So legen Sie Standardrichtlinien für HTTP-, FTP-, SSH-Schnittstellen und die Mobilfunk-Oberfläche für neue Benutzer in der Organisation fest:

Melden Sie sich als Administrator an. Wählen Sie SETTINGS > Security Policies > Interface (EINSTELLUNGEN > Sicherheitsrichtlinien > Schnittstelle) und anschließend einen Schnittstellentyp aus.

Diese Einstellungen bestimmen die Standardwerte für neue Benutzer in der Organisation. Bei nachfolgenden Änderungen können Sie die Änderungen auf alle Benutzer (neue und vorhandene) oder nur auf neue Benutzer in der Organisation anwenden.

Sie können die Richtlinie für einzelne Benutzer unter USERS > username > User Authentication (BENUTZER > Benutzername > Benutzerauthentifizierung) ändern. Weitere Informationen finden Sie unterBenutzerprofil – Benutzerauthentifizierung.

Anmerkung: Wenn Sie für alle diese Schnittstellen verschiedene Schnittstellenrichtlinien für verschiedene Benutzergruppen verwenden möchten, siehe die Optionen Create users as a clone of... (Benutzer erstellen als Klon von...), die in MOVEit Transfer zur Verfügung stehen. Wenn beispielsweise alle Benutzer mit Ausnahme der Benutzer, die eine externe Authentifizierung (EA) verwenden, ein Zertifikat während des Authentifizierungsvorgangs vorweisen müssen, stellen Sie die Standardschnittstellenwerte der Organisation so ein, dass Clientzertifikate erforderlich sind, und stellen Sie die EA-Quelle so ein, dass ein Vorlagenbenutzer geklont wird, für den bei der Erstellung von neuen EA-Benutzern keine Clientzertifikatauthentifizierung erforderlich ist.

HTTP

Auf dieser Seite können Administratoren die Standardrichtlinie für die HTTP-Schnittstelle für alle neuen Benutzer in der Organisation festlegen. Änderungen der Richtlinie auf dieser Seite können bei Bedarf auch auf alle vorhandenen Benutzer in der Organisation angewendet werden. Es stehen folgende Richtlinienoptionen zur Verfügung:

  • Allow HTTPS Access via Web Interface by Default (HTTPS-Zugriff über die Webschnittstelle standardmäßig zulassen): Legt fest, ob es Benutzern gestattet ist, über Webbrowser auf das System zuzugreifen.
  • Allow HTTPS Access via HTTP Clients by Default (HTTPS-Zugriff über HTTP-Clients standardmäßig zulassen): Legt fest, ob es Benutzern gestattet ist, über andere HTTP-Clients wie z. B. MOVEit Automation, die MOVEit Transfer-API und den MOVEit-Assistenten auf das System zuzugreifen.
  • SSL Client Cert Required by Default (SSL-Clientzertifikat standardmäßig erforderlich): Legt fest, ob Benutzer, die sich an der HTTPS-Schnittstelle anmelden, ein gültiges SSL-Clientzertifikat vorweisen müssen, um sich am System zu authentifizieren.
    Anmerkung: Für SAML-Single Sign-On-Benutzer muss die Option für einen erforderlichen SSL-Client auf No (Nein) gestellt werden.
  • Password Also Required with SSL Client Cert by Default (Mit SSL-Clientzertifikat ist auch ein Kennwort standardmäßig erforderlich): Legt fest, ob Benutzer, die sich an der HTTPS-Schnittstelle mit einem gültigen SSL-Clientzertifikat anmelden, auch ein gültiges Kennwort eingeben müssen, um sich am System zu authentifizieren.
  • Match Cert CN to Username/Full Name (Allgemeinen Namen des Zertifikats mit Benutzernamen/vollständigem Namen abgleichen): Bei Aktivierung dieser Option werden SSL-Clientzertifikate mit einem Wert des allgemeinen Namens, der mit dem Benutzernamen oder vollständigen Namen des eingehenden Benutzers übereinstimmt UND die von einer im System vertrauenswürdigen Zertifizierungsstelle signiert sind, für die Authentifizierung als gültig und akzeptabel erachtet.
  • Allow Username from Client Certificate (Benutzername von Clientzertifikat zulassen): Bei Aktivierung dieser Option erhalten Benutzer auf der Anmeldeseite die Möglichkeit, dass MOVEit Transfer automatisch den Benutzernamen über das entsprechende Clientzertifikat abruft und einen Anmeldeversuch unternimmt. MOVEit Transfer durchsucht zunächst den internen Zertifikatspeicher nach einem übereinstimmenden Zertifikat und sucht anschließend, falls möglich, nach ordnungsgemäß konfigurierten LDAP-externen Authentifizierungsquellen. Wird ein übereinstimmendes Zertifikat gefunden, wird der zugehörige Benutzername angenommen und ein Anmeldeversuch unternommen. Wird kein übereinstimmendes Zertifikat gefunden oder vom Benutzer wird neben dem Clientzertifikat zusätzlich ein Kennwort erfordert, wird er zurück auf die Anmeldeseite geleitet, auf der eine Meldung mit dem Hinweis auf erforderliche weitere Anmeldeinformationen angezeigt wird.
  • Wird ein übereinstimmendes Zertifikat gefunden und der Benutzer kann mit dem zugehörigen Benutzernamen erfolgreich angemeldet werden, wird ein Langzeit-Cookie festgelegt, wodurch MOVEit Transfer zukünftig den Benutzer zur automatischen Benutzernamenerkennungsroutine weiterleiten kann. Auf diese Weise wird der Benutzer stets direkt am System angemeldet, wenn er die Website aufruft, vorausgesetzt, dass das entsprechende Clientzertifikat vorliegt und noch Gültigkeit besitzt.

FTP

Auf dieser Seite können Administratoren die Standardrichtlinie für die FTP-Schnittstelle für alle neuen Benutzer in der Organisation festlegen. Änderungen der Richtlinie auf dieser Seite können bei Bedarf auch auf alle vorhandenen Benutzer in der Organisation angewendet werden. Es stehen folgende Richtlinienoptionen zur Verfügung:

  • Allow FTP/SSL Access by Default (FTP/SSL-Zugriff standardmäßig zulassen): Legt fest, ob es Benutzern gestattet ist, über ein sicheres FTP über SSL auf das System zuzugreifen.
  • Allow Insecure FTP Access by Default (Zugriff über ungesichertes FTP standardmäßig zulassen): Legt fest, ob es Benutzern gestattet ist, über ein unsicheres Nur-Text-FTP auf das System zuzugreifen. Erfordert, dass das nicht sichere FTP aktiviert und für die IP-Adressen jedes Benutzers zugelassen wird. Weitere Informationen finden Sie auf der Dokumentseite FTP-Konfiguration.
  • SSL Client Cert Required by Default (SSL-Clientzertifikat standardmäßig erforderlich): Legt fest, ob Benutzer, die sich an der FTP-über-SSL-Schnittstelle anmelden, ein gültiges SSL-Clientzertifikat vorweisen müssen, um sich am System zu authentifizieren.
  • Password Also Required with SSL Client Cert by Default (Mit SSL-Clientzertifikat ist auch ein Kennwort standardmäßig erforderlich): Legt fest, ob Benutzer, die sich an der FTP-über-SSL-Schnittstelle mit einem gültigen SSL-Clientzertifikat anmelden, auch ein gültiges Kennwort eingeben müssen, um sich am System zu authentifizieren.
  • Match Cert CN to Username/Full Name (Allgemeinen Namen des Zertifikats mit Benutzernamen/vollständigem Namen abgleichen): Bei Aktivierung dieser Option werden SSL-Clientzertifikate mit einem Wert des allgemeinen Namens, der mit dem Benutzernamen oder vollständigen Namen des eingehenden Benutzers übereinstimmt UND die von einer im System vertrauenswürdigen Zertifizierungsstelle signiert sind, für die Authentifizierung als gültig und akzeptabel erachtet.
  • Holding Tank retention (Haltetank-Zurückhaltung): Legt fest, wie lange in den Zertifikat-/Schlüssel-Haltetank eingegebene SSL-Clientzertifikate und SSH-Client-Schlüssel dort verbleiben. Zertifkate oder Schlüssel, die diese Anzahl von Tagen überschreiten, werden aus dem Haltetank entfernt.

Hier erfolgt auch die Verwaltung von vertrauenswürdigen Zertifizierungsstellen (ZS) und Benutzer-Haltetank-Zertifikaten. Weitere Informationen zu vertrauenswürdigen Zertifizierungsstellen finden Sie auf der Dokumentseite Systemkonfiguration – SSL und SSH – SSL – Clientzertifikate – Vertrauenswürdige Zertifizierungsstellen. Weitere Informationen zum Haltetank für SSL-Clientzertifikate finden Sie auf der Dokumentseite Systemkonfiguration – SSL und SSH – SSL – Clientzertifikate – Haltetank.

Clientzertifikate

Alle Clientzertifikate sind entweder „selbstsigniert“ oder „ZS-signiert“. „ZS“ weist darauf hin, dass eine „Zertifizierungsstelle“ das Clientzertifikat signiert hat und für die Identität des Trägers bürgt. Darüber hinaus erfolgt eine Unterteilung der Zertifizierungsstellen in „gewerbliche Zertifizierungsstellen“, die die Ausstellung und Signatur von Clientzertifikaten der Allgemeinheit anbieten (z. B. Thawte, GeoTrust usw.), und „unternehmenseigene Zertifizierungsstellen“, die die gleichen Clientzertifikatfunktionen für ihre eigenen Benutzer übernehmen.

MOVEit unterstützt selbstsignierte Zertifikate und von gewerblichen sowie unternehmenseigenen Zertifizierungsstellen signierte Zertifikate. Ein Clientzertifikat kann als „*.pfx“-Datei mit einem Kennwort bereitgestellt werden oder Benutzer müssen ein Zertifikat bei einer Zertifizierungsstelle anfordern.

Bei unterschiedlichen Browsern erfolgt die Installation von Clientzertifikaten auf unterschiedliche Weise. Internet Explorer (IE) verwendet den Windows-Zertifikatspeicher. Sie können Clientzertifikate über das IE-Dialogfeld „Zertifikat“ installieren und verwalten. Windows startet auch einen Assistenten zum Importieren von Clientzertifikaten, der die meisten Clientzertifikate in IE durch einen einfachen Doppelklick auf die „*.pfx“-Clientzertifikatdatei automatisch installiert.

Die Mozilla/Firefox-Browser verwenden ihren eigenen Clientzertifikatspeicher. Zum Installieren von Clientzertifikaten in diesen Browsern müssen Sie die entsprechende „Zertifikatverwaltung“ verwenden.

Bei unterschiedlichen Browsern erfolgt auch die Auswahl von Clientzertifikaten zur Authentifizierung auf unterschiedliche Weise. Die häufigste Methode besteht darin, dass im Browser ein Dialogfeld geöffnet wird, in dem Sie aufgefordert werden, das zu verwendende Clientzertifikat anzugeben. Bei der Verbindung mit einem MOVEit-Server werden Benutzer möglicherweise in ihrem Browser dazu aufgefordert, nach der Eingabe des Benutzernamens und des Kennworts oder noch vor der Anzeige des Anmeldebildschirms ein Clientzertifikat auszuwählen.

In den meisten Browsern steht jedoch auch die Option zur Verfügung, automatisch ein Clientzertifikat vorzulegen, wenn nur ein Zertifikat installiert ist, oder nicht zur Auswahl eines Clientzertifikats aufzufordern, wenn keines vorgelegt wurde. In diesen Fällen kann die Authentifizierung anhand eines Clientzertifikats im Hintergrund ausgeführt werden (im Fall von nur einem Zertifikat, deshalb keine Aufforderung) oder überhaupt nicht (im Fall von keinen installierten Zertifikaten, deshalb keine Aufforderung).

Schließlich kann der private Schlüssel eines Clientzertifikats eines Benutzers kennwortgeschützt sein. In diesem Fall müssen Benutzer möglicherweise auch das Kennwort eingeben, das sie bei der Option festgelegt haben, als sie sich für den Schutz dieses Clientzertifikats oder Schlüsselspeichers entschieden haben. (In der Regel erfolgt eine derartige Aufforderung einmal pro Sitzung.)

SSH

Auf dieser Seite können Administratoren die Standardrichtlinie für die SSH-Schnittstelle für alle neuen Benutzer in der Organisation festlegen. Änderungen der Richtlinie auf dieser Seite können bei Bedarf auch auf alle vorhandenen Benutzer in der Organisation angewendet werden. Es stehen folgende Richtlinienoptionen zur Verfügung:

  • Allow SSH Access by Default (SSH-Zugriff standardmäßig zulassen): Legt fest, ob es Benutzern gestattet ist, über SSH auf das System zuzugreifen.
  • SSH Key Required by Default (SSH-Schlüssel standardmäßig erforderlich): Legt fest, ob Benutzer, die sich an der SSH-Schnittstelle anmelden, einen gültigen SSH-Client-Schlüssel vorweisen müssen, um sich am System zu authentifizieren.
  • Password also required with valid SSH Key by Default (Mit einem gültigen SSH-Schlüssel ist standardmäßig auch ein Kennwort erforderlich): Legt fest, ob Benutzer, die sich an der SSH-Schnittstelle mit einem gültigen SSH-Client-Schlüssel anmelden, auch ein gültiges Kennwort eingeben müssen, um sich am System zu authentifizieren.
  • Holding Tank retention (Haltetank-Zurückhaltung): Legt fest, wie lange in den Zertifikat-/Schlüssel-Haltetank eingegebene SSL-Clientzertifikate und SSH-Client-Schlüssel dort verbleiben. Zertifkate oder Schlüssel, die diese Anzahl von Tagen überschreiten, werden aus dem Haltetank entfernt.

Hier erfolgt auch die Verwaltung von Benutzer-Haltetank-Schlüsseln. Weitere Informationen zum Haltetank für SSH-Client-Schlüssel finden Sie auf der Dokumentseite Haltetank für SSH-Schlüssel.