Für die Authentifizierung mit Benutzernamen und Kennwörtern, die in einer Remotedatenbanktabelle gespeichert sind, kann MOVEit Transfer den MOVEit RADIUS/ODBC-Authentifizierungsdienst verwenden. Der Dienst akzeptiert RADIUS-Anforderungen von MOVEit Transfer und sucht daraufhin in einer lokalen ODBC-Quelle den eingegebenen Benutzernamen und das eingegebene Kennwort.

Dieser Mechanismus unterstützt fast jede Datenbank, da der Dienst eine beliebige ODBC-Verbindungszeichenfolge und generische SQL-Abfragen verwendet. (Beispiele für MySQL und SQL Server sind angegeben.)

Empfohlene Plattform

Der sicherste Weg zur Ausführung dieses Dienstes besteht darin, ihn auf demselben Computer wie den Datenbankserver zu installieren. In diesem Fall werden alle Benutzernamen und Kennwörter durch den verschlüsselten RADIUS-Kanal geschützt. Ein weniger sicherer Weg besteht in der Installation des Diensts auf einem anderen internen Computer. Der Benutzername und das Kennwort werden in diesem Fall zwischen MOVEit Transfer und dem Feld verschlüsselt, das den MOVEit RADIUS/ODBC-Authentifizierungsdienst ausführt. Zwischen dem MOVEit RADIUS/ODBC-Server und dem Datenbankserver erfolgt jedoch vermutlich keine Verschlüsselung. Der unsicherste Weg besteht darin, den Dienst auf dem MOVEit Transfer-System selbst zu installieren. Der Benutzername und das Kennwort werden in diesem Fall unverschlüsselt zwischen MOVEit Transfer und einem internen Datenbankserver gesendet.

Installation

Laden Sie zum Installieren des MOVEit RADIUS/ODBC-Authentifizierungsdienstes die folgenden Pakete herunter, und installieren Sie sie:

  • Microsoft .NET Framework Version 1.1 (oder höher)
  • MOVEit RADIUS-ODBC-Authentifizierung (verfügbar im Ordner /MOVEit/DMZ/Extras auf der Produktwebsite von MOVEit).

Der MOVEit RADIUS-ODBC-Authentifizierungsserver wird als Microsoft-Dienst installiert. Sie können ihn daher über die Systemsteuerung unter „Dienste“ oder über den Befehl net stop/start moveitradius an der Eingabeanforderung starten und anhalten. Im Gegensatz zu anderen MOVEit-Diensten hat der MOVEit RADIUS-ODBC-Dienst an sich keine Benutzeroberfläche. Vom Dienst ermittelte schwerwiegende Fehler werden im Anwendungsereignisprotokoll unter MOVEitRADIUS protokolliert.

Mit dem MOVEit RADIUS-ODBC-Authentifizierungspaket wird außerdem ein GUI-Konfigurationsclient installiert. Dieser Client kann über das Menü START unter Programme | MOVEit DMZ | Configure MOVEit RADIUS (MOVEit RADIUS konfigurieren) gestartet werden.

Konfiguration

Im folgenden Beispiel wird ein System namens dotnet.corp.stdnet.com ausgeführt MOVEit Transfer. Auf einem zweiten System namens jglshuttle.corp.stdnet.com werden der Datenbankdienst für Benutzernamen/Kennwörter und der MOVEit ODBC-RADIUS-Authentifizierungsdienst gehostet.

Die Benutzernamen und Kennwörter werden in der Datenbank (MySQL) radiustest in einer Tabelle namens userlookup gespeichert.

Ein Administrator richtet auf MOVEit Transfer eine Remote-RADIUS-Authentifizierungsquelle ein, die auf jglshuttle.corp.stdnet.com verweist, und gibt den geheimen Schlüssel ein.

RADIUSODBC04.gif" width="532" height="229" alt="RADIUSODBC04.gif (10704 bytes)"/>

Um den MOVEit RADIUS-ODBC-Dienst zu konfigurieren, ruft ein Administrator schließlich das Dienstprogramm Configure MOVEit Radius auf und gibt folgende Werte ein:

Die Werte in diesem Dialogfeld werden vom MOVEit RADIUS-ODBC-Dienst wie folgt verwendet:

  • UDP Port (UDP-Port): Der UDP-Port, an dem der Dienst Verbindungen abhört. Der Standardport lautet 1645.
  • Shared Secret (Geheimer Schlüssel) (und Again (Noch einmal)): Ein zum Verschlüsseln der RADIUS-Verbindung verwendeter Ausdruck. Dieser Wert MUSS mit dem auf MOVEit Transfer konfigurierten geheimen Schlüssel übereinstimmen.
  • (ODBC) Verbindung: Die ODBC-Verbindungszeichenfolge für die Verbindung mit der Datenbank und die Authentifizierung. Der exakte Wert dieser Zeichenfolge variiert zwischen den Datenbankanbietern. Um schnell die richtigen Werte für MySQL- oder SQL Server-Datenbanken einzugeben, klicken Sie direkt unter diesem Feld auf die entsprechende Schaltfläche Set for DB (Für DB festlegen). Eine sehr nützliche Liste mit Verbindungszeichenfolgen finden Sie unter http://www.connectionstrings.com.
  • (Datenbank) Host: Die IP-Adresse oder der Hostname des Datenbankdiensts für Benutzernamen/Kennwörter
  • (Database) Username ((Datenbank) Benutzername): Der für die VERBINDUNG mit der Datenbank für Benutzernamen/Kennwörter verwendete Benutzername
  • (Database) Password ((Datenbank) Kennwort): Das für die VERBINDUNG mit der Datenbank für Benutzernamen/Kennwörter verwendete Kennwort
  • (Database) Database ((Datenbank) Datenbank): Der NAME der Datenbank für Benutzernamen/Kennwörter
  • (Database) Table ((Datenbank) Tabelle): Der Name der TABELLE in der Datenbank für Benutzernamen/Kennwörter
  • (Database) Username Field ((Datenbank) Benutzernamenfeld): Der Name des Feldes in der Tabelle mit unverschlüsselten Benutzernamen
  • (Database) Password Field ((Datenbank) Kennwortfeld): Der Name des Feldes in der Tabelle mit unverschlüsselten Kennwörtern

Achten Sie darauf, ALLE Werte einzugeben, da der MOVEit RADIUS-ODBC-Dienst andernfalls vermutlich NICHT funktioniert.

Alle Werte, die in diesem Konfigurationsdialogfeld festgelegt wurden, werden im Registrierungseintrag HKLM\SOFTWARE\Standard Networks\MOVEitRadius gespeichert. Die Werte für Shared Secret (Geheimer Schlüssel) und Database Password (Datenbankkennwort) werden hier verschlüsselt und können nur in diesem Dialogfeld festgelegt werden. Um neue Einstellungen zu verwenden, muss der MOVEit RADIUS-Dienst neu gestartet werden.

Test

Eine Möglichkeit, die Funktionsfähigkeit des konfigurierten MOVEit RADIUS-ODBC-Dienstes zu testen, besteht darin, sich mit registrierten Benutzern einer ordnungsgemäß konfigurierten MOVEit Transfer-Sitzung anzumelden. RADIUS-Meldungen und Fehler werden im MOVEit Transfer-Debugprotokoll angezeigt, wenn als Debugebene DEBUG ALL (Alle debuggen) festgelegt ist.

MOVEit RADIUS-Testclient

Eine alternative Möglichkeit zum Testen der Funktionsfähigkeit dieses (oder eines anderen) RADIUS-Dienstes besteht darin, den MOVEitRADIUSTestClient im Ordner Distribution\MOVEit\DMZ\Extras auf der MOVEit-Support-Website herunterzuladen und auszuführen.

Anmerkung: WARNUNG: Installieren Sie den MOVEit RADIUS-Testclient NICHT auf dem MOVEit Transfer-Computer. Aufgrund der Interaktion einiger zugrundeliegender Bibliotheken, die sowohl vom Testclient als auch von MOVEit Transfer verwendet werden, kann es passieren, dass MOVEit Transfer RADIUS-Benutzer NICHT authentifiziert.

Installation

Für den RADIUS-Testclient ist das .NET Framework erforderlich. Installieren Sie vor dem Fortfahren das Framework. Bei der Installation des RADIUS-Testclients muss der Inhalt einer ZIP-Datei in einen einzelnen Ordner auf dem Testcomputer extrahiert werden. (Falls kein anderes ZIP-Dienstprogramm verfügbar ist, kann MOVEit Wizard diese Datei entzippen.) Wichtig ist, dass Sie den Testclient auf dem Computer installieren, von dem aus Sie den Test ausführen möchten. Bei der Ausführung des Clients von einem Remotedateiserver aus kann es zu Problemen mit Berechtigungen kommen, wodurch der Client möglicherweise nicht ordnungsgemäß ausgeführt wird. Wenn Sie den Fehler The .Net framework did not grant the permission... (Das .Net-Framwork hat keine Berechtigung erteilt) sehen, ist dies wahrscheinlich die Ursache.

Vorgang

Der MOVEit RADIUS-Testclient ist ein grafisches Dienstprogramm namens MOVEitExtAuthTest.exe. Doppelklicken Sie zum Ausführen auf die Datei. Geben Sie anschließend die entsprechenden Informationen für den zu testenden RADIUS-Server ein, und klicken Sie auf die Schaltfläche Authenticate (Authentifizieren).

Diagnostizieren von RADIUS

Die folgenden Screenshots zeigen den MOVEit RADIUS-Testclient in Aktion, während er eine erfolgreiche Anmeldung und drei verschiedene gängige Probleme ermittelt.

Verbunden, Authentifizierung erfolgreich:

Verbunden, Benutzername oder Kennwort fehlerhaft:

Verbindung fehlgeschlagen – Host ungültig

Verbindung fehlgeschlagen – RADIUS-Dienst hört nicht ab (falscher Server?):