Serveroptionen

Die Serveroptionen sind das erste Dialogfeld im Menüpunkt Verwalten. Es stehen Ihnen hier folgende Registerkarten zur Verfügung: Allgemein, Verbindungen, Protokollierung, SicherungsdateienErweitert, E-Mail2FA-Einstellungen, Active Directory sowie Azure-AD. Über die Serveroptionen können Sie den Enterprise Server allgemein konfigurieren und dabei Einstellungen vornehmen, die den gesamten Server und alle Benutzer betreffen. Im Folgenden werden die einzelnen Registerkarten sowie deren Inhalt erläutert.

Allgemein

Server

Hier können Sie folgende Einstellungen des Servers vornehmen:

  • Sprache des Servers: Erlaubt es, die Sprache des Servers (nicht der Benutzeroberfläche!) festzulegen. Sie können hier zwischen Englisch, Deutsch, Französisch, Spanisch und Niederländisch wählen.
  • Server-Port: Legt den Port für die Verbindung fest. Grundsätzlich wird hier der von Password Depot vorgegebene Standardport gezeigt, der auf Wunsch aber angepasst werden kann. Beachten Sie bei Anpassung des Ports, dass anschließend auch im Client für die Serververbindung der korrekte Port angegeben wird.
  • Internet-Protokoll: Sie können hier zur Verbindung ein bestimmtes Internet-Protokoll festlegen, das standardmäßig genutzt werden soll. Folgende Optionen stehen zur Verfügung: IPv4+IPv6, IPv4, IPv6. Je nach entsprechender Netzwerk-Konfiguration können Administratoren daher festlegen, welche Internet-Protokoll-Versionen der Server grundsätzlich unterstützen soll. Der Server sendet dann per UDP an die Clients eine Info-Nachricht zur unterstützten Internet-Protokoll-Version, sodass die Clients im Anschluss dann automatisch die richtige Version für die Haupt-TCP-Verbindung wählen. 
  • SSL/TLS verwenden: Aktivieren Sie die Nutzung einer SSL/TLS-Verbindung zwischen Enterprise Server und den Clients. Klicken Sie auf Zertifikat installlieren, um das entsprechende Zertifikat am Server zu hinterlegen. Es öffnet sich im Anschluss ein neues Fenster, in dem Sie den Pfad zu Ihrer Zertifikatsdatei sowie deren Schlüssel erfassen können. Außerdem erfolgt hier auch die Eingabe eines Kennworts.
  • Keepalive aktivieren: Die Keepalive-Option wird verwendet, wenn der Client mit einem Server kommuniziert, der sich nicht im gleichen Netzwerk befindet.

WARNING: Falls Sie den Serverport-Port geändert haben, stellen Sie sicher, dass er von keiner anderen Anwendung verwendet wird.

REST-Server

  • Ursprungs-URL: Geben Sie hier die korrekte URL Ihres Password Depot-Web-Servers ein, das heißt, die genaue URL, über die Ihr Enterprise Server in Verbindung mit dem Web-Client erreichbar ist.
  • SSL/TLS für REST-Server verwenden: Aktivieren Sie die Nutzung einer SSL/TLS-Verbindung bei der REST-Server-Verbindung. Durch die REST-Server-Implementierung kann auf den Enterprise Server nun über eine REST-API zugegriffen werden. Zu Demonstrationszwecken oder für den produktiven Einsatz steht eine neue Web-Schnittstelle im Quellcode zur Verfügung. Es handelt sich grundsätzlich um einen Web-Server, der sowohl das HTTP- als auch das HTTPS-Protokoll (empfohlen) verwenden kann. Um HTTPS verwenden zu können, müssen Sie ein gültiges SSL-Zertifikat installieren. Die Installation des Zertifikats für REST-Server erfolgt dann in diesem Fall über die Schaltfläche Zertifikat installieren rechts daneben.

TIPP: Weitere Informationen zur Nutzung eines SSL-Zertifikats am Enterprise Server finden Sie hier: Wie funktioniert die SSL-Verbindung am Enterprise Server und wie richte ich diese ein?

Datenbanken

  • Speicherort: Gibt den Pfad an, unter dem standardmäßig die Server-Datenbanken abgelegt werden. Per Vorgabe ist dies bei Password Depot 17 C:\Program Files\AceBIT\Password Depot Server 17\Data\DB. Auf Wunsch können Sie diesen Pfad anpassen, jedoch empfehlen wir, in jedem Falle ein lokales und keine gemappten Laufwerke für das Abspeichern der Server-Datenbanken zu wählen, da es bei Letzeren zu Zugriffsproblemen kommen kann. Sofern der Password Depot Enterprise Server während des Abspeicherns den in den Serveroptionen angegebenen Pfad nicht finden kann, springt er zurück auf die Standardeinstellungen und speichert die Datenbanken im entsprechenden Standard-Ordner ab.

Verbindungen

Unterstützte Authentifizierungen

Legen Sie fest, welche Arten der Authentifizierung Sie auf Ihrem Server zulassen möchten. Dabei können Sie zwischen den Optionen Zugangsdaten (Konto und Kennwort)Integrierte Windows-Authentifizierung (Single Sign On) sowie Azure Active Directory wählen. Sie können verschiedene Arten der Authentifizierung auf Ihrem Server gleichzeitig aktiviert haben. 

TIPP: Ausführliche Informationen zur Nutzung der Integrierten Windows-Authentifizierung und der hierfür notwendigen Einstellungen finden Sie in unserer Knowledge Base unter: Wie erfolgt die Anmeldung am Enterprise Server per Single Sign-On (SSO)? .

Unterstützte Clients

Legen Sie fest, welche Clients sich mit Ihrem Server verbinden dürfen. Folgende Optionen stehen hier zur Auswahl: 

  • Standard-Edition für Windows
  • Corporate-Edition für Windows
  • Android Edition
  • iOS Edition
  • macOS Edition
  • Web-Client

HINWEIS: Über den Server-Manager müssen alle Clients, mit denen eine Verbindung erfolgen soll, aktiviert sein, ansonsten ist eine Verbindung nicht möglich.

Neue Verbindung von anderem Gerät:

Bestimmen Sie hier wie mit Verbindungen des gleichen Benutzers auf weiteren Geräten verfahren werden soll. Sie können hier zwischen den folgenden Optionen wählen:

  1. Neue Verbindungen verweigern, wenn Benutzer bereits angemeldet ist
  2. Bestehende Verbindung beenden und neue erlauben
  3. Mehrere Verbindungen von verschiedenen IP-Adressen erlauben

HINWEIS: Der Enterprise Server ist, wie die meisten anderen ähnlichen Server, nicht dafür vorgesehen, mehrere Verbindungen desselben Benutzers zuzulassen. Diese Option wurde eingeführt, weil es durchaus vorkommen kann, dass Benutzer gleichzeitig eine Verbindung von einem Client und einem mobilen Gerät aus benötigen. Das funktioniert immer noch, weil mobile Geräte nicht in Echtzeit synchronisiert werden. Wenn sich ein Benutzer aber mit seinem Account gleichzeitig über zwei Windows-Clients verbinden möchten, kann das ein Problem verursachen und es kommt zur Trennung einer der beiden bestehenden Verbindungen. 

Inaktive Sitzungen

Legen Sie fest, wie Password Depot Enterprise Server mit inaktiven Verbindungen verfahren soll. Sie können hier zum Beispiel bestimmen, dass der Client vom Server nach x Minuten der Inaktivität getrennt werden soll. Zusätzlich können Sie dann bei Aktivierung der Option veranlassen, dass die geöffnete Datenbank geschlossen und der entsprechende Client abgemeldet wird.

Protokollierung

In dieser Registerkarte befinden sich alle Einstellungen zu den Protokollen, die der Password Depot Enterprise Server anlegt. Folgende Optionen können Sie individuell einstellen:

Lokales Protokoll

  • Protokollordner: Bestimmen Sie, in welchem Verzeichnis die Protokolle des Enterprise Servers abgespeichert werden sollen. Standardmäßig lautet das Verzeichnis hierfür C:\Program Files\AceBIT\Password Depot Server 17\Logs. Über die Schaltfläche Durchsuchen können Sie dieses anpassen, wir empfehlen Ihnen jedoch, nach Möglichkeit hier immer ein lokales Verzeichnis zu verwenden.
  • Max. Dateigröße: Definieren Sie, wie groß die Protokolldatei des Servers (KB) maximal sein soll.
  • Neue Protokolldatei erstellen: Legen Sie fest, wann die Protokolldatei jeweils erzeugt werden soll.
  • Protokolle löschen: Definieren Sie die Einstellungen zum Löschen von bereits existierenden Protokollen. So können Sie entweder einstellen, dass Server-Protokolle nie gelöscht werden sollen oder aber Sie legen eine bestimmte Anzahl an Protokollen fest, die behalten werden sollen, beispielsweise 30 (standardmäßig voreingestellt). Dies bedeutet, dass die letzten 30 Protokolle behalten und alle älteren automatisch gelöscht werden.

Remote Protokoll

  • Protokollmeldungen an einen Remote-Server senden: Setzen Sie hier ein Häkchen, wenn Sie möchten, dass die Protokolldateien des Enterprise Servers automatisch an einen externen Remote-Server gesendet werden. Dadurch können Sie sicherstellen, dass die Protokolle des Servers nicht durch unbefugten Zugriff manipuliert werden.

Sicherungsdateien

In dieser Registerkarte können Sie Einstellungen zu Ihrer Datensicherung im Allgemeinen vornehmen. Folgendes kann dabei von Ihnen festgelegt werden:

Datenbanken und Einstellungen sichern

  • Sicherungsordner: Hier können Sie festlegen, wo die Sicherungsdateien des Servers gespeichert werden sollen. Standardmäßig lautet das Verzeichnis hierfür C:\Program Files\AceBIT\Password Depot Server 17\Backups\. Über die Schaltfläche Durchsuchen können Sie dieses anpassen, wir empfehlen Ihnen jedoch, auch hier nach Möglichkeit immer ein lokales Verzeichnis zu verwenden. Es werden dabei Sicherungen Ihrer Datenbanken, Logs sowie der cfg-Datei (pwd_srv.cfg), in der Ihre Benutzer und Einstellungen gespeichert sind, angelegt.
  • Bei jedem Programmstart sichern: Markieren Sie diese Option, damit Password Depot Enterprise Server bei jedem Start eine neue Sicherungskopie anfertigt.
  • Datenbanken sichern alle: Legen Sie einen Zeitpunkt fest, wann Password Depot Enterprise Server automatisch eine Sicherungskopie anfertigen soll. Wir empfehlen, dies mindestens einmal am Tag (also alle 24 Stunden) zu tun. 

Alte Sicherungsdateien

  • Anzahl gespeicherter Sicherungsdateien begrenzen auf
  • Sicherungsdateien löschen, die älter sind als

HINWEIS: Standardmäßig sind die beiden Optionen Datenbanken bei jedem Programmstart sichern und Datenbanken sichern alle x Stunden ausgewählt und wir empfehlen darüber hinaus auch, beide Optionen aktiviert zu lassen.

Sicherungsprotokoll

  • Protokolle sichern in Datei: Wenn Sie diese Option markieren, erstellt das Programm ein Protokoll der vorgenommenen Sicherungen und speichert es in der angegebenen Datei ab, damit später nachverfolgt werden kann, zu welchem Zeitpunkt die Datenbanken gesichert wurden.

Erweitert

In dieser Registerkarte stehen Ihnen erweiterte Einstellungen wie folgt zur Verfügung:

Einträge bearbeiten

  • Zeit, bis der Eintrag gesperrt wird (Min.): Legen Sie eine Zeit (in Minuten) fest, nach deren Ablauf sich ein Eintrag automatisch sperren soll, wenn ein Benutzer diesen Eintrag geöffnet hat, ihn gerade jedoch nicht nutzt. Standardmäßig sind hier fünf Minuten vorgegeben, diesen Zeitraum können Sie sowohl verringern als auch erhöhen.

Private Datenbanken

  • Private Datenbanken für neue Benutzer automatisch erzeugen: Legen Sie fest, ob für jeden neuen Benutzer, der dem Enterprise Server hinzugefügt wird, automatisch auch eine private Datenbank erstellt werden soll. Diese Datenbank wird dann ebenfalls auf dem Enterprise Server abgespeichert und ein Benutzer kann hier private Daten ablegen, die nicht Inhalt der Unternehmensdatenbank sein sollen. Im Bereich Datenbank werden private Datenbanken dann mit folgender Bezeichnung versehen: Private_DB_<BENUTZER→.pswe
  • Private Datenbanken von gelöschten Benutzern automatisch löschen: Umgekehrt können Sie mit dieser Option festlegen, ob private Datenbanken beim Löschen eines Server-Benutzers ebenfalls automatisch gelöscht werden sollen. Ist diese Option aktiviert und wird ein Benutzer vom Server gelöscht, so wird gleichzeitig auch automatisch seine private Datenbank entfernt und diese ist anschließend dann nicht mehr als Datenbank auf dem Server zu sehen bzw. verfügbar.

HINWEIS: Bitte beachten Sie, dass standardmäßig beide Optionen deaktiviert sind.

WebSockets-Port für Clients

  • Standard-Portnummer verwenden: Die Standard-Portnummer für das Add-On lautet 25109 und ist standardmäßig aktiviert. Wenn das Browser-Add-On verwendet wird, erfolgt die Kommunikation standardmäßig über diesen Port und Benutzer müssen dabei keine Änderungen mehr vornehmen, da der Port 25109 auch bereits standardmäßig im Browser voreingestellt ist. Auf Wunsch bzw. wenn notwendig, kann die Portnummer jedoch manuell geändert werden. Bitte beachten Sie in diesem Fall, dass dies sowohl im Client selbst (Bearbeiten → Optionen → Browser → WebSockets-Port) als auch im Browser selbst in den Add-On-Einstellungen geändert werden muss.
  • Automatisches Generieren der Portnummern (empfohlen für Terminal-Server): Wie der Beschreibung zu entnehmen ist, empfiehlt sich diese Option dringend bei Verwendung von Password Depot auf einem Terminal-Server. Da bei einem Terminal-Server alle Benutzer am gleichen PC arbeiten, muss sichergestellt werden, dass bei der Nutzung des Browser-Add-Ons jedem Benutzer auch eine eigene Portnummer für die Kommunikation mit dem Add-On zugewiesen wird. Die Socket-Portnummer ist kein virtueller, sondern ein physikalischer Parameter und kann daher nicht von mehreren Instanzen der Password Depot-Clients gemeinsam genutzt werden.

    Werden bei Einsatz eines Terminal-Servers keine eindeutigen Portnummern für jeden Client verwendet, so sind Probleme vorprogrammiert, da Password Depot dann nicht wissen kann, an welchen Client es vom Add-On angeforderte Zugangsdaten senden soll. Es kann dann beispielsweise passieren, dass Benutzer A die Login-Daten von Benutzer B erhält, obwohl er nicht für diese Zugangsdaten berechtigt ist. Es ist deshalb zwingend erforderlich, bei Nutzung eines Terminal-Servers jedem Benutzer eine individuelle Portnummer zuzuweisen. In den Serveroptionen können Sie die Option Automatisches Generieren der Portnummern (empfohlen für Terminal-Server) daher standardmäßig für den Enterprise Server aktivieren, sodass für jeden Benutzer am Server eine eigene Portnummer automatisch generiert wird und der Administrator dies nicht mehr manuell, für jeden Benutzer einzeln, einstellen muss. Die Benutzer können im Anschluss die eigens zugewiesene Portnummer über die Client-Optionen auslesen und müssen diese danach nur noch im Browser selbst anpassen.

TIPP: Mehr zu diesem Thema erfahren Sie hier: Wie ändere ich die Portnummer bei Verwendeung des Add-Ons, wenn Password Depot auf einem Terminal-Server läuft?

Fehlgeschlagene Anmeldungen

Geben Sie an, nach wie vielen fehlgeschlagenen Anmeldeversuchen ein Benutzerkonto vorläufig gesperrt werden soll. Wurde ein Benutzerkonto gesperrt, so kann es im Server-Manager unter Benutzer → <BENUTZERNAME→ → Konto wieder aktiviert werden, indem Sie bei Konto deaktiviert das Häkchen entfernen.

HINWEIS: Fehlgeschlagene Anmeldeversuche über den Client am Enterprise Server werden nicht nach x Stunden oder Tagen wieder zurückgesetzt werden - das heißt also im Umkehrschluss, der Password Depot Server-Manager "merkt" sich immer die Anzahl der fehlgeschlagenen Versuche und addiert diese dann entsprechend. Wenn der Benutzer allerdings nach 2 fehlgeschlagenen Anmeldeversuchen das Kennwort beim dritten Mal korrekt eingibt (sofern in den Serveroptionen die maximale Anzahl an fehlgeschlagenen Anmeldeversuchen auf 3 gestellt ist), dann wird die Gesamtanzahl wieder auf 0 gesetzt. In diesem Fall werden also die vorherigen Fehlversuche gelöscht und der Benutzer hat dann von neuem wieder 3 Anmeldeversuche, bis er wieder gesperrt wird usw. 

E-Mail

In dieser Registerkarte können Sie Einstellungen zu einem E-Mail-Server vornehmen:

  • Absender: Hier können Sie die E-Mail-Adresse des Absenders sowie seinen Namen eintragen.
  • Postausgangsserver: Hier können Sie den Postausgangsserver konfigurieren.
  • Verbindung testen: Hier können Sie die E-Mail-Adresse eines Empfängers einfügen und eine Test-Mail verschicken, um die zuvor vorgenommenen Einstellungen zu überprüfen.

2FA-Einstellungen

Hier können Sie einstellen, ob Sie eine Zwei-Faktor-Authentifizierung Ihrer Benutzer am Server wünschen und diese aktivieren möchten.

Betriebsart

  • TOTP - Codes werden von mobilen Authenticator-Apps generiert: Um für die Anmeldung den zweiten Faktor zu erhalten, ist die Nutzung einer Authenticator-App notwendig. 
  • E-Mail - Codes werden vom Server an die Standardadresse des Benutzers gesendet: Der zweite Faktor wird hier per E-Mail an den entsprechenden Benutzer und die jeweils hinterlegte E-Mail-Adresse gesendet.
  • Benutzer dürfen sich die Geräte merken lassen (Tage): Der Administrator hat hier die Möglichkeit, eine bestimmte Anzahl an Tagen festzulegen, während derer die Benutzer einer Verbindung zu einem bestimmten Gerät vertrauen können. Für den Fall der Zwei-Faktor-Authentifizierung bedeutet dies, dass für den gewählten Zeitraum x nicht bei jeder Anmeldung am gleichen Gerät erneut ein Code eingegeben werden muss, sondern nur beim erstmaligen Verbinden, sofern der entsprechende Benutzer beim Anmelden auch die Option Diesem Computer vertrauen ausgewählt hat.
  • Ablaufzeit des E-Mail-Codes (Minuten): Der Admin kann für einen per E-Mail versandten Code einen Zeitraum der Gültigkeit standardmäßig festlegen. Gibt ein Benutzer den Code nicht rechtzeitig ein, so läuft dieser ab und verliert im Anschluss seine Gültigkeit. In diesem Fall muss für eine korrekte Authentifizierung sodann ein neuer Code angefordert werden.

TIPP: In unserer Knowledge Base finden Sie weitere Informationen zur Zwei-Faktor-Authentifizierung.

HINWEIS: Sowohl die Integrierte Windows-Authentifizierung als auch die Anmeldung am Server per Benutzername und Kennwort unterstützen die Zwei-Faktor-Authentifizierung. Unter Benutzer → <BENUTZERNAME→ → Konto können Sie für einzelne Benutzer die Zwei-Faktor-Authentifizierung deaktivieren; außerdem können Sie im Benutzerbereich die 2FA für Ihre Benutzer auch zurücksetzen, falls es zu Problemen kommen sollte. Mehr dazu können Sie auch im Bereich Benutzer lesen.

Active Directory

Synchronisation

  • Automatische AD-Synchronisation alle: Aktivieren Sie die automatische Active Directory-Synchronisation und in welchen Abständen diese durchgeführt werden soll. Zusätzlich können Sie einstellen, was während der automatischen Synchronisation mit Benutzern und Gruppen passieren soll, die nicht (mehr) in Active Directory gefunden werden. Sie können solche Benutzer entweder ignorieren, deaktivieren oder löschen lassen. Beachten Sie bitte jedoch, dass sich diese Optionen ausschließlich auf den Enterprise Server beziehen, nicht aber auf die Active Directory an sich - hier werden grundsätzlich keine Änderungen durchgeführt.

HINWEIS: Vorzugsweise sollte die Synchronisation vom Administrator zu gegebenem Anlass manuell angestoßen werden. Falls Sie eine automatische Synchronisation benötigen, sollte diese nach Möglichkeit zu Zeiten, in denen die Serverlast gering ist und dann beispielsweise alle 24 Stunden erfolgen.

HINWEIS: Die Serveroption Automatische AD-Synchronisation alle ist auf 60 Minuten begrenzt und verwendet das SYSTEM-Konto des Windows-Servers.

Azure-AD

Mandanten

Hier können Sie dem Server-Manager und Enterprise Server eine neue Organisation hinzufügen, über die Sie im Anschluss die Azure AD-Synchronisation durchführen möchten.

  • Neu: Klicken Sie auf Neu, um den Vorgang zu starten. Im Anschluss müssen Sie einen Microsoft-Account wählen und sich mit Ihren Admin-Zugangsdaten hier anmelden. Nach erfolgreicher Anmeldung können Sie im Mandanten-Bereich die hinzugefügte Organisation sehen. Gehen Sie nun im Server-Manager auf Extras → Azure AD-Synchronisation, um Azure AD-Benutzer dem Server per automatischer Synchronisation hinzuzufügen. Im entsprechenden Synchronisationsassistenten können Sie nun die zuvor hinzugefügte Organisation auswählen.

TIPP: Alternativ können Sie diesen Vorgang auch direkt über Extras → Azure AD-Synchronisation starten. Auch hier finden Sie die Schaltfläche Neu, um eine Organisation für die Azure AD-Synchronisation auszuwählen und dem Server hinzuzufügen.

  • Aktualisieren: Über die Schaltfläche Aktualisieren können Sie eine bereits hinzugefügte Organisation im Server-Manager aktualisieren.
  • Löschen: Über die Schaltfläche Löschen können Sie Organisationen wieder aus dem Server-Manager löschen, sollten Sie diese beispielsweise nicht mehr benötigen. Anschließend können Sie über die Schaltfläche Neu eine andere Organisation zur Azure AD-Synchronisation auswählen.

HINWEIS: Weitere Informationen zur Azure AD-Synchronisation im Server-Manager erhalten Sie auch im Kapitel Azure AD-Synchronisation im Bereich Extras.

Synchronisation

  • Automatische AD-Synchronisation alle: Hier können Sie, wie bei der normalen automatischen Active Directory-Synchronisation auch, die automatische Azure AD-Synchronisation alle x Minuten aktivieren. Die Azure AD-Benutzer und ihre Attribute werden dann zu dem festgelegten Intervall immer automatisch synchronisiert und aktualisiert. Die Option Benutzer und Gruppen nicht im AD gefunden funktioniert hier gleichermaßen wie bei der normalen automatischen Active Directory-Synchronisation, mit dem einzigen Unterschied, dass sie sich eben auf die Azure AD bezieht.