADIUS zur ckgegeben werden Wenn Sie z B einen Active Directory Server konfigurieren der zur Authentifizierung das LDAP Proto koll verwendet geben Sie im Feld Group Attribute das Attribut memberof ein Das IVE vergleicht die f r dieses Attribut zur ckgegebenen Daten mit den Regeln f r die Zuordnung von Benutzern zu Gruppen die Si
20. ACLs amp Bookmarks aus 2 W hlen Sie im Dropdownmen Groups den Eintrag All Groups oder eine einzelne Gruppe aus 3 W hlen Sie im Dropdownmen Data den Typ der zu exportierenden Daten aus Sie k nnen mehrere Optionen ausw hlen indem Sie die STRG TASTE verwenden 4 Klicken Sie zum Speichern der Datei auf Save Config As Importieren von ACLs und Lesezeichen Sie k nnen den Typ von ACL Daten und Lesezeichendaten angeben der f r eine Gruppe aus einer XML Datei importiert werden soll die das lt group gt Element der Gruppe enth lt Wenn die XML Datei kein lt group gt Element f r eine vorhandene Gruppe enth lt k nnen Sie der Datei dieses Element sowie die gew nschten ACL Daten und Lesezeichendaten hinzuf gen Sie k nnen jedoch keine neue Autorisierungsgruppe f r das IVE erstellen indem Sie der XML Datei ein lt group gt Element f r die neue Gruppe hinzuf gen und diese anschlie end importieren Wichtig Wenn Sie ACL Daten und Lesezeichendaten in eine Gruppe importieren werden die vorhandenen Konfigurationsinformationen durch die importierten Infor mationen berschrieben sie werden nicht angeh ngt 65 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch So importieren Sie ACLs und Lesezeichen 1 W hlen Sie in der Administratorkonsole System gt Import Export gt ACLs amp Bookmarks aus 2 W hlen Sie im Dropdownmen Groups die Gruppe aus in die Sie die ACLs und Lesezeichen i
21. Authorization gt Authorization Groups gt GroupName gt Applications gt Secure Application Manager Windows Version 193 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Die Secure Application Manager Aktualisierungsoption stellt sicheren Remotezugriff auf Anwendungsebene von Clientanwendungen auf Unternehmensserver bereit Sie k nnen zwei Versionen von Secure Application Manager bereitstellen Windows Version W SAM Die Windows Version von Secure Application Manager ist eine Windows 32 L sung f r sicheres transparentes Umleiten von ausgehenden TCP Verbindungen ber ein IVE Ger t f r jeweils eine Anwendung oder einen Host Die Software wird von einem im IVE gehosteten ActiveX Steuerelement heruntergeladen und gestartet Weitere Informationen zu W SAM finden Sie unter Applications gt Unterregisterkarte Secure Application Manager W SAM auf Seite 187 Java Version J SAM Die Java Version von Secure Application Manager bietet Unterst tzung f r statische TCP Port Client Server Anwendungen darunter erweiterte Unterst tzung f r Microsoft MAPI Lotus Notes und Citrix NFuse Diese Version funktioniert in vielen Netzwerkkonfigurationen einwandfrei unterst tzt jedoch keine Client Server Anwendungen auf dynamischer TCP Port Basis oder vom Server initiierte Verbindungen Hinweis Gegenw rtig wird auf Windows oder Linux Plattformen Sun JVM Version 1 4 1 oder h her unterst tz
22. Authorization gt Authorization Groups und anschlie end eine Gruppe aus 2 W hlen Sie aus den Gruppenregisterkarten General gt Network Connect aus Benutzerdefinierte Autorisierungsgruppen erben standardm ig die Einstellungen der Benutzergruppe Klicken Sie zum Festlegen benutzerdefinierter Einstellungen auf Use custom settings und anschlie end auf Update 3 W hlen Sie Enable Network Connect Option und klicken Sie auf Save Changes 4 Geben Sie unter Client Address Pool IP Adressen oder einen Bereich von IP Adressen an die vom IVE Clients zugewiesen werden sollen die den Dienst Network Connect ausf hren 5 Geben Sie unter Access Control die IP Adresse die Netzmaske und den Port bzw Portbereich f r eine Netzwerkressource an die f r Network Connect verf gbar sein soll Sie k nnen auch das Protokoll angeben ber das der Client mit der Netzwerkressource kommuniziert u a TCP UDP oder ICMP Wenn Sie All ausw hlen werden Anfragen in einem der drei Protokolle vom IVE weitergeleitet Hinweis Das ICMP Protokoll kann f r den Zugriff auf Netzwerkressourcen nicht verwendet werden f r die Sie einen Port oder Portbereich angeben In der Standardeinstellung kann auf alle Netzwerkressourcen zugegriffen werden Wenn Sie der Zugriffssteuerungsliste eine Ressource hinzuf gen sind jedoch nur diese Ressource und nachfolgend hinzugef gte Ressourcen f r Benutzer verf gbar KAPITEL 3 Verwalten der Authenti
23. Serveranwendungen und dem von Ihren Benutzern verwendeten Betriebssystem m glicherweise durchf hren m ssen Weiterhin enth lt der Abschnitt Anweisungen zum Testen von J SAM in Ihrem Unternehmen Folgende Themen werden behandelt Konfigurieren der externen DNS Server und Benutzercomputer falls erforderlich 201 Konfigurieren eines PCs der die Verbindung mit dem IVE ber einen Proxywebserver herstellt 202 Testen von J SAM im Unternehmen 203 200 Abbildung 80 Authentication amp Authorization gt Authorization Groups gt GroupName gt Applications gt General Java Version 201 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Abbildung 81 Authentication amp Authorization gt Authorization Groups gt GroupName gt Applications gt Secure Application Manager Java Version Konfigurieren der externen DNS Server und Benutzercomputer falls erforderlich Clientanwendungen m ssen Hostnamen von Servern zu J SAM aufl sen wodurch Daten zwischen einem Client und einem Server ber einen Proxy gesendet werden Auf Windows PCs werden Hostnamen von Servern in der Datei hosts gespeichert Damit Daten mit J SAM abgefangen werden k nnen m ssen die Servernamen in dieser Datei zur Adresse des lokalen Computers localhost aufgel st werden so dass das IVE den Datenverkehr vermitteln kann Die empfohlene Vorgehensweise bei der Zuordnung von Anwendungsservern zum lokalen PC eines Benu
24. Sie k nnen folgende Aktionen ausf hren Erstellen von SMSESSION Cookies mit dem benutzerdefinierten IVE Web Agenten 80 Abrufen von Netegrity SMSESSION Cookies von einem Web Agenten 81 Automatisches Anmelden beim IVE 81 Konfigurationsinformationen finden Sie unter Festlegen einer Netegrity SiteMinder Instanz auf Seite 119 Erstellen von SMSESSION Cookies mit dem benutzerdefinierten IVE Web Agenten ber die Option Authenticate using custom agent verwendet das IVE einen benutzerdefinierten mit dem Netegrity SDK erstellten Web Agenten Bei einer Benutzeranmeldung beim IVE bergibt der benutzerdefinierte Web Agent die Anmeldeinformationen des Benutzers an den SiteMinder Richtlinienserver Wenn die Anmeldeinformationen authentifiziert werden erstellt der benutzerdefinierte Web Agent ein SMSESSION Cookie und speichert es im IVE Beim Versuch des Benutzers auf eine andere Webressource auf einem standardm igen Web Agenten zuzugreifen bergibt das IVE das Cookie zur Authentifizierung an den Web Agenten Da das Netegrity SMSESSION Cookie ber das Netegrity SDK erstellt wird werden Cookies von Drittanbietern von anderen Web Agenten nur akzeptiert wenn sie auf das aktuelle Quarterly Maintenance Release QMR aktualisiert und zum Annehmen von Cookies von Drittanbietern konfiguriert wurden F r SiteMinder Version 4 verwenden Sie den QMR Patch V4QMR4 010 zip der auf der Netegrity Website verf gbar ist M
25. damit die Systemereignisse und die bertragung von Benutzerdateien genau aufgezeichnet werden So stellen Sie die Systemzeit ein 1 Klicken Sie in der Administratorkonsole auf die Registerkarte System gt Settings gt Time um auf die Seite Time zuzugreifen Oben auf der Seite werden das aktuelle Datum die Uhrzeit und die Zeitzone des Ger ts angezeigt Registerkarte Time 17 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch 2 Stellen Sie die Systemzeit mit Hilfe einer der folgenden Methoden ein Verwenden Sie einen NTP Server Klicken Sie nach der Frage Use NTP server auf Yes geben Sie die IP Adresse oder den Namen des Servers ein legen Sie ein Aktualisierungsintervall fest und klicken Sie auf Save Changes Stellen Sie die Systemzeit manuell ein Geben Sie Werte f r das Datum und die Uhrzeit ein und klicken Sie auf Save Changes Sie k nnen auch auf Get from Browser klicken damit Daten in die Felder Date und Time eingegeben werden 3 W hlen Sie im Men Time Zone eine Zeitzone aus und klicken Sie auf Save Changes Das IVE passt die Uhrzeit automatisch an die Sommerzeit an Abbildung 6 System gt Settings gt Time KAPITEL 2 Verwalten von systemweiten Einstellungen 18 Einstellen Anzeigen L schen und Speichern des Systemprotokolls Die Systemprotokolldatei ist eine auf dem Neoteris IVE Server gespeicherte Textdatei in der die folgenden Systemereignisse protoko
26. das einem bestehenden Cluster hinzugef gt werden soll 1 W hlen Sie in der Administratorkonsole eines aktiven Clustermitglieds die Registerkarte Network gt Clustering gt Status aus 2 Klicken Sie auf Add Member um ein IVE anzugeben dass dem Cluster beitritt 1 Geben Sie die Bezeichnung des Mitglieds ein 2 Geben Sie die interne IP Adresse des Mitglieds ein 3 Geben Sie die externe IP Adresse des IVE ein Beachten Sie dass das Feld External IP address nur angezeigt wird wenn Sie den externen Port auf der Registerkarte Network gt Network Settings gt External Port aktiviert haben 4 Klicken Sie auf Add Node 5 Wiederholen Sie dieses Verfahren f r jedes Ger t das Sie hinzuf gen m chten Abbildung 106 Network gt Clustering gt Add Member 259 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Abbildung 107 Network gt Clustering gt Status Die Abbildung zeigt die Seite Clustering nach der Definition eines Clusters Das Ger t auf dem der Cluster definiert ist wird das erste Mitglied im Cluster Tabelle 1 Clustering gt Registerkarte Status Element der Benutzeroberfl che Beschreibung Schaltfl che Add Member Klicken Sie auf diese Schaltfl che um ein IVE anzugeben das dem Cluster beitreten soll Diesen Schritt m ssen Sie f r jedes IVE durchf hren das Sie dem Cluster hinzuf gen m chten Schaltfl che Enable Klicken Sie auf diese Schaltfl che um einen zu
27. dass ein Benutzer ber die zwischengespei cherten Anmeldeinformationen eines anderen Benutzers auf Ressourcen zugreifen kann Dar ber hinaus kann das IVE die Anmeldeinformationen von Benutzern wiederverwenden und erm glicht so eine Einzelanmeldung Single Sign In f r andere Intranetsites Wenn Sie die Option f r die Einzelanmel dung ausw hlen stellt das IVE sicher dass die Anmeldeinformationen nur innerhalb des Firmenintranets weitergeleitet werden L nge des Anmeldekennwortes F r das IVE m ssen die auf der Anmeldeseite eingegebenen Benutzerkenn w rter standardm ig mindestens vier Zeichen lang sein F r den zur berpr fung der Anmeldeinformationen eines Benutzers verwendeten Authentifizierungsserver ist unter Umst nden eine andere Mindestl nge erforderlich F r die lokale Authentifizierungsdatenbank von IVE m ssen die Benutzerkennw rter beispielsweise mindestens sechs Zeichen lang sein 11 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Automatische Versions berwachung Damit das System auf dem neuesten Stand und sicher bleibt k nnen Sie sich vom IVE automatisch ber wichtige Softwarepatches und aktualisierungen benachrichtigen lassen Hierzu werden die folgenden Daten an Neoteris gemeldet Ihr Firmenname ein MD5 Hash Ihrer Lizenzeinstellungen sowie Informationen zur aktuellen Softwareversion n here Informationen finden Sie in der Dokumentation Zum Schutz Ihres Systems wird dr
28. f hren Sie die nderungen dann entsprechend den oben angegebenen Richtlinien durch Um ein Lesezeichen zu l schen aktivieren Sie das Kontrollk stchen neben dem jeweiligen Namen und klicken Sie auf Delete Klicken Sie zum Sortieren von Lesezeichen auf Sort markieren Sie ein Lesezeichen ndern Sie die Position ber die Schaltfl che Nach oben oder Nach unten und klicken Sie dann auf Save Changes Abbildung 71 Authentication amp Authorization gt Authorization Groups gt GroupName gt Files gt Windows Bookmarks KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 172 Zugriffssteuerung f r UNIX NFS Ressourcen Wenn UNIX NFS Ressourcen f r Benutzer zug nglich sein sollen m ssen Sie angeben auf welche Ressourcen ber die Seite Access Control gt UNIX NFS zugegriffen werden kann UNIX NFS Ressourcen werden zugelassen indem Sie den Serverhostnamen oder die IP Adresse eingeben und den Pfad zu einer bestimmten Freigabe angeben So steuern Sie den Zugriff auf UNIX NFS Ressourcen 1 W hlen Sie in der Administratorkonsole das Men Authentication amp Authorization gt Authorization Groups und anschlie end eine Gruppe aus 2 W hlen Sie aus den Gruppenregisterkarten Files gt UNIX Access aus Benutzerdefinierte Autorisierungsgruppen erben standardm ig die Einstel lungen der Benutzergruppe Klicken Sie zum Festlegen benutzerdefinierter Einstellungen auf Use custom settings und ansc
29. hlen Sie die IVE Serverinstanz aus zu der der Benutzer geh rt und klicken Sie auf die Registerkarte Users 3 F hren Sie eine der folgenden Aufgaben durch Um einen lokalen Benutzerdatensatz zu l schen markieren Sie den zu l schenden Datensatz und klicken Sie dann auf Delete Der Datensatz wird sofort gel scht Um einen lokalen Benutzerdatensatz zu bearbeiten klicken Sie auf das Benutzerkonto das Sie bearbeiten m chten Gehen Sie auf der Zusammenfassungsseite f r Konten wie folgt vor 1 Bearbeiten Sie den vollst ndigen Namen des Benutzers oder ndern Sie das Kennwort des Benutzers 2 Klicken Sie auf Save Changes Hinweis Sie k nnen einen Benutzernamen nicht ndern Wenn Sie den Benutzernamen eines Benutzers nach dem Erstellen seines Kontos ndern m chten m ssen Sie ein neues Konto f r diesen Benutzer erstellen 103 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch So suchen Sie einen lokalen Benutzerdatensatz 1 W hlen Sie in der Administratorkonsole das Men Authentication amp Authorization gt Authentication Servers aus 2 W hlen Sie die IVE Serverinstanz aus zu der der Benutzer geh rt und klicken Sie auf die Registerkarte Local Users 3 Geben Sie im Feld Show users named den Namen des zu suchenden Benutzers ein Geben Sie im Feld Show _ users eine Zahl ein um die Anzahl der angezeigten Ergebnisse einzuschr nken Klicken Sie zum Anzeigen der Suchergebnisse a
30. tzt das IVE das systemeigene MAPI Protokoll von Microsoft Exchange und das systemeigene Lotus Notes Protokoll Sie k nnen den Zugriff auf Microsoft Exchange Server und Lotus Notes Server auf der Registerkarte Applications einer Autorisierungsgruppe aktivieren Registerkarte Email Client 177 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch So erm glichen Sie einer Autorisierungsgruppe die Verwendung des Secure Email Client 1 W hlen Sie in der Administratorkonsole das Men Authentication amp Authorization gt Authorization Groups und anschlie end eine Gruppe aus 2 W hlen Sie aus den Gruppenregisterkarten Email Client aus 3 W hlen Sie die entsprechende Option aus und klicken Sie dann auf Save Changes Folgende Optionen stehen zur Verf gung Use Users group settings Wendet die Einstellungen der Benutzergruppe an Enabled Erm glicht es der Gruppe die auf der Seite Network gt Email Settings festgelegten Einstellungen zu verwenden Sie m ssen das IVE auf dieser Seite als E Mail Proxy aktivieren damit die Gruppe diese Einstellungen verwenden kann Disabled Verweigert der Gruppe die Verwendung der Aktualisierungsoption f r den Secure Email Client Abbildung 74 Authentication amp Authorization gt Authorization Groups gt GroupName gt Email Client KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 178 Angeben von allgemeinen Client Serv
31. um die Systemeinstellungen zu ndern Dadurch kehren Sie zu den Optionen f r das erste Setup zur ck Wenn Sie die Dateneingabe abgeschlossen haben schlie en Sie einfach das Programmfenster 277 Neoteris Instant Virtual Extranet Appliance Administratorhandbuch Zur cksetzen des Neoteris Ger ts auf die Werkseinstellungen Es kann im Ausnahmefall erforderlich sein das Neoteris Ger t auf die urspr nglichen Werkseinstellungen zur ckzusetzen Bevor Sie diese tiefgreifende Systemwiederherstellungsoption ausf hren wenden Sie sich bitte unter der Adresse help support neoteris com an den Neoteris Support Vor dem Zur cksetzen auf die Werkseinstellungen sollten Sie nach M glichkeit die aktuellen System und Benutzerkonfigurationsdaten exportieren So setzen Sie das Ger t auf die Werkseinstellungen zur ck 1 Stellen Sie eine Verbindung mit der seriellen Konsole her siehe unter Seite 273 2 Melden Sie sich in einem Browserfenster an der Administratorkonsole an 3 W hlen Sie im Hauptmen General gt Status aus 4 Klicken Sie auf der Seite Status auf Reboot Now und wechseln Sie dann wieder zum Konsolenprogrammfenster zur ck Im Fenster werden Sie in einer Meldung informiert dass das System neu gestartet wird Abbildung 115 Neoteris Serielle Konsole Nach dem Klicken auf Reboot Now auf der Seite General gt Status ANHANG A Verwenden der seriellen Konsole von Neoteris 278 5 Nach kurzer Zeit werden Sie
32. verbessert jedoch die Skalierbarkeit ber die Gesamtzahl der lizenzierten Benutzer hinaus nicht Das IVE hostet ein CGI das den Dienststatus f r jedes IVE in einem Cluster zur Verf gung stellt Externe Load Balancer k nnen anhand dieser Ressource ermitteln wie die Datenlast effektiv auf die Clusterknoten verteilt werden kann Der L7 berpr fungs URL lautet https lt IVE Hostname gt dana na healthcheck healthcheck cgi Hinweis In der vorherigen Version wurden nur standardm ige L3 L4 basierte berpr fungen von einem externen Load Balancer unterst tzt Abbildung 92 zeigt eine IVE Clusterkonfiguration vom Typ Aktiv Aktiv bei der f r die IVEs externe Ports aktiviert sind 231 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Abbildung 92 Aktiv Aktiv Konfiguration Diese Abbildung zeigt eine Aktiv Aktiv Clusterkonfiguration die hinter einem externen Load Balancer bereitgestellt wird Sie k nnen ein Clusterpaar im Aktiv Aktiv Modus oder einen Multi Unit Cluster verwenden der definitionsgem als Aktiv Aktiv Konfiguration ausgef hrt wird IVE Benutzeranforderungen werden an die auf dem Load Balancer definierte Cluster VIP geleitet der diese dann an das entsprechende IVE weiterleitet IVE 1 IVE2 Intranet LAN Exte rnal Load Balance r Clus te r V IP 216 x x x Clus te r Hos tnam e ive s e rve r yourcom pany com IVEn External NIC 10 y y 1 External NIC 10 y y 2 External NIC
33. 10 y y n Internal NIC 10 x x 1 Internal NIC 10 x x 2 Internal NIC 10 x x n KAPITEL 4 Verwalten von IVE Netzwerkeinstellungen 232 Statussynchronisierung Die IVE Statussynchronisierung erfolgt nur ber die internen NICs und jedes Clustermitglied muss das Clusterkennwort besitzen um mit anderen Mitgliedern kommunizieren zu k nnen Die Clustermitglieder synchronisieren Daten wenn bei einem der Mitglieder des Clusters eine Status nderung erfolgt IVE Clusterstatusdaten sind entweder permanent d h permanent im IVE gespeichert oder vor bergehend d h nur f r die Benutzersitzung im IVE gespeichert IVE Statusdaten werden in die folgenden Hauptkategorien unterteilt Systemstatus Dieser Status ist permanent und ndert sich nicht h ufig Netzwerkeinstellungen Authentifizierungsserver Konfiguration Konfiguration von Autorisierungsgruppen zum Beispiel Zugriffssteue rungsliste Lesezeichen Nachrichten bermittlung und Anwendungsdaten Benutzerprofil Diese Daten k nnen permanent oder vor bergehend sein je nachdem ob best ndige Cookies Seite 149 und permanente Kennwortzwi schenspeicherung Seite 135 aktiviert sind Wenn keine dieser Funktionen aktiviert ist sind die Daten vor bergehend und fallen in die n chste Kategorie Benutzerlesezeichen permanent Permanente Benutzercookies Wenn die Funktion f r permanente Cookies aktiviert ist speichert das IVE Benutzercook
34. 3 Erstellen lokaler Benutzer nur bei lokaler IVE Authentifizierung 101 Schritt 4 Delegieren von Benutzerverwaltungsrechten nur bei lokaler IVE Authentifizierung 104 Delegieren von Benutzerverwaltungsrechten an Endbenutzer 104 Erg nzende Informationen zur Konfiguration von Authentifizierungsservern 106 Definieren einer Active Directory Serverinstanz oder einer Windows NT Dom nenserverinstanz 106 Festlegen einer LDAP Serverinstanz 108 Festlegen einer NIS Serverinstanz 112 Festlegen einer RADIUS Serverinstanz 113 Festlegen einer ACE Serverinstanz 116 Generieren einer ACE Agent Konfigurationsdatei 117 Festlegen einer Netegrity SiteMinder Instanz 119 Konfigurieren des IVE als Web Agent auf einem SiteMinder Richtlinienserver 123 Men Authentication amp Authorization gt Authorization Groups 126 berpr fen einer Zus
35. 3 Klicken Sie zum Erstellen des Lesezeichens auf New 4 Geben Sie die Einstellungen f r das Lesezeichen an 1 Geben Sie die erforderlichen Informationen ein Wenn Sie den Benutzernamen des Benutzers einf gen m chten geben Sie an der entsprechenden Stelle im URL lt USER gt in Gro buchstaben ein Wenn Sie einen Namen und eine Beschreibung f r das Lesezeichen angeben werden diese Informationen anstelle des URLs auf der IVE Startseite angezeigt 2 Damit die Webseite als erste Seite angezeigt wird nachdem sich der Benutzer beim IVE angemeldet hat klicken Sie nach Start Page auf Yes Nachdem sich ein Benutzer angemeldet hat wird diese Seite mit der IVE Symbolleiste zum Durchsuchen angezeigt wodurch ein schneller Zugriff auf die IVE Startseite erm glicht wird 3 Klicken Sie auf Save oder Save amp Add Another Wenn Sie das Hinzuf gen von Lesezeichen beendet haben w hlen Sie die Gruppenregisterkarte Web gt General aus Web gt Unterregisterkarte Bookmarks KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 162 4 Vergewissern Sie sich dass f r die Autorisierungsgruppe die entspre chenden Optionen f r Webbrowsing konfiguriert wurden Weitere Infor mationen finden Sie unter Web gt Unterregisterkarte Access Control auf Seite 158 Hinweis Bei Lesezeichen f r Webseiten die clientseitige Java Applets enhalten m ssen Sie die Unterst tzung f r clientseitige Java Applets a
36. 36 Applet Certificate Registerkarte Certificates Men 54 Archivierungsplanung 24 Archiving Registerkarte Settings Men 24 ARP Befehl 30 Authentication amp Authorization Men s Active Users 220 223 Administrators 82 Authentication Servers 92 Authorization Groups 126 Authentication Server Unterregisterkarte Administrators Men gt Authentication Registerkarte 87 Authorization Groups Men gt Authentication Registerkarte 137 Authentication Servers Men Konfigurationsaufgaben 92 Authentifizierung unterst tzte Server 75 von Administratoren 87 Vorgangsbeschreibung 72 282 INDEX Authentifizierungseinstellungen f r Administratoren 89 91 f r Benutzer 138 142 145 Authentifizierungsserver bersicht 72 Zuordnung von Servern zu Gruppen 137 Authorization Groups Men Konfigurationsaufgaben 126 Authorization Mode Unterregisterkarte Settings Men gt Sign In Options Registerkarte 33 Autorisierungsgruppe Anmeldeeinschr nkungen nach Browser 140 nach IP 138 nach Zertifikat 142 144 145 benutzerdefinierte Autorisierungsgruppe erstellen 74 Lesezeichen Einrichten sicherer Terminalsitzungen 185 f r das Web erstellen 161 unter UNIX erstellen 174 unter Windows erstellen 170 Roamingfunktionen f r mobile Benutzer 133 Sitzungszeitbegrenzungen 133 bersicht 73 Windows Ressourcenzugriffssteuerung 167 Zugriffssteuerung f r Webserver 158 Zuordnung von Servern zu Gruppen 137 Zusammenfassung de
37. 5 Klicken Sie unter Email Proxy Support auf Enabled Diese systemweite Option legt fest dass das IVE als Mailserverproxy verwendet wird Dar ber hinaus m ssen Sie die Option Secure Email Client auf Gruppenebene aktivieren 6 W hlen Sie unter Email Authentication Mode die Authentifizierungsoption f r die Gruppe aus Folgende Optionen stehen zur Verf gung Use a Web based email session Standardeinstellung Benutzer m ssen eine einmalige E Mail Einrichtung f r das IVE vornehmen Anschlie end konfigurieren sie ihren E Mail Client so dass der Benutzername und das Kennwort verwendet werden die durch die E Mail Einrichtung f r das IVE generiert werden Es empfiehlt sich dass die Benutzer sich an dem IVE anmelden um eine E Mail Sitzung zu starten Men Network gt Email Settings KAPITEL 4 Verwalten von IVE Netzwerkeinstellungen 268 Use Neoteris authentication AND mail server authentication Benutzer konfigurieren ihren E Mail Client so dass die folgenden Anmeldeinformationen verwendet werden Benutzername Der normale Benutzername eines Benutzers f r den Mailserver oder ein Benutzername der beim E Mail Setup f r das IVE generiert wird wenn eine der folgenden Bedingungen zutrifft der Benutzer verf gt ber mehrere Benutzernamen f r den Mailserver die Benutzernamen auf dem IVE Server und dem Mailserver sind unterschiedlich Kennwort Das IVE Kennwort des Benutzers gefolgt von einem
38. Abbildung 86 Lotus Notes E Mail Client Dialogfeld Proxy Server Configuration KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 214 Die Java Version von Secure Application Manager stellt sichere Portweiterlei tung von ICA 32 Bit Windows Clients an MetaFrame Server bereit Erweiterte Unterst tzung f r Citrix NFuse Wenn ein Benutzer auf einem NFuse Server eine Anwendung ausw hlt sendet der NFuse Server eine ICA Datei an den Client Wenn das IVE die ICA Datei berschreibt ersetzt es Hostnamen und IP Adressen durch vorher bereitge stellte IP Adressen des lokalen Hosts Der ICA Client sendet dann Anwendungs anforderungen an eine der IP Adressen des lokalen Hosts Secure Application Manager kapselt die Daten und sendet sie an das IVE Das IVE entkapselt die Daten und sendet sie ber Port 1494 an den passenden MetaFrame Server Liste unterst tzter Versionen MetaFrameTM Server Versionen 1 8 XP 1 0 mit Service Packs 1 und 2 Nfuse Webserver Versionen 1 5 1 6 und 1 7 ICA Clients Windows 32 Bit PN Client Version 6 30 und Webclient Version 6 3 Benutzer von Program Neighborhood m ssen den Server und die Anwen dungen festlegen auf die sie bei Verwendung des PN Client zureifen m chten diese Version des IVE unterst tzt den Suchmechanismus nicht ber den Anwendungen auf MetaFrame Servern f r Benutzer von Program Neighborhood angezeigt werden Java Version 6 2 f r den e
39. Anwendungen f r andere Teilnehmer freigeben Konferenzteilnehmer k nnen mit Hilfe von Tools f r Textnachrichten problemlos mit der Gruppe chatten Zus tzlich zu verschiedenen E Mail und Kalendertools sowie weiteren Tools und Features enth lt Secure Meeting folgende wichtigen Sicherheitsfeatures Administratoren k nnen Konferenzen auf registrierte IVE Benutzer beschr nken Administratoren k nnen die Funktion f r externe Benutzer deaktivieren den Desktop des Vorf hrenden remote zu steuern System gt Men Secure Meetings 68 Mit den Einstellungen im Men Secure Meetings k nnen Sie Secure Meeting so konfigurieren dass G ste automatisch E Mail Nachrichten mit Konferenzdetails erhalten und dass alle derzeit auf dem IVE Server geplanten Konferenzen angezeigt werden Wichtig Bei Verwendung von Secure Meeting in Verbindung mit einem SSL Zertifikat im IVE wird die Installation eines Zertifikats auf Produktionsebene empfoh len Wenn Sie ein selbst signiertes SSL Zertifikat installieren k nnen f r Secure Meeting Benutzer m glicherweise Schwierigkeiten bei der Konferenzanmel dung auftreten Insbesondere kann den Konferenzteilnehmern eine Fehlermeldung Cannot Connect to the Secure Meeting server angezeigt werden Wenn Sie ein selbst signiertes Zertifikat verwenden m chten weisen Sie die Konferenzteilnehmer an bei Anzeige der Fehlermeldung auf View Certificate und dann auf Install Certificate
40. Application anstelle des Hostnamens oder der IP Adresse des Anwendungsservers angezeigt 7 Klicken Sie auf Save Changes 8 Wenn Sie in Schritt 3 die Option Enabled via an IVE port ausw hlen ffnen Sie den Datenverkehr zum IVE Port den Sie in der Firmenfirewall f r den Anwendungsserver angegeben haben Hinweis Wenn die Anwendung mehrere Ports berwacht konfigurieren Sie jeden Anwendungsport als separaten Durchgangsproxyeintrag mit einem separaten IVE Port Wenn Sie ber verschiedene Hostnamen oder IP Adressen auf den Server zugreifen m chten konfigurieren Sie jede dieser Optionen einzeln In diesem Fall k nnen Sie denselben IVE Port verwenden KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 156 9 Wenn Sie Enabled via external DNS resolution ausw hlen m ssen Sie au erdem folgende Aktionen durchf hren 1 Hinzuf gen einen Eintrags f r jeden Hostnamenalias eines Anwendungs servers im externen DNS der f r das IVE aufgel st wird 2 Hochladen eines Serverzertifikats mit Platzhaltern in das IVE empfohlen Weitere Informationen zu Zertifikaten mit Platzhaltern finden Sie auf Seite 150 Unter Appendix C Pass Through Proxy Tips Oracle Financial 11i on page 255 finden Sie Tipps zum Konfigurieren von Oracle Financial 11i und anderen 11i Anwendungen die mit der Durchgangsproxyfunktion verwendet werden k nnen 157 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Ab
41. Bereich Configuration Settings f r einen Multi Unit Cluster KAPITEL 4 Verwalten von IVE Netzwerkeinstellungen 264 Angeben eines Webproxys Auf dieser Registerkarte k nnen Sie Einstellungen f r den Webproxy festlegen So geben Sie einen Webproxy an 1 W hlen Sie in der Administratorkonsole das Men Network gt Web Proxy aus 2 Klicken Sie unter Use Web Proxy auf Enabled 3 Geben Sie unter Web Proxy Server Information den Namen oder die IP Adresse des Webproxyservers sowie die Portnummer ein an der der Proxyserver Daten abfragt 4 Aktivieren Sie unter Unqualified hostnames das Kontrollk stchen Send requests specified without a domain name to the Web proxy falls URLs mit unvollst ndigen Hostnamen wie zum Beispiel http host xyz anstelle von http host domain com xyz an den Proxyserver weitergeleitet werden sollen 5 W hlen Sie unter Exceptions Folgendes aus All requests are sent to the Web proxy EXCEPT for the following domains wenn Sie bestimmte Dom nen festlegen m chten mit denen das Neoteris IVE eine direkte Verbindung herstellt Das IVE leitet Hostnamen die in der Liste Domains aufgef hrt sind nicht an den Webproxy weiter No requests are sent to the Web proxy EXCEPT for the following domains wenn Sie bestimmte Dom nen festlegen m chten deren Anforderungen an den Webproxy weitergeleitet werden Das IVE leitet Hostnamen die in der Liste Domains aufgef hrt sind an den Webproxy weiter
42. Certificate das Formular Import the Certificate for a pending CSR angezeigt So importieren Sie ein signiertes Serverzertifikat das anhand einer Zertifikatssignaturanforderung erstellt wurde 1 Klicken Sie in der Administratorkonsole auf die Registerkarte System gt Certificates gt Server Certificate 2 Wechseln Sie unter Import the Certificate for a pending CSR zu der Zertifikatdatei die Sie von der Zertifizierungsstelle erhalten haben und klicken Sie dann auf Import 51 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Abbildung 28 System gt Certificates gt Server Certificate gt Import Renew nach dem Erstellen einer Zertifikatssignaturanforderung KAPITEL 2 Verwalten von systemweiten Einstellungen 52 Importieren eines Stammzertifikats zur berpr fung eines clientseitigen Zertifikats Falls Sie festlegen dass die Benutzer zur Anmeldung am IVE ein clientseitiges Zertifikat angeben m ssen m ssen Sie ein Stammzertifikat angeben Anhand des Stammzertifikats wird berpr ft ob das vom Browser bereitgestellte Zerti fikat g ltig ist In diesem Abschnitt wird erl utert wie Sie das Stammzertifikat importieren Hinweis Falls das Zertifikat verkettet ist importiert das IVE nur das Stammzertifikat Zur berpr fung des importierten Zertifikats klicken Sie auf der Seite Certificates gt CA Certi ficate auf die Verkn pfung Certificate Details Obwohl das IVE nur das Stammzertifikat impor
43. Debugging Festlegen systemweiter Anmeldeeinschr nkungen Auf dieser Registerkarte k nnen Sie f r den Zugriff auf einen IVE zwischen allen aktivierten Authentifizierungsservern und den zugeordneten Benutzern sowie Benutzern der Administratorengruppe umschalten So schr nken Sie den Zugriff auf das IVE auf die Administratorengruppe ein 1 Klicken Sie in der Administratorkonsole auf die Registerkarte System gt Settings gt Sign In Options gt Restrictions 2 W hlen Sie Administrators Only und klicken Sie auf Save Changes Sign in Options gt Unterregisterkarte Restrictions 33 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Abbildung 16 System gt Settings gt Sign In Options gt Restrictions Festlegen systemweiter Anmeldeoptionen Auf dieser Registerkarte k nnen Sie das Anmeldeverhalten von Benutzern steuern So legen Sie systemweite Anmeldeoptionen fest 1 Klicken Sie in der Administratorkonsole auf die Registerkarte System gt Settings gt Sign In Options gt Authorization Mode 2 W hlen Sie die entsprechenden Optionen aus und klicken Sie dann auf Save Changes Folgende Optionen stehen zur Verf gung User selects authentication server from a list Das IVE zeigt alle aktivierten Authentifizierungsserver an die auf der Anmeldeseite in der Dropdownliste Server enthalten sind User types authentication server name Das IVE zeigt ein Textfeld an in das der Benutzer
44. Exchange Server nicht aktivieren m chten m ssen Sie den externen DNS Server so konfigurieren dass MS Exchange Servernamen in die PC Adresse eines Benutzers aufgel st werden Detaillierte Informationen finden Sie unter Konfigurieren der externen DNS Server und Benutzercomputer falls erforderlich auf Seite 201 7 Wenn der PC eines Remotebenutzers f r die Verwendung eines Webproxys in Internet Explorer eingerichtet ist konfigurieren Sie den Clientcomputer so dass der Proxyserver umgangen wird wenn der Benutzer Anwendungen startet die eine Verbindung mit Secure Application Manager herstellen m ssen Weitere Informationen erhalten Sie unter Konfigurieren eines PCs der die Verbindung mit dem IVE ber einen Proxywebserver herstellt auf Seite 202 209 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Abbildung 83 Authentication amp Authorization gt Authorization Groups gt GroupName gt Applications gt MS Exchange J SAM KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 210 Die Java Version von Secure Application Manager unterst tzt das systemeigene Lotus Notes Protokoll1 Erweiterte Unterst tzung f r Lotus Notes Remotebenutzer k nnen den Lotus Notes Client auf ihren PCs zum Zugreifen auf E Mail ihre Kalender und andere Funktionen ber das IVE verwenden Daf r m ssen keine nderungen am Outlook Client vorgenommen werden und es ist keine Verbindung auf Netzwer
45. Geben Sie an ob Sie Vorf hrenden der Konferenz erm glichen m chten die Steuerung ihrer Desktops und Anwendungen mit anderen Teilnehmern der Konferenz zu teilen indem Sie im Bereich Security Options eine der folgenden Optionen ausw hlen Allow remote control of shared windows more functional Die Auswahl dieser Option erlaubt dem Vorf hrenden oder Leiter der Konferenz die Steue rung des Desktops und der Desktopanwendungen des Vorf hrenden an einen beliebigen Teilnehmer der Konferenz abzugeben nicht nur an IVE Benutzer Disable remote control more secure Die Auswahl dieser Option beschr nkt die Steuerung des Desktops und der Desktopanwendungen des Vorf hrenden der Konferenz ausschlie lich auf den Vorf hrenden selbst 8 Geben Sie im Bereich Meeting Policy Settings an ob Sie die von Secure Meeting Benutzern verwendeten Ressourcen einschr nken m chten Aktivieren Sie das Kontrollk stchen Limit number of scheduled meetings und geben Sie einen entsprechenden Wert f r die maximale Anzahl von Konferenzen ein die gleichzeitig f r die Autorisierungsgruppe geplant werden kann Aktivieren Sie das Kontrollk stchen Limit number of simultaneous meetings und geben Sie einen entsprechenden Wert f r die maximale Anzahl von Konferenzen ein die gleichzeitig von Mitgliedern der Autorisierungs gruppe abgehalten werden kann Aktivieren Sie das Kontrollk stchen Limit number of simultaneous meeting attend
46. Gruppenlookup Mit einem LDAP Server k nnen Sie die Autorisierung f r alle Authentifizierungs server durchf hren Wenn Sie die Option Authorization group assigned based on querying a group lookup server ausw hlen Seite 94 m ssen Sie die Serverinfor mationen f r den LDAP Gruppenlookupserver angeben Hinweis Wenn Sie diese Option f r eine LDAP Serverinstanz ausw hlen authentifiziert das IVE Benutzer mit dem f r die Serverinstanz festgelegten Server und autorisiert Benut zer dann unter Verwendung des Servers der im Dialogfeld Configure Group Lookup Ser ver Seite 98 angegeben ist Der f r die Authentifizierung und der f r die Autorisierung angegebene Server k nnen identisch sein Im Falle eines Active Directory Servers zum Beispiel der zur Authentifizierung NTLM verwendet k nnen Sie f r die Autorisierung im Dialogfeld f r den Gruppenlookupserver denselben AD Server angeben So konfigurieren Sie einen Server f r das Gruppenlookup 1 F hren Sie auf der Konfigurationsseite f r den Authentifizierungsserver unter Authorization Group Settings Folgendes aus 1 W hlen Sie die Option Authorization group assigned based on querying a group lookup server aus 2 Klicken Sie auf die Schaltfl che Define 2 Geben Sie in der Dropdownliste LDAP Server Type Folgendes an Look Up Group W hlen Sie diese Option um ein standardisiertes Gruppenlookup durchzuf hren z B mit einem Active Directory Server Look Up
47. IVE keinen Datenverkehr f r Client Serveranwendungen vermitteln soll die Sie als Webressourcen bereitgestellt haben z B Microsoft OWA Outlook Web Access Informationen zum Konfigurieren von Hosts und Ausnahmen f r selektives Neuschreiben finden Sie unter Konfigurieren von Hosts f r die Option zum selektiven Neuschreiben auf Seite 152 Enable Pass Through Proxy Mit dieser Option k nnen Sie Webanwendungen angeben f r die das IVE eine minimale Vermittlung durchf hrt Anders als die herk mmliche Antwortproxyfunktion bei der ebenfalls nur selektive Teile einer Server antwort neu geschrieben werden jedoch sowohl Netzwerk nderungen als auch komplexe Konfigurationen vorgenommen werden m ssen m ssen Sie f r diese Option lediglich Anwendungsserver angeben sowie die Art in der das IVE Clientanforderungen an diese Anwendungsserver empf ngt Via an IVE port Wenn Sie eine Anwendung zur Vermittlung f r den Durchgangsproxy angeben geben Sie einen Port an an dem das IVE Clientanforderungen an den Anwendungsserver abfragen soll Wenn das IVE eine Clientanforderung f r den Anwendungsserver empf ngt leitet es die Anforderung an den angegebenen Anwendungsserverport weiter Wenn Sie diese Option ausw hlen m ssen Sie bei Ihrer Firmenfirewall den Datenverkehr f r den angegebenen IVE Port freigeben Via external DNS resolution Wenn Sie eine Anwendung zur Vermittlung f r den Durchgangsproxy angeben gebe
48. IVE vermittelt den Zugriff auf mehrere Arten von Anwendungen und Ressourcen mit Hilfe von einfachen Webbrowsertechnologien Die Benutzer erhalten ber eine durch das Neoteris IVE gehostete Extranetsitzung einen authentifizierten Zugriff auf autorisierte Ressourcen Sie k nnen ber einen beliebigen mit dem Internet verbundenen Webbrowser auf umfangreiche webbasierte Unternehmensanwendungen auf Java Anwendungen Dateifreigaben und Terminalhosts zugreifen Au erdem k nnen die Benutzer die ber einen Laptop der Firma und ber Client Serveranwendungen wie Microsoft Outlook oder Lotus Notes verf gen durch Proxyaktivierung ber dieselbe sichere Websitzung auf Anwendungen zugreifen Welchen Leistungsumfang bietet das IVE Die Neoteris Access Series Produktfamilie bietet ein hohes Ma an Skalier barkeit f r Unternehmen eine hohe Verf gbarkeit sowie Sicherheitsfunktionen um den sicheren Zugriff auf Netzwerkressourcen zu erweitern In nur wenigen Stunden k nnen Sie den Benutzern einen sicheren Zugriff auf die folgenden Elemente erm glichen Interne Unternehmenswebsites und webbasierte Anwendungen darunter clientseitige Java Applets unter Verwendung von Desktopcomputern Laptopcomputern und drahtlosen Pocket PC Ger ten Standard Interne Dateiserver NFS und CIFS des Unternehmens sowie Funktionen zur Datei bertragung an und von beliebigen Verzeichnissen Standard Systemeigene Nachrichtenclients wie Microsoft Ou
49. KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 188 Abbildung 76 auf Seite 188 verdeutlicht die Interaktion zwischen einer Clientanwendung und dem Server ber das IVE 1 Zum Starten von Windows Secure Application Manager klicken Benutzer auf die IVE Men option f r Secure Application Manager Das IVE l dt das ActiveX Steuerelement auf den Clientcomputer herunter Dieses Steuerelement konfiguriert den Clientcomputer zum Ausf hren von clientseitigen Diensten LSP um den Anwendungsverkehr zu sichern Das Statusfenstersymbol f r den Secure Application Manager wird im System Tray angezeigt 2 Der Benutzer startet eine vom Administrator festgelegte Anwendung oder initiiert einen Prozess der Daten von einem angegebenen Host anfordert Wenn die Clientanwendung oder der Prozess versucht eine Verbindung mit der Ressource herzustellen f ngt Secure Application Manager die Anforderung ab 3 Secure Application Manager leitet den Hostnamen ber SSL an das IVE weiter Das IVE l st den Hostnamen auf und gibt die IP Adresse des Zielhosts an Secure Application Manager zur ck 4 Secure Application Manager konfiguriert automatisch einen Kanal f r die Portumleitung Dazu verwendet er eine vorher bereitgestellte IP Adresse f r den lokalen Host Abbildung 76 Windows Secure Application Manager 1 Sie k nnen Secure Application Manager so konfigurieren dass der Start beim Anmelden eines Benutzers automatisch erfolgt Be
50. Sie die automatische Hostzuordnung f r Benutzer von Remote PCs nicht aktivieren m chten oder wenn es sich bei Ihren Benutzern um Linux Benutzer handelt m ssen Sie Ihren externen DNS Server zum Aufl sen von Anwendungsservernamen zum lokalen Host eines Benutzers konfigurieren Detaillierte Informationen finden Sie unter Konfigurieren der externen DNS Server und Benutzercomputer falls erforderlich auf Seite 201 7 Wenn der PC eines Remotebenutzers f r die Verwendung eines Webproxys in Internet Explorer eingerichtet ist konfigurieren Sie den Clientcomputer so dass der Proxyserver umgangen wird wenn der Benutzer Anwendungen startet die eine Verbindung mit Secure Application Manager herstellen m ssen Weitere Informationen erhalten Sie unter Konfigurieren eines PCs der die Verbindung mit dem IVE ber einen Proxywebserver herstellt auf Seite 202 8 F gen Sie dem IVE DNS Dom nen hinzu wenn Sie ber mehrere interne Dom nen verf gen zum Beispiel firma a com und firma b com so dass Namen wie zum Beispiel anw1 firma a com und anw2 firma b com ordnungsgem aufgel st werden 1 Klicken Sie auf das Men Network gt Network Settings 2 F gen Sie unter DNS Name Resolution im Feld DNS Domains eine durch Kommas getrennte Liste der Dom nen hinzu 3 Klicken Sie auf Save Changes Zus tzliche Aufgaben f r J SAM In diesem Abschnitt werden Aufgaben beschrieben die Sie je nach den f r J SAM konfigurierten Client
51. Virtual Extranet Appliance Administrationshandbuch Aktualisierungen der Windows Registrierung Beim Start von Secure Application Manager wird die Windows Registrierungs einstellung Rpc_Binding_Order des Benutzers aktualisiert Diese Einstellung wird der Registrierung hinzugef gt wenn der Outlook Client installiert wird und bestimmt die Protokollsequenz die der Client zum Kommunizieren mit dem Exchange Server verwendet Der urspr ngliche Wert dieser Einstellung ist ncalrpc ncacn_ip_tcp ncacn_spx ncacn_np netbios ncacn_vns_spp Nach dem erstmaligen Verwenden von Secure Application Manager ist der Wert ncalrpc ncacn_http ncacn_ip_tcp ncacn_spx ncacn_np netbios ncacn_vns_spp Die nderung an Rpc_Binding_Order betrifft nur die Ausf hrung von Secure Application Manager und hat keine anderen Auswirkungen auf dem PC des Benutzers Wichtig Zum Verwenden des Outlook Client ber die Java Version von Secure Application Manager m ssen Benutzer von Windows PCs ber Administratorrechte verf gen Angeben zul ssiger MS Exchange Server Verwenden Sie die Unterregisterkarte Applications gt MS Exchange um die MS Exchange Server anzugeben an die Secure Application Manager Microsoft Outlook Clientanforderungen weiterleiten kann Sie m ssen diese Registerkarte nur konfigurieren wenn Sie auf der Unterregisterkarte Applications gt General die Unterst tzung von MS Exchange aktiviert haben siehe Seite 181 1 W hlen Sie in der Adminis
52. Webhost vermittelt werden soll Um die Liste Rewrite zu ndern geben Sie ein Hostmuster oder eine Kombination aus IP Adresse und Netzmaske pro Zeile ein Mit einem Sternchen k nnen Sie eine bereinstimmung mit einer beliebigen Teilzeichenfolge einschlie lich eines Null Zeichens erzielen und mit einem Fragezeichen k nnen Sie ein beliebiges einzelnes Zeichen suchen 153 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Wenn eine Clientanforderung f r einen Host erstellt wird der nicht in der Liste Rewrite enthalten ist wird im IVE eine Seite angezeigt die eine Verkn pfung mit der angeforderten Ressource enth lt und Benutzer werden aufgefordert auf die Verkn pfung zu klicken Durch diese Verkn pfung wird die Ressource in einem neuen Browserfenster ge ffnet und die Seite von der die Anforderung urspr nglich durchgef hrt wurde wird weiterhin im IVE angezeigt Wenn der Benutzer transparent zur Ressource innerhalb des IVE Browserfensters umgeleitet werden soll deaktivieren Sie unter Additional options das Kontrollk stchen Open non rewritten resources in a intermediate page Hinweis Wenn Sie dieses Kontrollk stchen deaktivieren ist es f r die Benutzer m glicherweise nicht bemerkbar dass ihre IVE Sitzung noch aktiv ist und dass sie im Browser auf die Schaltfl che Zur ck klicken m ssen um zum IVE zur ckzukehren Zum Abmelden m ssen die Benutzer zum IVE zur ckkehren Wenn sie lediglich das Browser
53. Wenn Sie unzul ssige Ressourcen nach IP Adresse angeben stellen Sie sicher dass Sie alle der Ressource zugeordneten IP Adressen angeben Geschlossene Richtlinie Wenn Sie eine geschlossene Richtlinie ausw hlen f gen Sie der Liste Allowed Resources Ressourcen hinzu auf die die Benutzer zugreifen k nnen 1 Klicken Sie auf Allow Resource oder auf Allow IP Range 2 Geben Sie die erforderlichen Informationen ein Wenn Sie einen Namen und eine Beschreibung f r die Ressource eingeben werden diese Informationen in der Liste Allowed Resources anstelle des Hostnamens oder der IP Adresse angezeigt Beispiel Wenn Sie der Liste Allowed Resource den Eintrag http Firma com html hinzuf gen kann ein Benutzer auf alle html Dateien auf dem Server Firma com zugreifen 3 Klicken Sie auf Add Resource oder auf Add IP Range Die Benutzer k nnen dann auf die Ressource zugreifen wenn sie sich das n chste Mal im IVE anmelden Hinweis Wenn Sie die geschlossene Richtlinie verwenden stellen Sie sicher dass die Liste Allowed Resource alle Webressourcen enth lt die Inhalt bereitstellen einschlie lich von Ressourcen die m glicherweise nicht offensichtlich sind z B in den folgenden F llen Bilder werden von einem anderen Server abgerufen Hyperlinks verweisen auf Inhalte auf anderen Servern Der Server leitet Anforderungen an einen anderen Server um Damit das Webbrowsing beim Verwenden einer geschlossenen Richtlinie ordnu
54. Werte k nnen auf der Seite Group gt Administrators gt Session ge ndert werden So legen Sie Zeitbegrenzungen f r Administratorengruppensitzungen fest 1 W hlen Sie in der Administratorkonsole das Men Authentication amp Authorization gt Administrators aus 2 W hlen Sie auf den Gruppenregisterkarten die Option Session aus 3 Geben Sie die Anzahl der Minuten an die sich eine Administratorsitzung im Leerlauf befinden kann bevor sie beendet wird Die Mindestzeit betr gt drei Minuten Registerkarte Session 87 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch 4 Geben Sie die Anzahl der Minuten an die eine aktive Administratorsit zung ge ffnet bleiben kann bevor sie beendet wird Die Mindestzeit betr gt drei Minuten 5 Klicken Sie auf Save Changes Abbildung 39 Authentication amp Authorization gt Administrators gt Session Festlegen eines Servers f r die Authentifizierung der Administratorengruppe Auf dieser Registerkarte k nnen Sie einen externen Server f r die Authentifizie rung von Mitgliedern der Administratorengruppe angeben Beachten Sie dass sich Administratoren bei aktivierter DMZ Funktion nur dann von au erhalb anmelden k nnen wenn Sie diese Option explizit aktivieren Wenn Sie keinen externen Server angeben m ssen Sie f r jedes Mitglied der Administratoren gruppe ein Kennwort festlegen Weitere Informationen erhalten Sie unter Erstellen L schen Bearbei
55. aktiviert haben siehe Seite 182 1 W hlen Sie in der Administratorkonsole das Men Authentication amp Authorization gt Authorization Groups und anschlie end eine Gruppe aus 2 W hlen Sie aus den Gruppenregisterkarten Applications gt General aus Vergewissern Sie sich dass die Java Version von Secure Application Manager und die Lotus Notes Optionen aktiviert sind Enterprise Servers IVE notes1 company com notes2 company com Client Machine Lotus Notes 127 0 0 1 Secure Application Manager Java applet Java applet encapsulates Lotus Notes data and securely port forwards it to the IVE Internet Internet Port 443 SSL Internet KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 212 3 W hlen Sie aus den Gruppenregisterkarten Applications gt Lotus Notes aus Benutzerdefinierte Autorisierungsgruppen erben standardm ig die Einstellungen der Benutzergruppe Klicken Sie zum Festlegen benutzerdefinierter Einstellungen auf Use custom settings und anschlie end auf Update 4 Konfigurieren Sie die Zugriffssteuerungsliste f r Lotus Notes Server 1 Geben Sie im Feld Server Name den vollst ndig qualifizierten Hostnamen f r jeden MS Exchange Server ein Wenn beispielsweise der vollst ndig qualifizierte Hostname notes1 ihrefirma com lautet f gen Sie der Liste notes1 ihrefirma com und notes1 hinzu 2 Klicken Sie auf Add Abbildung 85 Authentication amp Authorization
56. als Teil dieser Option angeben Informationen zum Konfigurieren eine Autorisierungsgruppe finden Sie unter Men Authentication amp Authorization gt Authorization Groups auf Seite 126 1 F r Autorisierungsgruppen ist in einigen IVE Produkten eine Lizenz erforderlich 75 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Unterst tzte Authentifizierungsserver Das Neoteris IVE unterst tzt die g ngigsten Authentifizierungsserver z B Windows NT Dom ne Active Directory RADIUS LDAP NIS und RSA ACE Server Sie k nnen eine oder mehrere lokale Datenbanken f r vom IVE authentifizierte Benutzer erstellen Bei der Anmeldung im IVE m ssen Benutzer die Authentifi zierungsserverinstanz angeben an die die Anmeldeinformationen gesendet werden sollen indem sie die Instanz in einem Dropdownmen ausw hlen sofern Sie f r das IVE System mehrere Authentifizierungsserverinstanzen definiert haben Anweisungen zum Erstellen einer Instanz finden Sie unter Definieren einer Authentifizierungsserverinstanz auf Seite 92 Hinweis Ein Authentifizierungsserver muss eine Verbindung mit dem IVE Server herstellen k nnen Wenn ein Authentifizierungsserver wie RSA ACE Server keine IP Adressen f r die Agentenhosts verwendet muss er den IVE Hostnamen ber einen DNS Eintrag oder einen Eintrag in der eigenen Hostdatei aufl sen k nnen Lokaler IVE Authentifizierungsserver Im IVE k nnen Sie eine oder mehrere lo
57. an 3 Geben Sie den Dom nennamen f r den NIS Server an 4 Geben Sie unter Authorization Group Settings eine Option zum Zuordnen von Benutzern zu Gruppen an Eine Beschreibung dieser Optionen finden Sie auf Seite 93 5 Klicken Sie auf Save Changes Die Registerkarten Group Mapping und Users werden angezeigt 6 Fahren Sie mit Schritt 2 Angeben von Informationen f r die Gruppenzuordnung auf Seite 98 fort Hinweis Sie k nnen nur eine NIS Serverinstanz hinzuf gen 113 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Abbildung 51 Authentication amp Authorization gt Authentication Servers gt NIS Festlegen einer RADIUS Serverinstanz Verwenden Sie diese Informationen zusammen mit den unter Definieren einer Authentifizierungsserverinstanz auf Seite 92 beschriebenen Schritten So legen Sie einen RADIUS Server fest 1 Geben Sie einen Namen ein um die Serverinstanz zu bezeichnen 2 Geben Sie den Namen oder die IP Adresse des RADIUS Servers ein 3 Geben Sie die Portangabe f r den RADIUS Server ein Normalerweise ist dies Port 1645 4 Geben Sie eine Zeichenfolge f r den gemeinsamen geheimen Schl ssel ein Sie m ssen diese Zeichenfolge beim Konfigurieren des RADIUS Servers eingeben damit die Neoteris IVE Appliance als Client erkannt wird KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 114 5 Klicken Sie abschlie end auf Save Changes 6 Konfigurie
58. auf Browse um das von der Supportsite heruntergeladene Dienstpaket auf der Festplatte zu suchen Wenn Sie die aktuellen Konfigurationseinstellungen l schen aber weiterhin dieselbe IVE Version verwenden m chten w hlen Sie das derzeit in Ihrem IVE installierte Dienstpaket aus 4 Wenn Sie die Software auf ein lteres Dienstpaket herunterstufen oder die Konfigurationseinstellungen l schen w hlen Sie Delete all system and user data Wichtig Wenn Sie das IVE zur cksetzen und mit dieser Option alle System und Benutzerdaten aus dem IVE l schen m chten m ssen Sie vor der erneuten Systemkonfiguration die Netzwerkverbindungen wiederherstellen Beachten Sie au erdem dass das IVE nicht auf eine ltere Version als 3 1 zur ckge stuft werden kann 5 W hlen Sie die Dienstpaketdatei aus und klicken Sie auf Install System gt Men Install Service Package 67 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Abbildung 34 System gt Install Service Package Secure Meeting erm glicht es eine Auswahl von Benutzern im Internet einzuladen mit diesen Konferenzen durchzuf hren und Ihren Desktop oder Ihre Desktopanwendungen f r diese Benutzer freizugeben Bei Verwendung von Secure Meeting gilt Folgendes IVE Benutzer k nnen sowohl IVE Benutzer als auch andere Personen zur Teilnahme an sicheren Online Konferenzen einladen W hrend der Konferenzen k nnen die Vorf hrenden ihre Desktops und
59. auf Create Cluster Nachdem das IVE den Cluster initialisiert hat werden auf der Seite Clustering die Registerkarten Status und Properties angezeigt Abbildung 97 Network gt Clustering Startseite 249 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Abbildung 98 Network gt Clustering Die Abbildung zeigt die Seite Clustering nach der Definition eines Clusters Beachten Sie dass das IVE auf dem Sie den Cluster definieren das erste Clustermitglied wird Hinzuf gen eines IVEs zu einem Cluster ber die serielle Konsole Sie k nnen ein IVE ber die serielle Konsole oder die Administratorkonsole zu einem Cluster hinzuf gen Wir empfehlen die serielle Konsole zu verwenden da bei diesem Verfahren nur wenige Informationen eingegeben m ssen um das IVE zum Cluster hinzuzuf gen Sobald der Cluster das hinzuzuf gende IVE authentifiziert erh lt das neue Clustermitglied die Clusterstatuseinstellungen die alle Einstellungen auf dem IVE berschreiben Wichtig Wenn Sie ein IVE das gegenw rtig als eigenst ndiges Ger t ausgef hrt wird ber seine serielle Konsole zu einem Cluster hinzuf gen m chten muss das gleiche Softwarepaket auf der gleichen Hardwareplattform wie bei den anderen Mit gliedern ausgef hrt werden KAPITEL 4 Verwalten von IVE Netzwerkeinstellungen 250 So f gen Sie ein IVE ber die serielle Konsole des Computers zu einem Cluster hinzu 1 W hlen Sie in der Administratorkonsole
60. benutzerdefinierbaren Trennzeichen f r Anmeldeinformationen gefolgt von dem Mailserverkennwort des Benutzers Benutzer m ssen sich nicht am beim IVE anmelden um E Mail zu verwenden Use mail server authentication only Benutzer konfigurieren ihren E Mail Client so dass ihre normalen Mailserver Benutzernamen und Kennw rter verwendet werden Benutzer m ssen sich nicht am IVE anmelden um E Mail zu verwenden oder zu konfigurieren Hinweis Die Benutzer k nnen ihre Benutzernamen und Kennw rter f r E Mail problemlos auf der Seite Email Setup ermitteln 7 Geben Sie unter Default Server Information Ihre Mailserverdaten an Das IVE fungiert als E Mail Proxy f r diesen Server Wichtig Sie k nnen nur einen Standardmailserver angeben Wenn Benutzer E Mail Nachrichten von mehreren SMTP und POP oder IMAP Servern abrufen m ssen bieten Sie ihnen die M glichkeit weitere Mailserver zu definieren 8 Klicken Sie auf Save Changes Hinweis Wenn Sie Benutzern die Festlegung benutzerdefinierter Server erm glichen m ssen sie diese Informationen auf ihrer IVE Seite Email Setup eingeben 269 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Abbildung 110 Network gt Email Settings KAPITEL 4 Verwalten von IVE Netzwerkeinstellungen 270 ber diese Registerkarte k nnen Sie ein Netzwerkverwaltungstool wie HP OpenView zum berwachen des IVE als SNMP Agent verwenden Das IVE unterst tzt SNMP v2 i
61. bieten IVE Clusterl sungen sind f r den Einsatz in einem LAN vorgesehen in dem alle Clustermitglieder mit dem gleichen Netzwerksegment verbunden sind Bei diesem Szenario sind alle externen Schnittstellen mit einem Netzwerksegment und alle internen Schnittstellen mit einem anderen Netzwerksegment verbun den In Version 3 1 wurde die Einsatzm glichkeit unserer Clusterl sungen auf mehrere Netzwerksegmente oder ein WAN ausgeweitet sodass Clustermit glieder unterschiedliche Netzwerkeinstellungen aufweisen k nnen Wichtig Die Zusammenfassung zu Clustern in verschiedenen Netzwerksegmen ten ist nur in speziellen Szenarios m glich in denen Verbindungen auf Netzwerke bene mit niedriger Latenz zwischen den IVEs und den Ressourcen der Back End Anwendung besteht Dieses Feature steht nur als Testversion zur Verf gung In diesem Abschnitt erhalten Sie eine bersicht ber Cluster Informationen zur Vorgehensweise finden Sie unter Definieren und Initialisieren eines Clusters 247 Hinzuf gen eines IVEs zu einem Cluster ber die serielle Konsole 249 Hinzuf gen eines IVEs zu einem Cluster ber die Administratorkonsole 254 Aktualisieren eines Clusters 256 Verwalten von Clusterknoten und Angeben neuer Clustermitglieder 257 ndern von Clustereigenschaften oder L schen eines Clusters 262 KAPITEL 4 Verwa
62. cksetzen Registerkarte General 7 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Abbildung 2 System gt Settings gt General Eingeben oder Aktualisieren der Systemlizenz Die Neoteris IVE Appliance wird mit Hilfe verschiedener Optionen lizenziert Diese werden durch die folgenden Faktoren bestimmt Aktivierte Systemkapazit t d h die Anzahl der gleichzeitig angemeldeten Benutzer Supportumfang des von Ihnen erworbenen Produkts Optionale aktivierte Funktionen d h Gruppenzugriffssteuerungen clientseitige digitale Zertifikate sicheres E Mail Proxy sichere Nachrichten bermittlung sicherer Terminalzugriff und sichere Client Serveranwendungen Registerkarte License KAPITEL 2 Verwalten von systemweiten Einstellungen 8 Die Neoteris IVE Appliance wird mit einer Werkslizenz ausgeliefert die Folgendes erm glicht Durchsuchen von Web Windows und UNIX NFS Dateien Systemkapazit t f r zwei gleichzeitig angemeldete Benutzer und f nf lokale Benutzerkonten Nach einer erfolgreichen Anmeldung an der Administratorkonsole m ssen Sie die Lizenz eingeben die Ihnen per E Mail von Neoteris zugesendet wurde Auf der Seite License k nnen Sie den Lizenzcode f r Ihre Site eingeben und verwalten Lesen Sie in jedem Fall die Lizenzvereinbarung auf die Sie ber die Seite License zugreifen k nnen bevor Sie Ihre Lizenz senden Bei der ber die Seite License verf g
63. den Authentifizierungs server eingeben muss an dem er sich anmelden m chte Sign In Options gt Unterregisterkarte Authorization Mode KAPITEL 2 Verwalten von systemweiten Einstellungen 34 User is assigned to the first matching group F r die IVE Sitzung des Benutzers wird die erste Gruppe verwendet der das IVE den Benutzer zuordnet User selects group from among all matching groups Das IVE zeigt eine Seite an auf der s mtliche Gruppen aufgef hrt werden denen ein Benutzer zugeordnet ist so dass der Benutzer ausw hlen kann welcher Gruppe er f r die IVE Sitzung beitreten m chte Enable 2 x authorization mode Durch diese Option werden die in den 2 x Versionen des IVE verwendeten Authentifizierungs und Autorisierungsverfahren aktiviert Abbildung 17 System gt Settings gt Sign In Options gt Authorization Mode 35 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Festlegen der Codierung f r die Internationalisierung Auf dieser Registerkarte k nnen Sie festlegen wie das IVE die Daten bei der Interaktion mit Dateiservern codiert So legen Sie fest wie der IVE Datenverkehr codiert wird 1 Klicken Sie in der Administratorkonsole auf die Registerkarte System gt Settings gt Encoding 2 W hlen Sie die entsprechende Option aus und klicken Sie dann auf Save Changes Abbildung 18 System gt Settings gt Encoding Registerkarte Encoding KAPITEL 2 Ve
64. die Sicherheitsrichtlinie das Erteilen von Administratorrechten an Benutzer nicht zul sst k nnen Sie die externen DNS Server auch wie unter Konfigurieren der externen DNS Server und Benutzercomputer falls erforderlich auf Seite 201 beschrieben konfigurieren Enable Microsoft Exchange Wenn Sie die Java Version von Secure Application Manager aktiviert haben unterst tzt das IVE das Microsoft Exchange MAPI Protokoll Messaging Application Programming Interface Remotebenutzer k nnen den Microsoft Outlook Client auf ihren PCs zum Zugreifen auf E Mail ihre Kalender und andere Outlook Funktionen ber das IVE verwenden Daf r m ssen keine nderungen am Outlook Client vorgenommen werden und es ist keine Verbindung auf Netzwerkebene wie z B ein VPN erforderlich Die Microsoft Exchange Verkn pfung wird auf der Seite Client Applications angezeigt wenn sich ein Benutzer das n chste Mal beim IVE anmeldet Diese Funktion wird auf PCs unter Windows 2000 mit Internet Explorer 5 5 oder 6 0 und der Microsoft JVM unterst tzt Diese Funktion ist mit PCs unter Windows 98 Internet Explorer 5 5 oder Windows XP Internet Explorer 6 0 und der Microsoft JVM kompatibel 182 User Users setting Wendet die Einstellungen der Benutzergruppe an Enabled with access control Specify allowed MS Exchange Servers Erm glicht den Zugriff auf die angegebenen Microsoft Exchange Server von einem Microsoft Outlook E Mail Cli
65. die SiteMinder Authentifizierungsservereinstellungen in der IVE Administratorkonsole konfigurieren Hinweis Wenn der Bereichsressourcenfilter auf festgelegt wird entsprechen die durch den benutzerdefinierten IVE Agenten an den Richtlinienserver bergebenen Ressourcen der Regel Wenn Sie den Ressourcenfilter weiter einschr nken m ch ten muss der in der IVE Administratorkonsole angegebene Ressourcenfilter der Regel entsprechen Standardm ig wird der Ressourcenfilter in den IVE SiteMinder Serveroptionen auf siteminder festgelegt 5 Erstellen Sie innerhalb der Richtliniendom ne eine Richtlinie die die Regeln vorhandenen Benutzerverzeichnissen zuordnet 125 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Abbildung 54 Authentication amp Authorization gt Authentication Servers gt SiteMinder KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 126 Verwenden Sie die Registerkarten Authentication amp Authorization gt Authorization Groups um Autorisierungsgruppen 1 zu erstellen und zu verwalten Dazu geh ren folgende Aufgaben berpr fen einer Zusammenfassung der Einstellungen f r Autorisierungsgruppen 127 Angeben von Zeitbegrenzungen und Roamingfunktionen f r Autorisierungsgruppen 133 Angeben von Benutzeranmeldeinformationen und der Best ndigkeit von IVE Sitzungscookies 135 berpr fen der Zuordnungen von Servern zu Gruppen 137
66. diesem Verzeichnis die Datei uninstall exe ausgef hrt wird In diesem Verzeichnis ist auch eine Protokolldatei enthalten die bei jedem Ausf hren der Hostpr fung neu erstellt wird Durchf hren einer clientseitigen berpr fung der Software f r die Endpunktsicherheit Verwenden Sie diese Registerkarte zum Aktivieren der IVE Hostpr fung und geben Sie die Methode an mit der das Steuerelement f r die ActiveX Hostpr fung berpr ft ob der Client ber die ben tigte Software f r die Endpunktsicherheit verf gt Hinweis Die Hostpr fung berpr ft nicht ob die ben tigte Software f r die Endpunktsi cherheit ausgef hrt wird Auch das Verhalten dieser Software wird nicht berpr ft Verwen den Sie die Hostpr fung als Tool zur Durchsetzung von Richtlinien zum Verwalten der Endpunktsicherheit So f hren Sie eine clientseitige berpr fung der Software f r die Endpunktsicherheit durch 1 W hlen Sie in der Administratorkonsole das Men Authentication amp Authorization gt Authorization Groups und anschlie end eine Gruppe aus 2 W hlen Sie aus den Gruppenregisterkarten Authentication gt Host Checker aus Benutzerdefinierte Autorisierungsgruppen erben standardm ig die Einstel lungen der Benutzergruppe Klicken Sie zum Festlegen benutzerdefinierter Einstellungen auf Use custom settings und anschlie end auf Update 3 Klicken Sie unter Host Checking auf Enabled 4 W hlen Sie unter Host Checking Method
67. eine der folgenden Optionen aus Sygate Personal Firewall AYT Zur Verwendung dieser Option muss Sygate Personal Firewall auf dem Clientcomputer installiert sein Sygate Secure Agent AYT Zur Verwendung dieser Option muss Sygate Secure Agent auf dem Clientcomputer installiert sein KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 146 Zone Labs AYT Zur Verwendung dieser Option muss Zone Alarm Pro oder ein Integrity Produkt auf dem Clientcomputer installiert sein Other endpoint security applications Zur Verwendung dieser Option m ssen Sie mit dem Neoteris Support zusammenarbeiten um eine DLL eines Drittanbieters zu erstellen die die NHC API Neoteris Host Checker Hostpr fung von Neoteris implementiert Daraufhin m ssen Sie diese DLL auf den entsprechenden Clientcomputern installieren und im FeldDLL path den Pfad zu der DLL angeben Wenn die Hostpr fung auf dem Clientcomputer ausgef hrt wird wird die NHC AYT Funktion in der DLL aufgerufen Client attribute checking Zur Verwendung dieser Option m ssen Sie drei Informationen angeben durch die die Anwendung f r die Endpunktsicherheit bezeichnet werden Ein Registrierungsstammschl ssel W hlen Sie einen Stammschl ssel aus der Dropdownliste aus Ein Registrierungsteilschl ssel Geben Sie den Pfad zum Anwen dungsordner ein Dem Pfadnamen muss kein umgekehrter Schr gstrich vorangestellt werden
68. einem Cluster hinzu 1 W hlen Sie in der Administratorkonsole eines aktiven Clustermitglieds die Registerkarte Network gt Clustering gt Status aus und geben Sie das IVE an das dem Cluster hinzugef gt werden soll Weitere Informationen finden Sie unter So geben Sie ein IVE an das einem bestehenden Cluster hinzugef gt werden soll auf Seite 258 2 W hlen Sie in der Administratorkonsole des IVEs das Sie einem Cluster hinzuf gen m chten die Registerkarte System gt Settings gt License aus und geben Sie Ihren Lizenzcode ein um die Clusterfunktion zu aktivieren 3 Geben Sie auf der Seite Network gt Clustering unter Join existing cluster Folgendes ein Die Bezeichnung des Clusters dem das IVE beitreten soll Das Clusterkennwort das Sie beim Definieren des Clusters angegeben haben Die IP Adresse eines aktiven Clustermitglieds 4 Klicken Sie auf Join Cluster 255 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Abbildung 104 Network gt Clustering Beitreten zu einem Cluster KAPITEL 4 Verwalten von IVE Netzwerkeinstellungen 256 Abbildung 105 Network gt Clustering Neustarten von Diensten auf einem neuen Clustermitglied Sobald ein neuer Knoten mit dem Cluster verbunden wird wird der Clusterstatus auf der Registerkarte Status des Clusters angezeigt Aktualisieren eines Clusters Zum Aktualisieren eines Clusters installieren Sie das gew nschte Dienstpaket a
69. gesamte PC Datenverkehr ber den Network Connect Tunnel zu den internen Unternehmensressourcen bertragen wird m ssen Sie sicherstellen dass andere Hosts in demselben lokalen Netzwerk wie der PC keine Verbindung mit dem PC herstellen k nnen auf dem Network Connect ausgef hrt wird Wir empfehlen dass Clients vor dem Starten einer Remotezugriffssitzung auf Netzwerkebene L sungen f r die Endpunktsicherheit ausf hren m ssen z B eine pers nliche Firewall Informationen zum berpr fen ob Clients Software f r die Endpunktsicherheit verwenden finden Sie unter Durchf hren einer clientseitigen berpr fung der Software f r die Endpunktsicherheit auf Seite 145 General gt Unterregisterkarte Network Connect KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 130 Die Network Connect Anwendung wird wie folgt ausgef hrt 1 Ein Benutzer meldet sich im IVE an und klickt auf der IVE Startseite auf die Verkn pfung f r Network Connect Daraufhin wird der Benutzer in einer Warnung aufgefordert sicherzustellen dass die Arbeitsstation vertrauensw rdig und sicher ist 2 Anschlie end wird vom IVE ein Active X Steuerelement auf den Clientcomputer heruntergeladen das die folgenden Aktionen ausf hrt 1 Das IVE ermittelt ob Network Connect installiert ist Wenn dies nicht der Fall ist installiert das IVE die erforderliche Software in einem einmaligen Setup 2 Der Dienst Network Connect sendet eine Anfo
70. gt Authorization Groups gt GroupName gt Applications gt Lotus Notes J SAM 213 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Konfigurieren des Lotus Notes Clients Bevor ein Remotebenutzer von Lotus Notes aus ber das IVE eine Verbindung mit einem Lotus Notes Server herstellen kann muss der Benutzer den Lotus Notes Client bearbeiten und ein Adressdokument Proxyfeld auf den Port des lokalen Hosts f r den PC festlegen Bei dem bearbeiteten Adressdokument sollte es sich um das f r den Remotezugriff zu verwendende Dokument handeln z B Home Location oder Travel Location Wenn das Proxyfeld auf den Port des lokalen Hosts f r den PC festgelegt wird hat das IVE die M glichkeit Verbindungen mit mehreren Lotus Notes Servern herzustellen einschlie lich der als Durchgangsserver konfigurierten Server So konfigurieren Sie einen Lotus Notes Client f r die Verwendung mit dem IVE 1 W hlen Sie auf dem Lotus Notes Client File gt Mobile gt Locations aus 2 W hlen Sie den f r den Remotezugriff verwendeten Standort aus und klicken Sie dann auf Edit Location 3 Klicken Sie auf der Registerkarte Basics auf das Proxysymbol 4 Geben Sie im Feld Proxy Server Configuration die folgende Adresse in das Feld HTTP Tunnel ein 127 0 0 1 1352 5 Klicken Sie auf OK Wenn Sie m chten dass Benutzer dieses Setup durchf hren m ssen Sie ihnen die Anweisungen speziell f r Ihre Site zur Verf gung stellen
71. initiiert wurde Ist dies der Fall sendet das IVE das Paket an die externe Schnittstelle Alle brigen Pakete werden an die interne Schnittstelle gesendet Die f r jede Schnittstelle festgelegten Routen werden verwendet nachdem das IVE ermittelt hat ob die interne oder die externe Schnittstelle zu verwenden ist Das IVE leitet keine Anforderungen von der externen Schnittstelle ein und diese Schnittstelle akzeptiert keine anderen Verbindungen mit Ausnahme von Ping und Tracerouteverbindungen Alle Anforderungen an eine beliebige Ressource werden von der internen Schnittstelle ausgegeben Informationen zur Vorgehensweise ndern von urspr nglichen Netzwerkeinstellungen siehe Seite 240 Konfigurieren des externen Ports siehe Seite 241 Angeben von statischen Routen siehe Seite 243 227 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Konfigurieren eines Clusters von IVE Servern Das IVE Version 3 1 unterst tzt ein Clusterpaar und Multi Unit Cluster Ein Clusterpaar besteht aus zwei Neoteris Access 1000 3000 oder 5000 Plattformen die in einer Aktiv Passiv oder Aktiv Aktiv Konfiguration bereitgestellt werden um hohe Verf gbarkeit und Lastenausgleich zu gew hrleisten Ein Multi Unit Cluster besteht aus drei oder mehr Neoteris Access 5000 Plattformen die in einer Aktiv Aktiv Konfiguration bereitgestellt werden um verbesserte Skalierbarkeit hohe Verf gbarkeit und gesteigerte Leistung zu
72. k nnen Daher wird die Aktivierung des Benutzerverwaltungsfeatures nur dann empfohlen wenn es die Regeln f r die Benutzer zu Gruppen Zuordnung auf dem Authentifizierungsserver Benutzern ohne bereinstimmung erlauben sich beim IVE anzumelden wie unter Angeben von Informationen f r die Gruppenzuordnung auf Seite 98 beschrieben so dass der Benutzer administrator neue Benutzer ohne Eingreifen des Administrators erfolgreich hinzuf gen k nnen Wenn die Benutzer zu Gruppen Zuordnungen automatisch erfolgen k nnen Benutzeradministratoren die neuen Benutzer ohne Hilfe des Administrators manuell einer Autorisierungsgruppe zuordnen So delegieren Sie Benutzerverwaltungsrechte an einen Endbenutzer 1 W hlen Sie in der Administratorkonsole das Men Authentication amp Authorization gt Authentication Servers aus 2 W hlen Sie die lokale IVE Authentifizierungsserverinstanz aus die vom Benutzeradministrator verwaltet werden soll und klicken Sie dann auf die Registerkarte User Admins Hinweis Benutzeradministratoren k nnen nur lokale IVE Authentifizierungsserver verwalten 3 Geben Sie den Username des Benutzers ein der den ausgew hlten Authentifizierungsserver verwalten soll Sie k nnen zum Verwalten des lokalen IVE Authentifizierungsserver einen beliebigen Benutzer Schritt 4 Delegieren von Benutzerverwaltungsrechten nur bei lokaler IVE Authentifizierung 105 Neoteris Instant Virtual Extranet Appliance Admini
73. kann Um diese Liste anzugeben klicken Sie in dieser Option auf die Verkn pfung Access Control Sie m ssen au erdem Anwendungen und Hosts festlegen die mit W SAM gesichert werden sollen Weitere Informa tionen erhalten Sie unter Festlegen von Anwendungen und Hosts die mit W SAM gesichert werden sollen auf Seite 189 Enabled using the Java Session Manager and users can add applications Aktiviert die Java Version von Secure Application Manager und erm glicht es den Benutzern Anwendungen hinzuzuf gen Damit Benutzer Anwendungen hinzuf gen k nnen m ssen Sie den DNS Namen und die Client Serverports des Anwendungsservers kennen Wenn Sie diese Option aktivieren k nnen Benutzer die Portumleitung zu einem beliebigen Host oder Port im Unternehmen einrichten Bevor Sie Benutzern die M glichkeit geben Anwendungen hinzuzuf gen vergewissern Sie sich dass diese Funktion mit Ihren Sicherheitsanfor derungen vereinbar ist Wenn ein Benutzer eine Anwendung hinzuf gt bleibt diese Anwendung f r den Benutzer auch dann verf gbar wenn Sie die Einstellung sp ter in Enabled ndern oder wenn Sie diese Funktion deaktivieren und sp ter wieder aktivieren Enabled using the Java Session Manager Aktiviert die Java Version von Secure Application Manager und erm glicht es Benutzern die von Ihnen installierten Anwendungen auszuf hren Enable Automatic Launch of the Secure Application Manager Startet Secure Applicat
74. machen Hinweis Zum berwachen wesentlicher IVE Systemstatistiken beispielsweise der CPU Auslastung laden Sie die UC Davis MIB Datei in Ihre SNMP Managementanwendung Sie erhalten die MIB Datei im Internet unter folgender Adresse http net snmp sourceforge net UCD SNMP MIB txt KAPITEL 4 Verwalten von IVE Netzwerkeinstellungen 240 Im Men Network gt Network Settings k nnen Sie folgende Aufgaben durchf hren ndern von Netzwerkeinstellungen f r den internen Port LAN Schnittstelle 240 Aktivieren des externen Ports DMZ Schnittstelle 241 Angeben von statischen Routen f r den Netzwerkverkehr 243 bersichtsinformationen zu Netzwerkeinstellungen finden Sie unter Konfigurieren allgemeiner Netzwerkeinstellungen f r das IVE auf Seite 226 ndern von Netzwerkeinstellungen f r den internen Port LAN Schnittstelle Auf der Registerkarte Internal Port k nnen Sie die Netzwerkeinstellungen ndern die Sie w hrend der Ersteinrichtung angegeben haben Weitere Informationen zu allgemeinen Netzwerkeinstellungen finden Sie auf Seite 226 So ndern Sie die Netzwerkeinstellungen f r den internen Port 1 W hlen Sie in der Administratorkonsole die Registerkarte Network gt Network Settings gt Internal Port aus 2 Geben Sie die neuen Informationen ein und klicken Sie dann auf Save Changes Hinweis Um auf die letzten gespeicherten nderungen zur ckzusetzen klicken Sie auf Reset Netw
75. und eines privaten Schl ssels 43 iv Importieren eines erneuerten Serverzertifikats f r das der bestehende privater Schl ssel verwendet wird 45 Erstellen einer Zertifikatssignaturanforderung f r ein neues Serverzertifikat 47 Importieren eines signierten Serverzertifikats das anhand einer Zertifikatssignaturanforderung erstellt wurde 50 Importieren eines Stammzertifikats zur berpr fung eines clientseitigen Zertifikats 52 Importieren eines Codesignaturzertifikats 55 System gt Men Import Export 58 Exportieren einer Systemkonfigurationsdatei 58 Importieren einer Systemkonfigurationsdatei 59 Exportieren lokaler Benutzerkonten 60 Importieren lokaler Benutzerkonten 61 Exportieren von ACLs und Lesezeichen 64 Importieren von ACLs un
76. von der Zertifizierungsstelle Erstellen einer Zertifikatssignaturanforderung f r ein neues Serverzertifikat Falls Ihr Unternehmen ber kein digitales Zertifikat f r die Webserver verf gt k nnen Sie ber die Administratorkonsole eine Zertifikatssignaturanforderung erstellen und diese dann zur Verarbeitung an eine Zertifizierungsstelle senden Wenn Sie ber die Administratorkonsole eine Zertifikatssignaturanforderung erstellen wird lokal ein privater Schl ssel erstellt der der Zertifikatssignaturan forderung entspricht Falls Sie die Zertifikatssignaturanforderung l schen wird diese Datei ebenfalls gel scht Es ist dann nicht mehr m glich ein ber die Zertifikatssignaturanforderung erstelltes signiertes Zertifikat zu installieren Wichtig Senden Sie nur jeweils eine Zertifikatssignaturanforderung an eine Zerti fizierungsstelle Andernfalls fallen u U doppelte Geb hren an KAPITEL 2 Verwalten von systemweiten Einstellungen 48 So erstellen Sie eine Zertifikatssignaturanforderung 1 Klicken Sie in der Administratorkonsole auf die Registerkarte System gt Certificates gt Server Certificate 2 Klicken Sie unter Pending Certificate Signing Request auf New CSR 3 Geben Sie die erforderlichen Informationen ein Abbildung 26 auf Seite 49 und klicken Sie auf Create CSR 4 Befolgen Sie die Anweisungen auf dem Bildschirm Abbildung 27 auf Seite 50 Darin wird neben dem Sendeverfahren erl utert welche Informati
77. zur Verf gung Maximum number of MetaFrame servers per client Dieser Wert bestimmt die Anzahl der Citrix MetaFrame Server mit denen Benutzer w hrend ihrer Clientanwendungssitzung eine Verbindung herstellen k nnen Das IVE berwacht MetaFrame Serveranforderungen an der angegebenen Anzahl von Ports Benutzer d rfen w hrend ihrer Sitzung nur mit der H chstzahl der MetaFrame Server Verbindungen herstellen Der Standardwert lautet 5 List of ports Sie k nnen eine durch Kommas getrennte Liste der Ports erstellen an denen die Citrix MetaFrame Server Daten berwachen Der Standardport ist 1494 KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 216 Abbildung 87 Authentication amp Authorization gt Authorization Groups gt GroupName gt Applications gt Citrix NFuse Erm glichen und Konfigurieren von Konferenzen f r Autorisierungsgruppen Verwenden Sie diese Registerkarte zu einem beliebigen Zeitpunkt um festzulegen welche IVE Autorisierungsgruppen Konferenzen planen k nnen um die Sicherheitsstufen f r die zu erstellenden Konferenzen zu steuern und um die f r Konferenzen verwendeten Systemressourcen zu verwalten Wichtig Vor dem Erm glichen von Konferenzen f r Autorisierungsgruppen sollten Sie einen SMTP E Mail Server aktivieren Folgen Sie dazu den Anweisungen unter Aktivieren von E Mail Benachrichtigungen f r Konferenzen auf Seite 68 Registerkarte Meetings 217 Ne
78. 03 cay iii Inhalt Kapitel1 Einf hrung in die Neoteris IVE Appliance 1 Was ist IVE 1 Wie funktioniert das IVE 2 Welchen Leistungsumfang bietet das IVE 3 Kapitel2 Verwalten von systemweiten Einstellungen 5 System gt Men Settings 5 Anzeigen des Systemstatus Neustart Herunterfahren und Senden eines Ping Befehls an verbundene Server 6 Eingeben oder Aktualisieren der Systemlizenz 7 ndern systemweiter Sicherheits und Leistungseinstellungen 9 Festlegen von Regeln f r die Zwischenspeicherung von Inhalten 13 Einstellen der Systemzeit 16 Einstellen Anzeigen L schen und Speichern des Systemprotokolls 18 Anzeigen der Systemstatistik
79. 4 Wenn das IVE ein signiertes Java Applet vermittelt signiert es das Applet mit einem eigenen Zertifikat neu das nicht an ein Standardstammzertifikat gebunden ist Wenn ein Benutzer ein Applet anfordert das Aufgaben mit einem hohen Risikopotential durchf hrt z B Zugreifen auf Netzwerkserver wird im Browser des Benutzers in einer Sicherheitswarnung angezeigt dass der Stamm nicht vertrauensw rdig ist Um die Anzeige dieser Warnung zu vermeiden k nnen Sie ein Codesignaturzertifikat anfordern mit dem das IVE zu vermittelnde Applets neu signiert Folgende Codesignaturzertifikate werden unterst tzt Microsoft Authenticode Zertifikat Mit diesem Zertifikat signiert das IVE Applets die ber MS JVM ausgef hrt werden Microsoft Authenticode Zertifikat Mehrzweck Mit diesem Zertifikat signiert das IVE Applets die ber MS JVM oder SUN JVM ausgef hrt werden JavaSoft Zertifikat Mit diesem Zertifikat signiert das IVE Applets die ber SUN JVM ausgef hrt werden Beachten Sie bei der Auswahl des zu importierenden Codesignaturzertifikats folgende Browserabh ngigkeiten Internet Explorer Auf neuen Computern auf denen bei der Lieferung Windows XP vorinstalliert ist wird in Internet Explorer normalerweise die SUN JVM ausgef hrt Dies bedeutet dass Applets vom IVE mit dem Microsoft Authenticode Zertifikat Mehrzweck oder dem JavaSoft Zertifikat neu signiert werden m ssen Auf PCs unter Windows 98 od
80. 5 Klicken Sie auf Import KAPITEL 2 Verwalten von systemweiten Einstellungen 44 Abbildung 23 System gt Certificates gt Server Certificate 45 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Abbildung 24 System gt Certificates gt Server Certificate gt Import Renew Verwenden Sie eines dieser Formulare um ein Serverzertifikat und einen privaten Schl ssel zu importieren die Sie bereits erworben haben Importieren eines erneuerten Serverzertifikats f r das der bestehende privater Schl ssel verwendet wird Sie k nnen ein Serverzertifikat auf zwei Arten erneuern Bei einer Zertifizierungsstelle eine neue Zertifikatssignaturanforderung einreichen Dieser Vorgang zur Erneuerung eines Zertifikats ist sicherer da die Zertifizie rungsstelle ein neues Zertifikat und einen neuen privaten Schl ssel generiert und dabei die G ltigkeit des lteren privaten Schl ssels aufhebt Zur Verwen dung dieser Erneuerungsmethode m ssen Sie zuerst ber die Administrator konsole eine Zertifikatssignaturanforderung erstellen Weitere Informationen erhalten Sie unter Erstellen einer Zertifikatssignaturanforderung f r ein neues Serverzertifikat auf Seite 47 KAPITEL 2 Verwalten von systemweiten Einstellungen 46 Basierend auf der vorher bei der Zertifizierungsstelle eingereichten Zertifikatssignaturanforderung eine Erneuerung anfordern Dieser Vorgang zur Erneuerung eines Zertifikats ist wenige
81. Adressen ein f r die kein Proxyserver verwendet werden soll Geben Sie alle Adressen Hostnamen und localhost ein die die Clientanwendung beim Herstellen einer Verbindung ber Secure Application Manager verwendet Beispiele Wenn der Anwendungsserver den Namen anw1 firma com hat geben Sie die folgenden Ausnahmen ein anw1 anw1 firma com 127 0 0 1 Wenn der Exchange Server den Namen exchange firma com hat geben Sie die folgenden Ausnahmen ein exchange exchange firma com 127 0 0 1 Testen von J SAM im Unternehmen Wenn sich die Benutzer innerhalb Ihres Unternehmens befinden vermittelt das IVE den Client Server Datenverkehr nicht Das interne DNS System l st Anwendungsservernamen f r Clientanwendungen direkt in die interne IP Adresse des Anwendungsservers auf Mit anderen Worten Clientanwendungen stellen keine Verbindung mit dem auf dem lokalen PC eines Benutzers ausgef hrten Secure Application Manager her sondern tauschen Daten direkt mit Anwendungsservern aus Um die fehlerfreie Funktion von J SAM sicherzustellen m ssen Sie eine externe Netzwerkumgebung simulieren Sie k nnen dieses Szenario auf einem Test PC erstellen indem Sie die folgenden Schritte durchf hren basierend auf Windows 2000 1 W hlen Sie im Startmen von Windows Einstellungen gt Netzwerk und DF Verbindungen aus 2 Klicken Sie mit der rechten Maustaste auf LAN Verbindung und w hlen Sie dann Eigenschaften aus 3 Klicken Sie auf
82. Benutzern Lesezeichen f r Ressourcen in verf gbaren Dateifreigaben anzuzeigen und zu erstellen Users can view any allowed resources Diese Option erm glicht es Benutzern zu Ressourcen in verf gbaren Dateifreigaben zu wechseln Users can view bookmarked resources only Diese Option erm glicht es den Benutzern lediglich zu administratordefi nierten Lesezeichen f r verf gbare Dateifreigaben zu wechseln Windows networking disabled or UNIX NFS Networking disabled Bei dieser Option k nnen die Benutzer zu keinerlei Dateiressourcen wechseln Verwenden Sie diese Option wenn Sie die Zugriffsm glichkeiten schnell ndern m ssen die Richtlinien zum Durchsuchen von Dateien sowie Zugriffssteuerungslisten jedoch erhalten bleiben sollen Wenn Sie diese Option ausw hlen werden auf der IVE Startseite keine Elemente der Benutzeroberfl che f r den Netzwerkzugriff mehr angezeigt KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 166 Abbildung 69 Authentication amp Authorization gt Authorization Groups gt GroupName gt Files gt General 167 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Zugriffssteuerung f r Windows Ressourcen Wenn Sie ber ein Windows Netzwerk verf gen und die Windows Ressourcen festlegen m chten auf die Benutzer zugreifen k nnen k nnen Sie zwischen den beiden folgenden Optionen ausw hlen Eine open policy Standard mit der der Zug
83. E aktiv Benutzeranforderungen w hrend das andere IVE passiv im Hintergrund ausgef hrt wird um Statusdaten einschlie lich Systemstatus Benutzerprofil und Protokollmeldungen zu synchronisieren Benutzer anforderungen an die Cluster VIP werden an das aktive IVE geleitet Wird das aktive IVE offline geschaltet beginnt das Standby IVE automatisch mit der Bearbeitung der Benutzeranforderungen Benutzer m ssen sich nicht neu anmelden obwohl einige IVE Sitzungsdaten wie zum Beispiel Cookies und Kennw rter m glicherweise nicht auf das aktuelle IVE Feld synchronisiert wurden In diesem Fall m ssen sich die Benutzer an den Back End Webservern neu anmelden Abbildung 91 zeigt eine IVE Clusterkonfiguration vom Typ Aktiv Passiv mit zwei IVEs f r die externe Ports aktiviert sind Beachten Sie dass dieser Modus weder den Durchsatz noch die Benutzerkapazit t erh ht Er bietet jedoch Redundanz um auf unerwartete Systemausf lle zu reagieren Abbildung 91 Aktiv Passiv Clusterpaar Die Abbildung zeigt einen Aktiv Passiv Cluster innerhalb des Netzwerks IVE Benutzeranforde rungen werden an die Cluster VIP geleitet die diese dann an das aktive IVE weiterleitet IV E 1 IV E2 Intranet LAN Internet LAN Clus te r V IP 216 x x x Clus te r Hos tnam e ive s e rve r yourcom pany com Clus te r V IP 10 x x 4 External NIC External NIC Internal NIC 10 x x 1 Internal NIC 10 x x 2 KAPITEL 4 Verwalten von IVE Netzwerkeinstellun
84. Fahren Sie mit Schritt 2 Angeben von Informationen f r die Gruppenzuordnung auf Seite 98 fort Konfigurieren des IVE als Web Agent auf einem SiteMinder Richtlinienserver Sie k nnen einen SiteMinder Server erst als IVE Authentifizierungsserver hinzuf gen wenn Sie das IVE auf dem SiteMinder Richtlinienserver als Agenten konfiguriert haben Das folgende Verfahren enth lt die grundlegenden Schritte zur Konfiguration eines SiteMinder Richtlinienservers Weitere Informationen finden Sie in der Dokumentation zu Ihrem SiteMinder Server So konfigurieren Sie das IVE als Web Agent auf einem SiteMinder Richtlinienserver 1 Melden Sie sich auf der Benutzeroberfl che des Richtlinienservers an 2 Erstellen Sie einen Agenten f r das IVE Wenn Sie SiteMinder Version 5 verwenden erstellen Sie ein Hostkonfigurationsobjekt oder duplizieren Sie ein vorhandenes Hostkonfigurationsobjekt und ndern Sie die Parameterwerte 3 Konfigurieren Sie eine neue Richtliniendom ne oder verwenden Sie eine vorhandene Richtliniendom ne KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 124 4 Erstellen Sie innerhalb der Richtliniendom ne einen Bereich Legen Sie den Ressourcenfilter auf fest und legen Sie dann eine GET Regel fest um alle Ressourcen mit zu sch tzen Stellen Sie sicher dass Sie die entsprechenden Einstellungen f r Protected Resource und Resource Action verwenden wenn Sie sp ter
85. Feld mit folgender Meldung angezeigt Java applet support is disabled on the secure gateway Hinweise Nicht signierte Applets k nnen nur mit dem Host eine Verbindung herstellen von dem sie heruntergeladen wurden Wenn Sie die Unterst tzung f r Java Applets deaktivieren den Durchgangsproxy Seite 150 jedoch als Vermittler einer Anwendung konfigurieren die Applets bedient bedient das IVE Applets ohne Vermittlung Enable Persistent Web Cookies Standardm ig l scht der Neoteris IVE Server Webcookies die w hrend einer Benutzersitzung gespeichert wurden Damit eine Gruppe das Navigieren im Web anpassen kann ndern Sie diese Option so dass best ndige Cookies beibehalten werden Ein Benutzer kann Cookies ber die Seite Advanced Preferences l schen KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 150 Enable Selective Rewriting Mit dieser Option k nnen Sie eine Liste von Hosts definieren f r die das IVE Inhalte und Ausnahmen von dieser Liste vermitteln soll Standardm ig vermittelt das IVE alle Benutzeranforderungen f r Webhosts sofern Sie das IVE nicht zum Verarbeiten von Anforderungen f r bestimmte Hosts mit Hilfe eines anderen Mechanismus konfiguriert haben z B Secure Application Manager Verwenden Sie diese Option wenn das IVE den Datenverkehr von Websites vermitteln soll die sich au erhalb des Firmennetzwerks befinden z B yahoo com oder wenn das
86. Generieren einer ACE Agent Konfigurationsdatei auf Seite 117 Konfigurationsinformationen finden Sie unter Festlegen einer ACE Serverin stanz auf Seite 116 Netegrity SiteMinder Server Beim Authentifizieren von Benutzern mit einem Netegrity SiteMinder Server k nnen Sie den Neoteris IVE Server f r die Verwendung eines Netegrity SiteMinder Servers f r die Authentifizierung und Autorisierung bei Einzelanmeldungen konfigurieren Das Neoteris IVE berpr ft vor dem Gew hren des Zugriffs ob der auf der Anmeldeseite eingegebene Benutzername und das Kennwort ber den Netegrity SiteMinder Server authentifiziert werden k nnen Wenn ein Benutzer ber einen SiteMinder Server mit einer bestimmten Schutzebene authentifiziert wird erh lt der Benutzer nahtlosen Zugriff auf Webressourcen mit einer Schutzebene die geringer als die Schutzebene des Benutzers ist oder dieser entspricht Wenn ein Benutzer versucht auf eine Webressource mit einer h heren Schutzebene zuzugreifen verarbeitet der Webserver der die Ressource mit der h heren Schutzebene enth lt die erneute Authentifizierung der Anmeldeinformationen KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 80 Bei Konfiguration mit einem SiteMinder Authentifizierungsserver erm glicht das IVE die Einzelanmeldung bei durch Netegrity gesch tzten Ressourcen indem Netegrity SMSESSION Cookies gespeichert und diese Cookies an anfordernde Webressourcen bergeben werden
87. Informationen zur Vorgehensweise finden Sie unter Network gt Men Network Settings 240 Network gt Men Clustering 247 Men Network gt Web Proxy 264 Men Network gt Email Settings 267 Men Network gt SNMP 270 KAPITEL 4 Verwalten von IVE Netzwerkeinstellungen 226 Konfigurieren allgemeiner Netzwerkeinstellungen f r das IVE Wenn Sie die Neoteris IVE Appliance installieren nehmen Sie grundlegende Einstellungen f r die LAN Verbindung ber den internen Port der Appliance vor ber den internen Port werden alle WAN und LAN Anforderungen an jede Ressource abgewickelt d h Webbrowserabfragen Dateiabfragen Authentifizierung und ausgehende Mailanforderungen Sie k nnen die Appliance auch im Dual Port Modus bereitstellen um eingehende Web und E Mail Proxy SSL Verbindungen an einem externen Port abzufragen Die externe Schnittstelle fragt nur Anforderungen von Benutzern ab die am IVE angemeldet sind und leitet nur deren Anforderungen weiter Vor dem Senden eines Pakets ermittelt das IVE ob das Paket einer TCP Verbindung zugeordnet ist die von einem Benutzer ber die externe Schnittstelle
88. Internetprotokoll TCP IP und dann auf Eigenschaften KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 204 4 Klicken Sie auf die Schaltfl che Erweitert 5 Klicken Sie auf die Registerkarte WINS 6 Klicken Sie auf NETBIOS ber TCP IP deaktivieren Dieser Schritt verhindert dass Windows innerhalb des Unternehmens die DNS Aufl sung umgeht und stattdessen mithilfe der WINS Aufl sung den Hostnamen des Anwendungsservers in die richtige interne IP Adresse aufl st Eine Clientanwendung stellt eine Verbindung mit Secure Application Manager auf dem lokalen PC her Wichtig Wenn NetBIOS deaktiviert ist ist der Druck und Freigabezugriff unter Windows nicht m glich 7 Klicken Sie dreimal auf OK um die Dialogfelder zu schlie en 8 Wenn Sie keine automatische Hostzuordnung verwenden Sie haben die externen DNS Einstellungen ge ndert und den Benutzer PCs DNS Suffixe hinzuf gt suchen Sie nach der Datei hosts blicherweise im Verzeichnis Winnt system32 drivers etc Nachdem Sie eine Sicherungskopie der Datei hosts angelegt haben bearbeiten Sie die Datei und f gen Eintr ge f r die internen Anwendungsserver hinzu wobei jeder Name in die Adresse 127 0 0 1 aufgel st wird Wenn diese nderungen vorgenommen wurden l st der PC Anwendungsservernamen ordnungsgem in die Adresse 127 0 0 1 auf 9 Testen Sie die Client Serveranwendung die Sie auf den Unterregister karten Secure Application Manager J
89. Kennwort JohnsKennwort erstellen und ihn der Autoriserungsgruppe Group1 zuordnen m chten formatieren Sie den Datensatz wie folgt John JohnsKennwort Gruppe1 Mit dieser Zeile werden der Benutzer und die Gruppe wie beschrieben erstellt der Parameter f r den vollst ndigen Namen bleibt jedoch leer wie durch das zus tzliche Komma angezeigt Wenn Sie einen Benutzer mithilfe der Textdatei einer nicht vorhandenen Gruppe zuordnen erstellt das IVE beim Import eine neue Gruppe mit dem angegebenen Namen Die Regeln f r die Benutzer zu Gruppen Zuordnung f r die neue Gruppe werden durch den Authentifizierungsserver bestimmt auf den die Textdatei importiert wird und die neue Gruppe wird mit den Standardeinstellungen f r Benutzer konfiguriert Wenn Sie einen Benutzer mithilfe der Textdatei einer Gruppe und ber den Authentifizierungsserver einer anderen Gruppe zuordnen erhalten die Zuordnungen des Servers Priorit t und der Benutzer wird der vom Server angegebenen Gruppe zugeordnet Beachten Sie jedoch dass das IVE die in der Textdatei angegebenen Benutzer zu Gruppen Zuordnungen speichert Wenn die Konfiguration des Servers sp ter ge ndert wird um Gruppenzuordnungen ber die Textdatei zuzulassen wenn z B der Administrator Benutzerzuord nungen zu Gruppen nach Benutzernamen vornehmen m chte werden die Gruppenzuordnungen in der Textdatei abgerufen und angewendet KAPITEL 3 Verwalten der Authentifizierung
90. Lotus Notes und Citrix NFuse Diese Version funktioniert in vielen Netzwerkkonfigurationen einwandfrei unterst tzt jedoch keine Client Server Anwendungen auf dynamischer TCP Port Basis Weitere Informationen zu J SAM finden Sie unter Applications gt Unterregisterkarte Secure Application Manager J SAM auf Seite 193 bersicht ber Windows Secure Application Manager W SAM Die Windows Version von Secure Application Manager W SAM ist ein Dienst der den LSP Mechanismus Layered Service Provider verwendet um Datenverkehr zu sichern der von auf einem PC ausgef hrten Client Anwendungen stammt Die LSP Dienstkomponenten werden auf einem Client PC unter Verwendung eines ActiveX Steuerelements installiert das heruntergeladen wird wenn ein Benutzer Secure Application Manager von der IVE Homepage aus startet Sobald der Secure Application Manager installiert ist f ngt er folgende Anforderungen ab TCP Verbindungsaufrufe von im IVE konfigurierten Anwendungen DNS Abfragen f r im IVE konfigurierten Zielhostnamen Wenn ein Benutzer Secure Application Manager startet1 wird ein Statusfenster als Prozess im System Tray ausgef hrt Benutzer k nnen auf dieses Symbol doppelklicken um den aktuellen Sitzungsstatus und eine Liste von Anwendungen und Hosts anzuzeigen die f r die Vermittlung ber Secure Application Manager angegeben sind Applications gt Unterregisterkarte Secure Application Manager W SAM
91. Manager um Anwendungen anzugeben die von J SAM ber einen Port weitergeleitet werden sollen Wenn J SAM auf einen Clientcomputer heruntergeladen wird sind darin die Informationen enthalten die Sie auf der Unterregisterkarte Applications gt Secure Application Manager f r die Autorisierungsgruppe des Benutzers konfigurieren Wenn ein Benutzer auf Client Applications klickt wird J SAM ausgef hrt f ngt die Anforderungen an den festgelegten Ports ab und leitet sie ber Ports an das IVE weiter Das IVE leitet die Daten dann an den f r den Anwendungsserver festgelegten Port weiter Hinweis Gegenw rtig wird auf Windows oder Linux Plattformen Sun JVM Version 1 4 1 oder h her unterst tzt Falls Sie eine der erweiterten Anwendungen Microsoft Outlook Lotus Notes oder Citrix NFuse aktivieren m chten m ssen Sie diesen Vorgang nicht durchf hren Informationen zu den einzelnen erweiterten Anwendungen finden Sie im entsprechenden Abschnitt MS Outlook Seite 207 Lotus Notes Seite 211 Citrix NFuse Seite 215 So legen Sie die Clientanwendungen fest f r die J SAM eine Portwei terleitung durchf hren soll 1 W hlen Sie in der Administratorkonsole das Men Authentication amp Authorization gt Authorization Groups und anschlie end eine Gruppe aus 2 W hlen Sie aus den Gruppenregisterkarten Applications gt General aus Vergewissern Sie sich dass die Java Version von Secure Application Manager aktivi
92. N E O T E R I S I N S T A N T V I R T U A L E X T R A N E T Administrationshandbuch NEOTERIS INSTANT VIRTUAL EXTRANET Administrationshandbuch 2001 2003 Neoteris Inc Alle Rechte vorbehalten Alle Information in diesem Dokument sind Eigentum von Neoteris Inc Dieses Dokument kann ohne vorherige Ank ndigung ge ndert werden Es kann jederzeit durch andere Dokumente aktualisiert ersetzt oder au er Kraft gesetzt werden Die in diesem Dokument enthaltenen Beschreibungen bedeuten nicht dass Lizenzen gew hrt werden um erforderliche Technologien zum Implementieren von Systemen oder Komponenten die dieser Spezifikation entsprechen herzustellen zu nutzen zu verkaufen zu lizenzieren oder auf sonstige Weise weiterzugeben Neoteris Inc u ert sich in keiner Weise hinsichtlich bestehender oder zuk nftiger Patentrechte Copyrights Marken Gesch ftsgeheimnisse oder anderer propriet rer Rechte f r die in dieser Spezifikation beschriebenen Technologien Neoteris Inc schlie t alle anderen Garantien gleich ob ausdr cklich oder konkludent einschlie lich jedoch nicht beschr nkt auf konkludente Garantien der Handels blichkeit oder Eignung f r einen bestimmten Zweck aus Neoteris Inc 940 Stewart Drive Sunnyvale CA 94085 USA Telefon 408 962 8200 Fax 408 962 8201 Wenn Sie weitere Informationen erhalten m chten senden Sie eine E Mail an die folgende Adresse help support neoteris com Teilenummer 101 1001 001 C 0722
93. SAM MS Exchange Lotus Notes und Citrix NFuse konfiguriert haben 10 Aktivieren Sie anschlie end wieder NetBIOS auf der Registerkarte WINS im Dialogfeld Netzwerk und DF Verbindungen 205 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Die Java Version von Secure Application Manager unterst tzt das systemeigene Microsoft Exchange MAPI Protokoll Messaging Application Programming Interface 1 Erweiterte Unterst tzung f r MS Exchange Remotebenutzer k nnen den Microsoft Outlook Client auf ihren PCs zum Zugreifen auf E Mail ihre Kalender und andere Outlook Funktionen ber das IVE verwenden Daf r m ssen keine nderungen am Outlook Client vorgenommen werden und es ist keine Verbindung auf Netzwerkebene wie z B ein VPN erforderlich Diese Funktion erfordert die Installation der Microsoft JVM auf dem Client PC und wird auf PCs unter Windows 2000 mit Internet Explorer 5 5 oder 6 0 unterst tzt Diese Funktion ist auch kompatibel mit PCs unter Windows 98 mit Internet Explorer 5 5 oder Windows XP mit Internet Explorer 6 0 Damit diese Funktion von Remotebenutzern verwendet werden kann muss der im Outlook Client eingebettete Name der Exchange Server von den Netzwerkeinstellungen des Benutzer PCs zum lokalen PC 127 0 0 1 die Standard IP Adresse des lokalen Hosts aufgel st werden um einen sicheren Datenverkehr f r den Outlook Client zu gew hrleisten Wir empfehlen dass Sie das I
94. Secure Application Manager Abbildung Java Version 196 Abbildung Windows Version 188 ndern von Citrix NFuse Parametern 215 Angeben von MS Exchange Servern 207 Anwendungen f r J SAM konfigurieren 197 Anwendungen f r W SAM konfigurieren 189 Festlegen von Lotus Notes Servern 211 Hosts f r W SAM konfigurieren 189 Testen von J SAM 203 vs Aktualisierungsoption f r den Secure Email Client 176 zus tzliche J SAM Optionen 181 Secure Application Manager J SAM Unterregisterkarte Authorization Groups Men gt Applications Registerkarte 193 Secure Application Manager W SAM Unterregisterkarte Authorization Groups Men gt Applications Registerkarte 187 Secure Email Client vs Aktualisierungsoption f r Secure Application Manager 176 Secure Email Client bersicht 176 Secure Meetings Men Konfigurationsaufgaben 67 Selektives Neuschreiben Beschreibung 150 Konfigurieren von Hosts f r 152 Serielle Konsole Clustermitglieder hinzuf gen 249 f r systembezogene Aufgaben verwenden 273 Server ACE Server 78 Active Directory 75 f r Authentifizierung verwendete Typen 75 Instanz ACE Server 116 Active Directory 106 definieren grundlegende Schritte 92 LDAP 108 lokale Authentifizierung 75 Netegrity SiteMinder 119 123 NIS 112 RADIUS 113 Windows NT Dom ne 106 LDAP 76 Lizenz f r IVE eingeben 7 Netegrity SiteMinder 79 NIS 76 287 INDEX Protokoll anzeigen 18 RADIUS 77 Software Versions berwachung 11 Wind
95. Sie auf Add 5 Geben Sie auf der Liste Hosts Ressourcen an f r die W SAM den Client Server Verkehr zwischen dem Client und dem IVE sichert 1 Klicken Sie auf Add Hosts 2 Geben Sie den Hostnamen die Platzhalterzeichen oder sind zul ssig oder ein IP Netzmaske Paar an Geben Sie mehrere Ports f r einen Host als separate Eintr ge an 3 Klicken Sie auf Add Hinweis Sie m ssen der Secure Application Manager Zugriffssteuerungsliste jeden in der Liste Hosts angegebenen Host hinzuf gen Beachten Sie den n chsten Schritt 6 Legen Sie in der Zugriffssteuerungsliste von Secure Application Manager fest an welche Unternehmensressourcen basierend auf der Kombination aus IP Adresse und Port das IVE eine Anwendungs oder Hostanforderung senden kann So konfigurieren Sie diese Zugriffssteuerungsliste 1 W hlen Sie die Unterregisterkarte Applications gt General aus 2 Klicken Sie unter Enable Secure Application Manager in der aktivierten W SAM Option entweder Enabled using the Windows version oder Enabled using the Windows version with Netbios support auf die Verkn pfung Access Control 191 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Abbildung 77 Authentication amp Authorization gt Authorization Groups gt GroupName gt Applications gt General Windows Version KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 192 Abbildung 78 Authentication amp
96. Textdatei problemlos Benutzerdatens tze in das IVE importieren Mit dieser Funktion k nnen Sie folgende Aktionen durchf hren Neue Benutzer ber eine einfache Textdatei erstellen Vorhandene Benutzerdatens tze wiederverwenden die von einem anderen System wie Siebel exportiert wurden Benutzer zu vorhandenen Autorisierungsgruppen hinzuf gen Neue Autorisierungsgruppen f r die neuen Benutzer erstellen Wenn Sie Benutzer importieren erstellen Sie einfach eine Textdatei mit Informationen zu den neuen Benutzern einschlie lich ihrer Benutzernamen Kennw rter vollst ndigen Namen und der Autorisierungsgruppen denen sie zugeordnet werden Verwenden Sie dann die Verwaltungskonsole um die Datei der Benutzerdatens tze in den Authentifizierungsserver Ihrer Wahl zu importieren Erstellen einer Textdatei mit Benutzerdatens tzen Zum Importieren mehrerer Benutzer auf einmal in den IVE m ssen Sie zuerst eine Textdatei mit den neuen Benutzerdatens tzen erstellen in der die Daten s tze in folgendem Format dargestellt werden Benutzername Kennwort Vollst ndiger Name Gruppe1 Gruppe2 GruppeN Dabei ist Benutzername der Name den der Benutzer beim Anmelden am IVE eingibt erforderlich Kennwort das Kennwort des Benutzers f r auf einen lokalen IVE Authentifizierungsserver importierte Benutzerdatens tze erforderlich Vollst ndiger Name der Vor und Nachname des Benutzers Beachten Sie d
97. User Then Group W hlen Sie diese Option wenn Sie zus tzliche Benutzer und Gruppenfilter festlegen m ssen z B mit einem iPlanet Server 3 Geben Sie die Einstellungen f r den LDAP Server ein und klicken Sie dann auf OK KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 98 Abbildung 45 Dialogfeld f r die Konfiguration des Gruppenlookupservers Look Up Group 1 Klicken Sie f r die in Schritt 1 konfigurierte Instanz auf die Registerkarte Group Mapping Wenn Sie Benutzer IVE Autorisierungsgruppen nach Gruppeninformationen zuordnen m chten die als Teil der Authentifizierungsantwort zur ckgegeben oder durch eine Abfrage an den Gruppenlookupserver abgerufen wurden gehen Sie wie folgt vor 1 Geben Sie im Feld Rule 1 die Gruppennamen ein die von dem Authentifizierungsserver zur ckgegeben werden k nnen den Sie einer IVE Autorisierungsgruppe zuordnen m chten Geben Sie pro Zeile eine externe Gruppe Authentifizierungsserver ein 2 W hlen Sie die IVE Authentifizierungsgruppe aus der alle authentifizierten Benutzer zugeordnet werden die Regel 1 entsprechen 3 Erstellen Sie weitere Regeln zum Behandeln externer Gruppen die Sie verschiedenen IVE Autorisierungsgruppen zuordnen m chten In Abbildung 46 auf Seite 100 finden Sie ein Beispiel f r das Erstellen von Regeln f r die Zuordnung von Benutzern zu Gruppen bei Verwendung von LDAP Attributen Schritt 2 Angeben von Informationen f r di
98. VE f r die automatische Aufl sung von Exchange Server Hostnamen zum lokalen Host konfigurieren indem Sie die Datei hosts vor bergehend durch die Option zur automatischen Hostzuordnung auf einem Clientcomputer aktualisieren Weitere Informationen finden Sie unter Enable Automatic Host Mapping for MS Exchange Servers Java Version Only auf Seite 184 Abbildung 82 auf Seite 206 beschreibt die Interaktionen zwischen dem Outlook Client und einem Exchange Server ber das IVE Diese Abbildung setzt voraus dass das IVE f r die automatische Hostzuordnung konfiguriert ist 1 Der Benutzer startet den MS Outlook Client Outlook versucht eine Verbindung mit dem Exchange Server exchange1 ihrefirma com herzustellen Das IVE l st den Hostnamen des Exchange Servers durch tempor re nderungen an der Datei hosts zu 127 0 0 1 lokaler Host auf 2 Outlook stellt eine Verbindung mit Secure Application Manager her der auf dem PC des Benutzers ausgef hrt wird und beginnt dann Anforderungen f r E Mail zu senden Applications gt Unterregisterkarte MS Exchange J SAM 1 Sie k nnen auch die Windows Version von Secure Application Manager verwenden um den sicheren Remotezugriff von einem Outlook Client auf einen MS Exchange Server zu erm glichen KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 206 3 Secure Application Manager kapselt alle Anforderungen und leitet diese ber SSL vom Outlook Client an das IVE we
99. Vergleich zu Network Connect eine h here Sicherheit jeddoch k nnen Hauptbenutzer die einen Netzwerkzugriff ben tigen auch die Option Network Connect verwenden Wichtig Die Benutzer m ssen auf ihrem Windows PC ber Administratorberech tigungen verf gen so dass die Network Connect Softwarekomponenten vom IVE auf dem PC installiert werden k nnen bersicht ber Network Connect Die Option Network Connect bietet M glichkeiten zur Verwendung eines VPN ohne Client und dient als zus tzlicher Mechanismus f r den Remotezugriff auf Unternehmensressourcen ber das IVE Dieses Feature unterst tzt alle Modi f r den Internetzugang einschlie lich DF Verbindungen Breitband und LAN Szenarien vom Clientcomputer aus und funktioniert bei Vorhandensein clientseitiger Proxys und Firewalls die den SSL Datenverkehr ber Port 443 zulassen Wenn ein Benutzer Network Connect startet wird der gesamte Datenverkehr zum und vom Client ber den sicheren Network Connect Tunnel bertragen Die einzige Ausnahmeroute besteht f r Datenverkehr der von anderen IVE f higen Features initiiert wird z B Durchsuchen von Web und Dateien sowie Telnet SSH Wenn Sie f r bestimmte Benutzer keine anderen IVE Features aktivieren m chten erstellen Sie eine Autorisierungsgruppe f r die nur die Option Network Connect aktiviert ist Dieser Gruppe zugeordneten Benutzer wird auf der IVE Startseite nur die Verkn pfung f r Network Connect angezeigt Da der
100. aben fahren Sie mit Schritt 3 Erstellen lokaler Benutzer nur bei lokaler IVE Authentifizierung auf Seite 101 fort Wenn Sie eine externe Serverinstanz erstellt haben ist dieses Verfahren abgeschlossen Sofern dies nicht bereits erfolgt ist konfigurieren Sie die Autorisierungsgruppen denen f r diese Instanz Benutzer zugeordnet werden Weitere Informationen finden Sie unter bersicht ber Authentifizierung und Autorisierung auf Seite 72 KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 100 Abbildung 46 Konfigurieren der Registerkarte Group Mapping In diesem Beispiel wird die Verwendung von LDAP Attributen zum Erstellen von Regeln f r die Zuordnung von Benutzern zu Gruppen dargestellt Beachten Sie dass Sie unabh ngig vom Abrufverfahren f r die Gruppeninformationen als Teil der Authentifizierungsantwort oder durch Abfrage an den Gruppenlookupserver dieselben Attribute f r die Benutzer zu Gruppen Zuordnungsregeln verwenden 101 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Wenn Sie als Typ des Authentifizierungsservers IVE local authentication ausw hlen m ssen Sie f r diese Datenbank lokale Benutzerdatens tze definieren Lokale Benutzerdatens tze bestehen aus einem Benutzernamen dem vollst ndigen Namen und dem Kennwort des Benutzers In einer lokalen Datenbank gespeicherte Benutzer m ssen diese Datenbank zur Authentifizierung auf der IVE Anmeldeseite angeb
101. able Java Applet Support Aktivieren Sie dieses Feature um es den Benutzern zu erm glichen zu Webseiten mit clientseitigen Java Applets zu wechseln Der IVE Server wird f r den Anwendungsserver wie ein Browser ber SSL behandelt Das IVE verarbeitet alle durch ein Java Applet initiierten HTTP Anforderungen und TCP Verbindungen transparent und verarbeitet signierte Java Applets Wenn Sie dieses Feature aktivieren k nnen die Benutzer Java Applets starten und Anwendungen ausf hren die als clientseitige Java Applets implementiert wurden z B den VNC Java Client Virtual Computing Citrix NFuse Java Client WRQ Reflections Web Client und Lotus WebMail Folgende Optionen sind f r dieses Feature verf gbar Enabled with full network connectivity Durch diese Option k nnen signierte Java Applets eine Verbindung mit jedem beliebigen Server aufbauen Enabled with access control see Java Access Control Durch diese Option k nnen Sie angeben mit welchen Servern und Ports ein Applet eine Verbindung herstellen kann Limited HTTP enabled but no socket connectivity Durch diese Option k nnen Java Applets eine Verbindung mit Servern aufbauen die nur HTTP oder HTTPS verwenden Disabled Diese Option verhindert dass das IVE Java Applets bedient Wenn ein Benutzer zu einer Webseite mit einem Java Applet wechselt wird auf der Webseite an der Stelle an der normalerweise das Java Applet angezeigt wird ein graues
102. ack montiert werden kann Sobald eine Verbindung mit Ihrem Netzwerk besteht m ssen Sie an der seriellen Konsole nur noch einige anf ngliche System und Netzwerkeinstellungen eingeben um den Zugriff auf die Administratorkonsole zu erhalten Die Administratorkonsole ist die webbasierte Schnittstelle ber die Sie das IVE den Anforderungen Ihres Unternehmens entsprechend konfigurieren und verwalten k nnen Die folgenden Features erm glichen eine problemlose Bereitstellung und effiziente Wartung des Systems Einfache Serverintegration Das IVE l sst sich in vorhandene Authentifizierungs server LDAP RADIUS NIS Windows NT Dom ne Active Directory und RSA ACE Server des Unternehmens integrieren Sie m ssen keine nderungen an den internen Webservern Dateiservern oder Netzwerken vornehmen Zertifikatauthentifizierung Sch tzt Anwendungen ohne nderungen an den internen Ressourcen Sie w hlen lediglich die digitalen Zertifikate als Teil des Authentifizierungsschemas f r das IVE aus Aktualisierungsoption f r clientseitige digitale Zertifikate Hohe Verf gbarkeit und Redundanz Keine Ausfallzeit f r die Benutzer im seltenen Fall eines Systemausfalls und Stateful Peering durch das die Benutzereinstellungen die Systemeinstellungen und die Sitzungsdaten der Benutzer synchronisiert werden Aktualisierungsoption f r Cluster Einfache Firewallrichtlinien Von au en ist nur ein SSL Zugriff auf die Neoter
103. aften 1 W hlen Sie in der Administratorkonsole eines aktiven Clustermitglieds die Registerkarte Network gt Clustering gt Properties aus 2 Nehmen Sie die gew nschten nderungen vor und klicken Sie dann auf Save Changes Die Clusterbezeichnung k nnen Sie im Feld Cluster Name ndern Um die Konfigurationseinstellung f r ein Clusterpaar festzulegen w hlen Sie Active Passive oder Active Active aus F r eine Aktiv Passiv Konfiguration geben Sie eine interne VIP virtuelle IP Adresse und sofern der externe Port aktiviert ist eine externe VIP an Hinweis Der Bereich Configuration Settings wird nur f r Clusterpaare angezeigt W hlen Sie die gew nschten Synchronisierungseinstellungen aus Geben Sie dabei auch das zu verwendende Synchronisierungsprotokoll an und legen Sie fest ob Protokollmeldungen synchronisiert werden sollen Erl uterungen der der Synchronisierungseinstellungen finden Sie auf Seite 233 So l schen Sie einen Cluster 1 W hlen Sie in der Administratorkonsole eines aktiven Clustermitglieds die Registerkarte Network gt Clustering gt Properties aus 2 W hlen Sie Delete Cluster aus Nach Beendigung des Vorgangs werden alle Clusterknoten als eigenst ndige IVEs ausgef hrt Registerkarte Properties 263 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Abbildung 108 Network gt Clustering gt Properties Die Registerkarte Properties enth lt keinen
104. ammenfassung der Einstellungen f r Autorisierungsgruppen 127 bersicht ber Network Connect 129 Aktivieren und Konfigurieren Network Connect 130 Angeben von Zeitbegrenzungen und Roamingfunktionen f r Autorisierungsgruppen 133 Angeben von Benutzeranmeldeinformationen und der Best ndigkeit von IVE Sitzungscookies 135 berpr fen der Zuordnungen von Servern zu Gruppen 137 Einschr nken der m glichen IP Adressen f r die Benutzeranmeldung 138 Einschr nken der m glichen Browser f r die Benutzeranmeldung 139 Festlegen dass Clientcomputer ber ein g ltiges Zertifikat verf gen m ssen 142 Durchf hren einer clientseitigen berpr fung der Software f r die Endpunktsicherheit 145 Festlegen von allgemeinen Einstellungen f r Webbrowsing 148 Konfigurieren von Hosts f r die Option zum selektiven Neuschreiben 152 vi
105. anschlie end eine Gruppe aus 2 W hlen Sie aus den Gruppenregisterkarten Authentication gt Authentication Server Abbildung 59 Authentication amp Authorization gt Authorization Groups gt GroupName gt Authentication gt Authentication Server Authentication gt Unterregisterkarte Authentication Server KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 138 Einschr nken der m glichen IP Adressen f r die Benutzeranmeldung Auf dieser Registerkarte k nnen Sie den Benutzerzugriff auf die Autorisierungs gruppe einschr nken indem Sie die IP Adressen festlegen ber die sich Benutzer im IVE anmelden k nnen So schr nken Sie die IP Adressen ein ber die sich Benutzer anmelden k nnen 1 W hlen Sie in der Administratorkonsole das Men Authentication amp Authorization gt Authorization Groups und anschlie end eine Gruppe aus 2 W hlen Sie aus den Gruppenregisterkarten Authentication gt Address Restrictions aus 3 W hlen Sie eine der folgenden Optionen aus Users can sign in from any IP address um es den Gruppenmitgliedern zu erm glichen sich ber jede beliebige IP Adresse anzumelden Beachten Sie dass Sie diese Option auch dann ausw hlen sollten wenn die Benut zergruppe f r die Anmeldung von Mitgliedern ber beliebige IP Adressen konfiguriert ist Somit stellen Sie sicher dass die Gruppenmitglieder sich auch bei nderungen der Benutzergruppeneinstellung weiterhin
106. as Kennwort dass Sie beim Definieren des Clusters eingegeben haben Der Name des Ger ts das Sie hinzuf gen m chten In diesem Beispiel lautet der Name ive 2 Die interne IP Adresse des Ger ts das Sie hinzuf gen m chten Die Netzmaske des Ger ts das Sie hinzuf gen m chten Das Gateway des Ger ts das Sie hinzuf gen m chten Abbildung 100 Serielle Konsole von Neoteris Angeben von Informationen zu dem neuen Clustermitglied KAPITEL 4 Verwalten von IVE Netzwerkeinstellungen 252 Das von Ihnen angegebene aktive Clustermitglied berpr ft das Clusterkennwort sowie den Namen und die IP Adresse oder Adresse des Ger ts das Sie in der Administratorkonsole auf der Seite Network gt Clustering gt Add Cluster Member angegeben haben Wenn die Anmeldeinformationen g ltig sind wird eine Meldung mit einer bersicht ber die n chsten Schritte des Verfahrens angezeigt Hierzu z hlt das Kopieren s mtlicher Statusdaten von dem aktiven Mitglied auf das neue Clustermitglied einschlie lich Lizenz und Zertifikat sowie aller brigen Statusdaten Abbildung 101 Serielle Konsole von Neoteris Es wurde eine Verbindung mit dem aktiven Clustermitglied hergestellt 6 Geben Sie zum Fortfahren die Nummer ein Wenn die Meldung ber die Best tigung des Clusterbeitritts angezeigt wird berpr fen Sie die Administratorkonsole jedes aktiven Clustermitglieds um sicherzustellen dass der Verbindungsstatus Connect
107. as Token ber das IVE und ohne Benutzerinteraktion an ACE Server 79 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Wenn der Benutzer die neue PIN oder das n chste Token eingibt je nach Modus bleiben drei Minuten f r die Eingabe der erforderlichen Informationen Danach bricht das IVE die Transaktion ab und fordert den Benutzer zur erneuten Eingabe der Anmeldeinformationen auf Wenn die Anzahl der Versuche zur Benutzeranmeldung die zul ssige Anzahl gleichzeitiger Transaktionen bersteigt schl gt der Versuch fehl der Benutzer wird zu einem erneuten Versuch aufgefordert und es wird eine Meldung in das Systemprotokoll geschrieben Das IVE kann eine H chstzahl von 200 gleichzeitigen Transaktionen d h Verbindungen mit ACE Server verarbeiten Der Neoteris IVE Server initiiert eine Transaktion wenn sich ein Benutzer beim Neoteris IVE anmeldet Das Neoteris IVE unterst tzt die folgenden ACE Server Features New PIN Modus Next Token Modus DES SDI Verschl sselung AES Verschl sselung Unterst tzung untergeordneter ACE Server Namenssperrungen und Clustering Das IVE unterst tzt ber das RADIUS Protokoll auch die New PIN und Next Token Modi von RSA SecurID Hinweis Wegen der Einschr nkungen der ACE Server Bibliothek unter UNIX k nnen Sie u U nur eine ACE Server Konfiguration festlegen Informationen zum Erzeugen einer ACE Agent Konfigurationsdatei f r das IVE auf dem ACE Server finden Sie unter
108. ass der vollst ndige Name des Benutzers keine Kommas enthalten darf wie z B Doe John Gruppe1 Gruppe2 GruppeN die Autorisierungsgruppen denen Benutzer zugeordnet werden sollen optional Authentication amp Authorization gt Men Import Users 221 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Beachten Sie beim Erstellen von Textdateien mit Benutzerdatens tzen Folgendes Das IVE unterscheidet in der Datensatzdatei nicht zwischen Gro und Kleinschreibung Joe und joe werden vom IVE als ein und derselbe Benutzer behandelt Sie m ssen jeden einzelnen Benutzerdatensatz in der Datei in einer eigenen Zeile platzieren und diese mit einem festen Zeilenumbruchszeichen abschlie en Jeder Parameter muss von einem Komma gefolgt sein wobei direkt nach dem Komma ohne Leerzeichen der n chste Parameter anschlie t Der erste der beiden folgenden Datens tze ist beispielsweise g ltig der zweite hingegen nicht sally1 meinkennwort Sally Reed DoktorenGruppe Benutzer sally1 meinkennwort Sally Reed DoktorenGruppe Benutzer Es m ssen nicht in jedem Datensatz alle oben beschriebenen Parameter angegeben werden Benutzername Kennwort Vollst ndiger Name Gruppe Wenn Sie jedoch einige Parameter angeben und andere nicht m ssen Sie f r die nicht angegebenen Null Parameter Kommas einf gen Wenn Sie z B einen neuen Benutzer mit dem Namen John mit dem
109. ator CCNS ausw hlt entfernt das Vermittlungsmodul die Cache Control Header des Ursprungsservers und f gt stattdessen einen Antwortheader vom Typ cache control no store hinzu falls die vom Browser gesendete user agent Zeichenfolge das Element msie oder windows media player enth lt Bei anderen Benutzer Agenten f gt das IVE die Antwortheader PNC und CCNS hinzu und leitet die Cacheheader des Ursprungsservers nicht weiter Wenn Sie festlegen das Inhalte nicht als nicht zwischenspeicherungsf hig markiert werden indem Sie beispielsweise die Richtlinien des Ursprungsservers nicht ndern f gt das IVE nicht den Antwortheader pragma no cache oder cache control no store hinzu sondern leitet die Cacheheader des Ursprungsservers weiter Security gt Unterregisterkarte Content Caching 14 Falls keine der festgelegten Regeln zutrifft berpr ft das IVE die vom Vermitt lungsmodul verwendeten hartcodierten Regeln Zwischenspeicherung zulassen Das IVE f gt den Antwortheader pragma no cache oder cache control no store nicht hinzu und leitet die Cacheheader des Ursprungsservers weiter Zwischenspeicherung nur f r Bilder unter einer bestimmten Gr e zulassen Das IVE berpr ft den content type Header des Ursprungsservers der mit image beginnen muss sowie den content length Header der eine kleinere Gr e als die angegebene Maximalgr e angeben Falls das IVE feststellt dass sich eine An
110. aufgefordert f r die Auswahl von Optionen die Tab Taste zu dr cken Dr cken Sie die Tab Taste Wenn Sie gefragt werden welche Konfiguration geladen werden soll geben Sie factory reset ein und dr cken Sie dann die Eingabetaste Abbildung 116 Neoteris Serielle Konsole Nach dem Klicken auf Reboot Now auf der Seite General gt Status zweiter Bildschirm Hinweis Wenn Sie beim Ausw hlen l nger als 5 Sekunden warten wird automatisch die aktuelle Systemkonfiguration geladen Sie m ssen dann zur ck in die Administratorkonsole wechseln und auf Reboot Now klicken um den Vorgang erneut zu starten 279 Neoteris Instant Virtual Extranet Appliance Administratorhandbuch 6 Wenn Sie aufgefordert werden das Zur cksetzen auf die Werkseinstel lungen zu best tigen geben Sie proceed ein und dr cken Sie dann die Eingabetaste Abbildung 117 Neoteris Serielle Konsole Hier wurde das Zur cksetzen auf die Werkseinstellungen ausgew hlt Das System beginnt mit dem Zur cksetzen des Ger ts auf die Originale instellungen und gibt dabei mehrere Bildschirme mit Daten aus Nach einigen Minuten werden Sie aufgefordert f r die Auswahl von Konfigurationsoptionen die Tab Taste zu dr cken Abbildung 118 Neoteris Serielle Konsole Nach dem Zur cksetzen auf die Werkseinstellungen ANHANG A Verwenden der seriellen Konsole von Neoteris 280 7 Wenn Sie zum Dr cken der Tab Taste aufgefordert werden gibt es folgende M glichkeiten
111. baren Lizenzvereinbarung handelt es sich um denselben Text der w hrend des ersten Setups an der seriellen Konsole angezeigt wird So geben Sie eine IVE Lizenz ein oder aktualisieren Sie diese 1 Klicken Sie in der Administratorkonsole auf die Registerkarte System gt Settings gt License 2 Klicken Sie auf die Verkn pfung license agreement Lesen Sie die Lizenzvereinbarung Falls Sie mit den Bestimmungen einverstanden sind fahren Sie mit dem n chsten Schritt fort 3 Geben Sie den Firmennamen und den Lizenzschl ssel ein und klicken Sie dann auf Enter 9 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Abbildung 3 System gt Settings gt License ndern systemweiter Sicherheits und Leistungseinstellungen ber die Seiten des Men s Security k nnen Sie die standardm igen Sicherheitseinstellungen f r den Neoteris IVE Server ndern Wir empfehlen die Standardsicherheitseinstellungen zu verwenden die h chste Sicherheit bereitstellen Falls die Benutzer bestimmte Browser nicht verwenden oder auf bestimmte Webseiten nicht zugreifen k nnen m ssen Sie diese Einstellungen jedoch m glicherweise ndern Falls diese Probleme bei Benutzern auftreten sollten sie eine Anpassung der folgenden Einstellungen in Erw gung ziehen Security gt Unterregisterkarte General KAPITEL 2 Verwalten von systemweiten Einstellungen 10 Zul ssige SSL bzw TLS Version F r den Neoteris IVE Server si
112. bedingt bei jeder nderung an der Quelldatei Ebenso m ssen Sie wenn Sie die Instanzdatei aus dem IVE l schen zur Konfigurationsverwaltungsanwendung f r ACE Server wechseln wie unter Generieren einer ACE Agent Konfigurationsdatei auf Seite 117 beschrieben und das Kontrollk stchen Sent Node Secret deaktivieren 3 Informationen zum Erstellen der ACE Serverkonfigurationsdatei finden Sie unter Generieren einer ACE Agent Konfigurationsdatei auf Seite 117 4 Geben Sie unter Authorization Group Settings eine Option zum Zuordnen von Benutzern zu Gruppen ein Eine Beschreibung dieser Optionen finden Sie auf Seite 93 5 Klicken Sie auf Save Changes Die Registerkarten Group Mapping und Users werden angezeigt 6 Fahren Sie mit Schritt 2 Angeben von Informationen f r die Gruppenzuordnung auf Seite 98 fort Hinweis Sie k nnen nur eine ACE Serverinstanz hinzuf gen 117 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Generieren einer ACE Agent Konfigurationsdatei Wenn Sie ACE Server f r die Authentifizierung verwenden m ssen Sie auf dem ACE Server eine ACE Agent Konfigurationsdatei sdconf rec f r das IVE generieren So generieren Sie eine ACE Agent Konfigurationsdatei 1 Starten Sie die Konfigurationsverwaltungsanwendung f r ACE Server und klicken Sie auf Agent Host 2 Klicken Sie auf Add Agent Host 3 Geben Sie unter Name einen Namen f r den IVE Agenten ein 4 Geben Si
113. bildung 65 Authentication amp Authorization gt Authorization Groups gt GroupName gt Web gt General KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 158 Zugriffssteuerung f r Webressourcen Sie k nnen angeben auf welche Webressourcen Benutzer zugreifen k nnen um eine Verbindung mit dem Internet Intranet oder Extranet aufzubauen Es gibt zwei Optionen um das Standardverhalten festzulegen Eine open policy Standard mit der der Zugriff auf alle Webressourcen gew hrt wird mit Ausnahme derer in der Liste Denied Resource Eine closed policy mit der der Zugriff auf alle Webressourcen verweigert wird mit Ausnahme derer in der Liste Allowed Resource Sie k nnen Webressourcen nach URL oder IP Bereich zulassen bzw verwei gern F r URLs k nnen Sie die Platzhalter und verwenden um mehrere Hostnamen und Pfade effektiv anzugeben F r Ressourcen die Sie nach Host namen angeben k nnen Sie au erdem entweder HTTP HTTPS oder beide Protokolle ausw hlen So steuern Sie den Zugriff auf Webressourcen 1 W hlen Sie in der Administratorkonsole das Men Authentication amp Authorization gt Authorization Groups und anschlie end eine Gruppe aus 2 W hlen Sie aus den Gruppenregisterkarten Web gt Access Control aus Benutzerdefinierte Autorisierungsgruppen erben standardm ig die Einstel lungen der Benutzergruppe Klicken Sie zum Festlegen benutzerdefinierter Einstellu
114. bnetz befindet Wenn Sie diese Option ausw hlen geben Sie eine Netzmaske an die das Subnetz definiert Disabled maximize security Benutzer die sich von einer IP Adresse aus anmelden k nnen eine aktive IVE Sitzung nicht von einer anderen IP Adresse aus fortsetzen Benutzersitzungen sind an die urspr ngliche Quell IP Adresse gebunden 5 Klicken Sie auf Save Changes Abbildung 57 Authentication amp Authorization gt GroupName gt General gt Session 135 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Angeben von Benutzeranmeldeinformationen und der Best ndigkeit von IVE Sitzungscookies Auf dieser Registerkarte k nnen Sie die Best ndigkeit von Benutzeranmeldein formationen ber mehrere Sitzungen sowie die Best ndigkeit einer IVE Sitzung ber Browserinstanzen angeben So geben Sie Benutzeranmeldeinformationen und die Best ndigkeit von IVE Sitzungscookies an 1 W hlen Sie in der Administratorkonsole das Men Authentication amp Authorization gt Authorization Groups und anschlie end eine Gruppe aus 2 W hlen Sie aus den Gruppenregisterkarten General gt Options aus 3 Aktivieren oder deaktivieren Sie die jeweiligen Optionen und klicken Sie anschlie end auf Save changes Folgende Optionen stehen zur Verf gung Enable Persistent Password Caching Der Neoteris IVE Server unterst tzt die NTLM und HTTP Standard authentifizierung sowie Server die sowohl f r NTLM Anmeld
115. bsite aufgef hrt werden die nicht ordnungsgem angezeigt wird Wenn Sie diese Option verwenden erzwingt das IVE eine erneute Anmeldung des angegebenen Benutzers und beginnt dann mit der Aufzeichnung s mtlicher Benutzeraktionen Beachten Sie dass das IVE die Benutzer ber die Aufzeichnung der Benutzeraktionen benachrichtigt So zeichnen Sie eine Ablaufverfolgungsdatei auf 1 Klicken Sie in der Administratorkonsole auf die Registerkarte System gt Settings gt Debugging gt Trace 2 Geben Sie den Benutzernamen des Benutzers ein und klicken Sie auf Start Recording 3 Weisen Sie den Benutzer an zu der problematischen Website zu navigieren 4 Klicken Sie auf Stop Recording 5 Klicken Sie auf Download um die Datei auf einen Netzwerkcomputer herunterzuladen Entfernen Sie alle vertraulichen Daten mithilfe eines Text Editors 6 Senden Sie die Datei zur berpr fung per E Mail an die folgende Adresse help support neoteris com Debugging gt Unterregisterkarte Trace 27 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Abbildung 11 System gt Settings gt Debugging gt Trace Erstellen eines Snapshots des IVE Systemstatus Erstellen Sie auf dieser Registerkarte einen Snapshot des IVE Systemstatus Wenn Sie diese Option verwenden f hrt das IVE verschiedene Dienstpro gramme aus um Details zum IVE Systemstatus zu erfassen beispielsweise zum belegten Speicherplatz zur Auslagerungsleis
116. d Lesezeichen 64 System gt Men Install Service Package 66 Installieren eines Neoteris Softwaredienstpakets 66 System gt Men Secure Meetings 67 Aktivieren von E Mail Benachrichtigungen f r Konferenzen 68 Anzeigen und Absagen geplanter Konferenzen 70 Kapitel3 Verwalten der Authentifizierung und Autorisierung f r IVE 71 bersicht ber Authentifizierung und Autorisierung 72 Unterst tzte Authentifizierungsserver 75 Lokaler IVE Authentifizierungsserver 75 Active Directory oder Windows NT Dom ne 75 LDAP Server 76 NIS Server 76 RADIUS Server
117. d geben Sie die erforderlichen Informationen ein die durch ein Sternchen gekennzeichnet sind Wenn Sie einen Namen und eine Beschreibung f r ein Lesezeichen angeben werden diese Informationen auf der Seite Terminal Sessions angezeigt 6 Klicken Sie auf Add Bookmark um das Lesezeichen auf der Seite Terminal Sessions hinzuzuf gen Applications gt Unterregisterkarte Terminal Sessions KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 186 Abbildung 75 Authentication amp Authorization gt Authorization Groups gt GroupName gt Applications gt Terminal Sessions 187 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Die Secure Application Manager Aktualisierungsoption stellt sicheren Remotezugriff auf Anwendungsebene von Clientanwendungen auf Unternehmensserver bereit Sie k nnen zwei Versionen von Secure Application Manager bereitstellen Windows Version W SAM Die Windows Version von Secure Application Manager ist eine Windows 32 L sung f r sicheres transparentes Umleiten von ausgehenden TCP Verbindungen ber ein IVE Ger t f r jeweils eine Anwendung oder einen Host Die Software wird von einem im IVE gehosteten ActiveX Steuerelement heruntergeladen und gestartet Java Version J SAM Die Java Version von Secure Application Manager bietet Unterst tzung f r statische TCP Port Client Server Anwendungen darunter erweiterte Unterst tzung f r Microsoft MAPI
118. den wenn Benutzern die beim Abmelden standardm ig angezeigte IVE Anmeldeseite nicht angezeigt werden soll 5 Geben Sie im Feld Policy Server Poll Interval das Intervall ein in dem der SiteMinder Richtlinienserver den Verschl sselungsschl ssel f r die Kommunikation mit den Web Agenten ndert Das IVE sucht im angegebenen Intervall nach einem neuen Schl ssel 6 Zur Leistungssteigerung k nnen Sie ggf die Einstellungen f r die Verbindung und f r Leerlaufzeitlimits abstimmen Beachten Sie jedoch die empfohlenen Standardeinstellungen Maximum Number of Connections to Policy Server 20 Maximum Number of Requests Per Policy Server Connection 1000 Policy Server Connection Idle Timeout none 7 ndern Sie ggf die Ports die das IVE f r Verbindungen mit dem SiteMinder Richtlinienserver verwendet Im Folgenden finden Sie die Standardeinstellungen Policy Server Accounting Port 44441 Policy Server Authentication Port 44442 Policy Server Authorization Port 44443 KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 120 8 Unter Protected resource and action 1 Wir empfehlen die Standardeinstellung siteminder im Feld Protected Resource zu akzeptieren Wenn sich ein Benutzer anmeldet wird er mit dieser vom Administrator angegebenen gesch tzten Ressource ber den SiteMinder Richtlinienserver authentifiziert 2 Geben Sie die Ressourcenaktion ein die der f r den Sit
119. den Sie sich in einem Browserfenster an der Administratorkonsole an 3 W hlen Sie im Hauptmen General gt Status aus 4 Klicken Sie auf der Seite Status auf Reboot Now und wechseln Sie dann wieder zum Konsolenprogrammfenster zur ck Im Fenster werden Sie in einer Meldung informiert dass das System neu gestartet wird Abbildung 113 Neoteris Serielle Konsole Nach dem Klicken auf Reboot Now auf der Seite General gt Status ANHANG A Verwenden der seriellen Konsole von Neoteris 276 5 Nach kurzer Zeit werden Sie aufgefordert f r die Auswahl von Optionen die Tab Taste zu dr cken Dr cken Sie die Tab Taste Wenn Sie gefragt werden welche Konfiguration geladen werden soll geben Sie rollback ein und dr cken Sie dann die Eingabetaste Abbildung 114 Neoteris Serielle Konsole Nach dem Klicken auf Reboot Now auf der Seite General gt Status zweiter Bildschirm Hinweis Wenn Sie beim Ausw hlen l nger als 5 Sekunden warten wird automatisch die aktuelle Systemkonfiguration geladen Sie m ssen dann zur ck in die Administratorkonsole wechseln und auf Reboot Now klicken um den Vorgang erneut zu starten Wenn Sie bereits ein Systemrollback durchgef hrt haben ist die Rollbackoption erst wieder verf gbar wenn Sie die Serversoftware erneut aktualisieren Der Rollbackstatus des Servers wird auf den Bildschirm ausgegeben Wenn der Vorgang abgeschlossen ist werden Sie zum Dr cken der Eingabetaste aufgefordert
120. den externen DNS Server konfigurieren Weitere Informationen erhalten Sie unter Konfigurieren der externen DNS Server und Benutzercomputer falls erforderlich auf Seite 201 User Users setting Wendet die Einstellungen der Benutzergruppe an Enabled automatically edit local hosts file Secure Application Manager bearbeitet die Datei hosts des Windows PCs und ersetzt Eintr ge von Windows Anwendungsservern durch localhost Diese Eintr ge werden auf die Originaldaten zur ckge setzt wenn ein Benutzer Secure Application Manager schlie t Disabled Secure Application Manager kann die Datei hosts des Windows PCs nicht bearbeiten und die Eintr ge von Windows Anwendungsservern nicht durch localhost ersetzen Sie m ssen stattdessen den externen DNS Server so konfigurieren dass die Anwendungsserver dem lokalen PC eines Benutzers zugeordnet werden KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 184 Enable Automatic Host Mapping for MS Exchange Servers Java Version Only Der PC eines Remotebenutzers muss MS Exchange Server in die Adresse 127 0 01 aufl sen Wenn Sie die automatische Hostzuordnung f r MS Exchange Server nicht aktivieren m chten m ssen Sie den externen DNS Server so konfigurieren dass MS Exchange Servernamen in die PC Adresse eines Benutzers aufgel st werden und den PC konfigurieren Die Java Version von Secure Application Manager kann nur dann verwendet w
121. der berpr fung des Benutzers sendet der Authentifizierungsserver eine Genehmigung und bei entsprechender Konfiguration die Gruppeninformationen des Benutzers an das IVE Das IVE weist den Benutzer dann einer Autorisierungsgruppe zu Das IVE unterst tzt die folgenden Authentifizierungsserver Lokaler IVE Authentifizierungsserver 75 Active Directory oder Windows NT Dom ne 75 LDAP Server 76 NIS Server 76 RADIUS Server 77 ACE Server 78 Um einen Authentifizierungsserver zu erstellen m ssen Sie den Server zun chst ber die Optionen auf der Seite Settings einer Autorisierungsgruppe zuordnen Weitere Informationen finden Sie unter Autorisierungsgruppen auf 73 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Seite 73 Wenn Sie anschlie end die Servereinstellungen speichern werden die folgenden Registerkarten angezeigt Group Mapping Auf der Registerkarte Group Mapping legen Sie Reg
122. deren benutzerdefinierten Ordner verschoben Wenn Benutzer m chten das gesendete Nachrichten im Ordner Gesendete Objekte von Microsoft Exchange Server angezeigt werden m ssen sie sie manuell aus dem Netscape Ordner f r gesendete Objekte in den Ordner Gesendete Objekte ziehen Exchange Server und POP Clients Falls es sich bei dem firmeneigenen Mailserver um Exchange Server handelt ist der B rocomputer eines Mitarbeiters wahrscheinlich f r die Verwendung des E Mail Clients Outlook 2000 oder 2002 im systemeigenen MAPI Modus konfiguriert Laptopbenutzer in der Firma Diese Benutzer k nnen f r den Remotezugriff auf Exchange Server ber das Neoteris IVE einen der unterst tzten Outlook Express Clients verwenden Benutzer mit Heimcomputern Diese Benutzer k nnen f r den Remotezugriff auf Exchange Server ber das Neoteris IVE einen der vier Outlook Clients verwenden wobei davon ausgegangen wird dass auf dem Remotecomputer kein MAPI Konto konfiguriert ist Die Netscape E Mail Clients k nnen nicht im POP Modus f r den Remotezugriff verwendet werden da sie S POP nicht unterst tzen Dieses Protokoll wird jedoch vom Neoteris IVE Server f r die sichere Daten bertragung gefordert 239 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Exchange Server und Outlook Web Access Um auf dem Exchange Server OWA Zugriff zur Verf gung zu stellen und es Benutzern zu erm glichen ber die Webbrowsingfunktio
123. dern der Datei hosts F r Linux Benutzer gibt es u a folgende Alternativen Sie k nnen Ihren externen DNS Server zum Aufl sen von Anwendungsservern zum lokalen Host konfigurieren Siehe Hinweis Benutzer k nnen eine Clientanwendung so konfigurieren dass die vom IVE zugewiesene Adresse des lokalen Hosts an der Stelle verwendet werden kann an der sie normalerweise den Hostnamen des Anwendungs servers eingeben Siehe Hinweis 195 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Hinweis Wenn Sie Ihren externen DNS Server so konfigurieren dass er eine lokale Hostadresse anstelle des Hostnamens des Anwendungsservers verwendet m ssen Remotebenutzer die Reihenfolge in der ihr Computer nach DNS Servern sucht so konfigurieren dass mit der Firmen DNS begonnen wird Weil Benutzer f r Anwendungen die sie f r Portweiterleitung hinzuf gen den DNS Firmenserver nicht ndern k nnen m ssen sie die Anwendung so konfigurieren dass diese die vom IVE zugewiesene Adresse des lokalen Hosts f r den festgelegten Clientport verwendet Im Fensterausschnitt Details des J SAM Browserfensters wird die vom IVE zugewiesene IP Loopbackadresse zusammen mit dem vom Benutzer festgelegten Port angezeigt Linux Benutzer haben keinen Zugriff auf Ports unter 1024 wenn sie auf Ihrem Computer nicht als root angemeldet sind Wenn Linux Benutzer Anwendungen wie Telnet und Browseranwendungen die Ports unter
124. dnung f r MS Exchange Server User Users setting Wendet die Einstellungen der Benutzergruppe an Enabled automatically edit local hosts file Wendet die Einstellungen der Benutzergruppe an Disabled Deaktiviert diese Option 185 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Erstellen von Lesezeichen f r sichere Terminalsitzungen Auf dieser Registerkarte legen Sie Informationen zu Terminalsitzungen f r Telnet oder SSH Sitzungen fest die Benutzer m glicherweise starten Wenn Sie die Aktualisierungsoption f r den sicheren Terminalzugriff aktivieren siehe Seite 179 den Benutzern jedoch nicht die M glichkeit bieten eigene Lesezeichen zu erstellen m ssen Sie unbedingt die Lesezeichen der Terminalsitzungen f r sie konfigurieren Andernfalls k nnen Benutzer diese Funktion nicht nutzen Hinweis Gegenw rtig wird die Sun JVM in der Version 1 4 1 oder h her unterst tzt So erstellen Sie Lesezeichen f r sichere Terminalsitzungen 1 W hlen Sie in der Administratorkonsole das Men Authentication amp Authorization gt Authorization Groups und anschlie end eine Gruppe aus 2 W hlen Sie aus den Gruppenregisterkarten Applications gt General aus 3 Stellen Sie unter Enable Secure Terminal Access sicher dass eine der Enabled Optionen ausgew hlt ist 4 W hlen Sie aus den Gruppenregisterkarten Applications gt Terminal Sessions aus 5 Klicken Sie auf New un
125. dressen dann an dem festgelegten Port Wenn beispielsweise Datenverkehr f r die Adresse 127 0 1 12 am angegebenen Port vorhanden ist leitet das IVE den Datenverkehr an den Zielhost anw3 meinefirma com weiter 4 Geben Sie im Feld Server Port den Port ein an dem der Remoteserver die Clientverbindungen berwacht Wenn beispielsweise Telnet Verkehr von einem Remotecomputer weitergeleitet werden soll legen Sie sowohl f r den Clientport an dem J SAM berwacht als auch f r den Serverport an dem der Telnet Server berwacht Port 23 fest 5 Aktivieren Sie das Kontrollk stchen Allow proxy to dynamically select an available port wenn J SAM am gleichen Port Daten f r mehrere Hosts berwacht und einen verf gbaren Port ausw hlen soll falls der von Ihnen angegebene Clientport belegt ist Um diese Option verwenden zu k nnen muss es die Clientanwendung erm glichen die Portnummer f r die Verbindung festzulegen 6 Klicken Sie auf Add Die Anwendung wird auf der IVE Seite Client Applications angezeigt 5 W hlen Sie aus den Gruppenregisterkarten Applications gt General aus 6 W hlen Sie unter Enable Automatic Host Mapping Java Version Only die Option Enabled aus und klicken Sie dann auf Save Changes wenn es sich bei den Benutzern um PC Benutzer handelt 199 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Clientanwendungen m ssen Anwendungsserver zur IP Adresse eines lokalen Hosts aufl sen Wenn
126. dung 73 Authentication amp Authorization gt Authorization Groups gt GroupName gt Files gt UNIX Bookmarks KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 176 Aktivieren der Aktualisierungsoption f r den Secure Email Client Welche E Mail Unterst tzung vom IVE gew hrt wird h ngt von den optionalen Funktionen ab die f r den IVE Server lizenziert sind Aktualisierungsoption f r den Secure Email Client Wenn Ihre IVE Lizenz die Aktualisierungsoption f r den Secure Email Client umfasst unterst tzt das IVE IMAP4 Internet Mail Application Protocol POP3 Post Office Protocol und SMTP Simple Mail Transfer Protocol Sie k nnen den Zugriff auf die IMAP POP SMTP Mailserver der Firma ganz einfach aktivieren indem Sie den Mailserver die E Mail Sitzung und die Authentifizierungsinformationen auf der Seite Network gt Email Settings angeben Seite 267 Auf dieser Seite werden die Standardeinstellungen f r alle Gruppen bestimmt Auf der Registerkarte Messaging gt General k nnen Sie die Option f r den Secure Email Client gruppenweise aktivieren oder deaktivieren Wichtig Wenn Sie das IVE auf der Seite Network gt Email Settings nicht als E Mail Proxy zulassen kann die Option f r den Secure Email Client von keiner Gruppe verwendet werden Aktualisierungsoption f r Secure Application Manager Wenn Ihre IVE Lizenz die Aktualisierungsoption f r Secure Application Manager umfasst unterst
127. e E Mail an die Adresse help support neoteris com oder f llen Sie unter http support neoteris com ein Supportformular aus Ein Software Servicepaket erhalten Sie unter http support neoteris com Informationen ber das Aktualisieren der Konfiguration finden Sie unter www neoteris com oder schreiben Sie eine E Mail an sales neoteris com xiv 1 Kapitel1 Einf hrung in die Neoteris IVE Appliance Mit der Neoteris IVE Appliance Instant Virtual Extranet k nnen Sie Mitarbeitern Partnern und Kunden ber einen beliebigen Webbrowser berall einen sicheren und gesteuerten Zugriff auf die Dateiserver und Webserver des Unternehmens auf systemeigene Nachrichten und E Mail Clients auf gehostete Server und vieles mehr geben Was ist IVE Das IVE von Neoteris ist eine so genannte Netzwerkappliance die stabile Sicherheit bietet indem sie als Zwischenglied f r die Datenstr me fungiert die zwischen externen Benutzern und internen Ressourcen bertragen werden Zu diesen geh ren MS Terminal Server MS Exchange Server Lotus Notes Server Internet E Mail Server Terminal basierte Anwendungen IBM 3270 VT100 Dokumente auf Dateiservern Webbasierte Unternehmensanwendungen Intranetseiten Durch das Neoteris IVE wird es berfl ssig in einem herk mmlichen DMZ Toolkits f r Extranets bereitzustellen oder den Mitarbeitern ein VPN Virtual Private Net
128. e Gruppenzuordnung 99 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Wenn Sie Benutzer IVE Autorisierungsgruppen nach Benutzernamen zuordnen m chten f hren Sie die folgenden Schritte aus 1 Geben Sie im Feld Rule 1 die Benutzernamen ein die Sie einer IVE Autorisierungsgruppe zuordnen m chten Geben Sie pro Zeile einen Benutzernamen ein 2 W hlen Sie die IVE Authentifizierungsgruppe aus der alle authentifizierten Benutzer zugeordnet werden die Regel 1 entsprechen 3 Erstellen Sie weitere Regeln zum Behandeln von Benutzernamen die Sie verschiedenen IVE Autorisierungsgruppen zuordnen m chten Wichtig In IVE Version 3 0 k nnen Benutzer pro Sitzung jeweils nur einer Auto risierungsgruppe zugeordnet werden Wenn z B ein LDAP oder ein RADIUS Benutzer in mehreren Gruppen vorhanden ist beispielsweise in Marketing Entwicklung und Firma m ssen Sie f r die Behandlung jeder Gruppe mehrere Instanzen des Authentifizierungsservers einrichten Bei der Anmeldung des Benutzers beim IVE muss er die Authentifizierungsserverinstanz angeben die der Gruppe entspricht der er f r die Sitzung beitreten m chte 2 Geben Sie unter Mapping unmatched users an ob Benutzer auf die keine Regel zutrifft einer bestimmten Gruppe zugeordnet oder ihnen der Zugriff verweigert werden soll 3 Klicken Sie abschlie end auf Save Changes Wenn Sie eine lokale IVE Authentifizierungsserverinstanz erstellt h
129. e Server bei oracle companynetwork net 8000 verf gen k nnten Sie diese Anwendungsparameter bei der Angabe eines IVE Ports angeben Server oracle companynetwork net Port 8000 IVE Port 11000 Wenn das IVE Datenverkehr vom Oracle Client empf ngt der an iveserver IhreFirma com 11000 gesendet wurde leitet er den Verkehr an oracle companynetwork net 8000 weiter Wenn Sie einen Hostnamenalias angeben m chten k nnen Sie die Anwendung mit folgenden Parametern konfigurieren Server oracle companynetwork net Port 8000 IVE Alias oracle IhreFirma com Wenn das IVE Datenverkehr vom Oracle Client empf ngt der an oracle IhreFirma com gesendet wurde leitet er den Datenverkehr an oracle companynetwork net 8000 weiter Wenn Sie Clientanforderungen an das IVE basierend auf dem Hostnamenalias weiterleiten m ssen Sie das IVE au erdem dem externen DNS Server hinzuf gen Diese Option bietet sich an wenn in Ihrem Unternehmen restriktive Richtlinien f r das ffnen von Firewallports f r interne Server oder Server in der DMZ gelten KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 152 Ebenso wie das eigentliche Vermittlungsmodul bietet die Option des Durchgangsproxys eine h here Sicherheit als Secure Application Manager da bei Aktivierung f r eine Anwendung das IVE dem Client erm glicht nur Layer 7 Verkehr an feste Anwendungsports an das Firmennetzwerk zu senden Wenn diese Option aktiviert ist kann das IVE A
130. e auf der Registerkarte Group Mapping erstellt haben KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 94 Authorization group assigned based on querying a group lookup server Diese Option ist mit Ausnahme des lokalen IVE Authentifizierungsservers f r alle Server verf gbar W hlen Sie diese Option aus wenn das IVE Benutzer Autorisierungsgrup pen auf Grundlage der Gruppeninformationen zuordnen soll die von einem LDAP Server zur ckgegeben werden Wenn Sie diese Option f r eine LDAP Serverinstanz ausw hlen authentifiziert das IVE Benutzer mit dem Server der f r die Serverinstanz festgelegt ist und autorisiert Benutzer dann mit dem zus tzlichen LDAP Server den Sie im Dialogfeld Configure Group Lookup Server Seite 97 festlegen Wichtig Wenn Sie diese Option f r Autorisierungsgruppeneinstellungen aus w hlen klicken Sie auf die Schaltfl che Define um auf das Konfigurationsdia logfeld f r Gruppenlookupserver zuzugreifen Weitere Informationen erhalten Sie unter Konfigurieren eines Servers f r das Gruppenlookup auf Seite 97 Authorization group assigned based on username Diese Option ist f r alle Server verf gbar W hlen Sie diese Option aus wenn Benutzer auf Grundlage des Benutzernamens Autorisierungsgruppen zugeordnet werden sollen All users are assigned to Diese Option ist f r alle Server verf gbar W hlen Sie diese Option aus wenn das IVE alle authentifizierte
131. e mit Schritt 2 Angeben von Informationen f r die Gruppenzuordnung auf Seite 98 fort 115 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Abbildung 52 Authentication amp Authorization gt Authentication Servers gt Radius KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 116 Festlegen einer ACE Serverinstanz Verwenden Sie diese Informationen zusammen mit den unter Definieren einer Authentifizierungsserverinstanz auf Seite 92 beschriebenen Schritten So legen Sie einen ACE Server fest 1 Geben Sie einen Namen ein um die Serverinstanz zu bezeichnen Hinweis Wenn die Endbenutzer SecurID Softwaretokens an ACE Server bergeben wie in ACE Server auf Seite 78 beschrieben k nnen Sie die Verwendung von Leerzeichen oder anderen nicht alphanumerischen Zeichen im Namen der Serverinstanz vermeiden Um SecurID Software tokenwerte transparent an ACE Server zu bergeben m ssen Benutzer unter Verwendung des folgenden URLs zur Seite RSA SecurID Authentica tion wechseln https IVE login ServerInstanz wobei IVE die IP Adresse oder den Hostnamen des IVE und ServerInstanz den oben festgelegten Namen darstellt Wenn der Name der Serverinstanz Leer zeichen oder andere nicht alphanumerische Zeichen enth lt muss der Benutzer Escapezeichen z B 20 in den URL einf gen 2 Importieren Sie die RSA ACE Agent Konfigurationsdatei Aktualisieren Sie diese Datei im Neoteris IVE un
132. e unter Network Address die IP Adresse des IVE ein 5 Geben Sie eine auf dem ACE Server konfigurierte Site an 6 W hlen Sie als Agent Type den Typ Communication Server aus 7 W hlen Sie als Encryption Type den Typ DES aus 8 Vergewissern Sie sich dass Sent Node Secret beim Erstellen eines neuen Agenten deaktiviert ist Wenn der ACE Server eine vom IVE gesendete Anforderung erfolgreich authentifiziert w hlt der ACE Server Sent Node Secret aus Wenn der ACE Server sp ter einen neuen Knotenschl ssel an das IVE senden soll gehen Sie bei der n chsten Authentifizierungsanforderung folgenderma en vor 1 Deaktivieren Sie das Kontrollk stchen Sent Node Secret indem Sie auf dieses klicken 2 Melden Sie sich in der IVE Administratorkonsole an und w hlen Sie im Hauptmen den Eintrag Authentication aus 3 W hlen Sie im Untermen die Option External Servers aus 4 Klicken Sie auf den Namen des ACE Servers 5 Klicken Sie auf Delete Node Verification File Durch diese Schritte wird sichergestellt dass der IVE Server und der ACE Server synchronisiert sind Entsprechend sollten Sie auf dem ACE Server das Kontrollk stchen Sent Node Secret deaktivieren wenn Sie die berpr fungsdatei aus dem IVE l schen 9 Klicken Sie auf Assign Acting Servers und w hlen Sie den ACE Server aus 10 Klicken Sie auf Generate Config File Wenn Sie den ACE Server zum IVE hinzuf gen wie in Definieren einer Authentifizierungsse
133. eMinder Richtlinienserver festgelegten Aktion entspricht GET POST PUT usw Weitere Informationen finden Sie unter Konfigurieren des IVE als Web Agent auf einem SiteMinder Richtlinienserver auf Seite 123 9 Unter SMSESSION cookie settings 1 Geben Sie im Feld Cookie Domain die Internetdom ne ein in der das Cookie g ltig ist und an die der Browser des Benutzers Cookieinhalte sendet Diese Cookiedom ne muss mit der IVE Dom ne bereinstimmen 2 Geben Sie im Feld Cookie Provider Domain die Internetdom ne oder eine durch Kommas getrennte Liste von Dom nen ein in der das Cookie g ltig ist und an die das IVE Cookieinhalte sendet Wenn Sie einen Cookieanbieter konfiguriert haben geben Sie die Dom ne des Cookieanbieters ein Andernfalls geben Sie die Dom ne der Web Agenten ein f r die eine Einzelanmeldung gew nscht wird 3 Wenn andere Web Agenten zum Akzeptieren sicherer Cookies konfigu riert wurden w hlen Sie f r Send cookie securely die Option Yes aus Das Cookie wird dann nur ber HTTPS bermittelt Um ein Cookie ber nicht sicheres HTTP zu senden w hlen Sie No 10 Unter SiteMinder Authentication 1 Wenn Benutzer die ber ein g ltiges SMSESSION Cookie verf gen automatisch angemeldet werden sollen aktivieren Sie das Kontroll k stchen Automatic Sign In und w hlen Sie dann eine IVE Gruppe aus Verwenden Sie diese Option um Benutzern die Einzelanmeldung zu erm glichen Diese Option erm glich
134. ebugging gt Commands Debugging gt Unterregisterkarte Commands 31 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Aktivieren von Remotedebugging f r den Neoteris Support Auf dieser Registerkarte k nnen Sie es dem Neoteris Support Team erm glichen auf Ihrem Produktions IVE Debuggingtools auszuf hren Zur Aktivierung dieser Option m ssen Sie mit dem Neoteris Support zusammenarbeiten um einen Debuggingcode sowie einen Host zu erhalten mit dem das IVE die Verbindung herstellt So aktivieren Sie Remotedebugging 1 Wenden Sie sich an den Neoteris Support um die Bedingungen f r eine Remotedebuggingsitzung festzulegen 2 Klicken Sie in der Administratorkonsole auf die Registerkarte System gt Settings gt Debugging gt Remote Debugging 3 Geben Sie den Debuggingcode ein der vom Neoteris Support zur Verf gung gestellt wurde 4 Geben Sie den Hostnamen ein der vom Neoteris Support zur Verf gung gestellt wurde 5 Klicken Sie auf Enable Debugging so dass das Neoteris Support Team auf das IVE zugreifen kann 6 Teilen Sie dem Neoteris Support mit dass auf Ihr IVE zugegriffen werden kann 7 Klicken Sie auf Disable Debugging wenn der Neoteris Support Ihnen mitteilt dass die Remotedebuggingsitzung beendet ist Debugging gt Unterregisterkarte Remote Debugging KAPITEL 2 Verwalten von systemweiten Einstellungen 32 Abbildung 15 System gt Settings gt Debugging gt Remote
135. ees und geben Sie einen entsprechenden Wert f r die maximale Anzahl von Personen ein die gleichzeitig an von Mitgliedern der Autorisierungsgruppe geplanten Konferenzen teilnehmen k nnen Aktivieren Sie das Konrollk stchen Limit duration of meetings und geben Sie einen entsprechenden Wert in Minuten f r die maximale Dauer einer Konferenz ein Wichtig Das IVE begrenzt au erdem die Anzahl von Konferenzen an denen Benutzer teilnehmen k nnen Ein einzelner Benutzer kann pro Computer nur an einer Konferenz teilnehmen Ein einzelner Benutzer kann innerhalb eines Zeitraums von 3 Minuten an h chstens 10 aufeinander folgenden Konferenzen teilnehmen Diese Begrenzungen werden zus tzlich zu den Konferenz und Benutzerbegren zungen angewendet die von Ihrer Secure Meeting Lizenz definiert wurden 219 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch 9 Klicken Sie auf Save Changes Das IVE f gt den sicheren Gateway Homepages der Benutzer in der festgelegten Autorisierungsgruppe eine Verkn pfung mit der Bezeichnung Meeting hinzu Informationen zum Anzeigen von Konferenzen die von Endbenutzern erstellt werden finden Sie unter Anzeigen und Absagen geplanter Konferenzen auf Seite 70 Abbildung 88 Authentication amp Authorization gt GroupName gt Meetings KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 220 Auf der Seite Import Users k nnen Sie anhand einer einfachen
136. eines Webbrowsing 148 UNIX NFS Ressourcen 172 Webressourcen 158 Windows Ressourcen 167 Zugriffssteuerungsliste ACL exportieren 64 importieren 64 Zuordnung von Benutzern zu Gruppen Festlegen einer Option 92 Festlegen von Regeln 98 Zuordnungen von Servern zu Gruppen 137 2001 2003 Neoteris Inc Alle Rechte vorbehalten
137. eines aktiven Clustermitglieds die Registerkarte Network gt Clustering gt Status aus und geben Sie das IVE an das dem Cluster hinzugef gt werden soll Weitere Informationen finden Sie unter So geben Sie ein IVE an das einem bestehenden Cluster hinzugef gt werden soll auf Seite 258 2 Stellen Sie eine Verbindung mit der seriellen Konsole des IVE her Weitere Informationen finden Sie unter Herstellen einer Verbindung mit der seriellen Konsole des IVE auf Seite 273 3 Schalten Sie das IVE aus und dann wieder ein und berwachen Sie beim Neustart die serielle Konsole Nach dem Start der Systemsoftware werden Sie in einer Meldung dar ber informiert dass das Ger t als eigenst ndiges IVE gestartet wird und dass Sie die TAB Taste dr cken m ssen um die Clusteroptionen anzuzeigen Dr cken Sie die TAB Taste wenn Ihnen diese Meldung angezeigt wird Hinweis Sie m ssen die TAB Taste innerhalb von 5 Sekunden dr cken Wenn das Ger t bereits im eigenst ndigen Modus bootet warten Sie bis der Bootvor gang beendet ist und starten Sie das Ger t dann neu Abbildung 99 Serielle Konsole von Neoteris Clusteroptionen 251 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch 4 Geben Sie die Nummer f r den Beitritt zu dem bestehenden Cluster ein 5 Geben Sie die erforderlichen Informationen ein Dies sind Die interne IP Adresse eines aktiven Clustermitglieds Das Clusterkennwort d h d
138. eln fest nach denen das IVE authentifizierte Benutzer einer IVE Autorisierungsgruppe zuordnet Local Users Wenn Sie das lokale IVE als Authentifizierungsserver ausw hlen anstelle eines externen Servers wie LDAP oder Radius m ssen Sie auf der Registerkarte Local Users eine lokale Datenbank f r Benutzerdatens tze erstellen und dabei den Benutzernamen den vollst ndigen Namen und das Kennwort jedes Benutzers festlegen Auf der Seite Local Users werden folgende Elemente angezeigt Lokale Benutzerkonten wenn es sich bei dem Authentifizierungsserver um eine lokale IVE Datenbank handelt Auf dieser Seite k nnen Sie lokale Benutzerkonten verwalten also beispielsweise neue Konten erstellen vorhandene Konten bearbeiten und lokale Benutzerkonten l schen Benutzer die sich im IVE angemeldet haben wenn der Authentifizie rungsserver ein externer Server ist Um die Informationen zu Benutzer konten im IVE auf dem aktuellen Stand zu halten sollten Sie nach dem Entfernen eines Benutzers vom externen Authentifizierungsserver den entsprechenden Benutzernamen auf dieser Seite l schen User Admins Auf der Seite User Admins k nnen Sie begrenzte Verwaltungsaufgaben an ausgew hlte Endbenutzer delegieren Insbesondere k nnen Sie einzelnen Benutzern die Berechtigungen gew hren auf der Startseite des sicheren Gateways ber das Men User Admin einem Authentifizierungsserver Benutzer hinzuzuf gen sowie Benutzer zu l sche
139. en Sie k nnen lokale Benutzerdatens tze f r Benutzer erstellen die normalerweise von einem externen Authentifizierungsserver berpr ft werden den Sie deaktivieren m chten Dies bietet sich auch an wenn Sie schnell eine Gruppe von tempor ren Benutzern erstellen m chten So erstellen Sie lokale Benutzerdatens tze f r die lokale IVE Authentifizierung 1 Klicken Sie f r die in Schritt 1 erstellte Datenbank auf die Registerkarte Local Users 2 Klicken Sie auf der Seite Local Users auf New 3 Geben Sie den Benutzernamen den vollst ndigen Namen des Benutzers und ein Kennwort ein Hinweis In Benutzernamen darf die Zeichenkombination nicht enthalten sein Wenn Sie den Benutzernamen eines Benutzers nach dem Erstellen seines Kontos ndern m chten m ssen Sie ein neues Konto erstellen 4 Klicken Sie auf Save Changes Der Benutzerdatensatz wird der IVE Datenbank hinzugef gt Informationen zum L schen Bearbeiten und Suchen eines Benutzerdatensatzes finden Sie unter Seite 102 103 Schritt 3 Erstellen lokaler Benutzer nur bei lokaler IVE Authentifizierung KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 102 Abbildung 47 Authentication amp Authorization gt Authorization Groups gt New Local User So verwalten Sie ein lokales Benutzerkonto 1 W hlen Sie in der Administratorkonsole das Men Authentication amp Authorization gt Authentication Servers aus 2 W
140. en Sie einen Servernamen ein Sie k nnen auch Ports angeben 4 Klicken Sie auf Save Changes Web gt Unterregisterkarte Java Socket ACL KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 164 Abbildung 68 Authentication amp Authorization gt Authorization Groups gt GroupName gt Web gt Java Socket ACL Steuern des Netzwerkzugriffs unter Windows und UNIX NFS Auf dieser Registerkarte k nnen Sie die Optionen der Benutzer zum Durchsuchen von Windows und UNIX NFS Netzwerken angeben einschlie lich der M glichkeit Ressourcen anzuzeigen und Ordnerlesezeichen zu erstellen Diese Optionen k nnen zusammen mit der Zugriffssteuerungsrichtlinie von Windows Seite 164 bzw UNIX NFS Seite 172 verwendet werden So definieren Sie allgemeine Einstellungen f r das Durchsuchen des Netzwerks 1 W hlen Sie in der Administratorkonsole das Men Authentication amp Authorization gt Authorization Groups und anschlie end eine Gruppe aus 2 W hlen Sie aus den Gruppenregisterkarten Files gt General aus Files gt Unterregisterkarte General 165 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch 3 W hlen Sie die Einstellungen f r die jeweiligen Optionen aus und klicken Sie anschlie end auf Save Changes F r Windows und UNIX NFS stehen unter anderem folgende Optionen zur Verf gung Users can view any allowed resources and add bookmarks Diese Option erm glicht es
141. en der Authentifizierung und Autorisierung f r IVE 110 Wenn lediglich Techniker authentifiziert werden sollen k nnen Sie den statischen DN wie folgt festlegen cn lt USER gt ou eng o neoteris com Wenn alle Personen im Unternehmen authentifiziert werden sollen k nnen Sie den Basis DN wie folgt festlegen o neoteris com Geben Sie optional in Gro buchstaben den Filter lt USER gt an Es empfiehlt sich einen Filter anzugeben der keinen oder einen Benutzer DN zur ckgibt 8 Geben Sie unter Authorization Group Settings eine Option zum Zuordnen von Benutzern zu Gruppen ein Eine Beschreibung dieser Optionen finden Sie auf Seite 93 9 Klicken Sie auf Save Changes Die Registerkarten Group Mapping und Users werden angezeigt 10 Fahren Sie mit Schritt 2 Angeben von Informationen f r die Gruppenzuordnung auf Seite 98 fort 111 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Abbildung 50 Authentication amp Authorization gt Authentication Servers gt LDAP Server KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 112 Festlegen einer NIS Serverinstanz Verwenden Sie diese Informationen zusammen mit den unter Definieren einer Authentifizierungsserverinstanz auf Seite 92 beschriebenen Schritten So legen Sie einen NIS Server fest 1 Geben Sie einen Namen ein um die Serverinstanz zu bezeichnen 2 Geben Sie den Namen oder die IP Adresse des NIS Servers
142. en f r das Lesezeichen an 1 Geben Sie den Hostnamen oder die IP Adresse des Servers und den Pfad zu der Freigabe ein Wenn Sie den Benutzernamen des Benutzers einf gen m chten geben Sie an der entsprechenden Stelle im Pfad lt USER gt in Gro buchstaben ein Wenn Sie einen Namen und eine Beschreibung f r das Lesezeichen angeben werden diese Informationen anstelle des Servers Pfades auf der IVE Startseite angezeigt 2 Klicken Sie auf Add Resource Wenn Sie das Hinzuf gen von Lesezeichen beendet haben w hlen Sie die Gruppenregisterkarte Files gt General aus 3 Vergewissern Sie sich dass die entsprechenden Windows Netzwerkoptionen f r die Autorisierungsgruppe konfiguriert wurden Weitere Informationen finden Sie unter Files gt Unterregisterkarte General auf Seite 164 Files gt Unterregisterkarte UNIX Bookmarks 175 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Zus tzliche Aufgaben Klicken Sie zum Bearbeiten eines Lesezeichens auf dessen Namen und f hren Sie die nderungen dann entsprechend den oben angegebenen Richtlinien durch Um ein Lesezeichen zu l schen aktivieren Sie das Kontrollk stchen neben dem jeweiligen Namen und klicken Sie auf Delete Klicken Sie zum Sortieren von Lesezeichen auf Sort markieren Sie ein Lesezeichen ndern Sie die Position ber die Schaltfl che Nach oben oder Nach unten und klicken Sie dann auf Save Changes Abbil
143. ent Sie m ssen diese Server auf der Unterregisterkarte Applications gt MS Exchange konfigurieren Sie k nnen auf diese Unterregisterkarte auch zugreifen indem Sie in dieser Option auf die Verkn pfung MS Exchange klicken Weitere Informationen zum Erstellen der Zugriffssteuerungsliste finden Sie unter Angeben zul ssiger MS Exchange Server auf Seite 207 Enabled Erm glicht den Zugriff auf alle Microsoft Exchange Server Disabled Deaktiviert diese Option Enable Lotus Notes Wenn der IVE Server mit dem optionalen Secure Messaging lizenziert ist unterst tzt das IVE das Lotus Notes Protokoll Remotebenutzer k nnen Lotus Notes auf ihrem PC verwenden um ber das IVE auf E Mail Kalender und weitere Lotus Notes Anwendungen zuzugreifen Daf r ist keine Verbindung auf Netzwerkebene wie z B ein VPN erforderlich Secure Messaging wird auf PCs unter Windows 2000 mit Internet Explorer 5 5 oder 6 0 und der Microsoft JVM unterst tzt User Users setting Wendet die Einstellungen der Benutzergruppe an Enabled with access control Specify allowed Lotus Notes Servers Erm glicht den Zugriff auf die angegebenen Lotus Notes Server Sie m ssen diese Server auf der Unterregisterkarte Applications gt Lotus Notes konfigurieren Sie k nnen auf diese Unterregisterkarte auch zugreifen indem Sie in dieser Option auf die Verkn pfung Lotus Notes klicken Weitere Informationen zum Erstellen der Zugrif
144. ent f r den Remotezugriff verwenden Der Outlook 2002 Client bietet Unterst tzung f r gleichzeitige MAPI und IMAP Serverkonfigurationen Er unterst tzt jedoch den IMAP Zugriff nicht wenn das MAPI Konto offline ist und verhindert hierdurch dass Remotebenutzer E Mail Nachrichten abrufen k nnen KAPITEL 4 Verwalten von IVE Netzwerkeinstellungen 238 Sie sollten die gel schten E Mail Nachrichten zun chst im Posteingang von Outlook Express lassen und dann bei der n chsten Anmeldung bei Outlook 2000 oder 2002 die gel schten E Mail Nachrichten in den Ordner Gel schte Objekte verschieben Bei Verwendung von Netscape E Mail Clients Gel schte E Mail Nachrichten werden in den Papierkorbordner von Netscape verschoben und im Posteingang von Netscape nicht mehr angezeigt Aus dem Posteingang von Outlook 2000 oder 2002 werden sie jedoch erst dann entfernt wenn die Benutzer folgenderma en vorgehen 1 Sie sollten Netscape so konfigurieren dass gel schte Nachrichten in den Papierkorbordner verschoben werden und die Option zum Leeren des Posteingangs bei Beendigung des Programms aktivieren 2 Sie sollten immer nur eines der Programme ausf hren und schlie en wenn Sie Ihre Arbeit beendet haben Der Posteingang des anderen Programms wird dann mit dem Server synchronisiert sodass die gleichen Nachrichten angezeigt werden Gesendete E Mail Nachrichten werden au erdem in den Netscape Ordner f r gesendete Objekte oder einen an
145. entanwendung Die Anwendung l st den Remoteserver zum lokalen Host auf KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 196 2 Die Clientanwendung nimmt Verbindung mit dem auf dem Computer des Benutzers ausgef hrten J SAM auf und beginnt mit dem Senden von Anforderungen 3 J SAM kapselt alle Clientanforderungen und leitet diese ber SSL an das IVE weiter 4 Das IVE entkapselt die Clientdaten und leitet sie zum festgelegten Anwendungsserver weiter 5 Der Anwendungsserver antwortet mit Daten an den IVE Server 6 Das IVE kapselt die Antwort und leitet die Antwort vom Anwendungsserver ber SSL an J SAM weiter 7 J SAM entkapselt die Anwendungsserverdaten und leitet sie an die Clientanwendung weiter Abbildung 79 Java Secure Application Manager In dieser Abbildung wird vorausgesetzt dass Benutzer eine IP Adresse des lokalen Hosts als Server in der Clientanwendung festlegen Enterprise Servers IVE notes1 company com notes2 company com Client Machine Client Application 127 0 1 10 Secure Application Manager Java applet Java applet encapsulates Lotus Notes data and securely port forwards it to the IVE Internet Internet Port 443 SSL Internet 197 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Festlegen von Clientanwendungen f r die J SAM eine Portweiterleitung durchf hrt Verwenden Sie die Unterregisterkarte Applications gt Secure Application
146. er 2000 oder auf PCs die auf Windows XP aktualisiert wurden wird in Internet Explorer normalerweise die MS JVM ausgef hrt Dies bedeutet dass Applets vom IVE mit einem der Authenticode Zertifikate neu signiert werden m ssen Netscape Netscape Browser unterst tzen nur die SUN JVM Dies bedeutet dass Applets vom IVE mit dem JavaSoft Zertifikat neu signiert werden m ssen Registerkarte Applet Certificates 55 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Importieren eines Codesignaturzertifikats Mit Hilfe der Registerkarte Applet Certificate k nnen Sie die geeigneten Zertifikate f r die Benutzer importieren Achten Sie darauf dass Sie au erdem f r die entsprechenden Autorisierungsgruppen die Unterst tzung von Java Applets aktiviert haben Weitere Informationen finden Sie unter Enable Java Applet Support auf Seite 149 Weitere Hinweise f r Benutzer der SUN JVM Standardm ig werden Applets vom Java Plug In zusammen mit dem Codesi gnaturzertifikat zwischengespeichert das beim Benutzerzugriff auf das Applet bereitgestellt wird Dieses Verhalten bedeutet dass der Browser Applets auch nach dem Importieren eines Codesignaturzertifikats in das IVE weiterhin mit dem urspr nglichen Zertifikat bereitstellt Um sicherzustellen dass Benutzer der SUN JVM keine Aufforderungen f r nicht vertrauensw rdige Zertifikate f r Applets erhalten auf die sie vor dem Import eines Codesignaturzerti
147. er Anwendungseinstellungen Verwenden Sie die Unterregisterkarte Applications gt General zum Aktivieren der folgenden Optionen Aktualisierungsoption f r den sicheren Terminalzugriff Gew hrt Zugriff auf eine Reihe von Netzwerkger ten beispielsweise UNIX Server im Netzwerk betriebene Ger te und Legacyanwendungen die das Terminal verwenden Aktualisierungsoption f r Secure Application Manager Vermittelt die Remotekommunikation mit internen Client Server Anwendungen ber SSL mit Optionen f r Implementierungen unter Windows oder Java Eine bersicht ber W SAM finden Sie unter Applications gt Unterregisterkarte Secure Application Manager W SAM auf Seite 187 J SAM finden Sie unter Applications gt Unterregisterkarte Secure Application Manager J SAM auf Seite 193 Wichtig Auf der Unterregisterkarte Applications gt General werden Konfigurati onsoptionen angezeigt die der aktivierten Version von Secure Application Manager entsprechen Abbildung 77 auf Seite 191 zeigt die Unterregisterkarte General wenn W SAM aktiviert ist Abbildung 80 auf Seite 200 zeigt die Unterregisterkarte General wenn J SAM aktiviert ist So geben Sie allgemeine Client Server Anwendungseinstellungen an 1 W hlen Sie in der Administratorkonsole das Men Authentication amp Authorization gt Authorization Groups und anschlie end eine Gruppe aus 2 W hlen Sie aus den Gruppen
148. er Option wird dem Ersteller der Konferenz die Entscheidung dar ber berlassen ob f r die Teilnahme an der Konferenz ein Kennwort erforderlich ist Wenn Sie diese Option ausw hlen kann jeder der den URL die ID Nummer und das Kennwort sofern vorhanden kennt an der Konferenz teilnehmen nicht nur IVE Benutzer Require meeting password more secure Bei Auswahl dieser Option muss der Ersteller der Konferenz entweder ein Kennwort f r die Konferenz erstellen oder das von Secure Meeting erzeugte Kennwort verwenden Wenn Sie diese Option ausw hlen kann jeder der den URL die ID Nummer und das Kennwort kennt an der Konferenz teilnehmen nicht nur IVE Benutzer Require server generated password even more secure Bei Auswahl dieser Option muss der Ersteller der Konferenz das von Secure Meeting erzeugte Kennwort verwenden Wenn Sie diese Option ausw hlen kann jeder der den URL die ID Nummer und das Kennwort kennt an der Konferenz teilnehmen nicht nur IVE Benutzer KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 218 Require secure gateway authentication most secure Bei Auswahl dieser Option k nnen nur solche eingeladene Benutzer an Konferenzen teilnehmen die am sicheren IVE Gateway authentifiziert wurden Wenn Sie diese Option ausw hlen muss der Ersteller der Konferenz kein Kennwort f r die Konferenz erstellen da sich alle Benutzer am sicheren IVE Gateway authentifizieren m ssen 7
149. er die serielle Konsole 249 Hinzuf gen eines IVEs zu einem Cluster ber die Administratorkonsole 254 Aktualisieren eines Clusters 256 Verwalten von Clusterknoten und Angeben neuer Clustermitglieder 257 ndern von Clustereigenschaften oder L schen eines Clusters 262 Men Network gt Web Proxy 264 Angeben eines Webproxys 264 Men Network gt Email Settings 267 Festlegen von IMAP POP SMTP Mailservern und von Einstellungen f r die Benutzerauthentifizierung 267 Men Network gt SNMP 270 viii Anhang A Verwenden der seriellen Konsole von Neoteris 273 Herstellen einer Verbindung mit der seriellen Konsole des IVE 273 Rollback zu einem vorherigen Systemzustand 274 Zur cksetzen des Neoteris Ger ts auf die Werkseinstellunge
150. er zugreifen k nnen lt RawIP gt Die allgemeine IP Richtlinie Gew hren oder Verweigern die steuert ob Benutzer ber die IP Adresse des Servers auf eine Ressource zugreifen k nnen lt Grant gt Die Ausnahmeliste f r eine geschlossene Richtlinie die aus lt WindowsAcl gt Elementen besteht lt Deny gt Die Ausnahmeliste f r eine offene Richtlinie die aus lt WindowsAcl gt Elementen besteht lt NfsACLs gt Enth lt die Details der NFS ACL f r eine Gruppe lt Grant gt Die aus lt NfsAcl gt Elementen bestehenden UNIX Hosts auf die Benutzer zugreifen k nnen lt SAMApps gt Enth lt eine Liste der lt SAMApp gt Elemente d h Anwendungen auf die die Gruppe ber Secure Application Manager zugreifen kann lt WebBookmarks gt Enth lt eine Liste von lt WebBookmark gt Elementen lt WindowsBookmarks gt Enth lt eine Liste von lt WindowsBookmark gt Elementen lt NfsBookmarks gt Enth lt eine Liste von lt NfsBookmark gt Elementen 64 Exportieren von ACLs und Lesezeichen Sie k nnen den Datentyp festlegen der f r alle Gruppen oder f r eine bestimmte Gruppe exportiert werden soll Wenn Sie alle ACLs und Lesezeichen f r alle Gruppen exportieren k nnen Sie die Daten einzeln festlegen die f r eine ausgew hlte Gruppe importiert werden sollen So exportieren Sie ACLs und Lesezeichen 1 W hlen Sie in der Administratorkonsole System gt Import Export gt
151. erden wenn zwischen der Clientanwendung und dem lokalen PC auf dem Secure Application Manager als Anwendungsserver ausgef hrt wird eine Verbindung eingerichtet wird Die empfohlene Vorgehensweise f r das Zuordnen von Anwendungsservern zum lokalen PC eines Benutzers besteht in der Aktivierung der automatischen Hostzuordnung wodurch das IVE die Datei hosts automatisch so ndern kann dass Anwendungsserver f r sichere Portumleitung zum lokalen Host des PCs geleitet werden Sie k nnen auch den externen DNS Server konfigurieren Weitere Informationen erhalten Sie unter Konfigurieren der externen DNS Server und Benutzercomputer falls erforderlich auf Seite 201 Sie k nnen das IVE so konfigurieren dass Exchange Server automatisch der lokalen Arbeitsstation eines Benutzers zugeordnet werden um eine sichere Portweiterleitung w hrend der Secure Application Manager Sitzung des Benutzers zu gew hrleisten Das einmalige Setup ist die einzige IVE Konfiguration die zur Verwendung der automatischen Hostzuordnung f r den sicheren Nachrichtenaustausch mit Exchange Server erforderlich ist Sie k nnen auch den externen DNS Server und die Einstellungen des Benutzers PCs konfigurieren Weitere Informationen erhalten Sie unter Konfigurieren der externen DNS Server und Benutzercomputer falls erforderlich auf Seite 201 Wenn Sie beabsichtigen J SAM mit Microsoft Outlook zu verwenden empfiehlt sich die Aktivierung der automatischen Hostzuor
152. ert ist 3 W hlen Sie aus den Gruppenregisterkarten Applications gt Secure Application Manager aus Benutzerdefinierte Autorisierungsgruppen erben standardm ig die Einstellungen der Benutzergruppe Klicken Sie zum Festlegen benutzerdefinierter Einstellungen auf Use custom settings und anschlie end auf Update 4 Geben Sie eine Anwendung an die Remotebenutzer f r die Kommunikation mit Netzwerkservern ausf hren k nnen KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 198 1 Geben Sie den Namen der Anwendung und bei Bedarf eine Beschreibung ein Diese Informationen werden auf der Seite Client Applications f r IVE Benutzer angezeigt 2 Geben Sie im Feld Remote Server den DNS Namen oder die IP Adresse des Servers ein 3 Geben Sie im Feld Client Port den Port ein den J SAM auf Clientanwen dungsverbindungen berwachen soll Normalerweise stimmt der Wert f r den Clientport mit dem f r den Serverport berein Der Wert f r den Clientport unterscheidet sich normalerweise nur f r Linux Benutzer die Anwendungen f r Portweiterleitung hinzuf gen m chten die Ports unter 1024 verwenden Weitere Informationen finden Sie im Hinweis auf Seite 195 Sie k nnen mehrere Anwendungen an einem einzigen Port konfigurieren z B anw1 meinefirma com anw2 meinefirma com anw3 meinefima com Das IVE weist jeder Anwendung eine Loopbackadresse 127 0 1 10 127 0 1 11 127 0 1 12 zu J SAM berwacht diese Loopbacka
153. ert werden Abbildung 62 Authentication amp Authorization gt Authorization Groups gt GroupName gt Authentication gt Certificate KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 144 Mit der Hostpr fung werden auf Hosts die mit dem IVE eine Verbindung herstellen Endpunktsicherheitspr fungen durchgef hrt Wenn dieses Feature f r eine Gruppe aktiviert wird wird vom IVE ein transparentes ActiveX Steuerelement heruntergeladen mit dem der Client des Benutzers auf angegebene Eigenschaften von Anwendungen f r die Endpunktsicherheit berpr ft wird Wenn die erforderlichen Eigenschaften nicht gefunden werden kann der Benutzer nicht auf die IVE Startseite zugreifen Das IVE verwendet drei Methoden um Hosts auf Anwendungen f r die Endpunktsicherheit zu berpr fen AYT Integration Durch das ActiveX Steuerelement wird die AYT API Are You There der angegebenen Anwendung f r die Endpunktsicherheit aufgerufen und der R ckgabewert berpr ft um festzustellen ob die Anwendung gefunden wurde und ordnungsgem funktioniert Das IVE unterst tzt derzeit AYT Aufrufe der folgenden Anwendungen Sygate Firewall AYT Sygate Secure Agent AYT Zone Labs AYT NHC API Integration Mit der Hostpr fung von Neoteris NHC API k nnen Sie eine benutzerdefi nierte DLL schreiben mit der berpr ft wird ob eine Software f r Endpunkt sicherheit eines Drittanbieters auf dem Clientcom
154. es Verhalten trifft auf die folgenden F lle zu 15 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch F r Flash Dateien XLS PPS und PPT Dateien Wenn es sich bei content type um application text rtf text xml oder model handelt Wenn der Ursprungsserver einen content disposition Header sendet Andernfalls f gt das IVE sofern die Regel zur Deaktivierung der Zwischenspeicherung angewendet wird den Antwortheader pragma no cache oder cache control no store hinzu Hinweis ICA Dateien von Citrix und QuickPlace Dateien werden anders behan delt ICA Dateien von Citrix sind immer zwischenspeicherungsf hig und erhalten auch den Header cache control private QuickPlace Dateien die keiner festge legten Regel die Vorrang hat entsprechen erhalten die Header CCNS und cache control private Browserunterst tzung Bei den Cachesteuerungsdirektiven handelt es sich um W3C Standards die von allen kompatiblen Browsern unterst tzt werden In der folgenden Liste der von IVE unterst tzten Browser werden die Header zur Cachesteuerung ber cksichtigt Win2k IE5 5 SP2 Win2k IE 6 0 Win98 Netscape 4 79 Win98 IE5 5 SP2 MacOS9 2 IE 5 1 5 MacOSx IE 5 2 KAPITEL 2 Verwalten von systemweiten Einstellungen 16 Abbildung 5 System gt Settings gt Security gt Content Caching Einstellen der Systemzeit Sie m ssen die Serverzeit einstellen
155. et Appliance Administrationshandbuch Der Neoteris IVE Server befindet sich zwischen dem Remoteclient und dem Mailserver und fungiert als sicherer E Mail Proxy Der Remoteclient verwendet den Neoteris IVE Server als virtuellen Mailserver und sendet E Mail Nachrichten ber das SSL Protokoll Der Neoteris IVE Server beendet SSL Verbindungen des Clients und leitet den entschl sselten E Mail Verkehr innerhalb des LAN an den Mailserver weiter Der Neoteris Server wandelt den unverschl sselten Datenverkehr des Mailservers dann in S IMAP Secure IMAP S POP Secure POP und S SMTP Secure SMTP Datenverkehr um und sendet ihn ber SSL an den E Mail Client Ausw hlen eines E Mail Clients Das Neoteris IVE unterst tzt die folgenden E Mail Clients Outlook 2000 und 2002 Outlook Express 5 5 und 6 x Netscape Messenger 4 7x und Netscape Mail 6 2 Benutzer die Remotezugriff auf E Mail Nachrichten ben tigen k nnen normalerweise in zwei Kategorien eingeteilt werden Laptopbenutzer in der Firma Diese Benutzer verwenden im B ro und unterwegs das gleiche Laptop Benutzer mit Heimcomputern Diese Benutzer verwenden zu Hause einen anderen Computer als im B ro Bevor Sie Benutzern einen E Mail Client empfehlen sollten Sie die folgenden Abschnitte lesen in denen erl utert wird wie die unterst tzten Clients mit folgenden Komponenten interagieren Standardbasierte Mailserver 236 Microsoft Exc
156. f dem externen Netegrity f higen Webserver Protokoll Protokoll f r die Kommunikation zwischen IVE und dem angegebenen Web Agenten Verwenden Sie HTTP f r die nicht sichere Kommunikation oder HTTPS f r die sichere Kommunikation Web Agent Name des Web Agenten von dem das IVE SMSESSION Cookies abrufen soll Eine IP Adresse kann in diesem Feld nicht eingegeben werden Wenn die IP Adresse als Web Agent angegeben wird k nnen manche Browser keine Cookies akzeptieren Port Port 80 f r HTTP oder Port 443 f r HTTPS Pfad Pfad der Anmeldeseite des Web Agenten Parameter Post Parameter die bei der Anmeldung eines Benutzers gesendet werden Standardm ig verwendet das IVE die Variablen _ _USER_ _ _ _PASS_ _ und _ _TARGET_ _ Diese Variablen werden durch den vom Benutzer auf der Anmeldeseite des Web Agenten eingegebenen Benutzernamen und das Kennwort sowie durch den im Feld Target angegebenen Wert ersetzt KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 122 11 Geben Sie im Feld If authentication fails redirect to einen alternativen URL ein an den Benutzer statt an die IVE Anmeldeseite umgeleitet werden wenn der Benutzer vom IVE nicht authentifiziert werden kann Dieser URL wird nur dann verwendet wenn vom SiteMinder Richtlinienserver keine Antwort zum Umleiten empfangen wurde 12 Aktivieren Sie unter SiteMinder Authorization die Option Authorize each request against SiteMinder um Webressource
157. fenster schlie en bleiben die Sitzungen bis zum Ablaufen der Sitzungszeitbegrenzung aktiv 6 Wenn Sie bei bestimmten URLs sicherstellen m chten dass das IVE als Vermittler fungiert geben Sie ein URL Muster ein das mit dem Host bereinstimmt Diese Option ist n tzlich wenn Sie sichergehen m chten dass URLs von Hosts die f r Secure Application Manager konfiguriert wurden ausschlie lich an das Browserfenster des IVE weitergeleitet werden 7 Klicken Sie auf Save Changes Aktivieren und Angeben von Einstellungen f r den Durchgangsproxy Wenn Sie die Option des Durchgangsproxys aktivieren m ssen Sie zwei Angaben vornehmen Die Webanwendungen die mit dem Durchgangsproxy vermittelt werden Die Art der berwachung von Clientanforderungen f r die Anwendungsserver durch das IVE Die Option mit der das IVE Clientanforderungen f r den Durchgangsserver berwacht ist eine systemweite Einstellung Sie k nnen nicht festlegen dass das IVE f r einige Anwendungsserver Ports berwacht und f r andere Anwendungsserver Anforderungen an Aliase berwacht KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 154 Abbildung 64 Aktivieren des Durchgangsproxys auf der Unterregisterkarte Users group Web gt General Die auf dieser Unterregisterkarte f r die Benutzergruppe ausgew hlte Option wird auf alle anderen Gruppen angewendet Unter Enable Pass Through Proxy auf Seite 150 finden Sie be
158. fikats zugegriffen haben muss der Cache des Java Plug Ins geleert werden Alternativ k nnen Benutzer den Cache deaktivieren Durch diese Option kann jedoch die Leistung beeintr chtigt werden da das Applet bei jedem Benutzer zugriff abgerufen werden muss Das Java Plug In verwaltet eine eigene Liste vertrauensw rdiger Webserver zertifikate die sich von der entsprechenden Liste des Browsers unterscheidet Wenn ein Benutzer auf ein Applet zugreift stellt die SUN JVM zus tzlich zum Browser eine eigene Verbindung mit dem Webserver her auf dem sich das Applet befindet Dem Benutzer wird daraufhin die Option zur Verf gung gestellt zus tzlich zum Codesignaturzertifikat das Webserverzertifikat anzunehmen In solchen F llen muss der Benutzer die Schaltfl che Always Trust f r das Webserverzertifikat ausw hlen Aufgrund einer integrierten Zeit berschreitung im Java Plug In wird das Applet nicht geladen wenn der Benutzer bei der Auswahl dieser Schaltfl che f r das Webserverzertifikat zu lange wartet So importieren Sie ein Codesignaturzertifikat 1 Klicken Sie in der Administratorkonsole auf die Registerkarte System gt Certificates gt Applet Certificates 2 Klicken Sie unter Applet Signing Certificates auf Import Certificates 3 Wechseln Sie auf der Seite Import Certificates zu den entsprechenden Dateien mit dem Codesignaturzertifikat geben Sie die Informationen f r den Kennwortschl ssel ein und klicken Sie dann auf Im
159. fizierung und Autorisierung f r IVE 132 Abbildung 56 Authentication amp Authorization gt Authorization Groups gt GroupName gt General gt Network Connect 133 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Angeben von Zeitbegrenzungen und Roamingfunktionen f r Autorisierungsgruppen Auf dieser Registerkarte k nnen Sie folgende Angaben vornehmen Time limits for user sessions Die Standardzeitbegrenzung f r eine Benutzersitzung betr gt sechzig Minuten Nach dieser Zeitspanne beendet das IVE die Benutzersitzung und protokolliert das Ereignis im Systemprotokoll Die Leerlaufzeitbegrenzung f r Sitzungen betr gt in der Standardeinstellung zehn Minuten d h eine Benutzersitzung die zehn Minuten lang inaktiv ist wird vom IVE beendet und das Ereignis wird im Systemprotokoll protokolliert Roamingfunktionen f r Benutzersitzungen Eine Roamingbenutzersitzung funktioniert ber Quell IP Adressen wodurch sich mobile Benutzer Benutzer von Laptops mit dynamischen IP Adressen von einem Standort aus im IVE anmelden k nnen und Ihre Arbeit von einem anderen Standort fortsetzen k nnen Einige Browser weisen jedoch eventuell Schwachstellen auf ber die durch b sartigen Code Benutzercookies gestohlen werden k nnen Ein b swilliger Benutzer kann dann ein gestohlenes IVE Sitzungscookie verwenden um sich im IVE anzumelden So geben Sie Zeitbegrenzungen und Roamingfunktionen f r Autorisierungsgr
160. forderung auf ein Bild mit der richtigen Gr e bezieht f gt es den Antwortheader pragma no cache oder cache control no store nicht hinzu und leitet die Cacheheader des Ursprungsservers weiter Andernfalls behandelt das IVE die Anforderung wie bei deaktivierter Zwischenspeicherung Zwischenspeicherung deaktivieren Das IVE leitet die Cacheheader vom Ursprungsserver nicht weiter Falls das IVE im user agent Header das Element msie oder windows media player erkennt und sich die Anforderung auf eine Mediendatei bezieht sendet das IVE den Antwortheader cache oder cache control no store nicht Beispiel wenn in content type das Element audio x pn realaudio steht ODER wenn content type mit video beginnt ODER wenn content type mit audio beginnt ODER wenn content type gleich application octet stream ist und die Dateierweiterung mit rm oder ram beginnt In diesen F llen entfernt das IVE den cache control Header des Ursprungsservers Der Inhalt kann zwischengespeichert werden Durch dieses Verhalten k nnen Mediendateien ordnungsgem funktionieren Wenn das IVE im user agent Header das Element msie oder windows media player erkennt und sich die Anforderung auf bestimmte Arten von Dateien bezieht sendet das IVE nicht den Header pragma no cache sondern den Header cache control no store und entfernt den cache control Header des Ursprungsservers Dies
161. fssteuerungsliste finden Sie unter Angeben zul ssiger MS Exchange Server auf Seite 207 Enabled Aktiviert den Zugriff auf alle Lotus Notes Server Disabled Deaktiviert diese Option 183 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Enable Citrix NFuse Integration User Users setting Wendet die Einstellungen der Benutzergruppe an Enabled Configure Citrix NFuse parameters Aktiviert die Integration von Citrix NFuse Die Citrix NFuse Parameter k nnen auf der Unterregisterkarte Applications gt Citrix NFuse konfigu riert werden Auf diese Unterregisterkarte k nnen Sie in dieser Option auch ber die Verkn pfung Citrix NFuse zugreifen Enabled Aktiviert den Zugriff auf alle Lotus Notes Server Disabled Deaktiviert diese Option Enable Automatic Host Mapping Java version only Die Java Version von Secure Application Manager kann nur dann verwendet werden wenn zwischen der Clientanwendung und dem lokalen PC auf dem Secure Application Manager als Anwendungsserver ausgef hrt wird eine Verbindung eingerichtet wird Die empfohlene Vorgehensweise f r das Zuordnen von Anwendungsservern zum lokalen PC eines Benutzers besteht in der Aktivierung der automatischen Hostzuordnung wodurch das IVE die Datei hosts automatisch so ndern kann dass Anwendungsserver f r sichere Portumleitung zum lokalen Host des PCs geleitet werden Sie k nnen auch
162. fungiert J SAM als Anwendungsserver F r den Anwendungsserver in Ihrem Netzwerk bernimmt das IVE die Rolle der Clientanwendung Damit diese L sung funktioniert muss eine Clientanwendung auf dem Computer des Benutzers den Anwendungsserver zu sich selbst lokaler Host aufl sen damit J SAM die ber das IVE f r den Anwendungsserver bestimmten Daten erfassen und sicher ber einen Port weiterleiten kann Je nach Betriebssystem l st eine Clientanwendung den Hostnamen eines Servers auf dem lokalen Computer unterschiedlich auf F r Windows Benutzer kann J SAM eine automatische Hostzuordnung durchf hren und dabei die lokale Datei hosts so bearbeiten dass dem lokalen Host ein Anwendungs server zugeordnet wird J SAM kann die Datei hosts eines PC Benutzers nur bearbeiten wenn der Benutzer auf seinem Computer ber Administratorrechte verf gt Alternativ Sie k nnen Ihren externen DNS Server zum Aufl sen von Anwendungs servern zum lokalen Host konfigurieren Siehe Hinweis Benutzer k nnen eine Clientanwendung so konfigurieren dass die vom IVE zugewiesene Adresse des lokalen Hosts an der Stelle verwendet werden kann an der sie normalerweise den Hostnamen des Anwendungs servers eingeben Siehe Hinweis Linux RedHat Benutzer J SAM kann keine automatische Hostzuordung durchf hren weil J SAM keine Berechtigung zum Bearbeiten der Datei hosts besitzt Nur root verf gt ber die Berechtigung zum n
163. g 40 Authentication amp Authorization gt Administrators gt Authentication gt Authentication Server 89 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Festlegen von IP Adresseinschr nkungen f r die Administratorengruppe Auf dieser Registerkarte k nnen Sie den Administratorzugriff auf den Neoteris IVE Server auf bestimmte IP Adressen einschr nken So legen Sie Adresseinschr nkungen f r die Administratorengruppe fest 1 W hlen Sie in der Administratorkonsole die Registerkarte Authentication amp Authorization gt Administrators gt Address Restrictions aus 2 Geben Sie an ob die Anmeldung f r Administratoren von einem beliebigen Ort oder nur von bestimmten IP Adressen aus m glich sein soll Wenn Sie die zweite Option ausw hlen m ssen Sie die entsprechenden IP Adressen angeben Andernfalls k nnen sich Benutzer von beliebigen Orten aus anmelden Unter Administrator login on External Port werden Aktivierungs Deaktivierungsoptionen oder die Meldung The External port is not enabled angezeigt In der folgenden Liste werden die m glichen Aktionen zum Zulassen bzw Verweigern der Administratoranmeldung ber den externen Port erl utert Wenn der externe Port nicht aktiviert ist und Sie die Administratoranmel dung ber den externen Port zulassen m chten wechseln Sie zu Network Settings gt External Port und aktualisieren Sie die Einstellung wie unter Aktivieren des externen Port
164. gemeldeten Benutzer zu sortieren klicken Sie auf eine Spalten berschrift Um einen oder mehrere Benutzer zwangsweise abzumelden aktiveren Sie die Kontrollk stchen neben den entsprechenden Benutzernamen und klicken Sie dann auf Delete Session Um alle aktuell angemeldeten Benutzer zwangsweise abzumelden klicken Sie auf Delete All Sessions Authentication amp Authorization gt Men Active Users KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 224 Abbildung 90 Authentication amp Authorization gt Active Users 225 Kapitel4 Verwalten von IVE Netzwerkeinstellungen Die Verwaltung des IVE umfasst die Konfiguration und Verwaltung von systemweiten Einstellungen Authentifizierungsservern Autorisierungsgruppen und Netzwerkeinstellungen Dieses Kapitel behandelt Aufgaben die sich auf das Konfigurieren der IVE Netzwerkeinstellungen beziehen und stellt schrittweise Anleitungen zur Durchf hrung dieser Aufgaben zur Verf gung bersichtsinformationen finden Sie unter Konfigurieren allgemeiner Netzwerkeinstellungen f r das IVE 226 Konfigurieren eines Clusters von IVE Servern 227 Konfigurieren des IVE als Webproxy 233 Konfigurieren der Aktualisierungsoption f r Secure Email Client 234 berwachen des IVE als SNMP Agent 239
165. gen 230 Bereitstellen eines Clusters im Aktiv Aktiv Modus Die Neoteris Access 1000 3000 und 5000 Plattformen k nnen als Clusterpaar im Aktiv Aktiv Modus bereitgestellt werden Multi Unit Cluster bestehen definitionsgem aus mindestens drei Neoteris Access 5000 Plattformen und werden im Aktiv Aktiv Modus betrieben Im Aktiv Aktiv Modus bearbeiten alle IVEs im Cluster aktiv die von einem externen Load Balancer erhaltenen Benutzeranforderungen Der Load Balancer hostet die Cluster VIP und leitet Benutzeranforderungen auf der Grundlage von SIP Weiterleitung Source IP an ein in seiner Clustergruppe definiertes IVE weiter Wenn ein IVE offline geschaltet wird passt der Load Balancer die Datenlast auf den aktiven IVEs an Benutzer m ssen sich nicht neu anmelden obwohl einige IVE Sitzungsdaten wie zum Beispiel Cookies und Kennw rter m glicherweise nicht auf das aktuelle IVE Feld synchronisiert wurden In diesem Fall m ssen sich die Benutzer an den Back End Webservern neu anmelden Der IVE Cluster selbst f hrt keine automatischen Failover oder Lastenaus gleichoperationen durch Er synchronisiert jedoch Statusdaten System Benutzer und Protokolldaten zwischen den Clustermitgliedern Wenn ein offline geschaltetes IVE wieder online geschaltet wird passt der Load Balancer die Datenlast erneut an um sie auf alle aktiven Mitglieder zu verteilen Dieser Modus bietet gesteigerten Durchsatz und h here Leistung w hrend Spitzenlastzeiten
166. gen m chten klicken Sie rechts neben dem Konferenzstatus auf das Symbol zum L schen Registerkarte Schedule 71 Kapitel3 Verwalten der Authentifizierung und Autorisierung f r IVE Die Verwaltung des IVE umfasst die Konfiguration und Verwaltung von systemweiten Einstellungen Authentifizierungsservern Autorisierungsgruppen und Netzwerkeinstellungen In diesem Kapitel werden Authentifizierung und Autorisierung f r Benutzer und die Features beschrieben die auf Gruppenebene aktiviert werden k nnen Au erdem werden Vorgehensweisen zum Konfigurieren von Authentifizierungsservern und von Einstellungen f r Autorisierungsgruppen bereitgestellt Wichtig Wenn Sie derzeit IVE der Version 2 x ausf hren wenden Sie sich an den Neoteris Support um wichtige Informationen zu den Auswirkungen einer Aktualisie rung auf Version 3 0 f r das System und die Benutzerdaten zu erhalten bersichtsinformationen finden Sie unter bersicht ber Authentifizierung und Autorisierung 72 Unterst tzte Authentifizierungsserver 75 Informationen zur Vorgehensweise finden Sie unter Authentication amp Authorization gt Men Administrators 82 Authentication amp Authorization gt Men Authentication Servers 92 Men Authentication amp Authorization gt Authorization Groups 126 Authen
167. gisterkarte Authorization Groups Men gt Web Registerkarte 158 ACE Agent Konfigurationsdatei 117 ACE Server Konfigurationsschritte 116 bersicht 78 ACLs amp Bookmarks Registerkarte Import Export Men 62 Active Directory Server Konfigurationsschritte 106 bersicht 75 Active Users Men Verwenden von Aufgaben 220 223 Address Restrictions Unterregisterkarte Administrators Men gt Authentication Registerkarte 89 Authorization Groups Men gt Authentication Registerkarte 138 Administrator authentifizieren 87 Benutzeradministrator 104 Administratorengruppe Anmeldeeinschr nkungen nach IP 89 nach Zertifikat 91 Authentifizierungsserver f r 87 Beschreibung 73 Konten bearbeiten 85 erstellen 83 l schen 85 suchen 86 verwalten 82 Sitzungszeitbegrenzungen 86 Administratorkonsole Clustermitglieder hinzuf gen 254 Administrators Men Konfigurationsaufgaben 82 Aktiv Aktiv Cluster Abbildung 231 bersicht ber die Bereitstellung 230 Aktiv Passiv Cluster Abbildung 229 bersicht ber die Bereitstellung 229 Aktualisierungsoption Secure Email Client 176 Sicherer Terminalzugriff 179 Anmeldeinformationen Benutzer 10 Anmeldung Autorisierungsmodus 33 Einzelanmeldung mit Netegrity SiteMinder 81 Kennwortl nge 10 Optionen Administratoreinschr nkungen 89 91 Benutzereinschr nkungen 138 139 142 145 Systemweite Einschr nkungen 32 Seite anpassen 36 Appearance Men Konfigurationsaufgaben
168. gisterkarte Status fortgesetzt Element der Benutzeroberfl che Beschreibung 261 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Spalte Status Gibt den Status des Knotens an Enabled Der Knoten bearbeitet Benutzeranforderungen und nimmt an der Clustersynchronisierung teil Disabled Der Knoten bearbeitet keine Benutzeranforderungen und nimmt nicht an der Clustersynchronisierung teil Hinweis Der Status eines Knotens wird als eigenst ndig betrachtet wenn der Knoten au erhalb eines Clusters bereitgestellt wird oder aus einem Cluster entfernt wurde Spalte Connection Gibt den Status der Verbindung des Knotens mit dem Cluster an Der Status kann folgenderma en lauten OK Der Knoten ist aktiver Bestandteil des Clusters Transitioning Der Knoten wechselt vom eigenst ndigen Status in den aktivierten Status Unreachable Der Knoten ist gegenw rtig offline d h er kommuniziert nicht mit dem Cluster Tabelle 1 Clustering gt Registerkarte Status fortgesetzt Element der Benutzeroberfl che Beschreibung KAPITEL 4 Verwalten von IVE Netzwerkeinstellungen 262 ndern von Clustereigenschaften oder L schen eines Clusters Auf dieser Registerkarte k nnen Sie den Namen eines Clusters ndern angeben in welchem Modus ein Clusterpaar ausgef hrt werden soll Synchronisierungseinstellungen festlegen oder einen Cluster l schen So ndern Sie Clustereigensch
169. glicherweise m ssen Sie als Voraussetzung Hotfixes installieren z B V4QMR4 Windows zip F r SiteMinder Version 5 verwenden Sie den Hotfix QMR5 erh ltlich von Netegrity ab 30 September 2002 Das Attribut AcceptTPCookie Cookie von Drittanbietern akzeptieren muss f r den IIS Webserver in der Konfigurationsdatei des Web Agenten auf yes oder in der Windows Registrierung auf 1 gesetzt sein Der Speicherort dieses Attributs h ngt von der verwendeten SiteMinder Version und dem Webserver ab Weitere Informationen finden Sie in der Dokumentation zu Ihrem SiteMinder Server 81 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Abrufen von Netegrity SMSESSION Cookies von einem Web Agenten Mit der Option Authenticate using HTML form post erzeugt das IVE keine SMSESSION Cookies sondern ruft diese stattdessen von einem anderen Web Agenten ab Bei einer Benutzeranmeldung beim IVE stellt dieses eine Verbindung mit dem Web Agenten her der in der IVE Administratorkonsole angegeben ist und sendet an diesen die Anmeldeinformationen des Benutzers Wenn die Anmeldeinformationen authentifiziert werden k nnen bergibt der Web Agent ein SMSESSION Cookie an das IVE in dem es unter Verwendung des Netegrity SDK berpr ft und anschlie end gespeichert wird Beim Versuch des Benutzers auf eine Webressource auf einem standardm igen Web Agenten zuzugreifen bergibt das IVE das Cookie zur Authentifizierung an den Web Agenten A
170. glied offline geschaltet wird m ssen sich die Benutzer daher nicht erneut am IVE anmelden Wenn das IVE Benutzersitzungsprofile synchronisiert und Statusdaten berwacht tritt eine geringf gige Latenz auf Falls ein Mitglied offline geschaltet wird kann es passieren dass sich der Benutzer bei manchen Back End Webanwendungen anmelden muss und Administratoren keinen Zugriff auf die Protokolle auf dem ausgefallenen Computer haben Die Synchronisationseinstellungen k nnen auf zwei Arten konfiguriert werden Festlegen des Synchronisationsprotokolls Sie k nnen das Synchronisationsprotokoll w hlen das der Konfiguration Ihrer Netzwerkhardware am besten entspricht Unicast Das IVE sendet die gleiche Meldung an jeden Knoten im Cluster Multicast Das IVE sendet eine Meldung an alle Clusterknoten im Netzwerk Broadcast Das IVE sendet eine Meldung an alle Ger te im Netzwerk wobei nicht zum Cluster geh rige Knoten die Meldung l schen Festlegen ob Protokollmeldungen synchronisiert werden sollen Protokollmeldungen k nnen zu umfangreicher Belastung des Netzwerks f hren und die Clusterleistung beeintr chtigen Wir empfehlen diese Option zu deaktivieren insbesondere bei einer Multi Unit Konfiguration Konfigurieren des IVE als Webproxy Sie k nnen alle vom IVE durchgef hrten Webanforderungen an einen Webproxy leiten statt mit dem IVE direkt eine Verbindung mit den Webservern herzustellen Diese Fun
171. halb von 1024 ben tigen ber einen Port weiterleiten m chten m ssen sie eine der folgenden Aktionen ausf hren Starten des Browsers der J SAM als root startet Angeben einer Client Portnummer gr er oder gleich 1024 beim Hinzuf gen der Anwendung zur Liste Client Applications Nach dem Hinzuf gen der Anwendung m ssen Benutzer J SAM starten und im Fensterausschnitts Details ablesen welche IP Loopbackadresse dem Anwendungsserver zugewiesen wurde Benutzer m ssen diese Adressen Portinformationen dann in die Clientanwendung eingeben oder sie an der Befehlszeile verwenden Wenn ein Benutzer beispielsweise den Clientport 2041 und den Serverport 23 f r eine Telnet Anwendung festlegt wird folgender Befehl zum Ausf hren der Anwendung verwendet telnet loopbackIP 2041 J SAM berwacht Port 2041 auf Datenverkehr von der Telnet Anwendung und leitet diesen an das IVE weiter Das IVE leitet den Datenverkehr dann an Port 23 auf dem Zielserver weiter Abbildung 79 auf Seite 196 verdeutlicht die Interaktion zwischen einer Clientanwendung und dem Server ber das IVE In dieser Abbildung wird vorausgesetzt dass Benutzer eine IP Adresse des lokalen Hosts als Server in der Clientanwendung festlegen Wenn Sie das IVE f r die Verwendung der automatischen Hostzuordnung f r PC Benutzer konfigurieren beachten Sie Abbildung 82 auf Seite 206 1 Der Benutzer startet eine auf der Seite Client Applications des IVE aufgef hrte Cli
172. hand einer Zertifikatssignaturanforderung erstellt wurde 50 Registerkarte Server Certificate 43 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Importieren eines bestehenden Serverzertifikats und eines privaten Schl ssels Sie k nnen Webserverzertifikate von Servern wie Apache IIS Sun ONE fr her iPlanet oder Netscape erstellen und das Zertifikat dann in das IVE importieren Zum Exportieren eines digitalen Serverzertifikats und eines Schl ssels befolgen Sie die zu dem Webserver vorhandenen Anweisungen zum Exportieren von Zertifikaten Wichtig Das Zertifikat muss verschl sselt sein und Sie m ssen das Kennwort mit dem Zertifikat exportieren So importieren Sie ein bestehendes digitales Serverzertifikat und einen privaten Schl ssel 1 Klicken Sie in der Administratorkonsole auf die Registerkarte System gt Certificates gt Server Certificate 2 Klicken Sie auf Import Renew 3 W hlen Sie das entsprechende Formular f r den Import des Zertifikats aus Falls das Zertifikat und der Schl ssel in einer Datei enthalten sind verwenden Sie das Formular Certificate file includes private key Handelt es sich bei dem Zertifikat und dem Schl ssel um separate Dateien verwenden Sie das Formular Certificate and private key are separate files 4 Wechseln Sie im entsprechenden Formular zu der Datei mit dem Zertifikat und dem Schl ssel Geben Sie ggf den Kennwortschl ssel ein
173. hange Server 236 Lotus Notes und Lotus Notes Mail Server 239 Hinweis Anleitungen zum Konfigurieren der unterst tzten E Mail Clients finden Sie auf der Neoteris Support Site unter folgender Adresse http support neoteris com KAPITEL 4 Verwalten von IVE Netzwerkeinstellungen 236 Arbeiten mit einem standardbasierten Mailserver Der Neoteris IVE Server kann zusammen mit Mailservern verwendet werden die IMAP4 POP3 und SMTP unterst tzen IMAP Mailserver Laptopbenutzer in der Firma Diese Benutzer k nnen jeden der sechs unterst tzen E Mail Clients verwenden Wir empfehlen im B ro und unterwegs den gleichen Client zu verwenden um bergangsloses Arbeiten zu erm glichen Der Client muss dabei so konfiguriert sein dass er auf den Neoteris IVE Server verweist Benutzer mit Heimcomputern Diese Benutzer k nnen f r den Remotezugriff auf den IMAP Server ber das Neoteris IVE jeden der sechs unterst tzten E Mail Clients verwenden POP Mailserver Laptopbenutzer in der Firma Diese Benutzer k nnen einen der vier Outlook E Mail Clients verwenden Wir empfehlen im B ro und unterwegs den gleichen Client zu verwenden um bergangsloses Arbeiten zu erm glichen Der Client muss dabei so konfiguriert sein dass er auf den Neoteris IVE Server verweist Benutzer mit Heimcomputern Diese Benutzer k nnen f r den Remotezugriff auf den POP Server ber das Neoteris IVE einen der vier Outlook E Mail C
174. hentifizierungsdaten angeben Aktualisierungsoption f r Secure Application Manager Wenn Ihre IVE Lizenz die Aktualisierungsoption f r Secure Application Manager umfasst unterst tzt das IVE das systemeigene MAPI Protokoll von Microsoft Exchange und das systemeigene Lotus Notes Protokoll Sie k nnen den Zugriff auf Microsoft Exchange Server und Lotus Notes Server auf der Registerkarte Applications einer Autorisierungsgruppe aktivieren Wichtig Wenn der IVE Server mit der Secure Application Manager Upgradeoption lizenziert ist die das systemeigene MAPI Protokoll von Microsoft Exchange und das systemeigene Lotus Notes Protokoll unterst tzt trifft dieser Abschnitt nicht zu Weitere Informationen finden Sie unter Applications gt Unterregisterkarte Secure Application Manager J SAM auf Seite 193 Die Secure Email Client Upgradeoption bietet Benutzern die M glichkeit mit standardbasierten E Mail Clients sicher von Remotestandorten aus auf firmeninterne E Mail Nachrichten zuzugreifen ohne dass weitere Software wie zum Beispiel ein VPN Client ben tigt wird Der Neoteris IVE Server kann mit jedem Mailserver eingesetzt werden der IMAP4 Internet Mail Application Protocol POP3 Post Office Protocol und SMTP Simple Mail Transfer Protocol unterst tzt Hierzu z hlen auch Microsoft Exchange Server und Lotus Notes Mail Server die IMAP4 POP3 SMTP Schnittstellen zur Verf gung stellen 235 Neoteris Instant Virtual Extran
175. hl ssels 43 Importieren eines erneuerten Serverzertifikats f r das der bestehende privater Schl ssel verwendet wird 45 Erstellen einer Zertifikatssignaturanforderung f r ein neues Serverzertifikat 47 Importieren eines signierten Serverzertifikats das anhand einer Zertifikatssignaturanforderung erstellt wurde 50 Importieren eines Stammzertifikats zur berpr fung eines clientseitigen Zertifikats 52 Importieren eines Codesignaturzertifikats 55 Ein digitales Zertifikat ist eine verschl sselte elektronische Datei in der die Anmeldeinformationen eines Webservers oder Benutzers f r Client Server Transaktionen festgelegt werden Der Neoteris IVE Server verwendet ein tempor res selbst signiertes digitales Zertifikat das mit den bei der Initialisierung eingegebenen Daten lokal erstellt wird Mit Hilfe dieses Zertifikats k nnen die Benutzer sofort mit der Verwendung des IVE1 beginnen Das IVE unterst tztX 509 Zertifikate in den folgenden Formaten DER NET oder PEM verschl sselt Dateierweiterungen cer crt der net und pem PKCS 12 Dateierweiterungen pfx und p12 Zum Erhalt eines digitalen Zertifikats f r den Neoteris IVE Server gibt es zwei M glichkeiten Ein bestehendes Serverzertifikat und einen privaten Schl ssel auf den Neoteris IVE Server importieren Zun chst m ssen Sie das Serverzertifikat und den privaten Schl ssel vom vorhandenen Webserver ex
176. hlie end auf Update 3 Klicken Sie auf Allow Resource und vervollst ndigen Sie die Seite Allow UNIX NFS Resource folgenderma en 1 Geben Sie bei Bedarf einen Namen und eine Beschreibung f r die Ressource an Der angegebene Ressourcenname wird IVE Benutzern anstelle des Ressourcenspeicherortes angezeigt Die eingegebene Beschreibung wird IVE Benutzern ebenfalls angezeigt 2 Geben Sie den Hostnamen oder die IP Adresse des Servers ein und geben Sie den Pfad zu einer bestimmten Freigabe ein die zugelassen werden soll 3 Um die Ressource im schreibgesch tzten Modus hinzuzuf gen w hlen Sie Read only aus Die Benutzer k nnen in einer schreibgesch tzten Ressource keine Ordner erstellen und keine Dateien hochladen 4 Damit die Benutzer die Unterverzeichnisse der Ressource anzeigen k nnen w hlen Sie Show subdirectories aus 5 Um die Typen von Dateien einzuschr nken die den Benutzern angezeigt werden w hlen Sie Show only files of a specific type aus und geben Sie die Dateierweiterung f r jeden zugelassenen Dateityp ein 6 Klicken Sie auf Add Resource Benutzern wird die hinzugef gte Ressource auf der Seite UNIX NFS Files angezeigt wenn sie das n chste Mal auf die Seite zugreifen Files gt Unterregisterkarte UNIX Access 173 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch 4 Um Automount Freigaben von NIS zuzulassen w hlen Sie Allow the resources aus und geben Sie den Hostnamen
177. hreibung beachtet wird und das mit einer Teilzeichenfolge im vom Browser gesendeten user agent Header bereinstimmen muss 2 W hlen Sie entweder Allow aus um es Benutzern zu erm glichen sich ber jeden Browser anzumelden dessen user agent Header die Teilzeichenfolge lt browser_string gt enth lt oder w hlen Sie Deny aus wenn die Anmeldung f r Benutzer nicht ber jeden Browser m glich sein soll dessen user agent Header die Teilzeichenfolge lt browser_string gt enth lt Hinweise Regeln werden der Reihenfolge nach angewendet d h die erste bereinstimmende Regel wird angewendet Bei Literalzeichen in Regeln wird die Gro und Kleinschreibung beachtet Leerzeichen sind dabei zul ssig Standardm ig lautet die letzte Regel Allow d h Benutzer k nnen sich ber alle anderen Browser anmelden ndern Sie den Befehl in Deny damit sich Benutzer nur ber durch andere Regeln angegebene Browser anmelden k nnen 141 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Beispiele Die Zeichenfolge Netscape findet f r alle Zeichenfolgen f r Benutzer Agenten eine bereinstimmung die die Teilzeichenfolge Netscape enth lt Der folgende Regelsatz erm glicht es Benutzern nur sich ber Internet Explorer 5 5x oder Internet Explorer 6 x anzumelden In diesem Beispiel werden einige wichtige andere Browser als Internet Explorer ber cksichtigt die d
178. ie Teilzeichenfolge MSIE im user agent Header senden Opera Deny AOL Deny MSIE 5 5 Allow MSIE 6 Allow Deny Abbildung 61 Authentication amp Authorization gt Authorization Groups gt GroupName gt Authentication gt Browser Restrictions KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 142 Festlegen dass Clientcomputer ber ein g ltiges Zertifikat verf gen m ssen Auf dieser Registerkarte k nnen Sie angeben dass Clientcomputer auf denen sich Benutzer anmelden ber ein g ltiges clientseitiges Zertifikat verf gen m ssen Wenn Sie dieses Feature verwenden stellen Sie sicher dass Sie ein Stammzertifikat importieren um das clientseitige Zertifikat zu berpr fen Weitere Informationen finden Sie unter Importieren eines Stammzertifikats zur berpr fung eines clientseitigen Zertifikats auf Seite 52 Vergewissern Sie sich zur Optimierung der Sicherheit dieses Features dass die Clienteinstellungen eines Benutzers so festgelegt sind dass der Benutzer bei jeder Anmeldung ein Kennwort eingeben muss In der Standardeinstellung wird bei einigen Browserversionen das Zertifikatkennwort gespeichert d h der Benutzer wird nach Installation des Zertifikats nicht zur Eingabe dieser zus tzlichen Anmeldeinformationen aufgefordert So legen Sie fest dass Clientcomputer ber ein g ltiges clientseitiges Zertifikat verf gen m ssen 1 W hlen Sie in der Administratorkonsole da
179. ie auf Save Changes KAPITEL 4 Verwalten von IVE Netzwerkeinstellungen 266 Abbildung 109 Network gt Web Proxy 267 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Festlegen von IMAP POP SMTP Mailservern und von Einstellungen f r die Benutzerauthentifizierung Das IVE unterst tzt mehrere Mailserver Sie k nnen festlegen dass alle Benutzer einen Standardmailserver verwenden m ssen oder Sie k nnen Benutzern die M glichkeit geben einen benutzerdefinierten SMTP und IMAP oder POP Mailserver anzugeben Wenn Sie Benutzern das Festlegen eines benutzerdefinierten Mailservers erm glichen m ssen diese die Servereinstellungen ber das IVE vornehmen Der IVE Server verwaltet die E Mail Benutzernamen um Namenskonflikte zu vermeiden Hinweis F r das Verfahren zur E Mail Authentifizierung k nnen Sie eine von drei Optionen festlegen die nachfolgend in Schritt 6 erl utert werden Bei jeder Option m ssen die Benutzer bestimmte Konfigurationsschritte auf dem IVE durchf hren So aktivieren Sie die Funktion f r sichere Client E Mail f r eine Gruppe 1 W hlen Sie in der Administratorkonsole das Men Authentication amp Authorization gt Authorization Groups und anschlie end eine Gruppe aus 2 W hlen Sie aus den Gruppenregisterkarten Email Client aus 3 Klicken Sie unter Enable Secure Email Client auf Enabled und dann auf Save Changes 4 W hlen Sie im Hauptmen Network gt Email Settings aus
180. ies f r Websites die permanente Cookies ausgeben Permanente Benutzerkennw rter Wenn die Funktion zum Zwischenspei chern von Kennw rtern aktiviert ist k nnen Benutzer festlegen dass ihre Anmeldeinformationen f r Anwendungen und Websites gespeichert werden Benutzersitzung Dieser Status ist vor bergehend und dynamisch Die Benutzersitzungsdaten umfassen Folgendes Das IVE Sitzungscookie des Benutzers Vor bergehende Benutzerprofildaten zu denen Cookies und Kennw rter z hlen die nur w hrend der Benutzersitzung gespeichert werden berwachungstatus Dieser permanente Status ist dynamisch und besteht aus Protokollmeldungen 1 1 Wenn Sie ein IVE zu einem Cluster hinzuf gen sendet der Clusterleiter keine Protokollmeldungen an das neue Mitglied Protokollmeldungen werden nicht zwischen Clustermitgliedern synchronisiert wenn ein Mitglied seinen Dienst wieder aufnimmt oder ein offline geschaltetes IVE wieder online geschaltet wird Sobald alles IVEs online sind werden die Protokollmeldungen jedoch synchronisiert 233 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Das IVE ist f r die Synchronisation von Daten zwischen Clustermitgliedern verantwortlich unabh ngig davon ob Sie einen Cluster im Aktiv Passiv Modus oder im Aktiv Aktiv Modus bereitstellen Das IVE synchronisiert alle Systemdaten Benutzerprofildaten und das IVE Benutzersitzungscookie sofort Wenn ein Clustermit
181. igenst ndigen Client und Versionen 6 2 und 6 3 f r den Appletmodus Wenn Sie den Appletmodus des Java Client verwenden m chten m ssen Sie darauf achten dass die Unterst tzung f r Java Applets unter Web gt General page aktiviert ist Hinweis Das IVE stellt eine Alternative zur Bereitstellung von CSG dar Applications gt Unterregisterkarte Citrix NFuse J SAM 215 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch ndern von Citrix NFuse Standardeinstellungen Verwenden Sie die Unterregisterkarte Applications gt Citrix NFuse um die Standardeinstellungen f r die Integration von Citrix NFuse zu ndern So ndern Sie die Citrix NFuse Einstellungen 1 W hlen Sie in der Administratorkonsole das Men Authentication amp Authorization gt Authorization Groups und anschlie end eine Gruppe aus 2 W hlen Sie aus den Gruppenregisterkarten Applications gt General aus Vergewissern Sie sich dass die Java Version von Secure Application Manager und die Citrix NFuse Optionen aktiviert sind 3 W hlen Sie aus den Gruppenregisterkarten Applications gt Citrix NFuse aus Benutzerdefinierte Autorisierungsgruppen erben standardm ig die Einstel lungen der Benutzergruppe Klicken Sie zum Festlegen benutzerdefinierter Einstellungen auf Use custom settings und anschlie end auf Update 4 Bearbeiten Sie die Standardeinstellungen und klicken Sie dann auf Save Changes Folgende Optionen stehen
182. ikte Zugriffssteue rung da die Zeichenfolgen f r Benutzer Agenten des Browsers von einem technischen Benutzer ge ndert werden k nnen Es dient als beratende Zugriffssteuerung f r normale Nutzungsszenarien Authentication gt Unterregisterkarte Browser Restrictions KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 140 So geben Sie die Browserzugriffssteuerung an 1 W hlen Sie in der Administratorkonsole das Men Authentication amp Authorization gt Authorization Groups und anschlie end eine Gruppe aus 2 W hlen Sie aus den Gruppenregisterkarten Authentication gt Browser Restrictions aus 3 W hlen Sie die entsprechende Option aus und klicken Sie dann auf Save Changes Folgende Optionen stehen zur Verf gung Use Users group settings Wendet die Einstellungen der Benutzergruppe an Users can sign in from any browser Erm glicht es Benutzern sich ber alle unterst tzten Webbrowser anzumelden Users can only sign in from the specified browsers Erm glicht es Ihnen Regeln f r die Browserzugriffssteuerung festzulegen So erstellen Sie eine Regel 1 Geben Sie im Feld User agent string pattern eine Zeichenfolge im Format lt browser_string gt ein Dabei ist das Zeichen Sternchen ein optionales Zeichen das f r die bereinstimmung mit einem beliebigen Zeichen verwendet wird Bei lt browser_string gt handelt es sich um ein Muster bei dem die Gro und Kleinsc
183. il Nutzungsstatistik zu Spitzenzeiten 22 Mailserver konfigurieren 267 Meetings Registerkarte Authorization Groups Men 216 Members Registerkarte Administrators Men 82 Men Authentication amp Authorization gt Active Users 220 223 Authentication amp Authorization gt Administrators 82 Authentication amp Authorization gt Authentication Servers 92 Authentication amp Authorization gt Authorization Groups 126 Network gt Clustering 247 Network gt Email Settings 267 Network gt Network Settings 240 Network gt SNMP 270 Network gt Web Proxy 264 System gt Appearance 36 System gt Certificates 41 System gt Import Export 58 System gt Install Service Package 66 System gt Secure Meetings 67 System gt Settings 5 Microsoft Authenticode Zertifikat 54 MS Exchange Abbildung 206 Aktualisierungen der Windows Registrierung 207 automatische Hostzuordnung 184 Festlegen zul ssiger Server f r J SAM 207 bersicht 205 MS Exchange J SAM Unterregisterkarte Authorization Groups Men gt Applications Registerkarte 205 N Neoteris Support Zusammenarbeit mit 26 31 Neoteris Support xiii Netegrity SiteMinder Server Einzelanmeldung 81 Konfigurationsschritte 119 123 bersicht 79 Netscape ausf hren einer JVM 54 Network Men s Clustering 247 Email Settings 267 Network Settings 240 SNMP 270 Web Proxy 264 Network Connect Unterregisterkarte Authorization Groups Men gt General Reg
184. il Nachricht keine eigene E Mail Adresse im IVE festlegt 6 Klicken Sie auf Save Changes 7 Konfigurieren Sie Secure Meeting Einstellungen f r einzelne Autorisierungsgruppen anhand der Anweisungen in Erm glichen und Konfigurieren von Konferenzen f r Autorisierungsgruppen auf Seite 216 So deaktivieren Sie automatische E Mail Benachrichtigungen f r Konferenzg ste 1 Klicken Sie in der Administratorkonsole auf die Registerkarte System gt Secure Meetings gt General 2 W hlen Sie Disabled aus 3 Klicken Sie auf Save Changes Abbildung 35 System gt Secure Meetings gt General KAPITEL 2 Verwalten von systemweiten Einstellungen 70 Anzeigen und Absagen geplanter Konferenzen Auf dieser Registerkarte k nnen Sie alle derzeit auf dem IVE Server geplanten Konferenzen anzeigen und ggf Konferenzen absagen So zeigen Sie Konferenzen an 1 Klicken Sie in der Administratorkonsole auf die Registerkarte System gt Secure Meetings gt General Im IVE werden Echtzeitinformationen zu allen derzeit ausgef hrten oder geplanten Konferenzen angezeigt 2 Gehen Sie zum ndern der Konferenzansicht wie folgt vor W hlen Sie in der Liste View einen Zeitraum aus und klicken Sie auf Update um zu steuern welche Konferenzen angezeigt werden Klicken Sie auf eine beliebige unterstrichene Spalten berschrift um die Sortierreihenfolge der derzeit angezeigten Konferenzen zu steuern Wenn Sie eine Konferenz absa
185. ingend empfohlen diesen automatischen Dienst zu aktivieren Falls n tig k nnen Sie ihn jedoch auch deaktivieren Auf der Seite Security gt General k nnen Sie nicht nur Sicherheitseinstellungen konfigurieren sondern zur Leistungssteigerung auch Beschleunigerkarten aktivieren Beachten Sie dass die folgenden Einstellungen nur angezeigt werden wenn Sie ein A5000 IVE erworben haben das mit der entsprechenden Karte ausger stet ist SSL Beschleuniger Mit der SSL Beschleunigerkarte wird die Leistung gesteigert indem die Ver und Entschl sselung von SSL Handshakes vom IVE an die Beschleunigerkarte delegiert wird ZIP Beschleuniger Mit dem ZIP Beschleuniger wird die Leistung gesteigert indem alle HTML JavaScript und CSS Daten komprimiert werden auf die per Navigation im Web oder im Dateisystem zugegriffen wird So ndern Sie die Sicherheits und Leistungseinstellungen 1 W hlen Sie in der Administratorkonsole die Registerkarte System gt Settings gt Security gt General 2 W hlen Sie die gew nschten Optionen aus und klicken Sie dann auf Save Changes KAPITEL 2 Verwalten von systemweiten Einstellungen 12 Abbildung 4 System gt Settings gt Security gt General 13 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Festlegen von Regeln f r die Zwischenspeicherung von Inhalten Die Zwischenspeicherung im Browser ist standardm ig deaktiviert so dass das IVE s mtliche Se
186. ion auf OK gesetzt ist 253 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Abbildung 102 Serielle Konsole von Neoteris Das neue Clustermitglied wurde erfolgreich hinzugef gt Abbildung 103 Network gt Clustering gt Status Das neue Clustermitglied wurde erfolgreich hinzugef gt KAPITEL 4 Verwalten von IVE Netzwerkeinstellungen 254 Hinzuf gen eines IVEs zu einem Cluster ber die Administratorkonsole Ein nicht initialisiertes oder eigenst ndiges IVE kann entweder ber die serielle Konsole oder ber die Administratorkonsole zu einem Cluster hinzugef gt werden Wir empfehlen die serielle Konsole zu verwenden siehe Seite 249 da bei diesem Verfahren nur wenige Informationen eingegeben m ssen um das IVE zum Cluster hinzuzuf gen Falls Sie die Administratorkonsole bevorzugen und das IVE noch nicht initialisiert wurde f hren Sie die Ersteinrichtung des Ger ts wie im Installationshandbuch beschrieben durch Dieses Handbuch liegt dem Produkt bei und steht zudem auf der Website des Neoteris Support im PDF Format zur Verf gung Wichtig Wenn Sie ein eigenst ndiges IVE ber die Administratorkonsole zu einem Cluster hinzuf gen m chten muss dieses ber die gleiche Lizenz verf gen wie die anderen Mitglieder Au erdem muss das gleiche Softwarepaket auf der gleichen Hardwareplattform wie bei den anderen Mitgliedern ausgef hrt werden So f gen Sie ein IVE ber die Administratorkonsole des IVEs zu
187. ion Manager wenn sich ein Benutzer anmeldet Wenn Sie nicht Yes ausw hlen m ssen die Benutzer Secure Application Manager manuell ber das Men Client Applications starten 181 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Zus tzliche Optionen bei aktiviertem J SAM Wenn Sie die Java Version von Secure Application Manager aktivieren werden auf der Unterregisterkarte Applications gt General zus tzliche Konfigurierungsoptionen angezeigt die unten beschrieben werden Beachten Sie dass die Clientanwendung eine Verbindung mit dem lokalen Computer herstellen muss auf dem Secure Application Manager als Anwendungsserver ausgef hrt wird damit die Java Version von Secure Application Manager fehlerfrei verwendet werden kann Die empfohlene Vorgehensweise f r das Zuordnen von Anwendungsservern zum lokalen PC eines Benutzers besteht in der Aktivierung der automatischen Hostzuordnung wodurch das IVE die Datei hosts automatisch so ndern kann dass Anwendungsserver zum lokalen Host f r sichere Portumleitung geleitet werden Wichtig Die automatische Hostzuordnung kann auf Windows PCs nur erfolgen wenn die Benutzer ber Administratorrechte verf gen und Secure Application Manager daher die Datei hosts ndern kann Wenn Benutzer nicht ber Administratorrechte verf gen wird im Secure Application Manager Fenster eine Fehlermeldung ange zeigt und die Benutzer k nnen nicht auf Client Serveranwendungen zugreifen Wenn
188. ion entsprechenden Versionshinweise 2 Auf der Registerkarte Certificates gt CA Certificate k nnen Sie ein Stamm zertifikat in das IVE importieren das das clientseitige Zertifikat berpr ft Seite 52 3 Auf der Unterregisterkarte Authentication amp Authorization gt Authorization Groups gt GroupName gt Authentication gt Certificate legen Sie die entsprechenden Einstellungen f r das clientseitige Zertifikat fest Seite 142 Um das Setup zu vereinfachen kann eine Gruppe die Einstellungen f r das clientseitige Zertifikat erben die Sie f r die Benutzergruppe festlegen Wenn Ihr Unternehmen bereits ein digitales Serverzertifikat erworben hat importieren Sie die Zertifkikatdatei und den entsprechenden Schl ssel ber die Registerkarte Server Certificate in das IVE Auf dieser Registerkarte k nnen Sie auch ein auf dem bestehenden privaten Schl ssel basierendes erneuertes Zertifikat importieren oder ein Zertifikat importieren das auf einer Zertifikatssi gnaturanforderung die Sie bei einer Zertifizierungsstelle eingereicht haben Dieser Abschnitt umfasst folgende Aufgaben Importieren eines bestehenden Serverzertifikats und eines privaten Schl ssels 43 Importieren eines erneuerten Serverzertifikats f r das der bestehende privater Schl ssel verwendet wird 45 Erstellen einer Zertifikatssignaturanforderung f r ein neues Serverzertifikat 47 Importieren eines signierten Serverzertifikats das an
189. is IVE Appliance erforderlich Gruppenbasierte Zugriffssteuerung auf Datei und URL Ebene Standard f r Access 3000 und Access 5000 Systeme Zentralisierte Protokollierung auf Anwendungsebene durch die Administrator und Benutzeraktionen Verbindungs Datei und Webanforderungen sowie Systemfehler verfolgt werden Systemsoftwareaktualisierungen ber das Internet SNMP und DMZ Unterst tzung 1 Welche Funktionen zur Verf gung stehen h ngt von dem erworbenen Produkt der Neoteris Access Series und den Aktualisierungsoptionen ab 5 Kapitel2 Verwalten von systemweiten Einstellungen Die Verwaltung des IVE umfasst die Konfiguration und Verwaltung von systemweiten Einstellungen Authentifizierungsservern Autorisierungsgruppen und Netzwerkeinstellungen In diesem Kapitel werden die systemweiten Verwaltungsaufgaben und einstellungen beschrieben die alle IVE Endbenutzer betreffen und die Sie ber die System Men s konfigurieren k nnen System gt Men Settings 5 System gt Men Appearance 36 System gt Men Certificates 41 System gt Men Import Export 58 System gt Men Install Service Package
190. isterkarte 129 Network Settings Men Konfigurationsaufgaben 240 Netzmaske f r externen Port 241 f r internen Port 240 Netzwerk Angeben von lokal aufzul senden Hostnamen 245 Netzwerk statische Routen angeben 243 Netzwerkeinstellungen urspr ngliche 226 Netzwerkpakete Abh ren mit Sniffer Programm 28 Neu starten des IVE Servers 6 Neuschreiben Option f r den Durchgangsproxy 150 153 Option zum selektiven Neuschreiben 150 152 NIS Server Konfigurationsschritte 112 bersicht 76 nslookup Befehl 30 O Offene Richtlinie Web 158 286 INDEX Windows Ressourcen 167 Options Unterregisterkarte Authorization Groups Men gt General Registerkarte 135 Overview Unterregisterkarte Authorization Groups Men gt General Registerkarte 127 P ping Befehl 30 POP Mailserver 267 Port externen ndern 241 internen ndern 240 Pragma No Cache PNC 13 Privater Schl ssel 43 Properties Registerkarte Clustering Men 262 R RADIUS Server Konfigurationsschritte 113 bersicht 77 Regeln Browserzugriffssteuerung 140 Cachesteuerung 13 Zuordnung von Benutzern zu Gruppen 92 Regeln f r die Zwischenspeicherung von Inhalten 13 Remote Debugging Unterregisterkarte Settings Men gt Debugging Registerkarte 31 Restrictions Unterregisterkarte Settings Men gt Sign in Options Registerkarte 32 S Schedule Registerkarte Secure Meetings Men 70 Schl ssel 43 sdconf rec generieren 117
191. it der Anmeldeanforderung best tigt hat kann die RSA SecurID Software einen Tokenwert transparent ber das IVE an ACE Server weitergeben Wenn ACE Server den Benutzer authentifiziert hat wird der Zugriff auf das IVE gew hrt Andernfalls f hrt ACE Server folgende Aktionen aus Verweigern des Benutzerzugriffs auf das System wenn die Anmeldeinformationen des Benutzers nicht erkannt wurden Weiterleiten des Benutzers an die IVE Standardanmeldeseite wenn der Benutzer versucht sich auf der Seite RSA SecurID Authentication auf einem Computer anzumelden auf dem die SecurID Software nicht installiert ist Auffordern des Benutzers eine neue PIN zu erstellen New PIN Modus wenn der Benutzer sich erstmals bei Neoteris IVE anmeldet Dem Benutzer werden je nach verwendetem Anmeldeverfahren unterschiedliche Aufforderungen angezeigt Bei Anmeldung ber die Seite RSA SecurID Authentication werden die RSA Aufforderungen zum Erstellen einer neuen PIN angezeigt Andernfalls werden die IVE Aufforderungen angezeigt Beachten Sie dass der Benutzer f r die erstmalige Anmeldung eine tempor re PIN ben tigt Auffordern des Benutzers zur Eingabe des n chsten Tokens Next Token Modus wenn das vom Benutzer eingegebene Token nicht mit dem von ACE Server erwarteten Token bereinstimmt Der Next Token Modus ist f r Benutzer transparent die sich ber die Seite RSA SecurID Authentication anmelden Die RSA SecurID Software bergibt d
192. iten die f r Remotebenutzer bereitgestellt werden als nicht zwischenspeicherungsf hig markiert Durch diese Einstellung wird verhindert dass vertrauliche Seiten auf Remotecomputern verbleiben nachdem ein Benutzer den Browser geschlossen hat Diese Option kann jedoch auch zu einer Verlangsamung des Browsers f hren weil sie zum wiederholten Abrufen von Inhalten f hrt Bei sehr langsamen Verbindungen k nnen Probleme mit der Systemleistung auftreten Alternativ k nnen Sie Regeln f r die Zwischenspeicherung festlegen die es gestatten dass bestimmte Inhalte wie Bilder die eine bestimmte Gr enbeschr nkung nicht berschreiten zwischengespeichert werden k nnen Das IVE berpr ft f r jede Anforderung eines Benutzers die festgelegten Cacheregeln Dabei k nnen der Ursprungsserver die angeforderte Datei und die Inhaltsl nge entsprechend den Angaben des Ursprungsservers gepr ft werden Falls eine Regel zutrifft wendet das IVE die festgelegte Richtlinie f r das Zwischenspeichern an Dabei kann es sich um eine von zwei Optionen f r nicht zwischenspeicherungsf hige Inhalte handeln Pragma No Cache PNC Bei entsprechender Einstellung f gt das Vermittlungsmodul der Antwort die Header pragma no cache und cache control no cache hinzu Dar ber hinaus leitet das IVE die Cacheheader des Ursprungsservers beispielsweise age date etag last modified expires nicht weiter Cache Control No Store CCNS Wenn der Administr
193. iter 4 Das IVE entkapselt die Clientdaten und sucht in der MAPI Anforderung nach dem Exchange Zielserver Die Anforderung wird dann an den Zielserver weitergeleitet Jede Anforderung im MAPI Protokoll codiert den Zielserver f r die Anforderung Wenn von Secure Application Managerstammende MAPI Anforderungen eingehen werden sie vom IVE Server berpr ft und jeweils zum entsprechenden Zielserver weiterverteilt Dieser Prozess wird auch bei Vorhandensein mehrerer Exchange Server unbemerkt ausgef hrt 5 Der Exchange Server antwortet dem IVE mit E Mail Daten 6 Das IVE kapselt die Antwort und leitet sie vom Exchange Server ber SSL an Secure Application Manager weiter 7 Secure Application Manager entkapselt die vom IVE gesendeten Informationen und leitet die normale MAPI Antwort vom Exchange Server an dem Outlook Client weiter Abbildung 82 Java Secure Application Manager und erweiterte MS Exchange Unterst tzung In dieser Abbildung wird das f r die automatische Hostzuordnung f r den MS Outlook Client konfigurierte IVE dargestellt hosts file 127 0 0 1 exchange1 company com 127 0 0 1 exchange2 company com Client Machine Secure Application Manager Java applet Java applet encapsulates Microsoft Exchange data and securely port forwards it to the IVE Internet Internet Port 443 SSL Internet MS Outlook Enterprise Servers IVE exchange1 company co m exchange2 company co m 207 Neoteris Instant
194. itet diese Anmeldeinformationen an Defender weiter 2 Defender sendet eine eindeutige Anfragezeichenfolge an das IVE und im IVE wird diese Anfragezeichenfolge dem Benutzer angezeigt 3 Der Benutzer gibt die Anfragezeichenfolge in einem Defender Token ein und das Token erzeugt eine Antwortzeichenfolge 4 Der Benutzer gibt die Antwortzeichenfolge im IVE ein und klickt auf Sign In Konfigurationsinformationen finden Sie unter Festlegen einer RADIUS Serverinstanz auf Seite 113 KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 78 ACE Server Beim Authentifizieren von Benutzern mit einem RSA ACE Server k nnen sich Benutzer mit zwei Methoden anmelden Unter Verwendung der IVE Standardanmeldeseite Der Benutzer wechselt zur IVE Standardanmeldeseite gibt dann den Benut zernamen und das Kennwort ein bestehend aus der Kombination von PIN und dem aktuellen Wert des RSA SecurID Hardware oder Softwaretokens Das IVE leitet diese Anmeldeinformationen des Benutzers dann an ACE Server weiter Unter Verwendung der RSA SecurID Authentifizierungsseite Wenn der Benutzer RSA SecurID Software im System installiert hat kann er unter Verwendung des folgenden URL Formats auf die Seite RSA SecurID Authentication wechseln https IVE login ServerInstanz und Eingabe der PIN In Abh ngigkeit von der RSA Konfiguration muss der Benutzer m glicherweise auch den Benutzernamen eingeben Wenn das IVE die G ltigke
195. itt zum Cluster machen m ssen Administratorkonsole Falls das IVE nicht initialisiert ist m ssen Sie die Ersteinrichtung f r das IVE durchf hren bevor Sie es ber die Administratorkonsole zu einem Cluster hinzuf gen k nnen Das dem Produkt beiliegende Installationshandbuch enth lt Erl uterungen zur Installation und Erstkonfiguration eines IVE Dieses Handbuch steht auch auf der Neoteris Support Site im PDF Format zur Verf gung Wenn ein IVE einem Cluster hinzugef gt wird initialisiert es seinen Status von einem bestehenden Mitglied das Sie festlegen Das neue Mitglied sendet eine Nachricht an das bestehende Mitglied und fordert die Synchronisation an Das bestehende Mitglied sendet daraufhin den Systemstatus an das neue Mitglied wodurch alle Systemdaten dieses Ger ts berschrieben werden Danach synchronisieren die Mitglieder des Clusters bei jedem Auftreten eines Ereignisses die Daten miteinander Die Kommunikation zwischen Cluster mitgliedern ist verschl sselt um Angriffe von au erhalb der firmeninternen Firewall zu verhindern Jedes IVE verwendet das gemeinsame Kennwort zum Entschl sseln der Nachrichten von anderen Clustermitgliedern 229 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Bereitstellen eines Clusters im Aktiv Passiv Modus Die Neoteris Access 1000 3000 und 5000 Plattformen k nnen als Clusterpaar im Aktiv Passiv Modus bereitgestellt werden In diesem Modus bearbeitet ein IV
196. ive Directory Server mit folgenden Protokollen authentifizieren NTLM W hlen Sie Active Directory or Windows NT Domain siehe Seite 95 aus LDAP W hlen Sie LDAP Server siehe Seite 96 aus Authentication amp Authorization gt Men Authentication Servers Schritt 1 Angeben von Serverinformationen und der Option f r die Zuordnung von Benutzern zu Gruppen 93 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Wenn Sie zum Authentifizieren von Benutzeradministratoren eine Serverinstanz erstellen m ssen Sie IVE Local Authentication ausw hlen 3 Klicken Sie auf Create Die Konfigurationsseite f r den ausgew hlten Server wird angezeigt Hinweis bersichtsinformationen zu unterst tzten Servertypen finden Sie unter Unterst tzte Authentifizierungsserver auf Seite 75 4 Geben Sie einen Namen ein um die Serverinstanz zu bezeichnen Da Benutzern das Prinzip der Anmeldung bei einem Authentifizierungs server nicht notwendigerweise sofort vertraut ist wird die Verwendung eines bekannten Namens f r die Gruppe empfohlen zu der der betref fende Benutzer geh rt z B Firma oder Hauptniederlassung 5 Geben Sie die f r die Herstellung der Verbindung mit dem Server erforderlichen Informationen ein Details zum ausgew hlten Server finden Sie im entsprechenden Abschnitt Definieren einer Active Directory Serverinstanz oder einer Windows NT Dom nenserverinstanz
197. kale Datenbanken f r vom IVE authen tifizierte Benutzer erstellen Sie k nnen lokale Benutzerdatens tze f r Benutzer erstellen die normalerweise von einem externen Authentifizierungsserver berpr ft werden den Sie deaktivieren m chten Dies bietet sich auch an wenn Sie eine Gruppe von tempor ren Benutzern erstellen m chten Beachten Sie dass alle Administratorenkonten als lokale Datens tze gespeichert werden es jedoch m glich ist dass Administratoren ber einen externen Server authentifiziert werden Weitere Informationen zur Administratorauthentifizie rung finden Sie unter Festlegen von IP Adresseinschr nkungen f r die Admini stratorengruppe auf Seite 89 Konfigurationsinformationen finden Sie unter Erstellen lokaler Benutzer nur bei lokaler IVE Authentifizierung auf Seite 101 Active Directory oder Windows NT Dom ne Beim Authentifizieren von Benutzern mit einem prim ren NT Dom nencontroller oder mit Active Directory melden sich Benutzer am Neoteris IVE Server mit dem Benutzernamen und dem Kennwort an mit denen sie auf den eigenen Windows Desktop zugreifen Konfigurationsinformationen finden Sie unter Definieren einer Active Directory Serverinstanz oder einer Windows NT Dom nenserverinstanz auf Seite 106 KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 76 LDAP Server Beim Authentifizieren von Benutzern mit einem LDAP Server berpr ft der Neoteris IVE Server vor dem Gew h
198. karte ACLs amp Bookmarks 63 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Offene oder geschlossene Richtlinie Das IVE importiert und exportiert alle angegebenen ACLs und Lesezeichen f r eine Gruppe unabh ngig von den zugeordneten Richtlinien Wenn die Gruppe mit einer offenen Richtlinie konfiguriert wurde gelten die zugeordneten ACLs und Lesezeichen Wenn die Gruppe mit einer geschlossenen Richtlinie konfiguriert wurde gelten die ACLs und Lesezeichen die f r die geschlossene Richtlinie konfiguriert wurden Prim re ACL und Lesezeichenelemente Die folgenden Elemente werden f r Autorisierungsgruppen unterst tzt lt WebAcls gt Enth lt die Details der Web ACL f r eine Gruppe lt Type gt Die offene oder geschlossene Zugriffsrichtlinie die die Ressourcen steuert auf die Benutzer zugreifen k nnen lt RawIP gt Die allgemeine IP Richtlinie Gew hren oder Verweigern die steuert ob Benutzer ber die IP Adresse des Servers auf eine Ressource zugreifen k nnen lt Open gt Die Ausnahmeliste f r eine offene Richtlinie die aus lt WebAcl gt Elementen besteht lt Closed gt Die Ausnahmeliste f r eine geschlossene Richtlinie die aus lt WebAcl gt Elementen besteht lt WindowsAcls gt Enth lt die Details der Windows ACL f r eine Gruppe lt Type gt Die offene oder geschlossene Zugriffsrichtlinie die die Ressourcen steuert auf die Benutz
199. kebene wie z B ein VPN erforderlich Diese Funktion ben tigt die Microsoft JVM und wird auf PCs unter Windows 2000 mit Internet Explorer 5 5 oder 6 0 unterst tzt Damit Remotebenutzer diese Funktion verwenden k nnen m ssen sie den Lotus Notes Client zum Verwenden von localhost als Einstellung f r den Remotestandort konfigurieren Secure Application Manager nimmt dann vom Lotus Notes Client angeforderte Verbindungen auf In Abbildung 84 werden die Interaktionen zwischen dem Lotus Notes Client und einem Lotus Notes Server ber das IVE dargestellt 1 Der Benutzer startet den Lotus Notes Client mit der Home Location Einstellung Der Client ermittelt die Proxyeinstellung d h den lokalen Host den PC des Benutzers f r seine Home Location Einstellung 2 Der Lotus Notes Client stellt eine Verbindung mit Secure Application Manager her und beginnt damit Anforderungen f r E Mail zu senden 3 Secure Application Manager kapselt Anforderungen vom Lotus Notes Client und leitet diese ber SSL an das IVE weiter 4 Das IVE entkapselt die Clientdaten und ermittelt den Lotus Notes Zielserver in der Lotus Notes Anforderung Die Anforderung wird dann an den Zielserver weitergeleitet Jede Anforderung im Lotus Notes Protokoll codiert den Zielserver f r die Anforderung Wenn Lotus Notes Anforderungen vom Anwendungsproxy eingehen ruft der IVE Server die Zielserverinformationen von den Anforderungen ab und verteilt die Anforderunge
200. ktion bietet sich an wenn Ihre Richtlinien f r die Netzwerksicherheit diese Konfiguration erfordern oder wenn Sie zur Leistungssteigerung einen Webproxy mit Zwischenspeicherung verwenden m chten Gegenw rtig gilt Folgendes Das IVE unterst tzt nur HTTP Proxys Secure HTTP HTTPS Proxys werden nicht unterst tzt Das IVE ruft Secure HTTP Inhalte ber eine direkte Verbindung ab KAPITEL 4 Verwalten von IVE Netzwerkeinstellungen 234 Das IVE unterst tzt keine Authentifizierung ber Webproxys Wenn Sie die Webproxy Funktion des IVE verwenden m chten m ssen Sie Ihren Webproxy so konfigurieren dass nicht authentifizierte Benutzer akzeptiert werden Schrittweise Anleitungen zum Konfigurieren des IVE f r die Weiterleitung von Webanforderungen an einen Webproxy finden Sie auf Seite 264 Konfigurieren der Aktualisierungsoption f r Secure Email Client Die vom IVE bereitgestellte E Mail Unterst tzung h ngt von den optionalen Funktionen ab die f r den IVE Server lizenziert sind Aktualisierungsoption f r den Secure Email Client Wenn Ihre IVE Lizenz die Aktualisierungsoption f r den Secure Email Client umfasst unterst tzt das IVE IMAP4 Internet Mail Application Protocol POP3 Post Office Protocol und SMTP Simple Mail Transfer Protocol Sie k nnen problemlos auf firmeninterne IMAP POP SMTP Mailserver zugreifen indem Sie im Men Email Settings Seite 267 den Mailserver die E Mail Sitzung und die Aut
201. ktivieren Zus tzliche Aufgaben Klicken Sie zum Bearbeiten eines Lesezeichens auf dessen Namen und f hren Sie die nderungen dann entsprechend den oben angegebenen Richtlinien durch Um ein Lesezeichen zu l schen aktivieren Sie das Kontrollk stchen neben dem jeweiligen Namen und klicken Sie auf Delete Klicken Sie zum Sortieren von Lesezeichen auf Sort markieren Sie ein Lesezeichen ndern Sie die Position ber die Schaltfl che Nach oben oder Nach unten und klicken Sie dann auf Save Changes Abbildung 67 Authentication amp Authorization gt Authorization Groups gt GroupName gt Web gt Bookmarks 163 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Angeben der Server mit denen Java Applets eine Verbindung herstellen k nnen Auf dieser Registerkarte k nnen Sie angeben mit welchen Servern und Ports Java Applets eine Verbindung herstellen k nnen So geben Sie an mit welchen Servern Java Applets eine Verbindung herstellen k nnen 1 W hlen Sie in der Administratorkonsole das Men Authentication amp Authorization gt Authorization Groups und anschlie end eine Gruppe aus 2 W hlen Sie aus den Gruppenregisterkarten Web gt Java Socket ACL aus Benutzerdefinierte Autorisierungsgruppen erben standardm ig die Einstel lungen der Benutzergruppe Klicken Sie zum Festlegen benutzerdefinierter Einstellungen auf Use custom settings und anschlie end auf Update 3 Geb
202. l lungen der Benutzergruppe Klicken Sie zum Festlegen benutzerdefinierter Einstellungen auf Use custom settings und anschlie end auf Update 3 Klicken Sie zum Erstellen des Lesezeichens auf New 4 Geben Sie die Einstellungen f r das Lesezeichen an 1 Wechseln Sie zum Server und Sharenamen bzw geben Sie diesen ein Geben Sie einen Pfad ein um den Zugriff weiter einzuschr nken Wenn Sie den Benutzernamen des Benutzers einf gen m chten geben Sie an der entsprechenden Stelle im Pfad lt USER gt in Gro buchstaben ein Wenn Sie einen Namen und eine Beschreibung f r das Lesezeichen angeben werden diese Informationen anstelle des Servers der Freigabe auf der IVE Startseite angezeigt 2 Klicken Sie auf Add Resource Wenn Sie das Hinzuf gen von Lesezeichen beendet haben w hlen Sie die Gruppenregisterkarte Files gt General aus 3 Vergewissern Sie sich dass die entsprechenden Windows Netzwerkop tionen f r die Autorisierungsgruppe konfiguriert wurden Weitere Informationen finden Sie unter Files gt Unterregisterkarte General auf Seite 164 Hinweis Ein Windows Server kann nicht mit einem Lesezeichen versehen werden Sie m ssen sowohl den Server als auch den Freigabenamen angeben Files gt Unterregisterkarte Windows Bookmarks 171 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Zus tzliche Aufgaben Klicken Sie zum Bearbeiten eines Lesezeichens auf dessen Namen und
203. lb des Unternehmens So konfigurieren Sie einen Benutzer PC mit DNS Suffixen Windows 2000 1 W hlen Sie im Startmen von Windows Einstellungen gt Netzwerk und DF Verbindungen gt LAN Verbindung und dann Eigenschaften aus 2 W hlen Sie Internetprotokoll TCP IP aus und klicken Sie dann auf Eigenschaften 3 Klicken Sie auf Erweitert und dann auf die Registerkarte DNS 4 Klicken Sie auf Diese DNS Suffixe anh ngen und dann auf Hinzuf gen 5 F gen Sie die internen Dom nen Ihres Unternehmens als zus tzliche DNS Suffixe hinzu Konfigurieren eines PCs der die Verbindung mit dem IVE ber einen Proxywebserver herstellt Dieses Verfahren kann jedoch nur angewendet werden wenn der PC eines Remotebenutzers so konfiguriert ist dass in Internet Explorer ein Webproxy verwendet wird Dieses Verfahren gew hrleistet dass Clientanwendungen eine Verbindung mit Secure Application Manager herstellen statt zu versuchen eine Verbindung mit dem Webproxy herzustellen 203 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch So konfigurieren Sie einen PC der die Verbindung mit dem IVE ber einen Webproxy in Internet Explorer herstellt 1 W hlen Sie in Internet Explorer im Men Extras die Option Internetoptionen aus 2 Klicken Sie auf der Registerkarte Verbindungen auf die Schaltfl che LAN Einstellungen 3 Klicken Sie unter Proxyserver auf die Schaltfl che Erweitert 4 Geben Sie unter Ausnahmen die
204. len Aktualisierungsoption f r Secure Application Manager lizenziert ist k nnen Sie Benutzern den Zugriff auf Client Server Anwendungen ber einen Webbrowser erm glichen Folgende Optionen stehen zur Verf gung User Users setting Wendet die Einstellungen der Benutzergruppe an Enabled using the Windows version Access Control Aktiviert die Windows Version von Secure Application Manager Weitere Informationen zu W SAM finden Sie unter Applications gt Unterregisterkarte Secure Application Manager W SAM auf Seite 187 KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 180 Enabled using the Windows version with Netbios support Access Control Aktiviert die Windows Dateifreigabe unter Verwendung des NetBIOS Protokolls f r Nachrichtenverkehrim Zusammenhang mit Dateiopera tionen Diese Option bietet Benutzern die M glichkeit auf dem Remo tenetzwerk Laufwerke zuzuordnen auf freigegebene Firmendateien zuzugreifen und Dateien mit Windows Explorer zu ffnen Weitere Informationen zu W SAM finden Sie unter Applications gt Unterregisterkarte Secure Application Manager W SAM auf Seite 187 Wichtig Wenn Sie diese Option aktivieren m ssen Sie auch die W SAM Zugriffssteuerungsliste konfigurieren die angibt an welche Unter nehmensressourcen auf der Grundlage der IP Adresse Port Kombination die Anforderung einer Anwendung oder eines Hosts gesendet werden
205. lients verwenden Die Netscape E Mail Clients k nnen nicht im POP Modus f r den Remotezugriff verwendet werden da sie S POP nicht unterst tzen Dieses Protokoll wird jedoch vom Neoteris IVE Server f r die sichere Daten bertragung gefordert Arbeiten mit Microsoft Exchange Server Microsoft Exchange Server unterst tzt Systemeigene MAPI Clients Messaging Application Programming Interface IMAP Clients POP Clients Outlook Web Access OWA Der Neoteris IVE Server bietet Zugriff auf Microsoft Exchange Server ber IMAP und POP Clients unter Verwendung der Aktualisierungsoption f r den 237 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Secure Email Client und ber OWA mit der Funktion f r die sicheres Webbrowsing Wenn Sie den Zugriff auf Microsoft Exchange Server ber das systemeigene MAPI Protokoll erm glichen m chten muss das IVE mit den Aktualisierungsoption f r Secure Application Manager lizenziert sein Exchange Server und IMAP Clients Falls es sich bei dem firmeneigenen Mailserver um Exchange Server handelt ist der B rocomputer eines Mitarbeiters wahrscheinlich f r die Verwendung des E Mail Clients Outlook 2000 oder 2002 im systemeigenen MAPI Modus konfiguriert Laptopbenutzer in der Firma Diese Benutzer k nnen einen der Outlook Express oder Netscape Clients f r den Remotezugriff auf Exchange Server ber das Neoteris IVE verwenden 1 Benutze
206. llen 189 bersicht ber Java Secure Application Manager J SAM 193 Festlegen von Clientanwendungen f r die J SAM eine Portweiterleitung durchf hrt 197 Konfigurieren der externen DNS Server und Benutzercomputer falls erforderlich 201 Konfigurieren eines PCs der die Verbindung mit dem IVE ber einen Proxywebserver herstellt 202 Testen von J SAM im Unternehmen 203 Erweiterte Unterst tzung f r MS Exchange 205 Angeben zul ssiger MS Exchange Server 207 Erweiterte Unterst tzung f r Lotus Notes 210 Festlegen zul ssiger Lotus Notes Server 211 Konfigurieren des Lotus Notes Clients 213 Erweiterte Unterst tzung f r Citrix NFuse 214 ndern von Citrix NFuse Standardeinstellungen 215 Erm glichen und Konfigurieren vo
207. llen Daten in die Datei log old verschoben Auf diese Weise stellt das System sicher dass zumindest die maximale Dateigr e f r die Daten beibehalten wird und dass Sie immer Zugriff auf die doppelte Menge an Daten haben und zwar in den aktuellen und in den alten Protokolldateien Wichtig Vergewissern Sie sich dass der Syslog Server Nachrichten mit den folgenden Einstellungen akzeptiert facility LOG_USER und level LOG_INFO Unterregisterkarten Log gt View und Log gt Settings 19 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Weitere Informationen zum Festlegen eines Archivierungsplans f r das Systemprotokoll finden Sie unter Planen der Archivierung von Systeminformationen auf Seite 24 So legen Sie die Protokolleinstellungen fest 1 Klicken Sie in der Administratorkonsole auf die Unterregisterkarte System gt Settings gt Log gt Settings um f r das Systemprotokoll auf die Seite Settings zuzugreifen 2 Legen Sie die maximale Dateigr e f r die lokale Protokolldatei fest Die Grenze liegt bei 500 MB Im Systemprotokoll werden Daten bis zu der angegebenen Menge angezeigt 3 Pr fen Sie welche Ereignisse in der lokalen Protokolldatei erfasst werden sollen Wenn diese Ereignisse auch in der syslog Netzwerkdatei aufgezeichnet werden sollen geben Sie den Namen oder die IP Adresse des Syslog Servers an 4 Klicken Sie auf Save Changes Die nderungen werden sofort wirksam
208. llen von Lesezeichen f r sichere Terminalsitzungen 185 Festlegen von Anwendungen und Hosts die mit W SAM gesichert werden sollen 189 Festlegen von Clientanwendungen f r die J SAM eine Portweiterleitung durchf hrt 197 Angeben zul ssiger MS Exchange Server 207 Festlegen zul ssiger Lotus Notes Server 211 Konfigurieren des Lotus Notes Clients 213 ndern von Citrix NFuse Standardeinstellungen 215 berpr fen einer Zusammenfassung der Einstellungen f r Autorisierungsgruppen Verwenden Sie diese Registerkarte um eine Zusammenfassung der Einstellungen f r Autorisierungsgruppen zu berpr fen So berpr fen Sie eine Zusammenfassung der Gruppeneinstellungen 1 W hlen Sie in der Administratorkonsole das Men Authentication amp Authorization gt Authorization Groups und anschlie end eine Gruppe aus 2 W hlen Sie aus den Gruppenregisterkarten General gt Overview aus General gt Unterregisterkarte Overview KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 128 Abbildung 55 Authentication amp Authorization gt GroupName gt General gt Overview 129 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch ber die Aktualisierungsoption Network Connect verf gen Sie auf Netzwerkebene ber einen sicheren SSL basierten Remotezugriff auf alle Unternehmensanwendungsressourcen ber das IVE W SAM Seite 187 bietet im
209. lliert werden nderungen des Administrators an den Benutzer System und Netzwerkein stellungen beispielsweise nderungen an Zeit berschreitungen bei Sitzungen an der Option zum Aktivieren bzw Deaktivieren der URL Navigation und an von Benutzern erstellten Lesezeichen sowie Ger te und Serverinformationen Benutzeranmeldung und abmeldung Zeit berschreitungen bei Sitzungen darunter Leerlaufzeiten und berschreitungen der maximalen Sitzungsl nge Systemfehler und warnungen Dateianforderungen von Benutzern Webanforderungen Anzahl der gleichzeitig angemeldeten Benutzer im Intervall von jeweils einer Stunde Anmeldung innerhalb der Stunde Benachrichtigungen ber einen Neustart des IVE Dienstes der IVE berwachungsprozess pr ft in regelm igen Abst nden den IVE Server und startet ihn neu falls das IVE nicht reagiert Anforderungen zur Pr fung der Serververbindung Auf der Seite Log Settings k nnen Sie angeben welche Ereignisse protokolliert werden die maximale Dateigr e f r das Systemprotokoll festlegen und einstellen ob Ereignisse zus tzlich zur lokalen Protokollierung auch auf dem Syslog Server protokolliert werden sollen Auf der Seite Log View k nnen Sie die festgelegte Anzahl an Ereignissen anzeigen die Protokolldatei in einem Netzwerk speichern und das Protokoll l schen Wenn das Protokoll die maximal zul ssige Dateigr e erreicht werden die aktue
210. lokale Benutzerkonten importieren oder exportieren In der Benutzerkontendatei sind s mtliche lokalen Benutzer enthalten die Sie f r alle lokalen Authentifizierungsserver definiert haben Exportieren lokaler Benutzerkonten So exportieren Sie eine Systemkonfigurationsdatei 1 W hlen Sie in der Administratorkonsole System gt Import Export gt Configuration aus Registerkarten User Accounts 61 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch 2 Geben Sie unter Export ein Kennwort ein wenn die Konfigurationsdatei durch ein Kennwort gesch tzt werden soll 3 Klicken Sie zum Speichern der Datei auf Save Config As Importieren lokaler Benutzerkonten So importieren Sie lokale Benutzerkonten 1 W hlen Sie in der Administratorkonsole System gt Import Export gt User Accounts aus 2 Wechseln Sie zu der Konfigurationsdatei die in der Standardeinstellung user cfg hei t 3 Geben Sie das f r die Datei festgelegte Kennwort ein Wenn Sie vor dem Export der Datei kein Kennwort festgelegt haben lassen Sie dieses Feld leer 4 Klicken Sie auf Import Config Abbildung 32 System gt Import Export gt Registerkarte User Accounts KAPITEL 2 Verwalten von systemweiten Einstellungen 62 Mit Hilfe dieser Registerkarte k nnen Sie Zugriffssteuerungslisten ACLs und Lesezeichen f r Autorisierungsgruppen importieren oder exportieren Die Daten werden als XML Datei exportiert die f r jede ex
211. lten von IVE Netzwerkeinstellungen 228 bersicht ber Cluster Sie legen einen Cluster in einem IVE mithilfe der folgenden drei Angaben fest 1 Eine Bezeichnung f r den Cluster 2 Ein gemeinsames Kennwort f r die Clustermitglieder 3 Einen Namen der das IVE im Cluster kennzeichnet Nachdem Sie diese Daten auf der Seite Network gt Clustering angegeben haben klicken Sie auf Create Cluster um den Cluster zu initiieren und das aktuelle IVE zum Cluster hinzuzuf gen Nach der Definition des Clusters enth lt die Seite Clustering die Registerkarten Status und Properties Der Status des neuen Clusters wird auf der Registerkarte Status angezeigt Die Registerkarte Status enth lt den Clusternamen und typ erm glicht Ihnen die Angabe neuer Mitglieder sowie die Verwaltung bestehender Mitglieder und bietet umfassende Informationen zum Clusterstatus Abbildung 107 auf Seite 259 zeigt die Registerkarte Status die in Tabelle 1 auf Seite 259 detailliert beschrieben wird Nach der Definition und Initialisierung eines Clusters m ssen Sie angeben welche IVEs zu dem Cluster hinzugef gt werden Nachdem ein IVE als vorgesehenes Mitglied angegeben wurde k nnen Sie es dem Cluster ber folgende Komponenten hinzuf gen Serielle Konsole Es empfiehlt sich ein nicht initialisiertes oder eigenst ndiges IVE einem Cluster ber die serielle Konsole siehe Seite 273 hinzuzuf gen da Sie bei diesem Verfahren nur wenige Angaben f r den Beitr
212. mplementiert eine private MIB Management Information Base und definiert eigene Traps Um die Verarbeitung dieser Traps in der Netzwerkverwaltungsstation zu erm glichen m ssen Sie die Neoteris MIB Datei herunterladen und die entsprechenden Angaben zum Empfangen der Traps machen Hinweis Zum berwachen wesentlicher IVE Systemstatistiken beispielsweise der CPU Auslastung laden Sie die UC Davis MIB Datei in Ihre SNMP Managementanwendung Sie erhalten die MIB Datei im Internet unter folgender Adresse http net snmp sourceforge net UCD SNMP MIB txt So legen Sie SNMP Einstellungen fest 1 W hlen Sie in der Administratorkonsole das Men Network gt SNMP aus 2 Klicken Sie auf die Verkn pfung mit der Neoteris MIB file um auf die MIB Datei zuzugreifen und speichern Sie die Datei dann im Browser unter einem Netzwerkpfad 3 F hren Sie unter Agent Properties folgende Schritte durch Geben Sie in die Felder System Name System Location und System Contact Informationen ein die den IVE Agenten beschreiben Optional Geben Sie im Feld Community eine Zeichenfolge ein Erforderlich Hinweis Zum Abfragen des IVEs muss Ihre Netzwerkverwaltungsstation diese Zeichenfolge an das IVE senden Um den SNMP Daemon zu beenden l schen Sie die Angaben im Feld Community 4 Legen Sie unter Traps die Server fest an die das IVE Traps senden soll die es bei Eingabe folgender Daten generiert Der Hostname oder die IP Adre
213. mportieren m chten 3 W hlen Sie im Dropdownmen Data die Konfigurationsdaten f r ACLs und Lesezeichen aus die Sie in die angegebene Gruppe importieren m chten 4 Wechseln Sie zu der zuvor gespeicherten Konfigurationsdatei und klicken Sie dann auf Import Config Abbildung 33 System gt Import Export gt ACLs amp Bookmarks KAPITEL 2 Verwalten von systemweiten Einstellungen 66 Sie k nnen ein anderes Dienstpaket installieren indem Sie zuerst von der Neoteris Support Website die Software herunterladen und diese dann ber die Administratorkonsole hochladen Dieses Feature wird meist dazu verwendet Aktualisierungen auf neuere Versionen der Systemsoftware durchzuf hren Sie k nnen jedoch mit diesem Verfahren die Systemsoftware auch auf eine ltere Version herunterstufen oder alle aktuellen Konfigurationseinstellungen l schen und eine neue Ausgangsbasis schaffen Paketdateien werden verschl sselt und signiert so dass der IVE Server nur g ltige von Neoteris ausgegebene Pakete akzeptiert Mit dieser Ma nahme wird verhindert dass der IVE Server als Trojanische Pferde bezeichnete Programme akzeptiert Installieren eines Neoteris Softwaredienstpakets So installieren Sie ein Dienstpaket 1 Wechseln Sie zur Neoteris Support Website http support neoteris com und rufen Sie das gew nschte Dienstpaket ab 2 W hlen Sie in der Administratorkonsole das Men System gt Install Service Package aus 3 Klicken Sie
214. n 277 Durchf hren g ngiger Wiederherstellungsvorg nge 280 ix Elemente der Benutzeroberfl che Systemmen s System gt Men Settings 5 Registerkarte General 6 Registerkarte License 7 Security gt Unterregisterkarte General 9 Security gt Unterregisterkarte Content Caching 13 Registerkarte Time 16 Log gt Unterregisterkarte View 18 Log gt Unterregisterkarte Settings 18 Registerkarte Statistics 22 Registerkarte Archiving 24 Debugging gt Unterregiste
215. n Benutzerdefinierte Autorisierungsgruppen erben in der Standardeinstellung die Einstellungen der Benutzergruppe Die Aufgabe einer Autorisierungsgruppe besteht im Festlegen der Ressourcen und Aufgaben auf die Benutzer zugreifen und die sie durchf hren k nnen z B Zugreifen auf bestimmte Webserver und Erstellen von Lesezeichen Das IVE ordnet einen best tigten Benutzer einer IVE Autorisierungsgruppe basierend auf der Authentifizierungsserverinstanz zu Diese ist lediglich eine Konfigura tion eines Servers die die Serverinformationen und die Zuordnung von Benut zern zu Gruppen angibt Die Zuordnung von Benutzern zu Gruppen ist die Methode mit der das IVE authentifizierte Benutzer einer Autorisierungsgruppe zuordnet Folgende Gruppenzuordnungsoptionen sind verf gbar Das IVE erh lt Gruppeninformationen aus der Authentifizierungstransaktion und ordnet den Benutzer basierend auf diesen Informationen einer Autorisierungsgruppe zu Hinweis In Version 3 0 k nnen Sie nur LDAP und RADIUS Server konfigurieren um Gruppeninformationen als Teil des Transaktionsvorgangs zur ckzugeben Das IVE fragt einen weiteren externen Server nach den Gruppeninformationen des Benutzers ab Hinweis In Version 3 0 wird nur ein LDAP Verzeichnis f r das externe Gruppen lookup unterst tzt Das IVE weist Benutzer Gruppen auf Grundlage des jeweiligen Benutzernamens zu Das IVE weist alle Benutzer bestimmten Gruppen zu die Sie jeweils
216. n amp Authorization gt Authentication Servers gt Active Directory or Windows NT Domain Festlegen einer LDAP Serverinstanz Verwenden Sie diese Informationen zusammen mit den unter Definieren einer Authentifizierungsserverinstanz auf Seite 92 beschriebenen Schritten So legen Sie einen LDAP Server fest 1 Geben Sie einen Namen ein um die Serverinstanz zu bezeichnen 2 Geben Sie den Namen oder die IP Adresse des LDAP Servers an der vom Neoteris IVE zur berpr fung von Benutzern verwendet wird 3 Geben Sie den Port an den der LDAP Server berwacht Dies ist bei Verwendung einer unverschl sselten Verbindung normalerweise Port 389 und bei Verwendung von SSL Port 636 109 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch 4 Geben Sie Parameter f r LDAP Sicherungsserver an optional Das IVE verwendet die angegebenen Server f r die Failover Verarbeitung Jede Authentifizierungsanforderung wird zun chst an den prim ren LDAP Server weitergeleitet und dann an den oder die angegebenen Sicherungsserver falls der prim re Server nicht erreichbar ist Hinweis LDAP Sicherungsserver m ssen dieselbe Version wie der prim re LDAP Server aufweisen Beachten Sie auch dass es beim Angeben von LDAP Sicherungsservern ratsam ist statt des Hostnamens die IP Adresse anzugeben Da der Hostname nicht in eine IP Adresse aufgel st werden muss kann die Failover Verarbeitung beschleunigt werden 5 Geben Sie an
217. n die vollst ndigen Namen von Benutzern zu ndern und die Kennw rter von Benutzern zu ndern Informationen zum Konfigurieren eines Authentifizierungsservers finden Sie unter Authentication amp Authorization gt Men Authentication Servers auf Seite 92 Autorisierungsgruppen Eine Autorisierungsgruppe ist eine IVE Benutzergruppe der Sie authentifi zierte Benutzer zuordnen k nnen Im IVE stehen drei Typen von Autorisie rungsgruppen zur Verf gung Administratorengruppe Mitglieder der Administratorengruppe k nnen sich an der Administratorkonsole anmelden und s mtliche System und Benutzereinstellungen konfigurieren Sie erstellen das erste Administratorengruppenkonto wenn Sie ber die serielle Konsole von Neoteris einen Benutzernamen und ein Kennwort angeben Diese KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 74 Kontoinformationen werden auf dem lokalen IVE Authentifizierungsserver gespeichert Weitere Administratorenkonten k nnen Sie ber die Administratorkonsole erstellen Benutzergruppe Mitglieder der Benutzergruppe k nnen sich bei der IVE Startseite anmelden und die Features von Neoteris IVE verwenden die Sie f r die Benutzergruppe aktiviert haben Vom Administrator definierte Autorisierungsgruppe1 Bei einer vom Administrator definierten Autorisierungsgruppe handelt es sich lediglich um eine weitere Gruppe f r die bestimmte Zugriffssteuerungen verwendet werde
218. n Benutzer der angegebenen Autorisierungsgruppe zuordnen soll 7 Klicken Sie auf Save Changes um Schritt 1 abzuschlie en Die Register karten Group Mapping und User werden angezeigt 8 Wechseln Sie zu Schritt 2 Angeben von Informationen f r die Grup penzuordnung auf Seite 98 95 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Abbildung 43 Konfigurieren eines Active Directory Servers der NTLM verwendet Wenn Sie einen Active Directory Server konfigurieren der f r die Authentifizierung das NTLM Protokoll verwendet und Sie f r das Gruppenlookup Autorisierung denselben AD Server verwenden m chten m ssen Sie das Dialogfeld f r Gruppenlookupserver konfigurieren siehe Seite 97 In der folgenden Abbildung 43 wird die Serverkonfigurationsseite nach dem Festlegen der LDAP Attribute im Dialogfeld f r Gruppenlookupserver dargestellt KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 96 Abbildung 44 Konfigurieren eines Active Directory Servers der LDAP verwendet Wenn Sie einen Active Directory Server konfigurieren der f r die Authentifizierung das LDAP Protokoll verwendet und Sie f r das Gruppenlookup Autorisierung denselben AD Server verwenden m chten m ssen Sie lediglich die Informationen f r das Gruppenlookup auf der Serverkonfigurationsseite konfigurieren 97 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Konfigurieren eines Servers f r das
219. n Konferenzen f r Autorisierungsgruppen 216 Authentication amp Authorization gt Men Import Users 220 Erstellen einer Textdatei mit Benutzerdatens tzen 220 Importieren von Benutzer und Gruppeneinstellungen auf einen Authentifizierungsserver 222 Authentication amp Authorization gt Men Active Users 223 berwachen von am IVE angemeldeten Benutzern 223 vii Kapitel4 Verwalten von IVE Netzwerkeinstellungen 225 Konfigurieren allgemeiner Netzwerkeinstellungen f r das IVE 226 Konfigurieren eines Clusters von IVE Servern 227 bersicht ber Cluster 228 Bereitstellen eines Clusters im Aktiv Passiv Modus 229 Bereitstellen eines Clusters im Aktiv Aktiv Modus 230 Statussynchronisierung 232 Konfigurieren des IVE als Webproxy
220. n Port in eine lokale IP Adresse und Netzmaske sowie ein lokales Gateway zu ndern 4 Klicken Sie zum Speichern der Einstellungen auf Save Changes Abbildung 94 Network gt Network Settings gt External Port Hinweis Wenn der IVE Server nicht mit der optionalen DMZ Funktion lizenziert ist werden auf der Seite Network Settings nur die Registerkarten Network Port und Static Routes angezeigt 243 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Angeben von statischen Routen f r den Netzwerkverkehr Auf der Registerkarte Static Routes k nnen Sie Routingtabelleneintr ge hinzuf gen Weitere Informationen zu allgemeinen Netzwerkeinstellungen finden Sie auf Seite 226 Hinweis Alle Verbindungsanforderungen an interne Ressourcen erfolgen von dem internen IVE Port aus unabh ngig von den Routeneinstellungen Die Routeneinstellungen des externen Ports werden nur zur Weiterleitung von Paketen verwendet die Verbindungen zugeordnet sind die von einem Remoteclient initiiert wurden So geben Sie statische Routen an 1 W hlen Sie in der Administratorkonsole die Registerkarte Network gt Network Settings gt Static Routes aus 2 Geben Sie die erforderlichen Informationen ein und klicken Sie auf Add Registerkarte Static Routes KAPITEL 4 Verwalten von IVE Netzwerkeinstellungen 244 Abbildung 95 Network gt Network Settings gt Static Routes 245 Neoteris Instant Virtual Extranet Appliance Admi
221. n Sie einen Alias f r den Hostnamen des Anwendungs servers ein F r diesen Alias m ssen Sie einen Eintrag im externen DNS vornehmen der f r das IVE aufgel st wird Wenn das IVE eine Clientanforderung f r den Alias empf ngt leitet er die Anforderung an den f r den Anwendungsserver angegebenen Port weiter 151 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Diese Option bietet sich an wenn in Ihrem Unternehmen restriktive Richtlinien f r das ffnen von Firewallports zum Zugriff auf das IVE bestehen Wenn Sie diese Option verwenden ist es empfehlenswert dass jeder Hostnamenalias dieselbe Dom nenteilzeichenfolge enth lt wie der IVE Hostname und dass Sie in folgendem Format ein Serverzertifikat mit Platzhalter in das IVE hochladen domaene com Wenn der IVE beispielsweise iveserver ihrefirma com lautet muss der Hostnamenalias im Format anwserver ihrefirma com und mit Platzhalter im Format ihrefirma com angegeben werden Wenn Sie kein Zertifikat mit Platzhalter verwenden stellt der Browser eines Clients eine Warnung zu einer Zertifikatsnamen berpr fung aus wenn ein Benutzer zu einem Anwendungsserver wechselt da der Hostnamenalias des Anwendungsservers nicht mit dem Zertifikatsdom nennamen bereinstimmt Durch dieses Verhalten wird ein Benutzer jedoch nicht daran gehindert auf den Anwendungs server zuzugreifen Beispiele Wenn das IVE den Namen iveserver IhreFirma com hat und Sie ber einen Oracl
222. n Systeminformationen auf Seite 24 Zugriffssteuerungslisten ACLs f r Autorisierungsgruppen und Lesezeichen 62 Diese Informationen werden in einer XML Datei unter dem angegebenen Pfad gespeichert Sie k nnen die XML Datei bearbeiten um ACLs und Lesezeichen f r eine Autorisierungsgruppe hinzuzuf gen zu ndern oder zu l schen und dann die berarbeiteten ACLs und Lesezeichen in die Gruppe importieren Diese Informationen bilden einen Teil der Systemkonfigurationseinstellungen Mit Hilfe dieser Registerkarte k nnen Sie eine Systemkonfigurationsdatei importieren oder exportieren Die Systemkonfigurationsdatei enth lt alle systemweiten Einstellungen f r Authentifizierungsserver Autorisierungsgruppe und Netzwerk Exportieren einer Systemkonfigurationsdatei So exportieren Sie eine Systemkonfigurationsdatei 1 W hlen Sie in der Administratorkonsole System gt Import Export gt Configuration aus 2 Geben Sie unter Export ein Kennwort ein wenn die Konfigurationsdatei durch ein Kennwort gesch tzt werden soll 3 Klicken Sie zum Speichern der Datei auf Save Config As System gt Men Import Export Registerkarte Configuration 59 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Importieren einer Systemkonfigurationsdatei Beim Importieren einer Systemkonfigurationsdatei k nnen Sie das Serverzerti fikat und die IP Adresse oder die Netzwerkeinstellungen des IVE Servers aus de
223. n an den entsprechenden Zielserver weiter Deshalb wird diese Funktion auch dann transparent ausgef hrt wenn von einem einzigen Benutzer auf mehrere Lotus Notes Server zugegriffen wird Applications gt Unterregisterkarte Lotus Notes J SAM 1 Sie k nnen auch die Windows Version von Secure Application Manager verwenden um den sicheren Remotezugriff von einem Outlook Client auf einen MS Exchange Server zu erm glichen 211 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch 5 Der Lotus Notes Server antwortet dem IVE mit E Mail Daten 6 Das IVE kapselt die Antwort vom Lotus Notes Server und leitet diese ber SSL an Secure Application Manager weiter 7 Secure Application Manager entkapselt die vom IVE gesendeten Informationen und leitet die normale Antwort vom Lotus Notes Server an den Lotus Notes Client weiter Abbildung 84 Java Secure Application Manager und erweiterte Lotus Notes Unterst tzung In dieser Abbildung wird der Remotestandortwert des Lotus Notes Clients dargestellt der auf dem lokalen Host konfiguriert wird Festlegen zul ssiger Lotus Notes Server Verwenden Sie die Unterregisterkarte Applications gt Lotus Notes um die Lotus Notes Server festzulegen an die Secure Application Manager Lotus Notes Clientanforderungen weiterleiten kann Sie m ssen diese Registerkarte nur dann konfigurieren wenn Sie die Unterst tzung von Lotus Notes auf der Unterregisterkarte Applications gt General
224. n eines Administrators nach dem Erstellen des Kontos ndern m chten m ssen Sie ein neues Konto erstellen 4 Geben Sie den Authentifizierungstyp zur berpr fung der Anmeldeinformationen des Benutzers an Folgende Optionen sind m glich Lokale Authentifizierung Geben Sie ein Kennwort f r den Administrator ein Der Neoteris IVE Server vergleicht die Anmeldeinformationen des Benutzers mit dem angegebenen Benutzernamen und dem Kennwort Externe Authentifizierung Stellen Sie sicher dass auf dem angegebenen Authentifizierungsserver derselbe Benutzername vorhanden ist Der Neoteris IVE Server bergibt die Anmelde informationen des Benutzers zur berpr fung an den Authentifizierungs server Wenn kein bereinstimmender Benutzername vorhanden ist kann sich der Benutzer nicht anmelden Hinweis Wenn Sie die externe Authentifizierung ausw hlen muss der f r die Administratorengruppe angegebene Server einen Datensatz f r den betreffenden Benutzer enthalten Weitere Informationen zum Angeben eines externen Servers f r die Administratorengruppe finden Sie unter Festlegen von IP Adresseinschr nkungen f r die Administratorengruppe auf Seite 89 5 Klicken Sie auf Create User Der Administrator wird der Administrator engruppe hinzugef gt KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 84 Abbildung 37 Authentication amp Authorization gt Administrators gt Members 85 Neoteris Insta
225. n f r Benutzer 138 f r externen Port 241 f r internen Port 240 IVE Erstellen einer ACE Agent Konfigurationsdatei f r 116 in LAN Abbildung 2 Konfigurieren als SiteMinder Webagent 123 Konfigurieren von RADIUS zum Erkennen von 114 J Java Socket ACL Unterregisterkarte Authorization Groups Men gt Web Registerkarte 163 Java Applets Angeben von Verbindungen 163 ausf hren ber MS und SUN JVM 54 zulassen 149 JavaSoft Zertifikat 54 K Kennwortl nge 10 Knoten Cluster 257 Konfiguration Systemaktualisierung xiii Konfigurationsdatei ACLs und Lesezeichen exportieren 64 ACLs und Lesezeichen importieren 64 lokale Benutzerkonten exportieren 60 lokale Benutzerkonten importieren 61 System exportieren 58 System importieren 59 Konsole seriell 273 L LAN Netzwerkeinstellungen ndern 240 241 LDAP Server Konfigurationsschritte 108 bersicht 76 Lesezeichen Einrichten sicherer Terminalsitzungen 185 exportieren 64 f r das Web erstellen 161 importieren 64 Java Applet erforderlich 162 unter UNIX erstellen 174 unter Windows erstellen 170 License Registerkarte Settings Men 7 Lizenzbeschreibung 7 Lokaler Authentifizierungsserver Konfigurationsschritte 92 bersicht 75 285 INDEX Lotus Notes Abbildung 211 Festlegen zul ssiger Server f r J SAM 211 Konfigurieren eines Clients 213 bersicht 210 Lotus Notes J SAM Unterregisterkarte Authorization Groups Men gt Applications Registerkarte 210 M Ma
226. n f r die Benutzer bereitstellen Konfigurieren Sie einfach das IVE zur Anzeige einer Hilfeschaltfl che auf der IVE Anmeldeseite und legen Sie eine HTML Datei fest die beim Klicken auf die Hilfeschaltfl che angezeigt werden soll Abbildung 20 Neoteris IVE Anmeldeseite mit Hilfeschaltfl che So passen Sie die Darstellung des IVE an 1 Klicken Sie in der Administratorkonsole auf die Registerkarte System gt Appearance gt General um auf die Seite General zuzugreifen 2 Legen Sie im Abschnitt Header eine benutzerdefinierte Logobilddatei und eine andere Farbe f r den Seitenkopf fest 3 Legen Sie im Abschnitt Browsing Toolbar ein benutzerdefiniertes Symbol f r die IVE Symbolleiste zum Durchsuchen fest Die empfohlene Gr e f r das Symbol betr gt maximal 24 Quadratpixel bzw ist kleiner als 6 KB Sie k nnen auch festlegen dass die Symbolleiste nicht angezeigt wird 4 Zur Personalisierung der Begr ungsnachricht die auf der Seite Bookmarks des IVE angezeigt wird w hlen Sie Personalize welcome message in the Bookmarks page Bei Auswahl dieser Option wird in der Begr ungsnachricht der vollst ndige Name des Benutzers sofern verf gbar oder der Benutzername angezeigt 5 Klicken Sie auf Save Changes KAPITEL 2 Verwalten von systemweiten Einstellungen 38 Anpassen der IVE Anmeldeseite So passen Sie die IVE Endbenutzeroberfl che an 1 Klicken Sie in der Administratorkonsole auf die Registerkarte System gt Ap
227. n importierten Informationen ausschlie en Um beispielsweise mehrere IVEs hinter einem Load Balancer einzurichten importieren Sie alle Daten au er der IP Adresse Um ein IVE als Sicherungsserver einzurichten importieren Sie alle Daten au er dem digitalen Zertifikat und den Netzwerkeinstellungen So importieren Sie eine Konfigurationsdatei 1 W hlen Sie in der Administratorkonsole System gt Import Export gt Configuration aus 2 Geben Sie an ob Sie das Serverzertifikat importieren m chten Das Zertifikat wird nur importiert wenn Sie das Kontrollk stchen Import Server Certificate aktivieren 3 W hlen Sie eine Importoption aus Beachten Sie folgende Punkte Wenn Sie die IP Adresse ausschlie en wird die IP Adresse des Servers beim Importieren der Datei nicht ge ndert Wenn Sie die Netzwerkeinstellungen ausschlie en werden die Informationen auf der Seite Network Settings interner Port externer Port und statische Routeneinstellungen nicht ge ndert 4 Wechseln Sie zu der Konfigurationsdatei die in der Standardeinstellung system cfg hei t 5 Geben Sie das f r die Datei festgelegte Kennwort ein Wenn Sie vor dem Export der Datei kein Kennwort festgelegt haben lassen Sie dieses Feld leer 6 Klicken Sie auf Import Config KAPITEL 2 Verwalten von systemweiten Einstellungen 60 Abbildung 31 System gt Import Export gt Registerkarte Configuration Mit Hilfe dieser Registerkarte k nnen Sie
228. n konfigurieren Liste Applications Diese Liste enth lt Anwendungen f r die W SAM den Client Serververkehr zwischen dem Client und dem IVE sichern soll Liste Hosts Diese Liste enth lt Hosts f r die W SAM den Client Serververkehr zwischen dem Client und dem IVE sichern soll Beachten Sie dass Sie um unter Verwendung von W SAM mit NetBIOS auf eine Freigabe zuzugreifen sowohl in der W SAM Zugriffssteuerungsliste als auch auf der Seite Add Hosts den NetBIOS Namen des Servers alphanumerische Zeichenfolge mit bis zu 15 Zeichen explizit angeben m ssen Gegenw rtig werden keine Platzhalter unterst tzt Wenn das IVE Daten vom W SAM empf ngt pr ft es die serverseitige ACL f r Secure Application Manager um festzustellen ob die Anforderung f r die Unternehmensressource die auf den zul ssigen IP Port Kombinationen basiert weitergeleitet wird Diese ACL wird ber die Unterregisterkarte Applications konfiguriert So geben Sie Anwendungen und Hosts an die mit W SAM gesichert werden sollen 1 W hlen Sie in der Administratorkonsole das Men Authentication amp Authorization gt Authorization Groups und anschlie end eine Gruppe aus 2 W hlen Sie aus den Gruppenregisterkarten Applications gt General aus Vergewissern Sie sich dass die Windows Version von Secure Application Manager aktiviert ist 1 Sie k nnen Secure Application Manager so konfigurieren dass der Start beim Anmelden eines Benutzers automa
229. n von Neoteris IVE auf den Exchange Server zuzugreifen m ssen Sie lediglich OWA im Intranet als webbasierte Anwendung bereitstellen Es ist keine weitere Einrichtung erforderlich um eine OWA Implementierung au erhalb des Netzwerks bereitzustellen Hinweis Bei Verwendung des Neoteris IVE Servers f r den Zugriff auf Outlook Web Access wird der IIS Webserver f r OWA vor Standardangriffen z B Nimda gesch tzt und bietet daher erheblich h here Sicherheit als der Einsatz von OWA direkt ber das Internet Arbeiten mit Lotus Notes und Lotus Notes Mail Server Lotus Notes Mail Server stellt POP3 und IMAP4 Schnittstellen zur Verf gung und erm glicht Benutzern somit das Abrufen von E Mail Nachrichten von einer Lotus Notes E Mail Konfiguration ber das Neoteris IVE Um zu ermitteln welcher E Mail Client sich f r die E Mail Benutzer im Unternehmen empfiehlt die Remotezugriff auf den Lotus Mailserver ben tigen lesen Sie bitte den Abschnitt ber das Arbeiten mit standardbasierten Mailservern auf Seite 236 berwachen des IVE als SNMP Agent Mit einem Netzwerkverwaltungstool wie HP OpenView k nnen Sie das IVE als SNMP Agent berwachen Das IVE unterst tzt SNMP v2 implementiert eine private MIB Management Information Base und definiert eigene Traps Um die Verarbeitung dieser Traps in der Netzwerkverwaltungsstation zu erm glichen m ssen Sie die Neoteris MIB Datei herunterladen und die entsprechenden Angaben zum Empfangen der Traps
230. nanforderungen von Benutzern mit den Regeln des SiteMinder Richtlinienservers zu autorisieren Wenn Sie diese Option ausw hlen speichert das IVE Berechtigungen f r Benutzeranforderungen f r zehn Minuten im Cache Wenn ein Benutzer w hrend dieser zehn Minuten mehrmals auf dieselbe Ressource zugreift muss die Anforderung nicht erneut gesendet werden Um diesen Cache manuell zu leeren klicken Sie auf Flush Cache Wenn Sie diese Option ausw hlen m ssen Sie in SiteMinder die entsprechenden Regeln erstellen die mit dem Servernamen gefolgt von einem Schr gstrich beginnen z B www yahoo com www yahoo com und www yahoo com r f1 N chster Schritt 1 Geben Sie einen URL ein an den das IVE Benutzer umleitet deren Authentifizierung fehlschl gt Diese Seite wird anstelle einer IVE Fehlermeldung angezeigt Hinweis Das IVE verwendet diesen Umleitungs URL nur dann wenn vom SiteMinder Richtlinienserver keine Antwort zum Umleiten empfangen wird 2 Geben Sie im Feld Resource for insufficient protection level eine Ressource des Web Agenten ein an die Benutzer vom IVE umgeleitet werden wenn sie nicht ber die erforderlichen Berechtigungen verf gen Diese Ressource ist statisch Schreiben Sie daher auf der Seite zu die der Benutzer umgeleitet wird eine allgemeine Meldung Sie k nnen Benutzer zum Beispiel zu einer Anmeldeseite umleiten Beachten Sie dass Sie nicht den gesamten URL der Ressource eingeben m s
231. nd standardm ig SSL Version 3 und TLS erforderlich In lteren Browsern wird SSL Version 2 verwendet Sie k nnen entweder die Benutzer ihre Browser aktualisieren lassen oder die Einstellung ndern damit sowohl SSL Version 2 als auch SSL Version 3 zul ssig sind Zul ssige Verschl sselungsst rke F r den Neoteris IVE Server ist in der Standardeinstellung eine 128 Bit Verschl sselung erforderlich In lteren Browsern die vor der nderung des US Exportgesetzes im Jahr 2000 entwickelt wurden das bis dahin f r den internationalen Export eine Verschl sselungsst rke von 40 Bit vorschrieb wird u U noch die 40 Bit Verschl sselung verwendet Sie k nnen entweder den Benutzern mitteilen dass diese eine Aktualisierung auf einen Browser mit 128 Bit Verschl sselung vornehmen sollen oder die erforderliche Verschl sselungsst rke ndern so dass auch die 40 Bit Verschl sselung zul ssig ist Navigation zu SSL Sites Der Neoteris IVE Server gestattet die Navigation zu internen SSL Sites denen https vorangestellt ist und akzeptiert als Standard s mtliche tempor ren oder anderen Zertifikate Falls Sie Bedenken wegen Benutzern haben die ber IVE zu Sites ohne Zertifikate von einer g ltigen externen Zertifizierungsstelle navigieren deaktivieren Sie diese Funktion Vermittlung der Standardauthentifizierung Der Neoteris IVE Server kann die Anmeldeinformationen von Benutzern vermitteln um zu verhindern
232. ngen auf Use custom settings und anschlie end auf Update 3 Geben Sie im Dropdownfeld Current Policy entweder eine geschlossene oder eine offene Richtlinie an und klicken Sie auf Change Offene Richtlinie Wenn Sie eine offene Richtlinie ausw hlen f gen Sie der Liste Denied Resources Ressourcen hinzu auf die Benutzer nicht zugreifen d rfen 1 Klicken Sie auf Deny by Hostname oder auf Deny IP Range 2 Geben Sie die erforderlichen Informationen ein Wenn Sie einen Namen und eine Beschreibung f r die Ressource eingeben werden diese Informationen in der Liste Denied Resources anstelle des Hostnamens oder der IP Adresse angezeigt Beispiel Web gt Unterregisterkarte Access Control 159 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Wenn Sie der Liste Denied Resource den Eintrag http Firma com hinzuf gen wird einem Benutzer der ErsteFirma com eingibt der Zugriff auf die Webseite verweigert Hinweis Um eine IP Adresse und einen Port zu sperren z B http a b c d port geben Sie die Adresse auf der Seite Deny Web Resource ein und nicht auf der Seite Deny IP Range 3 Klicken Sie auf Add Resource oder auf Add IP Range Die Benutzer k nnen dann nicht mehr auf die Ressource zugreifen wenn sie sich das n chste Mal im IVE anmelden Hinweis Die Namen von Webressourcen k nnen in mehrere IP Adressen oder in unterschiedliche IP Adressen zu unterschiedlichen Zeiten aufgel st werden
233. ngs gt Hosts 247 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch In diesem Abschnitt werden Verwaltungsaufgaben erl utert die sich auf das Erstellen und Verwalten eines Clusterpaars beziehen Im Einzelnen sind dies folgende Aufgaben Definieren und Initialisieren eines Clusters 247 Hinzuf gen eines IVEs zu einem Cluster ber die serielle Konsole 249 Hinzuf gen eines IVEs zu einem Cluster ber die Administratorkonsole 254 Aktualisieren eines Clusters 256 Verwalten von Clusterknoten und Angeben neuer Clustermitglieder 257 ndern von Clustereigenschaften oder L schen eines Clusters 262 bersichtsinformationen zu Clustern finden Sie unter Konfigurieren eines Clusters von IVE Servern auf Seite 227 Wir empfehlen einen Cluster zun chst in einer Stagingumgebung bereitzu stellen und erst zu einer Produktionsumgebung zu wechseln nachdem Sie den Autorisierungsserver und die Konfiguration der Autorisierungsgruppen sowie die Anwendungen die die Endbenutzer m glicherweise verwenden getestet haben Wichtig Vor dem Erstellen eines Clusters m ssen Sie sicherstellen dass es sich bei allen vorgesehenen IVE Knoten um den gleichen Typ von Neoteris Hardware handelt und dass auf allen Knoten die gleiche Dienstpaketversion ausgef hrt wird Definieren und Initialisieren eines Cl
234. ngsgem funktioniert m ssen alle diese Ressourcen in der Liste Allowed Resource aufgef hrt werden KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 160 Zus tzliche Aufgaben Um eine Ressource in der Liste der zugelassenen oder verweigerten Ressourcen zu bearbeiten klicken Sie auf die entsprechende Verkn pfung Um eine Ressource zu l schen aktivieren Sie das Kontrollk stchen neben dem jeweiligen Namen und klicken Sie dann auf Delete Abbildung 66 Authentication amp Authorization gt Authorization Groups gt GroupName gt Web gt Access Control 161 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Erstellen von Lesezeichen f r Webressourcen Auf dieser Registerkarte k nnen Sie Weblesezeichen erstellen die auf der IVE Startseite angezeigt werden Sie k nnen den IVE Benutzernamen eines Benutzers im URL Pfad einf gen um bei Einzelanmeldung den Zugriff auf Back End Webanwendungen zu erm glichen So erstellen Sie ein Weblesezeichen 1 W hlen Sie in der Administratorkonsole das Men Authentication amp Authorization gt Authorization Groups und anschlie end eine Gruppe aus 2 W hlen Sie aus den Gruppenregisterkarten Web gt Bookmarks aus Benutzerdefinierte Autorisierungsgruppen erben standardm ig die Einstel lungen der Benutzergruppe Klicken Sie zum Festlegen benutzerdefinierter Einstellungen auf Use custom settings und anschlie end auf Update
235. nistrationshandbuch Angeben von Hostnamen die vom IVE lokal aufgel st werden sollen Auf der Registerkarte Hosts k nnen Sie Hostnamen angeben die vom IVE lokal zu IP Adressen aufgel st werden k nnen Diese Funktion bietet sich in folgenden F llen an Das IVE kann nicht auf den DNS Server zugreifen Im LAN wird ber WINS auf Server zugegriffen Die Sicherheitsrichtlinien Ihres Unternehmens lassen die Auflistung interner Server auf einem externen DNS nicht zu oder erfordern die Maskierung interner Hostnamen Wenn Sie auf der Registerkarte Network Settings gt Hosts eines Clusters Zuordnungen von Hostnamen eingeben werden die Einstellungen von den anderen Knoten bernommen Wenn Sie Zuordnungen von Hostnamen f r einen bestimmten Knoten eingeben m chten w hlen Sie das Men Clustering aus w hlen dann in der Liste Cluster Members einen Knoten aus und w hlen f r diesen Knoten dann die Registerkarte Hosts aus So geben Sie Hostnamen an die das IVE lokal aufl sen soll 1 W hlen Sie in der Administratorkonsole die Registerkarte Network gt Network Settings gt Hosts aus 2 Geben Sie eine IP Adresse eine durch Kommas getrennte Liste von Hostnamen die zu der IP Adresse aufgel st werden und bei Bedarf einen Kommentar von h chstens 200 W rtern ein und klicken Sie dann auf Add Registerkarte Hosts KAPITEL 4 Verwalten von IVE Netzwerkeinstellungen 246 Abbildung 96 Network gt Network Setti
236. nsinformationen finden Sie unter Festlegen einer NIS Serverinstanz auf Seite 112 77 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch RADIUS Server Beim Authentifizieren von Benutzern mit einem RADIUS Server m ssen Sie den RADIUS Server so konfigurieren dass der Neoteris IVE Server als Client erkannt wird Au erdem m ssen Sie f r den RADIUS Server einen gemeinsamen geheimen Schl ssel zur Verwendung bei der Authentifizierung der Clientanforderung angeben Der Neoteris IVE Server unterst tzt die RADIUS Standardauthentifizierungs schemas Zu diesen geh ren folgende Access Request Access Accept und Access Reject Der Neoteris IVE Server unterst tzt nicht das erweiterte RADIUS Authentifizierungsschema Access Challenge Code bei dem Benutzer zur Eingabe zus tzlicher Informationen aufgefordert werden Wenden Sie sich an den Neoteris Support um weitere Informationen zu dieser Option zu erhalten Der Neoteris IVE Server unterst tzt auch RSA ACE Server unter Verwendung des RADIUS Protokolls und eines SecurID Tokens erh ltlich von Security Dynamics Wenn Sie f r die Authentifizierung von Benutzern SecurID verwenden m ssen die Benutzer ihre Benutzer ID und die Kombination aus PIN und dem Tokenwert angeben Wenn Sie einen PassGo Defender RADIUS Server verwenden erfolgt die Benutzeranmeldung folgenderma en 1 Der Benutzer meldet sich beim IVE mit einem Benutzernamen und einem Kennwort an Das IVE le
237. nt Virtual Extranet Appliance Administrationshandbuch Abbildung 38 Authentication amp Authorization gt A dministrators gt Members gt New Zus tzliche Aufgaben Um ein Administratorengruppenkonto zu l schen markieren Sie die zu l schenden Konten und klicken Sie dann auf Delete Die Konten werden sofort gel scht Um ein Administratorengruppenkonto zu bearbeiten klicken Sie auf den Benutzernamen des Benutzers dessen Konto Sie bearbeiten m chten Sie k nnen den vollst ndigen Namen des Benutzers bearbeiten die Gruppenmitgliedschaft des Benutzers ndern oder den Authentifizierungstyp des Benutzers ndern Wenn Sie f r die Administratorengruppe keinen externen Authentifizierungsserver angeben siehe Festlegen von IP Adresseinschr nkungen f r die Administratorengruppe auf Seite 89 m ssen Sie die lokale Authentifizierung ausw hlen und ein Benutzerkennwort festlegen das in der lokalen Datenbank gespeichert und zum Authentifizieren des Benutzers verwendet wird Klicken Sie abschlie end auf Save Changes Hinweis Sie k nnen einen Benutzernamen nicht ndern Wenn Sie den Benut zernamen eines Administrators nach dem Erstellen des Kontos ndern m chten m ssen Sie f r diesen Administrator ein neues Konto erstellen KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 86 Geben Sie zum Suchen von Administratorengruppenkonten im Feld Show users named den Namen des zu suchenden Ben
238. nutzer k nnen diese Einstellung ber das Men IVE System gt Preferences au er Kraft setzen Wenn der automatische Start deaktiviert ist muss Secure Application Manager manuell gestartet werden indem auf die entsprechende Verkn pfung im IVE Homepagemenu geklickt wird Client Machine Enterprise Servers Enterprise Resources IVE Application list Host list Resource ACLs DNS Server Internet Internet Port 443 SSL Internet Secure Application Manager Windows Win32 service intercepts requests from specified applications and traffic for specified hosts 189 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Festlegen von Anwendungen und Hosts die mit W SAM gesichert werden sollen Verwenden Sie die Unterregisterkarte Applications gt Secure Application Manager um Anwendungen und Hosts festzulegen f r die W SAM den Datenverkehr sichert Wenn W SAM auf einen Client PC heruntergeladen wird sind darin die Informationen enthalten die Sie auf der Unterregisterkarte Applications gt Secure Application Manager f r die Autorisierungsgruppe des Benutzers konfigurieren Nachdem ein Benutzer1 Secure Application Manager aufgerufen hat f ngt W SAM Anforderungen von Clientanwendungen an Server im internen Netzwerk und Anforderungen von auf dem Client ausgef hrten Prozessen an interne Hosts ab Sie definieren diese Ressourcen auf der Unterregisterkarte Secure Application Manager indem Sie zwei Liste
239. nwendungen mit Komponenten unterst tzen die nicht mit dem Modul f r die Inhaltsvermittlung kompatibel sind wie Java Applets in Anwendungen der Oracle E Business Suite oder Applets die auf einer nicht unterst tzten Java Virtual Machine ausgef hrt werden Hinweis Die Option des Durchgangsproxys kann nur bei Anwendungen verwendet werden die feste Ports abfragen und bei denen der Client keine direkten Socketverbindungen herstellt Informationen zum Angeben von Anwendungen f r die das IVE eine minimale Vermittlung durchf hrt finden Sie unter Aktivieren und Angeben von Einstellungen f r den Durchgangsproxy auf Seite 153 Konfigurieren von Hosts f r die Option zum selektiven Neuschreiben bersichtsinformationen finden Sie unter Enable Selective Rewriting auf Seite 150 So geben Sie die Einstellungen f r selektives Neuschreiben an 1 W hlen Sie in der Administratorkonsole das Men Authentication amp Authorization gt Authorization Groups und anschlie end eine Gruppe aus 2 W hlen Sie aus den Gruppenregisterkarten Web gt General aus 3 W hlen Sie unter Enable Selective Rewriting den Eintrag Enabled aus und klicken Sie dann auf Save Changes 4 Klicken Sie unter Enable Selective Rewriting auf Selective Rewriting Settings 5 Geben Sie unter Rewrite alle Hosts an f r die das IVE Inhalt vermitteln soll Standardm ig wird ein Sternchen definiert was bedeutet dass jeder Inhalt von einem internen
240. ob die Verbindung zwischen dem Neoteris IVE und dem LDAP Verzeichnisdienst unverschl sselt sein soll oder ob SSL LDAPs oder LDAP over TLS verwendet werden soll 6 Klicken Sie auf Test Connection um die Verbindung zwischen dem IVE und den angegebenen LDAP Servern zu pr fen Optional 7 Geben Sie den zu suchenden LDAP Pfad an W hlen Sie Static Distinguished Name DN um auf den DN eines Benutzers direkt zuzugreifen Geben Sie den vollst ndigen DN Pfad ein F gen Sie zur Verwendung des Benutzernamens der auf der Anmeldeseite f r die Suche eingegeben wird im Pfad die Zeichenfolge lt USER gt in Gro buch staben ein Klicken Sie abschlie end auf Save Changes W hlen Sie Dynamic Distinguished Name DN um die Suche bei einer angegebenen Basis zu beginnen Geben Sie im Feld Base DN den Pfad der Basis ein bei der Sie die Suche beginnen m chten und geben Sie optional einen Filter an um die Suche einzugrenzen Wenn das Neoteris IVE f r das Durchsuchen der LDAP Datenbank authentifiziert werden soll aktivieren Sie Require application Neoteris IVE authentication to search the LDAP database und geben Sie dann den Anwendungs DN und das Kennwort an F gen Sie zur Verwendung des Benutzernamens der auf der Anmeldeseite f r die Suche eingegeben wird im Filter die Zeichenfolge lt USER gt in Gro buchstaben ein Beispiele o neoteris c om ou eng ou mktg c n cay c n dav e KAPITEL 3 Verwalt
241. oder die IP Adresse des NSI Servers sowie die NIS Dom ne an 5 Klicken Sie auf Save Changes Zus tzliche Aufgaben Um die Ressourceneinstellungen zu bearbeiten klicken Sie auf die Ressourcenverkn pfung in der Ressourcenliste Um eine UNIX NFS Ressource zu l schen aktivieren Sie das entsprechende Kontrollk stchen und klicken Sie auf Delete Abbildung 72 Authentication amp Authorization gt Authorization Groups gt GroupName gt Files gt UNIX Access KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 174 Erstellen von Lesezeichen f r UNIX Ressourcen Auf dieser Registerkarte k nnen Sie UNIX NFS Lesezeichen erstellen die auf der IVE Startseite angezeigt werden Sie k nnen den IVE Benutzernamen des Benutzers in den URL Pfad einf gen um so einen schnellen Zugriff auf die Netzwerkverzeichnisse des Benutzers zu erm glichen So erstellen Sie ein UNIX NFS Lesezeichen 1 W hlen Sie in der Administratorkonsole das Men Authentication amp Authorization gt Authorization Groups und anschlie end eine Gruppe aus 2 W hlen Sie aus den Gruppenregisterkarten Files gt UNIX Bookmarks aus Benutzerdefinierte Autorisierungsgruppen erben standardm ig die Einstel lungen der Benutzergruppe Klicken Sie zum Festlegen benutzerdefinierter Einstellungen auf Use custom settings und anschlie end auf Update 3 Klicken Sie zum Erstellen des Lesezeichens auf New 4 Geben Sie die Einstellung
242. offene Richtlinie ausgew hlt haben f gen Sie der Liste Denied Resources folgenderma en Ressourcen hinzu auf die Benutzer nicht zugreifen sollen 1 Klicken Sie auf Deny Resource 2 Geben Sie bei Bedarf einen Namen und eine Beschreibung f r die Ressource an Der angegebene Ressourcenname wird anstelle des UNC oder URL Namens in der Liste Denied Resources angezeigt Files gt Unterregisterkarte Windows Access KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 168 3 Klicken Sie auf Browse und navigieren Sie zum Server und der Freigabe die verweigert werden sollen Verwenden Sie NetBIOS Namen da die Angabe von Windows Ressources nach IP Adresse zu fehlerhaftem Verhalten f hrt 4 Wenn es sich bei der Ressource die verweigert werden soll um einen Unterordner handelt geben Sie den Pfad im Feld Path an 5 Klicken Sie auf Add Resource Benutzern wird die Ressource beim n chsten Zugriff auf die Seite Windows Files nicht mehr angezeigt 5 Wenn Sie in Schritt 4 eine geschlossene Richtlinie ausgew hlt haben f gen Sie zur Liste Allowed Resources folgenderma en Ressourcen hinzu auf die die Benutzer zugreifen d rfen 1 Klicken Sie auf Allow Resource 2 Geben Sie bei Bedarf einen Namen und eine Beschreibung f r die Ressource an Der angegebene Ressourcenname wird IVE Benutzern anstelle des Ressourcenspeicherortes angezeigt Die eingegebene Beschreibung wird IVE Benutzern ebenfalls angezeigt
243. onen an die Zertifizierungsstelle gesendet werden m ssen Wenn Sie von der Zertifizierungsstelle ein signiertes Zertifikat erhalten importieren Sie die Zertifikatdatei Befolgen Sie dabei die unter Importieren eines signierten Serverzertifikats das anhand einer Zertifikatssignaturanforderung erstellt wurde auf Seite 50 angegebenen Anweisungen Hinweis Wenn Sie eine Zertifikatssignaturanforderung bei einer Zertifizierungs stelle einreichen werden Sie u U dazu aufgefordert entweder den Typ des Web servers anzugeben auf dem das Zertifikat erstellt wurde oder den Typ des Webservers f r den das Zertifikat bestimmt ist W hlen Sie apache_modssl falls mehrere Optionen mit apache_modssl verf gbar sind w hlen Sie eine beliebige aus W hlen Sie au erdem falls Sie zur Auswahl des Formats des herunterzula denden Zertifikats aufgefordert werden das Standardformat aus 49 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Abbildung 26 System gt Certificates gt Server Certificate gt New CSR KAPITEL 2 Verwalten von systemweiten Einstellungen 50 Abbildung 27 System gt Certificates gt Server Certificate gt New Certificate Signing Request gt Create CSR Importieren eines signierten Serverzertifikats das anhand einer Zertifikatssignaturanforderung erstellt wurde Falls Sie eine Zertifikatssignaturanforderung ber die Administratorkonsole erstellen wird auf der Registerkarte Server
244. onen zur Konfiguration von Authentifizierungsservern In diesem Abschnitt sind die Schritte zum Ausf llen der Serverkon figurationsseite f r jeden der unterst tzten Authentifizierungsserver beschrieben Definieren einer Active Directory Serverinstanz oder einer Windows NT Dom nenserverinstanz Verwenden Sie diese Informationen zusammen mit den unter Definieren einer Authentifizierungsserverinstanz auf Seite 92 beschriebenen Schritten 107 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch So legen Sie einen Active Directory Server oder einen Windows NT Dom nenserver fest 1 Geben Sie einen Namen ein um die Serverinstanz zu bezeichnen 2 Geben Sie den Namen oder die IP Adresse des prim ren Dom nencontrollers oder von Active Directory an 3 Geben Sie die IP Adresse des Sicherungsdom nencontrollers oder von Active Directory an Optional 4 Geben Sie den Dom nennamen f r die Benutzer ein denen Sie den Zugriff gew hren m chten 5 Geben Sie unter Authorization Group Settings eine Option zum Zuordnen von Benutzern zu Gruppen ein Eine Beschreibung dieser Optionen finden Sie auf Seite 93 6 Klicken Sie auf Save Changes Die Registerkarten Group Mapping und Users werden angezeigt 7 Fahren Sie mit Schritt 2 Angeben von Informationen f r die Gruppenzuordnung auf Seite 98 fort KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 108 Abbildung 49 Authenticatio
245. onfigurationsaufgaben 41 Citrix NFuse ndern von Parametern f r J SAM 215 Liste unterst tzter Versionen 214 bersicht 214 Unterst tzung aktivieren 183 Citrix NFuse J SAM Unterregisterkarte Authorization Groups Men gt Applications Registerkarte 214 Clientseitige Java Applets Angeben von Verbindungen 163 zulassen 149 Cluster aktiv aktiv 230 aktiv passiv 229 aktualisieren 256 definieren und initialisieren 247 Eigenschaften ndern 262 konfigurieren bersicht 227 l schen 262 Status Definition 259 ber die Administratorkonsole hinzuf gen 254 ber serielle Konsole hinzuf gen 249 verwalten 257 Clustering Men Konfigurationsaufgaben 247 Clusterpaar Anforderungen 247 Definition 227 Commands Unterregisterkarte Settings Men gt Debugging Registerkarte 30 Configuration Registerkarte Import Export Men 58 Content Caching Unterregisterkarte Settings Men gt Security Registerkarte 13 Cookies Behandlung ndern 149 D Datei Zugriffsstatistik 22 Zugriffssteuerung zum Durchsuchen 164 Dateiserver codieren 35 Datenbank f r Authentifizierung 75 Debugging Ablaufverfolgungsdatei 26 remote 31 Snapshotdatei 27 TCP Sicherungsdatei 28 UNIX Befehle 30 Dienstpaket installieren 66 DMZ Schnittstelle 241 DNS f r externen Port 241 f r internen Port 240 Konfigurieren f r J SAM 201 Durchgangsproxy Angeben von Anwendungen f r 153 Beschreibung 150 Durchsuchen Probleme Web 26 Symbolleis
246. ork gt Men Network Settings Registerkarte Internal Port 241 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Abbildung 93 Network gt Network Settings gt Internal Port Aktivieren des externen Ports DMZ Schnittstelle Auf der Registerkarte External Port k nnen Sie die DMZ Funktion aktivieren Weitere Informationen zu allgemeinen Netzwerkeinstellungen finden Sie auf Seite 226 Hinweis Der externe Port fragt nur Anforderungen von Benutzern ab die am IVE angemeldet sind und leitet nur deren Anforderungen weiter Wenn Sie die DMZ Funktion aktivieren k nnen sich Administratoren standardm ig nicht mehr von einem externen Standort aus anmelden Sie k nnen den externen Port f r Administratoren auf der Registerkarte Authentication amp Authorization gt Administrators gt Authentication gt Address Restrictions ffnen Registerkarte External Port KAPITEL 4 Verwalten von IVE Netzwerkeinstellungen 242 So aktivieren Sie den externen Port 1 W hlen Sie in der Administratorkonsole die Registerkarte Network gt Network Settings gt External Port aus 2 W hlen Sie unter DMZ Setting die Option Enable aus 3 Geben Sie unter Address Information die IP Adresse die Netzmaske und die Gateway Informationen f r den externen Port des IVE ein In den meisten F llen empfiehlt es sich die Einstellungen von der Seite Internal Port zu bernehmen und dann die Informationen zum interne
247. oteris Instant Virtual Extranet Appliance Administrationshandbuch So aktivieren und konfigurieren Sie Konferenzen 1 W hlen Sie in der Administratorkonsole das Men Authentication amp Authorization gt Authorization Groups und anschlie end eine Gruppe aus 2 W hlen Sie aus den Gruppenregisterkarten Meetings aus 3 W hlen Sie eine der folgenden Optionen aus User User Settings Wendet Gruppeneinstellungen auf die ausgew hlte Autorisierungsgruppe an Use custom settings Erm glicht Ihnen das Festlegen von Konferenzeinstellungen f r die ausgew hlte Autorisierungsgruppe 4 Klicken Sie auf Update Wenn Sie sich im vorhergehenden Schritt f r das Anwenden von Benutzereinstellungen entschieden haben und die Standardeinstellungen f r die Benutzergruppe nicht konfigurieren ignorieren Sie die verbleibenden Anwendungen dieses Abschnitts 5 W hlen Sie Enabled aus um der in Schritt 1 ausgew hlten Autorisie rungsgruppe das Planen von Konferenzen zu erm glichen Oder w hlen Sie Disabled aus um dieser Gruppe das Planen nicht zu erm glichen Beachten Sie dass die Mitglieder der Gruppe dennoch an Konferenzen teilnehmen k nnen zu denen sie eingeladen sind 6 Legen Sie das gew nschte Verh ltnis zwischen Sicherheit und Verf gbarkeit in Ihren Konferenzen fest indem Sie im Abschnitt Security Options eine der folgenden Optionen ausw hlen Meeting password optional more accessible Bei Auswahl dies
248. ows NT Dom ne 75 Server Certificate Registerkarte Certificates Men 42 Session Registerkarte Administrators Men 86 Session Unterregisterkarte Authorization Groups Men gt General Registerkarte 133 Settings Men gt Log Registerkarte 18 Settings Men Konfigurationsaufgaben 5 Settings Unterregisterkarte Log Men 18 Sicherer Terminalzugriff Erstellen von Lesezeichen 185 Sicherheitseinstellungen ndern 9 Sign in Page Registerkarte Appearance Men 38 Sitzungscookie Best ndigkeit IVE 135 Sitzungszeitbegrenzungen Administrator 86 Benutzer 133 SMSESSION Cookies 80 SMTP Mailserver 267 Snapshotdatei zum Debuggen 27 SNMP Men Konfigurationsaufgaben 270 SNMP Einstellungen festlegen 270 Software installieren 66 Versions berwachung 11 SSL navigieren zu Sites 10 zul ssige Verschl sselungsst rke 10 zul ssige Version 10 Startseite anpassen f r alle Benutzer 36 State Unterregisterkarte Settings Men gt Debugging Registerkarte 27 Static Routes Registerkarte Network Settings Men 243 245 Statistics Registerkarte Settings Men 22 Statistik Verwendung 22 Status Registerkarte Clustering Men 257 Statussynchronisierung 232 Symbol Symbolleiste zum Durchsuchen 37 syslog Ereignisse protokollieren 18 System Daten archivieren 24 Debugging 26 27 28 30 31 herunterfahren 6 Konfiguration exportieren 58 Konfiguration importieren 59 neu starten 6 Protokoll an
249. pearance gt Sign in um auf die Seite Sign in zuzugreifen 2 ndern Sie in den Abschnitten Custom Text und Custom Error Messages den f r die verschiedenen Fenstertitel verwendeten Standardtext nach Bedarf 3 Um Benutzern benutzerdefinierte Hilfeinformationen oder zus tzliche Anweisungen bereitzustellen w hlen Sie Help Button und legen Sie eine HTML Datei fest die in das Neoteris IVE hochgeladen werden soll Beachten Sie dass im IVE keine Bilder und anderen Inhalte angezeigt werden auf die auf dieser HTML Seite verwiesen wird 4 Klicken Sie auf Save Changes Die nderungen werden sofort wirksam doch m glicherweise muss bei den aktuellen Browsersitzungen von Benutzern eine Aktualisierung durchgef hrt werden damit die nderungen angezeigt werden Hinweis Klicken Sie auf Restore Factory Defaults um die Darstellung der Anmeldeseite der IVE Startseite f r Benutzer und der Administratorkonsole zur ckzusetzen Registerkarte Sign in Page 39 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Abbildung 21 System gt Appearance gt General KAPITEL 2 Verwalten von systemweiten Einstellungen 40 Abbildung 22 System gt Appearance gt Sign In Page 41 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Auf den Registerkarten des Men s Certificates k nnen Sie die folgenden Aufgaben durchf hren Importieren eines bestehenden Serverzertifikats und eines privaten Sc
250. pitzenbelastung durch E Mail Benutzer Anzahl der URLs auf die zugegriffen wird Anzahl der Dateien auf die zugegriffen wird Auf der Seite Statistics werden die Informationen f r die letzten sieben Tage angezeigt Diese Informationen werden einmal in der Woche und nach einer Aktualisierung in das Systemprotokoll geschrieben So zeigen Sie die Systemstatistik an 1 Klicken Sie in der Administratorkonsole auf die Registerkarte System gt Settings gt Statistics um auf die Seite Statistics zuzugreifen 2 F hren Sie auf der Seite einen Bildlauf durch um alle vier Datenkategorien anzuzeigen Registerkarte Statistics 23 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Abbildung 9 System gt Settings gt Statistics KAPITEL 2 Verwalten von systemweiten Einstellungen 24 Planen der Archivierung von Systeminformationen Sie k nnen festlegen dass Systemprotokolldateien Konfigurationsdateien und Benutzerkonten t glich oder w chentlich archiviert werden Das IVE archiviert die Dateien an den von Ihnen ausgew hlten Tagen und Uhrzeiten ber FTP auf dem angegebenen Server und in dem angegebenen Verzeichnis Die Konfigurationsdateien und Benutzerkonten werden verschl sselt um eine sichere bertragung ber FTP und eine sichere Speicherung auf anderen Servern zu gew hrleisten Der Name der Archivdateien enth lt wie nachfolgend dargestellt das Datum und die Uhrzeit der Archivierung
251. port KAPITEL 2 Verwalten von systemweiten Einstellungen 56 4 Geben Sie auf der Registerkarte Applet Certificates die Server ein deren Applets Sie als vertrauensw rdig einstufen m chten Sie k nnen die IP Adresse oder den Dom nennamen eines Servers eingeben Das IVE signiert nur Applets neu die von vertrauensw rdigen Servern stammen Wenn ein Benutzer ein Applet anfordert das von einem nicht in der Liste aufgef hrten Server stammt verwendet das IVE nicht die importierten Produktionszertifikate zum Signieren des Applets Dies bedeutet dass dem Benutzer im Browser eine Sicherheitswarnung angezeigt wird Hinweis F r Benutzer der Sun JVM berpr ft das IVE au erdem ob die Stamm zertifizierungsstelle des urspr nglichen Appletzertifikats in der Liste vertrauensw r diger Stammzertifizierungsstellen aufgef hrt ist 57 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Abbildung 30 System gt Certificates gt Applet Certificates KAPITEL 2 Verwalten von systemweiten Einstellungen 58 Auf den Registerkarten Import Export k nnen Sie folgende Einstellungen speichern Systemkonfigurationseinstellungen 58 und Datens tze f r lokale Benutzerkonten 60 Diese Informationen werden in einer verschl sselten Datei unter dem angegebenen Pfad gespeichert Informationen zum Festlegen eines Archivierungsplans f r die Systemkonfiguration und Benutzerkonten finden Sie unter Planen der Archivierung vo
252. portieren Anschlie end importieren Sie diese Dateien ber die IVE Seite Certificates gt Server Certificate Siehe Seite 43 System gt Men Certificates 1 Die Verschl sselung f r das w hrend der Initialisierung erstellte selbst signierte Zertifikats ist zwar absolut sicher doch f r die Benutzer wird bei jeder Anmeldung am IVE eine Sicherheitswarnung angezeigt da das Zertifikat nicht von einer Zertifizierungsstelle ausgestellt wird Zu Produktionszwecken empfiehlt es sich ein digitales Zertifikat von einer Zertifizierungsstelle zu beschaffen KAPITEL 2 Verwalten von systemweiten Einstellungen 42 Erstellen Sie eine Zertifikatssignaturanforderung Certificate Signing Request CSR die an eine Zertifizierungsstelle gesendet wird Seite 47 Wenn die Zertifizierungsstelle die signierte Datei zur cksendet importieren Sie diese ber die Seite Certificates gt Server Certificate Seite 50 Sie k nnen den Neoteris IVE Server auch so konfigurieren dass ein Benutzer ein g ltiges clientseitiges Zertifikat angeben muss damit er sich erfolgreich am System anmelden kann Um festzulegen dass ein Benutzer ein g ltiges clientseitiges Zertifikat angeben muss m ssen Sie die folgenden Schritte ausf hren 1 Installieren Sie ein clientseitiges Zertifikat ber den Browser des Benutzers Hilfe dazu k nnen Sie den Anweisungen zu dem Browser entnehmen Bei weiteren Fragen in diesem Zusammenhang lesen Sie die Ihrer IVE Vers
253. portierte Gruppe ein lt group gt Element in folgendem Format enth lt lt xml version 1 0 gt lt Config gt lt Groups gt lt Group Name Users gt lt Group gt lt Group Name custom_group gt lt Group gt lt Groups gt lt Config gt Jedes lt group gt Element enth lt Elemente f r jeden Typ von ACL und Lesezei chen der f r die Gruppe konfiguriert ist Die Details f r ACLs und Lesezeichen werden durch geschachtelte Elemente dargestellt Zu diesen z hlen lt WebBookmark gt lt Url gt http www ihrefirma com lt Url gt lt Name gt http www ihrefirma com lt Name gt lt Description gt Dies ist Ihre Startseite lt Description gt lt StartPage gt Nr lt StartPage gt lt WebBookmark gt Sie k nnen die ACLs und Lesezeichen einer Gruppe problemlos bearbeiten indem Sie die entsprechenden Elemente ndern hinzuf gen oder l schen Wenn Sie die berarbeitete XML Datei importieren werden die vorhandenen ACLs und Leszeichen durch die Elemente in der Datei berschrieben Folgende Gruppeneinstellungen sollten Sie ebenfalls beachten Vererbung Wenn eine benutzerdefinierte Autorisierungsgruppe f r die Verwendung der Gruppeneinstellungen f r Benutzer konfiguriert ist bleiben die vererbten ACLs und Lesezeichen weiterhin g ltig Wenn Sie die Gruppe f r die Verwendung benutzerdefinierter Einstellungen konfigurieren werden die zuletzt importierten ACLs und Lesezeichen verwendet Register
254. puter vorhanden ist Sie m ssen diese DLL auf jedem Clientcomputer installieren Um weitere Informationen u erhalten wenden Sie sich an den Neoteris Support Attribut berpr fung Das ActiveX Steuerelement sucht nach den Spuren der angegebenen Anwendung einschlie lich Registrierungseintr ge und Daemonvorgang Wenn ein Benutzer seine Anmeldeinformationen auf der IVE Anmeldeseite eingibt wird w hrend des Herunterladens des ActiveX Steuerelements eine Seite mit der Meldung Starting Host Checker angezeigt Daraufhin wird der Client durch die Hostpr fung auf Software f r die Endpunktsicherheit berpr ft indem die in der Administratorkonsole angegebene Methode verwendet wird Wenn die berpr fung durch die Hostpr fung fehlschl gt wird im IVE eine Fehlermeldung angezeigt und der Benutzer auf die Anmeldeseite umgeleitet Das IVE wartet 120 Sekunden darauf dass die Hostpr fung feststellt ob der Client ber die ben tigte Software f r die Endpunktsicherheit verf gt Nach Ablauf dieser Zeit wird im IVE eine Fehlermeldung angezeigt und der Benutzer Authentication gt Unterregisterkarte Host Checker 145 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch auf die Anmeldeseite umgeleitet Unabh ngig von Erfolg oder Fehlschlagen bleibt die Hostpr fung auf dem Client im Verzeichnis C Programme Neoteris Host Checker Das Steuerelement kann von Benutzern manuell deinstalliert werden indem in
255. r Einstellungen 127 Autorisierungsmodus systemweite Anmeldung 33 B Befehle UNIX 30 Begr ungsnachricht Bookmarks IVE Seite 37 Benutzer Anmeldeeinschr nkungen nach Browser 139 nach Zertifikat 142 145 Benutzeradministrator 104 Best ndigkeit von Anmeldeinformationen 135 clientseitiges Zertifikat erforderlich 42 52 Codesignaturzertifikat f r 54 Daten exportieren 64 importieren 64 Kennwortl nge 10 Konfigurieren von PCs f r 201 202 Konten erstellen 101 exportieren 60 importieren 61 suchen 103 verwalten 102 Profildaten 232 Roamingfunktionen 133 Sitzungsdaten 232 Sitzungszeitbegrenzungen 133 berwachen von Sitzungen 223 Vermittlung von Anmeldeinformationen 10 Benutzergruppe Beschreibung 74 Benutzeroberfl che anpassen f r Endbenutzer 36 Bookmarks Seite anpassen f r Endbenutzer 37 Bookmarks Unterregisterkarte Authorization Groups Men gt Web Registerkarte 161 Browser Anmeldeeinschr nkungen Benutzer 139 Unterst tzung f r Cachesteuerung 15 Browser Restrictions Unterregisterkarte Authorization Groups Men gt Authentication Registerkarte 139 Browsing im Web zulassen 148 C CA Certificate Registerkarte Certificates Men 52 Cache Regeln 13 Cache Control No Store 13 Certificate Unterregisterkarte Administrators Men gt Authentication Registerkarte 91 Authorization Groups Men gt Authentication Registerkarte 142 144 Certificates Men 283 INDEX K
256. r mit Heimcomputern Diese Benutzer k nnen einen der sechs unterst tzten E Mail Clients f r den Remotezugriff auf Exchange Server ber das Neoteris IVE verwenden wobei davon ausgegangen wird dass auf dem Remotecomputer kein MAPI Konto konfiguriert ist Wenn Benutzer die Outlook Express oder Netscape Clients im IMAP Modus ausf hren beachten Sie bitte das folgende Verhalten bei der Ordnerverwaltung Bei Verwendung von Outlook Express E Mail Clients Gel schte E Mail Nachrichten werden im Posteingang von Outlook Express durchgestrichen angezeigt Sie werden nicht in den Ordner Gel schte Objekte auf dem Exchange Server verschoben was bei Verwendung des Outlook 2000 oder 2002 Clients der Fall ist Wenn ein Benutzer gel schte E Mail Nachrichten in einem Outlook Express Client entfernt werden die E Mail Nachrichten endg ltig gel scht Wir empfehlen Benutzern von Outlook Express die folgende Vorgehensweise Zu l schende E Mail Nachrichten sollten manuell in den unter Lokale Ordner angeordneten Ordner Gel schte Objekte verschoben werden hierbei handelt es sich um Standardordner Dieser Ordner wird mit dem Ordner Gel schte Objekte auf dem Exchange Server synchronisiert wodurch Benutzer die M glichkeit erhalten gel schte E Mail Nachrichten sp ter abzurufen 1 Der Outlook 2000 Client unterst tzt nur eine Mailserverkonfiguration in diesem Fall den systemeigenen MAPI Modus Dies verhindert dass Benutzer den gleichen Cli
257. r sicher da die Zertifizierungsstelle ein Zertifikat generiert f r das der bestehende private Schl ssel verwendet wird Wichtig Geben Sie bei der erneuten Anforderung eines Zertifikats dieselben Informationen an die in der urspr nglichen Zertifikatssignaturanforderung verwen det wurden Anhand dieser Informationen erstellt die Zertifizierungsstelle ein neues Zertifikat das dem bestehenden Schl ssel entspricht So importieren Sie ein erneuertes Serverzertifikat f r das ein bestehender privater Schl ssel verwendet wird 1 Befolgen Sie die Anweisungen der Zertifizierungsstelle zur Erneuerung eines Zertifikats das Sie zuvor dort erworben haben Wichtig Vergewissern Sie sich dass Sie dieselben Informationen angeben die in der urspr nglichen Zertifikatssignaturanforderung verwendet wurden Anhand dieser Informationen erstellt die Zertifizierungsstelle ein neues Zertifikat das dem bestehenden Schl ssel entspricht 2 Klicken Sie in der Administratorkonsole auf die Registerkarte System gt Certificates gt Server Certificate 3 Klicken Sie auf Import Renew 4 Wechseln Sie im Formular Renew the Certificate zu der Datei mit dem erneuerten Zertifikat und klicken Sie dann auf Renew 47 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Abbildung 25 System gt Certificates gt Server Certificate gt Import Renew Wechseln Sie ber das Formular Renew the Certificate zu dem erneuerten Zertifikat
258. rderung an das IVE um die Verbindung mit einer IP Adresse aus dem zuvor bereitgestellten IP Pool zu initialisieren 3 Das System Tray Symbol f r Network Connect wird auf der Taskleiste angezeigt 3 Die serverseitige Network Connect Software weist dem Client f r die Sitzung eine eindeutige IP Adresse aus dem konfigurierten Pool zu 4 Der Network Connect Client verwendet die vom IVE zugewiesene IP Adresse f r die Kommunikation mit Unternehmensressourcen Die gesamte Network Connect Kommunikation wird ber das IVE bertragen Aktivieren und Konfigurieren Network Connect Auf der Unterregisterkarte General gt Network Connect k nnen Sie die Network Connect Aktualisierungsoption aktivieren und konfigurieren Zum Konfigurieren der Network Connect Option m ssen Sie einen IP Pool angeben aus dem das IVE Clients IP Adressen zuweisen kann Bei einem eigenst ndigen IVE m ssen Sie f r den Router eine statische Route konfigurieren die auf die interne IP Adresse des IVE als Gateway f r die Route zeigt Wenn Sie ein Clusterpaar oder einen Multi Unit Cluster ausf hren erstellen Sie f r den Router eine zus tzliche IP Adresse f r jeden Clusterknoten Dabei muss sich jede IP Adresse in demselben Subnetz wie der entsprechende IP Pool befinden 131 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch So konfigurieren Sie die Network Connect Option 1 W hlen Sie in der Administratorkonsole das Men Authentication amp
259. registerkarten Applications gt General aus Applications gt Unterregisterkarte General 179 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch 3 W hlen Sie eine der folgenden Optionen aus und klicken Sie dann auf Save Changes Folgende Optionen stehen zur Verf gung Enable Secure Terminal Access Wenn der IVE Server mit der optionalen Aktualisierungsoption f r sicheren Terminalzugriff lizenziert ist k nnen Sie den Telnet oder SSH Zugriff auf Firmenressourcen ber einen Webbrowser erm glichen Folgende Optionen stehen zur Verf gung User Users setting Wendet die Einstellungen der Benutzergruppe an Enabled and users can add bookmarks Erm glicht es einer Gruppe die von Ihnen definierten Lesezeichen f r den Terminalzugriff zu verwenden und ihre eigenen Lesezeichen zu definieren Wenn Sie diese Option aktivieren wird auf der Seite Terminal Sessions die Schaltfl che Add Terminal Session angezeigt wenn ein Benutzer die IVE Startseite das n chste Mal aktualisiert Enabled Erm glicht es einer Gruppe die von Ihnen definierten Lesezeichen f r den Terminalzugriff auszuf hren Disabled Deaktiviert die Option f r den sicheren Terminalzugriff Informationen zum Erstellen von Lesezeichen finden Sie unter Erstellen von Lesezeichen f r sichere Terminalsitzungen auf Seite 185 Enable Secure Application Manager Wenn der IVE Server mit der optiona
260. ren Sie den RADIUS Server durch folgenden Angaben so dass der Neoteris IVE Appliance Server erkannt wird Hostname f r die Neoteris IVE Appliance Netzwerk IP Adresse der Neoteris IVE Appliance Clienttyp der Neoteris IVE Appliance sofern vorhanden Wenn diese Option verf gbar ist w hlen Sie Single Transaction Server oder die entsprechende Option Verschl sselungstyp f r die Authentifizierung der Clientkommunikation Die ausgew hlte Option muss mit dem Clienttyp bereinstimmen Gemeinsamer geheimer Schl ssel der in der Administratorkonsole auf der Seite Network gt Authentication gt External Auth Server gt RADIUS f r den RADIUS Server eingegeben wurde Zeitspanne die das IVE auf eine Antwort vom RADIUS Server bis zur Zeit berschreitung f r die Verbindung warten soll Anzahl der weiteren Versuche f r das IVE nach dem ersten fehlgeschla genen Versuch eine Verbindung herzustellen Sekund ren RADIUS Server der vom IVE verwendet wird wenn der prim re in dieser Instanz festgelegte Server nicht erreichbar ist Hinweis F r diesen sekund ren RADIUS Server m ssen Sie eine Instanz festlegen 7 Geben Sie unter Authorization Group Settings eine Option zum Zuordnen von Benutzern zu Gruppen ein Eine Beschreibung dieser Optionen finden Sie auf Seite 93 8 Klicken Sie auf Save Changes Die Registerkarten Group Mapping und Users werden angezeigt 9 Fahren Si
261. ren des Benutzerzugriffs ob der auf der Anmeldeseite eingegebene Benutzername und das Kennwort im LDAP Verzeichnis vorhanden sind Beachten Sie dass der an das IVE gesendete Benutzername kein Fragezeichen enthalten darf Der Neoteris IVE Server unterst tzt drei LDAP spezifische Authentifizierungs optionen Unencrypted Benutzername und Kennwort werden an den LDAP Verzeichnisdienst in einfachem Klartext gesendet LDAPS Die Daten in der LDAP Authentifizierungssitzung werden mit dem SSL Protokoll Secure Socket Layer verschl sselt bevor sie an den LDAP Verzeichnisdienst gesendet werden LDAP over TLS Die Daten in der LDAP Authentifizierungssitzung werden mit dem TLS Protokoll Transport Layer Security verschl sselt bevor sie an den LDAP Verzeichnisdienst gesendet werden Konfigurationsinformationen finden Sie unter Festlegen einer LDAP Serverinstanz auf Seite 108 NIS Server Beim Authentifizieren von Benutzern mit einem UNIX NIS Server berpr ft der Neoteris IVE Server ob der auf der Anmeldeseite eingegebene Benutzername und das Kennwort einem g ltigen Paar aus Benutzer ID und Kennwort auf dem NIS Server entsprechen Beachten Sie dass der an das IVE gesendete Benutzername keine zwei aufeinander folgenden Tilden enthalten darf Hinweis Sie k nnen nur eine NIS Serverkonfiguration hinzuf gen mit der Sie jedoch eine beliebige Anzahl von Gruppen authentifizieren k nnen Konfiguratio
262. riff auf alle Windows Ressourcen gew hrt wird mit Ausnahme derer in der Liste Denied Resource Wenn Sie eine open policy offene Richtlinie festlegen wird den Benutzern eine gefilterte Netzwerkumgebung angezeigt Eine closed policy mit der der Zugriff auf alle Windows Ressourcen verweigert wird mit Ausnahme derer in der Liste Allowed Resource Wenn Sie eine closed policy geschlossene Richtlinie festlegen wird den Benutzern eine Liste der Ordnerressourcen angezeigt auf die zugegriffen werden kann Windows Ressourcen werden zugelassen oder verweigert indem Sie zum Server und der Freigabe wechseln oder diese eingeben und bei Bedarf zus tzlich den Pfad zu einem bestimmten Ordner angeben So steuern Sie den Zugriff auf Windows Ressourcen 1 W hlen Sie in der Administratorkonsole das Men Authentication amp Authorization gt Authorization Groups und anschlie end eine Gruppe aus 2 W hlen Sie aus den Gruppenregisterkarten Files gt Windows Access aus Benutzerdefinierte Autorisierungsgruppen erben standardm ig die Einstel lungen der Benutzergruppe Klicken Sie zum Festlegen benutzerdefinierter Einstellungen auf Use custom settings und anschlie end auf Update 3 Geben Sie im Dropdownfeld Current Policy entweder eine geschlossene oder eine offene Richtlinie an und klicken Sie auf Change 4 Wenn Sie in Schritt 4 eine geschlossene Richtlinie ausgew hlt haben fahren Sie mit Schritt 7 fort Wenn Sie eine
263. rkarte Trace 26 Debugging gt Unterregisterkarte State 27 Debugging gt Unterregisterkarte TCP Dump 28 Debugging gt Unterregisterkarte Commands 30 Debugging gt Unterregisterkarte Remote Debugging 31 Sign in Options gt Unterregisterkarte Restrictions 32 Sign in Options gt Unterregisterkarte Authorization Mode 33 System gt Men Appearance 36 Registerkarte General 36 Registerkarte Sign in Page 38 System gt Certificates Men 41 Registerkarte Server Certificate 42 Registerkarte CA Certificate
264. rowserfenster schlie t ohne sich abzumelden kann jeder General gt Unterregisterkarte Options KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 136 beliebige Benutzer eine andere Instanz desselben Browsers ffnen um auf das IVE zuzugreifen ohne g ltige Anmeldeinformationen zu senden Wichtig Wir empfehlen diese Funktion nur f r eine Autorisierungsgruppe zu aktivieren deren Mitglieder den Zugriff auf Anwendungen ben tigen f r die IVE Anmeldeinformationen erforderlich sind sowie sicherzustellen dass sich diese Benutzer der Bedeutung der Abmeldung aus dem IVE nach Abschluss der Sitzung bewusst sind Wenn Sie vor dem Fortfahren weitere Informationen ben tigen wenden Sie sich an den Neoteris Support unter support neoteris com Abbildung 58 Authentication amp Authorization gt GroupName gt General gt Options 137 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch berpr fen der Zuordnungen von Servern zu Gruppen Auf dieser Registerkarte k nnen Sie berpr fen welche Authentifizierungsserver Benutzer einer Autorisierungsgruppe zuordnen Auf dieser Registerkarte werden alle Instanzen aufgef hrt die der ausgew hlten Autorisierungsgruppe derzeit Benutzer zuordnen So berpr fen Sie die Autorisierungsgruppenzuordnungen des Authentifizierungsservers 1 W hlen Sie in der Administratorkonsole das Men Authentication amp Authorization gt Authorization Groups und
265. rsichtsinforma tionen und Beispiele wie das IVE Clientanforderungen berwacht So aktivieren Sie Anwendungen und geben diese f r den Durchgangsproxy an 1 W hlen Sie in der Administratorkonsole Authentication amp Authorization gt Authorization Groups und w hlen Sie anschlie end die Gruppe Users aus 2 W hlen Sie aus den Gruppenregisterkarten Web gt General aus 3 Geben Sie unter Enable Pass Through Proxy die Aktivierungsart f r die Durchgangsproxyfunktion an Enabled via an IVE port Bei Auswahl dieser Option berwacht das IVE Clientanforderungen f r einen Anwendungsserver an einem angegebenen IVE Port Wenn das IVE eine Clientanforderung f r den Anwendungsserver empf ngt leitet es die Anforderung an den angegebenen Anwendungsserverport weiter Enabled via external DNS resolution Durch Festlegen dieser Option geben Sie einen Alias f r den Hostnamen des Anwendungsservers an Wenn das IVE eine Clientanforderung f r den Hostnamenalias des Anwendungsservers empf ngt leitet es die Anforderung an den angegebenen Anwendungsserverport weiter Wenn Sie diese Option ausw hlen m ssen Sie auch den vollst ndig qualifizierten Dom nennamen f r das IVE angeben Der Durchgangs proxy verwendet diese Informationen um Verkn pfungen auf Sites neu zu schreiben die f r den Anwendungsserver extern sind 155 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch 4 Klicken Sie auf der Unterregi
266. rverinstanz auf Seite 92 beschrieben wird diese Konfigurationsdatei importiert KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 118 Abbildung 53 Authentication amp Authorization gt Authentication Servers gt ACE Server 119 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Festlegen einer Netegrity SiteMinder Instanz Verwenden Sie diese Informationen zusammen mit den unter Definieren einer Authentifizierungsserverinstanz auf Seite 92 beschriebenen Schritten So legen Sie einen Netegrity SiteMinder Server fest 1 Geben Sie einen Namen ein um die Serverinstanz zu bezeichnen 2 Geben Sie im Feld SiteMinder Server den Namen oder die IP Adresse des SiteMinder Richtlinienservers ein Sie k nnen im Feld SiteMinder Backup Ser ver s auch eine durch Kommas getrennte Liste von Richtliniensiche rungsservern eingeben Wenn Sie einen oder mehrere Sicherungsserver eingeben w hlen Sie einen Failover Mode aus W hlen Sie Yes damit das IVE den Hauptrichtlinienserver verwendet sofern dieser nicht ausf llt W hlen Sie No damit das IVE zwischen allen angegebenen Richtlinienservern einen Lastenausgleich vornimmt 3 Geben Sie f r Secret dem gemeinsamen geheimen Schl ssel und f r Agent Name den Namen des Agenten an die auf dem Richtlinienserver konfiguriert wurden 4 Geben Sie im Feld On logout redirect to einen URL an an den Benutzer bei der Abmeldung vom IVE umgeleitet wer
267. rwachen die Netzwerkeinstellungen f r einen bestimmten Knoten bearbeiten IVEs angeben die Sie einem Cluster hinzuf gen m chten und Clusterknoten aktivieren deaktivieren oder entfernen In Tabelle 1 auf Seite 259 werden die auf der Registerkarte Status angezeigten Informationen sowie die verschiedenen durchf hrbaren Verwaltungsaufgaben erl utert So ndern Sie die Netzwerkeinstellungen eines Clusterknotens 1 W hlen Sie in der Administratorkonsole eines aktiven Clustermitglieds die Registerkarte Network gt Clustering gt Status aus 2 Klicken Sie in der Spalte Cluster Members auf den Namen des Knotens f r den Sie Netzwerkeinstellungen ndern m chten Die Seite Network Settings mit den Registerkarten Clustering Internal Port External Port und Static Routes wird angezeigt Wenn Sie nderungen auf diesen Registerkarten speichern wirken sich die neuen Einstellungen nur auf den entsprechenden Knoten aus Wichtig Falls Sie die Netzwerkeinstellungen auf der Seite Network gt Network Settings in der Administratorkonsole eines Clustermitglieds ndern werden die nderungen an jeden Knoten im Cluster weitergegeben Um Einstellungen nur f r einen bestimmten Knoten zu ndern m ssen Sie auf der Registerkarte Status jedes aktiven Mitglieds eine Verkn pfung mit der Seite Network Settings des Knotens herstellen Registerkarte Status KAPITEL 4 Verwalten von IVE Netzwerkeinstellungen 258 So geben Sie ein IVE an
268. rwalten von systemweiten Einstellungen 36 Auf den Registerkarten des Men s Appearance k nnen Sie die Anmeldeseite f r Administratoren und Benutzer die IVE Startseite und die Administratorkonsole anpassen indem Sie folgende Aktionen ausf hren ndern des Logos und der Farbe des Seitenkopfs ndern des Symbols der Symbolleiste zum Durchsuchen Personalisieren der Begr ungsnachricht ndern der Begr ung des Benutzers und der Anweisungen auf der Anmeldeseite ndern der Anweisungen die angezeigt werden wenn ein Zertifikat fehlt oder ung ltig ist Hinzuf gen einer Hilfeschaltfl che zu der Anmeldeseite die mit einer benutzerdefinierten HTML Datei verkn pft ist Anpassen der Darstellung des IVE Wenn sich ein Benutzer am Neoteris IVE anmeldet wird die IVE Startseite mit Ihren benutzerdefinierten Einstellungen angezeigt Auf der Neoteris IVE Symbolleiste zum Durchsuchen Abbildung 19 wird au erdem auf jeder Webseite zu der ein Benutzer wechselt das von Ihnen erstellte benutzerdefi nierte Symbol angezeigt Wenn der Benutzer auf dieses Symbol klickt gelangt er ber eine Verkn pfung zur ck zur IVE Startseite Abbildung 19 IVE Symbolleiste zum Durchsuchen System gt Men Appearance Registerkarte General The logo image you specify appears here 37 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Sie k nnen benutzerdefinierte Hilfeinformatione
269. s DMZ Schnittstelle auf Seite 241 beschrieben Wenn der externe Port aktiviert ist und Administratoren sich nur ber den internen Port anmelden sollen klicken Sie auf Disable Dies ist die Standardeinstellung Wenn der externe Port aktiviert ist und Administratoren sich ber den internen oder ber den externen Port anmelden sollen klicken Sie auf Enable 3 W hlen Sie das Untermen Certificate aus Geben Sie an ob Administra toren f r die Authentifizierung ber ein clientseitiges Zertifikat verf gen m ssen Sie k nnen au erdem ein Attribut Wert Paar angeben das f r die Authentifizierung erforderlich ist 4 Klicken Sie auf Save Changes Authentication gt Unterregisterkarte Address Restrictions KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 90 Abbildung 41 Authentication amp Authorization gt Administrators gt Address Restrictions 91 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Angeben von Zertifikatanforderungen f r die Administratorengruppe Auf dieser Registerkarte k nnen Sie angeben ob sich Administratoren von einem Computer mit einem clientseitigen Zertifikat anmelden m ssen So geben Sie Zertifikatanforderungen f r die Administratorengruppe an 1 W hlen Sie in der Administratorkonsole die Registerkarte Authentication amp Authorization gt Administrators gt Certificate aus 2 Geben Sie an ob Administratoren f r die A
270. s Men Authentication amp Authorization gt Authorization Groups und anschlie end eine Gruppe aus 2 W hlen Sie aus den Gruppenregisterkarten Authentication gt Certificate aus 3 W hlen Sie die entsprechende Option aus und klicken Sie dann auf Save Changes Folgende Optionen stehen zur Verf gung Use Users group settings Wendet die Einstellungen der Benutzergruppe an Users do NOT require clientside certificate for authentication Diese Einstellung erm glicht es Mitgliedern der Gruppe sich von einem Client anzumelden der nicht ber ein clientseitiges Zertifikat verf gt Users require clientside certificate with following attributes for authentication Bei dieser Einstellung m ssen Mitglieder der Gruppe ber ein clientseitiges Zertifikat verf gen Um den Zugriff noch weiter einzuschr nken k nnen Sie f r die Gruppe eindeutige Attribut Wert Paare f r das Zertifikat festlegen Authentication gt Unterregisterkarte Certificate 143 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Hinweise Alle X 509 DN Attribute Distinguished Name werden unterst tzt z B C CN L O OU Bei den Attribut und Wertefeldern wird die Gro und Kleinschreibung nicht beachtet Definieren Sie f r jedes Attribut nur einen Wert Wenn Sie mehrere Werte angeben kann das clientseitige Zertifikat m glicherweise nicht korrekt anhand des Stammzertifikats authentifizi
271. sen z B http www StdWebAgent com index html Sie m ssen nur die Ressource eingeben hier index html Hinweis Wenn Sie Version 5 5 oder eine h here Version des Web Agenten mit V5QMR3 verwenden k nnen Sie Benutzer mit unzureichenden Berechti gungen zu deren urspr nglicher Ressource zur ckleiten indem Sie in der Administratorkonsole das Feld Resource for insufficient protection level leer lassen und den Kompabilit tsmodus f r Formularanmeldeinformationen Collector des Web Agenten f r das Netegrity Agent Conf Objekt deaktivieren FCCCom patMode no 3 Geben Sie Dateierweiterungen ein die den Dateitypen entsprechen f r die keine Autorisierung erforderlich ist 123 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch 13 Geben Sie unter Authorization Group Settings eine Option zum Zuordnen von Benutzern zu Gruppen ein Eine Beschreibung dieser Optionen finden Sie auf Seite 93 Hinweis Die unter Authorization Group Settings festgelegte Option zum Zuord nen von Benutzern zu Gruppen wird bei der Anmeldung von Benutzern auf der IVE Standardanmeldeseite angewendet Wenn f r die Benutzer die Einzelanmeldung bereitgestellt werden soll konfigurieren Sie die Option Automatic Sign In Schritt 10 und verweisen Sie die Benutzer zu dem Web Agenten der das vom IVE verwendete SMSESSION Cookie erzeugt 14 Klicken Sie auf Save Changes Die Registerkarten Group Mapping und Users werden angezeigt 15
272. sse des Servers Der Port an dem der Server Daten abfragt blicherweise Port 162 Die von der Netzwerkverwaltungsstation ben tigte Community Zeichenfolge sofern vorhanden Men Network gt SNMP 271 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch 5 Gehen Sie in der Netzwerkverwaltungsstation folgenderma en vor 1 Laden Sie die Neoteris MIB Datei herunter 2 Geben Sie die Community Zeichenfolge an die beim Abfragen des IVEs ben tigt wird siehe Schritt 3 3 Konfigurieren Sie die Netzwerkverwaltungssoftware f r den Empfang von IVE Traps Abbildung 111 Network gt SNMP KAPITEL 4 Verwalten von IVE Netzwerkeinstellungen 272 273 Anhang A Verwenden der seriellen Konsole von Neoteris Die serielle Konsole von Neoteris bietet eine Oberfl che zum Durchf hren der folgenden Vorg nge Systemwiederherstellung durch ein Rollback in den vorherigen Zustand 2 Systemwiederherstellung durch Zur cksetzen des Ger ts in den Werkszustand 4 Erstes Setup das Sie bei der ersten Konfiguration des Computers oder nach dem Zur cksetzen des Ger ts in den Werkszustand durchf hren 7 nderungen der Systeminformationen und Verwaltungsaufgaben 7 beispielsweise Anzeigen oder Festlegen der Netzwerkeinstellungen Erstellen von Benutzername und Kennwort f r den Administrator Aufheben von IP Adressen Beschr nkungen f r Administratoren
273. sterkarte Web gt General der Benutzergruppe auf Save Changes und gehen Sie dann folgenderma en vor Wenn Sie mit der Konfiguration der Benutzergruppe fortfahren m chten klicken Sie auf die Verkn pfung Pass Through Proxy Settings Wenn Sie eine andere Autorisierungsgruppe konfigurieren m chten wechseln Sie zur ck zur Seite Authorization Groups und gehen Sie dann folgenderma en vor 1 W hlen Sie die gew nschte Gruppe aus 2 Klicken Sie auf die Unterregisterkarte Web gt General 3 Klicken Sie unter Enable Pass Through Proxy auf die Verkn pfung Pass Through Proxy Settings 5 Klicken Sie auf Add Application 6 Geben Sie die erforderlichen Anwendungsinformationen ein Das Protokoll das das IVE f r die Kommunikation mit dem Anwendungsserver verwenden soll Einen Hostnamen oder eine IP Adresse f r den Anwendungsserver Einen Port vom URL der f r den internen Zugriff auf die Anwendung verwendet wird Entweder ein eindeutiger IVE Port im Bereich von 11000 bis 11099 an dem das IVE Clientanforderungen erh lt oder Einen Hostnamenalias f r den Anwendungsserver auf dem das IVE Clientanforderungen erh lt Das Verfahren mit dem das IVE Datenverkehr vermittelt Neuschreiben von Text der XML Code enth lt Neuschreiben von Text der keinen XML Code enth lt Wenn Sie einen Namen und eine Beschreibung f r die Anwendung eingeben werden diese Informationen in der Liste
274. strationshandbuch So h ren Sie Netzwerkpaketheader mit einem Sniffer Programm ab 1 Klicken Sie in der Administratorkonsole auf die Registerkarte System gt Settings gt Debugging gt TCP Dump 2 W hlen Sie den IVE Port aus an dem die Netzwerkpaketheader mit einem Sniffer Programm abgeh rt werden sollen Deaktivieren Sie den promiscuous Modus so dass nur Pakete abgeh rt werden die f r das IVE bestimmt sind 3 Klicken Sie auf Stop Sniffing um das Abh ren zu beenden und eine verschl sselte Datei zu erstellen 4 Klicken Sie auf Download um die Datei auf einen Netzwerkcomputer herunterzuladen 5 Senden Sie die Datei zur berpr fung per E Mail an die folgende Adresse help support neoteris com Abbildung 13 System gt Settings gt Debugging gt TCP Dump KAPITEL 2 Verwalten von systemweiten Einstellungen 30 Ausf hren eines ARP ping traceroute oder nslookup Befehls Auf dieser Registerkarte k nnen Sie UNIX Befehle ausf hren um die IVE Netzwerkverbindung zu testen So f hren Sie einen UNIX Befehl aus um die IVE Netzwerkverbindung zu testen 1 Klicken Sie in der Administratorkonsole auf die Registerkarte System gt Settings gt Debugging gt Commands 2 W hlen Sie im Men Command den Befehl aus der ausgef hrt werden soll 3 Geben Sie im Feld Target Server die IP Adresse des Zielservers ein 4 Klicken Sie zur Ausf hrung des Befehls auf OK Abbildung 14 System gt Settings gt D
275. strationshandbuch ausw hlen Dieser muss dem zu verwaltenden Server nicht als lokaler Benutzer hinzugef gt werden Hinweis Achten Sie bei der Eingabe des Benutzernamens des Benutzeradmini strators auf die exakte Zeichenfolge Diese muss genau bereinstimmen 4 Geben Sie den Authentication Server an der das Benutzerkonto des im vorherigen Schritt ausgew hlten Benutzeradministrators enth lt 5 Klicken Sie auf Add Das IVE f gt den neuen Benutzeradministrator der Liste User Admins f r den in Schritt 2 angegebenen Server hinzu und verwendet dabei folgendes Format Benutzername Servername 6 Wenn der angegebene Benutzeradministrator ber Benutzerkonten auf mehreren Authentifizierungsservern verf gt wiederholen Sie optional f r jedes dieser Konten die Schritte 3 5 so dass der Benutzer den Server unabh ngig von dem Konto verwalten kann ber das er sich beim IVE angemeldet hat 7 Um dem Benutzer die Verwaltungsrechte wieder zu entziehen w hlen Sie in der Liste User Admins den entsprechenden Namen aus und klicken Sie auf Remove Hinweis Informationen zum Verwalten von Benutzern ber die Startseite des sicheren Gateways finden Sie in der Hilfe zum sicheren Gateway im Thema Hinzuf gen ndern und L schen von Benutzern KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 106 Abbildung 48 Authentication amp Authorization gt Authentication Servers gt User Admins Erg nzende Informati
276. t bersicht ber Java Secure Application Manager J SAM Die Java Version von Secure Application Manager J SAM bietet sichere Portweiterleitung f r Anwendungen die auf einem Remotecomputer ausgef hrt werden Das IVE weist jedem Anwendungsserver den Sie f r einen bestimmten Port festlegen eine eindeutige IP Loopbackadresse zu Wenn Sie beispielsweise f r einen einzigen Port folgendes festlegen app1 mycompany com app2 mycompany com app3 mycompany com weist das IVE jeder Anwendung eine eindeutige IP Loopbackadresse zu 127 0 1 10 127 0 1 11 127 0 1 12 Applications gt Unterregisterkarte Secure Application Manager J SAM KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 194 Wenn ein Benutzer J SAM herunterl dt berwacht J SAM die vom IVE zugewiesenen Loopbackadressen am entsprechenden f r den Anwendungsserver festgelegten Clientport auf Clientanforderungen an Netzwerkanwendungsserver J SAM kapselt die Anforderungsdaten und leitet die verschl sselten Daten als SSL Verkehr an das IVE weiter Das IVE entkapselt die Daten und leitet sie an den festgelegten Serverport auf dem Anwendungsserver im Netzwerk weiter Der Anwendungsserver gibt seine Antwort an das IVE weiter das die Daten entkapselt und sie an J SAM weiterleitet J SAM entkapselt dann die Antwort des Servers und leitet die Daten an die Clientanwendung weiter F r die auf dem lokalen Computer ausgef hrte Clientanwendung
277. t ndigen Sie die Seite Access With Account 169 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch 3 Klicken Sie auf Save Changes Diese Anmeldeinformationen gelten f r alle Ressourcen in der Freigabe sodasss Sie die Anmeldeinformationen nicht f r jede einzelne Ressource eingeben m ssen Zus tzliche Aufgaben Um die Ressourceneinstellungen zu bearbeiten klicken Sie auf die Ressourcenverkn pfung in der Ressourcenliste Um eine Windows Ressource zu l schen aktivieren Sie das entsprechende Kontrollk stchen und klicken Sie auf Delete Abbildung 70 Authentication amp Authorization gt Authorization Groups gt GroupName gt Files gt Windows Access KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 170 Erstellen von Lesezeichen f r Windows Ressourcen Auf dieser Registerkarte k nnen Sie Windows Lesezeichen erstellen die auf der IVE Startseite angezeigt werden Sie k nnen den IVE Benutzernamen des Benutzers in den URL Pfad einf gen um so einen schnellen Zugriff auf die Netzwerkverzeichnisse des Benutzers zu erm glichen So erstellen Sie ein Windows Lesezeichen 1 W hlen Sie in der Administratorkonsole das Men Authentication amp Authorization gt Authorization Groups und anschlie end eine Gruppe aus 2 W hlen Sie aus den Gruppenregisterkarten Files gt Windows Bookmarks aus Benutzerdefinierte Autorisierungsgruppen erben standardm ig die Einste
278. t es Benutzern sich bei einem Standardweb Agenten anzumelden der ein SMSESSION Cookie generiert Wenn ein Benutzer auf eine Verkn pfung mit dem IVE Hostname klickt wird dieses Cookie an das IVE bergeben und die Benutzer werden nicht aufgefordert ihre Anmeldeinformationen erneut zu senden Alle Benutzer die sich auf diese Art im IVE anmelden werden der von Ihnen angegebenen Benutzergruppe zugeordnet Au erdem werden alle von Ihnen f r diese Gruppe angegebenen Zugriffssteuerungen angewendet 121 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Hinweis Die automatische Anmeldeoption stellt f r die Benutzer eine alter native Art dar sich im IVE anzumelden Sie k nnen auch unter Authorization Group Settings eine Option zum Zuordnen von Benutzern zu Gruppen konfigu rieren Wenn Benutzer sich ber die IVE Standardanmeldeseite direkt im IVE anmelden werden sie Autorisierungsgruppen auf der Grundlage von Autorisie rungsgruppeneinstellugen zugeordnet 2 W hlen Sie eine Methode f r die Cookieauthentifizierung aus Authenticate using custom agent W hlen Sie diese Option aus wenn Sie die Authentifizierung ber das IVE vornehmen m chten Authenticate using HTML form post W hlen Sie diese Option aus wenn die Authentifizierung mit Hilfe eines anderen Web Agenten vorgenommen werden soll Geben Sie die Einstellungen f r die Formularbereitstellung an Einstellung Beschreibung Ziel URL au
279. te Abbildung 36 Symbol ndern 37 E Einschr nkungen Administratoranmeldung 91 Benutzeranmeldung 142 145 systemweite Anmeldung 32 Email Client Registerkarte Authorization Groups Men 176 Email Settings Men Konfigurationsaufgaben 267 E Mail Einstellungen Konfigurationsoptionen 267 Encoding Registerkarte Settings Men 35 External Port Registerkarte Network Settings Men 241 G Gateway f r externen Port 241 f r internen Port 240 General Registerkarte Appearance Men 36 Secure Meetings Men 68 Settings Men 6 General Unterregisterkarte Authorization Groups Men gt Applications Registerkarte 178 284 INDEX Authorization Groups Men gt Files Registerkarte 164 Authorization Groups Men gt Web Registerkarte 148 Settings Men gt Security Registerkarte 9 Geschlossene Richtlinie Web 158 Windows Ressourcen 167 H Herunterfahren des IVE Servers 6 Hilfe an Support wenden xiii Hilfeschaltfl che 37 Hostnamen lokal aufl sen 245 Hostzuordnung f r Client Serveranwendungen 183 f r MS Exchange 184 I IMAP Mailserver 267 Import Export Men Konfigurationsaufgaben 58 Install Service Package Men Konfigurationsaufgabe 66 Installation Kontaktaufnahme mit Support Hilfe xiii Internal Port Registerkarte Network Settings Men 240 Internet Explorer ausf hren einer JVM 54 IP Adresse Anmeldeeinschr nkungen f r Administratoren 89 Anmeldeeinschr nkunge
280. tehen zur Verf gung Enable Web Browsing Die Webbrowsingoptionen werden zusammen mit der f r die Autorisierungsgruppe definierte Richtlinie f r die Webzugriffssteuerung Seite 158 verwendet Folgende Optionen stehen zur Verf gung Users can enter URLs add bookmarks and view group bookmarks Diese Option erm glicht es den Benutzern pers nliche Lesezeichen f r URLs auf verf gbaren Webservern zu durchsuchen und zu erstellen Die Benutzer k nnen auch zu vom Administrator definierten Lesezeichen auf verf gbaren Webserver wechseln Users can enter URLs and view group bookmarks Diese Option erm glicht es den Benutzern zu URLs und vom Administrator definierten Lesezeichen auf verf gbaren Webservern zu wechseln Users can view group bookmarks only Diese Option erm glicht es den Benutzern lediglich zu vom Administrator definierten Lesezeichen auf verf gbaren Webservern zu wechseln Web browsing disabled Bei dieser Option k nnen die Benutzer keine Webressourcen durchsuchen Verwenden Sie diese Option wenn Sie die Zugriffsm glichkeiten schnell ndern m ssen die Richtlinien f r Webressourcen sowie Zugriffssteuerungslisten jedoch erhalten bleiben sollen Wenn Sie diese Option ausw hlen werden auf der IVE Startseite keine Elemente f r Webbrowsing mehr angezeigt Web gt Unterregisterkarte General 149 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch En
281. ten und Suchen von Administratorengruppenkonten auf Seite 82 Authentication gt Unterregisterkarte Authentication Server KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 88 So legen Sie einen Server f r die Authentifizierung der Administratorengruppe fest 1 W hlen Sie in der Administratorkonsole die Registerkarte Authentication amp Authorization gt Administrators gt Authentication Server aus 2 W hlen Sie die Authentifizierungsinstanz zum Authentifizieren von Mitgliedern der Administratorengruppe aus Informationen zum Konfigurieren einer Authentifizierungsinstanz finden Sie unter Definieren einer Authentifizierungsserverinstanz auf Seite 92 Wenn Sie nur die lokale Authentifizierung verwenden m chten w hlen Sie im Dropdownmen Server die Option None aus F r jedes Administratorenkonto m ssen Sie die Verwendung der lokalen Authentifizierung angeben sowie ein Benutzerkennwort festlegen Weitere Informationen finden Sie unter Erstellen L schen Bearbeiten und Suchen von Administratorengruppenkonten auf Seite 82 Hinweis Sie k nnen nur eine Authentifizierungsinstanz zum Authentifizieren von Mitgliedern der Administratorengruppe angeben Wenn Sie Administratorenkonten f r Benutzer erstellen m chten f r die auf diesem externen Server keine Daten s tze vorhanden sind konfigurieren Sie einfach deren Benutzerkonten f r die Verwendung der lokalen Authentifizierung Abbildun
282. tication amp Authorization gt Men Import Users 220 Authentication amp Authorization gt Men Active Users 223 KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 72 bersicht ber Authentifizierung und Autorisierung IVE Version 3 0 enth lt im Vergleich zu fr heren Versionen einen neuen AA Vorgang Authentifizierung und Autorisierung Dieser AA Vorgang wird einfach als Standardmodus f r Systeme der Version 3 0 behandelt Wenn Sie eine Aktualisierung von einer vorhandenen 2 x Konfiguration vornehmen wenden Sie sich an den Neoteris Support bevor Sie vom Legacymodus in den Standardmodus wechseln Hinweis Neuen Kunden des IVE wird dringend vom Aktivieren des Legacymodus abgeraten Wenn Sie den AA Vorgang Authentifizierung und Autorisierung im IVE f r Benutzer konfigurieren m chten m ssen Sie folgende Elemente festlegen Authentifizierungsserver Autorisierungsgruppen Authentifizierungsserver Bei einem Authentifizierungsserver handelt es sich um eine Datenbank in der Anmeldeinformationen f r Benutzer Benutzername und Kennwort und normalerweise Gruppeninformationen gespeichert werden Wenn sich ein Benutzer im IVE anmeldet muss er einen Authentifizierungsserver angeben an den das IVE die Anmeldeinformationen senden soll Der Authentifizierungsserver berpr ft das Vorhandensein und die Identit t des Benutzers Nach
283. tiert k nnen Sie weiterhin eine Authentifizierung anhand eines verketteten Zertifikats durchf hren indem Sie dieses im Browser eines Benutzers installieren Falls der Browser eines Benutzers ber ein verkettetes Zertifikat verf gt f hrt das IVE die Authentifizierung anhand des Stammzertifikats durch Danach werden die Zwischenzertifikate aus dem Browser zwischengespeichert die w hrend der Sitzung verwendet werden sollen Um den Zugriff f r eine Autorisierungsgruppe weiter zu beschr nken geben Sie wie in berpr fen der Zuordnungen von Servern zu Gruppen auf Seite 137 beschrieben die zur Authentifizierung erforderlichen X 509 DN Attribute Distinguished Name ein Beispielsweise m chten Sie dasselbe Zertifikat zwar f r mehrere Arbeitsgruppen verwenden den Zugriff auf eine bestimmte Ressource jedoch durch die Anforderung beschr nken dass das Zertifikat eines Benutzer bestimmte DN Attribute besitzen muss So geben Sie ein Stammzertifikat an 1 Klicken Sie in der Administratorkonsole auf die Registerkarte System gt Certificates gt CA Certificate 2 Klicken Sie auf Import Certificate 3 Wechseln Sie zu der Datei mit dem signierten Zertifikat f r das Stammzertifikat und klicken Sie auf Import Registerkarte CA Certificate 53 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Abbildung 29 System gt Certificates gt CA Certificate KAPITEL 2 Verwalten von systemweiten Einstellungen 5
284. tisch erfolgt Benutzer k nnen diese Einstellung ber das Men IVE System gt Preferences au er Kraft setzen Wenn der automatische Start deaktiviert ist muss Secure Application Manager manuell gestartet werden indem auf die entsprechende Verkn pfung im IVE Homepagemenu geklickt wird KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 190 3 W hlen Sie aus den Gruppenregisterkarten Applications gt Secure Application Manager aus Benutzerdefinierte Autorisierungsgruppen erben standardm ig die Einstel lungen der Benutzergruppe Klicken Sie zum Festlegen benutzerdefinierter Einstellungen auf Use custom settings und anschlie end auf Update 4 Geben Sie auf der Liste Applications Ressourcen an f r die W SAM den Client Server Verkehr zwischen dem Client und dem IVE sichert 1 Klicken Sie auf Add Application 2 Geben Sie den Dateinamen der auszuf hrenden Anwendung ein 3 Geben Sie den MD5 Hash der auszuf hrenden Datei ein Optional Wenn Sie diesen Wert eingeben berpr ft W SAM ob der Pr fsummen wert der ausf hrbaren Datei diesem Wert entspricht Wenn die Werte nicht bereinstimmen teilt W SAM dem Benutzer mit dass die Identit t der Anwendung nicht sichergestellt werden konnte und leitet Verbindungen von der Anwendung zum IVE nicht weiter 4 Geben Sie einen Namen und eine Beschreibung an die f r Benutzer auf der Seite Applications gt Session angezeigt wird Optional 5 Klicken
285. tlook und IBM Lotus Notes von jedem PC aus Aktualisierungsoption f r Secure Email Client Auf Standards basierende E Mail Clients wie Microsoft Outlook Express Netscape Communicator und Eudora von Qualcomm von jedem PC aus Aktualisierungsoption f r Secure Application Manager Client Serveranwendungen wie Citrix ICA Client pcAnywhere und MS Terminaldienste von jedem PC aus Aktualisierungsoption f r Secure Application Manager Gehostete Server ber Telnet und SSH von jedem PC aus Aktualisierungsoption f r Secure Terminal Access Funktionen f r die sichere Zusammenarbeit einschlie lich der Planung von Konferenzen Remotekonferenzvorf hrungen Remotesteuerung des Desktops des Vorf hrenden sowie Textchats Option in Secure Meeting KAPITEL 1 Einf hrung in die Neoteris IVE Appliance 4 Ihre Mitarbeiter Partner und Kunden ben tigen lediglich einen Standard webbrowser f r den PC Internet Explorer Netscape AOL Pocket IE und eine Internetverbindung f r den Zugriff auf die intuitive IVE Startseite Auf dieser Seite wird das Fenster bereitgestellt ber das die Benutzer sicher Web oder Dateiserver durchsuchen HTML f hige Unternehmensanwendungen verwenden den Client Serveranwendungsproxy starten oder eine Terminalsitzung beginnen k nnen1 Die Installation Konfiguration und Verwaltung des IVE sind unkompliziert Bei dem IVE handelt es sich um eine Netzwerkappliance die innerhalb weniger Minuten im R
286. tratorkonsole anmelden ist das Men System gt Settings gt General ausgew hlt und die Seite General wird angezeigt Auf dieser Seite sind die Details zum IVE Server und den Systembenutzern zusammenge fasst Wenn Sie auf anderen Seiten nderungen vornehmen werden die entsprechenden Informationen auf der Seite General aktualisiert Auf dieser Seite k nnen Sie auch die folgenden Aktionen durchf hren Neoteris IVE Server neu starten wenn Sie auf Reboot Now klicken Neoteris IVE Server herunterfahren wenn Sie auf Shutdown klicken Der Server wird heruntergefahren und Sie m ssen an der Appliance Reset Schalter dr cken um den Server neu zu starten Beachten Sie dass das Ger t nach dem Herunterfahren des Servers eingeschaltet bleibt Senden Sie vom Neoteris IVE Server einen ICMP Ping Befehl an alle Server f r deren Verwendung das IVE konfiguriert ist und deren Verbindungen gemeldet werden wenn Sie auf Servers Connectivity klicken Der Status der einzelnen Server wird unter Notices gemeldet Informationen zur Handhabung der folgenden Situationen finden Sie in Anhang A Verwenden der seriellen Konsole von Neoteris auf Seite 273 Sie haben Ihre Anmeldedaten vergessen Sie haben die IP Beschr nkungen so eingestellt dass Sie sich nicht mehr am Ger t anmelden k nnen Sie m chten das System in den vorherigen Zustand zur cksetzen Sie m ssen das System auf die Werkseinstellungen zur
287. tratorkonsole das Men Authentication amp Authorization gt Authorization Groups und anschlie end eine Gruppe aus 2 W hlen Sie aus den Gruppenregisterkarten Applications gt General aus Vergewissern Sie sich dass die Java Version von Secure Application Manager und die MS Exchange Optionen aktiviert sind 3 W hlen Sie aus den Gruppenregisterkarten Applications gt MS Exchange aus Benutzerdefinierte Autorisierungsgruppen erben standardm ig die Einstel lungen der Benutzergruppe Klicken Sie zum Festlegen benutzerdefinierter Einstellungen auf Use custom settings und anschlie end auf Update KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 208 4 Konfigurieren Sie die Zugriffssteuerungsliste f r Microsoft Exchange Server 1 Geben Sie im Feld Server Name den vollst ndig qualifizierten Hostnamen und den NetBIOS Namen f r jeden MS Exchange Server ein Wenn beispielsweise der vollst ndig qualifizierte Hostname exchange1 ihrefirma com lautet f gen Sie der Liste exchange1 ihrefirma com und exchange1 hinzu 2 Klicken Sie auf Add 5 W hlen Sie aus den Gruppenregisterkarten Applications gt General aus 6 W hlen Sie unter Enable Automatic Host Mapping for MS Exchange Servers Java Version Only die Option Enabled aus und klicken Sie dann auf Save Changes Der PC eines Remotebenutzers muss MS Exchange Server in die Adresse 127 0 01 aufl sen Wenn Sie die automatische Hostzuordnung f r MS
288. tung zur Anzahl der ausgef hrten Prozesse zur Systembetriebszeit zur Anzahl der ge ffneten Dateibeschreibungen und zu den verwendeten Ports Das IVE speichert bis zu zehn Snapshots die in einer verschl sselten Dumpdatei bzw Sicherungsdatei abgelegt werden Diese k nnen Sie auf einen Netzwerkcomputer herunterladen und dann per E Mail an den Neoteris Support senden So erstellen Sie einen Snapshot des IVE Systemstatus 1 Klicken Sie in der Administratorkonsole auf die Registerkarte System gt Settings gt Debugging gt State 2 Klicken Sie auf Make Snapshot Debugging gt Unterregisterkarte State KAPITEL 2 Verwalten von systemweiten Einstellungen 28 3 Wenn das IVE das Erstellen des Snapshots beendet hat klicken Sie auf Download um die Datei auf einen Netzwerkcomputer herunterzuladen 4 Senden Sie die Datei zur berpr fung per E Mail an die folgende Adresse help support neoteris com Abbildung 12 System gt Settings gt Debugging gt State Abh ren von Netzwerkpaketheadern mit einem Sniffer Programm Auf dieser Registerkarte k nnen Sie Netzwerkpaketheader mit einem Sniffer Programm abh ren und die Ergebnisse in einer verschl sselten Dumpdatei bzw Sicherungsdatei speichern Diese k nnen Sie auf einen Netzwerkcomputer herunterladen und dann per E Mail an den Neoteris Support senden Debugging gt Unterregisterkarte TCP Dump 29 Neoteris Instant Virtual Extranet Appliance Admini
289. tzers besteht im Aktivieren der automatischen Hostzuordnung siehe Seite 183 Hierdurch erh lt das IVE die M glichkeit die Datei hosts des PCs so zu ndern dass Anwendungsserver auf den lokalen Host des PCs verweisen um eine sichere Portweiterleitung zu gew hrleisten Das IVE kann nur automatische Hostzuweisung durchf hren wenn der PC Benutzer auf dem Computer ber Administratorrechte verf gt Andernfalls m ssen Sie sicherstellen dass die internen Anwendungsservernamen extern zum lokalen Host eines PCs aufgel st werden F gen Sie hierf r entsprechende Eintr ge zu dem externen mit dem Internet verbundenen DNS Server hinzu siehe folgende Beispiele 202 127 0 0 1 anw1 firma a com 127 0 0 1 anw2 firma b com 127 0 0 1 exchange1 firma a com 127 0 0 1 exchange1 fima b com Wenn die Clientanwendung einen unvollst ndigen Namen f r den Anwendungs server verwendet m ssen Benutzer DNS Suffixe angeben damit der PC das Suffix hinzuf gen und f r die Namensaufl sung eine Verbindung mit dem externen DNS Server herstellen kann Ein Beispiel Ein MS Outlook Client hat blicherweise einen unvollst ndigen Namen f r einen MS Exchange Server Damit der unvollst ndige Name in die Adresse 127 0 0 1 aufgel st werden kann m ssen Benutzer die entsprechenden DNS Suffixe auf ihren PCs angeben Das Hinzuf gen von Dom nennamen wirkt sich nicht auf andere Vorg nge auf dem PC aus einschlie lich der Verwendung der Clientanwendung innerha
290. uf Update Wenn keine Namen angezeigt werden ist kein mit den Suchkriterien bereinstimmendes Konto vorhanden Hinweis Im Feld Show users named k nnen Sie als Platzhalter ein Sternchen verwenden wobei das f r eine beliebige Anzahl von Zeichen steht Wenn Sie z B alle Benutzernamen suchen m chten die die Buchstaben dave enthalten geben Sie im Feld Show users named die Zeichenfolge dave ein Bei der Suche muss die Gro und Kleinschreibung beachtet werden Wenn Sie die gesamte Liste von Gruppenkonten erneut anzeigen m chten geben Sie im Feld Show users named ein ein oder l schen Sie dessen Inhalt und klicken Sie dann auf Update KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 104 Delegieren von Benutzerverwaltungsrechten an Endbenutzer Auf der Registerkarte Authentication amp Authorization gt Authentication Servers gt User Admins k nnen Sie Benutzerverwaltungsrechte an ausgew hlte Endbenutzer delegieren einschlie lich der Rechte zum Hinzuf gen von Benutzern zu einem Authentifizierungsserver L schen von Benutzern ndern der vollst ndigen Namen von Benutzern und ndern der Kennw rter von Benutzern ber das Men User Admin auf der Startseite des sicheren Gateways Hinweis Benutzeradministratoren k nnen nur lokale IVE Authentifizierungsserver verwalten Beachten Sie au erdem dass Benutzeradministratoren keine Gruppen oder Benutzer zu Gruppen Zuordnungen verwalten
291. uf jedem Clustermitglied Wir empfehlen einen Knoten vor dem Installieren eines Servicepakets zu deaktivieren Hinweis Sie k nnen Clustermitglieder nicht herunterstufen Sie k nnen jedes Clustermit glied jedoch durch ein Rollback auf seinen vorherigen Nicht Cluster Zustand zur cksetzen So aktualisieren Sie einen Cluster 1 Melden Sie sich an der Administratorkonsole des Clusterknotens an den Sie aktualisieren m chten Um auf die Administratorkonsole eines Clusterknotens zuzugreifen geben Sie in einem Browser seine interne IP Adresse gefolgt von admin ein Beispiel https x x x x admin 257 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch 2 Aktivieren Sie auf der Registerkarte Network gt Clustering gt Status das Kontrollk stchen neben dem Namen des Knotens in der Spalte Cluster Members und klicken Sie dann auf Disable 3 Installieren Sie das Dienstpaket wie unter Installieren eines Neoteris Softwaredienstpakets auf Seite 66 beschrieben 4 Nach Abschluss des Installationsvorgangs kehren Sie zur Registerkarte des Knotens Network gt Clustering gt Status zur ck aktivieren das Kontroll k stchen neben dem Namen des Knotens in der Spalte Cluster Members und klicken dann auf Enable 5 F hren Sie diese Schritte f r jeden Knoten im Cluster durch Verwalten von Clusterknoten und Angeben neuer Clustermitglieder Auf dieser Registerkarte k nnen Sie den Status von Clusterknoten be
292. und Autorisierung f r IVE 222 Importieren von Benutzer und Gruppeneinstellungen auf einen Authentifizierungsserver So importieren Sie Benutzerdatens tze aus einer Textdatei in das IVE 1 W hlen Sie in der Administratorkonsole das Men Authentication amp Authorization gt Import Users aus 2 Geben Sie im Feld File to import den Pfad der Textdatei mit den Benutzer datens tzen ein Mithilfe der Schaltfl che Browse k nnen Sie ggf zu der Datei auf der Festplatte navigieren 3 W hlen Sie den Authentication Server aus auf den Sie die Benutzerdaten s tze importieren m chten 4 Um sich die in der Datei enthaltenen Benutzerdatens tze in einer Vorschau anzeigen zu lassen klicken Sie auf Preview Das IVE zeigt ein Beispiel Importprotokoll f r die Datei an Wenn Sie die Datei erst nach der Vorschau importieren m chten m ssen Sie die Schritte 2 bis 3 wiederholen 5 Klicken Sie auf Import Abbildung 89 Authentication amp Authorization gt Import Users 223 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch berwachen von am IVE angemeldeten Benutzern ber das Men Active Users k nnen Sie Benutzer berwachen die am IVE angemeldet sind So berwachen Sie am IVE angemeldete Benutzer 1 W hlen Sie in der Administratorkonsole das Men Authentication amp Authorization gt Active Users aus 2 F hren Sie bei Bedarf die folgenden Vorg nge durch Um die Tabelle der aktuell an
293. ungen als auch f r anonyme Anmeldungen eingerichtet sind Das IVE speichert von Benutzern eingegebene Kennw rter f r die NTLM und HTTP Standardauthentifizierung im Cache so dass die Benutzer nicht wiederholt aufgefordert werden die Anmeldeinformationen einzugeben die bereits bei der Anmeldung beiim IVE Server oder einer anderen Ressource in der NT Dom ne verwendet wurden Standardm ig leert der IVE Server zwischengespeicherte Kennw rter aus dem Cache wenn sich ein Benutzer abmeldet Verwenden Sie diese Option damit zwischengespeicherte Kennw rter ber mehrere Sitzungen f r eine Gruppe weiterbestehen k nnen Ein Benutzer kann zwischengespeicherte Kennw rter ber die Seite Advanced Preferences l schen Enable Persistent Session Cookies Standardm ig wird das IVE Sitzungscookie aus dem Speicher des Browsers gel scht wenn der Browser geschlossen wird Wenn Sie best ndige Sitzungscookies aktivieren wird das IVE Sitzungscookie auf die Festplatte des Clients geschrieben so dass die IVE Anmelde informationen des Benutzers f r die Dauer der IVE Sitzung gespeichert werden Die IVE Sitzungsdauer wird sowohl vom Wert des Leerlaufzeit limits als auch dem Wert der maximalen Sitzungsdauer bestimmt die Sie f r die Gruppe angeben siehe Seite 133 Die IVE Sitzung wird nicht beendet wenn ein Benutzer den Browser schlie t Eine IVE Sitzung wird erst dann beendet wenn sich ein Benutzer vom IVE abmeldet Wenn ein Benutzer das B
294. uppen an 1 W hlen Sie in der Administratorkonsole das Men Authentication amp Authorization gt Authorization Groups und anschlie end eine Gruppe aus 2 W hlen Sie auf den Gruppenregisterkarten die Option Session aus 3 Unter Session timeout 1 W hlen Sie Use custom settings aus und klicken Sie dann auf Save Changes wenn Sie f r eine Autorisierungsgruppe neue Sitzungszeit berschreitungen angeben m chten 2 Geben Sie die Anzahl der Minuten an die sich eine nicht administrative Benutzersitzung im Leerlauf befinden kann bevor sie beendet wird Die Mindestzeit betr gt drei Minuten 3 Geben Sie die Anzahl der Minuten an die eine aktive nicht administrative Benutzersitzung ge ffnet bleiben kann bevor sie beendet wird Die Mindestzeit betr gt drei Minuten 4 W hlen Sie unter Enable roaming session eine der folgenden Optionen aus General gt Unterregisterkarte Session KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 134 User Users settings Wendet die Einstellungen der Benutzergruppe an Enabled maximize mobility Benutzer k nnen sich von einer IP Adresse aus anmelden und ihre Sitzung von einer anderen IP Adresse aus fortsetzen Limited to subnet range minimum mobility increased security Benutzer k nnen sich von einer IP Adresse aus anmelden und ihre Sitzungen mit einer anderen IP Adresse fortsetzen sofern sich die neue IP Adresse in demselben Su
295. usammengefasst Hier k nnen Sie Administratorenkonten erstellen l schen bearbeiten und suchen Das erste der Administratorengruppe hinzugef gte Administratorenkonto erstellen Sie ber die Neoteris Konsole wenn das Initialisierungsskript f r die Installation ausgef hrt wird Dieser Administrator wird automatisch f r die Verwendung der lokalen Authentifizierung festgelegt Wenn Sie den Neoteris IVE Server f r die Verwendung einer externen Benutzerdatenbank konfigurieren k nnen Sie weitere Administratoren erstellen f r deren Authentifizierung dieser externe Server verwendet wird Hinweis Wenn Sie einem Endbenutzer beschr nkte Verwaltungsrechte gew hren m chten z B Hinzuf gen von Benutzern zu einem Authentifizierungsserver L schen von Benutzern ndern der vollst ndigen Namen und Kennw rter von Benutzern finden Sie entsprechende Informationen unter Delegieren von Benutzerverwaltungsrechten an Endbenutzer auf Seite 104 Authentication amp Authorization gt Men Administrators Registerkarte Members 83 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch So erstellen Sie ein Administratorengruppenkonto 1 W hlen Sie in der Administratorkonsole die Registerkarte Authentication amp Authorization gt Administrators gt Members aus 2 Klicken Sie auf New und geben Sie dann einen Benutzernamen und den vollst ndigen Namen des Administrators ein 3 Wenn Sie den Benutzername
296. usters Beim Erstellen eines Clusterpaares oder eines Multi Unit Clusters werden zun chst die Clustereinstellungen f r ein IVE festgelegt und anschlie end werden weitere Mitglieder zu dem Cluster hinzugef gt Wir empfehlen vor dem Definieren eines Clusters zun chst die System Authentifizierungs Autorisierungs und Netzwerkeinstellungen auf einem IVE zu definieren Definieren Sie anschlie end auf dem gleichen IVE den Cluster Dieses IVE wird dem Cluster im Rahmen des Erstellungsvorgangs hinzugef gt Network gt Men Clustering KAPITEL 4 Verwalten von IVE Netzwerkeinstellungen 248 So definieren und initialisieren Sie einen Cluster 1 Konfigurieren Sie ein IVE mit den gew nschten System Authentifizierungs Autorisierungs und Netzwerkeinstellungen 2 W hlen Sie in der Administratorkonsole des konfigurierten IVEs die Registerkarte System gt Settings gt License aus und geben Sie Ihren Lizenzcode ein um die Clusterfunktion zu aktivieren Die Men option Clustering wird unter der berschrift Network angezeigt 3 Geben Sie auf der Seite Network gt Clustering unter Clustering die Bezeichnung f r den Cluster ein Clusterkennwort und einen Namen f r dieses Ger t ein zum Beispiel ive 1 Hinweis Wenn Sie weitere IVEs konfigurieren die dem Cluster hinzugef gt wer den sollen m ssen Sie das Kennwort erneut eingeben Alle IVEs in dem Cluster verwenden dieses Kennwort f r die Kommunikation 4 Klicken Sie
297. uthentifizierung ber ein clientseitiges Zertifikat verf gen m ssen Sie k nnen au erdem ein Attribut Wert Paar angeben das f r die Authentifizierung erforderlich ist 3 Klicken Sie auf Save Changes Abbildung 42 Authentication amp Authorization gt Administrators gt Certificate Authentication gt Unterregisterkarte Certificate KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 92 Dieser Abschnitt enth lt Anweisungen zum Festlegen einer Authentifizierungs serverinstanz Seite 92 und zum Delegieren von Benutzerverwaltungsrechten an Endbenutzer Seite 104 Definieren einer Authentifizierungsserverinstanz Zum Festlegen einer Authentifizierungsserverinstanz sind folgende Schritte erforderlich 1 Festlegen der Servereinstellungen einschlie lich der Serverinformationen und der Art der Zuordnungen von Benutzern zu Gruppen durch das IVE 2 Angeben der Gruppenzuordnungsinformationen f r die Instanz Bei der Konfiguration des lokalen IVE Authentifizierungsservers 3 Definieren lokaler Benutzerkonten 1 W hlen Sie in der Administratorkonsole das Men Authentication amp Authorization gt Authentication Servers Seite 81 aus 2 W hlen Sie in der Dropdownliste den Typ des Authentifizierungsservers aus f r den Sie eine Instanz definieren m chten Hinweis Zum Authentifizieren von Active Directory k nnen Sie das NTLM und das LDAP Protokoll verwenden Sie k nnen den Act
298. utomatisches Anmelden beim IVE Wenn sich ein Benutzer bereits an einem anderen Netegrity f higen Server in der Dom ne mit dem IVE angemeldet hat ist ber die Option Automatic Sign in der Zugriff auf das IVE ohne Aufforderung zur erneuten Anmeldung m glich Das IVE berpr ft lediglich anhand des Richtlinienservers das vom Browser des Benutzers gesendete SMSESSION Cookie Abbildung 36 Authentication amp Authorization gt Authentication Servers gt Servers Sofern nicht anders angegeben k nnen Sie mehrere Instanzen eines Authentifizierungs servers erstellen In der folgenden Abbildung wird eine Instanz f r jeden unterst tzten Server dargestellt KAPITEL 3 Verwalten der Authentifizierung und Autorisierung f r IVE 82 Auf den Registerkarten Administrators k nnen Sie Administratorkonten erstellen und verwalten Auf diesen Seiten k nnen Sie folgende Aufgaben durchf hren Erstellen L schen Bearbeiten und Suchen von Administratorengruppenkonten 82 Festlegen von Zeitbegrenzungen f r Administratorengruppensitzungen 86 Festlegen von IP Adresseinschr nkungen f r die Administratorengruppe 89 Erstellen L schen Bearbeiten und Suchen von Administratorengruppenkonten Ein Administratorenkonto besteht aus einem Benutzernamen dem vollst ndigen Namen und dem Authentifizierungstyp des Benutzers Auf der Seite Authentication amp Authorization gt Administrators gt Members sind die Administratorenkonten z
299. utzerkonfigura tionsdateien in denen die gew nschten Daten gespeichert sind 2 Laden Sie die gew nschten Serverpakete unter support neoteris com herunter 3 Importieren Sie das gew nschte Serverpaket 275 Neoteris Instant Virtual Extranet Appliance Administratorhandbuch 4 Importieren Sie die gew nschten System und Benutzerkonfigurationsdateien Der Neoteris IVE Server speichert die aktuellen Systemkonfigurations informationen und die des vorherigen Systemzustands Wenn Sie das Serverpaket aktualisieren und Ihr Ger t in den vorherigen Zustand zur cksetzen m chten empfehlen wir Ihnen den zuvor aufgef hrten Anweisungen zu folgen Wenn Sie nicht auf die Administratorkonsole zugreifen k nnen stellen Sie eine Verbindung mit der seriellen Konsole her um ein Rollback zum vorherigen Systemzustand durchzuf hren Wenn Sie bisher noch keine Serveraktualisierung durchgef hrt haben gibt es keinen lteren Systemzustand und die Option ist daher nicht verf gbar Wenn Sie eine Serveraktualisierung durchgef hrt haben gehen alle System und Benutzerkonfigurationsdaten die nach der Aktualisierung erstellt wurden verloren Dies vermeiden Sie indem Sie die aktuellen Konfiguration sdateien vor dem Rollback des Systems exportieren und anschlie end wieder importieren So f hren Sie ein Rollback zum vorherigen Serverzustand durch 1 Stellen Sie eine Verbindung mit der seriellen Konsole her siehe unter Seite 273 2 Mel
300. utzers ein Geben Sie im Feld Show _ users eine Zahl ein um die Anzahl der angezeigten Ergebnisse einzuschr nken Klicken Sie zum Anzeigen der Suchergebnisse auf Update Wenn keine Namen angezeigt werden ist kein mit den Suchkriterien bereinstimmendes Administratorengruppenkonto vorhanden Hinweis Im Feld Show users named k nnen Sie als Platzhalter ein Sternchen verwenden wobei das f r eine beliebige Anzahl von Zeichen steht Wenn Sie z B nach allen Benutzernamen suchen m chten die die Buchstaben admin enthalten geben Sie im Feld Show users named die Zeichenfolge admin ein Bei der Suche muss die Gro und Kleinschreibung beachtet werden Wenn Sie die gesamte Liste von Administratorengruppenkonten erneut anzeigen m chten geben Sie im Feld Show users named ein ein oder l schen Sie dessen Inhalt und klicken Sie dann auf Update Festlegen von Zeitbegrenzungen f r Administratorengruppensitzungen Die Standardzeitbegrenzung f r eine Administratorsitzung betr gt drei ig Minuten Nach dieser Zeitspanne wird die Sitzung geschlossen und das Ereignis im Systemprotokoll protokolliert Zus tzlich ist ein Wert f r Leerlaufzeiten von Sitzungen von f nf Minuten festgelegt Dies bedeutet dass die Administratorsitzung geschlossen und im Systemprotokoll ein Ereignis protokolliert wird wenn sie f r f nf Minuten inaktiv ist In jedem Fall muss sich der Administrator zur Wiederaufnahme der Arbeit neu anmelden Diese
301. von jeder IP Adresse aus anmelden k nnen Users can only sign in from the following IP addresses um einzuschr nken ber welche IP Adressen sich die Mitglieder der Gruppe anmelden k nnen Wenn Sie diese Option ausw hlen geben Sie unbedingt die entsprechenden IP Adressen an da andernfalls die Anmeldung f r Benutzer von keinem Standort aus mehr m glich ist 4 Wenn Sie es Benutzern erm glichen m chten sich ber den externen Port anzumelden klicken Sie auf Enable 5 Klicken Sie auf Save Changes Authentication gt Unterregisterkarte Address Restrictions 139 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Abbildung 60 Authentication amp Authorization gt Authorization Groups gt GroupName gt Authentication gt Address Restrictions Einschr nken der m glichen Browser f r die Benutzeranmeldung Auf dieser Registerkarte k nnen Sie angeben ber welche Webbrowser ein Benutzer auf das IVE zugreifen kann Wenn ein Benutzer versucht sich im IVE ber einen nicht unterst tzten Browser anzumelden schl gt der Anmeldeversuch fehl und es wird in einer Meldung angezeigt dass ein nicht unterst tzter Browser verwendet wird Verwenden Sie diese Zugriffssteuerung um sicherzustellen dass sich Benutzer im IVE ber Browser anmelden die mit Firmenanwendungen kompatibel oder von Firmensicherheitsrichtlinien zugelassen sind Hinweis Das Feature zur Browsereinschr nkung dient nicht als str
302. vor deaktivierten Knoten zu aktivieren Wenn Sie einen Knoten wieder aktivieren werden alle Statusinformationen auf dem Knoten synchronisiert Schaltfl che Disable Klicken Sie auf diese Schaltfl che um einen Knoten in einem Cluster zu deaktivieren Der Knoten kommuniziert weiterhin mit dem Cluster KAPITEL 4 Verwalten von IVE Netzwerkeinstellungen 260 Schaltfl che Remove Klicken Sie auf diese Schaltfl che um den oder die ausgew hlten Knoten aus dem Cluster zu entfernen Ein Knoten wird ausgew hlt indem Sie das Kontrollk stchen neben dem Namen aktivieren Nachdem der Knoten entfernt wurde wird er im eigenst ndigen Modus ausgef hrt Spalte Cluster Members F hrt alle Knoten auf die zu dem Cluster geh ren Sie k nnen auf einen Knoten klicken um seinen Namen und die Netzwerkeinstellungen zu ndern Spalte Internal IP Address Gibt die interne IP Adresse des Clustermitglieds an Spalte External IP Address Gibt die externe IP Adresse des Clustermitglieds an Beachten Sie dass diese Spalte nur die externe IP Adresse des Clusterleiters enth lt es sei denn Sie geben auf seiner eigenen Seite f r Netzwerkeinstellungen eine andere Adresse f r den Knoten an Zum ffnen dieser Seite klicken Sie in der Spalte Cluster Members auf den Namen des Knotens Wenn Sie die externe IP Adresse auf der Seite Network gt Network Settings ndern wirkt sich die nderung auf alle Clusterknoten aus Tabelle 1 Clustering gt Re
303. work f r Remotezugriffe zur Verf gung zu stellen Das IVE vermittelt zwischen externen Verbindungen ber die es sichere Anforderungen erh lt und internen Ressourcen an die es Anforderungen f r authentifizierte Benutzer sendet KAPITEL 1 Einf hrung in die Neoteris IVE Appliance 2 Abbildung 1 Die Neoteris IVE Appliance innerhalb eines LAN Wie funktioniert das IVE Das IVE von Neoteris fungiert als sicheres Gateway auf Anwendungsebene das s mtliche Anforderungen zwischen dem ffentlichen Internet und internen Unternehmensressourcen vermittelt Auf s mtliche Anforderungen die das IVE erh lt wurde bereits durch den Browser des Endbenutzers eine 128 Bit SSL HTTPS Verschl sselung angewendet Unverschl sselte Anforderungen werden verworfen Jede Anforderung wird einer vom Administrator definierten Zugriffssteuerung unterzogen und unterliegt Autorisierungsrichtlinien beispielsweise einer 2 Faktor Authentifizierung oder clientseitigen digitalen Zertifikaten bevor sie an die internen Ressourcen weitergeleitet wird Da das IVE eine stabile Sicherheitsschicht zwischen dem ffentlichen Internet und den internen Ressourcen zur Verf gung stellt m ssen Administratoren nicht fortw hrend Sicherheitsrichtlinien verwalten und Sicherheitsl cken f r zahlreiche verschiedene Anwendungen und Webserver beheben die in dem ffentlichen DMZ bereitgestellt werden 3 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch Das
304. zeigen 18 Rollback 273 280 Software installieren 66 Statistik anzeigen 22 Status anzeigen 6 Statusdaten Beschreibung 232 verbundene Server Ping Befehl senden 6 Zeit einstellen 16 System Men s Appearance 36 Certificates 41 Import Export 58 Install Service Package 66 Secure Meetings 67 Settings 5 T TCP Dump Unterregisterkarte Settings Men gt Debugging Registerkarte 28 TCP Sicherungsdatei zum Debuggen 28 Terminal Sessions Unterregisterkarte Authorization Groups Men gt Applications Registerkarte 185 Time Registerkarte Settings Men 16 Trace Unterregisterkarte Settings Men gt Debugging Registerkarte 26 traceroute Befehl 30 U UNIX Lesezeichen erstellen 174 UNIX Access Unterregisterkarte Authorization Groups Men gt Files Registerkarte 172 UNIX Bookmarks Unterregisterkarte Authorization Groups Men gt Files Registerkarte 174 UNIX NFS Durchsuchen von Dateien 164 Zugriffssteuerung 172 URL Zugriffsstatistik 22 USER Variable in UNIX Lesezeichen 174 288 INDEX in Web Lesezeichen 161 in Windows Lesezeichen 170 User Accounts Registerkarte Import Export Men 60 V Vermittlung 153 Vermittlung Anmeldeinformationen von Benutzern 10 Verschl sselungsst rke 10 View Unterregisterkarte Settings Men gt Log Registerkarte 18 W Web Benutzereinstellungen f r die Suche 148 Browsing zulassen 148 Lesezeichen erstellen 161 Navigationsprobleme 26 Nut
305. zu klicken um das Zertifikat vor dem Beitreten der Konferenz zu installie ren Weitere Informationen finden Sie in der bersicht ber Zertifikate in System gt Men Certificates auf Seite 41 Aktivieren von E Mail Benachrichtigungen f r Konferenzen Auf der Registerkarte General k nnen Sie automatische E Mail Benachrichtigungen an G ste von Secure Meeting aktivieren bzw deaktivieren Beachten Sie dass f r Secure Meeting zum Weiterleiten von E Mail Nachrichten ein SMTP Server verwendet werden muss auf den vom IVE aus zugegriffen werden kann So aktivieren Sie automatische E Mail Benachrichtigungen f r Konferenzg ste 1 Klicken Sie in der Administratorkonsole auf die Registerkarte System gt Secure Meetings gt General 2 W hlen Sie Enabled aus 3 Geben Sie im Feld SMTP Server die IP Adresse oder den Hostnamen eines SMTP Servers ein der E Mail Nachrichten vom IVE an die Konferenzg ste weiterleiten kann 4 Geben Sie bei entsprechender Anforderung vom SMTP Server in den Feldern SMTP Login und SMTP Password einen g ltigen Anmeldenamen und ein Kennwort f r den angegebenen E Mail SMTP Server ein Registerkarte General 69 Neoteris Instant Virtual Extranet Appliance Administrationshandbuch 5 Geben Sie im Feld SMTP Email Ihre E Mail Adresse oder die Adresse eines anderen Administrators ein Secure Meeting verwendet die angegebene Adresse als E Mail Adresse des Absenders wenn der Ersteller der E Ma
306. zungsstatistik zu Spitzenzeiten 22 Serverzugriffssteuerung 158 Zugriffssteuerung 158 Web Proxy Men Konfigurationsaufgaben 264 Web Agent IVE als 123 Webproxy Konfigurieren von Benutzer PCs 202 Windows Durchsuchen von Dateien 164 Lesezeichen erstellen 170 Ressourcenzugriffssteuerung 167 Windows Access Unterregisterkarte Authorization Groups Men gt Files Registerkarte 167 Windows Bookmarks Unterregisterkarte Authorization Groups Men gt Files Registerkarte 170 Windows NT Dom nenserver Konfigurationsschritte 106 bersicht 75 Windows Registrierung nderungen 207 WINS f r externen Port 241 f r internen Port 240 Z Zeit Begrenzungen f r Administratorensitzungen 86 Sitzungsbegrenzungen f r Benutzer 133 Systemzeit einstellen 16 Zertifikat Beschreibung 41 clientseitiges Zertifikat erforderlich 42 52 Codesignatur 54 Einschr nken von Anmeldungen Administrator 91 Benutzer 142 145 JavaSoft 54 MS Authenticode 54 Schl ssel bestehenden exportieren 43 bestehenden importieren 43 Server bestehendes exportieren 43 bestehendes importieren 43 erneuertes Zertifikat importieren 45 Zertifikatssignaturanforderung erstellen 47 Signaturanforderung Zertifikat importieren 50 Stammzertifikat 52 unterst tzte Formate 41 verkettet 52 Zertifikatssignaturanforderung erstellen 47 Zertifikat importieren 50 Zertifikatssignaturanforderung erstellen 47 Zugriffssteuerung allgemeines Durchsuchen von Dateien 164 allgem
Download Pdf Manuals
Related Search