Funkcije upravljanja
Podatki, registrirani v preverjanju pristnosti uporabnikov
Registrirate lahko največ 5001 uporabnika.
Registriranje ID-jev oddelkov
Registrirati je mogoče največ 1.000 ID-jev oddelkov.
Funkcije preverjanja istovetnosti
Ko je za strežnik za preverjanje pristnosti naveden strežnik storitve Active Directory, je potrebno naslednje sistemsko okolje.
|
Programska oprema (operacijski sistem):
|
Windows Server 2016*1/Windows Server 2019*1/Windows Server 2022*1
|
|
*1 Uporabniki se ne morejo prijaviti s preverjanjem pristnosti za Active Directory, če je za pravilnike, povezane s KDC (pravilnike skupine), omogočena funkcija Kerberos Armoring. Poskrbite, da boste onemogočili Kerberos Armoring.
|
|
Načini šifriranja Kerberos, uporabljeni za preverjanje pristnosti v storitvi Active Directory, ki jih podpira trenutna različica preverjanja pristnosti uporabnikov, so navedeni v nadaljevanju.
|
Način šifriranja
|
128-bitni AES (Advanced Encryption Standard)
256-bitni AES (Advanced Encryption Standard)
DES (Data Encryption Standard)
RC4
|
|
|
|
Razpoložljivi načini šifriranja se lahko razlikujejo glede na nastavitve imenika Active Directory.
Sistem samodejno izbere najmočnejši razpoložljiv način šifriranja.
|
Če kot strežnik za preverjanje pristnosti izberete strežnik Active Directory, v njem uporabite naslednja vrata*1.
|
Za komunikacijo s strežnikom DNS:
|
vrata številka 53
|
|
Za komunikacijo s središčem za distribucijo ključev (KDC):
|
vrata številka 88
|
|
Za komunikacijo s strežnikom za imeniško storitev LDAP (lahko jih spremenite na poljubno številko vrat za storitev LDAP):
|
vrata številka 389
|
|
*1 Zgornje številke vrat so privzete vrednosti. Lahko se razlikujejo glede na izbrane nastavitve.
|
|
Ko je za strežnik za preverjanje pristnosti naveden strežnik LDAP, je potrebno naslednje sistemsko okolje.
|
Programska oprema:
|
OpenLDAP
|
|
Operacijski sistem:
|
Zahteve so določene na podlagi specifikacij izdelka za strežnik LDAP.
|
Če kot strežnik za preverjanje pristnosti izberete strežnik LDAP, v njem uporabite naslednja vrata*1.
|
Za komunikacijo s strežnikom LDAP z uporabo protokola LDAP (če je TLS omogočen):
|
vrata številka 636
|
|
Za komunikacijo s strežnikom LDAP z uporabo protokola LDAP (če je TLS onemogočen):
|
vrata številka 389
|
|
*1 Številke vrat lahko spremenite ustrezno nastavitvam strežnika LDAP.
|
|
Nastavitve požarnega zidu
V nastavitvah požarnega zidu lahko določite do 16 naslovov IP (ali obsegov naslovov IP) za IPv4 in za IPv6.
V nastavitvah požarnega zidu lahko določite do 100 naslovov MAC.
Naslovi za izjemo in številke vrat za izjemo, ki jih je mogoče uporabiti za komunikacijo s sekundarno linijo in so privzeto registrirani, kot je navedeno spodaj.
|
Naslovi za izjemo:
|
0.0.0.1 do 255.255.255.255
|
|
Številke vrat za izjemo:
|
53, 67, 68, 80, 161, 443, 515*, 631*, 3702, 5353, 5357, 5358, 8000*, 8080, 8443*, 9013, 9100*, 10443*, 20010*, 47545
|
|
* Samo dohodni filter.
|
|
Registracija ključev in potrdil
Če namestite ključ ali potrdilo CA iz računalnika, morata ustrezati tem zahtevam:
|
Format
|
Ključ: PKCS#12*1
Potrdilo CA: X.509 DER/PEM
|
|
Datotečna pripona
|
Ključ: ».p12« ali ».pfx«
Potrdilo CA: ».cer« ali ».pem«
|
|
Algoritem javnega ključa
(in dolžina ključa) |
RSA (512, 1024, 2048, 4096 bitov)
DSA (1024 bitov, 2048 bitov, 3072 bitov)*3
ECDSA (P256, P384, P521)
|
|
Algoritem podpisa potrdila
|
RSA: SHA-1*3, SHA-256, SHA-384*2, SHA-512*2, MD2*3, MD5*3
DSA: SHA-1*3
ECDSA: SHA-1*3, SHA-256, SHA-384, SHA-512
|
|
Algoritem odtisa potrdila
|
SHA-1
|
|
*1 Zahteve za potrdilo v ključu upoštevajo potrdila CA.
*2 SHA384-RSA in SHA512-RSA sta na voljo, če je dolžina ključa RSA najmanj 1024 bitov.
*3 Na voljo le, če je nameščen z vmesnikom Daljinski UI.
|
|
Registriranje seznamov ukinjenih potrdil (CRL)
Registrirate lahko največ 50 seznamov ukinjenih potrdil. Upoštevajte, da seznama CRL ne morete registrirati v teh primerih:
Velikost podatkov seznama CRL presega 1 MB.
Uporabljen je nepodprt algoritem podpisa.
Številko ukinjenih potrdil, registriranih v eni datoteki s seznamom CRL, presega 10.000.
Definicija »šibkega šifriranja«
Ko je izbrana možnost [Prohibit Use of Weak Encryption], je uporaba naslednjih algoritmov prepovedana.
|
Razpršilni:
|
MD4, MD5, SHA-1
|
|
HMAC:
|
HMAC-MD5
|
|
Kriptosistem običajnega ključa:
|
RC2, RC4, DES
|
|
Kriptosistem javnega ključa:
|
Šifriranje RSA (512 bitov/1024 bitov), podpis RSA (512 bitov/1024 bitov), DSA (512 bitov/1024 bitov), DH (512 bitov/1024 bitov)
|
|
|
|
Razpršilni algoritem SHA-1, ki se uporablja za podpisovanje korenskega potrdila, je mogoče uporabiti tudi, če je izbrana možnost [Prohibit Use of Key/Certificate with Weak Encryption].
|
Standardni algoritem FIPS 140-2
Ko je izbrana možnost [Format Encryption Method to FIPS 140-2], je prepovedana uporaba naslednjih algoritmov.
|
Razpršilni:
|
MD4, MD5, SHA-1 (če namen ni TLS)
|
|
Kriptosistem običajnega ključa:
|
RC2, RC4, DES, PBE
|
|
Kriptosistem javnega ključa:
|
Šifriranje RSA (512 bitov/1024 bitov), podpis RSA (512 bitov/1024 bitov), podpis DSA (512 bitov/1024 bitov), DH (512 bitov/1024 bitov)
|
Upravljanje dnevnika
V napravi je mogoče upravljati te vrste dnevnikov. Zbrane dnevnike je mogoče izvoziti v obliki zapisa datoteke CSV.
|
Vrsta dnevnika
|
Številka, označena kot »Vrsta dnevnika« v datoteki CSV
|
Opis
|
|
Dnevnik
preverjanja pristnosti uporabnikov |
4098
|
V tem dnevniku so podatki, povezani s stanjem preverjanja pristnosti za preverjanje pristnosti uporabnikov (prijava/odjava in uspeh/neuspeh preverjanja pristnosti uporabnikov) ter registracijo/spreminjanjem/izbrisom uporabniških podatkov, ki se upravljajo s preverjanjem pristnosti uporabnikov.
|
|
Dnevnik postopkov
|
1001
|
Ta dnevnik vsebuje informacije, povezane s končno obdelavo tiskalnih poslov.
|
|
Dnevnik sprejema
|
8193
|
Ta dnevnik vsebuje informacije, povezane s sprejemom.
|
|
Dnevnik upravljanja naprave
|
8198
|
V tem dnevniku so podatki, povezani z zagonom/zaustavitvijo naprave in spremembami nastavitev z uporabo možnosti <Nastavitev>. Dnevnik upravljanja naprave beleži tudi spremembe uporabniških podatkov ali nastavitev, povezanih z varnostjo, ko napravo pregleda ali popravi vaš prodajalec ali serviser.
|
|
Dnevnik preverjanja pristnosti v omrežju
|
8200
|
Ta dnevnik se ustvari, če pride do izpada komunikacije IPSec.
|
|
Dnevnik za uvoz/izvoz vseh
|
8202
|
V tem dnevniku so podatki, povezani z uvozom/izvozom nastavitev z uporabo funkcije Izvozi vse/uvozi vse.
|
|
Dnevnik uporabe zaslona za upravljanje aplikacij/programske opreme
|
3101
|
To je dnevnik operacij za registracijo/posodobitve programske opreme, namestitvene programe za aplikacije MEAP ipd.
|
|
Dnevnik varnostnega pravilnika
|
8204
|
V tem dnevniku so podatki, povezani s stanjem nastavitev varnostnega pravilnika.
|
|
Dnevnik vzdrževanja sistema
|
8206
|
V tem dnevniku so podatki, povezani s posodobitvami vdelane programske opreme, varnostnim kopiranjem/obnovo aplikacije MEAP ipd.
|
|
Dnevnik tiskanja za preverjanje pristnosti
|
8207
|
V tem dnevniku so podatki in zgodovina uporabe, povezani z vsiljenim tiskanjem zadržanih dokumentov.
|
|
Dnevnik za upravljanje revizijskega dnevnika
|
3001
|
V tem dnevniku so podatki, povezani z sprožanjem in ustavitvijo te funkcije (upravljanje revizijskega dnevnika), izvozom dnevnikov ipd.
|
|
|
|
Dnevniki lahko vsebujejo do 40.000 zapisov. Če število zapisov preseže 40.000, jih naprava izbriše, pri čemer začne z izbrisom najstarejših zapisov.
|
Uvoz/izvoz podatkov o nastavitvah
Glejte Nastavitve/Registracija.
Podpora za strežnik SCEP
Podprta je samo storitev NDES (Network Device Enrollment Service) sistemov Windows Server 2008 R2/2012 R2/2016.