Kezelési funkciók
A felhasználói hitelesítésben bejegyzett adatok
Legfeljebb 5001 felhasználó jegyezhető be.
Részlegazonosítók bejegyzése
Legfeljebb 1000 részlegazonosítót adhat meg.
Hitelesítési funkciók
Ha Active Directory kiszolgálót ad meg hitelesítő kiszolgálóként, akkor a következő rendszerkörnyezet szükséges.
|
Szoftver (operációs rendszer):
|
Windows Server 2016*1/Windows Server 2019*1/Windows Server 2022*1
|
|
*1 A felhasználók nem jelentkezhetnek be Active Directory hitelesítés használatával, ha a KDCrelated házirendekhez (csoportházirendek) a Kerberos Armoring szolgáltatás engedélyezve van. Tiltsa le a Kerberos Armoring szolgáltatást.
|
|
A Felhasználói hitelesítés jelenlegi verziójában támogatott Active Directory Kerberos titkosítási módok a következők.
|
Titkosítási mód
|
128 bites AES (Advanced Encryption Standard)
256 bites AES (Advanced Encryption Standard)
DES (Data Encryption Standard)
RC4
|
|
|
|
Az elérhető titkosítási módok az Active Directory beállításaitól függően változhatnak.
Az elérhető titkosítási módok közül automatikusan a legerősebb rejtjelezésű lesz kiválasztva.
|
Egy Active Directory-kiszolgáló hitelesítő kiszolgálóként történő kiválasztásakor használja a kiszolgáló következő portjait.*1
|
Kommunikáció egy DNS-kiszolgálóval:
|
53. port
|
|
Kommunikáció egy KDC (Key Distribution Center) szolgáltatással:
|
88. port
|
|
Kommunikáció egy LDAP-címtárszolgáltatást biztosító kiszolgálóval (tetszőleges portszámra módosítható, az LDAP-szolgáltatásnak megfelelően):
|
389. port
|
|
*1 A fenti portszámok az alapértelmezett értékek. Ezek a számok a választott beállításoktól függően változhatnak.
|
|
Ha LDAP-kiszolgálót ad meg hitelesítő kiszolgálóként, akkor a következő rendszerkörnyezet szükséges.
|
Szoftver:
|
OpenLDAP
|
|
Operációs rendszer:
|
A követelményeket az LDAP-kiszolgáló követelményei határozzák meg.
|
Egy LDAP-kiszolgáló hitelesítő kiszolgálóként történő kiválasztásakor használja a kiszolgáló következő portjait.*1
|
Kommunikáció az LDAP-kiszolgálóval az LDAP használatával (TLS engedélyezve):
|
636. port
|
|
Kommunikáció az LDAP-kiszolgálóval az LDAP használatával (TLS letiltva):
|
389. port
|
|
*1 A portszámok az LDAP-kiszolgáló beállításainak megfelelően módosíthatók.
|
|
Tűzfalbeállítások
Amikor IP-címeket ad meg tűzfalbeállításokhoz, az IPv4- és az IPv6-protokoll használata esetén is 16 IP-címet (vagy IP-címtartományokat) adhat meg.
Amikor MAC-címeket határoz meg a tűzfalbeállításokban, legfeljebb 100 MAC-címet adhat meg.
Az alvonal kommunikációjához használható, alapértelmezetten regisztrált kivételi címek és portszámok a következők.
|
Kivételi címek:
|
0.0.0.1 – 255.255.255.255
|
|
Kivételi portszámok:
|
53, 67, 68, 80, 161, 443, 515*, 631*, 3702, 5353, 5357, 5358, 8000*, 8080, 8443*, 9013, 9100*, 10443*, 20010*, 47545
|
|
* Csak bejövő szűrő
|
|
Kulcsok és tanúsítványok bejegyzése
Ha számítógépről telepít kulcsot vagy hitelesítésszolgáltatói tanúsítványt, győződjön meg róla, hogy az megfelel az alábbi követelményeknek:
|
Formátum
|
Kulcs: PKCS#12*1
CA-tanúsítvány: X.509 DER/PEM
|
|
Fájlkiterjesztés
|
Kulcs: „.p12” vagy „.pfx”
CA-tanúsítvány: „.cer” vagy „.pem”
|
|
Nyilvános kulcsú algoritmus
(és kulcshossz) |
RSA (512 bit, 1024 bit, 2048 bit, 4096 bit)
DSA (1024 bit, 2048 bit, 3072 bit)*3
ECDSA (P256, P384, P521)
|
|
Tanúsítvány-aláírási algoritmus
|
RSA: SHA-1*3, SHA-256, SHA-384*2, SHA-512*2, MD2*3, MD5*3
DSA: SHA-1*3
ECDSA: SHA-1*3, SHA-256, SHA-384, SHA-512
|
|
Tanúsítvány-ujjlenyomat algoritmus
|
SHA-1
|
|
*1 A kulcsban lévő tanúsítványra vonatkozó követelmények megegyeznek a CA-tanúsítványokra vonatkozó követelményekkel.
*2 Az SHA384-RSA és az SHA512-RSA kódolás csak akkor érhető el, ha az RSA-kulcs hossza legalább 1024 bit.
*3 Csak akkor érhető el, ha a telepítéshez a Távoli felhasználói felületet használták.
|
|
Tanúsítvány-visszavonási listák (CRL) bejegyzése
Legfeljebb 50 tanúsítvány-visszavonási lista (CRL) jegyezhető be. A CRL a következő esetekben azonban nem bejegyezhető be.
A CRL adatmérete nagyobb, mint 1 MB.
Nem támogatott aláírási algoritmus van használatban.
Az egy CRL-listában szereplő visszavont tanúsítványok száma több mint 10 000.
A „gyenge titkosítás” meghatározása
Ha a [Gyenge titkosítás tiltása] lehetőség van kiválasztva, akkor a következő algoritmusok nem használhatók.
|
Hash:
|
MD4, MD5, SHA-1
|
|
HMAC:
|
HMAC-MD5
|
|
Közös kulcsos titkosítási rendszer:
|
RC2, RC4, DES
|
|
Nyilvános kulcsos titkosítási rendszer:
|
RSA-titkosítás (512 bites/1024 bites), RSA-aláírás (512 bites/1024 bites), DSA (512 bites/1024 bites), DH (512 bites/1024 bites)
|
|
|
|
A gyökértanúsítvány aláírásához használt SHA-1 hash-algoritmus használható akkor is használhatóm ha a [Kulcs/Tanúsítvány használat tiltás gyenge titkosítással] beállítás van kiválasztva.
|
FIPS 140-2 standard algoritmus
Ha a [FIPS 140-2 titkosítási módszer kialakítása] lehetőség van kiválasztva, az alábbi algoritmusok nem használhatók.
|
Hash:
|
MD4, MD5, SHA-1 (TLS-től eltérő célból)
|
|
Közös kulcsos titkosítási rendszer:
|
RC2, RC4, DES, PBE
|
|
Nyilvános kulcsos titkosítási rendszer:
|
RSA-titkosítás (512 bites/1024 bites), RSA-aláírás (512 bites/1024 bites), DSA aláírás (512 bites/1024 bites), DH (512 bites/1024 bites)
|
Naplókezelés
A készüléken a következő típusú naplók kezelhetők. Az összegyűjtött naplók CSV fájlformátumba exportálhatók.
|
Naplótípus
|
A CSV-fájlban „naplótípusként” jelzett szám
|
Leírás
|
|
Felhasználói hitelesítés
napló |
4098
|
Ez a napló a felhasználói hitelesítés hitelesítési állapotára (bejelentkezés/kijelentkezés, valamint felhasználók sikeres/sikertelen hitelesítése), valamint a felhasználói hitelesítés szolgáltatással kezelt felhasználói adatok bejegyzésére/módosítására/törlésére vonatkozó információkat tartalmazza.
|
|
Munkanapló
|
1001
|
Ez a napló a nyomtatási feladatok elvégzésével kapcsolatos információkat tartalmazza.
|
|
Vételi napló
|
8193
|
Ez a napló a vétellel kapcsolatot információkat tartalmazza.
|
|
Készülékkezelési napló
|
8198
|
Ebben a naplóban a készülék indítására/leállítására, valamint a beállítások <Beállítás> menü használatával történő módosítására vonatkozó információk találhatók. A készülékkezelési napló a márkakereskedő vagy a szerviz által végzett ellenőrzések vagy javítások során a felhasználói adatokban vagy a biztonsággal kapcsolatos beállításokban bekövetkező változásokat is rögzíti.
|
|
Hálózati hitelesítési napló
|
8200
|
Ezt a naplót a készülék az IPSec kommunikáció sikertelensége esetén rögzíti.
|
|
Mind exportálása/importálása napló
|
8202
|
Ez a napló a beállítások Mind exportálása/Mind importálása funkció használatával történő importálására/exportálására vonatkozó információkat tartalmaz.
|
|
Alkalmazás-/szoftverkezelési képernyő funkciónaplója
|
3101
|
Ez a szoftverbejegyzések/frissítések, valamint a AddOn-alkalmazások telepítőinek stb. funkciónaplója.
|
|
Biztonságiházirend-napló
|
8204
|
Ez a napló a biztonsági házirend beállításainak állapotára vonatkozó információkat tartalmazza.
|
|
Rendszerkarbantartási napló
|
8206
|
Ez a napló a firmware-frissítésekre és a AddOn-alkalmazások mentésére/visszaállítására vonatkozó információkat tartalmazza.
|
|
Hitelesítéses nyomtatások naplója
|
8207
|
Ez a napló a kényszerítetten visszatartott nyomtatási feladatokra vonatkozó információkat és használati előzményeket tartalmaz.
|
|
Auditnapló-kezelési napló
|
3001
|
Ez a napló ennek a funkciónak (Auditnapló-kezelési funkció) a kezdetére és végére, valamint a naplók exportálására stb. vonatkozó információkat tartalmaz.
|
|
|
|
A naplók legfeljebb 40 000 bejegyzést tartalmazhatnak. Ha a bejegyzések száma túllépi a 40 000-t, akkor a bejegyzések a legrégebbitől kezdve törlődnek.
|
Beállításadatok importálása/exportálása
Lásd: Beállítás/Bejegyzés.
SCEP-kiszolgáló támogatása
Csak a Windows Server 2008 R2/2012 R2/2016 rendszerekben elérhető Hálózati eszközök tanúsítványigénylési szolgáltatása (NDES) támogatott.