Zum Hauptinhalt springen

Benutzer, Rollen & Berechtigungen

Worum geht's hier?

Das Verwalten, wer auf die Greenbone-Weboberfläche zugreifen darf und was er tun kann: das Anlegen und Verwalten von Benutzern, der Umgang mit Rollen (einschließlich des Super-Administrators), das Gruppieren von Benutzern mit Gruppen, feingranulare Berechtigungen (Befehls-, Ressourcen- und Super-Berechtigungen) sowie die Integration einer zentralen Benutzerverwaltung mit einem LDAPS- oder RADIUS-Server.

Quellenumfang

Basiert auf dem Handbuch der Greenbone Enterprise Appliance (GOS 22.04 / OPENVAS SCAN 22.04), Kapitel 9, geprüft im Juni 2026. Das Zugriffssteuerungsmodell — Benutzer, Rollen, Gruppen und Berechtigungen — ist in der kostenlosen Community Edition identisch.

Die Appliance erlaubt die Definition und Verwaltung mehrerer Benutzer mit unterschiedlichen Rollen und Berechtigungen. Der erste Benutzer — der Web-/Scan-Administrator — wird während der Initialisierung im GOS-Administrationsmenü angelegt. Mit diesem Benutzer können weitere Benutzer angelegt und verwaltet werden (§9.1).

Die Zugriffssteuerung kombiniert vier Bausteine:

  • Rollen definieren ein rollenbasiertes Berechtigungskonzept. Die Durchsetzung von Rollen ist im zugrunde liegenden Greenbone Management Protocol (GMP) implementiert, nicht in der Weboberfläche, und betrifft daher alle GMP-Clients. Lese- und Schreibzugriff können getrennt zugewiesen werden.
  • Gruppen dienen hauptsächlich der logischen Gruppierung von Benutzern.
  • Host Access beschränkt jeden Benutzer auf einen erlaubten oder verweigerten IP-Adressbereich; die Appliance verweigert das Scannen aller anderen Adressen.
  • Berechtigungen gewähren bestimmte Aktionen und können ĂĽber Gruppen und Rollen mehreren Benutzern auf einmal zugewiesen werden.

Die Benutzerverwaltung erfolgt vollständig auf der Appliance — externe Quellen werden nicht unterstützt. Zur Unterstützung zentraler Authentifizierung und Passwortsynchronisation kann die Appliance in einen zentralen LDAPS- oder RADIUS-Server integriert werden, der ausschließlich zur Überprüfung des Passworts beim Login verwendet wird (siehe Abschnitt 5).

hinweis

Dieses Kapitel dokumentiert alle möglichen Menüoptionen. Nicht alle Appliance-Modelle unterstützen sie alle — prüfe die Modelltabellen in Kapitel 3 des Handbuchs, ob eine Funktion für dein Appliance-Modell verfügbar ist.

1. Benutzer​

Einen Benutzer anlegen​

Nur Administratoren

Nur Administratoren dürfen weitere Benutzer anlegen und verwalten (§9.1.1).

  1. Melde dich als Administrator an.
  2. Wähle in der Menüleiste Administration und dann Users.
  3. Lege mit der Erstellen-Aktion einen neuen Benutzer an.
  4. Definiere den Benutzer.
  5. Klicke auf Create. Der Benutzer wird angelegt und auf der Seite Users angezeigt.

Die folgenden Benutzerdetails können definiert werden (§9.1.1.1):

  • Login Name — der Name, der fĂĽr die Anmeldung verwendet wird. Nur alphanumerische Zeichen sowie Bindestrich, Unterstrich und Punkt sind erlaubt. Bei Verwendung einer zentralen Benutzerverwaltung können je nach LDAP- oder RADIUS-Server Längen- und Zeichenbeschränkungen gelten, und der Benutzer muss mit exakt demselben Namen (rDN) angelegt werden, wie er vom Server verwendet wird.
  • Authentication — die Anmeldemethode:
    • Password fĂĽr die lokale Authentifizierung mit dem Login-Namen und einem Passwort. Das Passwort kann beliebige Zeichen enthalten und hat praktisch keine Längenbeschränkung. Sonderzeichen mĂĽssen auf allen Tastaturen verfĂĽgbar sein und von jeder Client-Software und jedem Betriebssystem korrekt unterstĂĽtzt werden; das Kopieren und EinfĂĽgen von Sonderzeichen kann zu ungĂĽltigen Passwörtern fĂĽhren.
    • LDAP Authentication Only fĂĽr die zentrale Benutzerverwaltung (siehe Abschnitt 5).
    • RADIUS Authentication Only fĂĽr die zentrale Benutzerverwaltung (siehe Abschnitt 5).
  • Roles — ein Benutzer kann mehrere Rollen haben. Rollen definieren die GMP-Berechtigungen. Die Rollen Admin, User, Info, Observer, Guest und Monitor sind verfĂĽgbar, dazu beliebige benutzerdefinierte Rollen. Soll ein Benutzer mit einer benutzerdefinierten Rolle die Weboberfläche nutzen können, benötigt die Rolle mindestens die Berechtigungen authenticate, get_settings und help.
  • Groups — ein Benutzer kann Mitglied mehrerer Gruppen sein.
  • Host Access — die Hosts, auf denen der Benutzer Scans ausfĂĽhren darf.

Host Access (Whitelist vs. Blacklist)​

Host Access verwendet entweder eine Whitelist oder eine Blacklist:

  • Whitelist — das Scannen aller Systeme ist generell verweigert; nur ausdrĂĽcklich aufgefĂĽhrte Systeme dĂĽrfen gescannt werden.
  • Blacklist — das Scannen aller Systeme ist generell erlaubt; nur ausdrĂĽcklich aufgefĂĽhrte Systeme dĂĽrfen nicht gescannt werden.

Beschränkungen gelten auch für Administratoren, allerdings dürfen sie sie selbst entfernen. Normale Benutzer und Rollen ohne Zugriff auf die Benutzerverwaltung können die Beschränkungen nicht umgehen.

tipp

Verwende generell die Whitelist-Methodik. So wird sichergestellt, dass Benutzer nicht versehentlich Systeme scannen, die außerhalb ihrer Zuständigkeit liegen, im Internet erreichbar sind oder schlecht auf fehlerhafte Scans reagieren.

Es können sowohl Systemnamen als auch IPv4- und IPv6-Adressen eingegeben werden — einzelne Adressen, Bereiche und Netzsegmente — beliebig gemischt als kommagetrennte Liste. Beispiele:

  • 192.168.15.5 — IPv4-Adresse
  • 192.168.15.5-192.168.15.27 — IPv4-Bereich, Langform
  • 192.168.15.5-27 — IPv4-Bereich, Kurzform
  • 192.168.15.128/25 — IPv4-Bereich, CIDR-Notation
  • 2001:db8::1 — IPv6-Adresse
  • 2001:db8::1-2001:db8::15 — IPv6-Bereich, Langform
  • 2001:db8::1-15 — IPv6-Bereich, Kurzform
  • 2001:db8::/120 — IPv6-Bereich, CIDR-Notation

Standardmäßig ist die CIDR-Subnetzmaske auf maximal 20 für IPv4 und 116 für IPv6 beschränkt, weil die maximale Anzahl an IP-Adressen pro Ziel auf den meisten Appliances 4096 beträgt. Wo das Maximum höher liegt (zum Beispiel bei der Greenbone Enterprise 6500), können entsprechend größere Subnetzmasken konfiguriert werden.

Benutzer verwalten​

Wähle als Administrator Administration und dann Users, um alle Benutzer mit ihrem Name, ihren Roles, Groups, Host Access und Authentication Type (Local, RADIUS oder LDAP) anzuzeigen. Globale Benutzer — die im GOS-Administrationsmenü angelegt wurden — sind entsprechend gekennzeichnet (§9.1.1.2).

Für jeden Benutzer stehen folgende Aktionen zur Verfügung: löschen, bearbeiten, klonen und als XML-Datei exportieren. Mit den Steuerelementen unterhalb der Liste können mehrere Benutzer gleichzeitig gelöscht oder exportiert werden.

vorsicht

Ein Benutzer kann nur gelöscht werden, wenn er derzeit nicht angemeldet ist und nicht der Super-Administrator ist (§9.1.1.2).

Klicke auf einen Benutzernamen und öffne die Detailseite, um drei Register zu sehen: Information, User Tags und Permissions (Berechtigungen des Benutzers oder von anderen Benutzern, Rollen und Gruppen auf die Ressourcen des Benutzers). Die Detailseite bietet außerdem Aktionen, um die Benutzerliste anzuzeigen sowie einen Benutzer anzulegen, zu klonen, zu bearbeiten, zu löschen und zu exportieren.

Gleichzeitige Anmeldung​

Zwei verschiedene Benutzer können gleichzeitig angemeldet sein. Möchte sich derselbe Benutzer mehr als einmal gleichzeitig anmelden, muss die Anmeldung von einem anderen PC oder mit einem anderen Browser erfolgen — eine weitere Anmeldung im selben Browser macht die erste Anmeldung ungültig (§9.1.2).

Gast-Login​

Der Gastbenutzer hat nur eingeschränkten Zugriff. Um Gastzugriff zu erlauben, lege einen Benutzer an und weise ihm die Rolle Guest zu; mit Kenntnis des Passworts kann sich der Gast anmelden und erhält die Seite Dashboards angezeigt. Um einem Gast die Anmeldung ohne Passwort zu erlauben, muss die Funktion im GOS-Administrationsmenü aktiviert werden (§9.1.3).

warnung

Ein passwortloser Gast-Login entfernt die Passwortbarriere zur Weboberfläche. Aktiviere ihn nur, wenn die eingeschränkte Zugriffsebene Guest und deine Netzwerkkontrollen dies vertretbar machen.

2. Rollen​

Die Weboberfläche unterstützt das Anlegen und Konfigurieren benutzerdefinierter Rollen. Jede Rolle legt fest, welche Optionen der Weboberfläche ein Benutzer ansehen und ändern kann. Die folgenden Rollen sind standardmäßig verfügbar (§9.2):

RolleWas sie erlaubt
AdminStandardmäßig alle Berechtigungen. Insbesondere darf sie andere Benutzer, Rollen und Gruppen anlegen und verwalten.
UserStandardmäßig alle Berechtigungen außer der Verwaltung von Benutzern, Rollen und Gruppen. Darf keine Feeds synchronisieren und verwalten; kein Zugriff auf die Seite Administration.
Info(Information Browser) Nur Lesezugriff auf VTs und SCAP-Informationen; alle anderen Informationen sind nicht zugänglich. Kann persönliche Einstellungen ändern, z. B. das Passwort.
GuestEntspricht Info, darf aber Benutzereinstellungen nicht ändern.
MonitorZugriff auf die Systemberichte der Appliance.
ObserverLesezugriff auf das System; darf keine neuen Scans starten oder anlegen. Lesezugriff nur auf die Scans, fĂĽr die er als Beobachter eingetragen wurde.
Super AdminZugriff auf alle Objekte aller Benutzer. Hat keinen Bezug zum Super-User (su/root) im GOS-Administrationsmenü. Kann nicht in der Weboberfläche konfiguriert und nicht über die Weboberfläche gelöscht werden — Verwaltung über das GOS-Administrationsmenü.
hinweis

Nur Administratoren dürfen weitere Rollen anlegen und verwalten. Die Standardrollen können nicht verändert werden, sie können aber geklont und der Klon verändert werden. So bleibt das Verhalten über Software-Updates hinweg konsistent.

Eine bestehende Rolle klonen​

Wenn eine bestehende Rolle der Anforderung weitgehend entspricht, klone sie (§9.2.1):

  1. Melde dich als Administrator an.
  2. Wähle Administration und dann Roles.
  3. Klone eine bestehende Rolle ĂĽber die Klon-Aktion in ihrer Zeile.
  4. Bearbeite den Klon.
  5. Gib den Rollennamen im Feld Name ein.
  6. Wähle in der Dropdown-Liste Users die Benutzer aus, die die Rolle haben sollen.
  7. Füge eine Berechtigung hinzu, indem du sie in der Dropdown-Liste Name auswählst und auf Create Permission klickst.
  8. Füge eine Super-Berechtigung hinzu, indem du die Gruppe in der Dropdown-Liste Group auswählst und auf Create Permission klickst. Lösche eine Berechtigung über die Lösch-Aktion in der Liste General Command Permissions.
  9. Klicke auf Save.

Eine Rolle anlegen​

Um mit einer leeren Rolle mit eingeschränkter Funktionalität zu beginnen (§9.2.2):

  1. Melde dich als Administrator an.
  2. Wähle Administration und dann Roles.
  3. Lege mit der Erstellen-Aktion eine neue Rolle an.
  4. Definiere die Rolle. Details:
    • Name — Buchstaben und Zahlen, höchstens 80 Zeichen.
    • Comment (optional) — beschreibt die Rolle genauer.
    • Users — wähle in der Dropdown-Liste Users die Benutzer mit dieser Rolle aus; alternativ verwalte Rollen im Benutzerprofil.
  5. Klicke auf Save. Die Rolle erscheint auf der Seite Roles.
  6. Bearbeite die neu angelegte Rolle.
  7. Füge eine Berechtigung hinzu, indem du sie in der Dropdown-Liste Name auswählst und auf Create Permission klickst.
  8. Füge eine Super-Berechtigung hinzu, indem du die Gruppe in der Dropdown-Liste Group auswählst und auf Create Permission klickst. Lösche eine Berechtigung über die Lösch-Aktion in General Command Permissions.
  9. Klicke auf Save.
hinweis

Damit eine Rolle in der Weboberfläche nutzbar ist, benötigt sie mindestens die Berechtigungen authenticate, get_settings und help. Die Berechtigung write_settings lässt Benutzer ihr eigenes Passwort, ihre Zeitzone und andere persönliche Einstellungen ändern.

Rollen verwalten​

Wähle Administration und dann Roles, um alle Rollen nach Name aufzulisten; alle Standardrollen sind globale Rollen und sind als solche gekennzeichnet. Verfügbare Aktionen: in den Papierkorb verschieben (nur selbst erstellte Rollen), bearbeiten (nur selbst erstellte Rollen), klonen und als XML exportieren. Mehrere Rollen können gleichzeitig in den Papierkorb verschoben oder exportiert werden (§9.2.3).

Die Detailseite einer Rolle hat die Register Information, General Command Permissions (GMP-Befehle, die diese Rolle ausfĂĽhren kann), User Tags und Permissions.

Einem Benutzer Rollen zuweisen​

Ein Benutzer kann mehr als eine Rolle haben, um Berechtigungen zu bündeln. Rollen werden beim Anlegen eines neuen Benutzers zugewiesen. Sind mehrere Rollen zugewiesen, werden die Berechtigungen der Rollen zusammengeführt (§9.2.4).

Super-Administrator​

Die Rolle Super Admin ist die höchste Zugriffsebene (§9.2.5).

Die Rolle Admin kann Benutzer anlegen, ändern und löschen und kann Berechtigungen ansehen, ändern und löschen — unterliegt aber selbst diesen Berechtigungen. Legt ein Benutzer beispielsweise eine private Scankonfiguration an und teilt sie nicht, kann der Administrator nicht darauf zugreifen.

Der Super Admin eignet sich eher für Diagnosezwecke: Er ist von Berechtigungsbeschränkungen ausgenommen und kann jede Konfigurationseinstellung jedes Benutzers ansehen und bearbeiten.

warnung

Der Super-Administrator muss im GOS-Administrationsmenü angelegt werden, nicht in der Weboberfläche, und kann nur vom Super-Administrator bearbeitet werden. Er kann nicht über die Weboberfläche gelöscht werden. Da er alle Berechtigungsbeschränkungen umgeht, reserviere ihn für die Diagnose.

3. Gruppen​

Gruppen fassen Benutzer logisch zusammen. Es kann eine unbegrenzte Anzahl von Gruppen angelegt werden, und Berechtigungen können Gruppen zugewiesen werden. Standardmäßig sind keine Gruppen eingerichtet (§9.3).

Eine Gruppe anlegen​

Nur Administratoren

Nur Administratoren dürfen Gruppen anlegen und verwalten (§9.3.1).

  1. Melde dich als Administrator an.
  2. Wähle Administration und dann Groups.
  3. Lege mit der Erstellen-Aktion eine neue Gruppe an.
  4. Definiere die Gruppe.
  5. Klicke auf Save. Die Gruppe erscheint auf der Seite Groups.

Gruppendetails:

  • Name — Buchstaben und Zahlen, höchstens 80 Zeichen.
  • Comment (optional) — beschreibt die Gruppe genauer.
  • Users — wähle in der Dropdown-Liste Users die Mitglieder aus; alternativ verwalte Mitgliedschaften im Benutzerprofil.
  • Special Groups — aktiviere dieses Kontrollkästchen, damit alle Gruppenmitglieder Lese- und Schreibzugriff auf alle Ressourcen der Gruppe haben.

Gruppen verwalten​

Wähle Administration und dann Groups, um alle Gruppen nach Name aufzulisten. Verfügbare Aktionen: in den Papierkorb verschieben, bearbeiten, klonen und als XML exportieren. Mehrere Gruppen können gleichzeitig in den Papierkorb verschoben oder exportiert werden. Die Detailseite hat die Register Information, User Tags und Permissions (§9.3.2).

4. Berechtigungen​

Wähle Administration und dann Permissions, um alle auf dem System zugewiesenen Berechtigungen anzuzeigen. Bei mehreren Rollen können leicht Hunderte von Berechtigungen entstehen (§9.4).

Jede Berechtigung bezieht sich auf genau ein Subjekt und ermöglicht diesem Subjekt, eine zugehörige Aktion auszuführen. Subjekte können Benutzer, Rollen oder Gruppen sein. Es gibt zwei Arten von Berechtigungen:

  • Befehlsberechtigungen — mit GMP verknĂĽpft. Jede gilt fĂĽr einen bestimmten GMP-Befehl; der Name der Berechtigung ist der jeweilige Befehl.
    • Befehlsebene — keine Ressource angegeben; erlaubt dem Subjekt, den gegebenen GMP-Befehl auszufĂĽhren.
    • Ressourcenebene — eine Ressource ist angegeben; erlaubt dem Subjekt, den GMP-Befehl auf einer bestimmten Ressource auszufĂĽhren.
  • Super-Berechtigungen — siehe „Super-Berechtigungen vergeben" weiter unten.
hinweis

Üblicherweise werden Berechtigungen über die Rollenverwaltung zugewiesen. Das direkte Anlegen und Verwalten von Berechtigungen auf der Seite Permissions wird nur erfahrenen Benutzern empfohlen, die nach einer bestimmten Berechtigung suchen (§9.4.1).

Berechtigungen anlegen und verwalten​

Um eine Berechtigung auf der Seite Permissions anzulegen (§9.4.1.1):

  1. Wähle Administration und dann Permissions.
  2. Lege mit der Erstellen-Aktion eine neue Berechtigung an.
  3. Definiere die Berechtigung.
  4. Klicke auf Save.

Berechtigungsdetails:

  • Name — die zu gewährende Berechtigung.
  • Comment (optional).
  • Subject — der Benutzer, die Rolle oder die Gruppe, der die Berechtigung gewährt werden soll.
  • Resource Type — nur fĂĽr die Berechtigung Super (Has super access); der Ressourcentyp (Benutzer, Rolle oder Gruppe), auf den das Subjekt Super-Zugriff hat.
  • User/role/group ID — nur fĂĽr Super (Has super access); die ID des Benutzers, der Rolle oder der Gruppe, auf die das Subjekt Super-Zugriff hat.
  • Description — textliche Beschreibung.
hinweis

Die Subjekte, denen Berechtigungen zugewiesen werden können, hängen von der Rolle des aktuell angemeldeten Benutzers ab. Benutzer können anderen Benutzern Berechtigungen gewähren, während Administratoren Benutzern, Rollen und Gruppen Berechtigungen gewähren können (§9.4.1.1).

Die Listenseite zeigt Name (eine globale Berechtigung ist als solche gekennzeichnet), Description, Resource Type, Resource, Subject Type und Subject. Aktionen: in den Papierkorb verschieben, bearbeiten, klonen (alle nur für selbst erstellte Berechtigungen) und als XML exportieren (§9.4.1.3).

Eine Berechtigung von einer Ressourcen-Detailseite anlegen​

Berechtigungen für eine Ressource können direkt von der Detailseite der Ressource aus gewährt werden (§9.4.1.2). Zum Beispiel:

  1. Wähle Scans und dann Tasks.
  2. Klicke auf einen Task-Namen.
  3. Ă–ffne die Detailseite des Tasks.
  4. Ă–ffne das Register Permissions.
  5. Lege im Abschnitt Permissions eine neue Berechtigung an.
  6. Definiere die Berechtigung.
  7. Klicke auf Save.

Auf diese Weise können zwei Berechtigungstypen gewährt werden:

  • read — erlaubt das Ansehen der Ressource auf Listenseiten und auf ihrer Detailseite.
  • write — erlaubt das Ansehen und Ă„ndern (aber nicht das Löschen) der Ressource.

Einige Ressourcentypen fĂĽgen automatisch weitere Berechtigungen hinzu:

  • Tasks — das Gewähren von write fĂĽgt start_task, stop_task und resume_task hinzu.
  • Alerts — das Gewähren von write fĂĽgt test_alert hinzu.
  • Report formats und scanners — das Gewähren von write fĂĽgt verify_report_format bzw. verify_scanner hinzu.

Bei einigen Ressourcentypen kannst du wählen, ob die Berechtigungen auch für verwandte Ressourcen gelten:

  • Tasks — Alerts und deren Filter, das Target samt seiner Credentials und Portliste, der Zeitplan, der Scanner und die Scankonfiguration.
  • Targets — Credentials und die Portliste.
  • Alerts — der fĂĽr den Bericht verwendete Filter.

Berechtigungen können auch nur für die verwandten Ressourcen angelegt werden.

Super-Berechtigungen vergeben​

Jede Ressource auf der Appliance ist entweder global (entsprechend gekennzeichnet) oder einem bestimmten Benutzer zugehörig. Nicht-globale Ressourcen können nur von ihrem Eigentümer angesehen und genutzt werden; das Gewähren einzelner Berechtigungen, um sie anderen verfügbar zu machen, ist aufwendig. Super-Berechtigungen lösen dies, indem sie alle Objekte anderer Benutzer, Rollen oder Gruppen zugänglich machen (§9.4.2).

Ein Benutzer kann Super-Berechtigungen erhalten fĂĽr: User, Role, Group oder Any.

warnung

Die Super-Berechtigung Any kann nicht explizit gesetzt werden — sie ist auf den Super-Administrator beschränkt und wird nur durch das Anlegen eines solchen gesetzt. Ein Benutzer kann Super-Berechtigungen nur für selbst erstellte Objekte setzen; nur der Super-Administrator kann jedem anderen Benutzer, jeder anderen Rolle oder Gruppe Super-Berechtigungen gewähren. Super-Berechtigungen gewähren vollständigen Zugriff auf die Ressourcen eines Subjekts, weise sie daher bewusst zu.

So weist du eine Super-Berechtigung zu:

  1. Klicke auf der Seite Users, Roles oder Groups auf den Namen des Benutzers, der Rolle oder der Gruppe, die Super-Berechtigungen erhalten soll.
  2. Ă–ffne deren Detailseite; die Ressourcen-ID wird in der oberen rechten Ecke angezeigt.
  3. Notiere oder kopiere die ID.
  4. Wähle Administration und dann Permissions.
  5. Lege eine neue Berechtigung an.
  6. Wähle in der Dropdown-Liste Name die Option Super (Has super access).
  7. Wähle den Radiobutton für den Subjekttyp, der Super-Berechtigungen haben soll.
  8. Wähle in der entsprechenden Dropdown-Liste den Benutzer, die Rolle oder die Gruppe aus.
  9. Wähle den Ressourcentyp in der Dropdown-Liste Resource Type.
  10. Gib die Ressourcen-ID in das Feld ID ein oder fĂĽge sie ein.
  11. Klicke auf Save.
tipp

Super-Berechtigungen können ganzen Gruppen zugewiesen werden, sodass alle Mitglieder einer Gruppe auf alle von anderen Mitgliedern erstellten Ressourcen zugreifen können.

Anderen Benutzern Lesezugriff gewähren​

Jeder Benutzer kann eine unbegrenzte Anzahl selbst erstellter Ressourcen teilen. Dazu benötigt der Benutzer die globale Berechtigung get_users und die spezifische Berechtigung get_users für den Benutzer, der Lesezugriff erhalten soll (§9.4.3.1).

tipp

Der einfachste und empfohlene Weg, selbst erstellte Ressourcen zu teilen, besteht darin, ein Administratorkonto zu verwenden und — mit diesem Konto — die Benutzerkonten anzulegen, die Lesezugriff erhalten sollen. Die anderen Methoden unten sind umständlicher und zeitaufwendiger.

Voraussetzungen für Administratoren​

Standardmäßig besitzen Administratoren bereits die globale Berechtigung get_users. Ein Administrator erhält die spezifische Berechtigung get_users für ein Konto auf zwei Wegen:

  • Das Konto selbst anlegen — Administratoren besitzen automatisch die spezifische Berechtigung get_users fĂĽr Konten, die sie angelegt haben.
  • Sie von einem Super-Administrator gewähren lassen: Ă–ffne als Super-Administrator Administration und dann Users, öffne die Details des Zielkontos und das Register Permissions, lege eine Berechtigung an, wähle read in der Dropdown-Liste Grant, wähle den Radiobutton User, wähle den Administrator aus und klicke auf Save.

Voraussetzungen für normale Benutzer​

Normale Benutzer besitzen die globale Berechtigung get_users standardmäßig nicht. Füge sie hinzu, indem du eine dedizierte Rolle anlegst:

  1. Wähle als Administrator Administration und dann Roles.
  2. Lege eine neue Rolle an.
  3. Gib GrantReadPriv in das Feld Name ein und klicke auf Save.
  4. Bearbeite die neue Rolle; wähle im Abschnitt New Permission in der Dropdown-Liste Name die Option get_users.
  5. Klicke auf Create Permission (sie erscheint in General Command Permissions) und auf Save.
  6. Wähle Administration und dann Users, bearbeite den betreffenden Benutzer, füge die Rolle GrantReadPriv in der Liste Roles hinzu und klicke auf Save.

Ein Super-Administrator kann einem Benutzer eine spezifische Berechtigung get_users auf dieselbe Weise wie einem Administrator gewähren (öffne die Kontodetails und das Register Permissions, wähle read in Grant, wähle den Radiobutton User, wähle den Benutzer aus und klicke auf Save).

Lesezugriff gewähren​

Sobald ein Benutzer sowohl die globale als auch die spezifische Berechtigung get_users besitzt, kann er eine Ressource teilen:

  1. Klicke auf den Namen der zu teilenden Ressource und öffne deren Detailseite; die Objekt-ID wird in der oberen rechten Ecke angezeigt.
  2. Notiere oder kopiere die ID.
  3. Wähle Administration und dann Permissions und lege eine neue Berechtigung an.
  4. Wähle in der Dropdown-Liste Name die Leseberechtigung für den Objekttyp:
    • Filter — get_filters
    • Scankonfiguration — get_configs
    • Alert — get_alerts
    • Note — get_notes
    • Override — get_overrides
    • Tag — get_tags
    • Target — get_targets
    • Task mit Bericht — get_tasks
    • Schedule — get_schedules
  5. Wähle den Radiobutton User.
  6. Wähle in der entsprechenden Dropdown-Liste den Benutzer aus, mit dem das Objekt geteilt werden soll.
  7. Gib die Ressourcen-ID in das Feld ID ein oder fĂĽge sie ein.
  8. Klicke auf Save.
hinweis

Ressourcen können auch mit Rollen oder Gruppen geteilt werden. Dies erfordert die globale und spezifische Berechtigung get_groups (Lesezugriff auf eine Gruppe) bzw. get_roles (Lesezugriff auf eine Rolle) nach demselben Prinzip. Ausnahme: Benutzer mit einer Standardrolle besitzen bereits die spezifischen Berechtigungen get_roles für alle Standardrollen (§9.4.3.2).

5. Zentrale Benutzerverwaltung (LDAPS / RADIUS)​

In größeren Umgebungen ist die Passwortsynchronisation schwierig, und das Anlegen oder Zurücksetzen von Passwörtern ist aufwendig. Die Appliance unterstützt einen zentralen Passwortspeicher über LDAPS oder RADIUS. Der Dienst wird ausschließlich zur Authentifizierung auf Benutzerbasis verwendet: Benutzer müssen für diese Authentifizierungsmethode konfiguriert sein und müssen außerdem auf der Appliance existieren (§9.5).

vorsicht

Voraussetzung für die zentrale Authentifizierung ist, dass Benutzer mit den gleichen Namen wie die Objekte im LDAPS-Baum oder auf dem RADIUS-Server benannt sind. Die Appliance fügt im externen Verzeichnis keine Benutzer hinzu, ändert oder entfernt sie und gewährt keinem Verzeichnisbenutzer automatisch Zugriff auf die Appliance.

LDAPS​

Die Appliance unterstützt nur verschlüsselte Verbindungen über LDAP mit StartTLS (Port 389) oder LDAPS über SSL/TLS (Port 636). Der Server muss seine Dienste über SSL/TLS bereitstellen (§9.5.1).

Speichere zuerst das Server-Zertifikat. Um die Identität des LDAPS-Servers zu verifizieren, muss das Zertifikat der ausstellenden Zertifizierungsstelle (CA) auf der Appliance gespeichert werden, exportiert als Base64-kodierte Datei (oft eine .pem-Datei, die mit der Markierung BEGIN CERTIFICATE beginnt). Ist die CA eine Intermediate-CA, muss die vollständige Zertifikatskette (Issuing CA plus Root CA) importiert werden — üblich, wenn eine offizielle CA verwendet wird (§9.5.1.1).

Mit dem LDAPS-Baum verbinden (§9.5.1.2):

  1. Melde dich als Administrator an.
  2. Wähle Administration und dann LDAP.
  3. Öffne die Bearbeiten-Aktion und aktiviere das Kontrollkästchen Enable.
  4. Gib den LDAPS-Host im Feld LDAP Host ein. Es kann nur ein System eingegeben werden, per IP-Adresse oder Name. Die Appliance greift ĂĽber SSL/TLS auf den Host zu; ohne SSL/TLS wird die LDAPS-Authentifizierung abgelehnt.
  5. Gib den Distinguished Name im Feld Auth. DN ein. Der Platzhalter %s ersetzt den Benutzernamen. Beispiele:
    • cn=%s,ou=people,dc=domain,dc=de — funktioniert fĂĽr jeden LDAPS-Server mit den richtigen Attributen, unter Verwendung von cn. Alle Benutzer mĂĽssen im selben Zweig und auf derselben Ebene des Baums liegen.
    • uid=%s,ou=people,dc=domain,dc=de — verwendet uid als Filter; ou=people,dc=domain,dc=de ist das Basisobjekt fĂĽr die Suche.
    • %s@domain.de — typischerweise Active Directory; der Speicherort des Benutzerobjekts ist irrelevant.
    • domain.de\%s — typischerweise Active Directory; der Speicherort des Benutzerobjekts ist irrelevant.
  6. Lade das Host-Zertifikat ĂĽber Browse hoch.
  7. Aktiviere optional Use LDAPS only, um StartTLS und Klartextverbindungen zu deaktivieren und nur LDAPS zuzulassen — nützlich, wenn der LDAP-Port durch eine Firewall blockiert wird.
  8. Klicke auf OK.

Wenn LDAPS aktiviert ist, wird die Option LDAP Authentication Only beim Anlegen oder Bearbeiten eines Benutzers verfügbar (standardmäßig deaktiviert). Aktiviere sie für Benutzer, die sich über LDAPS authentifizieren sollen. Der Benutzer muss bereits mit demselben Namen in LDAPS existieren.

warnung

Wenn die LDAPS-Authentifizierung nicht funktioniert, prĂĽfe, ob der Eintrag LDAP Host mit dem commonName des Zertifikats des LDAPS-Servers ĂĽbereinstimmt. Stimmen sie nicht ĂĽberein, verweigert die Appliance die Nutzung des Servers.

RADIUS​

RADIUS-Authentifizierung konfigurieren (§9.5.2):

  1. Melde dich als Administrator an.
  2. Wähle Administration und dann Radius.
  3. Öffne die Bearbeiten-Aktion und aktiviere das Kontrollkästchen Enable.
  4. Gib den Hostnamen oder die IP-Adresse im Feld RADIUS Host ein.
  5. Gib den gemeinsamen vorab geteilten geheimen SchlĂĽssel im Feld Secret Key ein.
  6. Klicke auf OK.

Wenn RADIUS aktiviert ist, wird die Option RADIUS Authentication Only beim Anlegen oder Bearbeiten eines Benutzers verfügbar (standardmäßig deaktiviert). Aktiviere sie für Benutzer, die sich über RADIUS authentifizieren sollen. Der Benutzer muss bereits mit demselben Namen auf dem RADIUS-Server existieren.

Verwandt​