Über Gateways

Gilt für: AuthPoint-Multi-Faktor-Authentifizierung, AuthPoint Total Identity Security

Das AuthPoint Gateway ist eine Anwendung, die Sie in Ihrem Netzwerk installieren, sodass AuthPoint mit Ihren RADIUS-Clients, dem AuthPoint Agent für ADFS und Ihrer Active Directory oder LDAP-Datenbank kommunizieren kann. Das Gateway fungiert als RADIUS-Server und ist für die RADIUS-Authentifizierung und für die LDAP-synchronisierte Benutzer zur Authentifizierung mit SAML-Ressourcen erforderlich.

Das Gateway wird in Form von vier Diensten ausgeführt: Gateway, RADIUS, LDAP und ADFS. Das Gateway verwendet diese TCP-Dienst-Ports für die interne Kommunikation zwischen den verschiedenen Gateway-Diensten:

  • WatchGuard AuthPoint Gateway-Dienst — TCP-Port 9000
  • WatchGuard AuthPoint RADIUS-Dienst — TCP-Port 9001
  • WatchGuard AuthPoint LDAP-Dienst — TCP-Port 9002
  • WatchGuard AuthPoint ADFS-Dienst — TCP-Port 9003

Wenn andere Anwendungen diese TCP-Dienst-Ports verwenden, kann es sein, dass das Gateway nicht startet oder offline erscheint.

Die von Ihnen konfigurierten Gateways können Sie auf der Seite Gateway sehen. Für jedes Gateway gibt es eine Kachel, die die installierte Version, die IP-Adresse und den aktuellen Status des Gateways anzeigt.

  • Grüner Punkt-Symbol — Das Gateway ist installiert und kann mit WatchGuard Cloud kommunizieren
  • Symbol Grauer Punkt — Das Gateway ist nicht installiert
  • Rotes Punkt-Symbol — Das Gateway ist nicht verbunden und kann nicht mit WatchGuard Cloud kommunizieren

Anforderungen

Sie können das AuthPoint Gateway auf diesen kompatiblen Betriebssystemen installieren:

  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022

Das AuthPoint Gateway benötigt Java. Sie müssen Amazon Corretto 11 oder 15 installieren. Um Corretto herunterzuladen, gehen Sie zu aws.amazon.com/corretto/.

Java muss für das System und nicht für einen einzelnen Benutzer konfiguriert werden. Wenn Sie Java für einen einzelnen Benutzer konfigurieren, schlägt die Gateway-Installation fehl.

Das AuthPoint Gateway kann nicht auf Windows-Servern mit aktiviertem FIPS-Modus installiert werden.

Primäre und sekundäre Gateways

Sie können mehr als ein Gateway in einem Netzwerk konfigurieren. Für jedes primäre Gateway, das Sie konfigurieren, können Sie bis zu fünf sekundäre Gateways konfigurieren.

Primäres Gateway

Das primäre Gateway synchronisiert Ihre LDAP-Benutzer und aktiviert sowohl die RADIUS-Authentifizierung als auch die LDAP-Benutzer-Authentifizierung. Dieses Gateway ist der primäre Kommunikationspunkt zwischen AuthPoint und Ihren RADIUS-Clients, dem AuthPoint Agent für ADFS und Ihrer Active Directory- oder LDAP-Datenbank.

Sekundäres Gateway

Sie können sekundäre Gateways als Failover für die LDAP-Benutzer-Authentifizierung konfigurieren. Ist Ihr primäres Gateway nicht verfügbar, sendet AuthPoint automatisch LDAP-Benutzer-Authentifizierungen über das sekundäre Gateway, bis das primäre Gateway wieder verfügbar ist.

Sie können auch sekundäre Gateways als Backup-RADIUS-Server verwenden. Die einzige Einschränkung besteht darin, dass die Software oder das Gerät eines Drittanbieters, das Authentifizierungsanfragen an das Gateway sendet, die Verwendung zusätzlicher RADIUS-Server unterstützen muss.

Sie können keine sekundären Gateways für den Lastenausgleich oder die LDAP-Benutzersynchronisierung verwenden.

Primäres Gateway konfigurieren

Bevor Sie das Gateway installieren, müssen Sie es in der AuthPoint-Verwaltungsoberfläche konfigurieren.

  1. Wählen Sie im Navigationsmenü Gateway.
  2. Klicken Sie auf Gateway hinzufügen.

Screen shot that shows the Gateway.

  1. Geben Sie in das Textfeld Name einen beschreibenden Namen für das Gateway ein.
  2. Geben Sie im Abschnitt RADIUS in das Textfeld Port die Portnummer ein, über die ein RADIUS-Client mit dem Gateway (RADIUS-Server) kommunizieren soll. Die Standard-Gateway-Ports sind 1812 und 1645.

    Wenn Sie bereits einen RADIUS-Server installiert haben, der Port 1812 oder 1645 verwendet, z. B. den Netzwerkrichtlinienserver, müssen Sie einen anderen Port für den AuthPoint Gateway verwenden.

    Damit das Gateway mit RADIUS-Client-Ressourcen funktioniert, müssen Sie möglicherweise eine neue eingehende Firewall-Richtlinie für den von Ihnen konfigurierten UDP-RADIUS-Port erstellen oder die Windows-Firewall deaktivieren.

  1. Wählen Sie in der Liste RADIUS-Ressource auswählen Ihre RADIUS-Client-Ressource aus.

Screen shot that shows the RADIUS section of the Add Gateway page.

  1. Wählen Sie im Abschnitt ADFS aus der Liste ADFS-Ressource auswählen Ihre ADFS-Ressource aus.

Screen shot that shows the ADFS section of the Gateway page.

  1. Wählen Sie im Abschnitt LDAP in der Liste Wählen Sie einen LDAP-Anbieter Ihren LDAP- oder Active Directory-Server aus.

    Wenn Sie mehr als eine externe Identität im selben Netzwerk haben, können Sie ein primäres Gateway konfigurieren, um die Benutzer aller Ihrer externen Identitäten zu synchronisieren, oder Sie können mehrere primäre Gateways konfigurieren, um die Benutzer jeder externen Identität zu synchronisieren.

  2. Klicken Sie auf Speichern.

Screen shot that shows the LDAP section of the Gateway page.

  1. Klicken Sie unten auf der Kachel für Ihr Gateway auf Registrierungsschlüssel.

Screen shot that shows the Gateway page.

  1. Kopieren Sie im Fenster Registrierungsschlüssel den Registrierungsschlüssel. Sie benötigen diesen Wert, um das Gateway zu installieren.

    Der Gateway-Registrierungsschlüssel kann nur einmal verwendet werden. Wenn die Installation des Gateways fehlschlägt, müssen Sie einen neuen Schlüssel generieren, der für die Installation verwendet wird.

Screen shot that shows the Registration Key window.

Herunterladen und Installieren des Gateways

  1. Wählen Sie im Navigationsmenü Download.
  2. Klicken Sie im Abschnitt Gateway-Installationsprogramm auf Installationsprogramm herunterladen.

Screen shot that shows the Gateway section of the Downloads page.

  1. Führen Sie das Gateway-Installationsprogramm an einem beliebigen Ort in Ihrem Netzwerk aus, der über einen Internetzugang verfügt und eine Verbindung zu Ihren RADIUS-Clients und Ihrem LDAP-Server herstellen kann.
    Der Dialog WatchGuard AuthPoint Gateway Setup wird geöffnet.

    In einigen Fällen kann die Installation des Gateways aufgrund von Virenschutz-Software fehlschlagen. Wir empfehlen, Ihre Virenschutz-Software während der Installation des Gateways zu deaktivieren.

  2. Geben Sie in das Textfeld Gateway-Registrierungsschlüssel den Gateway-Registrierungsschlüssel von AuthPoint ein oder fügen Sie ihn ein.
  3. Klicken Sie auf Installieren.

Screen shot that shows the Gateway installation wizard.

  1. Klicken Sie auf Fertigstellen.

Screen shot that shows the Gateway installation wizard.

  1. Stellen Sie sicher, dass der RADIUS-Port (die Standardports sind 1812 oder 1645) auf dem Server, auf dem das Gateway installiert ist, geöffnet ist. Der Port ist standardmäßig nicht geöffnet. Wenn der Port offen ist, stellen Sie sicher, dass er nicht von einem anderen Server verwendet wird, der einen Konflikt mit dem Gateway verursachen würde.

    Damit das Gateway mit RADIUS-Client-Ressourcen funktioniert, müssen Sie möglicherweise eine neue eingehende Firewall-Richtlinie für den von Ihnen konfigurierten UDP-RADIUS-Port erstellen oder die Windows-Firewall deaktivieren.

  2. Markieren Sie in der AuthPoint-Verwaltungsoberfläche, auf der Gateway-Seite das kreisförmige Symbol neben Ihrem Gateway-Namen. Ein grünes Symbol zeigt an, dass das Gateway erfolgreich installiert ist und mit AuthPoint kommunizieren kann.

    Wenn die Installation des Gateways fehlschlägt, müssen Sie einen neuen Schlüssel generieren, der für die Installation verwendet wird.

Screen shot that shows the Gateway page.

Sekundäre Gateways konfigurieren und installieren

Zu jedem primären Gateway können Sie bis zu fünf sekundäre Gateways hinzufügen. Wenn Sie ein sekundäres Gateway hinzufügen, erbt es die Eigenschaften und Zuordnungen des primären Gateways. Wenn Sie das primäre Gateway bearbeiten, werden diese Änderungen auch an allen sekundären Gateways vorgenommen.

Um ein sekundäres Gateway hinzuzufügen, muss Ihr primäres Gateway installiert und Version 5 oder höher sein.

Hinzufügen eines sekundären Gateways:

  1. Klicken Sie auf der Kachel Ihres primären Gateways auf Sekundäres hinzufügen.
  2. Geben Sie einen Namen für Ihr sekundäres Gateway ein.
  3. Klicken Sie auf Speichern.
    Das sekundäre Gateway wird erstellt.
  4. Klicken Sie neben dem von Ihnen hinzugefügten sekundären Gateway auf Home-Symbol und wählen Sie Registrierungsschlüssel.
    Das Fenster Registrierungsschlüssel wird geöffnet.
  5. Kopieren Sie den Registrierungsschlüssel für das sekundäre Gateway. Sie benötigen diesen Wert, um das Gateway zu installieren.

Nachdem Sie ein sekundäres Gateway hinzugefügt haben, müssen Sie ein weiteres Gateway (Version 5 oder höher) herunterladen und in Ihrem Netzwerk an einem anderen Ort als das primäre Gateway installieren. Die Schritte zur Installation eines sekundären Gateways sind die gleichen wie die Schritte zur Installation eines primären Gateways. Zur Installation eines Gateways siehe Herunterladen und Installieren des Gateways.

Sekundäre Gateways haben ihre eigenen Registrierungsschlüssel, die für die Installation verwendet werden. Achten Sie bei der Installation eines sekundären Gateways darauf, dass Sie den richtigen Registrierungsschlüssel verwenden.

Primäres Gateway ändern

Wenn Sie ein oder mehrere sekundäre Gateways konfiguriert haben, können Sie ein sekundäres Gateway auswählen, das als neues primäres Gateway für die Synchronisierung von LDAP-Benutzern verwendet wird. Das aktuelle primäre Gateway wird zum sekundären Gateway.

Wenn Sie festlegen, dass ein sekundäres Gateway zum primären Gateway wird, hat dies keine Auswirkungen auf den Authentifizierungsprozess zwischen dem RADIUS-Server und dem RADIUS-Client (Firebox). Die Firebox sendet Authentifizierungsanfragen immer zuerst an den RADIUS-Server, der in der Firebox als primär konfiguriert ist. Erhält die Firebox keine Antwort vom primären RADIUS-Server, sendet sie nach drei fehlgeschlagenen Authentifizierungsversuchen die Authentifizierungsanfragen an den sekundären RADIUS-Server. Wenn Sie den RADIUS-Server ändern möchten, den eine Firebox für die Authentifizierung verwendet, müssen Sie diese Änderung in den Firebox-Einstellungen vornehmen. Weitere Informationen zum Ändern des RADIUS-Servers für die Authentifizierung finden Sie unter Verwenden eines Backup-Authentifizierungsservers.

Um das primäre Gateway zu ändern, muss das sekundäre Gateway installiert und mit WatchGuard Cloud verbunden sein.

So ändern Sie Ihr primäres Gateway:

  1. Klicken Sie neben dem sekundären Gateway auf Home-Symbol und wählen Sie Primär machen.
    Das Fenster Gateway primär machen wird geöffnet.
  2. Klicken Sie auf Primär machen.

Das sekundäre Gateway wird zum primären Gateway und dient der Synchronisierung von Benutzern aus Ihrer Active Directory- oder LDAP-Datenbank.

Ein Gateway migrieren oder den Gateway-Server upgraden

Wenn Sie das Betriebssystem Ihres primären Gateway-Servers aktualisieren oder das primäre Gateway auf einen neuen Server verschieben möchten, installieren Sie eine neue Instanz für Ihr AuthPoint-Gateway auf Ihrem neuen Server als sekundäres Gateway. Nach der Installation des neuen Gateways können Sie das primäre Gateway deinstallieren.

  1. Konfigurieren und Installieren eines sekundären Gateways auf dem neuen Server. Das sekundäre Gateway erbt die Eigenschaften und Zuordnungen des primären Gateways.
  2. Legen Sie Ihr neues sekundäres Gateway als primäres Gateway fest. Weitere Informationen finden Sie unter Primäres Gateway ändern.
  3. Deinstallieren Sie das alte primäre Gateway.

Ähnliche Themen

Ein installiertes Gateway aktualisieren

Gateway-Registrierungsschlüssel

Benutzer aus Active Directory oder LDAP synchronisieren

MFA für einen RADIUS-Client konfigurieren

Benutzer in Quarantäne

Von WatchGuard Cloud-Diensten verwendete URLs (WDB-Artikel)