Wechseln zu:Navigation, Suche
Wiki































De.png
En.png
Fr.png









Anbindung einer UTM an ein AD/LDAP

Letzte Anpassung zur Version: 12.7.0

Neu:
  • Umbenennung Azure AD in Entra ID
Zuletzt aktualisiert: 
    12.2024
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview
Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115
Authentifizierung AD/LDAP Authentifizierung


Einführung

Die AD/LDAP-Anbindung ermöglicht es, bestehende Verzeichnisdienste wie das Microsoft Active Directory® oder andere auf dem LDAProtocol basierende Systeme für die Authentifizierung, Verwaltung von Gruppen und Speichern von Attributen zu nutzen.

Zentral verwaltete Benutzer aus dem Verzeichnis können so einfach für die Authentifizierung oder Nutzung von Diensten auf der UTM verwendet werden.

Dies erleichtert die Administration komplexer Unternehmensnetzwerke und vereinheitlicht die Benutzer-Verwaltung.

Für die Anbindung an das Directory wird unter anderem das Light Directory Access Protocol (LDAP) verwendet.
Mittels LDAP können die Informationen über Benutzer, Gruppen und weitere Objekte aus dem Directory ausgelesen werden.

Das Protokoll selbst sieht dabei im Standard keine Verschlüsselung oder Authentifizierung der Nachrichten vor.

In ADV190023 (Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing) wird auf diesen Umstand hingewiesen und eine Anpassung der Sicherheitseinstellungen bekannt gegeben.

Zukünftig ist eine Signierung und Verschlüsselung des LDAP-Verkehrs erforderlich (seal).

notempty

Diese Umstellung wird von der UTM automatisch vorgenommen.

Alternativ kann das die gesamte Verbindung mit SSL abgesichert werden.

Ab Version 11.8.10 wird nicht nur der PDC, sondern sämtliche DCs für LDAP Anfragen verwendet. Somit steht die Authentifizierung für Benutzer aus dem AD auch zu Verfügung, wenn der PDC nicht erreichbar ist.



Voraussetzung

Um ein AD / LDAP zur Authentisierung nutzen zu können, müssen dort Benutzer angelegt und in Gruppen organisiert sein.


Benutzergruppen im AD anlegen

Sicherheitsgruppe hinzufügen
Sicherheitsgruppe hinzugefügt

Die Berechtigungen zu den in der UTM enthaltenen Diensten können in Gruppen verwaltet werden. Die Benutzer, die diesen Gruppen zugeordnet werden sollen, müssen zunächst entsprechenden Benutzergruppen im AD zugeordnet werden.

In diesem Beispiel sollen die Benutzer für Clientless VPN über den Active Directory Service Authentifiziert werden.

Es muss also zunächst eine Gruppe vom Typ Sicherheitsgruppe auf dem AD hinzugefügt werden, die hier den Namen ClientlessVPN bekommt.



Benutzer im AD hinzufügen

Benutzer im AD hinzufügen
Benutzer ist Mitglied der Gruppe

Anschließend werden die Benutzer, die für Clientless VPN freigeschaltet werden sollen, zu dieser Gruppe hinzugefügt.




DNS-Konfiguration

Damit der Authentifizierungsvorgang der AD/LDAP-Anbindung problemlos funktioniert, muss der Nameserver der UTM entsprechend eingerichtet werden.
Dafür müssen folgende Konfigurationen getätigt werden:

  • Bei Netzwerk Servereinstellungen  Bereich DNS-Server muss bei Primärer Nameserver: 127.0.0.1 stehen
    • notempty
      Der Eintrag bei Sekundärer Nameserver: muss leer sein!
  • Bei Anwendungen Nameserver  Bereich Zonen wird eine Forward Zone mit einem A und PTR Eintrag angelegt
  • Bei Anwendungen Nameserver  Bereich DNS Forwarding wird ein DNS Forwarding angelegt mit einem externen DNS wie 8.8.8.8


UTM in die Domäne einbinden

Es muss darauf geachtet werden, dass die Uhrzeit der UTM mit dem des AD einigermaßen synchron läuft, da ein Kerberos Ticket nur eine begrenzte Gültigkeitsdauer hat.
Im Menü Authentifizierung AD/LDAP Authentifizierung wird die Authentifizierung konfiguriert.


AD Verbindung herstellen

Besteht noch keine AD/LDAP-Authentifizierung öffnet sich automatisch der AD/LDAP Authentifizierungs Assistent.
Andernfalls kann der Assistent mit der Schaltfläche Assistent gestartet werden.

Schritt 1: Verzeichnistyp
Beschriftung Wert Beschreibung AD/LDAP Authentifizierungs Assistent UTMbenutzer@firewall.name.fqdnAuthentifizierungAD/LDAP Authentifizierung UTM 12.6 Authentifizierung AD-LDAP-Authentifizierung Assistent Schritt1.pngSchritt 1
Verzeichnistyp: AD - Active Directory notempty
Es sollte auf alle Fälle der Verzeichnistyp »AD« gewählt werden, wenn es sich um eine Active Directory Umgebung handelt.
Weiter
Schritt 2: Einstellungen
IP oder Hostname: »192.168.145.1 (Beispiel-Adresse!) UTM 12.6 Authentifizierung AD-LDAP-Authentifizierung Assistent Schritt2.png
Schritt 2
Domain: ttt-point.local Domainname
Arbeitsgruppe: ttt-point Der NETBIOS-Name des AD
Sollte dieser von der Base Domain abweichen, muss hier der korrekte NETBIOS-Name eingetragen werden.
Appliance Account: sp-utml Der Name, unter dem die UTM im AD in der Gruppe Computers eingetragen wird.
Ein eindeutiger Name, der nicht doppelt vergeben werden darf!
Bei Betrieb der UTM im Cluster muss der Name im Master und Spare unterschiedlich sein. Der Name wird nicht synchronisiert!
Weiter
Schritt 3: Nameserver
UTM 12.6 Authentifizierung AD-LDAP-Authentifizierung Assistent Schritt3.png
Schritt 3: Nameserver
Ist der AD-Server noch nicht als Name-Server eingetragen, wird das in diesem Schritt vorgenommen: + Server hinzufügen
IP-Adresse: 192.168.145.1 notempty
Beispieladresse!

IP-Adresse eines AD-Servers der Domäne, ggf. zusätzlich der Port.
Speichern Der AD-Server wird damit als Relay-Zone im Nameserver der UTM hinzugefügt.
Der Eintrag ist im Menü Anwendungen Nameserver  Bereich Zonen zu finden.
Weiter
Schritt 4: Beitreten
Administratorname: Administrator Um der Domäne beizutreten ist ein Benutzer-Konto mit Domain-Administrator-Rechten erforderlich. UTM 12.6 Authentifizierung AD-LDAP-Authentifizierung Assistent Schritt4.png
Passwort: ••••••••
Hinweis beim Clusterbetrieb
Fertig

Ergebnis AD-Anbindung

Ergebnis im Abschnitt
Status
:
Aktiviert: Ein Die AD/LDAP Authentifizierung ist aktiviert. AD/LDAP Authentifizierung UTMbenutzer@firewall.name.fqdnAuthentifizierung Assistent UTM 12.6 Authentifizierung AD-LDAP-Authentifizierung.png
Verbindungsstatus: Zur Bestätigung wechselt die Anzeige von grau auf grün.
Aktualisieren mit

Erweitert

AD-Attribute können bestimmte Berechtigungen gegeben werden. So kann konfiguriert werden, wer diese einsehen kann. Beispielsweise können diese dann nicht durch einen LDAP-Search ausgelesen werden. Diese AD-Attribute werden mit dem Flag "confidential" markiert.
Um ein AD-Attribute diese Berechtigungen zu geben, sind folgende Schritte notwendig:
  • Programm Active Directory Benutzer und Computer starten
    Start → Systemsteuerung → Verwaltung → Active Directory Benutzer und Computer
  • Im Menü Ansicht auf Erweiterte Funktionen klicken
  • Rechtsklick auf das gewünschte Objekt und auf Eigenschaften gehen
  • In Reiter Sicherheit bei Erweitert werden alle verfügbaren Berechtigungen angezeigt
  • Über die Schaltfläche Hinzufügen das gewünschte Benutzer-, Gruppenkonto auswählen, dass Zugriff haben soll
  • Im Dialog Berechtigung für Objektname bei Eigenschaften die gewünschten Eigenschaften und Berechtigungen auswählen und Speichern
notempty
Dadurch kann es vorkommen, dass der Maschine Account der UTM dieses Attribut nicht mehr auslesen kann. Dann benötigt der Maschine Account weitere Rechte.
SSL: Aus Die Verbindung zum Active Directory Server kann SSL-Verschlüsselt hergestellt werden. UTM v12.6 Authentifizierung AD-LDAP-Authentifizierung Erweitert.png
Erweiterte Einstellungen
  • Hinweis zur LDAP-Verschlüsselung:
  • bestehende und neue Verbindungen werden separat verschlüsselt und signiert (seal)
  • bei Aktivierung von SSL wird keine zusätzliche Verschlüsselung angewendet.
  • Root-Zertifikat: Zertifikat Es kann ein Root-Zertifikat hinterlegt werden.
    LDAP-Filter: (|(sAMAccountType=268435456)(sAMAccountType=268435457)(sAMAccountType=805306368)) sAMAccountType=Schränkt die Authentisierung auf Mitglieder der folgenden Gruppen ein:
    Weitere Filter sind möglich
    • 268435456 (→ Gruppen, SAM_ALIAS_OBJECT 0x20000000)
    • 268435457 (→ Nicht Sicherheits-Gruppen, SAM_NON_SECURITY_ALIAS_OBJECT 0x20000001)
    • 805306368 (→ Benutzer Konten, SAM_USER_OBJECT 0x30000000)
    User-Attribute: sAMAccountName Es können Attribute definiert werden, unter denen die AD Verwaltung die Informationen zum Benutzer speichert und die dann von der UTM abgefragt werden können:
    Mail-Attribute: »proxyAddresses
    Die Attribute von OTP bis Cert-Attribute, die hier eingetragen sind, existieren in der Regel nicht im AD.
    Um zum Beispiel den OTP-Geheimcode auf dem AD zu hinterlegen, kann ein ungenutztes Attribut des AD Schemas verwendet werden, der diesen Geheimcode des Benutzers enthält.
    Eine entsprechende Anleitung befindet sich im Artikel Einbinden der OTP Funktion in das Active Directory.
    • Einen Wireguard Peer auf der UTM anlegen
    • Eine Usergruppe auf dem AD anlegen, wodurch die Benutzer WireGuard nutzen können
    • Die benötigten Wireguard Attribute in ein AD Attribut der Benutzer eintragen (zum Beispiel die extensionAttribute#)
    • Die UTM mit dem AD verbinden und die eingestellten AD Attribute konfigurieren
    • Auf der UTM eine Benutzergruppe anlegen, die mit der AD-Usergruppe verbunden ist und die Wireguard Berechtigung hat
    • Die entsprechenden Verknüpfungen werden automatisch beim nächsten AD-Sync hinzugefügt
    • Wird ein neues Attribute den Usern hinzugefügt, werden diese auch beim nächsten Sync übernommen

    UTM v12.4 WG-Attribute im AD.png
    Reiter Attribut-Editor der Benutzereigenschaften im AD
    mit Beispielwerten für WireGuard

    UTM v12.6 Authentifizierung AD-LDAP-Authentifizierung AD-Attribute.png
    Namen der verwendeten Attribute aus dem AD
    OTP-Attribute: sPOTPSecret
    L2TP-Attribute: sPL2TPAddress
    WireGuard-Attribute (IPv4): sPWireguardIP4Address Das AD Attribut der IPv4-Adresse der WireGuard-Verbindung
    Die IPv4-Adresse kann in ein beliebiges AD Attribut des Benutzers hinterlegt werden. Wird die IPv4-Adresse in extensionAttribute1 hinterlegt, wird extensionAttribute1 hier eingetragen.
    WireGuard-Attribute (IPv6): sPWireguardIP6Address Das AD Attribut der IPv6-Adresse der WireGuard-Verbindung
    Die IPv6-Adresse kann in ein beliebiges AD Attribut des Benutzers hinterlegt werden. Wird die IPv6-Adresse in extensionAttribute2 hinterlegt, wird extensionAttribute2 hier eingetragen.
    WireGuard-Public-Key-Attribute: sPWireguardPubkeyVal Das AD Attribut des Public Key der WireGuard-Verbindung
    Der Public Key kann in ein beliebiges AD Attribut des Benutzers hinterlegt werden. Wird der Public Key in extensionAttribute3 hinterlegt, wird extensionAttribute3 hier eingetragen.
    SSL-VPN-Attribute (IPv4): sPOVPNAddress
    SSL-VPN-Attribute (IPv6): sPOVPNIP6Address
    SSL-Bump-Attribute: sPSSLBumpMode
    Cert-Attribute: sPCertificate
    Page Size: 500   Link= In größeren Umgebungen kann es vorkommen, dass bei LDAP-Anfragen die serverseitig festgelegte, maximale Anzahl von Datensätzen (im AD sind es 1000) überschritten wird.
    Mit Page Size kann eingestellt werden das die LDAP-Abfrage stückweise ausgeführt wird.
    Eine Page Size von 500 bedeutet 500 Datensätze pro Abfrage. Die Page Size von 0 deaktiviert eine schrittweise LDAP-Abfrage.


    UTM mit Entra ID anbinden

    Um Entra ID (ehemals Azure AD) nutzen zu können, sind konfigurierte Azure Apps notwendig.



































  • Hinweis
    Dieser Artikel beinhaltet Beschreibungen der Software von Drittanbietern und basiert auf dem Stand zum Zeitpunkt der Erstellung dieser Seite.
    Änderungen an der Benutzeroberfläche durch den Hersteller sind jederzeit möglich und müssen in der Durchführung entsprechend berücksichtigt werden.
    Alle Angaben ohne Gewähr.
  • Um die AD-Authentifizierung mit Entra ID nutzen zu können, sind folgende Angaben erforderlich:
    • Anwendungs ID
    • Mandanten-ID
    • Geheimer Clientschlüssel
    In dieser Anleitung wird exemplarisch gezeigt, welche Vorbereitungen und Einstellung in Microsoft Azure erforderlich sind.
    • Azure Active Directory admin center starten
    • Mandanten-ID im Menü Entra ID notieren/kopieren
    • Neue App registrieren unter Menü App-Registrierung Schaltfläche Neue Registrierung
    • Eindeutigen Namen vergeben und Schaltfläche Registrieren klicken
    • Anwendungs-ID notieren, alternativ kann hier die Verzeichnis-ID (Mandanten-ID) gefunden werden
    • Im Menü API-Berechtigungen die Schaltfläche Berechtigung hinzufügen klicken
    • Berechtigung Group.Read.All im Reiter Anwendungsberechtigung wählen
    • Berechtigung User.Read.All im Reiter Anwendungsberechtigung wählen
    • Im Menü API-Berechtigungen den Eintrag Administratorzustimmung für [...] erteilen aktivieren
    • Im Menü Zertifikate & Geheimnisse ein Geheimen Clientschlüssel erstellen
    • Wert notieren, wird als Geheimer Wert eingetragen
    • Damit ist die Konfiguration im Microsoft Azure abgeschlossen.
    notempty
    Die Microsoft Server brauchen ggf. bis zu 30 Minuten, bevor der Zugang funktioniert


    Entra ID Verbindung herstellen

    Besteht noch keine AD/LDAP-Authentifizierung öffnet sich automatisch der AD/LDAP Authentifizierung Assistent.
    Andernfalls kann der Assistent gestartet werden.
    Schritt 1: Verzeichnistyp
    Beschriftung Wert Beschreibung AD/LDAP Authentifizierungs Assistent UTMbenutzer@firewall.name.fqdnAuthentifizierungAD/LDAP Authentifizierung UTM v12.7.0 Authentifizierung AD LDAP Entra ID.png
    Verzeichnistyp: Entra ID - Microsoft Entra ID Entra ID als Verzeichnistyp auswählen
    Weiter
    Schritt 2: Einstellungen
    Verzeichnis-ID (Mandanten-ID): •••••••••••••••••••• Verzeichnis-ID (Mandanten-ID) aus der App-Registrierung in Entra ID UTM v12.6 AD-LDAP-Authentifizierung Assistent Azure-AD Schritt2.png
    Der eingetragene Wert wird angezeigt
    Anwendungs-ID (Client-ID): •••••••••••••••••••• Anwendungs-ID (Client-ID) aus der App-Registrierung in Entra ID
    Der eingetragene Wert wird angezeigt
    Geheimer Wert: •••••••••••••••••••• Wert des geheimen Clientschlüssels aus dem Abschnitt Zertifikate & Geheimnisse der Entra ID
    Der eingetragene Wert wird angezeigt
    Fertig

    Ergebnis Entra ID-Anbindung

    Status
    Aktiviert: Ja Die Entra ID Authentifizierung ist aktiviert AD/LDAP Authentifizierung UTMbenutzer@firewall.name.fqdnAuthentifizierung Assistent UTM v12.7.0 Authentifizierung AD LDAP Status Entra ID.png
    Verbindungsstatus: Zur Bestätigung wechselt die Anzeige von grau auf grün.
    Über diese Schaltfläche wird der Verbindungsstatus aktualisiert
    Verzeichnistyp: Entra ID Der eingestellte Verzeichnistyp
    Einstellungen
    Verzeichnis-ID (Mandanten-ID): •••••••••••••••••••• Verzeichnis-ID (Mandanten-ID) aus der App-Registrierung in Entra ID
    Der eingetragene Wert wird angezeigt
    Anwendungs-ID (Client-ID): •••••••••••••••••••• Anwendungs-ID (Client-ID) aus der App-Registrierung in Entra ID
    Der eingetragene Wert wird angezeigt
    Geheimer Wert: •••••••••••••••••••• Wert des geheimen Clientschlüssels aus dem Abschnitt Zertifikate & Geheimnisse der Entra ID
    Der eingetragene Wert wird angezeigt


    AD Benutzergruppen Berechtigungen erteilen

    Gruppe hinzufügen UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer UTM 12.6 Authentifizierung Benutzer Gruppe-CLientlessvpn.pngGruppen Berechtigungen

    Um den Benutzern aus dem Active Directory die Berechtigungen für den Zugriff auf das User-Interface der UTM und der Nutzung des Clientless VPN zu erteilen, wird im Menü Authentifizierung Benutzer Bereich
    Gruppen
    Schaltfläche Gruppe hinzufügen eine Gruppe mit eben diesen Berechtigungen angelegt.
    Aktiv Berechtigung Hinweis
    Ein Userinterface
    Ein Clientless VPN Gewünschte Berechtigung

    Weitere Informationen über Clientless VPN Berechtigungen befindet sich in dem Wiki zu Clientless VPN.


    UTM 12.6 Authentifizierung Gruppe-hinzufügen Verzeichnisdienst.png
    Benutzergruppe aus AD auswählen

    Im Bereich
    Verzeichnis Dienst
    kann jetzt die entsprechende Gruppe aus dem Active Directory ausgewählt und zugeordnet werden.
    Es werden nur Gruppen aufgelistet, die nicht leer sind.

    Ergebnis

    Nach dem Speichern kann sich jeder Benutzer, der Mitglied in der AD Gruppe ClientlessVPN ist, mit seinen Windows Domänen Zugangsdaten für die Nutzung des Clientless VPN auf der UTM anmelden.



    Überprüfen der AD Anbindung mit CLI

    Über CLI (Command Line Interface) Kommandos lässt sich verschiedenes über die Active Directory Anbindung und Benutzer überprüfen.notempty
    Hinweis:
    Erfolgt die Eingabe (Bildschirm und Tastatur) direkt an der UTM lautet der Eingabe-Prompt der Firewall z. B.: firewall.foo.local> bzw. entsprechend der lokalen Konfiguration. Bei Aufruf über das User-Interface mit dem Menü Extras CLI lautet der Prompt CLI>Dahinter befindet sich das CLI Kommando.
    Bei den Zeilen darunter handelt es sich um die Ausgabe der UTM zu diesem Befehl.


    Beitreten und Verlassen der Domäne

    Um zu überprüfen ob die UTM schon der Domäne beigetreten ist:

    cli> system activedirectory testjoin
    Join is OK
    cli>
    

    Sollte das nicht der Fall sein, erfolgt die Ausgabe

    cli> system activedirectory testjoin
    Not joined
    cli>
    

    In diesem Fall kann der Domäne mit dem folgenden Kommando beigetreten werden

    cli> system activedirectory join password Beispiel-Admin-Passwort
    Password for Administrator@TTT-POINT.LOCAL: 
    Processing principals to add...
    Enter Administrator's password:
    Using short domain name -- TTT-POINT
    Joined 'SP-UTML' to dns domain 'ttt-point.local'
    cli>
    

    Das Kommando um die Domäne zu verlassen lautet

    cli> system activedirectory leave password Beispiel-Admin-Passwort
    Enter Administrator's password:
    Deleted account for 'SP-UTML' in realm 'TTT-POINT.LOCAL'
    cli>
    

    Beim Beitreten bzw. Verlassen des Active Directories ist die Angabe des Administratorpasswortes notwendig. Das Passwort wird nicht gespeichert, die AD-Zugehörigkeit ist trotzdem Reboot fest.



    AD Gruppen anzeigen

    Mit dem folgenden Kommando können die Gruppen im Active Directory aufgelistet werden:

    cli> system activedirectory lsgroups
    member
    ------
    Abgelehnte RODC-Kennwortreplikationsgruppe
    Administratoren
    Benutzer
    Builtin
    ClientlessVPN
    Discovery Management
    Domänen-Admins
    Domänen-Benutzer
    Domänen-Gäste
    Exchange Servers
    ...
    Users 
    Windows-Autorisierungszugriffsgruppe
    cli>
    
  • Es werden nur Gruppen aufgelistet, denen mindestens ein Nutzer zugeordnet ist.

  • Überprüfen der Benutzer und Gruppenzugehörigkeit

    Das folgende Kommando überprüft, ob ein AD-Benutzer einer UTM Gruppe zugeordnet ist:

    cli> user check name "m.meier" groups grp_ClientlessVPN
    matched
    cli>
    

    Sollte das nicht der Fall sein erfolgt die Ausgabe

    not a member
    cli>
    

    Befehl, um zu einem AD-Benutzer die Gruppenzugehörigkeit und Berechtigungen aus zugegeben:

    cli> user get name m.meier
    name   |groups           |permission
    -------+-----------------+----------
    m.meier|grp_ClientlessVPN|WEB_USER,VPN_CLIENTLESS
    cli>
    



    Domain-Controller hinter Site-to-Site-VPN

    In manchen Szenarien befindet sich der Domain-Controller hinter einem Site-to-Site-VPN-Tunnel.
    Ist dies der Fall, muss eine entsprechende Zone und eine Regel konfiguriert werden.
    Siehe auch DNS-Relay bei IPSec-S2S DNS-Relay bei SSL (OpenVPN) -S2S DNS-Relay bei WireGuard-S2S

    notempty

    Achtung: Für einen Beitritt in ein Active-Directory, das sich hinter einem VPN-Tunnel befindet, werden in der NAT-Regel Richtung Domain-Controller neben den DNS-Ports die LDAP-Ports benötigt.