Administrationsfunktioner
Information, der er registreret i Brugergodkendelse
Der kan registreres op til 5.001 brugere.
Registrering af afdelings-ID'er
Der kan registreres op til 1.000 afdelings-ID'er.
Godkendelsesfunktioner
Når der er angivet en Active Directory-server som godkendelsesserver, kræves følgende systemmiljø.
Software (operativsystem): | Windows Server 2016*1/Windows Server 2019*1/Windows Server 2022*1 |
*1 Brugere kan ikke logge på med Active Directory-godkendelse, hvis Kerberos-beskyttelse er aktiveret for KDC-relaterede politikker (gruppepolitikker). Sørg for at deaktivere Kerberos-beskyttelse. | |
Kerberos-krypteringsmetoder for den Active Directory-godkendelse, der understøttes af den aktuelle version af brugergodkendelse, er som følger.
Krypteringsmetode | 128-bit AES (Advanced Encryption Standard) 256-bit AES (Advanced Encryption Standard) DES (Data Encryption Standard) RC4 |
|
De tilgængelige krypteringsmetoder kan variere afhængigt af indstillingerne for Active Directory. Af de tilgængelige krypteringsmetoder vælges den højeste cifferstyrke automatisk. |
Ved angivelse af en Active Directory-server som en godkendelsesserver skal du bruge følgende porte*1 på serveren.
Sådan kommunikerer du med en DNS-server: | portnummer 53 |
Sådan kommunikerer du med en KDC (Key Distribution Center): | portnummer 88 |
Sådan kommunikerer du med en server til LDAP-bibliotekstjeneste (kan ændres til et vilkårligt portnummer for LDAP-tjenesten): | portnummer 389 |
*1 De ovenstående portnumre er standardværdier. Disse numre kan variere, afhængigt af de valgte indstillinger. | |
Når der er angivet en LDAP-server som godkendelsesserver, kræves følgende systemmiljø.
Software: | OpenLDAP |
Operativsystem: | Krav i henhold til produktspecifikationerne i LDAP-serveren. |
Ved angivelse af en LDAP-server som en godkendelsesserver skal du bruge følgende porte *1 på serveren.
Sådan kommunikerer du med LDAP-serveren ved hjælp af LDAP (Når TLS er aktiveret): | portnummer 636 |
Sådan kommunikerer du med LDAP-serveren ved hjælp af LDAP (Når TLS er deaktiveret): | portnummer 389 |
*1 Portnumre kan ændres i henhold til LDAP-serverindstillingerne. | |
Firewall-indstillinger
Når der angives IP-adresser i firewallindstillinger, skal der angives op til 16 IP-adresser eller (områder af IP-adresser) for både IPv4 og IPv6.
Ved angivelse af MAC-adresser i firewallindstillinger kan der angives op til 100 MAC-adresser.
Undtagelsesadresserne og undtagelsesportnumrene, der kan bruges til kommunikation ved hjælp af underlinjen og registreres som standard, er angivet herunder.
Undtagelsesadresser: | 0.0.0.1 til 255.255.255.255 |
Undtagelsesportnumre: | 53, 67, 68, 80, 161, 443, 515*, 631*, 3702, 5353, 5357, 5358, 8000*, 8080, 8443*, 9013, 9100*, 10443*, 20010*, 47545 |
* Kun indgående filter | |
Registrering af nøgler og certifikater
Hvis du installerer en nøgle eller et CA-certifikat fra en computer, skal du sørge for, at de opfylder følgende krav:
Format | Nøgle: PKCS#12*1 CA-certifikat: X.509 DER/PEM |
Filtilføjelse | Nøgle: ”.p12” eller ”.pfx” CA-certifikat: ”.cer” eller ”.pem” |
Offentlig nøglealgoritme (og nøglelængde) | RSA (512 bit, 1024 bit, 2048 bit, 4096 bit) DSA (1024 bit, 2048 bit, 3072 bit)*3 ECDSA (P256, P384, P521) |
Signaturalgoritme for certifikat | RSA: SHA-1*3, SHA-256, SHA-384*2, SHA-512*2, MD2*3, MD5*3 DSA: SHA-1*3 ECDSA: SHA-1*3, SHA-256, SHA-384, SHA-512 |
Tommelfingerprintalgoritme for certifikat | SHA-1 |
*1 Krav til certifikatet i en nøgle er i henhold til CA-certifikater. *2 SHA384-RSA og SHA512-RSA er kun tilgængelige, når RSA-nøglelængderne er 1024 bit eller derover. *3 Kun tilgængelig ved installation ved hjælp af Remote UI (Brugerinterface til fjernbetjening). | |
Registrering af certifikattilbagekaldelseslister (CRL)
Der kan registreres op til 50 certifikattilbagekaldelseslister (CRL). Bemærk imidlertid, at CRL ikke kan registreres i følgende eksempler.
Datastørrelsen på CRL overstiger 1 MB.
Der anvendes en signaturalgoritme, der ikke understøttes.
Antallet af tilbagekaldte certifikater, der er registreret i én CRL-fil, overstiger 10.000.
Definition af "svag kryptering"
Når [Forbyd brug af svag kryptering] er valgt, er brugen af følgende algoritmer forbudt.
Hash: | MD4, MD5, SHA-1 |
HMAC: | HMAC-MD5 |
Kryptosystemer med fælles nøgle: | RC2, RC4, DES |
Kryptosystemer med offentlig nøgle: | RSA-kryptering (512-bit/1024-bit), RSA-signatur (512-bit/1024-bit), DSA (512-bit/1024-bit), DH (512-bit/1024-bit) |
|
Selv når [Forbyd brug af nøgle/certifikat med svag kryptering] er valgt, kan den hashalgoritme SHA-1, der bruges til signering af et rodcertifikat, bruges. |
FIPS 140-2-standardalgoritme
Når [Formatkrypteringsmetode til FIPS 140-2] er valgt, er brugen af følgende algoritmer forbudt.
Hash: | MD4, MD5, SHA-1 (til et andet formål end TLS) |
Kryptosystemer med fælles nøgle: | RC2, RC4, DES, PBE |
Kryptosystemer med offentlig nøgle: | RSA-kryptering (512-bit/1024-bit), RSA-signatur (512-bit/1024-bit), DSA-signatur (512-bit/1024-bit), DH (512-bit/1024-bit) |
Logstyring
Følgende logtyper kan administreres på maskinen: De indsamlede logge kan eksporteres i CSV-filformatet.
Logtype | Nummer er angivet som "logtype" i CSV-filen | Beskrivelse |
Brugergodkendelseslog | 4098 | Denne log indeholder informationer relateret til godkendelsesstatus for brugergodkendelse (log på/log af og vellykket/mislykket brugergodkendelse), registrering/ændring/sletning af brugeroplysninger administreret af Brugergodkendelse. |
Joblog | 1001 | Denne log indeholder informationer, der er relateret til fuldførelse af udskriftsopgaver. |
Modtagelseslog | 8193 | Denne log indeholder informationer, der relaterer sig til modtagelse. |
Log for maskinadministration | 8198 | Denne log indeholder informationer relateret til start/nedlukning af maskinen og ændringer af indstillingerne foretaget ved hjælp af <Indstil>. Maskinadministrationsloggen registrerer også ændringer i brugeroplysningerne eller sikkerhedsrelaterede indstillinger, når maskinen efterses eller repareres af din forhandler eller servicerepræsentant. |
Log for netværksgodkendelse | 8200 | Denne log registreres, når IPSec-kommunikationen mislykkes. |
Log for eksporter/importer alt | 8202 | Denne log indeholder informationer om import/eksport af de indstillinger, der bruges af funktionen Eksporter alt/Importer alt. |
Log for betjeningsskærmbilledet for applikation/softwarestyring | 3101 | Dette er en betjeningslog for softwareregistrering/-opdateringer og MEAP-applikationsinstallationsprogrammer osv. |
Log for sikkerhedspolitikker | 8204 | Denne log indeholder informationer, der er relateret til statussen for indstillingerne for sikkerhedspolitikken. |
Log for systemvedligeholdelse | 8206 | Denne log indeholder informationer, der er relateret til firmwareopdateringer og sikkerhedskopiering/gendannelse af MEAP-applikationen osv. |
Log for godkendelse af print | 8207 | Denne log indeholder informationer og betjeningshistorikken, der er relateret til printjob med tvungen hold. |
Log for auditlog-administration | 3001 | Denne log indeholder informationer, der er relateret til starten og afslutningen på denne funktion (funktionen til auditlog-administration) samt eksporte af logge osv. |
|
Logge kan indeholde op til 40.000 poster. Når antallet af poster overstiger 40.000, slettes de ældste poster først. |
Import/eksport af indstillingsdataene
SCEP-serverunderstøttelse
Kun NDES (Network Device Enrollment Service) for Windows Server 2008 R2/2012 R2/2016 understøttes.