@@ Zeile 19: / Zeile 19: @@
 	    | Introduction }}
 {{var   | Einführung--desc
-	    | <p>Die AD/LDAP-Anbindung ermöglicht es, bestehende Verzeichnisdienste wie das Microsoft Active Directory® oder andere auf dem LDAProtocol basierende Systeme für die Authentifizierung, Verwaltung von Gruppen und Speichern von Attributen zu nutzen.</p>
+	    | <p>Die AD/LDAP-Anbindung ermöglicht es, bestehende Verzeichnisdienste wie das Microsoft Active Directory® oder andere auf dem LDAProtocol basierende Systeme für die Authentifizierung, Verwaltung von Gruppen und Speichern von Attributen zu nutzen.</p> <p>Zentral verwaltete Benutzer aus dem Verzeichnis können so einfach für die Authentifizierung oder Nutzung von Diensten auf der UTM verwendet werden.</p> <p>Dies erleichtert die Administration komplexer Unternehmensnetzwerke und vereinheitlicht die Benutzer-Verwaltung.</p> <p>Für die Anbindung an das Directory wird unter anderem das Light Directory Access Protocol (LDAP) verwendet.<br> Mittels LDAP können die Informationen über Benutzer, Gruppen und weitere Objekte aus dem Directory ausgelesen werden.</p> <p>{{Alert|g}}Das Protokoll selbst sieht dabei im Standard keine Verschlüsselung oder Authentifizierung der Nachrichten vor.</p> <p>In [https://portal.msrc.microsoft.com/de-de/security-guidance/advisory/ADV190023 ADV190023] (Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing) wird auf diesen Umstand hingewiesen und eine Anpassung der Sicherheitseinstellungen bekannt gegeben.</p> <p>Zukünftig ist eine Signierung und Verschlüsselung des LDAP-Verkehrs erforderlich (''seal'').</p> <p>{{Hinweis-box|Diese Umstellung wird von der UTM automatisch vorgenommen.|gr}}</p> <p>Alternativ kann das die gesamte Verbindung mit SSL abgesichert werden.</p> <p>Ab Version 11.8.10 wird nicht nur der PDC, sondern '''sämtliche''' DCs für LDAP Anfragen verwendet. Somit steht die Authentifizierung für Benutzer aus dem AD auch zu Verfügung, wenn der PDC nicht erreichbar ist.</p>
-<p>Zentral verwaltete Benutzer aus dem Verzeichnis können so einfach für die Authentifizierung oder Nutzung von Diensten auf der UTM verwendet werden.</p>
+	    | <p>AD/LDAP connectivity enables existing directory services such as Microsoft Active Directory® or other LDAProtocol-based systems to be used for authentication, group management, and attribute storage.</p> <p> Centrally managed users from the directory can thus easily be used for authentication or use of services on the UTM.</p> <p> This simplifies the administration of complex corporate networks and unifies user management.</p>
-<p>Dies erleichtert die Administration komplexer Unternehmensnetzwerke und vereinheitlicht die Benutzer-Verwaltung.</p>
-<p>Für die Anbindung an das Directory wird unter anderem das Light Directory Access Protocol (LDAP) verwendet.<br>
-Mittels LDAP können die Informationen über Benutzer, Gruppen und weitere Objekte aus dem Directory ausgelesen werden.</p>
-<p>{{Alert|g}}Das Protokoll selbst sieht dabei im Standard keine Verschlüsselung oder Authentifizierung der Nachrichten vor.</p>
-<p>In [https://portal.msrc.microsoft.com/de-de/security-guidance/advisory/ADV190023 ADV190023] (Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing) wird
-auf diesen Umstand hingewiesen und eine Anpassung der Sicherheitseinstellungen bekannt gegeben.</p>
-<p>Zukünftig ist eine Signierung und Verschlüsselung des LDAP-Verkehrs erforderlich (''seal'').</p>
-<p>{{Hinweis-box|Diese Umstellung wird von der UTM automatisch vorgenommen.|gr}}</p>
-<p>Alternativ kann das die gesamte Verbindung mit SSL abgesichert werden.</p>
-<p>Ab Version 11.8.10 wird nicht nur der PDC, sondern '''sämtliche''' DCs für LDAP Anfragen verwendet. Somit steht die Authentifizierung für Benutzer aus dem AD auch zu Verfügung, wenn der PDC nicht erreichbar ist.</p>
-	    | <p>AD/LDAP connectivity enables existing directory services such as Microsoft Active Directory® or other LDAProtocol-based systems to be used for authentication, group management, and attribute storage.</p>
-<p> Centrally managed users from the directory can thus easily be used for authentication or use of services on the UTM.</p>
-<p> This simplifies the administration of complex corporate networks and unifies user management.</p>
 <p> Among other things, the Light Directory Access Protocol (LDAP) is used for the connection to the directory..<br>
-Using LDAP, information about users, groups and other objects can be read from the directory.</p>
+Using LDAP, information about users, groups and other objects can be read from the directory.</p> <p>{{Alert|g}} The standard protocol itself does not provide for encryption or authentication of the messages.</p> <p> In [https://portal.msrc.microsoft.com/de-de/security-guidance/advisory/ADV190023 ADV190023] (Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing) it is pointed out
-<p>{{Alert|g}} The standard protocol itself does not provide for encryption or authentication of the messages.</p>
+and an adjustment of the security settings is given.</p> <p> In the future, signing and encryption of LDAP traffic will be required (''seal'').</p> <p>{{Hinweis-box|This change is made automatically by the UTM.|gr}}</p> <p> Alternatively, the entire connection can be secured with SSL.</p> <p>Starting with version 11.8.10, not only the PDC, but '''all''' DCs are used for LDAP requests. Thus, authentication for users from the AD is available even if the PDC is not reachable.</p> }}
-<p> In [https://portal.msrc.microsoft.com/de-de/security-guidance/advisory/ADV190023 ADV190023] (Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing) it is pointed out
-and an adjustment of the security settings is given.</p>
-<p> In the future, signing and encryption of LDAP traffic will be required (''seal'').</p>
-<p>{{Hinweis-box|This change is made automatically by the UTM.|gr}}</p>
-<p> Alternatively, the entire connection can be secured with SSL.</p>
-<p>Starting with version 11.8.10, not only the PDC, but '''all''' DCs are used for LDAP requests. Thus, authentication for users from the AD is available even if the PDC is not reachable.</p> }}
 {{var   | Voraussetzung
 	    | Voraussetzung
@@ Zeile 290: / Zeile 271: @@
 	    | Select user group from AD }}
 {{var   | benutzergruppe-auswählen--text
-	    | Im Bereich {{Kasten|Verzeichnis Dienst}} kann jetzt die entsprechende Gruppe aus dem Active Directory ausgewählt und zugeordnet werden. <p>Weitere Informationen über Clientless VPN Berechtigungen befindet sich in dem Wiki zu [[UTM/VPN/ClientlessVPN#Zuweisen_der_Gruppe | Clientless VPN]].</p>
+	    | Im Bereich {{Kasten|Verzeichnis Dienst}} kann jetzt die entsprechende Gruppe aus dem Active Directory ausgewählt und zugeordnet werden.<br>{{Alert|g}}Es werden nur Gruppen aufgelistet, die nicht leer sind.
-	    | In the area {{Kasten|Directory Service}} the corresponding group from the Active Directory can now be selected and assigned.<p> Further information about Clientless VPN permissions can be found in the wiki for [{{#var:host}}UTM/VPN/ClientlessVPN#Assign_to_the_group Clientless VPN].</p> }}
+	    | In the {{Kasten|Directory Service}} section, the corresponding group from the Active Directory can now be selected and assigned.<br>{{Alert|g}}Only groups that are not empty are listed.   }}
+{{var	| Weitere Informationen Clientless VPN--desc
+		| Weitere Informationen über Clientless VPN Berechtigungen befindet sich in dem Wiki zu [[UTM/VPN/ClientlessVPN#Zuweisen_der_Gruppe | Clientless VPN]].
+		| Further information about clientless VPN permissions can be found in the wiki under  [{{#var:host}}UTM/VPN/ClientlessVPN#Assigning_the_Group  Clientless VPN].  }}
 {{var   | Ergebnis
 	    | Ergebnis
@@ Zeile 328: / Zeile 312: @@
 	    | Mit dem folgenden Kommando können die Gruppen im Active Directory aufgelistet werden:
 	    | With the following command the groups can be listed in the Active Directory: }}
+{{var	| AD Gruppen anzeigen--Hinweis
+		| Es werden nur Gruppen aufgelistet, denen mindestens ein Nutzer zugeordnet ist.
+		| Only groups with at least one assigned user are listed. }}
 {{var   | ad-zugehörigkeit
 	    | Überprüfen der Benutzer und Gruppenzugehörigkeit
@@ Zeile 350: / Zeile 337: @@
 	    | Attention: To join an active directory located behind a VPN tunnel, the LDAP ports are required in the NAT rule towards the domain controller in addition to the DNS ports. }}
 {{var   | 1=groups--permissions
-	    | 2=<p>Die Berechtigungen zu den in der UTM enthaltenen Diensten können in Gruppen verwaltet werden. Die Benutzer, die diesen Gruppen zugeordnet werden sollen, müssen zunächst entsprechenden Benutzergruppen im AD zugeordnet werden.</p>
+	    | 2=Die Berechtigungen zu den in der UTM enthaltenen Diensten können in Gruppen verwaltet werden. Die Benutzer, die diesen Gruppen zugeordnet werden sollen, müssen zunächst entsprechenden Benutzergruppen im AD zugeordnet werden.
-	    | 3=<p>The authorizations for the services contained in the UTM can be managed in groups. The users to be assigned to these groups must first be assigned to corresponding user groups in AD.</p> }}
+	    | 3=The authorizations for the services contained in the UTM can be managed in groups. The users to be assigned to these groups must first be assigned to corresponding user groups in AD. }}
 {{var	| dc-hinters2s--Link
 		| Siehe auch [[UTM/VPN/DNS_Relay#DNS_Relay_f.C3.BCr_einen_IPSec_Site-to-Site_Tunnel | DNS-Relay bei IPSec-S2S]] &#8214; [[UTM/VPN/DNS_Relay#DNS_Relay_f.C3.BCr_einen_OpenVPN_Site-to-Site_Tunnel | DNS-Relay bei SSL (OpenVPN) -S2S]] &#8214; [[UTM/VPN/DNS_Relay#DNS_Relay_für_einen_WireGuard_Site-to-Site_Tunnel | DNS-Relay bei WireGuard-S2S]]
@@ Zeile 397: / Zeile 384: @@
 		| UTM mit Entra ID anbinden
 		| Connect UTM with Entra ID }}
+{{var	| Voraussetzungen Entra
+		| Voraussetzungen für die Nutzung von Entra ID mit OpenID Connect (OIDC)
+		| Prerequisites for using Entra ID with OpenID Connect (OIDC)
+		| Wymagania wstępne dotyczące używania Entra ID z OpenID Connect (OIDC) }}
+{{var	| Implizite Regeln EntraID
+		| In den Impliziten Regeln der UTM muss im Abschnitt ''Entra ID (OpenID Connect)'' die Regel für ''Redirect-Receiver'' aktiviert werden
+		| In the Implied Rules of the UTM, the rule for ''Redirect Receiver'' must be activated in the ''Entra ID (OpenID Connect)'' section
+		| W domyślnych regułach UTM w sekcji ''Entra ID (OpenID Connect)'' należy aktywować regułę dla ''Odbiorcy przekierowania'' }}
+{{var	| Implizite Regeln EntraID--Menu
+		| Menü {{Menu-UTM|Firewall|Implizite Regeln}} Bereich {{Reiter|EntraID (OpenID Connect)|class=grau}} Regel {{b|Redirect-Receiver}} {{ButtonAn|Ein|class=small}}
+		| Menu {{Menu-UTM|Firewall|Implizite Regeln}} section {{Reiter|Entra ID (OpenID Connect)|class=grau}} rule {{b|Redirect Receiver}} {{ButtonAn|On|class=small}}
+		| Menu {{Menu-UTM|Firewall|Implizite Regeln}} sekcja {{Reiter|Entra ID (OpenID Connect)|class=grau}} reguła {{b|Odbiorca przekierowania}} {{ButtonAn|Wł.|class=small}} }}
+{{var	| Implizite Regeln EntraID--Bild
+		| UTM v14.1.3 Implizite Regeln EntraID.png
+		| UTM v14.1.3 Implizite Regeln EntraID-en.png
+		| UTM v14.1.3 Implizite Regeln EntraID-pl.png }}
 {{var	| UTM mit Entra ID anbinden--desc
 		| Um Entra ID (ehemals Azure AD) nutzen zu können, sind konfigurierte Azure Apps notwendig.
@@ Zeile 407: / Zeile 410: @@
 		| Establish Azure AD connection }}
 {{var	| Entra ID Verbindung herstellen--desc
-		| Besteht noch keine AD/LDAP-Authentifizierung öffnet sich automatisch der AD/LDAP Authentifizierung Assistent.<br> Andernfalls kann der Assistent gestartet werden.
+		| Besteht noch keine AD/LDAP-Authentifizierung öffnet sich automatisch der AD/LDAP Authentifizierungs Assistent.<br> Andernfalls kann der Assistent mit der Schaltfläche {{f|folgt}} gestartet werden.
 		| If there is no AD/LDAP authentication yet, the AD/LDAP Authentication Wizard opens automatically.<br >Otherwise, the wizard can be started. }}
 {{var	| Azure AD Schritt 1--Bild
-		| UTM v12.7.0 Authentifizierung AD_LDAP Entra ID.png
+		| UTM v14.1.2 Authentifizierung AD LDAP Entra ID.png
-		| UTM v12.7.0 Authentifizierung AD_LDAP Entra ID-en.png }}
+		| UTM v14.1.2 Authentifizierung AD LDAP Entra ID-en.png }}
 {{var	| Verzeichnistyp--desc
 		| Entra ID als Verzeichnistyp auswählen
 		| Select Entra ID as directory type }}
 {{var	| Azure AD Schritt 2--Bild
-		| UTM_v12.6_AD-LDAP-Authentifizierung_Assistent_Azure-AD_Schritt2.png
+		| UTM v14.1.2 AD-LDAP-Authentifizierung_Assistent_Azure-AD_Schritt2.png
-		| UTM_v12.6_AD-LDAP-Authentifizierung_Assistent_Azure-AD_Schritt2-en.png }}
+		| UTM v14.1.2 AD-LDAP-Authentifizierung Assistent Azure-AD Schritt2-en.png }}
 {{var	| Verzeichnis-ID
 		| Verzeichnis-ID (Mandanten-ID):
@@ Zeile 434: / Zeile 437: @@
   		| Application-ID (Client-ID) from the app registry in Entra ID. }}
 {{var	| Geheimer Wert
-		| Geheimer Wert:
+		| Geheimer Wert
-		| Secret value: }}
+		| Secret value }}
 {{var	| Geheimer Wert--desc
 		| Wert des geheimen Clientschlüssels aus dem Abschnitt Zertifikate & Geheimnisse der Entra ID
 		| Value of the secret client key from the Certificates & Secrets section of Entra ID. }}
+{{var	| Azure AD Schritt 3--Bild
+		| UTM v14.1.2 AD-LDAP-Authentifizierung Assistent Azure-AD Schritt3.png
+		| UTM v14.1.2 AD-LDAP-Authentifizierung Assistent Azure-AD Schritt3-en.png }}
+{{var	| OpenID Connect verwenden
+		| OpenID Connect verwenden:
+		|  }}
+{{var	| OpenID Connect verwenden--desc
+		| Ermöglicht die Authentifizierung über Entra-ID
+		|  }}
+{{var	| Schritt 3--cap
+		| Entra ID (OpenID Connect)
+		|  }}
+{{var	| Azure AD Schritt 3 mit OpenID--Bild
+		| UTM v14.1.2 AD-LDAP-Authentifizierung Assistent Azure-AD Schritt3 OpenID.png
+		| UTM v14.1.2 AD-LDAP-Authentifizierung Assistent Azure-AD Schritt3 OpenID-en.png }}
+{{var	| Umleitungs-Hostname
+		| Umleitungs-Hostname:
+		|  }}
+{{var	| Umleitungs-Hostname--desc
+		| Hostname, unter dem die UTM für den Client erreichbar sein muss. Um den globalen Hostnamen zu verwenden, kann das Feld leer gelassen werden
+		|  }}
+{{var	| Authentifizierungstyp
+		| Anwendungs-Authentifizierungstyp:
+		| App authentication type: }}
+{{var	| Authentifizierungstyp--desc
+		| Hier kann zwischen Geheimschlüssel und Zertifikat gewählt werden, was die Eingabe des nächsten Feldes beeinflusst
+		|  }}
+{{var	| Client-Zertifikat
+		| Client-Zertifikat:
+		| Client certificate: }}
+{{var	| Client-Zertifikat--desc
+		| Das Zertifikat zum Authentifizieren der Anwendung gegenüber dem Entra. Das verwendete Zertifikat muss unter Zertifikate und Geheimnisse in der Anwendungs-Verwaltung im Entra importiert sein
+		|  }}
+{{var	| Geheimschlüssel
+		| Geheimschlüssel
+		|  }}
+{{var	| Geheimer Clientschlüssel
+		| Geheimer Clientschlüssel:
+		|  }}
+{{var	| Geheimer Clientschlüssel--desc
+		| Das Geheimnis zum Authentifizieren der Anwendung gegenüber dem Entra. Hier muss ein gültiger für die Anwendung angelegter geheimer Clientschlüssel verwendet werden (Anwendungsverwaltung->Zertifikate und Geheimnisse)
+		|  }}
+{{var	| Bedingung
+		| Wenn vorher:
+		|  }}
+{{var	| Umleitungs-Port
+		| Umleitungs-Port:
+		|  }}
+{{var	| Umleitungs-Port--desc
+		| Port der UTM, über den die Antwort der Authentifizierung erwartet wird
+		|  }}
+{{var	| Umleitungs-Pfad
+		| Umleitungs-Pfad:
+		|  }}
+{{var	| Umleitungs-Pfad--desc
+		| Zufällige Zeichenfolge als zusätzlicher Pfad in der Redirect URL.<br>Das vermeidet massenhafte Requests durch Scam, die einen Loginversuch auslösen und dann abgewiesen werden müssen.
+		|  }}
+{{var	| Zufälliger Pfad
+		| Generiert eine neu zufällige 15-stellige Zeichenfolge aus Zahlen und Buchstaben
+		|  }}
+{{var	| Azure AD Schritt 4--Bild
+		| UTM v14.1.2 AD-LDAP-Authentifizierung Assistent Azure-AD Schritt4.png
+		| UTM v14.1.2 AD-LDAP-Authentifizierung Assistent Azure-AD Schritt4-en.png }}
+{{var	| Schritt 4--cap
+		| Umleitungs-URI
+		|  }}
+{{var	| Umleitungs-URI--desc
+		| Anzeige der Umleitungs URI {{info|Gebildet aus dem
+* Firewallnamen ({{Menu-UTM|Netzwerk|Servereinstellungen}} '''oder''' dem <br>Umleitungshostnamen aus Schritt 3 <br>Die UTM '''muss''' unter diesem Namen für den Client erreichbar sein!
+* Umleitungs-Pfad aus Schritt 3 sowie dem
+* Umleitungsport und dem UTM-internen Anwnedungsnamen für die Authentifizierung}}
+		|  }}
+{{var	| Umleitungs-URI
+		| Umleitungs-URI
+		|  }}
+{{var	| Kopieren
+		| Kopiert die Umleitungs-URI in die Zwischenablage<br>Diese URI wird als Redirect-URI für die angelegte OpenID-Connect App im Entra-ID benötigt.
+		|  }}
 {{var	| Ergebnis Entra ID-Anbindung
 		| Ergebnis Entra ID-Anbindung
@@ Zeile 458: / Zeile 539: @@
 		| The set directory type }}
 {{var	| Erweitert--desc
-		| AD-Attribute können bestimmte Berechtigungen gegeben werden. So kann konfiguriert werden, wer diese einsehen kann. Beispielsweise können diese dann nicht durch einen LDAP-Search ausgelesen werden. Diese AD-Attribute werden mit dem Flag "'''confidential'''" markiert.
+		| AD-Attributen können bestimmte Berechtigungen gegeben werden. So kann konfiguriert werden, wer diese einsehen kann. Beispielsweise können diese dann nicht durch einen LDAP-Search ausgelesen werden. Diese AD-Attribute werden mit dem Flag "'''confidential'''" markiert.
 		| AD attributes can be given certain authorizations. This allows you to configure who can view them. For example, they cannot be read by an LDAP search. These AD attributes are marked with the "'''confidential''''" flag. }}
 {{var	| AD-Attribute Flag confidential anzeigen
@@ Zeile 483: / Zeile 564: @@
 {{var	| DNS-Konfiguration
 		| DNS-Konfiguration
-		|  }}
+		| DNS configuration }}
 {{var	| DNS-Konfiguration--desc
 		| Damit der Authentifizierungsvorgang der AD/LDAP-Anbindung problemlos funktioniert, muss der Nameserver der UTM entsprechend eingerichtet werden.<br> Dafür müssen folgende Konfigurationen getätigt werden:
 * Bei {{Menu-UTM|Netzwerk|Servereinstellungen|DNS-Server}} muss bei {{b|Primärer Nameserver:}} {{ic|127.0.0.1}} stehen
-** {{Hinweis-box| Der Eintrag bei bei {{b|Sekundärer Nameserver:}} '''muss''' leer sein!}}
+** {{Hinweis-box| Der Eintrag bei {{b|Sekundärer Nameserver:}} '''muss''' leer sein!}}
 * Bei {{Menu-UTM|Anwendungen|Nameserver|Zonen}} wird eine [[UTM/APP/Nameserver#Forward-Zone | Forward Zone]] mit einem A und PTR Eintrag angelegt
 ** Dabei wird der [[UTM/NET/Servereinstellungen#Firewall | Firewallname der UTM]] verwendet
 * Bei {{Menu-UTM|Anwendungen|Nameserver|DNS Forwarding}} wird ein [[UTM/APP/Nameserver-DNS_Forwarding | DNS Forwarding angelegt]] mit einem externen DNS wie 8.8.8.8
-		|  }}
+		| In order for the authentication process of the AD/LDAP connection to function smoothly, the name server of the UTM must be set up accordingly.<br> The following configurations must be made for this:
+* Under {{Menu-UTM|Network|Server options|DNS-Server}} {{b|Primary name server:}} must be {{ic|127.0.0.1}}
+** {{Hinweis-box| The entry for {{b|Secondary name server:}} '''must''' be empty!}}
+* Under {{Menu-UTM|Application|Nameserver|Zones}} a [{{#var:host}}UTM/APP/Nameserver#Forward-Zone Forward Zone] is created with an A and PTR entry
+** The [{{#var:host}}UTM/NET/Servereinstellungen#Firewall Firewall name of the UTM] is used here
+* With {{Menu-UTM|Applications|Nameserver|DNS Forwarding}} a [{{#var:host}}UTM/APP/Nameserver-DNS_Forwarding DNS Forwarding] is created with an external DNS such as 8.8.8.8 }}
 ----

Aktuelle Version vom 11. März 2026, 17:08 Uhr