Smartcard-Authentifizierung

Tanium as a Service unterstützt keine Smartcard-Authentifizierung.

Die Tanium™ Console unterstützt Smartcard-Authentifizierung. Eine Smartcard sind physische Zugangsdaten, die über einen Mikrochip und Daten verfügen, wie z. B. sichere Zertifikate und Schlüssel. Smartcards werden auch als Common Access Cards (CAC) und PIV-(Personal Identity Verification)-Karten bezeichnet. Endpunktsysteme werden mit Smartcard-Lesegeräten eingerichtet, und die Endbenutzer verwenden ihre Smartcard zur Authentifizierung und für den Zugriff.

Bereitstellungsanforderungen

Wenn die Smartcard-Authentifizierung aktiviert ist, müssen sich der Tanium™ Server und der Tanium™ Modulserver auf separaten Hosts befinden. Alle Authentifizierungen an der Tanium Console erfordern Smartcards, es sei denn, die Authentifizierungsanforderung stammt aus einer der folgenden Quellen:

  • Dem System, das den Tanium Server über die lokale Loopback-Adresse (127.0.0.1 für Ipv4) oder [::1]für Ipv6) hostet.
  • Die Verbindung zwischen dem Tanium-Modulserver und dem Tanium Server.

Folglich müssen sich alle zusätzlichen Integrationen, die Sie automatisieren möchten, auf einem der beiden Hosts befinden. Beispiele:

  • SSRS-Plugin
  • Excel-Plugin (es sei denn, Sie verwenden die Version, die Smartcard-Authentifizierung unterstützt)
  • Verbindungsmanager – AD Sync
  • Pytan
  • SOC-Websites Dritter, die Tanium nach Daten abfragen
Bei einer nur physisch zugänglichen Bereitstellung („Air-Gap“-Bereitstellung) mit Smartcard-Authentifizierung gibt es mehrere Vorbehalte:
  • Links zu Inhalten, die auf dem Tanium Server gehostet werden, müssen die lokale Loopback-Adresse verwenden. Dies liegt daran, dass der Tanium Downloader-Dienst, der Inhalte auf den Tanium Server herunterlädt, kein Zertifikat vorweisen kann.
  • Links zu Lösungsmodulimporten verwenden sowohl die lokale Loopback-Adresse (für den Arbeitsplatz) als auch die Tanium-Modulserver FQDN für den Teil der Lösung, die auf dem Tanium-Modulserver installiert ist.

Ein Zertifikat erstellen

Die Smartcard-Authentifizierung für den Zugriff auf die Tanium Console hängt von der öffentlichen Schlüsselinfrastruktur (public key infrastructure, PKI) ab, die für das Unternehmen eingerichtet wurde. Sie können beginnen, wenn Sie ein Client-Zertifikat haben, das vom Stammzertifikat für die Domäne unterzeichnet wurde, in der Tanium Server bereitgestellt wird. Stellen Sie sicher, dass es über das Attribut Garantiert dem Remote-Computer Ihre Identität verfügt.

Abbildung 1:  Garantiert dem Remote-Computer Ihre Identität

Das folgende Verfahren zeigt, wie Sie Zertifikate aus dem Client-Zertifikat extrahieren und verwenden, um eine neue Zertifikatsdatei zu erstellen.

In den meisten Fällen müssen Sie nur das Stammzertifikat extrahieren. Wenn dies nicht funktioniert, müssen Sie möglicherweise auch Zwischenzertifikate zur Kette hinzufügen.

Zertifikate extrahieren

  1. Rufen Sie eine Kopie einer Client-Zertifikatsdatei ab, die von der Stamm-CA für die Domäne unterzeichnet wurde. Siehe Abbildung 1.
  2. Doppelklicken Sie auf einem Windows-Computer auf die Zertifikatsdatei, um sie im Windows-Zertifikat-Snap-In zu öffnen.
  3. Wählen Sie auf der Registerkarte Certification Path (Zertifizierungspfad), und wählen Sie das Stammzertifikat aus. In diesem Beispiel ist DigiCert das Stammzertifikat.
  4. Gehen Sie zu Registerkarte Details (Details), und klicken Sie auf Copy to (In) File (Datei kopieren), um den Zertifikatsexport-Assistenten anzuzeigen.
  5. Wählen Sie Base-64-codiert X.509 (.CER).
  6. Wählen Sie einen Ordner aus und legen Sie einen Dateinamen fest. Nennen Sie ihn so etwas wie example1.cer.
  7. Überprüfen Sie die Einstellungen, und klicken Sie auf Finish (Beenden), um das Zertifikat zu speichern.
  8. Wenn Ihre Bereitstellung über intermediäre CAs verfügt, wiederholen Sie diese Schritte, um die Zertifikate für intermediäre CAs zu extrahieren. Gehen Sie zur Registerkarte Certification Path (Zertifizierungspfad), und wählen Sie das nächste Zertifikat in der Kette aus. Im folgenden Beispiel ist DigiCert SHA2 High Assurance Server CA das nächste Zertifikat. Exportieren Sie dieses Zertifikat mit einem Namen wie example2.cer.





Neue Zertifikatsdatei erstellen

  1. Erstellen Sie eine Datei mit der Bezeichnung cac.pem.
  2. Kopieren Sie den Inhalt der einzelnen Zertifikate in der Kette und fügen Sie ihn in die Datei ein.







    • Jeder Abschnitt der Zertifikatsdatei muss mit -----ZERTIFIKAT STARTEN----- beginnen und mit -----ZERTIFIKAT BEENDEN----- enden.
    • Es darf nur einen Zeilenumbruch zwischen jedem Zertifikat in der Kette geben.
    • Am Anfang oder Ende der Datei dürfen keine zusätzlichen Leerzeichen oder Zeilenumbrüche vorhanden sein.
    • Das vorangegangene Beispiel zeigt das Root-Zertifikat zuletzt, was eine Konvention ist, die Tanium Support verwendet.

  3. Speichern Sie die Datei.

Tanium Appliance: CAC konfigurieren

Fügen Sie Ihren CAC-Konto-Benutzernamen (EDIPI) als Tanium-Administrator hinzu, bevor Sie CAC aktivieren.

Schritt 1: Zertifikat installieren

Laden Sie das Zertifikat hoch und installieren Sie es.

Zertifikatsdatei hochladen

  1. Fügen Sie die Zertifikatsdatei cac.pem (PEM-Format) zu einer mit einer Passphrase geschützten Datei namens tanium.zip hinzu (mindestens 10 Zeichen langes Passwort).
  2. Verwenden Sie SFTP, um die Datei tanium.zip in das Verzeichnis /incoming auf der Tanium Server-Appliance zu kopieren.

Installation der Zertifikatsdatei

  1. Melden Sie sich als Benutzer mit der Rolle tanadmin bei der TanOS-Konsole an.
  2. Geben Sie im tanadmin-Menü 2 ein, um zum Menü Tanium Operations (Tanium-Operationen) zu gelangen.
  3. Geben Sie 8 ein und folgen Sie den Anweisungen, um die Zip-Datei zu importieren und die CAC-Zertifikatsdatei zu installieren.
    Die CAC-Zertifikatsdatei wird automatisch zu /opt/Tanium/TaniumServer/cac.pem hinzugefügt, wenn sie importiert wird.

Schritt 2: Erforderliche Konfigurationseinstellungen für den Tanium Server hinzufügen

  1. Melden Sie sich bei der TanOS-Konsole als Benutzer Tanadmin an.
  2. Geben Sie 2 ein, um zum Menü Tanium Operations (Tanium-Operationen) zu gelangen.

  3. Geben Sie 2 ein, um zum Menü „Tanium Configuration Settings“ (Konfigurationseinstellungen von Tanium) zu gelangen.

  4. Geben Sie 1 ein, um zum Menü „Edit Tanium Server Settings“ (Tanium Server-Einstellungen bearbeiten) zu gelangen.
  5. Verwenden Sie das Menü, um die Tanium Server-Einstellungen hinzuzufügen, wie unter Tabelle 1 beschrieben.

  6. Starten Sie den Tanium Server-Dienst neu. Weitere Informationen finden Sie unter Handbuch für die Bereitstellung von Tanium Appliance: Tanium-Dienste starten, stoppen und erneut starten.
    Sie können sich jetzt mit Ihren CAC in der Tanium Console anmelden.

Die folgende Tabelle fasst die Einstellungen zusammen, die Sie hinzufügen müssen, um CAC zu aktivieren.

 Tabelle 1: CAC-Einstellungen aktivieren
Namen der Einstellungen Richtlinien
ForceSOAPSSLClientCert Optional. Wenn der Registry-Wert nicht existiert (aber andere CAC/PIV-Registry-Werte vorhanden sind) oder auf einen Wert von 1 festgelegt ist, wird die CAC/PIV-Authentifizierung obligatorisch.

Hinweis: Das Design unterstützt den Wert 0, um die Client-Zertifikatsauthentifizierung auszuschalten und stattdessen die Zugangsdaten der Konsole zu verwenden. Die aktuelle Implementierung zur Unterstützung des Wertes 0 ist nicht abgeschlossen. Zu diesem Zeitpunkt sollte der Wert nur auf 1 festgelegt sein.
ClientCertificateAuthField Optional. Wenn sie nicht definiert ist, wird die Zertifikatsauthentifizierung im Feld Subject (Betreff) abgeglichen.

Legen Sie einen Wert für diesen Schlüssel fest, wenn Sie mit einem anderen Attribut abgleichen möchten. Viele Organisationen verwenden X509v3 Subject Alternative Name (Alternativname des Subjekts).

Beispiel:

X509v3 Subject Alternative Name (Alternativname des Subjekts)

Hinweis: X509v3 wird typischerweise ausgeblendet, wenn er in Windows angezeigt wird. Beachten Sie, dass X509v3 zwischen Groß- und Kleinschreibung unterscheidet.
ClientCertificateAuthRegex

Optional. Wenn er nicht definiert ist, wird der standardmäßige reguläre Ausdruck verwendet, um den Identifizierer des Benutzers abzugleichen. Der Standardwert ist .*CN=(.*)$.

Das folgende Beispiel ist die beste Vorgehensweise, um den Eintrag des Subject Alternative Name (Alternativname des Subjekts) abzugleichen:

.*:\s(\d+)@.*

ClientCertificateAuth Definiert den Speicherort der Zertifikatsdatei, die zur Authentifizierung verwendet werden soll.

Beispiel:

/opt/Tanium/TaniumServer/cac.pem

Hinweis: Der Pfadname unterscheidet zwischen Groß- und Kleinschreibung.

TrustedHostList Keine Werte entfernen. Hängen Sie stattdessen 127.0.0.1 (für Ipv4) und [::1](für Ipv6) an, damit Tanium Downloader dem Tanium Server lokale Pakete hinzufügen kann, wenn mit CAC/PIV aktiviert ist.
CACTrustedAddresses Legt fest, welche Endpunkte von den CAC-Authentifizierungsanforderungen befreit werden sollen. Diese Systeme benötigen zur Authentifizierung kein CAC/PIV-Zertifikat und funktionieren für alle Tanium Assets.

Legen Sie den Tanium Server und den Tanium Modulserver fest. Geben Sie zusätzliche Adressen an, um andere vertrauenswürdige Systeme und Komponenten auszuschließen.

In einer aktiv-aktiv-Bereitstellung müssen Sie diese Einstellung auf beiden Tanium Servern konfigurieren, um Fehler mit Tanium Downloader zu vermeiden.

cac_ldap_server_url Optional. Wenn er definiert ist, muss Tanium jeden CAC/PIV-Authentifizierungsversuch mit AD validieren, um den Status des Kontos zu bestimmen, das sich anmeldet. Dieses verwendet nicht das Windows-Authentifizierungs-Subsystem, sodass das Dienstkonto, das Tanium ausführt, über die Privilegien verfügen muss, um Konten über direkte LDAP-Abfrage zu suchen.

Verwenden Sie die folgende Syntax:

LDAP://<Active Directory FQDN>

Hinweis: LDAP muss in Großbuchstaben enthalten sein.

Wenn mehrere Domänen verwendet werden, geben Sie einen globalen Katalog an. Er muss die Syntax verwenden GC://<domain>.

Tipp: Es wird dringend empfohlen, den Verbindungsmanager von Tanium zu verwenden, um AD-Benutzer und Sicherheitsgruppen mit Rollen in Tanium auszurichten.
CertLDAPQueryField Optional. Wenn er definiert ist, gibt er ein Attribut für die Benennung von Active Directory-Benutzern an. Wenn er nicht definiert ist, wird das Standardattribut verwendet. Gültige Werte sind:
  • userPrincipalName  – Der Anmeldename für den Benutzer.
  • sAMAccountName  – Ein Anmeldename, der die vorherige Version von Windows unterstützt.
CertLDAPCertField Optional.

Fügen Sie diese Einstellung in Verbindung mit der Einstellung cac_ldap_server_url hinzu. Diese Einstellung gibt ein sekundäres Attribut an, das innerhalb des X509-Zertifikats abgefragt werden soll. Meistens sollte dieser Wert mit ClientCertificateAuthField mit einem Wert von X509v3 Subject Alternative Name (Alternativname des Subjekts) übereinstimmen.

Wenn sie nicht definiert ist, wird die Zertifikatsauthentifizierung im Attribut Subject (Betreff) abgeglichen.

Beispiel:

X509v3 Subject Alternative Name (Alternativname des Subjekts)

Hinweis: X509v3 wird normalerweise ausgeblendet, wenn dieser Wert in Windows angezeigt wird. Die Zeichenkette X509v3 unterscheidet zwischen Groß- und Kleinschreibung.
CertLDAPCertFieldRegex Optional.

Fügen Sie dieses Attribut in Verbindung mit der Einstellung cac_ldap_server_url hinzu. Diese Einstellung gibt einen regulären Ausdruck an, der das UPN (United Paramount Network)-Suffix berücksichtigt, wenn eine sekundäre LDAP-Suche erfolgt. Dies ist erforderlich, da AD-Sync mit dem UPN (United Paramount Network) ohne das UPN-Suffix übereinstimmt.

Wenn es nicht definiert ist, wird alles verwendet, was im Attribut zur Benennung von Benutzern zurückgegeben wird.

Beispiele:

Das folgende Beispiel wird am häufigsten verwendet. Es gibt das vollständige UPN zurück:

.*\:\s*([^@]+@.*)$

Das folgende Beispiel gibt nur den numerischen Wert aus dem UPN zurück:

([^@]+)@.*$

Um die CAC-Authentifizierung zu deaktivieren, entfernen Sie die CAC-Einstellungen und starten Sie den Tanium Server-Dienst neu.

Windows: CAC konfigurieren

Schritt 1: Kopieren Sie das Zertifikat in das Tanium-Installationsverzeichnis

Kopieren Sie die Datei in das Installationsverzeichnis von Tanium Server:

\Program Files\Tanium\Tanium Server\

Schritt 2: Fügen Sie Windows-Registry-Schlüssel auf dem Tanium Server-Host hinzu

  1. Fügen Sie Windows-Registry-Schlüsseleinträge, wie in den folgenden Tabellen beschrieben, hinzu.
  2. Starten Sie den Tanium Server-Dienst neu.
 Tabelle 2: Smartcard-Authentifizierung aktivieren
Location HKLM\Software\Wow6432Node\Tanium\Tanium Server
Value ForceSOAPSSLClientCert
Value Type REG_DWORD
Gültiger Bereich 0 oder 1
Standardwert 1
Richtlinien Optional. Wenn der Registry-Wert nicht existiert (aber andere CAC/PIV-Registry-Werte vorhanden sind) oder auf einen Wert von 1 festgelegt ist, wird die CAC/PIV-Authentifizierung obligatorisch.

Hinweis: Das Design unterstützt den Wert 0, um die Client-Zertifikatsauthentifizierung auszuschalten und stattdessen die Zugangsdaten der Konsole zu verwenden. Die aktuelle Implementierung zur Unterstützung des Wertes 0 ist nicht abgeschlossen. Zu diesem Zeitpunkt sollte der Wert nur auf 1 festgelegt sein.

 Tabelle 3: Abzugleichendes Zertifikatattribut
Location HKLM\Software\Wow6432Node\Tanium\Tanium Server
Value ClientCertificateAuthField
Value Type REG_SZ
Gültiger Bereich Jedes gültige Zertifikatsfeld.
Standardwert Betreff
Richtlinien Optional. Wenn sie nicht definiert ist, wird die Zertifikatsauthentifizierung im Feld Subject (Betreff) abgeglichen.

Legen Sie einen Wert für diesen Schlüssel fest, wenn Sie mit einem anderen Attribut abgleichen möchten. Viele Organisationen verwenden X509v3 Subject Alternative Name (Alternativname des Subjekts).

Beispiel:

X509v3 Subject Alternative Name (Alternativname des Subjekts)

Hinweis: X509v3 wird typischerweise ausgeblendet, wenn er in Windows angezeigt wird. Beachten Sie, dass X509v3 zwischen Groß- und Kleinschreibung unterscheidet.

 Tabelle 4: Regulärer Ausdruck zum Abgleichen
Location HKLM\Software\Wow6432Node\Tanium\Tanium Server
Value ClientCertificateAuthRegex
Value Type REG_SZ
Gültiger Bereich Jeder gültige reguläre Ausdruck.
Standardwert .*CN=(.*)$
Richtlinien

Optional. Wenn er nicht definiert ist, wird der standardmäßige reguläre Ausdruck verwendet, um den Identifizierer des Benutzers abzugleichen.

Das folgende Beispiel ist die beste Vorgehensweise, um den Eintrag des Subject Alternative Name (Alternativname des Subjekts) abzugleichen:

.*:\s(\d+\.?\w?)@.*


 Tabelle 5: Speicherort der Smartcard-Zertifikatsdatei
Location HKLM\Software\Wow6432Node\Tanium\Tanium Server
Value ClientCertificateAuth
Value Type REG_SZ
Gültiger Bereich Jede gültige Zertifikatsdatei.
Standardwert KEINE
Richtlinien Definiert den Speicherort der Zertifikatsdatei, die zur Authentifizierung verwendet werden soll.

Beispiel:

D:\Program Files\Tanium\Tanium Server\cac.pem

Hinweis: Der Pfadname unterscheidet zwischen Groß- und Kleinschreibung.


 Tabelle 6: 127.0.0.1 und [::1]zum TrustedHostList-Eintrag hinzufügen
Location HKLM\Software\Wow6432Node\Tanium\Tanium Server
Value TrustedHostList
Value Type REG_SZ
Gültiger Bereich Eine durch Komma getrennte Liste von IP-Adressen oder FQDN für die Hostcomputer von Tanium Server, Modulserver und Datenbankserver. Sie müssen IPv6-Adressen innerhalb der eckigen Klammern eingeben (z. B. [2001:db8::1]).
Standardwert KEINE
Richtlinien Keine Werte entfernen. Hängen Sie stattdessen 127.0.0.1 (für Ipv4) und [::1](für Ipv6) an, damit Tanium Downloader dem Tanium Server lokale Pakete hinzufügen kann, wenn mit CAC/PIV aktiviert ist.

 Tabelle 7: Vertrauenswürdige Systeme und Komponenten definieren
Location HKLM\Software\Wow6432Node\Tanium\Tanium Server
Value CACTrustedAddresses
Value Type REG_SZ
Gültiger Bereich Eine durch Kommas getrennte Liste von FQDNs (Fully-Qualified Domains).
Standardwert KEINE
Richtlinien Legt fest, welche Endpunkte von den CAC-Authentifizierungsanforderungen befreit werden sollen. Diese Systeme benötigen zur Authentifizierung kein CAC/PIV-Zertifikat und funktionieren für alle Tanium Assets.

Legen Sie den Tanium Server und den Tanium Modulserver fest. Geben Sie zusätzliche Adressen an, um andere vertrauenswürdige Systeme und Komponenten auszuschließen.

In einer aktiv-aktiv-Bereitstellung müssen Sie diese Einstellung auf beiden Tanium Servern konfigurieren, um Fehler mit Tanium Downloader zu vermeiden.


 Tabelle 8: (Optional) LDAP-Server
Location HKLM\Software\Wow6432Node\Tanium\Tanium Server
Value cac_ldap_server_url
Value Type REG_SZ
Gültiger Bereich Ein gültiger LDAP-Server.
Standardwert KEINE
Richtlinien Optional. Wenn er definiert ist, muss Tanium jeden CAC/PIV-Authentifizierungsversuch mit AD validieren, um den Status des Kontos zu bestimmen, das sich anmeldet. Hierbei wird nicht das Windows-Authentifizierungs-Subsystem verwendet, sodass das Dienstkonto, das Tanium ausführt, über die erforderlichen Berechtigungen für die Suche nach Konten per direkter LDAP-Anfrage verfügen muss.

Verwenden Sie die folgende Syntax:

LDAP://<Active Directory FQDN>

Hinweis: LDAP muss in Großbuchstaben enthalten sein.

Wenn mehrere Domänen verwendet werden, geben Sie einen globalen Katalog an. Er muss die Syntax verwenden GC://<domain>.

Tipp: Es wird dringend empfohlen, den Verbindungsmanager von Tanium zu verwenden, um AD-Benutzer und Sicherheitsgruppen mit Rollen in Tanium auszurichten.

 Tabelle 9: (Optional) LDAP-Abfrage
Location HKLM\Software\Wow6432Node\Tanium\Tanium Server
Value CertLDAPQueryField
Value Type REG_SZ
Gültiger Bereich userPrincipalName oder sAMAccountName
Standardwert userPrincipalName
Richtlinien Optional. Wenn er definiert ist, gibt er ein Attribut für die Benennung von Active Directory-Benutzern an. Wenn er nicht definiert ist, wird das Standardattribut verwendet. Gültige Werte sind:
  • userPrincipalName – Der Anmeldename für den Benutzer.
  • sAMAccountName – Ein Anmeldename, der die vorherige Version von Windows unterstützt.

 Tabelle 10: (Optional) LDAP-Sekundärsuche
Location HKLM\Software\Wow6432Node\Tanium\Tanium Server
Value CertLDAPCertField
Value Type REG_SZ
Gültiger Bereich  
Standardwert Betreff
Richtlinien Optional.

Fügen Sie diese Einstellung in Verbindung mit der Einstellung cac_ldap_server_url hinzu. Diese Einstellung gibt ein sekundäres Attribut an, das innerhalb des X509-Zertifikats abgefragt werden soll. Meistens sollte dieser Wert mit ClientCertificateAuthField mit einem Wert von X509v3 Subject Alternative Name (Alternativname des Subjekts) übereinstimmen.

Wenn sie nicht definiert ist, wird die Zertifikatsauthentifizierung im Attribut Subject (Betreff) abgeglichen.

Beispiel:

X509v3 Subject Alternative Name (Alternativname des Subjekts)

Hinweis: X509v3 wird normalerweise ausgeblendet, wenn dieser Wert in Windows angezeigt wird. Die Zeichenkette X509v3 unterscheidet zwischen Groß- und Kleinschreibung.

 Tabelle 11: (Optional) LDAP Regex
Location HKLM\Software\Wow6432Node\Tanium\Tanium Server
Value CertLDAPCertFieldRegex
Value Type REG_SZ
Gültiger Bereich Jeder gültige reguläre Ausdruck.
Standardwert KEINE
Richtlinien Optional.

Fügen Sie dieses Attribut in Verbindung mit der Einstellung cac_ldap_server_url hinzu. Diese Einstellung gibt einen regulären Ausdruck an, der das UPN (United Paramount Network)-Suffix berücksichtigt, wenn eine sekundäre LDAP-Suche erfolgt. Dies ist erforderlich, da AD-Sync mit dem UPN (United Paramount Network) ohne das UPN-Suffix übereinstimmt.

Wenn es nicht definiert ist, wird alles verwendet, was im Attribut zur Benennung von Benutzern zurückgegeben wird.

Beispiele:

Das folgende Beispiel wird am häufigsten verwendet. Es gibt das vollständige UPN zurück:

.*\:\s*([^@]+@.*)$

Das folgende Beispiel gibt nur den numerischen Wert aus dem UPN zurück:

([^@]+)@.*$

Fehlerbehebung

  • Überprüfen Sie die Konfiguration auf Rechtschreibfehler (z. B. zusätzliche Leerzeichen oder Groß-/Kleinschreibung).
  • Testen Sie, ob das System nur mit den erforderlichen Registry-Schlüsseln funktioniert. Aktivieren und testen Sie dann optionale Einstellungen wie die LDAP-Integrationseinstellungen.
  • Bei aktiv-aktiv-Verteilungen muss der Wert CACTrustedAddresses mit Einträgen für jeden Tanium Server und den Tanium-Modulserver konfiguriert werden, um Tanium Downloader-Fehler während der Paketsynchronisierung zu vermeiden.
  • Legen Sie die Protokollierungsstufe auf 41 oder höher fest, um die folgenden Ereignisse zu protokollieren:

    • Wenn ClientCertificateMatchField eingestellt ist und nicht übereinstimmt:

      • Keine Regex-Übereinstimmung:

        Client Certificate auth logon denied, match failed

      • Feld für Regex wurde nicht im CA-Zertifikat gefunden:

        Client Certificate auth logon denied, match property not present

    • Wenn ClientCertificateMatchField übergeben wird oder leer ist, wird der Benutzer mit ClientCertificateAuthField und ClientCertificateAuthRegex extrahiert:

      • Wenn ClientCertificateAuthRegex nicht abgeglichen wird:

        Client Certificate auth logon denied, regex not matched

      • Wenn ClientCertificateAuthField nicht gefunden wird:

        Client Certificate auth logon denied, field not found

      • Wenn der Regex übereinstimmt und das Feld gefunden wird, aber der Name nicht gültig ist:

        Client Certificate auth logon denied, unknown user

    • Jede andere Fehlermeldung oder Informationsnachricht beginnt auch mit:

      Client Certificate auth