Marcels: Die Seite wurde neu angelegt: „{{Archivhinweis|UTM/AUTH/OTP-AD|pre=12.6.0}} {{Set_lang}} {{#vardefine:headerIcon|spicon-utm}} {{var | display | OTP mit AD-Anbindung | OTP with AD connection }} {{var | head | Konfiguration eines One-Time-Passwortes (OTP) mit AD-Anbindung | Configuration of a one-time password (OTP) with AD connection }} {{var | Authentifizierung | Authentifizierung | Authentication }} {{var | AD/LDAP Authentifizierung | AD/LDAP Authentifizierung | AD/L…“

2024-01-11T10:27:49Z

Die Seite wurde neu angelegt: „{{Archivhinweis|UTM/AUTH/OTP-AD|pre=12.6.0}} {{Set_lang}} {{#vardefine:headerIcon|spicon-utm}} {{var | display | OTP mit AD-Anbindung | OTP with AD connection }} {{var | head | Konfiguration eines One-Time-Passwortes (OTP) mit AD-Anbindung | Configuration of a one-time password (OTP) with AD connection }} {{var | Authentifizierung | Authentifizierung | Authentication }} {{var | AD/LDAP Authentifizierung | AD/LDAP Authentifizierung | AD/L…“

Neue Seite

{{Archivhinweis|UTM/AUTH/OTP-AD|pre=12.6.0}}
{{Set_lang}}

{{#vardefine:headerIcon|spicon-utm}}

{{var | display
| OTP mit AD-Anbindung
| OTP with AD connection }}
{{var | head
| Konfiguration eines One-Time-Passwortes (OTP) mit AD-Anbindung
| Configuration of a one-time password (OTP) with AD connection }}
{{var | Authentifizierung
| Authentifizierung
| Authentication }}
{{var | AD/LDAP Authentifizierung
| AD/LDAP Authentifizierung
| AD/LDAP authentication }}
{{var | Erweitert
| Erweitert
| Extended }}
{{var | Einleitung
| Einleitung
| Introduction }}
{{var | Einleitung wichtige Hinweise
| Wichtige Hinweise bei Verwendung des OTP-Verfahrens
| Important notes when using the OTP method }}
{{var | Einleitung OTP aktiviert
| Ist das OTP-Verfahren aktiviert, ist die Anmeldung nur durch Eingabe eines korrekten OTP möglich.
| If the OTP method is activated, login is only possible by entering a correct OTP. }}
{{var | Einleitung OTP jeder Admin
| Ist das OTP-Verfahren für das Admin-Webinterface und SSH Konsole aktiv, muss <u><b>jeder</b> Administrator</u> über diesen Token verfügen, um auf das Gerät zugreifen zu können.
| If the OTP method is active for the admin web interface and SSH console, <u><b>every</b> administrator</u> must have this token to access the device. }}
{{var | Einleitung keine Ausnahme User
| Eine Ausnahme auf User-Basis ist nicht möglich. Dies gilt auch für die Authentifizierung am User-Webinterface sowie für SSL-VPN und IPSec-Xauth.
| An exception on a per-user basis is not possible. This also applies to authentication at the user web interface and to SSL-VPN and IPSec-Xauth. }}
{{var | Einleitung SSLVPN
| SSL-VPN:<br>Da beim SSL-VPN jede Stunde eine Reauthentifizierung stattfindet, muss auch jede Stunde ein neuer OTP eingegeben werden.
| SSL-VPN:<br>Since re-authentication takes place every hour with the SSL-VPN, a new OTP must also be entered every hour. }}
{{var | Einleitung SSLVPN 2
| Die Renegotiation kann entsprechend erhöht oder komplett deaktiviert werden.<br>
Das Deaktivieren ist natürlich nicht empfohlen. Eine Änderung erfolgt auf der UTM für alle SSL-VPN Clients dieser Instanz.<br>
Nach der Änderung wird der SSL-VPN Dienst automatisch neu gestartet.
| Renegotiation can be increased accordingly or disabled completely.<br>
Disabling it is, of course, not recommended. A change is made on the UTM for all SSL-VPN clients of this instance.<br> After the change, the SSL-VPN service is restarted automatically. }}
{{var | Einleitung SSLVPN Passwort speichern
| Das Speichern des Passwortes im SSL-VPN Client ist nicht möglich, da sich das zu übergebene Passwort aus dem statischen Benutzer-Passwort und dem OTP zusammensetzt.
| Saving the password in the SSL-VPN client is not possible because the password to be passed is composed of the static user password and the OTP. }}
{{var | Einleitung Smartphone--Hinweis
| Fällt der OTP-Generator für den '''Administrator-Zugang''' aus, benötigt man eine ausgedruckte Version des QR-Codes.
Sollte diese nicht vorliegen, ist ein Zugriff auf die UTM nur noch mit physischem Zugang direkt am Gerät (Tastatur und Monitor an der UTM) möglich.
| If the OTP generator for '''administrator access''' fails, you require a printed version of the QR code.<br>If this is not available, access to the UTM is only possible with physical access directly at the device (keyboard and monitor at the UTM). }}
{{var | Einleitung Dokument
| Empfohlen wird das Ausdrucken dieses Codes für die Administratoren und das Ablegen zu der Dokumentation, wie unter [[OTP_V11#OTP_Secret | OTP Secret]] beschrieben.
| It is recommended to print this code for the administrators and file it to the documentation as described in [{{#var:host}}OTP_V11#OTP_Secret OTP Secret]. }}
{{var | Einleitung Zeitserver--Hinweis
| Da das OTP-Verfahren zeitbasiert ist, muss darauf geachtet werden, dass der Zeitserver in der UTM synchron zum Hard- oder Software Token läuft.
| Since the OTP method is time-based, care must be taken to ensure that the time server in the UTM runs synchronously with the hardware or software token. }}
{{var | Einleitung Uhrzeit
| Die Uhrzeit des UTM Systems lässt sich über drei Wege überprüfen:
*Über die Administrations-Weboberfläche: Die Uhrzeit steht in der Widget Auswahl, wenn diese nicht ausgeklappt ist, oder im Menü ''Netzwerk'' unter dem Menüpunkt ''Servereinstellungen'' im Abschnitt ''Zeiteinstellungen''
*Über die CLI mit dem Kommando '''''system date get'''''
*Über die Root Konsole mit dem Kommando '''''date'''''
| The time of the UTM system can be checked in three ways:
*Through the administration web interface: the time is in the widget selection if it is not expanded, or in the ''Network'' menu under the ''Server Settings'' menu item in the ''Time settings'' section.
*Using the CLI with the command '''''system date get'''''
*Using the root console with the command '''''date''''' }}
{{var | Einleitung Systemzeit
| Die Systemzeit kann dann über die folgenden Möglichkeiten eingestellt werden:
* Über die Administrations-Weboberfläche im Menü "Netzwerk" unter dem Menüpunkt ''Servereinstellungen'' im Abschnitt ''Zeiteinstellungen''
*Über die CLI mit dem Kommando '''''system date set date''''' anschließend mit Leerzeichen getrennt das aktuelle Datum und die Uhrzeit im Format JJJJ-MM-TT hh:mm:ss
| The system time can then be set using the following options:
* Via the administration web interface in the ''Network'' menu under the ''Server settings'' section in the ''Time settings'' section.
* Via the CLI with the command '''''system date set date''''' then with space separated the current date and time in the format YYYY-MM-DD hh:mm:ss }}
{{var | Benutzerauthentifizierung über die UTM mit dem Active Directory per OTP
| Benutzerauthentifizierung über die UTM mit dem Active Directory per OTP
| User authentication via the UTM with Active Directory via OTP }}
{{var | Attribute im Active Directory
| Attribute im Active Directory
| Attributes in Active Directory }}
{{var | Attribute im Active Directory--desc
| Die UTM wird an das Active Directory angebunden. Eine Anleitung dafür gibt es in diesem Wiki-Artikel [[UTM/AUTH/AD_Anbindung | Active Directory Anbindung]]. Ein nicht genutztes Attribut im Active Directory Schema wird benötigt. Darin wird der Geheimcode hinterlegt.
| The UTM is connected to the Active Directory. Instructions for this can be found in this Wiki article [{{#var:host}}UTM/AUTH/AD_Anbindung Active Directory Connection]. An unused attribute in the Active Directory schema is required. The secret code is stored in it. }}
{{var | Attribute im Active Directory--Bild
| WIN2012_AD_BuGerw.png
| }}
{{var | Attribute im Active Directory--cap
| AD Erweiterte Einstellungen
| AD advanced settings }}
{{var | Attribute im Active Directory--desc2
| Eine Liste der Attribute befindet sich im Active Directory unter ''Active Directory-Benutzer und -Computer''.<br>Dazu ist es allerdings notwendig, unter ''Ansicht'' den Menüpunkt ''Erweiterte Features'' zu aktivieren.
| A list of attributes can be found in the Active Directory under ''Active Directory Users and Computers''.<br>But for this it is necessary to activate the menu item ''Advanced Features'' under ''View''. }}
{{var | Attribut-Editor--Bild
| WIN2012_AD_EuserAE.png
| }}
{{var | Attribut-Editor--cap
| AD Attribut-Editor
| AD Attribut-Editor }}
{{var | Attribut-Editor--desc
| Beim gewünschtem Benutzer ''Eigenschaften'' öffnen. Zum Reiter ''Attribut-Editor'' wechseln. Dort befindet sich die Liste mit den Attributen.
| Open "Properties" for the desired user. Switch to the tab ''Attribute Editor''. There is the list with the attributes. }}
{{var | Attribut-Editor Beispiel
| In diesem Beispiel stehen die Attribute ''extensionAttribute1 - 15'' zur Verfügung. Eines dieser Attribute auswählen, indem der OTP Geheimcode für den Benutzer hinterlegt wird.
| In this example the attributes ''extensionAttribute1 - 15'' are available. Select one of these attributes by storing the OTP secret code for the user. }}
{{var | Attribut-Editor neue Attribute
| Es können auch neue Attribute erstellt werden. Das ist jedoch ein Eingriff in das AD Schema und das hat schon häufig zur Folge, dass das AD anschließend nicht mehr genutzt werden kann.
| New attributes can also be created. However, this is an intervention in the AD scheme which leads to the fact that the AD can no longer be used. }}
{{var | Attribut in der UTM Eintragen
| Attribut in der UTM Eintragen
| Enter attribute in the UTM }}
{{var | Attribut in der UTM Eintragen--Bild
| UTM_v12.3.4_Auth_AD-LDAP_Erweitert_OTP-Attribute.png
| UTM_v12.3.4_Auth_AD-LDAP_Erweitert_OTP-Attribute-en.png }}
{{var | Attribut in der UTM Eintragen--cap
| AD OTP Attribut
| AD OTP attribute }}
{{var | Attribut in der UTM Eintragen--desc
| Das Attribute der AD mit dem OTP Geheimcode muss in die UTM eingetragen werden.<br> Im Menu {{Menu|Authentifizierung|AD/LDAP Authentifizierung}} zum Dialog {{Reiter|Erweitert}} wechseln.
| The attribute of the AD with the OTP secret code must be entered into the UTM.<br> In the menu {{Menu|Authentication|AD/LDAP Authentication}} switch to the dialog {{Reiter|Extended}}. }}
{{var | OTP-Attribute--desc
| Das im AD ausgewählte Attribut eingetragen. Der dort eingetragene Wert wird einfach überschrieben.
| The attribute selected in AD is entered. The value entered there is simply overwritten. }}
{{var | OTP Geheimcode generieren
| OTP Geheimcode generieren
| Generate OTP secret code }}
{{var | OTP Geheimcode generieren--desc
| Da im AD Attribut ''extensionAttribute10'' als Wert nun ein 16-stelliger base32 Schlüsselcode hinterlegt werden soll, muss dieser irgendwie generiert werden. Dieses kann die UTM übernehmen.
| Since the AD attribute ''extensionAttribute10'' should now contain a 16-digit base32 key code, this must be generated somehow. This can be done by the UTM. }}
{{var | OTP Geheimcode generieren--Bild
| UTM_v12.3.4_Auth_Benutzer.png
| UTM_v12.3.4_Auth_Benutzer-en.png }}
{{var | OTP Geheimcode generieren--cap
| Dummy User für OTP-Schlüssel
| Dummy user for OTP key }}
{{var | OTP Geheimcode generieren--desc2
| Es wird einfach im Menü ''Authentifizierung'' unter ''Benutzer'' ein Benutzer angelegt - hier mit dem Namen ''otp_dummy_user''. Dieser muss keiner Gruppe angehören und benötigt auch keine Berechtigungen.
| Simply create a user in the menu ''Authentication'' under ''User'' - here with the name ''otp_dummy_user''. This user does not have to belong to a group and does not need any permissions. }}
{{var | OTP Geheimcode generieren--Bild2
| UTM_v12.3.4_Auth_Benutzer_OTP.png
| UTM_v12.3.4_Auth_Benutzer_OTP-en.png }}
{{var | OTP Geheimcode generieren--cap2
| OTP-Schlüssel generieren
| Generate OTP key }}
{{var | OTP Geheimcode generieren--desc3
| Wird dieser Benutzer erneut bearbeitet, befindet sich auf der rechten Seite der Tab ''OTP''.<br>Zum einen befindet sich hier schon ein per Zufallsgenerator erstellter Geheimcode, zum anderen auch ein aus diesem erstellter QR Code.
| If this user is edited again, the tab ''OTP'' is located on the right side.<br>On the one hand, a secret code created by random generator is already located here, on the other hand also a QR code created from this. }}
{{var | OTP Geheimcode--desc
| Der Geheimcode kann einfach kopiert und im Active Directory Attribut eingefügt werden.<br>Dies gilt natürlich auch für einen 40-stelligen HEX(60) Key eines Hardware Token.
| The secret code can simply be copied and pasted into the Active Directory attribute.<br>This of course also applies to a 40-digit HEX(60) key of a hardware token. }}
{{var | OTP Geheimcode--Bild
| WIN2012_AD_EUAcode_hinz_google.png
| }}
{{var | OTP Geheimcode--cap
| Schlüssel-Code in Attribut einfügen (Google-Authenticator)
| Insert key code into attribute (Google Authenticator) }}
{{var | OTP Geheimcode Hardware-Token--desc
| '''Bitte beachten:'''<br>Bei der Verwendung eines Hardware-Token muss der Präfix (z. B. '''hex(60)''' )im AD-Attribut vor dem PSK angegeben werden. .
| '''Please note:'''<br>When using a hardware token, the prefix (e.g. '''hex(60)''' )must be specified in the AD attribute before the PSK. . }}
{{var | OTP Geheimcode Hardware-Token--Bild
| WIN2012_AD_EUAcode_hinz_hardware_token.png
| }}
{{var | OTP Geheimcode Hardware-Token--cap
| Schlüssel-Code in Attribut einfügen (Hardware-Token)
| Insert key code into attribute (hardware token) }}
{{var | OTP QRCode speichern--desc
| Der QR Code kann einfach durch einen Klick der rechten Maustaste als Bild gespeichert werden, um ihn dann in geeigneter Weise dem Benutzer zukommen zu lassen. Eine Anleitung wie dieser in einen Software Token wie dem Google Authenticator einzurichten ist, befindet sich [[UTM/AUTH/OTP#Einrichten_eines_Authenticators | hier]].
| The QR code can be saved as an image simply by clicking the right mouse button, and then send it to the user in a suitable way. Instructions on how to set this up in a software token such as Google Authenticator can be found [{{#var:host}}UTM/AUTH/OTP#Setting_up_an_Authenticator here]. }}
{{var | OTP QRCode speichern--Bild
| UTM_v12.3.4_Auth_Benutzer_OTP_speichern.png
| UTM_v12.3.4_Auth_Benutzer_OTP_speichern-en.png }}
{{var | OTP QRCode speichern--cap
| QR Code als Grafik speichern
| Save QR code as an image }}
{{var | OTP QRCode speichern--desc2
| Natürlich soll jeder Benutzer seinen eigenen OTP-Schlüssel erhalten.<br>Ein neuer, per Zufallsgenerator erzeugter Schlüssel und QR Code wird einfach durch einen Mausklick auf den Button [[Datei:UTM_V115_AktB.png|30px]] erstellt.
| Of course, each user should get his own OTP key.<br>A new randomly generated key and QR code is created simply by clicking the [[Datei:UTM_V115_AktB.png|30px]] button. }}
{{var | Gruppe für AD Authentifizierung anlegen
| Gruppe für AD Authentifizierung anlegen
| Create a group for AD authentication }}
{{var | Gruppe für AD Authentifizierung anlegen--desc
| Die betreffenden Benutzer müssen in dem Active Directory gruppiert werden, da einzelne Benutzer von der UTM nicht erfasst werden können.
| The users in question must be grouped in the Active Directory, as individual users cannot be detected by the UTM. }}
{{var | Gruppe für AD Authentifizierung anlegen--Bild
| UTM_v12.3.4_Auth_Gruppe_Berechtigungen.png
| UTM_v12.3.4_Auth_Gruppe_Berechtigungen-en.png }}
{{var | Gruppe für AD Authentifizierung anlegen--cap
| Benutzergruppe anlegen
| Create user group }}
{{var | Gruppe für AD Authentifizierung anlegen--desc2
| Zum Abschluss muss auf der UTM noch eine Benutzergruppe angelegt werden, die die Berechtigungen der OTP-AD-Gruppe auf der UTM steuert.
| Finally, a user group must be created on the UTM that controls the permissions of the OTP-AD group on the UTM. }}
{{var | Gruppe für AD Authentifizierung anlegen--Bild2
| UTM_v12.3.4_Auth_Gruppe_Verzeichnis-Dienst.png
| UTM_v12.3.4_Auth_Gruppe_Verzeichnis-Dienst-en.png }}
{{var | Gruppe für AD Authentifizierung anlegen--cap2
| AD Gruppe mit UTM Benutzergruppe verknüpfen
| Link AD group with UTM user group }}
{{var | Gruppe für AD Authentifizierung anlegen--desc3
| Diese wiederum wird dann mit der betreffenden Active Directory Gruppe verknüpft.
| This in turn is then linked to the Active Directory group in question. }}
{{var | Gruppe für AD Authentifizierung anlegen--desc4
| Jetzt kann sich der Benutzer mit seinem Windows Domänen Namen, Passwort und dem zusätzlichen OTP-Passwort, welches er über den OTP-Token erhält, an dem Dienst der UTM anmelden, ohne dass dieser zusätzlich als lokaler Benutzer auf der UTM eingetragen werden muss.
| Now the user can log on to the service of the UTM with his Windows domain name, password and the additional OTP password, which he receives via the OTP token, without having to be additionally entered as a local user on the UTM. }}

{{var | neu--Layout
| Layoutanpassung und Screenshots aktualisiert
| Updated layout adjustment and screenshots }}

</div>{{TOC2}}{{Select_lang}}
{{Header|05.2023|
* {{#var:neu--Layout}}
|[[UTM/AUTH/OTP-AD_v11.7 |'''11.7''']]
|{{Menu|{{#var:Authentifizierung}}|{{#var:AD/LDAP Authentifizierung}}||{{#var:Erweitert}} }}
}}

----

=== {{#var:Einleitung}} ===
<div class="einrücken">

{{#var:Einleitung OTP aktiviert}}
{{Hinweis-box| {{#var:Einleitung OTP jeder Admin}}|r}}
{{#var:Einleitung keine Ausnahme User}}
<br><br>
{{#var:Einleitung SSLVPN}}
<br><br>
{{#var:Einleitung SSLVPN 2}}
<br><br>
{{#var:Einleitung SSLVPN Passwort speichern}}
{{Hinweis-box| {{#var:Einleitung Smartphone--Hinweis}}|r|fs__icon=em2}}
{{#var:Einleitung Dokument}}
<li class="list--element__alert list-element__hint">{{#var:Einleitung Zeitserver--Hinweis}}</li>
<div class="Einrücken">
{{#var:Einleitung Uhrzeit}}
{{#var:Einleitung Systemzeit}}
</div></div>

----

=== {{#var:Benutzerauthentifizierung über die UTM mit dem Active Directory per OTP}} ===
<div class="einrücken">
==== {{#var:Attribute im Active Directory}} ====
<div class="einrücken">
{{#var:Attribute im Active Directory--desc}}
{{pt3|{{#var:Attribute im Active Directory--Bild}}|{{#var:Attribute im Active Directory--cap}} }}
{{#var:Attribute im Active Directory--desc2}}
<br clear=all>
{{pt3|{{#var:Attribut-Editor--Bild}}|{{#var:Attribut-Editor--cap}} }}
{{#var:Attribut-Editor--desc}}
<br>
{{#var:Attribut-Editor Beispiel}}
<br>
{{Hinweis-box| {{#var:Attribut-Editor neue Attribute}}|gelb|fs__icon=em2}}
<br clear=all>
</div>

==== {{#var:Attribut in der UTM Eintragen}} ====
<div class="einrücken">
{{#var:Attribut in der UTM Eintragen--desc}}
{| class="sptable2 pd5 zh1"
|-
! class="mw11" | {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
| class="Bild" rowspan="3"| {{Bild|{{#var:Attribut in der UTM Eintragen--Bild}}|{{#var:Attribut in der UTM Eintragen--cap}} }}
|-
| {{b|OTP-Attribute:}} || {{ic|extensionAttribute10|class="available"}} || {{#var:OTP-Attribute--desc}}
|- class="Leerzeile"
|
|}
<br clear=all>
</div>

==== {{#var:OTP Geheimcode generieren}} ====
<div class="einrücken">
{{#var:OTP Geheimcode generieren--desc}}
{{pt3|{{#var:OTP Geheimcode generieren--Bild}}|{{#var:OTP Geheimcode generieren--cap}} }}
{{#var:OTP Geheimcode generieren--desc2}}
<br clear=all>
{{pt3|{{#var:OTP Geheimcode generieren--Bild2}}|{{#var:OTP Geheimcode generieren--cap2}} }}
{{#var:OTP Geheimcode generieren--desc3}}
<br clear=all>
{{pt3|{{#var:OTP Geheimcode--Bild}}|{{#var:OTP Geheimcode--cap}} }}
{{#var:OTP Geheimcode--desc}}
<br clear=all>
{{pt3|{{#var:OTP Geheimcode Hardware-Token--Bild}}|{{#var:OTP Geheimcode Hardware-Token--cap}} }}
{{#var:OTP Geheimcode Hardware-Token--desc}}
<br clear=all>
{{pt3|{{#var:OTP QRCode speichern--Bild}}|{{#var:OTP QRCode speichern--cap}} }}
{{#var:OTP QRCode speichern--desc}}
<br>
{{#var:OTP QRCode speichern--desc2}}
<br clear=all>
</div>

==== {{#var:Gruppe für AD Authentifizierung anlegen}} ====
<div class="einrücken">
{{pt3|{{#var:Gruppe für AD Authentifizierung anlegen--Bild}}|{{#var:Gruppe für AD Authentifizierung anlegen--cap}} }}
{{#var:Gruppe für AD Authentifizierung anlegen--desc}}
<br>
{{#var:Gruppe für AD Authentifizierung anlegen--desc2}}
<br clear=all>
{{pt3|{{#var:Gruppe für AD Authentifizierung anlegen--Bild2}}|{{#var:Gruppe für AD Authentifizierung anlegen--cap2}} }}
{{#var:Gruppe für AD Authentifizierung anlegen--desc3}}
<br>
{{#var:Gruppe für AD Authentifizierung anlegen--desc4}}
<br clear=all>
</div>
</div>

UTM/AUTH/OTP-AD v12.3.6 - Versionsgeschichte