Authentifizierung

Identitäten-Liste

In dieser Tabelle fassen Sie weitere entfernte Identitäten in einer Gruppe zusammen.





Name
Enthält den eindeutigen Namen dieses Eintrages.
Identität
Listet die weiteren entfernten Identitäten auf, die in dieser Gruppe zusammengefasst sind. Diese Identitäten konfigurieren Sie unter Identitäten.

Identitäten

In dieser Tabelle konfigurieren Sie weitere entfernte Identitäten. Diesen Namen wählen Sie bei der Gruppierung von entfernten Identitäten unter Identitäten-Liste aus.





Name
Enthält den eindeutigen Namen dieses Eintrages.
Entfernte Authentifizierung
Legt die Authentifizierungsmethode für die entfernte Identität fest.
Entf. Dig. Signature-Profil
Falls als Entfernte Authentifizierung "Digital-Signature" ausgewählt wird, dann geben Sie hier den Profilnamen des entfernten Digital-Signatur-Profils an.
Entfernter Identitätstyp
Zeigt den ID-Typ an, den das Gerät von der entfernten Identität erwartet. Entsprechend interpretiert das Gerät die Eingabe unter "Entfernte Identität". Mögliche Angaben sind:
  • Keine Identität: Das Gerät akzeptiert jede ID des entfernten Gerätes. Eine Angabe im Feld "Entfernte Identität" ignoriert das Gerät.
  • IPv4-Adresse: Das Gerät erwartet eine IPv4-Adresse als entfernte ID.
  • IPv6-Adresse: Das Gerät erwartet eine IPv6-Adresse als entfernte ID.
  • Domänen-Name (FQDN): Das Gerät erwartet einen Domänen-Namen als entfernte ID.
  • E‑Mail-Adresse (FQUN): Das Gerät erwartet eine E‑Mail-Adresse als entfernte ID.
  • ASN.1-Distinguished-Name: Das Gerät erwartet einen Distinguished Name als entfernte ID.
  • Key-ID (Gruppenname): Das Gerät erwartet den Gruppennamen als entfernte ID.
Entfernte Identität
Enthält die entfernte Identität. Die Bedeutung dieser Eingabe ist abhängig von der Einstellung unter "Entfernter Identitätstyp".
Entferntes Passwort
Enthält das Passwort der entfernten Identität.
Entfernter Zertifikats-ID-Check
Diese Option bestimmt, ob das Gerät prüft, ob die angegebene entfernte Identität im empfangenen Zertifikat enthalten ist.
OCSP-Überprüfung
Mit dieser Einstellung aktivieren Sie die Echtzeitüberprüfung eines Zertifikates via Online Certificate Status Protocol (OCSP), welche den Gültigkeitsstatus des Zertifikats der Gegenstelle abfragt. Um die OCSP-Prüfung für einzelne VPN-Verbindungen zu verwenden, müssen Sie zunächst den globalen OCSP-Client für VPN-Verbindungen aktivieren und anschließend Profillisten gültiger Zertifizierungsstellen anlegen, bei denen das Gerät die Echtzeitprüfung durchführt.
Wichtig: Beachten Sie, dass die Prüfung via OCSP allein den Sperrstatus eines Zertifikates abfragt, jedoch nicht die mathematische Korrektheit seiner Signatur, seine Gültigkeitsdauer oder sonstige Nutzungsbeschränkungen prüft.
CRL Check
Mit dieser Einstellung aktivieren Sie die Überprüfung eines X.509-Zertifikats via Zertifikatssperrlisten (Certificate Revocation List, CRL), welche den Gültigkeitsstatus des Zertifikats der Gegenstelle abfragt.
Wichtig: Schalten Sie diese Überprüfung nur ab, wenn Sie die Überprüfung auf einem anderen Weg durchführen, z. B. über OSCP.

EAP-Profile

In dieser Tabelle konfigurieren Sie EAP-Profile. Diese wählen Sie bei der Authentifizierung aus, wenn Sie als Methode für die entfernte Authentifizierung EAP auswählen.





Name
Geben Sie diesem EAP-Profil einen Namen, über den es referenziert werden kann.
Ausschließlich EAP-Authentifzierung
Erlaubt optional die gegenseitige Authentifizierung der Gegenstellen innerhalb des EAP. Die Authentifizierung außerhalb des EAP entfällt dann. Siehe auch RFC 5998.

Passwort-Regeln

Preshared Key-Regeln erzwingen
Mit dieser Option haben Sie die Möglichkeit, das Erzwingen von Passwort-Regeln zu aktivieren oder zu deaktivieren. Es gelten dann die folgenden Regeln für die Pre-Shared Keys (PSK) bei IKEv2:
  • Die Länge des Passworts muss mindestens 32 Zeichen betragen.
  • Das Passwort muss mindestens 3 der 4 Zeichenklassen Kleinbuchstaben, Großbuchstaben, Zahlen und Sonderzeichen enthalten.
Anmerkung: Diese Regeln gelten nicht für PSK, die von einem RADIUS-Server verwaltet und bezogen werden.

www.lancom-systems.de

LANCOM Systems GmbH | A Rohde & Schwarz Company | Adenauerstr. 20/B2 | 52146 Würselen | Deutschland | E‑Mail info@lancom.de

LANCOM Logo