Benutzerauthentifizierung

MOVEit Transfer bietet die Möglichkeit, Benutzer auf externen LDAP- und/oder RADIUS-Servern zu authentifizieren. Microsoft Active Directory (AD) dient als LDAP-Server, sodass MOVEit Transfer hier eine systeminterne Authentifizierung durchführen kann. Sie können beide Server auf der Übertragungsebene sichern (wir empfehlen die Verwendung von LDAP over SSL/TLS). Zugehörige Anmeldeinformationen werden verschlüsselt auf MOVEit Transfer gespeichert.

Neben der Authentifizierung bestehender Benutzer in externen Quellen kann MOVEit Transfer auch neue Benutzer erstellen. Dies erfolgt häufig als Klon eines bestehenden Vorlagenbenutzers. MOVEit Transfer kann den Benutzerstamm einer Organisation auch in externe und interne Benutzer unterteilen. Die eine Gruppe verwendet in diesem Fall eine externe Authentifizierungsquelle und die andere die in MOVEit Transfer integrierte Benutzerdatenbank. Beim Zugriff auf einen LDAP-Server kann MOVEit Transfer auch Informationen zur Gruppenmitgliedschaft und Angaben wie die E-Mail-Adresse von diesem LDAP-Server replizieren.

SSO

In Unternehmensumgebungen können Sie eine externe Authentifizierung für MOVEit Transfer implementieren, die sich wie SSO verhält. Dafür gibt es verschiedene Herangehensweisen. Dies sind insbesondere Folgende:

• CA SiteMinder. MOVEit Transfer kann vorab authentifizierte Anmeldeinformationen von CA SiteMinder akzeptieren. Weitere Informationen zu dieser Funktion finden Sie in der Dokumentation unter Erweiterte Themen – Dienstintegration - SiteMinder-Integration.
• Common Access Card (CAC). MOVEit Transfer kann Benutzer mithilfe von Hardwareclientzertifikaten in CAC Smart Card-Umgebungen authentifizieren. Weitere Informationen zu dieser Funktion finden Sie in der Dokumentation unter Erweiterte Themen – Dienstintegration - CAC-Integration.
• Identitätsanbieter über SAML. MOVEit unterstützt SSO durch den Austausch strukturierter SAML-Nachrichten zwischen dem Dienst und dem Identitätsanbieter. Sie benötigen einen Identitätsanbieter, der SAML unterstützt, (z. B. AD FS) als Authentifizierungsquelle. Sie können diese Funktion zusammen mit den bestehenden Benutzerauthentifizierungsquellen verwenden. Weitere Informationen finden Sie unter Funktionsumfang – Single Sign-On.

Authentifizierungsquellen

Eine Authentifizierungsquelle ist ein beliebiger RADIUS-, LDAP- oder WS-Trust-Server, den MOVEit Transfer abfragt. Innerhalb einer Organisation können mehrere Authentifizierungsquellen konfiguriert werden. Jede Quelle kann einen anderen Typ haben (z. B. zwei RADIUS-Quellen und drei LDAP-Quellen) und auf einen anderen Vorlagenbenutzer verweisen. Automatisch hinzugefügte Benutzer gehören dadurch auch automatisch den entsprechenden Gruppen an.

Aktuell werden die folgenden Typen von Authentifizierungsquellen unterstützt:

• RADIUS (Authentication Only) (RADIUS (nur Authentifizierung)): Eingehende Benutzernamen und Kennwörter werden auf einem Remote-RADIUS-Server getestet. Bei erfolgreicher Authentifizierung kann ein neuer Benutzer dynamisch als Klon eines bestehenden Vorlagenbenutzers erstellt werden.
• LDAP (Authentication Only) (LDAP (nur Authentifizierung)): Eingehende Benutzernamen und Kennwörter werden auf einem Remote-LDAP-Server getestet. Bei erfolgreicher Authentifizierung kann ein neuer Benutzer als Klon eines bestehenden Vorlagenbenutzers erstellt werden.
• LDAP (Lookup and Authentication) (LDAP (nur Authentifizierung)): Eingehende Benutzernamen und Kennwörter werden auf einem Remote-LDAP-Server getestet. Bei erfolgreicher Authentifizierung kann ein neuer Benutzer dynamisch als Klon eines bestehenden Vorlagenbenutzers erstellt werden. Benutzerattribute wie E-Mail-Adressen und Gruppenmitgliedschaften werden jedoch vom LDAP-Server übernommen. (Dies ist derzeit die bevorzugte Option.)
• WS-Trust (Authentication Only) (WS-Trust (nur Authentifizierung)): Eingehende Benutzernamen und Kennwörter werden auf einem Remote-WS-Trust-Server getestet. Bei erfolgreicher Authentifizierung kann ein neuer Benutzer dynamisch als Klon einer bestehenden Benutzervorlage erstellt werden.

Eine umfassende Dokumentation und Beispiele für Active Directory-, Novell eDirectory-, IBM Domino- und iPlanet-LDAP-Server werden bereitgestellt. Andere LDAP-Server (wie IBM Tivoli Access Manager – SecureWay) werden durch die Verwendung flexibler Verbindungs- und Attributvorlagen ebenfalls unterstützt. (Die RADIUS-Serverkonfiguration ist im Vergleich zur LDAP-Serverkonfiguration relativ allgemein.)

Weitere Informationen

Für die Verbindung mit externen Authentifizierungsressourcen sind häufig zusätzliche Firewall-Regeln erforderlich. Informationen zu den verschiedenen mit LDAP- und RADIUS-Diensten verbundenen Regeln finden Sie in der MOVEit Transfer-Firewall-Konfiguration.

Einstellungen, die steuern, wie MOVEit Transfer auf externe Authentifizierungsquellen zugreift und wie neue Benutzerdatensätze für extern authentifizierte Benutzer konfiguriert werden, finden Sie unter Settings – Security – User Policy – Authentication Method (Einstellungen – Sicherheit – Benutzerrichtlinie – Authentifizierungsmethode).

Einstellungen zum Steuern des Zugriffs einzelner Benutzer auf externe Authentifizierungsquellen finden Sie unter Users – Profile – Authentication Method (Benutzer – Profil – Authentifizierungsmethode).

Weitere Informationen zum Konfigurieren einzelner Authentifizierungsquellen finden Sie in der Dokumentation unter Webschnittstelle – Einstellungen – Sicherheitsrichtlinien – Externe Authentifizierung.

Sicherer Zugriff auf LDAP-Server vor Ort (z. B. Active Directory)

MOVEit Transfer verfügt über zwei Möglichkeiten, um von einem DMZ-Segment aus sichere Verbindungen zu LDAP-Quellen am Standort herzustellen. Beide bieten eine starke Verschlüsselung der Benutzeranmeldinformationen sowie der übertragenen Informationen und erfordern keinen anonymen Zugriff.

Direkte authentifizierte SSL-/TLS-Verbindung zu internem LDAP-Server

Dieses Szenario ist recht gängig. Zunächst gibt ein Endbenutzer über einen verschlüsselten SSH-Link (FTP/SSH) oder SSL-Link (FTP/SSL oder HTTP/S) auf MOVEit Transfer Anmeldeinformationen ein. MOVEit Transfer leitet diese Anmeldeinformationen über einen verschlüsselten SSL-Link (LDAP/SSL) an den LDAP-Server weiter, um zu ermitteln, ob sich der Benutzer bei MOVEit Transfer anmelden kann. MOVEit Transfer speichert die Anmeldeinformationen nicht.

Je nach Konfiguration Ihres Systems kann sich MOVEit Transfer als LDAP-Benutzer mit der Berechtigung zum Durchsuchen des LDAP-Verzeichnisses anmelden, um Einstellungen wie E-Mail-Adressen und Gruppenmitgliedschaften zu replizieren. Die von MOVEit Transfer für die Suche verwendeten Anmeldeinformationen werden in diesem Fall auf MOVEit Transfer mithilfe von AES (256 Bit) verschlüsselt.

So rufen Sie einen internen LDAP-Server direkt von einem DMZ-basierten MOVEit Transfer-Server aus auf:

• Richten Sie den LDAP-Server so ein, dass bei eingehenden Verbindungen über die IP-Adresse der internen Firewall, den MOVEit Transfer-Server oder das DMZ-Segment eine Authentifizierung und SSL-Verbindungen erforderlich sind.
• Richten Sie eine interne Firewall-Regel ein, um MOVEit Transfer die Verbindung zum LDAP-Server über den TCP-Port 636 (den Standardport für LDAP over SSL) zu ermöglichen.
• Richten Sie auf MOVEit Transfer eine externe Authentifizierungsquelle ein. Geben Sie Anmeldeinformationen für den Zugriff auf den LDAP-Server an, und legen Sie LDAPS (LDAP over SSL) als Authentifizierungsprotokoll fest.

Authentifizierte SSL-Verbindung zu internem LDAP-Server über RADIUS

Dieses Szenario ist weniger gängig, aber dennoch in Situationen beliebt, in denen LDAP (selbst mit SSL-Verschlüsselung) zu den gesperrten Protokollen zählt. Zunächst gibt ein Endbenutzer über einen verschlüsselten SSH-Link (FTP/SSH) oder SSL-Link (FTP/SSL oder HTTP/S) auf MOVEit Transfer Anmeldeinformationen ein. MOVEit Transfer übergibt diese Anmeldeinformationen an einen RADIUS-Server mit verschlüsselten RADIUS-Paketen, um festzulegen, ob sich der Benutzer zu diesem Zeitpunkt bei MOVEit Transfer anmelden kann. MOVEit Transfer verwahrt die Anmeldeinformationen nicht in seinem eigenen Speicher. Der RADIUS-Server (oft Microsoft Internet Authentication Service bzw. IAS) hat keinen eigenen Benutzerspeicher, wird aber in der Regel mit einem Windows Domain-, Active Directory- oder anderen LDAP-Server verbunden.

Das RADIUS-Protokoll basiert auf UDP, und alle Pakete werden mit einem Schlüssel verschlüsselt. Dieser Schlüssel wird mithilfe von AES (256 Bit) auf MOVEit Transfer gespeichert. MOVEit Transfer benötigt keine Informationen zu den LDAP-Servern, auf denen die Benutzerinformationen tatsächlich gespeichert sind, da der RADIUS-Server als komplettes Frontend agiert. RADIUS-Abfragen geben von Haus aus weniger Benutzerinformationen als eine vergleichbare LDAP-Abfrage zurück.

So rufen Sie einen internen LDAP-Server sicher über RADIUS von einem DMZ-basierten MOVEit Transfer-Server aus auf:

Richten Sie den RADIUS-Server so ein, dass er Authentifizierungsinformationen von Ihrem LDAP-Server abruft. (Bei Verwendung kostenloser Add-on-Tools wie dem Microsoft IAS-Server mit Active Directory ist dies häufig Ihre einzige Option.)

Richten Sie eine interne Firewall-Regel ein, um MOVEit Transfer die Verbindung zum LDAP-Server über den UDP-Port 1645 (den Standardport für RADIUS) zu ermöglichen.

Richten Sie auf MOVEit Transfer eine externe Authentifizierungsquelle ein. Geben Sie den entsprechenden Schlüssel für die Verschlüsselung des RADIUS-Datenverkehrs für Ihren speziellen RADIUS-Server ein.

Hinweise zu SSL für Active Directory

Benutzer haben gemeldet, dass die Aktivierung von SSL-Diensten auf Active Directory-LDAP-Servern unerwartet schwierig ist. Insbesondere das Implementieren der Microsoft-Empfehlung bezüglich der Bereitstellung einer Unternehmenszertifizierungsstelle kann mitunter einige Zeit in Anspruch nehmen.

• #Q247078 – Aktivieren einer Secure Socket Layer (SSL)-Kommunikation über LDAP für Windows 2000-Domänencontroller (externer Link)

Es gibt jedoch einen einfacheren Weg, um SSL auf Active Directory zu aktivieren (ohne Unternehmenszertifizierungsstelle).

1. Rufen Sie ein von einer Zertifizierungsstelle signiertes Serverzertifikat ab, in dem als gemeinsamer Name (Common Name, CN) des Zertifikats der vollständig qualifizierte Domänenname (Fully Qualified Domain Name, FQDN) des AD-Servers angegeben ist. Für einen Server namens „ad.internal.mycorp.com“ reicht ein von einer beliebigen Zertifizierungsstelle signiertes Serverzertifikat namens „ad.internal.mycorp.com“.
2. Verwenden Sie auf dem AD-Server das MMC-Plug-in Certificates (für lokale Computer), um das von einer Zertifizierungsstelle signierte Serverzertifikat dem Zertifikatspeicher Personal (Persönlich) des lokalen Computers hinzuzufügen. Stellen Sie sicher, dass im Eigenschaftendialogfeld des importierten Zertifikats ein privater Schlüssel angegeben ist.
3. Verwenden Sie auf dem AD-Server das MMC-Plug-in Certificates (für lokale Computer), um das von einer Zertifizierungsstelle signierte Serverzertifikat dem Zertifikatspeicher Trusted Root (Vertrauenswürdiger Stamm) des lokalen Computers hinzuzufügen. Im Eigenschaftendialogfeld des importierten Zertifikats sollte kein privater Schlüssel angegeben sein.
4. Verwenden Sie auf dem MOVEit Transfer-Server (oder einem anderen LDAP-Client) das MMC-Plug-in Certificates (für lokale Computer), um das von einer Zertifizierungsstelle signierte Serverzertifikat dem Zertifikatspeicher Trusted Root (Vertrauenswürdiger Stamm) des lokalen Computers hinzuzufügen. Im Eigenschaftendialogfeld des importierten Zertifikats sollte kein privater Schlüssel angegeben sein.
5. Starten Sie den Domänencontroller neu. AD ermittelt automatisch das aktuell zu verwendende SSL-Serverzertifikat anhand des Namens und stellt die LDAPS-Schnittstelle entsprechend bereit.
6. An diesem Punkt sollte MOVEit Transfer (oder ein anderer LDAP-Client) in der Lage sein, eine sichere Verbindung zu Active Directory mit LDAPS über den TCP-Port 636 herzustellen.

Dieses Verfahren auf der Microsoft-Website könnte noch weiter erläutert werden, wobei der primäre Unterschied zwischen dem Microsoft-Verfahren und dem hier erläuterten Verfahren darin besteht, dass Microsoft anstelle von OpenSSL die Verwendung des Add-on-Dienstprogramms Microsoft certreq empfiehlt.

• #Q321051 – Aktivieren von LDAP over SSL mit einer externen Zertifizierungsstelle (externer Link)

Schließlich haben Sie mindestens zwei Alternativen zu diesen Verfahren: Beide beinhalten einen SSL-Tunnel, der dem bestehenden LDAP-Protokoll von Active Directory eine SSL-Verschlüsselung hinzufügt.

• Konfigurieren Sie die Firewall so, dass LDAP/SSL-Verbindungen auf dem TCP-Port 636 akzeptiert und diese über Port 389 an Active Directory weitergeleitet werden. In diesem Fall wird in Ihrer Firewall ein SSL-Zertifikat installiert. (Nicht alle Firewalls unterstützen diese Konfiguration.)
• Installieren Sie in Ihrem Active Directory oder einem anderen internen Computer ein Dienstprogramm namens stunnel (https://www.stunnel.org), das Zugriff auf Active Directory hat. Konfigurieren Sie stunnel so, dass LDAP/SSL-Verbindungen auf dem TCP-Port 636 akzeptiert und diese über Port 389 an Active Directory weitergeleitet werden. In diesem Fall wird auf dem Computer, auf dem stunnel ausgeführt wird, ein SSL-Zertifikat installiert.

Weitere Informationen zu diesen Verfahren erhalten Sie bei unserem Support.