Funkcije upravljanja
Registrirane informacije u provjeri autentičnosti korisnika
Moguće je registrirati najviše 5.001 korisnika.
Registriranje ID-jeva odjela
Moguće je registrirati najviše 1.000 ID-ova odjela.
Funkcije provjere autentičnosti
Kada je kao poslužitelj za provjeru autentičnosti određen Active Directory poslužitelj, potrebno je sljedeće okružje sustava.
|
Softver (operativni sustav):
|
Windows Server 2016*1/Windows Server 2019*1/Windows Server 2022*1
|
|
*1 Korisnici se ne mogu prijaviti Active Directory provjerom autentičnosti ako je omogućen Kerberos Armoring za pravila vezana uz KDC (grupna pravila). Svakako onemogućite Kerberos Armoring.
|
|
U nastavku su metode šifriranja Kerberosa za Active Directory provjeru autentičnosti podržana od strane trenutne verzije provjere autentičnosti korisnika.
|
Metoda šifriranja
|
128-bitni AES (Napredni standard šifriranja)
256-bitni AES (Napredni standard šifriranja)
DES (Standard za šifriranje podataka)
RC4
|
|
|
|
Dostupna metoda šifriranja može se razlikovati, ovisno o postavkama Active Directoryja.
Od dostupnih metoda šifriranja automatski se odabire ona s najjačom snagom šifre.
|
Kada odredite Active Directory poslužitelj kao poslužitelj za provjeru autentičnosti, koristite sljedeće priključke*1 na poslužitelju.
|
Za komunikaciju s DNS poslužiteljem:
|
broj priključka 53
|
|
Za komuniciranje s KDC-om (Centrom za distribuciju ključeva)
|
broj priključka 88
|
|
Za komuniciranje s poslužiteljem za uslugu LDAP imenika (može se promijeniti u proizvoljni broj priključka za LDAP uslugu):
|
broj priključka 389
|
|
*1 Prethodno navedeni priključci su zadane vrijednosti. Ti brojevi mogu varirati ovisno o odabranim postavkama.
|
|
Kada je kao poslužitelj za provjeru autentičnosti određen LDAP poslužitelj, potrebno je sljedeće okružje sustava.
|
Softver:
|
OpenLDAP
|
|
Operativni sustav:
|
Zahtjevi su usklađeni s proizvodnim specifikacijama LDAP poslužitelja.
|
Kada odredite LDAP poslužitelj kao poslužitelj za provjeru autentičnosti, koristite sljedeće priključke*1 na poslužitelju.
|
Za komunikaciju s LDAP poslužiteljem koristeći LDAP (kada je omogućen TLS):
|
broj priključka 636
|
|
Za komunikaciju s LDAP poslužiteljem koristeći LDAP (kada je onemogućen TLS):
|
broj priključka 389
|
|
*1 Brojevi priključaka mogu se promijeniti sukladno postavkama LDAP poslužitelja.
|
|
Postavke vatrozida
Pri navođenju IP adresa u postavkama vatrozida, moguće je navesti do 16 IP adresa (ili raspona IP adresa) za IPv4 i IPv6.
Prilikom navođenja MAC adresa u postavkama vatrozida, moguće je navesti do 100 MAC adrese.
Adrese iznimke i brojevi priključaka iznimaka koji se mogu koristiti za komunikaciju pomoću pomoćne linije i koji su registrirani prema zadanim postavkama navedeni su dolje.
|
Adrese s iznimkom:
|
Od 0.0.0.1 do 255.255.255.255
|
|
Izuzeti brojevi porta:
|
53, 67, 68, 80, 161, 443, 515*, 631*, 3702, 5353, 5357, 5358, 8000*, 8080, 8443*, 9013, 9100*, 10443*, 20010*, 47545
|
|
* Samo ulazni filtar
|
|
Registracija ključeva i certifikata
Ako instalirate ključ ili certifikat CA s računala, provjerite ispunjavaju li sljedeće preduvjete:
|
Oblik
|
Tipka: PKCS#12*1
CA certifikat: X.509 DER/PEM
|
|
Datotečni nastavak
|
Tipka: „.p12“ ili „.pfx“
CA certifikat: „.cer“ ili „.pem“
|
|
Algoritam javnog ključa
(i duljina ključa) |
RSA (512-bitni, 1024-bitni, 2048-bitni, 4096-bitni)
DSA (1024-bitni, 2048-bitni, 3072-bitni)*3
ECDSA (P256, P384, P521)
|
|
Algoritam za potpisivanje certifikata
|
RSA: SHA-1*3, SHA-256, SHA-384*2, SHA-512*2, MD2*3, MD5*3
DSA: SHA-1*3
ECDSA: SHA-1*3, SHA-256, SHA-384, SHA-512
|
|
Algoritam za otisak certifikata
|
SHA-1
|
|
*1 Preduvjeti za certifikat u ključu usklađeni su s CA certifikatima.
*2 SHA384-RSA i SHA512-RSA dostupni su samo ako duljina RSA ključa iznosi 1024 bita ili više.
*3 dostupno samo kada je instalirano putem Remote UI (Korisničkog sučelja za daljinski pristup).
|
|
Registracija popisa opozvanih certifikata (CRL)
Može se registrirati do 50 popisa opozvanih certifikata (CRL). Uzmite na znanje da se CRL ne može registrirati u sljedećim slučajevima.
Veličina podataka CRL-a premašuje 1 MB.
Koristi se nepodržani algoritam potpisa.
Broj opozvanih certifikata registriranih u jednoj CRL datoteci premašuje 10.000.
Definicija „slabog šifriranja“
Kad je odabrana opcija [Prohibit Use of Weak Encryption], zabranjeni su sljedeći algoritmi.
|
Raspršivanje:
|
MD4, MD5, SHA-1
|
|
HMAC:
|
HMAC-MD5
|
|
Kriptosustav zajedničkog ključa:
|
RC2, RC4, DES
|
|
Kriptosustav javnog ključa:
|
RSA šifriranje (512-bitno/1024-bitno), RSA potpis (512-bitni/1024-bitni), DSA (512-bitni/1024-bitni), DH (512-bitni/1024-bitni)
|
|
|
|
Čak i kada je odabrana opcija [Prohibit Use of Key/Certificate with Weak Encryption], moguće je koristiti algoritam raspršivanja SHA-1 koji se koristi za potpisivanje korijenskog certifikata.
|
FIPS 140-2 standardni algoritam
Kad je odabrana opcija [Format Encryption Method to FIPS 140-2], ne smiju se koristiti sljedeći algoritmi.
|
Raspršivanje:
|
MD4, MD5, SHA-1 (u svrhe osim za TLS)
|
|
Kriptosustav zajedničkog ključa:
|
RC2, RC4, DES, PBE
|
|
Kriptosustav javnog ključa:
|
RSA šifriranje (512 bita/1024 bita), RSA potpis (512 bita/1024 bita), DSA potpis (512 bita/1024 bita), DH (512 bita/1024 bita)
|
Upravljanje zapisnikom
Na uređaju se može upravljati sljedećim vrstama zapisnika. Prikupljeni zapisnici mogu se izvesti u datotečni oblik CSV.
|
Vrsta zapisnika
|
Broj naveden kao „vrsta zapisnika“ u CSV datoteci
|
Opis
|
|
Zapisnik
provjere autentičnosti korisnika |
4098
|
Zapis sadrži informacije vezane uz status provjere autentičnosti (prijava/odjava i uspjeh/neuspjeh provjere autentičnosti korisnika), registriranje/mijenjanje/brisanje korisničkih informacija provjerom autentičnosti korisnika.
|
|
Dnevnik zadataka
|
1001
|
Ovaj zapisnik sadrži informacije vezane za dovršetak zadataka ispisa.
|
|
Zapisnik primanja
|
8193
|
Ovaj zapisnik sadrži informacije povezane s prijemom.
|
|
Zapisnik upravljanja uređajem
|
8198
|
Ovaj zapisnik sadrži informacije vezane uz pokretanje/isključivanje uređaja i promjene postavki koristeći <Podesi>. Zapisnik upravljanja uređajem također bilježi promjene korisničkih informacija ili postavki vezanih uz sigurnost kada distributer ili servisni predstavnik pregledava ili popravlja uređaj.
|
|
Zapisnik mrežne provjere autentičnosti
|
8200
|
U zapisnik se bilježi kad dođe do neuspješne IPSec komunikacije.
|
|
Izvezite/Uvezite sve zapisnike
|
8202
|
Ovaj zapisnik sadrži informacije vezane uz uvoz/izvoz postavki koristeći funkciju izvoza/uvoza svih podataka.
|
|
Zapisnik rada na zaslonu za upravljanje aplikacijama/softverom
|
3101
|
Ovo je zapisnik radnji za registraciju/ažuriranja softvera i instalacijske programe MEAP aplikacija itd.
|
|
Zapisnik sigurnosne politike
|
8204
|
Ovaj zapisnik sadrži informacije uz postavljanje statusa postavki sigurnosne politike.
|
|
Zapisnik održavanja sustava
|
8206
|
Ovaj zapisnik sadrži podatke povezane s ažuriranjima firmvera i sigurnosnim kopiranjem / vraćanjem MEAP aplikacije itd.
|
|
Zapisnik ispisa s provjerom autentičnosti
|
8207
|
Ovaj zapisnik sadrži informacije i povijest upravljanja vezanu uz zadatke ispisa s prisilnim zadržavanjem.
|
|
Zapisnik za upravljanje zapisnikom revizije
|
3001
|
Ovaj zapisnik sadrži informacije vezanje uz pokretanje i završavanje ove funkcije (funkcija upravljanja zapisnikom o nadzoru), kao i izvoza zapisnika itd.
|
|
|
|
Zapisnici mogu sadržavati do 40.000 zapisa. Kada broj zapisa premaši 40.000, oni se brišu počevši s najstarijima.
|
Uvoz/izvoz podataka o postavkama
Pogledajte Postavke/Registriranje.
Podrška za SCEP poslužitelj
Podržan je samo Network Device Enrollment Service (NDES) sustava Windows Server 2008 R2 / 2012 R2 / 2016.