- Umbenennung Azure AD in Entra ID
Einführung
Die AD/LDAP-Anbindung ermöglicht es, bestehende Verzeichnisdienste wie das Microsoft Active Directory® oder andere auf dem LDAProtocol basierende Systeme für die Authentifizierung, Verwaltung von Gruppen und Speichern von Attributen zu nutzen.
Zentral verwaltete Benutzer aus dem Verzeichnis können so einfach für die Authentifizierung oder Nutzung von Diensten auf der UTM verwendet werden.
Dies erleichtert die Administration komplexer Unternehmensnetzwerke und vereinheitlicht die Benutzer-Verwaltung.
Für die Anbindung an das Directory wird unter anderem das Light Directory Access Protocol (LDAP) verwendet.
Mittels LDAP können die Informationen über Benutzer, Gruppen und weitere Objekte aus dem Directory ausgelesen werden.
Das Protokoll selbst sieht dabei im Standard keine Verschlüsselung oder Authentifizierung der Nachrichten vor.
In ADV190023 (Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing) wird auf diesen Umstand hingewiesen und eine Anpassung der Sicherheitseinstellungen bekannt gegeben.
Zukünftig ist eine Signierung und Verschlüsselung des LDAP-Verkehrs erforderlich (seal).
notempty
Alternativ kann das die gesamte Verbindung mit SSL abgesichert werden.
Ab Version 11.8.10 wird nicht nur der PDC, sondern sämtliche DCs für LDAP Anfragen verwendet. Somit steht die Authentifizierung für Benutzer aus dem AD auch zu Verfügung, wenn der PDC nicht erreichbar ist.
Voraussetzung
Um ein AD / LDAP zur Authentisierung nutzen zu können, müssen dort Benutzer angelegt und in Gruppen organisiert sein.
Benutzergruppen im AD anlegen
Die Berechtigungen zu den in der UTM enthaltenen Diensten können in Gruppen verwaltet werden. Die Benutzer, die diesen Gruppen zugeordnet werden sollen, müssen zunächst entsprechenden Benutzergruppen im AD zugeordnet werden.
In diesem Beispiel sollen die Benutzer für Clientless VPN über den Active Directory Service Authentifiziert werden.
Es muss also zunächst eine Gruppe vom Typ Sicherheitsgruppe auf dem AD hinzugefügt werden, die hier den Namen ClientlessVPN bekommt.
Benutzer im AD hinzufügen
Anschließend werden die Benutzer, die für Clientless VPN freigeschaltet werden sollen, zu dieser Gruppe hinzugefügt.
DNS-Konfiguration
Damit der Authentifizierungsvorgang der AD/LDAP-Anbindung problemlos funktioniert, muss der Nameserver der UTM entsprechend eingerichtet werden.
Dafür müssen folgende Konfigurationen getätigt werden:
- Bei DNS-Server muss bei Primärer Nameserver: 127.0.0.1 stehen
- notemptyDer Eintrag bei Sekundärer Nameserver: muss leer sein!
Bereich - notempty
- Bei Zonen wird eine Forward Zone mit einem A und PTR Eintrag angelegt
- Dabei wird der Firewallname der UTM verwendet
Bereich - Bei DNS Forwarding wird ein DNS Forwarding angelegt mit einem externen DNS wie 8.8.8.8 Bereich
UTM in die Domäne einbinden
Im Menü wird die Authentifizierung konfiguriert.
AD Verbindung herstellen
Besteht noch keine AD/LDAP-Authentifizierung öffnet sich automatisch der AD/LDAP Authentifizierungs Assistent.
Andernfalls kann der Assistent mit der Schaltfläche gestartet werden.
Schritt 1: Verzeichnistyp | |||
Beschriftung | Wert | Beschreibung | UTMbenutzer@firewall.name.fqdnAuthentifizierungAD/LDAP Authentifizierung |
---|---|---|---|
Verzeichnistyp: | notempty Es sollte auf alle Fälle der Verzeichnistyp »AD« gewählt werden, wenn es sich um eine Active Directory Umgebung handelt.
| ||
Schritt 2: Einstellungen | |||
IP oder Hostname: | »192.168.145.1 | (Beispiel-Adresse!) | |
Domain: | ttt-point.local | Domainname | |
Arbeitsgruppe: | ttt-point | Der NETBIOS-Name des AD Sollte dieser von der Base Domain abweichen, muss hier der korrekte NETBIOS-Name eingetragen werden. | |
Appliance Account: | sp-utml | Der Name, unter dem die UTM im AD in der Gruppe Computers eingetragen wird. Ein eindeutiger Name, der nicht doppelt vergeben werden darf! Bei Betrieb der UTM im Cluster muss der Name im Master und Spare unterschiedlich sein. Der Name wird nicht synchronisiert!
| |
Schritt 3: Nameserver |
|||
Ist der AD-Server noch nicht als Name-Server eingetragen, wird das in diesem Schritt vorgenommen: | |||
IP-Adresse: | 192.168.145.1 | notempty Beispieladresse! IP-Adresse eines AD-Servers der Domäne, ggf. zusätzlich der Port. | |
Der AD-Server wird damit als Relay-Zone im Nameserver der UTM hinzugefügt. Der Eintrag ist im Menü Bereich Zonen zu finden. | |||
Schritt 4: Beitreten | |||
Administratorname: | Administrator | Um der Domäne beizutreten ist ein Benutzer-Konto mit Domain-Administrator-Rechten erforderlich. | |
Passwort: | •••••••• | Hinweis beim Clusterbetrieb
| |
Ergebnis AD-Anbindung | |||
Ergebnis im Abschnitt Status :
| |||
Aktiviert: | Ein | Die AD/LDAP Authentifizierung ist aktiviert. | UTMbenutzer@firewall.name.fqdnAuthentifizierung |
Verbindungsstatus: | Zur Bestätigung wechselt die Anzeige von grau auf grün. Aktualisieren mit | ||
Erweitert | |||
AD-Attribute können bestimmte Berechtigungen gegeben werden. So kann konfiguriert werden, wer diese einsehen kann. Beispielsweise können diese dann nicht durch einen LDAP-Search ausgelesen werden. Diese AD-Attribute werden mit dem Flag "confidential" markiert. | |||
Um ein AD-Attribute diese Berechtigungen zu geben, sind folgende Schritte notwendig:
| |||
notempty Dadurch kann es vorkommen, dass der Maschine Account der UTM dieses Attribut nicht mehr auslesen kann. Dann benötigt der Maschine Account weitere Rechte.
| |||
SSL: | Aus | Die Verbindung zum Active Directory Server kann SSL-Verschlüsselt hergestellt werden. | |
| |||
Root-Zertifikat: | Zertifikat | Es kann ein Root-Zertifikat hinterlegt werden. | |
LDAP-Filter: | (|(sAMAccountType=268435456)(sAMAccountType=268435457)(sAMAccountType=805306368)) | sAMAccountType=Schränkt die Authentisierung auf Mitglieder der folgenden Gruppen ein: Weitere Filter sind möglich
| |
User-Attribute: | sAMAccountName | Es können Attribute definiert werden, unter denen die AD Verwaltung die Informationen zum Benutzer speichert und die dann von der UTM abgefragt werden können: | |
Mail-Attribute: | »proxyAddresses | ||
Die Attribute von OTP bis Cert-Attribute, die hier eingetragen sind, existieren in der Regel nicht im AD. Um zum Beispiel den OTP-Geheimcode auf dem AD zu hinterlegen, kann ein ungenutztes Attribut des AD Schemas verwendet werden, der diesen Geheimcode des Benutzers enthält. Eine entsprechende Anleitung befindet sich im Artikel Einbinden der OTP Funktion in das Active Directory.
|
|||
OTP-Attribute: | sPOTPSecret | ||
L2TP-Attribute: | sPL2TPAddress | ||
WireGuard-Attribute (IPv4): | sPWireguardIP4Address | Das AD Attribut der IPv4-Adresse der WireGuard-Verbindung Die IPv4-Adresse kann in ein beliebiges AD Attribut des Benutzers hinterlegt werden. Wird die IPv4-Adresse in extensionAttribute1 hinterlegt, wird extensionAttribute1 hier eingetragen. | |
WireGuard-Attribute (IPv6): | sPWireguardIP6Address | Das AD Attribut der IPv6-Adresse der WireGuard-Verbindung Die IPv6-Adresse kann in ein beliebiges AD Attribut des Benutzers hinterlegt werden. Wird die IPv6-Adresse in extensionAttribute2 hinterlegt, wird extensionAttribute2 hier eingetragen. | |
WireGuard-Public-Key-Attribute: | sPWireguardPubkeyVal | Das AD Attribut des Public Key der WireGuard-Verbindung
Der Public Key kann in ein beliebiges AD Attribut des Benutzers hinterlegt werden. Wird der Public Key in extensionAttribute3 hinterlegt, wird extensionAttribute3 hier eingetragen. | |
SSL-VPN-Attribute (IPv4): | sPOVPNAddress | ||
SSL-VPN-Attribute (IPv6): | sPOVPNIP6Address | ||
SSL-Bump-Attribute: | sPSSLBumpMode | ||
Cert-Attribute: | sPCertificate | ||
Page Size: | 500 | In größeren Umgebungen kann es vorkommen, dass bei LDAP-Anfragen die serverseitig festgelegte, maximale Anzahl von Datensätzen (im AD sind es 1000) überschritten wird. Mit Page Size kann eingestellt werden das die LDAP-Abfrage stückweise ausgeführt wird. Eine Page Size von 500 bedeutet 500 Datensätze pro Abfrage. Die Page Size von 0 deaktiviert eine schrittweise LDAP-Abfrage. | |
UTM mit Entra ID anbinden
Um Entra ID (ehemals Azure AD) nutzen zu können, sind konfigurierte Azure Apps notwendig.
Dieser Artikel beinhaltet Beschreibungen der Software von Drittanbietern und basiert auf dem Stand zum Zeitpunkt der Erstellung dieser Seite.
Änderungen an der Benutzeroberfläche durch den Hersteller sind jederzeit möglich und müssen in der Durchführung entsprechend berücksichtigt werden.
Alle Angaben ohne Gewähr.
- Anwendungs ID
- Mandanten-ID
- Geheimer Clientschlüssel
- Azure Active Directory admin center starten
- Mandanten-ID im Menü Entra ID notieren/kopieren
- Neue App registrieren unter Menü App-Registrierung Schaltfläche Neue Registrierung
- Eindeutigen Namen vergeben und Schaltfläche Registrieren klicken
- Anwendungs-ID notieren, alternativ kann hier die Verzeichnis-ID (Mandanten-ID) gefunden werden
- Im Menü API-Berechtigungen die Schaltfläche Berechtigung hinzufügen klicken
- Berechtigung Group.Read.All im Reiter Anwendungsberechtigung wählen
- Berechtigung User.Read.All im Reiter Anwendungsberechtigung wählen
- Im Menü API-Berechtigungen den Eintrag Administratorzustimmung für [...] erteilen aktivieren
- Im Menü Zertifikate & Geheimnisse ein Geheimen Clientschlüssel erstellen
- Wert notieren, wird als Geheimer Wert eingetragen
- Damit ist die Konfiguration im Microsoft Azure abgeschlossen.
AD Benutzergruppen Berechtigungen erteilen
UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer
Aktiv | Berechtigung | Hinweis |
---|---|---|
Ein | Userinterface | |
Ein | Clientless VPN | Gewünschte Berechtigung |
Weitere Informationen über Clientless VPN Berechtigungen befindet sich in dem Wiki zu Clientless VPN.
Ergebnis
Nach dem Speichern kann sich jeder Benutzer, der Mitglied in der AD Gruppe ClientlessVPN ist, mit seinen Windows Domänen Zugangsdaten für die Nutzung des Clientless VPN auf der UTM anmelden.
Überprüfen der AD Anbindung mit CLI
Bei den Zeilen darunter handelt es sich um die Ausgabe der UTM zu diesem Befehl.
Beitreten und Verlassen der Domäne
Um zu überprüfen ob die UTM schon der Domäne beigetreten ist:
cli> system activedirectory testjoin Join is OK cli>
Sollte das nicht der Fall sein, erfolgt die Ausgabe
cli> system activedirectory testjoin Not joined cli>
In diesem Fall kann der Domäne mit dem folgenden Kommando beigetreten werden
cli> system activedirectory join password Beispiel-Admin-Passwort Password for Administrator@TTT-POINT.LOCAL: Processing principals to add... Enter Administrator's password: Using short domain name -- TTT-POINT Joined 'SP-UTML' to dns domain 'ttt-point.local' cli>
Das Kommando um die Domäne zu verlassen lautet
cli> system activedirectory leave password Beispiel-Admin-Passwort Enter Administrator's password: Deleted account for 'SP-UTML' in realm 'TTT-POINT.LOCAL' cli>
Beim Beitreten bzw. Verlassen des Active Directories ist die Angabe des Administratorpasswortes notwendig. Das Passwort wird nicht gespeichert, die AD-Zugehörigkeit ist trotzdem Reboot fest.
AD Gruppen anzeigen
Mit dem folgenden Kommando können die Gruppen im Active Directory aufgelistet werden:
cli> system activedirectory lsgroups member ------ Abgelehnte RODC-Kennwortreplikationsgruppe Administratoren Benutzer Builtin ClientlessVPN Discovery Management Domänen-Admins Domänen-Benutzer Domänen-Gäste Exchange Servers ... Users Windows-Autorisierungszugriffsgruppe cli>
Überprüfen der Benutzer und Gruppenzugehörigkeit
Das folgende Kommando überprüft, ob ein AD-Benutzer einer UTM Gruppe zugeordnet ist:
cli> user check name "m.meier" groups grp_ClientlessVPN matched cli>
Sollte das nicht der Fall sein erfolgt die Ausgabe
not a member cli>
Befehl, um zu einem AD-Benutzer die Gruppenzugehörigkeit und Berechtigungen aus zugegeben:
cli> user get name m.meier name |groups |permission -------+-----------------+---------- m.meier|grp_ClientlessVPN|WEB_USER,VPN_CLIENTLESS cli>
Domain-Controller hinter Site-to-Site-VPN
In manchen Szenarien befindet sich der Domain-Controller hinter einem Site-to-Site-VPN-Tunnel.
Ist dies der Fall, muss eine entsprechende Zone und eine Regel konfiguriert werden.
Siehe auch DNS-Relay bei IPSec-S2S ‖ DNS-Relay bei SSL (OpenVPN) -S2S ‖ DNS-Relay bei WireGuard-S2S
notempty