Kezelési funkciók
A felhasználói hitelesítésben bejegyzett adatok
Legfeljebb 5001 felhasználó jegyezhető be.
Részlegazonosítók bejegyzése
Legfeljebb 1 000 részlegazonosítót adhat meg.
Hitelesítési funkciók
Ha Active Directory kiszolgálót ad meg hitelesítő kiszolgálóként, akkor a következő rendszerkörnyezet szükséges.
Szoftver (operációs rendszer): | Windows Server 2008 SP2*1/Windows Server 2008 R2 SP1/Windows Server 2012*2/Windows Server 2012 R2*2/Windows Server 2016*2/Windows Server 2019*2 |
*1 A 64 bites operációs rendszerek nem támogatottak. *2 A felhasználók nem tudnak az Active Directory hitelesítés segítségével bejelentkezni, ha a KDCrelated házirendekhez (csoportházirendek) a Kerberos Armoring szolgáltatás engedélyezve van. Tiltsa le a Kerberos Armoring szolgáltatást. | |
A Felhasználói hitelesítés jelenlegi verziójában támogatott Active Directory Kerberos titkosítási módok a következők.
Titkosítási mód | 128 bites AES (Advanced Encryption Standard) 256 bites AES (Advanced Encryption Standard) DES (Data Encryption Standard) RC4 |
|
Az elérhető titkosítási módok az Active Directory beállításaitól függően változhatnak. Az elérhető titkosítási módok közül automatikusan a legerősebb rejtjelezésű lesz kiválasztva. |
Egy Active Directory kiszolgáló hitelesítő kiszolgálóként történő kiválasztásakor használja a kiszolgáló következő portjait.*1
Kommunikáció egy DNS-kiszolgálóval: | 53. port |
Kommunikáció egy KDC (Key Distribution Center) szolgáltatással: | 88. port |
Kommunikáció egy LDAP-címtárszolgáltatást biztosító kiszolgálóval (tetszőleges portszámra módosítható, az LDAP-szolgáltatásnak megfelelően): | 389. port |
*1 A fenti portszámok az alapértelmezett értékek. Ezek a számok a választott beállításoktól függően változhatnak. | |
Ha LDAP-kiszolgálót ad meg hitelesítő kiszolgálóként, akkor a következő rendszerkörnyezet szükséges.
Szoftver: | OpenLDAP |
Operációs rendszer: | A követelményeket az LDAP-kiszolgáló követelményei határozzák meg. |
Egy LDAP-kiszolgáló hitelesítő kiszolgálóként történő kiválasztásakor használja a kiszolgáló következő portjait.*1
Kommunikáció az LDAP-kiszolgálóval az LDAP használatával (TLS engedélyezve): | 636. port |
Kommunikáció az LDAP-kiszolgálóval az LDAP használatával (TLS letiltva): | 389. port |
*1 A portszámok az LDAP-kiszolgáló beállításainak megfelelően módosíthatók. | |
Tűzfalbeállítások
Amikor IP-címeket ad meg tűzfalbeállításokhoz, az IPv4- és az IPv6-protokoll használata esetén is 16 IP-címet (vagy IP-címtartományokat) adhat meg.
Amikor MAC-címeket határoz meg a tűzfalbeállításokban, legfeljebb 100 MAC-címet adhat meg.
Az alvonal kommunikációjához használható, alapértelmezetten regisztrált kivételi címek és portszámok a következők.
Kivételi címek: | 0.0.0.1 – 255.255.255.255 |
Kivételi portszámok: | 53, 67, 68, 80, 161, 443, 515*, 631*, 3702, 5353, 5357, 5358, 8000*, 8080, 8443*, 9013, 9100*, 10443*, 20010*, 47545 |
* Csak bejövő szűrő | |
Kulcsok és tanúsítványok bejegyzése
Ha számítógépről telepít kulcsot vagy hitelesítésszolgáltatói tanúsítványt, győződjön meg róla, hogy az megfelel az alábbi követelményeknek:
Formátum | Kulcs: PKCS#12*1 CA-tanúsítvány: X.509 DER/PEM |
Fájlkiterjesztés | Kulcs: „.p12” vagy „.pfx” CA-tanúsítvány: „.cer” vagy „.pem” |
Nyilvános kulcsú algoritmus (és kulcshossz) | RSA (512 bites, 1024 bites, 2048 bites vagy 4096 bites) DSA (1024 bites/2048 bites/3072 bites) ECDSA (P256, P384, P521) |
Tanúsítvány-aláírási algoritmus | RSA: SHA-1, SHA-256, SHA-384*2, SHA-512*2, MD2, MD5 DSA: SHA-1 ECDSA: SHA-1, SHA-256, SHA-384, SHA-512 |
Tanúsítvány-ujjlenyomat algoritmus | SHA-1 |
*1 A kulcsban lévő tanúsítványra vonatkozó követelmények megegyeznek a CA-tanúsítványokra vonatkozó követelményekkel. *2 Az SHA384-RSA és az SHA512-RSA kódolás csak akkor érhető el, ha az RSA-kulcs hossza legalább 1024 bit. | |
Tanúsítvány-visszavonási listák (CRL) bejegyzése
Legfeljebb 50 tanúsítvány-visszavonási lista (CRL) jegyezhető be. A CRL a következő esetekben azonban nem bejegyezhető be.
A CRL adatmérete nagyobb, mint 1 MB.
Nem támogatott aláírási algoritmus van használatban.
Az egy CRL-listában szereplő visszavont tanúsítványok száma több mint 1000.
A „gyenge titkosítás” meghatározása
Ha a [Gyenge titkosítás tiltása] lehetőség van kiválasztva, akkor a következő algoritmusok nem használhatók.
Hash: | MD4, MD5, SHA-1 |
HMAC: | HMAC-MD5 |
Közös kulcsos titkosítási rendszer: | RC2, RC4, DES |
Nyilvános kulcsos titkosítási rendszer: | RSA-titkosítás (512 bites/1024 bites), RSA-aláírás (512 bites/1024 bites), DSA (512 bites/1024 bites), DH (512 bites/1024 bites) |
|
A gyökértanúsítvány aláírásához használt SHA-1 hash-algoritmus használható akkor is használhatóm ha a [Kulcs/Tanúsítvány használat tiltás gyenge titkosítással] beállítás van kiválasztva. |
FIPS 140-2 standard algoritmus
Ha a [FIPS 140-2 titkosítási módszer kialakítása] lehetőség van kiválasztva, az alábbi algoritmusok nem használhatók.
Hash: | MD4, MD5, SHA-1 (TLS-től eltérő célból) |
Közös kulcsos titkosítási rendszer: | RC2, RC4, DES, PBE |
Nyilvános kulcsos titkosítási rendszer: | RSA-titkosítás (512 bites/1024 bites), RSA-aláírás (512 bites/1024 bites), DSA aláírás (512 bites/1024 bites), DH (512 bites/1024 bites) |
Naplókezelés
A készüléken a következő típusú naplók kezelhetők. Az összegyűjtött naplók CSV fájlformátumba exportálhatók.
Naplótípus | A CSV-fájlban „naplótípusként” jelzett szám | Leírás |
Felhasználói hitelesítés napló | 4098 | Ez a napló a felhasználói hitelesítés hitelesítési állapotára (bejelentkezés/kijelentkezés, valamint felhasználók sikeres/sikertelen hitelesítése), valamint a felhasználói hitelesítés szolgáltatással kezelt felhasználói adatok bejegyzésére/módosítására/törlésére vonatkozó információkat tartalmazza. |
Munkanapló | 1001 | Ez a napló a nyomtatási feladatok elvégzésével kapcsolatos információkat tartalmazza. |
Vételi napló | 8193 | Ez a napló a vétellel kapcsolatot információkat tartalmazza. |
Készülékkezelési napló | 8198 | Ebben a naplóban a készülék indítására/leállítására, valamint a beállítások <Beállítás> menü használatával történő módosítására vonatkozó információk találhatók. A készülékkezelési napló a márkakereskedő vagy a szerviz által végzett ellenőrzések vagy javítások során a felhasználói adatokban vagy a biztonsággal kapcsolatos beállításokban bekövetkező változásokat is rögzíti. |
Hálózati hitelesítési napló | 8200 | Ezt a naplót a készülék az IPSec kommunikáció sikertelensége esetén rögzíti. |
Mind exportálása/importálása napló | 8202 | Ez a napló a beállítások Mind exportálása/Mind importálása funkció használatával történő importálására/exportálására vonatkozó információkat tartalmaz. |
Alkalmazás-/szoftverkezelési képernyő funkciónaplója | 3101 | Ez a szoftverbejegyzések/frissítések, valamint a kiegészítő alkalmazások telepítőinek stb. funkciónaplója. |
Biztonságiházirend-napló | 8204 | Ez a napló a biztonsági házirend beállításainak állapotára vonatkozó információkat tartalmazza. |
Rendszerkarbantartási napló | 8206 | Ez a napló a firmware-frissítésekre és a kiegészítő alkalmazások mentésére/visszaállítására vonatkozó információkat tartalmazza. |
Hitelesítéses nyomtatások naplója | 8207 | Ez a napló a kényszerítetten visszatartott nyomtatási feladatokra vonatkozó információkat és használati előzményeket tartalmaz. |
Auditnapló-kezelési napló | 3001 | Ez a napló ennek a funkciónak (Auditnapló-kezelési funkció) a kezdetére és végére, valamint a naplók exportálására stb. vonatkozó információkat tartalmaz. |
|
A naplók legfeljebb 40 000 bejegyzést tartalmazhatnak. Ha a bejegyzések száma túllépi a 40 000-t, akkor a bejegyzések a legrégebbitől kezdve törlődnek. |
Beállításadatok importálása/exportálása
SCEP-kiszolgáló támogatása
Csak a Windows Server 2008 R2/Windows Server 2012 R2/Windows Server 2016 rendszerekben elérhető Hálózati eszközök tanúsítványigénylési szolgáltatása (NDES) támogatott.