Kudeaketa-funtzioak
Erabiltzaile autentifikazioan erregistratutako informazioa
5001 erabiltzaile erregistra daiteke gehienez.
Sail-IDak erregistratzea
1000 sail-ID erregistra daiteke gehienez.
Autentifikazio-funtzioak
Direktorio aktiboaren zerbitzari bat autentifikazio zerbitzari gisa zehaztean, hurrengo sistema-ingurunea behar da.
Softwarea (sistema eragilea): | Windows Server 2008 SP2*1/Windows Server 2008 R2 SP1/Windows Server 2012*2/Windows Server 2012 R2*2/Windows Server 2016*2/Windows Server 2019*2 |
*1 64 biteko sistema eragileak ez dira onartzen. *2 Erabiltzaileek ezin dute Direktorio aktiboaren autentifikazioarekin saioa hasi Kerberos Armoring gaituta badago KDCri lotutako politiketarako (talde-politikak). Desgaitu Kerberos Armoring. | |
Hauek dira erabiltzaile autentifikazioaren azken bertsioak onartzen dituen Kerberos-en zifratzeko metodoak Direktorio aktiboaren autentifikaziorako.
Zifratze-metodoa | 128-bit AES (Zifratze aurreratu estandarra) 256-bit AES (Zifratze aurreratu estandarra) DES (Datu zifratze estandarra) RC4 |
|
Erabilgarri dauden zifratze-metodoak ezberdinak izan daitezke Active Directory ezarpenen arabera. Eskuragarri dauden zifratze-metodoen artean zifratzeko gaitasun handiena duena hautatzen da automatikoki. |
Direktorio aktiboaren zerbitzaria autentifikazio zerbitzari gisa zehaztean, erabili hurrengo atakak*1 zerbitzarian.
DNS zerbitzari batekin komunikatzeko: | 53 ataka-zenbakia |
KDC (Pasahitzen banaketa-zentrala) batekin komunikatzeko: | 88 ataka-zenbakia |
LDAP direktorio zerbitzurako zerbitzari batekin komunikatzeko (LDAP zerbitzurako ausazko ataka-zenbaki bat izatera alda daiteke): | 389 ataka-zenbakia |
*1 Goiko ataka-zenbakiak balio lehenetsiak dira. Baliteke zenbaki horiek aldatzea hautatutako ezarpenen arabera. | |
LDAP zerbitzari bat autentifikazio zerbitzari gisa zehazterakoan, hurrengo sistema-ingurunea behar da.
Softwarea: | OpenLDAP |
Sistema eragilea: | Baldintzak bat datoz LDAP zerbitzariaren produktu-zehaztapenekin. |
LDAP zerbitzaria autentifikazio zerbitzari gisa zehaztean, erabili hurrengo atakak*1 zerbitzarian.
LDAP zerbitzariarekin LDAP bidez komunikatzeko (TLS gaituta dagoenean): | 636 ataka-zenbakia |
LDAP zerbitzariarekin LDAP bidez komunikatzeko (TLS desgaituta dagoenean): | 389 ataka-zenbakia |
*1 Ataka-zenbakiak LDAP zerbitzariaren arabera aldatu daitezke. | |
Firewallaren ezarpenak
Gehienez 16 IP helbide (edo IP helbide tarte) zehaztu daiteke, IPv4 eta IPv6 motakoak.
MAC helbideak eta firewall ezarpenak zehaztatzean, 100 MAC helbide zehatz daitezke gehienez.
Hona hemen modu lehenetsian erregistratutako eta azpilinearen bidez komunikaziorako erabil daitezkeen salbuetsitako helbide eta ataka-zenbakiak.
Salbuetsitako helbideak: | 0.0.0.1 eta 255.255.255.255 artean |
Salbuetsitako ataka-zenbakiak: | 53, 67, 68, 80, 161, 443, 515*, 631*, 3702, 5353, 5357, 5358, 8000*, 8080, 8443*, 9013, 9100*, 10443*, 20010*, 47545 |
* Barneratze-iragazkia soilik | |
Gakoak eta ziurtagiriak erregistratzea
Ordenagailu batetik kode bat edo CA ziurtagiri bat instalatzerakoan, egiaztatu hurrengo baldintzak betetzen dituztela:
Formatua | Gakoa: PKCS#12*1 CA ziurtagiria: X.509 DER/PEM |
Fitxategi-luzapena | Gakoa: ".p12" edo ".pfx" CA ziurtagiria: ".cer" edo ".pem" |
Kode-algoritmo publikoa (eta kodearen luzera) | RSA (512 bit, 1024 bit, 2048 bit, 4096 bit) DSA (1024 bit, 2048 bit, 3072 bit) ECDSA (P256, P384, P521) |
Sinadura-algoritmo ziurtagiria | RSA: SHA-1, SHA-256, SHA-384*2, SHA-512*2, MD2, MD5 DSA: SHA-1 ECDSA: SHA-1, SHA-256, SHA-384, SHA-512 |
Hatz-marka algoritmo ziurtagiria | SHA-1 |
*1 Kode baten ziurtagiriaren baldintzak CA ziurtagirien araberakoak dira. *2 SHA384-RSA eta SHA512-RSA kodearen luzera 1024 bit edo gehiagokoa denean baino ez daude erabilgarri. | |
Ziurtagiri-errebokatze zerrendak (CRL) erregistratzea
50 ziurtagiri-errebokatze zerrenda (CRL) erregistra daiteke gehienez. Kontuan izan, dena den, CRLak ezin direla erregistratu hurrengo kasuetan.
CRLaren tamaina 1 MB baino handiagoa denean.
Onartzen ez den sinadura-algoritmoa erabiltzen ari da.
CRL fitxategian 1000 errebokatutako ziurtagiri baino gehiago erregistratzean.
"Zifratze-Ahularen" definizioa
[Prohibit Use of Weak Encryption] hautatuta dagoenean, honako algoritmo hauen erabilera debekatuta dago.
Hash: | MD4, MD5, SHA-1 |
HMAC: | HMAC-MD5 |
Gako-komunaren kriptosistema: | RC2, RC4, DES |
Gako-publikoaren kriptosistema: | RSA zifratzea (512 bit / 1024 bit), RSA sinadura (512 bit / 1024 bit), DSA (512 bit / 1024 bit), DH (512 bit / 1024 bit) |
|
Baita [Prohibit Use of Key/Certificate with Weak Encryption] hautatuta dagoenean, hash algoritmoa SHA-1, erroko ziurtagiri bat sinatzeko erabiltzen dena, erabil daiteke. |
FIPS 140-2 algoritmo estandarra
[Format Encryption Method to FIPS 140-2] hautatuta dagoenean, honako algoritmo hauek debekatuta daude.
Hash: | MD4, MD5, SHA-1 (TLS ez den beste helburu batekin) |
Gako-komunaren kriptosistema: | RC2, RC4, DES, PBE |
Gako-publikoaren kriptosistema: | RSA zifratzea (512 bit/1024 bit), RSA sinadura (512 bit/1024 bit), DSA sinadura (512 bit/1024 bit), DH (512 bit/1024 bit) |
Egunkari kudeaketa
Hurrengo egunkari motak makinan kudea daitezke. Bildutako egunkariak esporta daitezke CSV fitxategi formatuan.
Egunkari-mota | CSV fitxategian "Egunkari mota" moduan adierazitako zenbakia | Deskribapena |
Erabiltzaile autentifikazio egunkaria | 4098 | Egunkari honek erabiltzaile-autentifikazioaren egoerari buruzko informazioa dauka (saio-hasiera/saio-bukaera eta erabiltzaile-autentifikazioaren arrakasta/hutsegitea), Erabiltzaile-autentifikazio bidez kudeatutako erabiltzaile informazioaren erregistratzea/aldatzea/ezabatzea. |
Lan egunkaria | 1001 | Egunkari honek inprimatze-lanen burutzearekin lotutako informazioa dauka. |
Egunkaria jasotzea | 8193 | Egunkariak jasotzeei buruzko informazioa dauka. |
Makinaren kudeaketaren egunkaria | 8198 | Egunkari honek makinaren pizte/itzaltzeari eta <Ezarri> bidez ezarpenei egindako aldaketei buruzko informazioa dauka. Makinaren kudeaketa egunkariak erabiltzailearen informazioan edo segurtasun-ezarpenetan egindako aldaketak ere grabatzen ditu banatzaile edo zerbitzu-hornitzaileak makina ikuskatzen edo konpontzen duenean. |
Erabiltzaile autentifikazioaren egunkaria | 8200 | Egunkari hau IPSec komunikazioak huts egiten duenean grabatzen da. |
Guztia esportatu/inportatu egunkaria | 8202 | Egunkari honek ezarpenen inportazioa/esportazioari buruzko informazioa dauka, Guztia esportatu/Guztia inportatu funtzioaren bidez. |
Aplikazio/Software kudeaketa pantailaren eragiketa-egunkaria | 3101 | Software erregistratze/eguneratze, AddOn aplikazio instalatzaile eta abarrerako eragiketa-egunkaria da hau. |
Segurtasun politikaren egunkaria | 8204 | Egunkari honek segurtasun politikaren ezarpenen egoerari buruzko informazioa dauka. |
Sistema-mantentzearen egunkaria | 8206 | Egunkari honek firmware eguneraketei eta AddOn aplikazioen segurtasun kopia/berreskuratzeari eta abarri buruzko informazioa dauka. |
Autentifikazio inprimatze-egunkaria | 8207 | Egunkari honek euste behartu bidez inprimatutako lanei buruzko informazioa eta eragiketa-historia dauka. |
Ikuskaritza-egunkariaren kudeaketarako egunkaria | 3001 | Egunkari honek funtzio horren (Ikuskaritza-egunkariaren kudeaketaren funtzioa) hasiera eta bukaerari eta egunkarien esportazioari eta abarrei buruzko informazioa dauka. |
|
Egunkariek 40 000 erregistro eduki ditzakete gehienez. Erregistro-kopurua 40 000 baino handiagoa denean, ezabatu egingo dira, erregistro zaharrenetik hasita. |
Ezarpen-datuen inportatzea/esportatzea
Ikusi Ezarpen/Gordetze taula.
SCEP zerbitzariaren bateragarritasuna
Hauen Network Device Enrollment Service (NDES) onartzen du soilik: Windows Server 2008 R2/Windows Server 2012 R2/Windows Server 2016.