SSL-VPN mit AD-Anbindung

notempty

Dieser Artikel bezieht sich auf eine nicht mehr aktuelle Version!

notempty

Der Artikel für die neueste Version steht hier

notempty

Zu diesem Artikel gibt es bereits eine neuere Version, die sich allerdings auf eine Reseller-Preview bezieht

AD-Anbindung von Benutzern und Gruppen bzgl. SSL-VPN

Letzte Anpassung: 12.2023

Neu:

Aktualisierung der AD-Attribute, die in die UTM eingetragen werden
Weiterer Parameter Cert-Attribute bei Attribut in der UTM eintragen

notempty

Dieser Artikel bezieht sich auf eine Resellerpreview

Einleitung

Benutzer und Gruppen lassen sich per AD-Attribut an eine SSL-VPN-Verbindung anbinden.

Benutzerauthentifizierung über die UTM mit dem Active Directory für SSL-VPN

Konfiguration der Zertifikate

Unter → Authentifizierung →Benutzer werden die ausgewählten Zertifikate der jeweiligen Benutzer und der Gruppen überprüft

Kein Zertifikat ausgewählt bei einem Benutzer

Im Reiter Benutzer wird über die Schaltfläche Bearbeiten der Dialog geöffnet
Zum Reiter SSL-VPN wechseln
Beim Parameter Client-Zertifikat: darf kein Zertifikat ausgewählt sein

Sollte in Client-Zertifikat ein Zertifikat ausgewählt sein und es lässt sich nicht entfernen, wird im CLI folgender Befehl eingegeben user attribute set name "user" attribute "openvpn_certificate" value 0

Kein Zertifikat ausgewählt bei der Gruppe

Im Reiter Gruppen wird über die Schaltfläche Bearbeiten der Dialog geöffnet
Zum Reiter SSL-VPN wechseln
Beim Parameter Client-Zertifikat: darf kein Zertifikat ausgewählt sein

Sollte in Client-Zertifikat ein Zertifikat ausgewählt sein und es lässt sich nicht entfernen, wird im CLI folgender Befehl eingegeben user group attribute set name "group" attribute "openvpn_certificate" value 0

Beispielhaftes Zertifikat des Benutzers Alice

notempty

Für jeden Benutzer, welcher über die SSL-VPN-Verbindung Zugriff haben soll, wird ein Zertifikat angelegt.

Über → Authentifizierung →ZertifikateReiter Zertifikate wird mit der Schaltfläche Zertifikat hinzufügen ein Zertifikat für einen Benutzer angelegt.

notempty

Der gewählte Name dieses Zertifikats wird als AD-Attribut benötigt

Attribute im Active Directory

Die UTM wird an das Active Directory angebunden. Eine Anleitung dafür gibt es in diesem Wiki-Artikel Active Directory Anbindung. Ein nicht genutztes Attribut im Active Directory Schema wird benötigt. Darin wird der Zertifikatsname des Benutzers hinterlegt.

AD Erweiterte Einstellungen

Eine Liste der Attribute befindet sich im Active Directory unter Active Directory-Benutzer und -Computer.
Dazu ist es allerdings notwendig, unter Ansicht den Menüpunkt Erweiterte Features zu aktivieren.

AD Attribut-Editor

Beim gewünschtem Benutzer Eigenschaften öffnen. Zum Reiter Attribut-Editor wechseln. Dort befindet sich die Liste mit den Attributen.
In diesem Beispiel stehen die Attribute extensionAttribute1 - 15 zur Verfügung. Eines dieser Attribute auswählen, indem der Zertifikatsname als Attribut für den Benutzer hinterlegt wird.

notempty

Es können auch neue Attribute erstellt werden. Das ist jedoch ein Eingriff in das AD Schema und das hat schon häufig zur Folge, dass das AD anschließend nicht mehr genutzt werden kann.

Attribut in der UTM Eintragen

Der Name des Attributs aus dem AD mit dem Zertifikatsnamen muss in die UTM eingetragen werden.
Im Menu → Authentifizierung →AD/LDAP Authentifizierung zum Dialog Erweitert wechseln.

Beschriftung	Wert	Beschreibung	AD SSL-VPN Attribut
SSL-VPN-Attribute (IPv4):	extensionAttribute10	Optional Die IP-Adresse innerhalb des SSL-VPN Tunnels. Wird der Wert nicht gesetzt, wird eine IP-Adresse zugewiesen.
SSL-VPN-Attribute (IPv6):	extensionAttribute11	Optional Die IPv6-Adresse innerhalb des SSL-VPN Tunnels. Wird der Wert nicht gesetzt, wird eine IPv6-Adresse zugewiesen.
Cert-Attribute:	extensionAttribute12	Der Name des Attributs aus dem AD mit dem Zertifikatsnamen eingetragen. notempty Wird dieser Wert nicht gesetzt, ist eine SSL-VPN-Verbindung nicht möglich!
Auf die Schaltfläche Speichern klicken um die Einträge abzuspeichern.