Beschreibung:
Sie haben die Möglichkeit, in der Konfiguration Ihres LANCOM Routers mehrere Administratoren anzulegen, die über unterschiedliche Zugriffs- und Funktionsrechte verfügen.

Dieses Dokument beschreibt, wie weitere Administratoren hinzugefügt werden können und erklärt zudem die Bedeutung und Wirkung der unterschiedlichen Zugriffs- und Funktionsrechte.


Voraussetzungen:


1. Vorgehensweise:

1.1. Öffnen Sie die Konfiguration des LANCOM Routers in LANconfig und wechseln Sie in das Menü Management -> Admin -> Weitere Administratoren.



1.2. Erzeugen Sie einen neuen Eintrag und vergeben Sie im oberen Teil des Dialoges einen Benutzernamen und ein Passwort.
    Info:
    Mit der Schaltfläche Passwort erzeugen können Sie eine Passwortstärke auswählen und dann ein der Stärke entsprechendes Passwort automatisch erzeugen lassen. Wir empfehlen, hier die Einstellung Maximal zu wählen.

    Bei der Auswahl Benutzerdefiniert können Sie im Bereich Einstellungen das automatisch erzeugte Passwort beeinflussen, aus Sicherheitsgründen sollten Sie jedoch die Standardeinstellungen nicht verändern .



1.3. Die Rechte für Administratoren unterteilen sich in zwei Bereiche:
  • Zugriffsrechte: Jeder Administrator gehört zu einer bestimmten Gruppe, der global definierte Zugriffsrechte zugewiesen sind.
Bezeichnung Rechtebeschreibung
Alle Supervisor. Ist Mitglied in allen Gruppen und hat vollen Zugriff auf die Konfiguration des LANCOM Routers.
Eingeschr. und tracen Lokaler Administrator mit Lese- und Schreibzugriff.

Hat vollen Zugriff auf die Konfiguration, jedoch sind folgende Möglichkeiten gesperrt:
  • Firmware in das Gerät hochladen
  • Konfiguration in das Gerät einspielen
  • Konfiguration über LANconfig
Eingeschränkt Lokaler Administrator mit Lese- und Schreibzugriff, aber ohne Trace-Rechte.

Hat vollen Zugriff auf die Konfiguration, jedoch sind folgende Möglichkeiten gesperrt:
  • Firmware in das Gerät hochladen
  • Konfiguration in das Gerät einspielen
  • Konfiguration über LANconfig
  • Trace-Ausgaben über die Kommandozeile oder LANmonitor
Lesen und tracen Lokaler Administrator mit Lesezugriff, aber ohne Schreibzugriff.
Kann die Konfiguration über die Kommandozeile auslesen, aber keine Werte verändern.
Nur lesen Lokaler Administrator mit Lesezugriff, aber ohne Schreibzugriff und ohne Trace-Rechte.

Kann die Konfiguration über die Kommandozeile auslesen, aber keine Werte verändern und Trace-Ausgaben anfordern.
Keine Hat keinen Zugriff auf die Konfiguration.

  • Funktionsrechte: Jeder Administrator kann außerdem über sogenannte Funktionsrechte verfügen, die den persönlichen Zugriff auf bestimmte Funktionen, wie z.B. die Setup-Assistenten, regeln.

    In Abhängigkeit der Funktionen des Gerätes (Router, Access Point, verwendete Software-Optionen, etc.) sind die Funktions-Rechte unterschiedlich.
Bezeichnung Rechtebeschreibung
Grundeinst.-Assistent Setup-Assistent für die Grundkonfiguration des Gerätes darf verwendet werden.
Internet-Assistent Setup-Assistent für die Einrichtung eines Internetzugangs darf verwendet werden.
RAS-Assistent Setup-Assistent für die Einrichtung eines Einwahlzugangs
(RAS, VPN) darf verwendet werden.
Rollout-Assistent Setup-Assistent für die Einrichtung einer Rollout Konfiguration darf verwendet werden. *
Content-Filter-Assistent Setup-Assistent für die Einrichtung des Content-Filters darf verwendet werden.
Einstellen von Datum und Uhrzeit Das Setzen von Uhrzeit und das Datum (gilt auch für
Telnet/SSH und TFTP) ist erlaubt.
Suche weiterer Geräte
im LAN
Die Suche nach weiteren Geräten in lokalen und
entfernten Netzen darf ausgeührt werden. *
SSH-Client Das Herstellen einer SSH-/Telnet-Verbindung von Ihrem
Gerät zu anderen LCOS-Geräten oder SSH-/Telnet-Servern ist erlaubt.
Sicherheits-Assistent Setup-Assistent zur Kontrolle der Sicherheitseinstellungen darf verwendet werden.
LAN-LAN-Assistent Setup-Assistent für die Verbindung zweier lokaler Netze
(VPN) darf verwendet werden.
WLAN Assistent Setup-Assistent für die Einrichtung des WLAN darf verwendet werden.
Dynamic DNS-Assistent Setup-Assistent für die Konfiguration von Dynamic DNS darf verwendet werden.
WLAN Link-Test Das Ausführen des WLAN Link-Tests ist erlaubt * (gilt auch für
Telnet/SSH)
Public-Spot-Assistent
(Public-Spot konfigurieren)
Setup-Assistent für die Einrichtung eines Public Spot darf verwendet werden.
Public-Spot-Assistent
(Benutzer anlegen)
Setup-Assistent für die Einrichtung von Public Spot-Benutzern darf verwendet werden *
Public-Spot-Assistent
(Benutzer verwalten)
Setup-Assistent für die Verwaltung von Public Spot-Benutzern darf verwendet werden *
Public-Spot-XML-Interface Der Zugriff auf die XML-Schnittstelle des Public Spot-Moduls ist erlaubt.

Info:
Ein 'normaler' Public Spot-Administrator benötigt dieses Recht nicht. Das Recht dient vielmehr dazu, einem externen Gateway – z. B. einer Maschine oder einem Programm (Webserver, Skript etc.) – die
Kommunikation mit dem Modul zu ermöglichen, um komplexe
Anmeldeszenarien zu realisieren.
Senden von SMS Der Versand von SMS-Nachrichten über das geräteeigene 3G/4G WWAN-Modul ist erlaubt.
WLC-Profil-Assistent Der Setup-Assistent für die Einrichtung eines WLC-Profils darf verwendet werden.
VoIP-Provider-Assistent Setup-Assistent für die Einrichtung eines Zugangs zu Ihrem
VoIP- (All-IP) Provider darf verwendet werden.

*) Die Berechtigung bzw. das Ausführen dieses Assistenten oder dieser Funktion bezieht sich – sofern nicht anders erwähnt
– ausschließlich auf WEBconfig. Entweder ist der betreffende Assistent oder die betreffende Funktion nur dort verfügbar
(z. B. Einrichten und Verwalten von Public Spot-Benutzern) oder nur dort beschränkbar (z. B. Suche nach Geräten)


2. Konfigurationsbeispiele:

2.1. Berechtigung zum Auslesen von Passworten:
  • Dazu muss als minimales Zugriffs-Recht Nur Lesen eingestellt werden. Der Administrator kann die Konfiguration eines Gerätes sowohl in der LANconfig/WebConfig-Oberfläche als auch per Kommandozeile auslesen. Das Verändern der Konfiguration sowie das Erstellen von Traceausgaben ist nicht möglich.


2.2. Berechtigung zum Auslesen des Status-Baumes:
  • Dazu muss als Zugriffs-Recht Nur Lesen eingestellt werden. Der Administrator kann den Status-Baum eines Gerätes sowohl in der WebConfig-Oberfläche als auch per Kommandozeile auslesen. Das Hinzufügen, Verändern oder Löschen der Werte ist nicht möglich.


2.3. Berechtigung zum Verwenden von Show-Befehlen:
  • Dazu muss als minimales Zugriffs-Recht Nur Lesen eingestellt werden. Der einzige Show-Befehl, den Sie ausschließlich mit dem Zugriffs-Recht Alle ausführen können, ist der Befehl show script.


2.4. Berechtigung zum Verwenden eines SSH-Clients:
  • Die Berechtigung zum Kommandozeilen-Zugriff auf den LANCOM Router per SSH-Client muss global im Menüpunkt Management -> Admin -> Zugriffs-Rechte -> Vom lokalen Netz / Von entfernten Netzen eingestellt werden.



2.5. Berechtigung zum Erzeugen eines TCP/HTTP-Tunnels:
  • Um einen TCP/HTTP-Tunnel zu erzeugen, müssen Sie das Zugriffs-Recht Alle besitzen.