Haldusfunktsioonid
Kasutaja autentimisel registreeritud info
Registreerida saab kuni 5 001 kasutajat.
Osakonne ID-de registreerimine
Registreerida saab kuni 1 000 osakonna ID-d.
Autentimisfunktsioonid
Kui autentimisserverina on määratud Active Directory server, on nõutavad järgmised toetatavad süsteemid.
Tarkvara (operatsioonisüsteem): | Windows Server 2016*1 / Windows Server 2019*1 / Windows Server 2022*1 |
*1 Kasutajad ei saa Active Directory autentimisega sisse logida, kui KDC-ga seotud poliitikate (rühmapoliitikate) korral on lubatud Kerberos Armoring. Veenduge, et Kerberos Armoring oleks keelatud. | |
Active Directory autentimise korral kasutatav Kerberose krüptimisviis, mida toetab kasutaja autentimise praegune versioon, on järgmised.
Krüptimisviis | 128-bitine AES (Advanced Encryption Standard) 256-bitine AES (Advanced Encryption Standard) DES (andmete krüpteerimine) RC4 |
|
Sõltuvalt Active Directory seadetest, võivad saadaval olevad krüptimisviisid erineda. Saadaval olevatest krüptimisviisidest valitakse automaatselt kõrgeima šifritugevusega variant. |
Active Directory serverit autentimise serveriks määrates, kasutage järgmisi serveri porte*1.
DNS-serveriga ühendamine: | pordinumber 53 |
KDC-ga (Key Distribution Center) ühendamine: | pordinumber 88 |
LDAP kataloogi teenuse serveriga ühendamine (võib LDAP teenuse puhul suvalise pordinumbri vastu vahetada): | pordinumber 389 |
*1 Eespool loetletud pordinumbrid on vaikeväärtused. Sõltuvalt valitud seadetest, võivad need numbrid erineda. | |
Kui autentimisserverina on määratud LDAP-server, on nõutavad järgmised toetatavad süsteemid.
Tarkvara: | OpenLDAP |
Operatsioonisüsteem | Nõuded tulenevad LDAP-serveri toote andmetest. |
LDAP-serverit autentimise serveriks määrates, kasutage järgmisi serveri porte*1.
LDAP-serveriga suhtlemine kasutades LDAP-d (kui TLS on lubatud): | pordinumber 636 |
LDAP-serveriga suhtlemine kasutades LDAP-d (kui TLS on keelatud): | pordinumber 389 |
*1 Vastavalt LDAP-serveri seadetele, võib pordinumbreid muuta. | |
Tulemüüri seaded
Tulemüüris saab seadistada nii IPv4 kui ka IPv6 jaoks kuni 16 IP-aadressi (või IP-aadressi vahemikku).
Tulemüüris saab seadistada kuni 100 MAC-aadressi.
Allpool on näidatud erandi aadressid ja erandi pordinumbrid, mida saab alamliini abil suhtlemiseks kasutada ja mis on vaikimisi salvestatud.
Erandi aadressid: | 0.0.0.1 kuni 255.255.255.255 |
Erandi pordinumbrid: | 53, 67, 68, 80, 161, 443, 515*, 631*, 3702, 5353, 5357, 5358, 8000*, 8080, 8443*, 9013, 9100*, 10443*, 20010*, 47545 |
* Ainult saabuva filter | |
Võtmete ja sertifikaatide registreerimine
Kui installite võtme või CA sertifikaadi arvutist, siis veenduge, et need vastavad järgmistele nõuetele:
Formaat | Key: PKCS#12*1 CA sertifikaadid: X.509 DER/PEM |
Faililaiend | Võti: „.p12“ või „.pfx“ CA sertifikaat: „.cer“ või „.pem“ |
Avaliku võtme algoritm (ja võtme pikkus) | RSA (512 bitti/1 024 bitti/2 048 bitti/4 096 bitti) DSA (1024 bitti, 2048 bitti, 3072 bitti)*3 ECDSA (P256, P384, P521) |
Sertifikaadi allkirjaalgoritm | RSA: SHA-1*3, SHA-256, SHA-384*2, SHA-512*2, MD2*3, MD5*3 DSA: SHA-1*3 ECDSA: SHA-1*3, SHA-256, SHA-384, SHA-512 |
Sertifikaadi sõrmejäljealgoritm | SHA-1 |
*1 Nõuded võtmes sisalduvale sertifikaadile vastavad CA sertifikaatidele. *2 SHA384-RSA ja SHA512-RSA on saadaval ainult siis, kui RSA võtme pikkus on 1 024 bitti või rohkem. *3 Saadaval ainult kaug-kasutajaliidese kaudu installimisel. | |
Serditühistusloendi (CRL) registreerimine
Registreerida on võimalik kuni 50 serditühistusloendit (CRL). Pange tähele, et järgmistel juhtudel ei ole CRL-i registreerimine võimalik.
CRL-i andmemaht ületab 1 MB.
Kasutatakse signatuuri algoritmi, mida ei toetata.
Ühes CRL-i failis registreeritud tühistatud sertifikaatide arv ületab 10.000.
„Nõrga krüptimise” määratlus
Kui [Prohibit Use of Weak Encryption] on valitud, keelatakse järgmiste algoritmide kasutamine.
Räsi: | MD4, MD5, SHA-1 |
HMAC: | HMAC-MD5 |
Ühisvõtmega krüptosüsteem: | RC2, RC4, DES |
Avaliku võtmega krüptosüsteem: | RSA krüptimine (512/1024 bitti), RSA allkiri (512/1024 bitti), DSA (512/1024 bitti), DH (512/1024 bitti) |
|
Isegi kui [Prohibit Use of Key/Certificate with Weak Encryption] on valitud, saab kasutada räsialgoritmi SHA-1, mida kasutatakse juursertifikaadi allkirjastamiseks. |
FIPS 140-2 standardalgoritm
Kui [Format Encryption Method to FIPS 140-2] on valitud, keelatakse järgmiste algoritmide kasutamine.
Räsi: | MD4, MD5, SHA-1 (muuks otstarbeks kui TLS) |
Ühisvõtmega krüptosüsteem: | RC2, RC4, DES, PBE |
Avaliku võtmega krüptosüsteem: | RSA krüptimine (512/1024 bitti), RSA allkiri (512/1024 bitti), DSA allkiri (512/1024bitti), DH (512/1024 bitti) |
Logide haldus
Seadmes saab hallata järgmist tüüpi logisid. Kokku kogutud logid saab eksportida CSV-failina.
Logi tüüp | Number, mis vastab CSV-failis logi tüübile | Kirjeldus |
Kasutaja autentimise logi | 4098 | See logi sisaldab teavet, mis on seotud kasutaja autentimise olekuga (sisselogimine/väljalogimine ja kasutaja autentimine õnnestus/ebaõnnestus), kasutaja autentimisega hallatava kasutaja teabe salvestamise/muutmise/kustutamisega. |
Tööde logi | 1001 | See logi sisaldab teavet prinditööde lõpuleviimise kohta. |
Vastuvõtu logi | 8193 | See logi sisaldab teavet vastuvõtu kohta. |
Masina halduse logi | 8198 | See logi sisaldab teavet seadme käivitamise/väljalülitamise ja seadetes tehtud muudatuste kohta, kasutades <Määra>. Seadmehalduse logi salvestab ka muudatused kasutajate andmetes või turvalisusega seotud sätetes, kui teie edasimüüja või hooldusesindaja kontrollib või remondib seadet. |
Võrgu autentimise logi | 8200 | See logi salvestatakse siis, kui side IPSeciga ebaõnnestub. |
Impordi/ekspordi kõik logi | 8202 | See logi sisaldab Ekspordi kõik / impordi kõik funktsiooni kasutamisel määratud importimise/eksportimise seadetega seotud infot. |
Rakenduse/tarkvara haldamise kuva toimingute logi | 3101 | See on tarkvara registreerimise/värskenduste ja MEAP-rakenduse installerite jms töölogi. |
Turbereeglite logi | 8204 | See logi sisaldab turbereeglite seadete oleku kohta käivat infot. |
Süsteemihalduse logi | 8206 | See logi sisaldab MEAP-rakenduse püsivara värskendamise ja varundamise/taastamisega jms seotud teavet. |
Autentimise prindilogi | 8207 | See logi sisaldab sundsälitatud prinditööde kohta käivat infot ja toiminguajalugu. |
Auditlogide halduse logi | 3001 | See logi sisaldab selle funktsiooni (auditlogide halduse funktsiooni) ja logide eksportimise jms funktsioonide alustamise ja lõpetamise kohta käivat infot. |
|
Logi võib sisaldada kuni 40 000 kirjet. Kui kirjete arv ületab 40 000, hakatakse neid kustutama vanimast kirjest alates. |
Seadistusandmete importimine/eksportimine
Vt teemat " Seaded/salvestamine".
SCEP-serveri tugi
Toetatud on ainult Windows Server 2008 R2//2012 R2/2016 võrguseadmete registreerimise teenus (NDES).