عملکردهای مدیریت
اطلاعات ثبت شده در "تأیید اعتبار کاربر"
تا 5,001 کاربر بخش قابل ثبت است.
ثبت شناسههای بخش
تا 1,000 شناسه بخش قابل ثبت است.
عملکردهای تأیید اعتبار
زمانی که سرور Active Directory به عنوان سرور تأیید اعتبار مشخص شود، به محیط سیستم زیر نیاز است.
|
نرم افزار (سیستم عامل):
|
Windows Server 2008 SP2*1/Windows Server 2008 R2 SP1/Windows Server 2012*2/Windows Server 2012 R2*2/Windows Server 2016*2/Windows Server 2019*2/Windows Server 2022*2
|
|
*1 سیستم عامل 64 بیتی پشتیبانی نمیشود.
*2 اگر Kerberos Armoring برای سیاستهای مربوط به KDC (سیاستهای گروهی) فعال باشد، کاربران نمیتوانند با تأیید اعتبار Active Directory وارد شوند. Kerberos Armoring را غیرفعال کنید.
|
|
روشهای رمزگذاری Kerberos برای تأیید اعتبار Active Directory که توسط نسخه فعلی "تأیید اعتبار کاربر" پشتیبانی میشوند، به صورت زیر هستند.
|
روش رمزگذاری
|
AES 128 بیت (استاندارد رمزگذاری پیشرفته)
AES 256 بیت (استاندارد رمزگذاری پیشرفته)
DES (استاندارد رمزگذاری داده)
RC4
|
|
|
|
روشهای رمزگذاری موجود ممکن است بسته به تنظیمات Active Directory فرق داشته باشند.
از بین روشهای رمزگذاری موجود، روشی که بالاترین قدرت رمزگذاری را دارد به طور خودکار انتخاب میشود.
|
هنگام مشخص کردن سرور Active Directory به عنوان سرور تأیید اعتبار، از درگاههای زیر *1 روی سرور استفاده کنید.
|
برای ارتباط با سرور DNS:
|
شماره درگاه 53
|
|
برای ارتباط با KDC (مرکز توزیع کلید):
|
شماره درگاه 88
|
|
برای ارتباط با سرور جهت سرویس فهرست LDAP (میتواند به شماره درگاه قراردادی برای سرویس LDAP تغییر کند):
|
شماره درگاه 389
|
|
*1 شمارههای درگاه بالا مقادیر پیش فرض هستند. ممکن است این شمارهها بسته به تنظیمات انتخابی فرق داشته باشند.
|
|
زمانی که سرور LDAP به عنوان سرور تأیید اعتبار مشخص شود، به محیط سیستم زیر نیاز است.
|
نرم افزار:
|
OpenLDAP
|
|
سیستم عامل:
|
الزامات مطابق با مشخصات محصول سرور LDAP میباشد.
|
هنگام مشخص کردن سرور LDAP به عنوان سرور تأیید اعتبار، از درگاههای زیر *1 روی سرور استفاده کنید.
|
برای ارتباط با سرور LDAP با استفاده از LDAP (زمانی که TLS فعال است):
|
شماره درگاه 636
|
|
برای ارتباط با سرور LDAP با استفاده از LDAP (زمانی که TLS غیرفعال است):
|
شماره درگاه 389
|
|
*1 شمارههای درگاه طبق تنظیمات سرور LDAP قابل تغییرند.
|
|
تنظیمات دیوار آتش
زمان تعیین آدرسهای IP در تنظیمات دیوار آتش، تا 16 آدرس IP (یا محدودههای آدرسهای IP) برای IPv4 و IPv6 قابل تعیین هستند.
زمان تعیین آدرسهای MAC در تنظیمات دیوار آتش، تا 100 آدرس MAC قابل تعیین است.
آدرسهای استثنا و شماره درگاه استثنا که میتوان آنها را با استفاده از خط فرعی برای ارتباط استفاده کرد و به صورت پیشفرض ثبت شدهاند، در زیر نشان داده شدهاند.
|
آدرسهای استثنا:
|
0/0.0/1 تا 255.255.255.255
|
|
شماره درگاههای استثنا:
|
53، 67، 68، 80، 161، 443، 515*، 631*، 3702، 5353، 5357، 5358، 8000*، 8080، 8443*، 9013، 9100*، 10443*، 20010*، 47545
|
|
* فقط فیلتر داخل محدوده
|
|
ثبت کلیدها و گواهیها
اگر کلید یا گواهی CA از رایانه نصب میکنید، دقت کنید که از شرایط زیر برخوردار باشد:
|
فرمت
|
کلید: PKCS#12*1
گواهی CA: X.509 DER/PEM
|
|
پسوند فایل
|
کلید: ".p12" یا ".pfx"
گواهی CA: ".cer" یا ".pem"
|
|
الگوریتم کلید عمومی
(و طول کلید) |
RSA (512 بیت، 1024 بیت، 2048 بیت، 4096 بیت)
DSA (1024 بیت، 2048 بیت، 3072 بیت)
ECDSA (P256، P384، P521)
|
|
الگوریتم امضای گواهی
|
RSA: SHA-1، SHA-256، SHA-384*2، SHA-512*2، MD2، MD5
DSA: SHA-1
ECDSA: SHA-1، SHA-256، SHA-384، SHA-512
|
|
الگوریتم اثر شست گواهی
|
SHA-1
|
|
*1شرایط لازم گواهی موجود در یک کلید مطابق با گواهیهای CA است.
*2 SHA384-RSA و SHA512-RSA تنها زمانی موجودند که طول کلید RSA 1024 بیت یا بیشتر است.
|
|
ثبت "لیستهای لغو گواهی" (CRL)
تا 50 لیست لغو گواهی (CRL) قابل ثبت است. توجه داشته باشید با اینحال CRL نمیتواند در شرایط زیر ثبت شود.
اندازه داده CRL بیشتر از 1 مگابایت است.
یک الگوریتم امضای پشتیبانی نشده در حال استفاده باشد.
تعداد گواهیهای لغو شده ثبت شده در یک فایل CRL بیشتر از 1,000 است.
تعریف "رمزگذاری ضعیف"
در صورت انتخاب [Prohibit Use of Weak Encryption]، استفاده از الگوریتمهای زیر ممنوع است.
|
هش:
|
MD4, MD5, SHA-1
|
|
HMAC:
|
HMAC-MD5
|
|
سیستم رمز کلید مشترک:
|
RC2, RC4, DES
|
|
سیستم رمز کلید عمومی:
|
رمزگذاری RSA (512 بیت/1024 بیت), امضای RSA (512 بیت/1024 بیت)، DSA (512 بیت/1024 بیت)، DH (512 بیت/1024 بیت)
|
|
|
|
حتی در صورت انتخاب [Prohibit Use of Key/Certificate with Weak Encryption]، الگوریتم هش SHA-1، که برای ثبت یک گواهی ریشه به کار میرود، قابل استفاده است.
|
FIPS 140-2 الگوریتم استاندارد
در صورت انتخاب [Format Encryption Method to FIPS 140-2]، الگوریتمهای زیر برای استفاده ممنوع میشوند.
|
هش:
|
MD4، MD5، SHA-1 (برای هدفی به غیر از TLS)
|
|
سیستم رمز کلید مشترک:
|
RC2، RC4، DES، PBE
|
|
سیستم رمز کلید عمومی:
|
رمزگذاری RSA (512 بیت/1024 بیت), امضای RSA (512 بیت/1024 بیت)، امضای DSA (512 بیت/1024 بیت)، DH (512 بیت/1024 بیت)
|
مدیریت گزارش
انواع گزارشهای زیر روی دستگاه قابل مدیریت است. گزارشهای جمع آوری شده با فرمت فایل CSV قابل صادر شدن هستند.
|
نوع گزارش
|
عدد نشان داده شده به عنوان "نوع گزارش" در فایل CSV
|
توضیحات
|
|
گزارش
تأیید اعتبار کاربر |
4098
|
این گزارش شامل اطلاعات مربوط به وضعیت تأیید اعتبار کاربر (ورود به سیستم/خروج از سیستم و تأیید اعتبار موفق/ناموفق کاربر)، ثبت/تغییر/حذف اطلاعات کاربر مدیریتشده با "تأیید اعتبار کاربر" است.
|
|
گزارش کار
|
1001
|
این گزارش شامل اطلاعات مربوط به تکمیل کارهای چاپ میشود.
|
|
گزارش دریافت
|
8193
|
گزارش شامل اطلاعات مربوط به دریافت میشود.
|
|
گزارش مدیریت دستگاه
|
8198
|
این گزارش شامل اطلاعات مربوط به راهاندازی/خاموش کردن دستگاه و تغییرات انجامشده در تنظیمات با استفاده از <Set> میشود. "گزارش مدیریت دستگاه" همینطور زمان بازبینی یا تعمیر دستگاه توسط نمایندگی فروش یا نماینده خدمات، تغییرات در اطلاعات کاربر یا تنظیمات مربوط به امنیت را نیز گزارش میکند.
|
|
گزارش تأیید اعتبار شبکه
|
8200
|
این گزارش زمانی که ارتباط IPSec انجام نمیشود ثبت میشود.
|
|
وارد کردن/صادر کردن همه گزارشها
|
8202
|
این گزارش شامل اطلاعات مربوط به وارد کردن/صادر کردن تنظیمات با استفاده از عملکرد صادر کردن همه/وارد کردن همه میشود.
|
|
گزارش عملیات صفحه مدیریت نرم افزار/برنامه
|
3101
|
این یک گزارش عملیاتی برای، بهروزرسانی/ثبت نرمافزار و نصبکنندههای برنامه AddOn و سایر موارد است.
|
|
گزارش سیاست امنیت
|
8204
|
این گزارش شامل اطلاعات مربوط به وضعیت تنظیمات سیاست امنیت میشود.
|
|
گزارش تعمیر و نگهداری سیستم
|
8206
|
این گزارش شامل اطلاعات مربوط به بهروزرسانیهای میان افزار و نسخه پشتیبان/بازیابی برنامه AddOn و سایر موارد میشود.
|
|
گزارش چاپ تأیید اعتبار
|
8207
|
این گزارش شامل اطلاعات و تاریخچه عملیات مربوط به کارهای چاپی است که به اجبار نگه داشته شده اند.
|
|
گزارش برای مدیریت گزارش حسابرسی
|
3001
|
این گزارش شامل اطلاعات مربوط به شروع و پایان این عملکرد (عملکرد مدیریت گزارش حسابرسی) و همچنین صادر کردن گزارشها و سایر موارد میشود.
|
|
|
|
گزارشها میتوانند شامل 40,000 ثبت گزارش شوند. زمانی که تعداد گزارشها از 40,000 بیشتر شد، از قدیمی ترین مورد حذف میشوند.
|
وارد کردن/صادر کردن دادههای تنظیم
به جدول تنظیمات/ثبت مراجعه کنید.
پشتیبانی سرور SCEP
تنها سرویس ثبت دستگاه شبکه (NDES) از Windows Server 2008 R2/Windows Server 2012 R2/Windows Server 2016 پشتیبانی میشود.