ฟังก์ชันการจัดการ
ข้อมูลที่ลงทะเบียนใน User Authentication
คุณสามารถลงทะเบียนผู้ใช้ได้ถึง 5,001 ราย
การลงทะเบียน ID แผนก
คุณสามารถลงทะเบียน ID แผนกได้สูงสุด 1,000 รายการ
ฟังก์ชันการรับรองความถูกต้อง
เมื่อเซิร์ฟเวอร์ Active Directory ถูกระบุเป็นเซิร์ฟเวอร์การรับรองความถูกต้อง คุณจำเป็นต้องมีสภาพแวดล้อมของระบบต่อไปนี้
ซอฟต์แวร์ (ระบบปฏิบัติการ): | Windows Server 2016*1/Windows Server 2019*1/Windows Server 2022*1 |
*1 ผู้ใช้ไม่สามารถเข้าสู่ระบบด้วยการรับรองความถูกต้อง Active Directory ได้ หากเปิดใช้งาน Kerberos Armoring สำหรับนโยบาย KDCrelated (นโยบายกลุ่ม) อย่าลืมปิดการใช้งาน Kerberos Armoring | |
วิธีการเข้ารหัส Kerberos สำหรับการรับรองความถูกต้อง Active Directory ที่รองรับโดย User Authentication เวอร์ชันปัจจุบันมีดังต่อไปนี้
วิธีการเข้ารหัส | AES 128 บิต (มาตรฐานการเข้ารหัสขั้นสูง) AES 256 บิต (มาตรฐานการเข้ารหัสขั้นสูง) DES (มาตรฐานการเข้ารหัสข้อมูล) RC4 |
|
วิธีการเข้ารหัสที่สามารถใช้ได้อาจแตกต่างกันไป ทั้งนี้ขึ้นอยู่กับการตั้งค่า Active Directory จากวิธีการเข้ารหัสที่มีอยู่ ระบบจะเลือกวิธีการเข้ารหัสที่มีความยากของรหัสลับสูงสุดโดยอัตโนมัติ |
เมื่อระบุเซิร์ฟเวอร์ Active Directory เป็นเซิร์ฟเวอร์การรับรองความถูกต้อง ให้ใช้พอร์ตต่อไปนี้*1 บนเซิร์ฟเวอร์
เพื่อสื่อสารกับเซิร์ฟเวอร์ DNS: | หมายเลขพอร์ต 53 |
เพื่อการสื่อสารกับ KDC (ศูนย์กลางการกระจายคีย์): | หมายเลขพอร์ต 88 |
เพื่อสื่อสารกับเซิร์ฟเวอร์สำหรับบริการไดเร็กทอรี LDAP (สามารถเปลี่ยนเป็นหมายเลขพอร์ตที่กำหนดเองสำหรับบริการ LDAP ได้): | หมายเลขพอร์ต 389 |
*1 หมายเลขพอร์ตด้านบนเป็นค่าเริ่มต้น ตัวเลขเหล่านี้อาจแตกต่างกันไปขึ้นอยู่กับการตั้งค่าที่เลือก | |
เมื่อระบุเซิร์ฟเวอร์ LDAP เป็นเซิร์ฟเวอร์การรับรองความถูกต้อง คุณจำเป็นต้องมีสภาพแวดล้อมของระบบต่อไปนี้
ซอฟต์แวร์: | OpenLDAP |
ระบบปฏิบัติการ: | ข้อกำหนดเป็นไปตามข้อมูลจำเพาะของผลิตภัณฑ์ของเซิร์ฟเวอร์ LDAP |
เมื่อระบุเซิร์ฟเวอร์ LDAP เป็นเซิร์ฟเวอร์การรับรองความถูกต้อง ให้ใช้พอร์ตต่อไปนี้*1 บนเซิร์ฟเวอร์
เพื่อสื่อสารกับเซิร์ฟเวอร์ LDAP โดยใช้ LDAP (เมื่อเปิดใช้งาน TLS): | หมายเลขพอร์ต 636 |
เพื่อสื่อสารกับเซิร์ฟเวอร์ LDAP โดยใช้ LDAP (เมื่อปิดใช้งาน TLS): | หมายเลขพอร์ต 389 |
*1 หมายเลขพอร์ตสามารถเปลี่ยนแปลงได้ตามการตั้งค่าเซิร์ฟเวอร์ LDAP | |
การตั้งค่าไฟร์วอลล์
เมื่อระบุที่อยู่ IP ในการตั้งค่าไฟร์วอลล์ คุณสามารถระบุที่อยู่ IP ได้สูงสุด 16 รายการ (หรือช่วงที่อยู่ IP) สำหรับทั้ง IPv4 และ IPv6
เมื่อระบุที่อยู่ MAC ในการตั้งค่าไฟร์วอลล์ คุณสามารถระบุที่อยู่ MAC ได้สูงสุด 100 รายการ
ที่อยู่ที่เป็นข้อยกเว้นและหมายเลขพอร์ตที่เป็นข้อยกเว้นซึ่งสามารถใช้สำหรับการสื่อสารโดยใช้สายย่อย และลงทะเบียนตามค่าเริ่มต้นจะระบุไว้ด้านล่าง
ที่อยู่ที่เป็นข้อยกเว้น: | 0.0.0.1 ถึง 255.255.255.255 |
หมายเลขพอร์ตที่เป็นข้อยกเว้น: | 53, 67, 68, 80, 161, 443, 515*, 631*, 3702, 5353, 5357, 5358, 8000*, 8080, 8443*, 9013, 9100*, 10443*, 20010*, 47545 |
* เฉพาะตัวกรองขาเข้า | |
การลงทะเบียนคีย์และใบรับรอง
หากคุณติดตั้งคีย์หรือใบรับรอง CA จากคอมพิวเตอร์ โปรดตรวจสอบให้แน่ใจว่าสิ่งดังกล่าวมีคุณสมบัติดังต่อไปนี้:
การจัดรูปแบบ | คีย์: PKCS#12*1 ใบรับรอง CA: X.509 DER/PEM |
นามสกุลไฟล์ | คีย์: “.p12” หรือ “.pfx” ใบรับรอง CA: “.cer” หรือ “.pem” |
อัลกอริทึมคีย์สาธารณะ (ความยาวคีย์) | RSA (512 บิต, 1024 บิต, 2048 บิต, 4096 บิต) DSA (1024 บิต, 2048 บิต, 3072 บิต) ECDSA (P256, P384, P521) |
อัลกอริทึมลายเซ็นใบรับรอง | RSA: SHA-1, SHA-256, SHA-384*2, SHA-512*2, MD2, MD5 DSA: SHA-1 ECDSA: SHA-1, SHA-256, SHA-384, SHA-512 |
อัลกอริทึมลายนิ้วมือใบรับรอง | SHA-1 |
*1 ข้อกำหนดสำหรับใบรับรองที่มีอยู่ในคีย์เป็นไปตามข้อกำหนดของใบรับรอง CA *2 คุณจะสามารถใช้งาน SHA384-RSA และ SHA512-RSA ได้เฉพาะเมื่อความยาวของคีย์ RSA อยู่ที่ 1024 บิตขึ้นไป | |
การลงทะเบียนรายการการเพิกถอนใบรับรอง (CRL)
คุณสามารถลงทะเบียนรายการการเพิกถอนใบรับรอง (CRL) ได้สูงสุดถึง 50 รายการ อย่างไรก็ตาม โปรดทราบว่าไม่สามารถลงทะเบียน CRL ได้ในกรณีต่อไปนี้
ขนาดข้อมูลของ CRL เกิน 1 MB
กำลังใช้อัลกอริทึมลายเซ็นที่ไม่รองรับ
จำนวนใบรับรองที่ถูกเพิกถอนซึ่งลงทะเบียนในไฟล์ CRL หนึ่งไฟล์นั้นมากกว่า 10,000 รายการ
คำจำกัดความของ "การเข้ารหัสที่ไม่ปลอดภัย"
เมื่อเลือก [Prohibit Use of Weak Encryption] ไว้ ห้ามใช้อัลกอริทึ่มต่อไปนี้
แฮช: | MD4, MD5, SHA-1 |
HMAC: | HMAC-MD5 |
ระบบรหัสลับคีย์ทั่วไป: | RC2, RC4, DES |
ระบบรหัสลับคีย์สาธารณะ: | การเข้ารหัส RSA (512 บิต/1024 บิต), ลายเซ็น RSA (512 บิต/1024 บิต), ลายเซ็น DSA (512 บิต/1024 บิต), DH (512 บิต/1024 บิต) |
|
แม้ว่าจะเลือก [Prohibit Use of Key/Certificate with Weak Encryption] ก็ตาม คุณก็สามารถใช้อัลกอริทึมแฮช SHA-1 ที่ใช้สำหรับลงนามใบรับรองหลักได้ |
อัลกอริทึมมาตรฐาน FIPS 140-2
เมื่อเลือก [Format Encryption Method to FIPS 140-2] ห้ามไม่ให้ใช้อัลกอริทึมต่อไปนี้
แฮช: | MD4, MD5, SHA-1 (เพื่อวัตถุประสงค์อื่นที่ไม่ใช่ TLS) |
ระบบรหัสลับคีย์ทั่วไป: | RC2, RC4, DES, PBE |
ระบบรหัสลับคีย์สาธารณะ: | การเข้ารหัส RSA (512 บิต/1024 บิต), ลายเซ็น RSA (512 บิต/1024 บิต), ลายเซ็น DSA (512 บิต/1024 บิต), DH (512 บิต/1024 บิต) |
การจัดการการบันทึกข้อมูล
คุณสามารถจัดการบันทึกข้อมูลประเภทต่อไปนี้ได้บนเครื่อง บันทึกข้อมูลที่รวบรวมไว้สามารถส่งออกในรูปแบบไฟล์ CSV ได้
ประเภทบันทึกข้อมูล | หมายเลขที่ระบุเป็น “ประเภทบันทึกข้อมูล” ในไฟล์ CSV | คำอธิบาย |
บันทึกข้อมูล การรับรองความถูกต้องผู้ใช้ | 4098 | บันทึกข้อมูลนี้มีข้อมูลที่เกี่ยวข้องกับสถานะการรับรองความถูกต้องของการรับรองความถูกต้องผู้ใช้ (เข้าสู่ระบบ/ออกจากระบบและความสำเร็จ/ความล้มเหลวในการรับรองความถูกต้องผู้ใช้) การลงทะเบียน/การเปลี่ยนแปลง/การลบข้อมูลผู้ใช้ที่จัดการผ่าน User Authentication |
บันทึกข้อมูลงาน | 1001 | บันทึกข้อมูลนี้มีข้อมูลที่เกี่ยวข้องกับงานพิมพ์ที่เสร็จสมบูรณ์ |
บันทึกข้อมูลการรับ | 8193 | บันทึกข้อมูลนี้มีข้อมูลที่เกี่ยวข้องกับการรับ |
บันทึกข้อมูลการจัดการเครื่อง | 8198 | บันทึกข้อมูลนี้ประกอบด้วยข้อมูลที่เกี่ยวข้องกับการเปิด/ปิดเครื่องและการเปลี่ยนแปลงการตั้งค่าโดยใช้ <ตั้งค่า> บันทึกข้อมูลการจัดการเครื่องยังบันทึกการเปลี่ยนแปลงข้อมูลผู้ใช้หรือการตั้งค่าที่เกี่ยวข้องกับความปลอดภัย เมื่อเครื่องได้รับการตรวจสอบหรือซ่อมแซมโดยตัวแทนจำหน่ายหรือตัวแทนบริการของคุณ |
บันทึกข้อมูลการรับรองความถูกต้องเครือข่าย | 8200 | ระบบจะบันทึกบันทึกข้อมูลนี้เมื่อการสื่อสาร IPSec ล้มเหลว |
บันทึกข้อมูลส่งออก/นำเข้าทั้งหมด | 8202 | บันทึกข้อมูลนี้มีข้อมูลที่เกี่ยวข้องกับการนำเข้า/การส่งออกการตั้งค่าโดยใช้ฟังก์ชันส่งออกทั้งหมด/นำเข้าทั้งหมด |
บันทึกข้อมูลการทำงานของหน้าจอการจัดการแอปพลิเคชัน/ซอฟต์แวร์ | 3101 | นี่คือบันทึกข้อมูลการทำงานสำหรับการลงทะเบียน/อัปเดตซอฟต์แวร์ และตัวติดตั้งแอปพลิเคชัน MEAP ฯลฯ |
บันทึกข้อมูลนโยบายความปลอดภัย | 8204 | บันทึกข้อมูลนี้มีข้อมูลที่เกี่ยวข้องกับสถานะการตั้งค่าของการตั้งค่านโยบายความปลอดภัย |
บันทึกข้อมูลการบำรุงรักษาระบบ | 8206 | บันทึกข้อมูลนี้มีข้อมูลที่เกี่ยวข้องกับการอัปเดตเฟิร์มแวร์และการสำรอง/การกู้คืนแอปพลิเคชัน MEAP ฯลฯ |
บันทึกข้อมูลการพิมพ์การรับรองความถูกต้อง | 8207 | บันทึกข้อมูลมีข้อมูลและประวัติการทำงานเกี่ยวกับงานพิมพ์ที่ถูกระงับชั่วคราว |
บันทึกข้อมูลสำหรับการจัดการบันทึกข้อมูลการตรวจสอบ | 3001 | บันทึกข้อมูลนี้มีข้อมูลที่เกี่ยวข้องกับการเริ่มต้นและสิ้นสุดของฟังก์ชันนี้ (ฟังก์ชันการจัดการบันทึกข้อมูลการตรวจสอบ) ตลอดจนการส่งออกบันทึกข้อมูล ฯลฯ |
|
บันทึกข้อมูลมีบันทึกได้ถึง 40,000 รายการ เมื่อจำนวนบันทึกเกิน 40,000 รายการ ระบบจะลบบันทึกที่เก่าที่สุดออกก่อน |
การนำเข้า/ส่งออกข้อมูลการตั้งค่า
โปรดดู การตั้งค่า/การลงทะเบียน
รองรับเซิร์ฟเวอร์ SCEP
รองรับเฉพาะ Network Device Enrollment Service (NDES) ของ Windows Server 2016 เท่านั้น