Beschreibung: Sie haben die Möglichkeit, in der Konfiguration Ihres LANCOM Routers mehrere Administratoren anzulegen, die über unterschiedliche Zugriffs- und Funktionsrechte verfügen. Dieses Dokument beschreibt, wie weitere Administratoren hinzugefügt werden können und erklärt zudem die Bedeutung und Wirkung der unterschiedlichen Zugriffs- und Funktionsrechte. Voraussetzungen: 1. Vorgehensweise: 1.1. Öffnen Sie die Konfiguration des LANCOM Routers in LANconfig und wechseln Sie in das Menü Management → Admin → Weitere Administratoren. 1.2. Erzeugen Sie einen neuen Eintrag und vergeben Sie im oberen Teil des Dialoges einen Benutzernamen und ein Passwort.
Mit der Schaltfläche Passwort erzeugen können Sie eine Passwortstärke auswählen und dann ein der Stärke entsprechendes Passwort automatisch erzeugen lassen. Wir empfehlen, hier die Einstellung Maximal zu wählen. Bei der Auswahl Benutzerdefiniert können Sie im Bereich Einstellungen das automatisch erzeugte Passwort beeinflussen, aus Sicherheitsgründen sollten Sie jedoch die Standardeinstellungen nicht verändern. |
1.3. Die Rechte für Administratoren unterteilen sich in zwei Bereiche: - Zugriffsrechte: Jeder Administrator gehört zu einer bestimmten Gruppe, der global definierte Zugriffsrechte zugewiesen sind.
Bezeichnung | Rechtebeschreibung | Alle | Supervisor. Ist Mitglied in allen Gruppen und hat vollen Zugriff auf die Konfiguration des LANCOM Routers. | Eingeschr. und tracen | Lokaler Administrator mit Lese- und Schreibzugriff.
Hat vollen Zugriff auf die Konfiguration, jedoch sind folgende Möglichkeiten gesperrt:
- Firmware in das Gerät hochladen
- Konfiguration in das Gerät einspielen
- Konfiguration über LANconfig
| Eingeschränkt | Lokaler Administrator mit Lese- und Schreibzugriff, aber ohne Trace-Rechte.
Hat vollen Zugriff auf die Konfiguration, jedoch sind folgende Möglichkeiten gesperrt:
- Firmware in das Gerät hochladen
- Konfiguration in das Gerät einspielen
- Konfiguration über LANconfig
- Trace-Ausgaben über die Kommandozeile oder LANmonitor
| Lesen und tracen | Lokaler Administrator mit Lesezugriff, aber ohne Schreibzugriff. Kann die Konfiguration über die Kommandozeile auslesen, aber keine Werte verändern. | Nur lesen | Lokaler Administrator mit Lesezugriff, aber ohne Schreibzugriff und ohne Trace-Rechte.
Kann die Konfiguration über die Kommandozeile auslesen, aber keine Werte verändern und Trace-Ausgaben anfordern. | Keine | Hat keinen Zugriff auf die Konfiguration. |
- Funktionsrechte: Jeder Administrator kann außerdem über sogenannte Funktionsrechte verfügen, die den persönlichen Zugriff auf bestimmte Funktionen, wie z.B. die Setup-Assistenten, regeln.
In Abhängigkeit der Funktionen des Gerätes (Router, Access Point, verwendete Software-Optionen, etc.) sind die Funktions-Rechte unterschiedlich.
Bezeichnung | Rechtebeschreibung | Grundeinst.-Assistent | Setup-Assistent für die Grundkonfiguration des Gerätes darf verwendet werden. | Internet-Assistent | Setup-Assistent für die Einrichtung eines Internetzugangs darf verwendet werden. | RAS-Assistent | Setup-Assistent für die Einrichtung eines Einwahlzugangs (RAS, VPN) darf verwendet werden. | Rollout-Assistent | Setup-Assistent für die Einrichtung einer Rollout Konfiguration darf verwendet werden. * | Content-Filter-Assistent | Setup-Assistent für die Einrichtung des Content-Filters darf verwendet werden. | Einstellen von Datum und Uhrzeit | Das Setzen von Uhrzeit und das Datum (gilt auch für Telnet/SSH und TFTP) ist erlaubt. | Suche weiterer Geräte im LAN | Die Suche nach weiteren Geräten in lokalen und entfernten Netzen darf ausgeührt werden. * | SSH-Client | Das Herstellen einer SSH-/Telnet-Verbindung von Ihrem Gerät zu anderen LCOS-Geräten oder SSH-/Telnet-Servern ist erlaubt. | Sicherheits-Assistent | Setup-Assistent zur Kontrolle der Sicherheitseinstellungen darf verwendet werden. | LAN-LAN-Assistent | Setup-Assistent für die Verbindung zweier lokaler Netze (VPN) darf verwendet werden. | WLAN Assistent | Setup-Assistent für die Einrichtung des WLAN darf verwendet werden. | Dynamic DNS-Assistent | Setup-Assistent für die Konfiguration von Dynamic DNS darf verwendet werden. | WLAN Link-Test | Das Ausführen des WLAN Link-Tests ist erlaubt * (gilt auch für Telnet/SSH) | Public-Spot-Assistent (Public-Spot konfigurieren) | Setup-Assistent für die Einrichtung eines Public Spot darf verwendet werden. | Public-Spot-Assistent (Benutzer anlegen) | Setup-Assistent für die Einrichtung von Public Spot-Benutzern darf verwendet werden * | Public-Spot-Assistent (Benutzer verwalten) | Setup-Assistent für die Verwaltung von Public Spot-Benutzern darf verwendet werden * | Public-Spot-XML-Interface | Der Zugriff auf die XML-Schnittstelle des Public Spot-Moduls ist erlaubt.
Info: Ein 'normaler' Public Spot-Administrator benötigt dieses Recht nicht. Das Recht dient vielmehr dazu, einem externen Gateway – z. B. einer Maschine oder einem Programm (Webserver, Skript etc.) – die Kommunikation mit dem Modul zu ermöglichen, um komplexe Anmeldeszenarien zu realisieren. | Senden von SMS | Der Versand von SMS-Nachrichten über das geräteeigene 3G/4G WWAN-Modul ist erlaubt. | WLC-Profil-Assistent | Der Setup-Assistent für die Einrichtung eines WLC-Profils darf verwendet werden. | VoIP-Provider-Assistent | Setup-Assistent für die Einrichtung eines Zugangs zu Ihrem VoIP- (All-IP) Provider darf verwendet werden. | *) Die Berechtigung bzw. das Ausführen dieses Assistenten oder dieser Funktion bezieht sich – sofern nicht anders erwähnt – ausschließlich auf WEBconfig. Entweder ist der betreffende Assistent oder die betreffende Funktion nur dort verfügbar (z. B. Einrichten und Verwalten von Public Spot-Benutzern) oder nur dort beschränkbar (z. B. Suche nach Geräten).
2. Konfigurationsbeispiele: 2.1. Berechtigung zum Auslesen von Passworten: - Dazu muss als minimales Zugriffs-Recht Nur Lesen eingestellt werden. Der Administrator kann die Konfiguration eines Gerätes sowohl in der LANconfig/WebConfig-Oberfläche als auch per Kommandozeile auslesen. Das Verändern der Konfiguration sowie das Erstellen von Traceausgaben ist nicht möglich.
2.2. Berechtigung zum Auslesen des Status-Baumes: - Dazu muss als Zugriffs-Recht Nur Lesen eingestellt werden. Der Administrator kann den Status-Baum eines Gerätes sowohl in der WebConfig-Oberfläche als auch per Kommandozeile auslesen. Das Hinzufügen, Verändern oder Löschen der Werte ist nicht möglich.
2.3. Berechtigung zum Verwenden von Show-Befehlen: - Dazu muss als minimales Zugriffs-Recht Nur Lesen eingestellt werden. Der einzige Show-Befehl, den Sie ausschließlich mit dem Zugriffs-Recht Alle ausführen können, ist der Befehl show script.
2.4. Berechtigung zum Verwenden eines SSH-Clients: - Die Berechtigung zum Kommandozeilen-Zugriff auf den LANCOM Router per SSH-Client muss global im Menüpunkt Management → Admin → Zugriffs-Rechte → Vom lokalen Netz / Von entfernten Netzen eingestellt werden.
2.5. Berechtigung zum Erzeugen eines TCP/HTTP-Tunnels: - Um einen TCP/HTTP-Tunnel zu erzeugen, müssen Sie das Zugriffs-Recht Alle besitzen.
|