Wechseln zu:Navigation, Suche
Wiki
(Biler eingefügt)
 
Keine Bearbeitungszusammenfassung
Zeile 1: Zeile 1:
{{v11}}
{{v11}}
==Gruppenverwaltung==
==Benutzergruppen Anbindung an das AD==
Benutzer können für die Dienste Userinterface/Spamfilter/HTTP-Proxy und VPN über das AD ausgelesen und entsprechenden Gruppen zugewiesen werden. Den Gruppen wiederum können dann auf der SP entsprechende Rechte gegeben werden.
 
Die Dienste Userinterface/Spamfilter/usw. senden ihre Daten an den zentralen Authentifizierungsdienst "ActiveDirecory Service". Dieser authentifiziert die Benutzer am AD über das Kerberos-Protokoll.
 
 
'''Ziel: Ist die Anbindung des ADs an die SP und die Anmeldung am Userinterface mit einem AD-Benutzer.'''
 
 
 
===Änderungen zur Version10===
In Version10 gab es keine gesonderten Benutzergruppen, die Rechte wurde jedem Benutzer einzeln vergeben. Darübe rhinaus war der Authentifizierungsdienst nicht zentralisiert und stand auch nicht für alle Anwendungen zur Verfügung.
 
==Einrichten des ADs==
* Erstellen Sie ein Sicherheitsgruppe auf dem AD, den Namen können Sie frei wählen.
[[Datei:Utm_ad_gruppen1.png‎|center|Sichheitsgruppe erstellen]]
 
 
* Weisen Sie den Benutzern, denen Sie die Rechte erteilen wollen, die entsprechende Gruppe zu.
[[Datei:Utm_ad_gruppen2.png‎|center|Rechte hinzufügen]]
 
 
==Konfiguration der SP==
Unsere Domäne ist "nac.local" der AD-Server hat die IP "192.168.6.91"
 
Damit die SP die Domäne auch findet, weisen wir der SP sich selbst als DNS zu und konfigurieren im Anschluss eine Domän-Weiterleitung. Sie können hier  auch das AD als DNS-Server eingeben, dies könnte dann aber zu einer DNS-Schleife führen wenn auf dem AD die FW eingetrage ist.
 
* Gehen Sie auf "Network -> Appliance Settings" und pasen die Werte entsprechend an
* Beachte Sie auch die Systemzeit! Kerberos-Tickets werden ggf. nur für 2h ausgestellt und könnten dann schon abgelaufen sein.
 
[[Datei:Utm_ad_gruppen3.png‎|center|Appliance Einstellungen]]
 
* Die DNS-Weiterleitung können Sie unter "Services-> Nameserver" einrichten
* Klicken Sie dort auf "Add Relay-Zone"
 
[[Datei:Utm_ad_gruppen4.png‎|center|Nameserver]]
 
Jetzt sollten alle vorrausetzungen erfüllt sein um die FW in die Domäne zu integrieren:
* Klicken Sie auf "Authentication -> External Authentication -> Active Directory"
* Passen Sie die Werte an und klicken Sie auf "Join"
 
 
[[Datei:Utm_ad_gruppen5.png‎|center|AD]]


===Einrichten des ADs===
[[Datei:Utm_ad_gruppen1.png‎|center|Sichheitsgruppen]]
[[Datei:Utm_ad_gruppen2.png‎|center|Sichheitsgruppen]]
===Konfiguration der SP===
[[Datei:Utm_ad_gruppen3.png‎|center|Sichheitsgruppen]]
[[Datei:Utm_ad_gruppen4.png‎|center|Sichheitsgruppen]]
[[Datei:Utm_ad_gruppen5.png‎|center|Sichheitsgruppen]]
[[Datei:Utm_ad_gruppen6.png‎|center|Sichheitsgruppen]]
[[Datei:Utm_ad_gruppen6.png‎|center|Sichheitsgruppen]]
[[Datei:Utm_ad_gruppen7.png‎|center|Sichheitsgruppen]]
[[Datei:Utm_ad_gruppen7.png‎|center|Sichheitsgruppen]]
===Anmelden===
==Anmelden==
[[Datei:Utm_ad_gruppen8.png‎|center|Sichheitsgruppen]]
[[Datei:Utm_ad_gruppen8.png‎|center|Sichheitsgruppen]]

Version vom 10. Oktober 2012, 08:10 Uhr

Vorlage:V11

Benutzergruppen Anbindung an das AD

Benutzer können für die Dienste Userinterface/Spamfilter/HTTP-Proxy und VPN über das AD ausgelesen und entsprechenden Gruppen zugewiesen werden. Den Gruppen wiederum können dann auf der SP entsprechende Rechte gegeben werden.

Die Dienste Userinterface/Spamfilter/usw. senden ihre Daten an den zentralen Authentifizierungsdienst "ActiveDirecory Service". Dieser authentifiziert die Benutzer am AD über das Kerberos-Protokoll.


Ziel: Ist die Anbindung des ADs an die SP und die Anmeldung am Userinterface mit einem AD-Benutzer.


Änderungen zur Version10

In Version10 gab es keine gesonderten Benutzergruppen, die Rechte wurde jedem Benutzer einzeln vergeben. Darübe rhinaus war der Authentifizierungsdienst nicht zentralisiert und stand auch nicht für alle Anwendungen zur Verfügung.

Einrichten des ADs

  • Erstellen Sie ein Sicherheitsgruppe auf dem AD, den Namen können Sie frei wählen.
Sichheitsgruppe erstellen


  • Weisen Sie den Benutzern, denen Sie die Rechte erteilen wollen, die entsprechende Gruppe zu.
Rechte hinzufügen


Konfiguration der SP

Unsere Domäne ist "nac.local" der AD-Server hat die IP "192.168.6.91"

Damit die SP die Domäne auch findet, weisen wir der SP sich selbst als DNS zu und konfigurieren im Anschluss eine Domän-Weiterleitung. Sie können hier auch das AD als DNS-Server eingeben, dies könnte dann aber zu einer DNS-Schleife führen wenn auf dem AD die FW eingetrage ist.

  • Gehen Sie auf "Network -> Appliance Settings" und pasen die Werte entsprechend an
  • Beachte Sie auch die Systemzeit! Kerberos-Tickets werden ggf. nur für 2h ausgestellt und könnten dann schon abgelaufen sein.
Appliance Einstellungen
  • Die DNS-Weiterleitung können Sie unter "Services-> Nameserver" einrichten
  • Klicken Sie dort auf "Add Relay-Zone"
Nameserver

Jetzt sollten alle vorrausetzungen erfüllt sein um die FW in die Domäne zu integrieren:

  • Klicken Sie auf "Authentication -> External Authentication -> Active Directory"
  • Passen Sie die Werte an und klicken Sie auf "Join"


AD
Sichheitsgruppen
Sichheitsgruppen

Anmelden

Sichheitsgruppen