Serveroptionen

Die Serveroptionen sind das erste Dialogfeld im Menüpunkt Verwalten. Es stehen Ihnen hier folgende Registerkarten zur Verfügung: Allgemein, Verbindungen, Protokollierung, SicherungsdateienErweitert, E-Mail2FA-Einstellungen, Active Directory, Azure-AD, OpenID Connect sowie Hauptschlüssel/WebAuthn. Über die Serveroptionen können Sie den Enterprise Server allgemein konfigurieren und dabei Einstellungen vornehmen, die den gesamten Server und alle Benutzer betreffen. Im Folgenden werden die einzelnen Registerkarten sowie deren Inhalt erläutert.

Allgemein

Server

Hier können Sie folgende Einstellungen des Servers vornehmen:

  • Sprache des Servers: Erlaubt es, die Sprache des Servers (nicht der Benutzeroberfläche!) festzulegen. Sie können hier zwischen Englisch, Deutsch, Französisch, Spanisch und Niederländisch wählen.
  • Client-Port/Server-Manager-Port: Legt den Port für die Verbindung fest. Grundsätzlich wird hier der von Password Depot vorgegebene Standardport gezeigt, der auf Wunsch aber angepasst werden kann. Beachten Sie bei Anpassung des Ports, dass anschließend auch im Client für die Serververbindung der korrekte Port angegeben wird.
  • Servername: Hier können Sie individuell den Namen des Servers anpassen.
  • Internet-Protokoll: Sie können hier zur Verbindung ein bestimmtes Internet-Protokoll festlegen, das standardmäßig genutzt werden soll. Folgende Optionen stehen zur Verfügung: IPv4+IPv6, IPv4 sowie IPv6. Je nach entsprechender Netzwerk-Konfiguration können Administratoren daher festlegen, welche Internet-Protokoll-Versionen der Server grundsätzlich unterstützen soll. Der Server sendet dann per UDP an die Clients eine Info-Nachricht zur unterstützten Internet-Protokoll-Version, sodass die Clients im Anschluss dann automatisch die richtige Version für die Haupt-TCP-Verbindung wählen. 
  • Keepalive aktivieren: Die Keepalive-Option wird verwendet, wenn der Client mit einem Server kommuniziert, der sich nicht im gleichen Netzwerk befindet. Sie können die Keep-Alive-Haltezeit (in Minuten) sowie das Keep-Alive-Intervall (in Sekunden) anpassen.

WARNUNG: Falls Sie den Server-Port geändert haben, stellen Sie sicher, dass er von keiner anderen Anwendung verwendet wird.

REST-Server

  • Ursprungs-URL: Geben Sie hier die korrekte URL Ihres Password Depot-Web-Servers ein, das heißt, die genaue URL, über die Ihr Enterprise Server in Verbindung mit dem Web-Client erreichbar ist.
  • Portnummer: Hier können Sie die Portnummer für den REST-Server anpassen.

Weitere Informationen zur REST-API

Datenbanken

  • Speicherort: Gibt den Pfad an, unter dem standardmäßig die Server-Datenbanken abgelegt werden. Per Vorgabe ist dies bei Password Depot C:\Program Files\AceBIT\Password Depot Server XX\Data\DB. Auf Wunsch können Sie diesen Pfad anpassen, jedoch empfehlen wir, in jedem Falle ein lokales und keine gemappten Laufwerke für das Abspeichern der Server-Datenbanken zu wählen, da es bei Letzeren zu Zugriffsproblemen kommen kann. Sofern der Password Depot Enterprise Server während des Abspeicherns den in den Serveroptionen angegebenen Pfad nicht finden kann, springt er zurück auf die Standardeinstellungen und speichert die Datenbanken im entsprechenden Standard-Ordner ab.

Verbindungen

Unterstützte Authentifizierungen

Legen Sie fest, welche Arten der Authentifizierung Sie auf Ihrem Server zulassen möchten. Dabei können Sie zwischen den Optionen Standardauthentifizierung, Integrierte Windows-Authentifizierung (Single Sign On), Anmeldeinformationen für die Windows-Domäne (FQUN oder UPN und Kennwort), Azure AD/Entra ID, OpenID Connect sowie Passkeys (WebAuthn) wählen. Sie können verschiedene Arten der Authentifizierung auf Ihrem Server gleichzeitig aktiviert haben. 

TIPP: Ausführliche Informationen zur Nutzung der Integrierten Windows-Authentifizierung und der hierfür notwendigen Einstellungen finden Sie in unserem Support-Portal unter: Wie erfolgt die Anmeldung am Enterprise Server per Single Sign-On (SSO)? .

Unterstützte Clients

Legen Sie fest, welche Clients sich mit Ihrem Server verbinden dürfen. Folgende Optionen stehen hier zur Auswahl: 

  • Standard-Edition für Windows
  • Corporate-Edition für Windows
  • Android-Edition
  • iOS-Edition
  • macOS-Edition
  • Linux-Edition
  • Web-Client

HINWEIS: Über den Server-Manager müssen alle Clients, mit denen eine Verbindung erfolgen soll, aktiviert sein, ansonsten ist eine Verbindung nicht möglich.

Neue Verbindung von anderem Gerät:

Bestimmen Sie hier, wie mit Verbindungen des gleichen Benutzers auf weiteren Geräten verfahren werden soll. Sie können hier zwischen den folgenden Optionen wählen:

  1. Neue Verbindungen ablehnen, wenn der Benutzer bereits angemeldet ist
  2. Bestehende Verbindung schließen und neue zulassen
  3. Mehrere Verbindungen von verschiedenen IP-Adressen zulassen

HINWEIS: Der Enterprise Server ist, wie die meisten anderen ähnlichen Server, nicht dafür vorgesehen, mehrere Verbindungen desselben Benutzers zuzulassen. Diese Option wurde eingeführt, weil es durchaus vorkommen kann, dass Benutzer gleichzeitig eine Verbindung von einem Client und einem mobilen Gerät aus benötigen. Das funktioniert immer noch, weil mobile Geräte nicht in Echtzeit synchronisiert werden. Wenn sich ein Benutzer aber mit seinem Account gleichzeitig über zwei Windows-Clients verbinden möchten, kann das ein Problem verursachen und es kommt zur Trennung einer der beiden bestehenden Verbindungen. 

Inaktive Sitzungen

Legen Sie fest, wie Password Depot Enterprise Server mit inaktiven Verbindungen verfahren soll. Sie können hier zum Beispiel bestimmen, dass der Client vom Server nach x Minuten der Inaktivität getrennt werden soll. Zusätzlich können Sie dann bei Aktivierung der Option veranlassen, dass die geöffnete Datenbank geschlossen und der entsprechende Client abgemeldet wird.

Protokollierung

In dieser Registerkarte befinden sich alle Einstellungen zu den Protokollen, die der Password Depot Enterprise Server anlegt. Folgende Optionen können Sie individuell einstellen:

Lokales Protokoll

  • Protokollordner: Bestimmen Sie, in welchem Verzeichnis die Protokolle des Enterprise Servers abgespeichert werden sollen. Standardmäßig lautet das Verzeichnis hierfür C:\Program Files\AceBIT\Password Depot Server XX\Logs. Über die Schaltfläche Durchsuchen können Sie dieses anpassen, wir empfehlen Ihnen jedoch, nach Möglichkeit hier immer ein lokales Verzeichnis zu verwenden.
  • Max. Dateigröße: Definieren Sie, wie groß die Protokolldatei des Servers (KB) maximal sein soll.
  • Neue Protokolldatei erstellen: Legen Sie fest, wann die Protokolldatei jeweils erzeugt werden soll.
  • Protokolle löschen: Definieren Sie die Einstellungen zum Löschen von bereits existierenden Protokollen. So können Sie entweder einstellen, dass Server-Protokolle nie gelöscht werden sollen oder aber Sie legen eine bestimmte Anzahl an Protokollen fest, die behalten werden sollen, beispielsweise 30 (standardmäßig voreingestellt). Dies bedeutet, dass die letzten 30 Protokolle behalten und alle älteren automatisch gelöscht werden.

Remote-Protokoll

  • Protokollmeldungen an einen Remote-Server senden: Setzen Sie hier ein Häkchen, wenn Sie möchten, dass die Protokolldateien des Enterprise Servers automatisch an einen externen Remote-Server gesendet werden. Dadurch können Sie sicherstellen, dass die Protokolle des Servers nicht durch unbefugten Zugriff manipuliert werden. Zudem können Sie Einstellungen zum Protokoll, zum Server sowie zum Protokoll-Format vornehmen.

Sicherungsdateien

In dieser Registerkarte können Sie Einstellungen zu Ihrer Datensicherung im Allgemeinen vornehmen. Folgendes kann dabei von Ihnen festgelegt werden:

Datenbanken und Einstellungen sichern

  • Sicherungsordner: Hier können Sie festlegen, wo die Sicherungsdateien des Servers gespeichert werden sollen. Standardmäßig lautet das Verzeichnis hierfür C:\Program Files\AceBIT\Password Depot Server XX\Backups\. Über die Schaltfläche Durchsuchen können Sie dieses anpassen, wir empfehlen Ihnen jedoch, auch hier nach Möglichkeit immer ein lokales Verzeichnis zu verwenden. Es werden dabei Sicherungen Ihrer Datenbanken, Logs sowie der cfg-Datei (pwd_srv.cfg), in der Ihre Benutzer und Einstellungen gespeichert sind, angelegt.
  • Bei jedem Programmstart: Markieren Sie diese Option, damit Password Depot Enterprise Server bei jedem Start eine neue Sicherungskopie anfertigt.
  • Datenbanken sichern alle: Legen Sie einen Zeitpunkt fest, wann Password Depot Enterprise Server automatisch eine Sicherungskopie anfertigen soll. Wir empfehlen, dies mindestens einmal am Tag (also alle 24 Stunden) zu tun. 

Alte Sicherungsdateien

  • Anzahl gespeicherter Sicherungsdateien begrenzen auf: Wählen Sie einen Wert von 1 bis 2.000.
  • Sicherungsdateien löschen, die älter sind als: Wählen Sie einen Wert zwischen 1 und 72 Monaten aus.

HINWEIS: Standardmäßig sind die beiden Optionen Datenbanken bei jedem Programmstart sichern und Datenbanken sichern alle x Stunden ausgewählt und wir empfehlen darüber hinaus auch, beide Optionen aktiviert zu lassen.

Sicherungsprotokoll

  • Protokolle sichern in Datei: Wenn Sie diese Option markieren, erstellt das Programm ein Protokoll der vorgenommenen Sicherungen und speichert es in der angegebenen Datei ab, damit später nachverfolgt werden kann, zu welchem Zeitpunkt die Datenbanken gesichert wurden.

Erweitert

In dieser Registerkarte stehen Ihnen erweiterte Einstellungen wie folgt zur Verfügung:

Einträge bearbeiten

  • Zeit, bis der Eintrag gesperrt wird (Min.): Legen Sie eine Zeit (in Minuten) fest, nach deren Ablauf sich ein Eintrag automatisch sperren soll, wenn ein Benutzer diesen Eintrag geöffnet hat, ihn gerade jedoch nicht nutzt. Standardmäßig sind hier fünf Minuten vorgegeben, diesen Zeitraum können Sie sowohl verringern als auch erhöhen. Der maximal einstellbare Wert beträgt 30 Minuten.

Private Datenbanken

  • Gruppen-Datenbanken für neue Gruppen automatisch erzeugen: Legen Sie fest, ob für neu angelegte Gruppen auch automatisch eine entsprechende Gruppen-Datenbank erzeugt werden soll, auf die nur Mitglieder der Gruppe Zugriff haben. Darüber hinaus können Sie ein Standard-Präfix für die Namen der Gruppen-Datenbanken festlegen.
  • Private Datenbanken für neue Benutzer automatisch erzeugen: Legen Sie fest, ob für jeden neuen Benutzer, der dem Enterprise Server hinzugefügt wird, automatisch auch eine private Datenbank erstellt werden soll. Diese Datenbank wird dann ebenfalls auf dem Enterprise Server abgespeichert und ein Benutzer kann hier private Daten ablegen, die nicht Inhalt der Unternehmensdatenbank sein sollen. Sie können hier zudem ein Standardpräfix für DB-Namen festlegen.
  • Private Datenbanken von gelöschten Benutzern automatisch löschen: Umgekehrt können Sie mit dieser Option festlegen, ob private Datenbanken beim Löschen eines Server-Benutzers ebenfalls automatisch gelöscht werden sollen. Ist diese Option aktiviert und wird ein Benutzer vom Server gelöscht, so wird gleichzeitig auch automatisch seine private Datenbank entfernt und diese ist anschließend dann nicht mehr als Datenbank auf dem Server zu sehen bzw. verfügbar.

HINWEIS: Bitte beachten Sie, dass standardmäßig alle drei Optionen deaktiviert sind.

Schutz vor Brute-Force-Angriffen

  • Benutzerkonto nach mehreren fehlgeschlagenen Anmeldungen in Folge deaktivieren: Definieren Sie nach wie vielen fehlerhaften Anmeldeversuchen ein Benutzerkonto gesperrt werden soll. 
  • IP-Adresse nach mehreren fehlgeschlagenen Anmeldungen innerhalb kurzer Zeit sperren:  
    • Anmeldeversuche: Legen Sie fest, nach wie vielen fehlgeschlagenen Anmeldeversuchen eine IP-Adresse automatisch gesperrt wird.
    • Innerhalb von (Minuten): Geben Sie an, innerhalb welches Zeitraums die oben definierte Anzahl an Fehlversuchen auftreten muss, damit die Sperrung erfolgt.
    • Entsperren nach (Minuten): Bestimmen Sie, wie lange die betroffene IP-Adresse nach einer Sperrung blockiert bleiben soll, bevor sie automatisch wieder freigegeben wird.

Geben Sie an, nach wie vielen fehlgeschlagenen Anmeldeversuchen ein Benutzerkonto vorläufig gesperrt werden soll. Wurde ein Benutzerkonto gesperrt, so kann es im Server-Manager unter Benutzer → <BENUTZERNAME> → Konto wieder aktiviert werden, indem Sie bei Konto deaktiviert das Häkchen entfernen.

HINWEIS: Fehlgeschlagene Anmeldeversuche über den Client am Enterprise Server werden nicht nach x Stunden oder Tagen wieder zurückgesetzt werden - das heißt also im Umkehrschluss, der Password Depot Server-Manager "merkt" sich immer die Anzahl der fehlgeschlagenen Versuche und addiert diese dann entsprechend. Wenn der Benutzer allerdings nach 2 fehlgeschlagenen Anmeldeversuchen das Kennwort beim dritten Mal korrekt eingibt (sofern in den Serveroptionen die maximale Anzahl an fehlgeschlagenen Anmeldeversuchen auf 3 gestellt ist), dann wird die Gesamtanzahl wieder auf 0 gesetzt. In diesem Fall werden also die vorherigen Fehlversuche gelöscht und der Benutzer hat dann von neuem wieder 3 Anmeldeversuche, bis er wieder gesperrt wird usw. 

E-Mail

In dieser Registerkarte können Sie Einstellungen zu einem E-Mail-Server vornehmen:

  • Absender: Hier können Sie die E-Mail-Adresse des Absenders sowie seinen Namen eintragen.
  • Postausgangsserver: Hier können Sie den Postausgangsserver konfigurieren.
  • Verbindung testen: Hier können Sie die E-Mail-Adresse eines Empfängers einfügen und eine Test-Mail verschicken, um die zuvor vorgenommenen Einstellungen zu überprüfen.

2FA-Einstellungen

Hier können Sie einstellen, ob Sie eine Zwei-Faktor-Authentifizierung Ihrer Benutzer am Server wünschen und diese aktivieren möchten.

Betriebsart

  • TOTP - Codes werden von mobilen Authenticator-Apps generiert: Um für die Anmeldung den zweiten Faktor zu erhalten, ist die Nutzung einer Authenticator-App notwendig. 
  • E-Mail - Codes werden vom Server an die Standardadresse des Benutzers gesendet: Der zweite Faktor wird hier per E-Mail an den entsprechenden Benutzer und die jeweils hinterlegte E-Mail-Adresse gesendet.
  • Vertrauenszeitraum für Benutzergeräte (Stunden): Der Administrator hat hier die Möglichkeit, eine bestimmte Anzahl an Tagen festzulegen, während derer die Benutzer einer Verbindung zu einem bestimmten Gerät vertrauen können. Für den Fall der Zwei-Faktor-Authentifizierung bedeutet dies, dass für den gewählten Zeitraum x nicht bei jeder Anmeldung am gleichen Gerät erneut ein Code eingegeben werden muss, sondern nur beim erstmaligen Verbinden, sofern der entsprechende Benutzer beim Anmelden auch die Option Diesem Computer vertrauen ausgewählt hat.
  • Ablaufzeit des E-Mail-Codes (Minuten): Der Admin kann für einen per E-Mail versandten Code einen Zeitraum der Gültigkeit standardmäßig festlegen. Gibt ein Benutzer den Code nicht rechtzeitig ein, so läuft dieser ab und verliert im Anschluss seine Gültigkeit. In diesem Fall muss für eine korrekte Authentifizierung sodann ein neuer Code angefordert werden.
  • FIDO2/WebAuthn-Sicherheitsschlüssel: Seit Version 18 unterstützt der Password Depot Enterprise Server FIDO2/WebAuthn, sodass Benutzer YubiKeys sowie andere Security-Devices als Zwei-Faktor-Authentifizierungsmethode (2FA) verwenden können, wenn sich diese über den Password Depot-Client mit einem Password Depot-Server verbinden. Für weitere Informationen hinsichtlich der FIDO2-Einrichtung lesen Sie bitte unsere Anleitung.

TIPP: In unserem Support-Portal finden Sie weitere Informationen zur Zwei-Faktor-Authentifizierung.

HINWEIS: Sowohl die Integrierte Windows-Authentifizierung als auch die Anmeldung am Server per Benutzername und Kennwort unterstützen die Zwei-Faktor-Authentifizierung. Unter Benutzer → <BENUTZERNAME> → Konto können Sie für einzelne Benutzer die Zwei-Faktor-Authentifizierung deaktivieren; außerdem können Sie im Benutzerbereich die 2FA für Ihre Benutzer auch zurücksetzen, falls es zu Problemen kommen sollte. Mehr dazu können Sie auch im Bereich Benutzer lesen.

Active Directory

SSPI 

In diesem Feld haben Sie die Möglichkeit, den gewünschten Authentifizierungsdienst (SSPI) auszuwählen. 

  • SSPI-Modus: Wählen Sie den gewünschten Authentifizierungsdienst aus (NTLM, Negotiate oder Kerberos). 
  • Service Principal Name (SPN): Wählen Sie den richtigen Service Principal Name aus. 

Synchronisation

  • Protokoll: Wählen Sie zwischen LDAP:// und GC://
  • Automatische Synchronisierung mit AD alle: Aktivieren Sie die automatische Active Directory-Synchronisation und in welchen Abständen diese durchgeführt werden soll. Zusätzlich können Sie einstellen, was während der automatischen Synchronisation mit Benutzern und Gruppen passieren soll, die nicht (mehr) in Active Directory gefunden werden. Sie können solche Benutzer entweder ignorieren, deaktivieren oder löschen lassen. Beachten Sie bitte jedoch, dass sich diese Optionen ausschließlich auf den Enterprise Server beziehen, nicht aber auf die Active Directory an sich - hier werden grundsätzlich keine Änderungen durchgeführt.

HINWEIS: Vorzugsweise sollte die Synchronisation vom Administrator zu gegebenem Anlass manuell angestoßen werden. Falls Sie eine automatische Synchronisation benötigen, sollte diese nach Möglichkeit zu Zeiten, in denen die Serverlast gering ist und dann beispielsweise alle 24 Stunden erfolgen.

HINWEIS: Die Serveroption Automatische Synchronisation mit AD alle ist auf 60 Minuten begrenzt und verwendet das SYSTEM-Konto des Windows-Servers.

Azure-AD

Mandanten

Hier können Sie dem Server-Manager und Enterprise Server eine neue Organisation hinzufügen, über die Sie im Anschluss die Azure AD-Synchronisation durchführen möchten.

  • Neu: Klicken Sie auf Neu, um den Vorgang zu starten. Im Anschluss müssen Sie einen Microsoft-Account wählen und sich mit Ihren Admin-Zugangsdaten hier anmelden. Nach erfolgreicher Anmeldung können Sie im Mandanten-Bereich die hinzugefügte Organisation sehen. Gehen Sie nun im Server-Manager auf Extras → Azure AD-Import, um Azure AD-Benutzer dem Server per automatischer Synchronisation hinzuzufügen. Im entsprechenden Synchronisationsassistenten können Sie nun die zuvor hinzugefügte Organisation auswählen.

TIPP: Alternativ können Sie diesen Vorgang auch direkt über Extras → Azure AD-Import starten. Auch hier finden Sie die Schaltfläche Neu, um eine Organisation für die Azure AD-Synchronisation auszuwählen und dem Server hinzuzufügen.

  • Aktualisieren: Über die Schaltfläche Aktualisieren können Sie eine bereits hinzugefügte Organisation im Server-Manager aktualisieren.
  • Löschen: Über die Schaltfläche Löschen können Sie Organisationen wieder aus dem Server-Manager löschen, sollten Sie diese beispielsweise nicht mehr benötigen. Anschließend können Sie über die Schaltfläche Neu eine andere Organisation zur Azure AD-Synchronisation auswählen.

HINWEIS: Weitere Informationen zur Azure AD-Synchronisation im Server-Manager erhalten Sie auch im Kapitel Azure AD-Import im Bereich Extras.

Synchronisation

  • Automatische AD-Synchronisation alle: Hier können Sie, wie bei der normalen automatischen Active Directory-Synchronisation auch, die automatische Azure AD-Synchronisation alle x Minuten aktivieren. Die Azure AD-Benutzer und ihre Attribute werden dann zu dem festgelegten Intervall immer automatisch synchronisiert und aktualisiert. Die Option Benutzer und Gruppen nicht im AD gefunden funktioniert hier gleichermaßen wie bei der normalen automatischen Active Directory-Synchronisation, mit dem einzigen Unterschied, dass sie sich eben auf die Azure AD bezieht.

OpenID Connect

Identitätsanbieter

Hier können Sie neue Identitätsanbieter erstellen, aktualisieren und löschen. 

  • Neu: Klicken Sie auf Neu, um einen neuen OIDC-Eintrag zu erstellen. 

TIPP: Alternativ können Sie diesen Vorgang auch direkt über Extras → OIDC-Import starten. 

HINWEIS: Weitere Informationen zur OIDC-Synchronisation im Server-Manager erhalten Sie auch im Kapitel OIDC-Import im Bereich Extras.

Hauptschlüssel/WebAuthn

In dieser Registerkarte können Sie Einstellungen für die Authentifizierung per Hauptschlüssel/WebAuthn vornehmen. Sie können neben USB-Sicherheitsschlüsseln auch Windows Hello, Smartphones und andere Geräte verwenden.

Vertrauensseite

  • Vertrauensseite-ID: Geben Sie hier die ID der Vertrauensseite ein.
  • Anzeigename: Wählen Sie einen Anzeigenamen aus.

Registrierungseinstellungen

  • Anhang: Wählen Sie zwischen Alle unterstützten, Platform (interne Authentifikatoren) sowie Cross-Platform (Roaming-Authentifikatoren).
  • Timeout (Sekunden): Stellen Sie einen Timeout-Wert in Sekunden ein. Der maximal einstellbare Wert beträgt 300 Sekunden.

Authentifizierungseinstellungen

  • Benutzerverifizierung: Legen Sie fest, ob eine Benutzerverifizierung erforderlich sein soll. Sie haben die Wahl zwischen den Optionen Alle unterstützten, Erforderlich, Bevorzugt sowie Nicht empfohlen.
  • Timeout (Sekunden): Stellen Sie einen Timeout-Wert in Sekunden ein. Der maximal einstellbare Wert beträgt 300 Sekunden.