Bei der Verwendung von mehreren Verzeichnisdiensten ist es möglich, dass mehrere Konten denselben Anmeldenamen aufweisen. Für dies Fälle kann es sinnvoll schein, beide der Anmeldung eine Auswahl der verfügbaren Anmeldemöglichkeiten anzubieten.

• (1) Aktiviert die Anzeige der Auswahl auf dem Anmeldebildschirm
• (2) Sie haben die Möglichkeit, die Anzeige dieser Auswahl auf Clientsysteme aus den eingetragenen Subnetzen einzugrenzen.
• (3) Verifizierungsfunktion der unter (2) vorgenommenen Einstellungen

Beispiel eines Sreenshots mit angezeigter Auswahl der Verzeichnisdienste.

Dieses Konto gewährleistet, korrekt konfiguriert, dass Sie sich immer am System mit vollen administrativen Rechten anmelden können.
Reguläre Administratorenkonten können gesperrt werden, wenn das System Unregelmässigkeiten feststellt.

Konfiguration

• (1) Benutzername (login)
  Legen Sie einen entsprechenden Benutzernamen fest. Die Mindestlänge beträgt 10 Zeichen und erfordert ein «!» -Zeichen
• (2) Geheimnis (Teil des Passwortes)
  Legen Sie einen unveränderlichen Teil des Passwortes fest
• (3) Generierung des Passwortes
  Das Passwort kann aus bis zu 4 Teilen zusammengesetzt werden. Abgesehen der Verwendung des unter (2) erfasstes Geheimnisses ändern sich bei der Verwendung der anderen Möglichkeiten diese Teile basierend auf dem aktuellem Datum des Applikationsservers.
• (4) Anzeige des aktuellen Passwortes basierend auf der unter (3) vorgenommen Konfiguration
  4H[Secret]2024, Es handelt sich demzufolge um ein Passwort an einem Mittwoch (4.ter Tag der Woche) im August (H, achter Buchstabe im Alphabet) im Jahr 2024.
• (5) Sie haben die Möglichkeit, die Authentifizierung auf die eingetragenen Subnetze zu beschränken.
• (6) Verifizierungsfunktion der unter (5) vorgenommenen Einstellungen

Die sicherheitsrelevanten Daten wie der Benutzername, das Geheimnis und die verwendeten Regeln zur Generierung des Passwortes werden verschlüsselt gespeichert.

Auswahl für die Eingabefelder unter (3)

• Inaktiv
  Nicht verwendet
• Geheimnis
  Erfasster, fixer Teil des Passwortes
• Aktuelles Jahr in 4 Ziffern
• Aktuelles Jahr in 2 Ziffern
• Aktueller Monat in 2 Ziffern (01-12)
• Aktueller Monat alphanumerisch (A-L)
  A für Januar bis L für Dezember
• Aktueller Wochentag (Sonntag=1 bis Samstag=7)
• Aktueller Wochentag (Sonntag bis Samstag: S M D M D F S)
  Anfangsbuchstabe des aktuellen Wochentages in deutscher Sprache
• Aktueller Wochentag (Sonntag bis Samstag: So Mo Di Mi Do Fr Sa)
  Die ersten beiden Anfangsbuchstaben des aktuellen Wochentages in deutscher Sprache (case sensitive)

Ergänzende Informationen/Einschränkungen

• Eine Authentifizierung ist innerhalb einer ausschliesslich für die integrierte Windows Authentifizierung konfigurierte Website nicht möglich
• Eine mögliche Sperrung der IP Adresse durch die Missbrauchserkennung bleibt auch bei diesem Konto aktiv

Empfehlungen

Für Ihre lediglich aus Ihren internen Netzwerksegmenten erreichbaren Anwendungen können die Regeln etwas laxer konfiguriert werden.
Ist Ihre Anwendung aus dem Internet erreichbar, empfehlen wir folgende Mindestvoraussetzungen:

• Benutzernamen
  Verwenden Sie beim Benutzernamen einen nur Ihnen bekannten Wert und nicht wie in diesem Beispiel «admin!superuser»
• Geheimnis
  Verwenden Sie eine angemessene Komplexität (Ziffer, Kleinbuchstabe, Grossbuchstab, Sonderzeichen) und Länge (mindestens 6 Zeichen)
• Generierung des Passwortes
  Lassen Sie das Passwort aus mindestens 3 Teilen zusammensetzen
• Schränken Sie die Anmeldung wenn möglich auf erforderliche (interne) Subnetze ein
• Verwenden Sie 2FA für dieses Konto
  Das Vorgehen zur Aktivierung der 2FA dieses Kontos erfolgt wie bei allen anderen Konten. Sie müssen sich dazu mit diesem «Root-Benutzer» anmelden.
• Wechseln Sie das Geheimnis und/oder die Regel zur Generierung regelmässig
• Dokumentation
  Notieren Sie diese Konfiguration und stellen Sie sicher, dass ausschliesslich berechtige Personen darauf zugreifen können.