Erstellen einer neuen Netzwerkrichtlinie

    Mit Unterstützung von Zugriffsrichtlinien werden wir die zuvor erstellte RADIUS-Client-Datensätze und Domänensicherheitsgruppen mit den netzwerk-basierten Didactum Monitoring Systemen verbinden. Öffnen Sie hierzu die Network Policy Server Console. Erweitern Sie "Policies", klicken Sie mit der rechten Maustaste auf "Network Policies" und dann auf einfach auf "New". Legen Sie den Namen der Richtlinie fest und wählen Sie als Zugriffsberechtigung "Grant access", um den Zugriff zu gewähren!


    Auf der nächsten Registerkarte unter "Conditions", müssen wir die Bedingungen hinzufügen, unter denen diese RADIUS-Richtlinie angewendet wird. Fügen Sie eine Gruppe hinzu, die alle Benutzer enthält, denen die Nutzung des RADIUS Dienstes erlaubt werden soll:


    Im nächsten Schritt konfigurieren wir nun die "Authentication Methods" / Authentifizierungsmethode. Hier deaktivieren wir nun alle Authentifizierungsmethoden und aktivieren die unverschlüsselte Authentifizierung namens "Unencrypted authentication (PAP, SPAP)":


    Nun löschen wir im Konfigurationsschritt "Configure Settings" alle Standard-RADIUS-Attribute, die dort standardmäßig angeboten werden (siehe unteren Screenshot). Danach wählen wir unter „Custom“ das Attribut "Vendor Specific“. Geben Sie den Hersteller /"Vendor“ als "Custom“ (Benutzerdefiniert) aus und klicken Sie danach auf "Add“.

     
    Danach klicken wir unter "Attribute Information" auf "Add". Geben Sie den Herstellercode ein (für die Didactum Monitoring-Hardware wählen wir den offiziellen Herstellercode 46501) und konfigurieren danach die Attribute nach Attributnummer.

    Jedes Attribut hat einen Namen und eine Identifizierungsnummer. Da der RADIUS Server nicht über die Codes von Monitoring-Hardware verfügt, müssen wir nun die Attribute mit den entsprechenden Nummern eintragen.

    Die untere Tabelle gibt Ihnen weitere Auskünfte:

    Beschreibung der Attribute der Didactum Monitoring Hardware:

    Jedes Benutzerprofil im System kann "Nur-Lesen" oder "Lesen-Schreiben" Zugänge zu Systemressourcen haben.

    Jede Ressource im System wird mit ihrer entsprechenden Zugangskennung verglichen.

    Die Zugriffskontrolle erfolgt anhand von Listen. Die Liste ist ein Textstring, der aus durch Kommas getrennten Zugangskennungen besteht.

    Dementsprechend gibt es im Benutzerprofil zwei Arten von Listen: Listen für den Lesezugriff und für den Schreibzugriff (sowohl aufzeichnen als auch lesen).

    Das System lässt drei Arten von Berechtigungslisten zu:

    A) Server-Zugriffslisten:

        SRead - Lesezugriffsliste;
        SWrite - Schreibzugriffsliste;

    Ressourcenliste (Stand 01/2021):

        accesskeys - Verwaltung von Ausweiskartenleser Zugangsschlüsseln und anderen kompatiblen Schlüsseln;
        cameras - Verwaltung der Didactum Videokameras;
        canbus - Verwaltung des CAN-Busses;
        devvirt - Verwaltung der virtuellen Geräte (Timer, PINGs, Trigger);
        elements - Verwaltung von Elementen;
        groups - Verwaltung von Gruppen;
        gsm - Verwaltung des internen Didactum-Modems; (sofern im Monitoring System vorhanden)
        languages - Verwaltung der im Monitoring System installierten Sprachdateien;
        log - Verwaltung des Systemprotokolls;
        logics - Verwaltung der im Monitoring System vorhandenen Logikschemata;
        module - Verwaltung der Module;
        notify - Verwaltung von Benachrichtigungen (Mail, SNMP-Traps, SMS);
        relays - Verwaltung der eingebauten Relais;
        sdcard - Verwaltung der SD-Karte (sofern im Monitoring System vorhanden);
        system - Laufzeitverwaltung (gehärtetes Linux OS);
        users - Benutzerverwaltung;
        view - Steuerung der Darstellung der Weboberfläche.

    Hinweis: Definieren Sie keinen Standard-Benutzer (Identificator), da ein solcher Benutzer ansonsten die Aufzeichnungen aller anderen Benutzern einsehen kann! In einem solchen Fall können die im Monitoring System hinterlegten Benutzerrechte nicht editiert und auch nicht gelöscht werden.

    B) Client-Berechtigungslisten (Web-Interface):

        CRead - Lesezugriffsliste;
        CWrite - Schreibzugriffsliste;

    Die Liste der Ressourcenkennungen des Clients (Web-Interface) wird ausschließlich vom Client (per Web-Interface) gebildet und verwendet. Daher sollten die Ressourcenkennungen auf "all" gesetzt werden.

    C) Listen von Genehmigungen für Gruppen von Objekten:

        GRead - eine Liste von von Gruppen mit Nur-Lese-Zugriff;
        GWrite - eine Liste von Gruppen mit Schreibzugriff;

    Listen von Gruppenberechtigungen bestehen aus Gruppen-IDs und sollen den Zugriff des Clients (Webinterface) auf die Gruppenobjekte einschränken.

    Das Format dieser Listen - Bezeichner durch Kommas getrennt, in diesem Fall gibt es spezielle Steuerwörter:

        all - voller Zugriff auf alle Bezeichner bedeutet vollen administrativen Zugriff;

        none - der Zugriff ist vollständig untersagt.

    Standardmäßig gibt es im Didactum Monitoring System keine Gruppen. Auch die Elemente und die Module der Monitoring Hardware sind nicht in Gruppen untergliedert. 

    Ein Zugriff ist auf die Elemente und Gruppen nur mit den Rechten "all" möglich.

    Nachdem Sie alle Attribute angegeben haben, erhalten Sie ein Ergebnis wie in unterem Screenshot dargestellt. In unserem Beispiel haben alle Benutzer der "RADIUS-Gruppe" vollen Administratorrechte für das Didactum Monitoring System.


    Veröffentlicht