Über Gateways
Das AuthPoint Gateway ist eine leichtgewichtige Softwareanwendung, die Sie in Ihrem Netzwerk installieren, sodass AuthPoint mit Ihren RADIUS-Clients, dem AuthPoint Agent for ADFS und Ihrer Active Directory oder LDAP-Datenbank kommunizieren kann. Das Gateway fungiert als RADIUS-Server und ist für die RADIUS-Authentifizierung und für die LDAP-synchronisierte Benutzer zur Authentifizierung mit SAML-Ressourcen erforderlich.
Das Gateway wird in Form von vier Diensten ausgeführt: Gateway, RADIUS, LDAP und ADFS. Das Gateway verwendet diese TCP-Dienst-Ports für die interne Kommunikation zwischen den verschiedenen Gateway-Diensten:
- WatchGuard AuthPoint Gateway-Dienst — TCP-Port 9000
- WatchGuard AuthPoint LDAP-Dienst — TCP-Port 9001
- WatchGuard AuthPoint RADIUS-Dienst — TCP-Port 9002
- WatchGuard AuthPoint ADFS-Dienst — TCP-Port 9003
Wenn andere Anwendungen diese TCP-Dienst-Ports verwenden, kann es sein, dass das Gateway nicht startet oder offline erscheint. Detaillierte Anweisungen zum Ändern des von einem Gateway-Dienst verwendeten Ports finden Sie unter Ändern Sie die AuthPoint Gateway-Dienst-Ports.
Die von Ihnen konfigurierten Gateways können Sie auf der Seite Gateway sehen. Für jedes Gateway gibt es eine Kachel, die die installierte Version, die IP-Adresse und den aktuellen Status des Gateways anzeigt.
- — Das Gateway ist installiert und kann mit WatchGuard Cloud kommunizieren
- — Das Gateway ist nicht installiert
- — Das Gateway ist nicht verbunden und kann nicht mit WatchGuard Cloud kommunizieren
Anforderungen
Sie können das AuthPoint Gateway auf diesen kompatiblen Betriebssystemen installieren:
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
Das AuthPoint Gateway benötigt Java. Sie müssen Amazon Coretto 8 oder höher, oder Java Runtime Environment 8u162 oder höher installieren. Wir empfehlen Corretto. Um Corretto herunterzuladen, gehen Sie zu aws.amazon.com/corretto/.
Java muss für das System und nicht für einen einzelnen Benutzer konfiguriert werden. Wenn Sie Java für einen einzelnen Benutzer konfigurieren, schlägt die Gateway-Installation fehl.
Das AuthPoint Gateway kann nicht auf Windows-Servern mit aktiviertem FIPS-Modus installiert werden.
Primäre und sekundäre Gateways
Sie können mehr als ein Gateway in einem Netzwerk konfigurieren. Für jedes primäre Gateway, das Sie konfigurieren, können Sie bis zu fünf sekundäre Gateways konfigurieren.
Primäres Gateway
Das primäre Gateway synchronisiert Ihre LDAP-Benutzer und aktiviert sowohl die RADIUS-Authentifizierung als auch die LDAP-Benutzer-Authentifizierung. Dieses Gateway ist der primäre Kommunikationspunkt zwischen AuthPoint und Ihren RADIUS-Clients, dem AuthPoint Agent for ADFS und Ihrer Active Directory- oder LDAP-Datenbank.
Sekundäres Gateway
Sie können sekundäre Gateways als Failover für die LDAP-Benutzer-Authentifizierung konfigurieren. Ist Ihr primäres Gateway nicht verfügbar, sendet AuthPoint automatisch LDAP-Benutzer-Authentifizierungen über das sekundäre Gateway, bis das primäre Gateway wieder verfügbar ist.
Sie können auch sekundäre Gateways als Backup-RADIUS-Server verwenden. Die einzige Einschränkung besteht darin, dass die Software oder das Gerät eines Drittanbieters, das Authentifizierungsanfragen an das Gateway sendet, die Verwendung zusätzlicher RADIUS-Server unterstützen muss.
Sie können keine sekundären Gateways für den Lastenausgleich oder die LDAP-Benutzersynchronisierung verwenden.
Konfigurieren eines primären Gateways
Bevor Sie das Gateway installieren, müssen Sie es in der AuthPoint-Verwaltungsoberfläche konfigurieren.
- Wählen Sie im Navigationsmenü Gateway.
- Klicken Sie auf Gateway hinzufügen.
- Geben Sie in das Textfeld Name einen beschreibenden Namen für das Gateway ein.
- Geben Sie im Abschnitt RADIUS in das Textfeld Port die Portnummer ein, über die ein RADIUS-Client mit dem Gateway (RADIUS-Server) kommunizieren soll. Die Standard-Gateway-Ports sind 1812 und 1645.
Wenn Sie bereits einen RADIUS-Server installiert haben, der Port 1812 oder 1645 verwendet, müssen Sie einen anderen Port für das AuthPoint Gateway verwenden.
- Wählen Sie in der Liste RADIUS-Ressource auswählen Ihre RADIUS-Client-Ressource aus.
- Wählen Sie im Abschnitt ADFS aus der Liste ADFS-Ressource auswählen Ihre ADFS-Ressource aus.
-
Wählen Sie im Abschnitt LDAP in der Liste Wählen Sie einen LDAP-Anbieter Ihren LDAP- oder Active Directory-Server aus.
Wenn Sie mehr als eine externe Identität im selben Netzwerk haben, können Sie ein primäres Gateway konfigurieren, um die Benutzer aller Ihrer externen Identitäten zu synchronisieren, oder Sie können mehrere primäre Gateways konfigurieren, um die Benutzer jeder externen Identität zu synchronisieren.
- Klicken Sie auf Speichern.
- Klicken Sie unten auf der Kachel für Ihr Gateway auf Registrierungsschlüssel.
- Kopieren Sie im Fenster Registrierungsschlüssel den Registrierungsschlüssel. Sie benötigen diesen Wert, um das Gateway zu installieren.
Der Gateway-Registrierungsschlüssel kann nur einmal verwendet werden. Wenn die Installation des Gateways fehlschlägt, müssen Sie einen neuen Schlüssel generieren, der für die Installation verwendet wird.
Herunterladen und Installieren des Gateways
- Wählen Sie im Navigationsmenü Download.
- Klicken Sie im Abschnitt Gateway-Installationsprogramm auf Installationsprogramm herunterladen.
- Führen Sie das Gateway-Installationsprogramm an einem beliebigen Ort in Ihrem Netzwerk aus, der über einen Internetzugang verfügt und eine Verbindung zu Ihren RADIUS-Clients und Ihrem LDAP-Server herstellen kann.
Der Dialog WatchGuard AuthPoint Gateway Setup wird geöffnet. - Geben Sie in das Textfeld Gateway-Registrierungsschlüssel den Gateway-Registrierungsschlüssel von AuthPoint ein oder fügen Sie ihn ein.
- Klicken Sie auf Installieren.
- Klicken Sie auf Fertigstellen.
- Stellen Sie sicher, dass der RADIUS-Port (die Standardports sind 1812 oder 1645) auf dem Server, auf dem das Gateway installiert ist, geöffnet ist. Der Port ist standardmäßig nicht geöffnet. Wenn der Port offen ist, stellen Sie sicher, dass er nicht von einem anderen Server verwendet wird, der einen Konflikt mit dem Gateway verursachen würde.
Damit das Gateway funktioniert, müssen Sie möglicherweise eine neue eingehende Firewall-Regel für den von Ihnen konfigurierten UDP-RADIUS-Port erstellen oder die Windows-Firewall deaktivieren.
- Markieren Sie in der AuthPoint-Verwaltungsoberfläche, auf der Gateway-Seite das kreisförmige Symbol neben Ihrem Gateway-Namen. Ein grünes Symbol zeigt an, dass das Gateway erfolgreich installiert ist und mit AuthPoint kommunizieren kann.
Wenn die Installation des Gateways fehlschlägt, müssen Sie einen neuen Schlüssel generieren, der für die Installation verwendet wird.
Konfigurieren und Installieren von sekundären Gateways
Zu jedem primären Gateway können Sie bis zu fünf sekundäre Gateways hinzufügen. Wenn Sie ein sekundäres Gateway hinzufügen, erbt es die Eigenschaften und Zuordnungen des primären Gateways. Wenn Sie das primäre Gateway bearbeiten, werden diese Änderungen auch an allen sekundären Gateways vorgenommen.
Um ein sekundäres Gateway hinzuzufügen, muss Ihr primäres Gateway installiert und Version 5 oder höher sein.
Hinzufügen eines sekundären Gateways:
- Klicken Sie auf der Kachel Ihres primären Gateways auf Sekundäres hinzufügen.
- Geben Sie einen Namen für Ihr sekundäres Gateway ein.
- Klicken Sie auf Speichern.
Das sekundäre Gateway wird erstellt. - Klicken Sie neben dem von Ihnen hinzugefügten sekundären Gateway auf und wählen Sie Registrierungsschlüssel.
Das Fenster Registrierungsschlüssel wird geöffnet. - Kopieren Sie den Registrierungsschlüssel für das sekundäre Gateway. Sie benötigen diesen Wert, um das Gateway zu installieren.
Nachdem Sie ein sekundäres Gateway hinzugefügt haben, müssen Sie ein weiteres Gateway (Version 5 oder höher) herunterladen und in Ihrem Netzwerk an einem anderen Ort als das primäre Gateway installieren. Die Schritte zur Installation eines sekundären Gateways sind die gleichen wie die Schritte zur Installation eines primären Gateways. Zur Installation eines Gateways siehe Herunterladen und Installieren des Gateways.
Sekundäre Gateways haben ihre eigenen Registrierungsschlüssel, die für die Installation verwendet werden. Achten Sie bei der Installation eines sekundären Gateways darauf, dass Sie den richtigen Registrierungsschlüssel verwenden.
Ändern des primären Gateways
Wenn Sie ein oder mehrere sekundäre Gateways konfiguriert haben, können Sie ein sekundäres Gateway auswählen, das als neues primäres Gateway für die Synchronisierung von LDAP-Benutzern verwendet wird. Das aktuelle primäre Gateway wird zum sekundären Gateway.
Um das primäre Gateway zu ändern, muss das sekundäre Gateway installiert und mit WatchGuard Cloud verbunden sein.
Ändern des primären Gateways:
- Klicken Sie neben dem sekundären Gateway auf und wählen Sie Primär machen.
Das Fenster Gateway primär machen wird geöffnet. - Klicken Sie auf Primär machen.
Das sekundäre Gateway wird zum primären Gateway und dient der Synchronisierung von Benutzern aus Ihrer Active Directory- oder LDAP-Datenbank.
Siehe auch
Ein installiertes Gateway aktualisieren
Gateway-Registrierungsschlüssel
Benutzer synchronisieren aus Active Directory oder LDAP
Konfigurieren von MFA für einen RADIUS-Client