Funkcije upravljanja
Registrirane informacije u provjeri autentičnosti korisnika
Moguće je registrirati najviše 5.001 korisnika.
Registriranje ID-jeva odjela
Moguće je registrirati najviše 1.000 ID-ova odjela.
Funkcije provjere autentičnosti
Kada je kao poslužitelj za provjeru autentičnosti određen Active Directory poslužitelj, potrebno je sljedeće okružje sustava.
Softver (operativni sustav): | Windows Server 2008 SP2*1/Windows Server 2008 R2 SP1/Windows Server 2012*2/Windows Server 2012 R2*2/Windows Server 2016*2/Windows Server 2019*2 |
*1 64-bitni operativni sustavi nisu podržani. *2 Korisnici se ne mogu prijaviti Active Directory provjerom autentičnosti ako je omogućen Kerberos Armoring za pravila vezana uz KDC (grupna pravila). Svakako onemogućite Kerberos Armoring. | |
U nastavku su metode šifriranja Kerberosa za Active Directory provjeru autentičnosti podržana od strane trenutne verzije provjere autentičnosti korisnika.
Metoda šifriranja | 128-bitni AES (Napredni standard šifriranja) 256-bitni AES (Napredni standard šifriranja) DES (Standard za šifriranje podataka) RC4 |
|
Dostupna metoda šifriranja može se razlikovati, ovisno o postavkama Active Directoryja. Od dostupnih metoda šifriranja automatski se odabire ona s najjačom snagom šifre. |
Kada odredite Active Directory poslužitelj kao poslužitelj za provjeru autentičnosti, koristite sljedeće priključke*1 na poslužitelju.
Za komunikaciju s DNS poslužiteljem: | broj priključka 53 |
Za komuniciranje s KDC-om (Centrom za distribuciju ključeva) | broj priključka 88 |
Za komuniciranje s poslužiteljem za uslugu LDAP imenika (može se promijeniti u proizvoljni broj priključka za LDAP uslugu): | broj priključka 389 |
*1 Prethodno navedeni priključci su zadane vrijednosti. Ti brojevi mogu varirati ovisno o odabranim postavkama. | |
Kada je kao poslužitelj za provjeru autentičnosti određen LDAP poslužitelj, potrebno je sljedeće okružje sustava.
Softver: | OpenLDAP |
Operativni sustav: | Zahtjevi su usklađeni s proizvodnim specifikacijama LDAP poslužitelja. |
Kada odredite LDAP poslužitelj kao poslužitelj za provjeru autentičnosti, koristite sljedeće priključke*1 na poslužitelju.
Za komunikaciju s LDAP poslužiteljem koristeći LDAP (kada je omogućen TLS): | broj priključka 636 |
Za komunikaciju s LDAP poslužiteljem koristeći LDAP (kada je omogućen TLS): | broj priključka 389 |
*1 Brojevi priključaka mogu se promijeniti sukladno postavkama LDAP poslužitelja. | |
Postavke vatrozida
Pri navođenju IP adresa u postavkama vatrozida, moguće je navesti do 16 IP adresa (ili raspona IP adresa) za IPv4 i IPv6.
Prilikom navođenja MAC adresa u postavkama vatrozida, moguće je navesti do 100 MAC adrese.
Adrese iznimke i brojevi priključaka iznimaka koji se mogu koristiti za komunikaciju pomoću pomoćne linije i koji su registrirani prema zadanim postavkama navedeni su dolje.
Adrese s iznimkom: | Od 0.0.0.1 do 255.255.255.255 |
Izuzeti brojevi porta: | 53, 67, 68, 80, 161, 443, 515*, 631*, 3702, 5353, 5357, 5358, 8000*, 8080, 8443*, 9013, 9100*, 10443*, 20010*, 47545 |
* Samo ulazni filtar | |
Registracija ključeva i certifikata
Ako instalirate ključ ili certifikat CA s računala, provjerite ispunjavaju li sljedeće preduvjete:
Oblik | Tipka: PKCS#12*1 CA certifikat: X.509 DER/PEM |
Datotečni nastavak | Tipka: ".p12" ili ".pfx" CA certifikat: ".cer" ili ".pem" |
Algoritam javnog ključa (i duljina ključa) | RSA (512-bitni, 1024-bitni, 2048-bitni, 4096-bitni) DSA (1024-bitni, 2048-bitni, 3072-bitni) ECDSA (P256, P384, P521) |
Algoritam za potpisivanje certifikata | RSA: SHA-1, SHA-256, SHA-384*2, SHA-512*2, MD2, MD5 DSA: SHA-1 ECDSA: SHA-1, SHA-256, SHA-384, SHA-512 |
Algoritam za otisak certifikata | SHA-1 |
*1 Preduvjeti za certifikat u ključu usklađeni su s CA certifikatima. *2 SHA384-RSA i SHA512-RSA dostupni su samo ako duljina RSA ključa iznosi 1024 bita ili više. | |
Registracija popisa opozvanih certifikata (CRL)
Može se registrirati do 50 popisa opozvanih certifikata (CRL). Uzmite na znanje da se CRL ne može registrirati u sljedećim slučajevima.
Veličina podataka CRL-a premašuje 1 MB.
Koristi se nepodržani algoritam potpisa.
Broj opozvanih certifikata registriranih u jednoj CRL datoteci premašuje 1.000.
Definicija „slabog šifriranja“
Kad je odabrana opcija [Prohibit Use of Weak Encryption], zabranjeni su sljedeći algoritmi.
Raspršivanje: | MD4, MD5, SHA-1 |
HMAC: | HMAC-MD5 |
Kriptosustav zajedničkog ključa: | RC2, RC4, DES |
Kriptosustav javnog ključa: | RSA šifriranje (512-bitno/1024-bitno), RSA potpis (512-bitni/1024-bitni), DSA (512-bitni/1024-bitni), DH (512-bitni/1024-bitni) |
|
Čak i kada je odabrana opcija [Prohibit Use of Key/Certificate with Weak Encryption], moguće je koristiti algoritam raspršivanja SHA-1 koji se koristi za potpisivanje korijenskog certifikata. |
FIPS 140-2 standardni algoritam
Kad je odabrana opcija [Format Encryption Method to FIPS 140-2], ne smiju se koristiti sljedeći algoritmi.
Raspršivanje: | MD4, MD5, SHA-1 (u svrhe osim za TLS) |
Kriptosustav zajedničkog ključa: | RC2, RC4, DES, PBE |
Kriptosustav javnog ključa: | RSA šifriranje (512-bitno/1024-bitno), RSA potpis (512-bitni/1024-bitni), DSA (512-bitni/1024-bitni), DH (512-bitni/1024-bitni) |
Upravljanje zapisnikom
Na uređaju se može upravljati sljedećim vrstama zapisnika. Prikupljeni zapisnici mogu se izvesti u datotečni oblik CSV.
Vrsta zapisnika | Broj naveden kao „vrsta zapisnika“ u CSV datoteci | Opis |
Zapisnik provjere autentičnosti korisnika | 4098 | Zapis sadrži informacije vezane uz status provjere autentičnosti (prijava/odjava i uspjeh/neuspjeh provjere autentičnosti korisnika), registriranje/mijenjanje/brisanje korisničkih informacija provjerom autentičnosti korisnika. |
Dnevnik zadataka | 1001 | Ovaj zapisnik sadrži informacije vezane za dovršetak zadataka ispisa. |
Zapisnik primanja | 8193 | Ovaj zapisnik sadrži informacije povezane s prijemom. |
Zapisnik upravljanja uređajem | 8198 | Ovaj zapisnik sadrži informacije vezane uz pokretanje/isključivanje uređaja i promjene postavki koristeći <Podesi>. Zapisnik upravljanja uređajem također bilježi promjene korisničkih informacija ili postavki vezanih uz sigurnost kada distributer ili servisni predstavnik pregledava ili popravlja uređaj. |
Zapisnik mrežne provjere autentičnosti | 8200 | U zapisnik se bilježi kad dođe do neuspješne IPSec komunikacije. |
Izvezite/Uvezite sve zapisnike | 8202 | Ovaj zapisnik sadrži informacije vezane uz uvoz/izvoz postavki koristeći funkciju izvoza/uvoza svih podataka. |
Zapisnik rada na zaslonu za upravljanje aplikacijama/softverom | 3101 | Ovo je zapisnik rada za registraciju/ažuriranja softvera, instalacije AddOn aplikacija itd. |
Zapisnik sigurnosne politike | 8204 | Ovaj zapisnik sadrži informacije uz postavljanje statusa postavki sigurnosne politike. |
Zapisnik održavanja sustava | 8206 | Ovaj zapisnik sadrži informacije vezane uz ažuriranja firmvera i sigurnosno kopiranje/vraćanje AddOn aplikacija itd. |
Zapisnik ispisa s provjerom autentičnosti | 8207 | Ovaj zapisnik sadrži informacije i povijest upravljanja vezanu uz zadatke ispisa s prisilnim zadržavanjem. |
Zapisnik za upravljanje zapisnikom revizije | 3001 | Ovaj zapisnik sadrži informacije vezanje uz pokretanje i završavanje ove funkcije (funkcija upravljanja zapisnikom o nadzoru), kao i izvoza zapisnika itd. |
|
Zapisnici mogu sadržavati do 40.000 zapisa. Kada broj zapisa premaši 40.000, oni se brišu počevši s najstarijima. |
Uvoz/izvoz podataka o postavkama
Pogledajte Tablica za Postavke/Registriranje.
Podrška za SCEP poslužitelj
Podržan je samo Network Device Enrollment Service (NDES) sustava Windows Server 2008 R2/Windows Server 2012 R2/Windows Server 2016.