Wechseln zu:Navigation, Suche
Wiki
KKeine Bearbeitungszusammenfassung
KKeine Bearbeitungszusammenfassung
Zeile 2: Zeile 2:
{{#vardefine:headerIcon|spicon-utm}}
{{#vardefine:headerIcon|spicon-utm}}


</div>{{DISPLAYTITLE:++display,,AD/LDAP-Anbindung__ }}{{TOC2}}
{{var | display
<p>'''++headline,,Anbindung einer UTM an ein AD/LDAP__'''</p>
| AD/LDAP-Anbindung
|  }}
{{var | headline
| Anbindung einer UTM an ein AD/LDAP
|  }}
{{var | neu--ldap
| Automatische Einstellung der [[#LDAP | Verschlüsselung]] einer LDAP-Anbindung
|  }}
{{var | neu--menu
| Der Eintrag hat einen eigenen Platz in der Menü-Struktur erhalten und wurde im Layout angepasst.
|  }}
{{var | neu--appliance-account
| Hinweis auf ''Appliance Account''-Name im Cluster-Betrieb
|  }}
{{var | ladap--desc
| Zur Authentifizierung auf der UTM kann ein AD oder LDAP genutzt werden. Die Rechte auf der UTM können dann über die Gruppenzugehörigkeit im AD gesteuert werden.</p><p>In der Regel handelt es sich dabei um den Active Directory Service, der in einem Netzwerk die Domäne verwaltet und über das LDAP- und Kerberos-Protokoll die Authentifizierung der Netzwerk Nutzer steuert.
|  }}
{{var | vorbereitung-ad
| Vorbereitung im Active Directory
|  }}
{{var | add-usergroup
| Benutzergruppen anlegen
|  }}
| WIN2012_AD_Sgrpcvpn1.png |
{{var | security-groups--ad
| Sicherheitsgruppe hinzufügen
|  }}
{{var | security-groups--added
| Sicherheitsgruppe hinzugefügt
|  }}
{{var | user-groups--added--text
| In diesem Beispiel sollen die Benutzer für [[ClientlessVPN-v11 | Clientless VPN]] über den Active Directory Service Authentifiziert werden.</p><p>Es muss also zunächst eine Gruppe vom Typ ''Sicherheitsgruppe'' auf dem AD hinzugefügt werden, die hier den Namen ''ClientlessVPN'' bekommt.
|  }}
{{var | add-user
| Benutzer hinzufügen
|  }}
{{var | Benutzer hinzufügen
| Benutzer hinzufügen
|  }}
{{var | Benutzer-ist-mitglied
| Benutzer ist Mitglied der Gruppe
|  }}
{{var | Benutzer hinzufügen--desc
| Anschließend werden die Benutzer, die für Clientless VPN freigeschaltet werden sollen, zu dieser Gruppe hinzugefügt.
|  }}
{{var | utm-in-domäne
| UTM in die Domäne einbinden
|  }}
{{var | utm-in-domäne--uhrzeit
| Es muss darauf geachtet werden, dass die [[Uhrzeit_UTM_V11 | Uhrzeit der UTM]] mit dem des AD einigermaßen synchron läuft, da ein Kerberos Ticket nur eine begrenzte Gültigkeitsdauer hat.
|  }}
{{var | utm-in-domäne--authentifizierung
| Im Menü {{Menu | Authentifizierung |AD/LDAP Authentifizierung}} wird die Authentifizierung konfiguriert.</p>====
{{var | ad-verbindung
| AD Verbindung herstellen
|  }}
{{var | ad-verbindung--text
| Besteht noch keine AD/LDAP-Authentifizierung öffnet sich automatisch der AD/LDAP Authentifizierungs Assistent
|  }}
{{var | ad-verbindung--assistent
| Andernfalls kann der Assistent mit der Schaltfläche {{Button| Assistent }} gestartet werden.
|  }}
{{var | Schritt
| Schritt
|  }}
{{var | Verzeichnistyp
| Verzeichnistyp
|  }}
{{var | ad-hinweis
| Es sollte auf alle Fälle der Verzeichnistyp <i>»AD«</i> gewählt werden, wenn es sich um eine Active Directory Umgebung handelt. § <br>Zwar läuft auch hier ein LDAP, die Gruppenzugehörigkeit wird aber in der AD Umgebung anders behandelt als bei einem reinen LDAP-Server.
|  }}
{{var | schritt-1--bild
| UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt1.png
|  }}
{{var | Weiter
| Weiter
|  }}
{{var | Einstellungen
| Einstellungen
|  }}
{{var | ip
| IP oder Hostname:
|  }}
{{var | beispiel-adrresse
| (Beispiel-Adresse!)
|  }}
{{var | schritt-2--bild
| UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt2.png
|  }}
{{var | Arbeitsgruppe
| Arbeitsgruppe:
|  }}
{{var | netbios-name
| Der NETBIOS-Name des AD<br>Sollte dieser von der Base Domain abweichen, muss hier der korrekte NETBIOS-Name eingetragen werden.
|  }}
{{var | appliance-account--text
| Der Name, unter dem die UTM im AD in der Gruppe ''Computers'' eingetragen wird.<br>Ein eindeutiger Name, der nicht doppelt vergeben werden darf!--<br>{{Hinweis|!|g}}
{{var | appliance-account--text--cluster-hinweis
| Bei Betrieb der UTM im Cluster muss der Name im Master und Spare unterschiedlich sein. Der Name wird nicht synchronisiert!
|  }}
{{var | schritt-3--text
| Ist der AD-Server noch nicht als Name-Server eingetragen, wird das in diesem Schritt vorgenommen:
|  }}
{{var | add-server
| Server hinzufügen
|  }}
{{var | ip-adresse
| IP-Adresse
|  }}
{{var | Beispieladresse
| Beispieladresse!
|  }}
{{var | ip-adresse--text
| IP-Adresse eines AD-Servers der Domäne
|  }}
{{var | schritt-3--bild
| UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt3.png
|  }}
{{var | Speichern
| Speichern
|  }}
{{var | ad-server
| Der AD-Server wird damit als Relay-Zone im Nameserver der UTM hinzugefügt.</p><p>Der Eintrag ist im Menü {{Menu|Anwendungen|Nameserver }} im Reiter {{Reiter|Zonen}} zu finden.
|  }}
{{var | Beitreten
| Beitreten
|  }}
{{var | Administratorname
| Administratorname:
|  }}
{{var | Administratorname--hinweis
| Um der Domäne beizutreten ist ein Benutzer-Konto mit Domain-Administrator-Rechten erforderlich.
|  }}
{{var | schritt-4--bild
| UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt4.png
|  }}
{{var | Passwort
| Passwort:
|  }}
{{var | hinweis--cluster
| Hinweis bei Clusterbetrieb
|  }}
{{var | ausblenden
| ausblenden
|  }}
{{var | hinweis--cluster--text
| Bei Betrieb der UTM im Cluster muss das Passwort auf der Spare-UTM unter {{Menu| Authentifizierung | AD/LDAP Authentifizierung | Beitreten }} separat eingegeben werden. </p><small>Bis auf den {{b|  Appliance Account:  }} (siehe Schritt 2) werden alle anderen Angaben im Cluster synchronisiert.</small> <br>Abschluss mit {{Button| Beitreten}}
|  }}
{{var | fertig
| Fertig
|  }}
{{var | ergebnis-ad
| Ergebnis AD-Anbindung
|  }}
{{var | ergebnis-ad--text
| Ergebnis im Abschnitt {{ Kasten | Status}} :
|  }}
{{var | aktiviert
| Aktiviert
|  }}
{{var | ad-aktiviert--text
| Die AD/LDAP Authentifizierung ist aktiviert.
|  }}
{{var | ergebnis--bild
| UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung.png
|  }}
{{var | Verbindungsstatus
| Verbindungsstatus:
|  }}
{{var | Verbindungsstatus--text
| Zur Bestätigung wechselt die Anzeige von grau auf grün.<br/>Aktualisieren mit {{Button| |refresh}}
|  }}
{{var | Erweiterte-Einstellungen
| Erweiterte Einstellungen
|  }}
{{var | Erweitert
| Erweitert
|  }}
{{var | ssl--text
| Die Verbindung zum Active Directory Server kann SSL-Verschlüsselt hergestellt werden.
|  }}
{{var | erweitert--bild
| UTM_v11.8.8_Authentifizierung_AD-LDAP-Authentifizierung_Erweitert1.png
|  }}
{{var | ldap--hinweis
| Hinweis zur LDAP-Verschlüsselung
|  }}
{{var | ldap--hinweis--text
| Aufgrund eines Microsoft-Updates (ursprünglich geplant für März 2020) wird eine unverschlüsselte Anbindung an ein AD zukünftig nicht mehr möglich sein.
|  }}
{{var | ab
| ab
|  }}
{{var | ldap-verschlüsselung--automatisch
| Die Einstellung wird von der Securepoint Appliance automatisch vorgenommen.
|  }}
{{var | ldap-verschlüsselung--automatisch--hinweis
| Das entsprechende Dropdown-Menü entfällt ab Version 11.8.8
|  }}
{{var | ldap-verschlüsselung--automatisch--separat
| bestehende und neue Verbindungen werden separat verschlüsselt und signiert
|  }}
{{var | ldap-verschlüsselung--automatisch--ssl
| bei Aktivierung von SSL wird keine zusätzliche Verschlüsselung angewendet.
|  }}
{{var | Root-Zertifikat
| Root-Zertifikat
|  }}
{{var | Zertifikat
| Zertifikat
|  }}
{{var | Zertifikat--text
| Es kann ein Root-Zertifikat hinterlegt werden.
|  }}
{{var | User-Attribute
| User-Attribute
|  }}
{{var | User-Attribute--text
| Es können Attribute definiert werden, unter denen die AD Verwaltung die Informationen zum Benutzer speichert und die dann von der UTM abgefragt werden können:
|  }}
{{var | Mail-Attribute
| Mail-Attribute
|  }}
{{var | Mail-Attribute--text
| Die Attribute von OTP bis SSL-VPN, die hier eingetragen sind, existieren in der Regel nicht im AD.<br>Um zum Beispiel den OTP-Geheimcode auf dem AD zu hinterlegen, kann ein ungenutztes Attribut des AD Schema verwendet werden, der diesen Geheimcode des Benutzers enthält.<br>Eine entsprechende Anleitung befindet sich hinter folgenden Link zum [[OTP_mit_AD_V11.5 | Einbinden der OTP Funktion in das Active Directory]].
|  }}
{{var | page-size--desc
| In größeren Umgebungen kann es vorkommen, dass bei LDAP-Anfragen die serverseitig festgelegte, maximale Anzahl von Datensätzen (im AD sind es 1000) überschritten wird. Mit Page Size kann eingestellt werden das die LDAP-Abfrage stückweise ausgeführt wird. Eine Page Size von 500 bedeutet 500 Datensätze pro Abfrage. Die Page Size von 0 deaktiviert eine schrittweise LDAP-Abfrage.
|  }}
{{var | ad-benutzergruppen-berechtigungen
| AD Benutzergruppen Berechtigungen erteilen
|  }}
{{var | ad-benutzergruppen-berechtigungen--bild
| UTM_11-8_Authentifizierung_Benutzer_Gruppe-CLientlessvpn.png
|  }}
{{var | ad-benutzergruppen-berechtigungen--bild--cap
| Gruppen Berechtigungen
|  }}
{{var | ad-benutzergruppen-berechtigungen--desc
| Um den Benutzern aus dem Active Directory die Berechtigungen für den Zugriff auf das User-Interface der UTM und der Nutzung des Clientless VPN zu erteilen, wird im Menü {{ Menu | Authentifizierung | Benutzer | Gruppen | Gruppe hinzufügen |+}} eine Gruppe mit eben diesen Berechtigungen angelegt.
|  }}
{{var | Aktiv
| Aktiv
|  }}
{{var | Berechtigung
| Berechtigung
|  }}
{{var | Hinweis
| Hinweis
|  }}
{{var | benutzergruppe-auswählen
| UTM_11-8_Authentifizierung_Gruppe-hinzufügen_Verzeichnisdienst.png
|  }}
{{var | benutzergruppe-auswählen--cap
| Benutzergruppe aus AD auswählen
|  }}
{{var | benutzergruppe-auswählen--text
| Im Reiter {{ Reiter | Verzeichnis Dienst}} kann jetzt die entsprechende Gruppe aus dem Active Directory ausgewählt und zugeordnet werden.<p>Weitere Informationen über Clientless VPN Berechtigungen befindet sich in dem Wiki zu [[ClientlessVPN-v11#Zuweisen_der_Gruppe | Clientless VPN]].</p>
|  }}
{{var | Ergebnis
| Ergebnis
|  }}
{{var | Ergebnis--text
| Nach dem Speichern kann sich jeder Benutzer, der Mitglied in der AD Gruppe ''ClientlessVPN'' ist, mit seinen Windows Domänen Zugangsdaten für die Nutzung des Clientless VPN auf der UTM anmleden.
|  }}
{{var | ad-test-cli
| Überprüfen der AD Anbindung mit CLI
|  }}
{{var | ad-test-cli--text
| Über CLI (Command Line Interface) Kommandos lässt sich verschiedenes über die Active Directory Anbindung und Benutzer überprüfen.{{ Hinweis | Hinweis:}} Erfolgt die Eingabe (Bildschirm und Tastatur) direkt an der UTM  lautet der Eingabe-Prompt der Firewall z. B.: ''firewall.foo.local>'' bzw. entprechend der lokalen Konfiguration. Bei Aufruf über das User-Interface mit dem Menü {{ Menu | Extras | CLI }} lautet der Prompt ''CLI>''Dahinter befindet sich das CLI Kommando.<br>Bei den Zeilen darunter handelt es sich um die Ausgabe der UTM zu diesem Befehl.
|  }}
{{var | ad-beitreten
| Beitreten und Verlassen der Domäne
|  }}
{{var | ad-beitreten--text
| Um zu überprüfen ob die UTM schon der Domäne beigetreten ist:
|  }}
{{var | ad-beitreten--text--alternativ
| Sollte das nicht der Fall sein, erfolgt die Ausgabe
|  }}
{{var | ad-beitreten--alternativ--comand
| In diesem Fall kann der Domäne mit dem folgenden Kommando beigetreten werden
|  }}
{{var | ad-beitreten--command-verlassen
| Das Kommando um die Domäne zu verlassen lautet
|  }}
{{var | ad-beitreten--passwort
| Beim Beitreten bzw. Verlassen des Active Directories ist die Angabe des Administratorpasswortes notwendig. Das Passwort wird nicht gespeichert, die AD-Zugehörigkeit ist trotzdem Reboot fest.
|  }}
{{var | ad-zeigen
| AD Gruppen anzeigen
|  }}
{{var | ad-zeigen--text
| Mit dem folgenden Kommando können die Gruppen im Active Directory aufgelistet werden:
|  }}
{{var | ad-zugehörigkeit
| Überprüfen der Benutzer und Gruppenzugehörigkeit
|  }}
{{var | ad-zugehörigkeit--text
| Das folgende Kommando überprüft, ob ein ''AD-Benutzer'' einer ''UTM Gruppe'' zugeordnet ist:
|  }}
{{var | ad-zugehörigkeit--no-member
| Sollte das nicht der Fall sein erfolgt die Ausgabe
|  }}
{{var | ad-zugehörigkeit--gruppe
| Befehl, um zu einem AD-Benutzer die Gruppenzugehörigkeit und Berechtigungen auszugegeben:
|  }}
{{var | dc-hinters2s
| Domain-Controller hinter Site-to-Site-VPN
|  }}
{{var | dc-hinters2s--text
| In manchen Szenarien befindet sich der Domain-Controller hinter einem Site-to-Site-VPN-Tunnel. Ist dies der Fall, muss eine entsprechende Zone und eine Regel konfiguriert werden.
|  }}
{{var | dc-hinters2s--hinweis
| Achtung: Für einen Beitritt in ein Active-Directory, das sich hinter einem VPN-Tunnel befindet, werden in der NAT-Regel Richtung Domain-Controller neben den DNS-Ports natürlich noch die LDAP-Ports benötigt.
|  }}
 
 
 
</div>{{DISPLAYTITLE:{{#var:display| AD/LDAP-Anbindung }} }}{{TOC2}}
<p>'''{{#var:headline| Anbindung einer UTM an ein AD/LDAP }}'''</p>


<p>{{#var:ver|Letzte Anpassung zur Version:\\ '''11.8.8''' </p>
<p>{{#var:ver|Letzte Anpassung zur Version:\\ '''11.8.8''' </p>
<p>{{cl| {{#var:neu|Neu:}} |
<p>{{cl| {{#var:neu|Neu:}} |
* ++neu--ldap,,Automatische Einstellung der [[#LDAP | Verschlüsselung]] einer LDAP-Anbindung__
* {{#var:neu--ldap| Automatische Einstellung der [[#LDAP | Verschlüsselung]] einer LDAP-Anbindung }}
* ++neu--menu,,Der Eintrag hat einen eigenen Platz in der Menü-Struktur erhalten und wurde im Layout angepasst.__
* {{#var:neu--menu| Der Eintrag hat einen eigenen Platz in der Menü-Struktur erhalten und wurde im Layout angepasst. }}
* ++neu--appliance-account,,Hinweis auf ''Appliance Account''-Name im Cluster-Betrieb__
* {{#var:neu--appliance-account| Hinweis auf ''Appliance Account''-Name im Cluster-Betrieb }}
|w=40px}}</p>
|w=40px}}</p>
<p>{{#var:prev|Vorherige Versionen:}} [[UTM/AUTH/AD_Anbindung-v11.4 |'''11.5''']] |  [[UTM/AUTH/AD_Anbindung_11.7 | '''11.7''']] | [[UTM/AUTH/AD_Anbindung_11.8 | '''11.8.8''']]</p>
<p>{{#var:prev|Vorherige Versionen:}} [[UTM/AUTH/AD_Anbindung-v11.4 |'''11.5''']] |  [[UTM/AUTH/AD_Anbindung_11.7 | '''11.7''']] | [[UTM/AUTH/AD_Anbindung_11.8 | '''11.8.8''']]</p>
Zeile 16: Zeile 336:




<p>++ladap--desc,,Zur Authentifizierung auf der UTM kann ein AD oder LDAP genutzt werden. Die Rechte auf der UTM können dann über die Gruppenzugehörigkeit im AD gesteuert werden.</p>
<p>{{#var:ladap--desc| Zur Authentifizierung auf der UTM kann ein AD oder LDAP genutzt werden. Die Rechte auf der UTM können dann über die Gruppenzugehörigkeit im AD gesteuert werden.</p>
<p>In der Regel handelt es sich dabei um den Active Directory Service, der in einem Netzwerk die Domäne verwaltet und über das LDAP- und Kerberos-Protokoll die Authentifizierung der Netzwerk Nutzer steuert.__</p>
<p>In der Regel handelt es sich dabei um den Active Directory Service, der in einem Netzwerk die Domäne verwaltet und über das LDAP- und Kerberos-Protokoll die Authentifizierung der Netzwerk Nutzer steuert. }}</p>


<br clear=all>
<br clear=all>
----
----
=== ++vorbereitung-ad,,Vorbereitung im Active Directory__ ===
=== {{#var:vorbereitung-ad| Vorbereitung im Active Directory }} ===
==== ++add-usergroup,,Benutzergruppen anlegen__ ====
==== {{#var:add-usergroup| Benutzergruppen anlegen }} ====
{{pt3|groups,,WIN2012_AD_Sgrpcvpn1.png | ++security-groups--ad,,Sicherheitsgruppe hinzufügen__ }}
{{pt3|groups| WIN2012_AD_Sgrpcvpn1.png | {{#var:security-groups--ad| Sicherheitsgruppe hinzufügen }} }}
{{pt3 | WIN2012 AD Sgrpcvpn2.png | ++security-groups--added,,Sicherheitsgruppe hinzugefügt__ }}
{{pt3 | WIN2012 AD Sgrpcvpn2.png | {{#var:security-groups--added| Sicherheitsgruppe hinzugefügt }} }}
<p>Die Berechtigungen zu den in der UTM enthaltenen Diensten können in Gruppen verwaltet werden. Die Benutzer, die diesen Gruppen zugeordnet werden sollen, müssen zunächst entsprechenden Benutzergruppen im AD zugeordnet werden.</p>
<p>Die Berechtigungen zu den in der UTM enthaltenen Diensten können in Gruppen verwaltet werden. Die Benutzer, die diesen Gruppen zugeordnet werden sollen, müssen zunächst entsprechenden Benutzergruppen im AD zugeordnet werden.</p>


<p>++user-groups--added--text,,In diesem Beispiel sollen die Benutzer für [[ClientlessVPN-v11 | Clientless VPN]] über den Active Directory Service Authentifiziert werden.</p>
<p>{{#var:user-groups--added--text| In diesem Beispiel sollen die Benutzer für [[ClientlessVPN-v11 | Clientless VPN]] über den Active Directory Service Authentifiziert werden.</p>


<p>Es muss also zunächst eine Gruppe vom Typ ''Sicherheitsgruppe'' auf dem AD hinzugefügt werden, die hier den Namen ''ClientlessVPN'' bekommt.__ </p>
<p>Es muss also zunächst eine Gruppe vom Typ ''Sicherheitsgruppe'' auf dem AD hinzugefügt werden, die hier den Namen ''ClientlessVPN'' bekommt. }} </p>


<br clear=all>
<br clear=all>
==== ++add-user,,Benutzer hinzufügen__ ====
==== {{#var:add-user| Benutzer hinzufügen }} ====
{{pt3 | WIN2012_AD_EgrpM.png | ++Benutzer hinzufügen,,Benutzer hinzufügen__ }}
{{pt3 | WIN2012_AD_EgrpM.png | {{#var:Benutzer hinzufügen| Benutzer hinzufügen }} }}
{{pt3 | WIN2012_AD_EuserMv.png | ++Benutzer-ist-mitglied,,Benutzer ist Mitglied der Gruppe__ }}
{{pt3 | WIN2012_AD_EuserMv.png | {{#var:Benutzer-ist-mitglied| Benutzer ist Mitglied der Gruppe }} }}
++Benutzer hinzufügen--desc,,Anschließend werden die Benutzer, die für Clientless VPN freigeschaltet werden sollen, zu dieser Gruppe hinzugefügt. __
{{#var:Benutzer hinzufügen--desc| Anschließend werden die Benutzer, die für Clientless VPN freigeschaltet werden sollen, zu dieser Gruppe hinzugefügt. }}


<br clear=all>
<br clear=all>
----
----
=== ++utm-in-domäne,,UTM in die Domäne einbinden__ ===
=== {{#var:utm-in-domäne| UTM in die Domäne einbinden }} ===
<p>{{Hinweis| !|g}} ++utm-in-domäne--uhrzeit,,Es muss darauf geachtet werden, dass die [[Uhrzeit_UTM_V11 | Uhrzeit der UTM]] mit dem des AD einigermaßen synchron läuft, da ein Kerberos Ticket nur eine begrenzte Gültigkeitsdauer hat.__</p>
<p>{{Hinweis| !|g}} {{#var:utm-in-domäne--uhrzeit| Es muss darauf geachtet werden, dass die [[Uhrzeit_UTM_V11 | Uhrzeit der UTM]] mit dem des AD einigermaßen synchron läuft, da ein Kerberos Ticket nur eine begrenzte Gültigkeitsdauer hat. }}</p>


<p>++utm-in-domäne--authentifizierung,,Im Menü {{Menu | Authentifizierung |AD/LDAP Authentifizierung}} wird die Authentifizierung konfiguriert.</p>
<p>{{#var:utm-in-domäne--authentifizierung| Im Menü {{Menu | Authentifizierung |AD/LDAP Authentifizierung}} wird die Authentifizierung konfiguriert.</p>


==== ++ad-verbindung,,AD Verbindung herstellen__ ====
==== {{#var:ad-verbindung| AD Verbindung herstellen }} ====
<p>++ad-verbindung--text,,Besteht noch keine AD/LDAP-Authentifizierung öffnet sich automatisch der AD/LDAP Authentifizierungs Assistent__</p>
<p>{{#var:ad-verbindung--text| Besteht noch keine AD/LDAP-Authentifizierung öffnet sich automatisch der AD/LDAP Authentifizierungs Assistent }}</p>
<p>++ad-verbindung--assistent,,Andernfalls kann der Assistent mit der Schaltfläche {{Button| Assistent }} gestartet werden.__</p>
<p>{{#var:ad-verbindung--assistent| Andernfalls kann der Assistent mit der Schaltfläche {{Button| Assistent }} gestartet werden. }}</p>
{| class="sptable2 pd5"
{| class="sptable2 pd5"
! {{#var:cap|Beschriftung}} !! ##var:val|Wert}} !! {{#var:desc|Beschreibung}}
! {{#var:cap|Beschriftung}} !! ##var:val|Wert}} !! {{#var:desc|Beschreibung}}
|-
|-
| class="Leerzeile" colspan="3" |  
| class="Leerzeile" colspan="3" |  
===== ++Schritt,,Schritt__ 1: ++Verzeichnistyp,,Verzeichnistyp__ =====
===== {{#var:Schritt| Schritt }} 1: {{#var:Verzeichnistyp| Verzeichnistyp }} =====
|-
|-
| {{ b | {{#var:Verzeichnistyp}} }} || {{Button| AD - Active Directory|dr}} || {{ Hinweis | !! ++ad-hinweis,,Es sollte auf alle Fälle der Verzeichnistyp <i>»AD«</i> gewählt werden, wenn es sich um eine Active Directory Umgebung handelt. § <br>Zwar läuft auch hier ein LDAP, die Gruppenzugehörigkeit wird aber in der AD Umgebung anders behandelt als bei einem reinen LDAP-Server.__ | gelb }}
| {{ b | {{#var:Verzeichnistyp}} }} || {{Button| AD - Active Directory|dr}} || {{ Hinweis | !! {{#var:ad-hinweis| Es sollte auf alle Fälle der Verzeichnistyp <i>»AD«</i> gewählt werden, wenn es sich um eine Active Directory Umgebung handelt. § <br>Zwar läuft auch hier ein LDAP, die Gruppenzugehörigkeit wird aber in der AD Umgebung anders behandelt als bei einem reinen LDAP-Server. }} | gelb }}
| class="bild" rowspan="2" | {{ Bild | ++schritt-1--bild,,UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt1.png__ | {{#var:Schritt}} 1}}
| class="bild" rowspan="2" | {{ Bild | {{#var:schritt-1--bild| UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt1.png }} | {{#var:Schritt}} 1}}
|-
|-
| class="Leerzeile" |{{ Button | ++Weiter,,Weiter__ }}
| class="Leerzeile" |{{ Button | {{#var:Weiter| Weiter }} }}
|-
|-
| class="Leerzeile" colspan="3" |  
| class="Leerzeile" colspan="3" |  
===== {{#var:Schritt}} 2: ++Einstellungen,,Einstellungen__ =====
===== {{#var:Schritt}} 2: {{#var:Einstellungen| Einstellungen }} =====
|-
|-
| {{ b | ++ip,,IP oder Hostname:__ }} || {{cb | 192.168.145.1}} || ++beispiel-adrresse,,(Beispiel-Adresse!)__ || class="bild" rowspan="4" | {{Bild | ++schritt-2--bild,,UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt2.png__ | {{#var:Schritt}} 2}}
| {{ b | {{#var:ip| IP oder Hostname: }} }} || {{cb | 192.168.145.1}} || {{#var:beispiel-adrresse| (Beispiel-Adresse!) }} || class="bild" rowspan="4" | {{Bild | {{#var:schritt-2--bild| UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt2.png }} | {{#var:Schritt}} 2}}
|-
|-
| {{ b | Domain }} ||  {{ic| ttt-point.local }} || Domainname
| {{ b | Domain }} ||  {{ic| ttt-point.local }} || Domainname
|-
|-
| {{ b | ++Arbeitsgruppe,,Arbeitsgruppe:__ }} || {{ic| ttt-point }} || ++netbios-name,,Der NETBIOS-Name des AD<br>Sollte dieser von der Base Domain abweichen, muss hier der korrekte NETBIOS-Name eingetragen werden.__
| {{ b | {{#var:Arbeitsgruppe| Arbeitsgruppe: }} }} || {{ic| ttt-point }} || {{#var:netbios-name| Der NETBIOS-Name des AD<br>Sollte dieser von der Base Domain abweichen, muss hier der korrekte NETBIOS-Name eingetragen werden. }}
|-
|-
| {{ b | Appliance Account:}} || {{ic| sp-utml }} || ++appliance-account--text,,Der Name, unter dem die UTM im AD in der Gruppe ''Computers'' eingetragen wird.<br>Ein eindeutiger Name, der nicht doppelt vergeben werden darf!--<br>
| {{ b | Appliance Account:}} || {{ic| sp-utml }} || {{#var:appliance-account--text| Der Name, unter dem die UTM im AD in der Gruppe ''Computers'' eingetragen wird.<br>Ein eindeutiger Name, der nicht doppelt vergeben werden darf!--<br>
{{Hinweis|!|g}} ++appliance-account--text--cluster-hinweis,,Bei Betrieb der UTM im Cluster muss der Name im Master und Spare unterschiedlich sein. Der Name wird nicht synchronisiert!__
{{Hinweis|!|g}} {{#var:appliance-account--text--cluster-hinweis| Bei Betrieb der UTM im Cluster muss der Name im Master und Spare unterschiedlich sein. Der Name wird nicht synchronisiert! }}
|-
|-
| class="Leerzeile" | {{ Button | {{#var:Weiter}} }}
| class="Leerzeile" | {{ Button | {{#var:Weiter}} }}
Zeile 74: Zeile 394:
| class="Leerzeile" colspan="3" |  
| class="Leerzeile" colspan="3" |  
===== {{#var:Schritt}} 3: Nameserver =====
===== {{#var:Schritt}} 3: Nameserver =====
++schritt-3--text,,Ist der AD-Server noch nicht als Name-Server eingetragen, wird das in diesem Schritt vorgenommen:__<br>
{{#var:schritt-3--text| Ist der AD-Server noch nicht als Name-Server eingetragen, wird das in diesem Schritt vorgenommen: }}<br>
{{ Button | ++add-server,,Server hinzufügen__ |+}}
{{ Button | {{#var:add-server| Server hinzufügen }} |+}}
|-
|-
| {{ b |  ++ip-adresse,,IP-Adresse__ :}} || {{ic| 192.168.145.1}} ||{{Hinweis|!|g}} ++Beispieladresse,,Beispieladresse!__ <br>++ip-adresse--text,,IP-Adresse eines AD-Servers der Domäne__ || class="bild" rowspan="3" | {{ bild | ++schritt-3--bild,,UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt3.png__ | {{#var:Schritt}} 3: Nameserver}}
| {{ b |  {{#var:ip-adresse| IP-Adresse }} :}} || {{ic| 192.168.145.1}} ||{{Hinweis|!|g}} {{#var:Beispieladresse| Beispieladresse! }} <br>{{#var:ip-adresse--text| IP-Adresse eines AD-Servers der Domäne }} || class="bild" rowspan="3" | {{ bild | {{#var:schritt-3--bild| UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt3.png }} | {{#var:Schritt}} 3: Nameserver}}
|-
|-
| {{ Button | ++Speichern,,Speichern__ }} || colspan="2" | <p>++ad-server,,Der AD-Server wird damit als Relay-Zone im Nameserver der UTM hinzugefügt.</p><p>Der Eintrag ist im Menü {{Menu|Anwendungen|Nameserver }} im Reiter {{Reiter|Zonen}} zu finden.__ </p>
| {{ Button | {{#var:Speichern| Speichern }} }} || colspan="2" | <p>{{#var:ad-server| Der AD-Server wird damit als Relay-Zone im Nameserver der UTM hinzugefügt.</p><p>Der Eintrag ist im Menü {{Menu|Anwendungen|Nameserver }} im Reiter {{Reiter|Zonen}} zu finden. }} </p>
|-  
|-  
| class="Leerzeile" | {{ Button | {{#var:Weiter}} }}
| class="Leerzeile" | {{ Button | {{#var:Weiter}} }}
|-
|-
| class="Leerzeile" colspan="3" |  
| class="Leerzeile" colspan="3" |  
===== {{#var:Schritt}} 4: ++Beitreten,,Beitreten__ =====
===== {{#var:Schritt}} 4: {{#var:Beitreten| Beitreten }} =====
|-
|-
| {{ b | ++Administratorname,,Administratorname:__ }} || {{ic| Administrator }} || {{Hinweis|!|g}} ++Administratorname--hinweis,,Um der Domäne beizutreten ist ein Benutzer-Konto mit Domain-Administrator-Rechten erforderlich.__ || class="bild" rowspan="3" | {{ bild | ++schritt-4--bild,,UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt4.png__ }}  
| {{ b | {{#var:Administratorname| Administratorname: }} }} || {{ic| Administrator }} || {{Hinweis|!|g}} {{#var:Administratorname--hinweis| Um der Domäne beizutreten ist ein Benutzer-Konto mit Domain-Administrator-Rechten erforderlich. }} || class="bild" rowspan="3" | {{ bild | {{#var:schritt-4--bild| UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt4.png }} }}  
|-
|-
| {{ b | ++Passwort,,Passwort:__ }} || {{ic| <nowiki>••••••••</nowiki> }} || {{einblenden| ++hinweis--cluster,,Hinweis bei Clusterbetrieb__ | ++ausblenden,,ausblenden__ | true | dezent|icon={{spc|io|o|-|c=g}} }} ++hinweis--cluster--text,,Bei Betrieb der UTM im Cluster muss das Passwort auf der Spare-UTM unter {{Menu| Authentifizierung | AD/LDAP Authentifizierung | Beitreten }} separat eingegeben werden. </p><small>Bis auf den {{b|  Appliance Account:  }} (siehe Schritt 2) werden alle anderen Angaben im Cluster synchronisiert.</small> <br>Abschluss mit {{Button| Beitreten}}__</div>
| {{ b | {{#var:Passwort| Passwort: }} }} || {{ic| <nowiki>••••••••</nowiki> }} || {{einblenden| {{#var:hinweis--cluster| Hinweis bei Clusterbetrieb }} | {{#var:ausblenden| ausblenden }} | true | dezent|icon={{spc|io|o|-|c=g}} }} {{#var:hinweis--cluster--text| Bei Betrieb der UTM im Cluster muss das Passwort auf der Spare-UTM unter {{Menu| Authentifizierung | AD/LDAP Authentifizierung | Beitreten }} separat eingegeben werden. </p><small>Bis auf den {{b|  Appliance Account:  }} (siehe Schritt 2) werden alle anderen Angaben im Cluster synchronisiert.</small> <br>Abschluss mit {{Button| Beitreten}} }}</div>
|-
|-
| class="Leerzeile" |{{ Button | ++fertig,,Fertig__ }}
| class="Leerzeile" |{{ Button | {{#var:fertig| Fertig }} }}
|-
|-
| class="Leerzeile" colspan="3" |
| class="Leerzeile" colspan="3" |
==== ++ergebnis-ad,,Ergebnis AD-Anbindung__ ====
==== {{#var:ergebnis-ad| Ergebnis AD-Anbindung }} ====
++ergebnis-ad--text,,Ergebnis im Abschnitt {{ Kasten | Status}} :__ <br>
{{#var:ergebnis-ad--text| Ergebnis im Abschnitt {{ Kasten | Status}} : }} <br>
|-
|-
| {{ b | ++aktiviert,,Aktiviert__:}} || {{ ButtonAn |{{#var:ein}} }} || ++ad-aktiviert--text,,Die AD/LDAP Authentifizierung ist aktiviert.__ || class="bild" rowspan="3" | {{ Bild | ++ergebnis--bild,,UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung.png__ }}
| {{ b | {{#var:aktiviert| Aktiviert }}:}} || {{ ButtonAn |{{#var:ein}} }} || {{#var:ad-aktiviert--text| Die AD/LDAP Authentifizierung ist aktiviert. }} || class="bild" rowspan="3" | {{ Bild | {{#var:ergebnis--bild| UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung.png }} }}
|-
|-
| {{ b | ++Verbindungsstatus,,Verbindungsstatus:__ }} || {{#if:|| <small><font color=green>⬤</font></small>}} || ++Verbindungsstatus--text,,Zur Bestätigung wechselt die Anzeige von grau auf grün.<br/>Aktualisieren mit {{Button| |refresh}}__
| {{ b | {{#var:Verbindungsstatus| Verbindungsstatus: }} }} || {{#if:|| <small><font color=green>⬤</font></small>}} || {{#var:Verbindungsstatus--text| Zur Bestätigung wechselt die Anzeige von grau auf grün.<br/>Aktualisieren mit {{Button| |refresh}} }}
|-
|-
| class="Leerzeile" |  
| class="Leerzeile" |  
|-
|-
| class="Leerzeile" colspan="3" | {{h4 | ++Erweiterte-Einstellungen,,Erweiterte Einstellungen__ | {{Reiter| ++Erweitert,,Erweitert__ }} }}
| class="Leerzeile" colspan="3" | {{h4 | {{#var:Erweiterte-Einstellungen| Erweiterte Einstellungen }} | {{Reiter| {{#var:Erweitert| Erweitert }} }} }}
|-
|-
| {{ b | SSL:}} || {{ ButtonAus|{{#var:aus}} }} || ++ssl--text,,Die Verbindung zum Active Directory Server kann SSL-Verschlüsselt hergestellt werden.__ || class="bild" rowspan="13" | {{ Bild| ++erweitert--bild,,UTM_v11.8.8_Authentifizierung_AD-LDAP-Authentifizierung_Erweitert1.png__ | {{#var:Erweiterte-Einstellungen}} }}
| {{ b | SSL:}} || {{ ButtonAus|{{#var:aus}} }} || {{#var:ssl--text| Die Verbindung zum Active Directory Server kann SSL-Verschlüsselt hergestellt werden. }} || class="bild" rowspan="13" | {{ Bild| {{#var:erweitert--bild| UTM_v11.8.8_Authentifizierung_AD-LDAP-Authentifizierung_Erweitert1.png }} | {{#var:Erweiterte-Einstellungen}} }}
|-
|-
| colspan="3" | <span id="LDAP"></span>{{Hinweis| ! ++ldap--hinweis,,Hinweis zur LDAP-Verschlüsselung__ |gelb|c=graul}} {{Hinweis|!}} ++ldap--hinweis--text,,Aufgrund eines Microsoft-Updates (ursprünglich geplant für März 2020) wird eine unverschlüsselte Anbindung an ein AD zukünftig nicht mehr möglich sein.__<br>
| colspan="3" | <span id="LDAP"></span>{{Hinweis| ! {{#var:ldap--hinweis| Hinweis zur LDAP-Verschlüsselung }} |gelb|c=graul}} {{Hinweis|!}} {{#var:ldap--hinweis--text| Aufgrund eines Microsoft-Updates (ursprünglich geplant für März 2020) wird eine unverschlüsselte Anbindung an ein AD zukünftig nicht mehr möglich sein. }}<br>
{{Hinweis| ++ab,,ab__ 11.8.8|11.8.8|gr}} ++ldap-verschlüsselung--automatisch,,Die Einstellung wird von der Securepoint Appliance automatisch vorgenommen.__ {{Hinweis| § ++ldap-verschlüsselung--automatisch--hinweis,,Das entsprechende Dropdown-Menü entfällt ab Version 11.8.8__|11.8.8}}
{{Hinweis| {{#var:ab| ab }} 11.8.8|11.8.8|gr}} {{#var:ldap-verschlüsselung--automatisch| Die Einstellung wird von der Securepoint Appliance automatisch vorgenommen. }} {{Hinweis| § {{#var:ldap-verschlüsselung--automatisch--hinweis| Das entsprechende Dropdown-Menü entfällt ab Version 11.8.8 }}|11.8.8}}
* ++ldap-verschlüsselung--automatisch--separat,,bestehende und neue Verbindungen werden separat verschlüsselt und signiert__
* {{#var:ldap-verschlüsselung--automatisch--separat| bestehende und neue Verbindungen werden separat verschlüsselt und signiert }}
* ++ldap-verschlüsselung--automatisch--ssl,,bei Aktivierung von SSL wird keine zusätzliche Verschlüsselung angewendet.__
* {{#var:ldap-verschlüsselung--automatisch--ssl| bei Aktivierung von SSL wird keine zusätzliche Verschlüsselung angewendet. }}
|-
|-
| {{ b | ++Root-Zertifikat,,Root-Zertifikat__: }} || {{ Button | ++Zertifikat,,Zertifikat__ |dr}} || ++Zertifikat--text,,Es kann ein Root-Zertifikat hinterlegt werden. __
| {{ b | {{#var:Root-Zertifikat| Root-Zertifikat }}: }} || {{ Button | {{#var:Zertifikat| Zertifikat }} |dr}} || {{#var:Zertifikat--text| Es kann ein Root-Zertifikat hinterlegt werden. }}
|-
|-
| {{ b | LDAP-Filter: }} || {{ic| <nowiki>(|(sAMAccountType=268435456)(sAMAccountType=268435457)(sAMAccountType=805306368))</nowiki></code> }} || {{f|Was tut der LDAP-Filter?}}
| {{ b | LDAP-Filter: }} || {{ic| <nowiki>(|(sAMAccountType=268435456)(sAMAccountType=268435457)(sAMAccountType=805306368))</nowiki></code> }} || {{f|Was tut der LDAP-Filter?}}
|-
|-
| {{ b | ++User-Attribute,,User-Attribute__: }} || {{ ic| sAMAccountName}} || ++User-Attribute--text,,Es können Attribute definiert werden, unter denen die AD Verwaltung die Informationen zum Benutzer speichert und die dann von der UTM abgefragt werden können:__
| {{ b | {{#var:User-Attribute| User-Attribute }}: }} || {{ ic| sAMAccountName}} || {{#var:User-Attribute--text| Es können Attribute definiert werden, unter denen die AD Verwaltung die Informationen zum Benutzer speichert und die dann von der UTM abgefragt werden können: }}
|-
|-
| {{ b | ++Mail-Attribute,,Mail-Attribute__: }} || {{ic| {{ cb| proxyAddresses}} |cb}} ||
| {{ b | {{#var:Mail-Attribute| Mail-Attribute }}: }} || {{ic| {{ cb| proxyAddresses}} |cb}} ||
|-
|-
| class="Leerzeile" colspan="3" | <br>++Mail-Attribute--text,,Die Attribute von OTP bis SSL-VPN, die hier eingetragen sind, existieren in der Regel nicht im AD.<br>
| class="Leerzeile" colspan="3" | <br>{{#var:Mail-Attribute--text| Die Attribute von OTP bis SSL-VPN, die hier eingetragen sind, existieren in der Regel nicht im AD.<br>
Um zum Beispiel den OTP-Geheimcode auf dem AD zu hinterlegen, kann ein ungenutztes Attribut des AD Schema verwendet werden, der diesen Geheimcode des Benutzers enthält.<br>
Um zum Beispiel den OTP-Geheimcode auf dem AD zu hinterlegen, kann ein ungenutztes Attribut des AD Schema verwendet werden, der diesen Geheimcode des Benutzers enthält.<br>
Eine entsprechende Anleitung befindet sich hinter folgenden Link zum [[OTP_mit_AD_V11.5 | Einbinden der OTP Funktion in das Active Directory]].__
Eine entsprechende Anleitung befindet sich hinter folgenden Link zum [[OTP_mit_AD_V11.5 | Einbinden der OTP Funktion in das Active Directory]]. }}
|-
|-
| {{ b | OTP-Attribute: }} || {{ ic | sPOTPSecret }} ||
| {{ b | OTP-Attribute: }} || {{ ic | sPOTPSecret }} ||
Zeile 135: Zeile 455:
| {{ b | Cert-Attribute: }} || {{ ic | sPCertificate }} ||
| {{ b | Cert-Attribute: }} || {{ ic | sPCertificate }} ||
|-
|-
| {{ b | Page Size: }} || {{ ic | 500 &emsp;&emsp;|c}} || colspan="2" | ++page-size--desc,,In größeren Umgebungen kann es vorkommen, dass bei LDAP-Anfragen die serverseitig festgelegte, maximale Anzahl von Datensätzen (im AD sind es 1000) überschritten wird. Mit Page Size kann eingestellt werden das die LDAP-Abfrage stückweise ausgeführt wird. Eine Page Size von 500 bedeutet 500 Datensätze pro Abfrage. Die Page Size von 0 deaktiviert eine schrittweise LDAP-Abfrage.__
| {{ b | Page Size: }} || {{ ic | 500 &emsp;&emsp;|c}} || colspan="2" | {{#var:page-size--desc| In größeren Umgebungen kann es vorkommen, dass bei LDAP-Anfragen die serverseitig festgelegte, maximale Anzahl von Datensätzen (im AD sind es 1000) überschritten wird. Mit Page Size kann eingestellt werden das die LDAP-Abfrage stückweise ausgeführt wird. Eine Page Size von 500 bedeutet 500 Datensätze pro Abfrage. Die Page Size von 0 deaktiviert eine schrittweise LDAP-Abfrage. }}
|}
|}
<br>
<br>
<br>
<br>
=== ++ad-benutzergruppen-berechtigungen,,AD Benutzergruppen Berechtigungen erteilen__ ===
=== {{#var:ad-benutzergruppen-berechtigungen| AD Benutzergruppen Berechtigungen erteilen }} ===
{{ pt3 | ++ad-benutzergruppen-berechtigungen--bild,,UTM_11-8_Authentifizierung_Benutzer_Gruppe-CLientlessvpn.png__ | ++ad-benutzergruppen-berechtigungen--bild--cap,,Gruppen Berechtigungen__ }}
{{ pt3 | {{#var:ad-benutzergruppen-berechtigungen--bild| UTM_11-8_Authentifizierung_Benutzer_Gruppe-CLientlessvpn.png }} | {{#var:ad-benutzergruppen-berechtigungen--bild--cap| Gruppen Berechtigungen }} }}
++ad-benutzergruppen-berechtigungen--desc,,Um den Benutzern aus dem Active Directory die Berechtigungen für den Zugriff auf das User-Interface der UTM und der Nutzung des Clientless VPN zu erteilen, wird im Menü {{ Menu | Authentifizierung | Benutzer | Gruppen | Gruppe hinzufügen |+}} eine Gruppe mit eben diesen Berechtigungen angelegt.__
{{#var:ad-benutzergruppen-berechtigungen--desc| Um den Benutzern aus dem Active Directory die Berechtigungen für den Zugriff auf das User-Interface der UTM und der Nutzung des Clientless VPN zu erteilen, wird im Menü {{ Menu | Authentifizierung | Benutzer | Gruppen | Gruppe hinzufügen |+}} eine Gruppe mit eben diesen Berechtigungen angelegt. }}
{| class="sptable2 pd5"
{| class="sptable2 pd5"
! ++Aktiv,,Aktiv__ !! ++Berechtigung,,Berechtigung__ !! ++Hinweis,,Hinweis__
! {{#var:Aktiv| Aktiv }} !! {{#var:Berechtigung| Berechtigung }} !! {{#var:Hinweis| Hinweis }}
|-
|-
| {{ButtonAn| {{#var:ein|Ein}} }} || {{ic| Userinterface}} ||
| {{ButtonAn| {{#var:ein|Ein}} }} || {{ic| Userinterface}} ||
Zeile 152: Zeile 472:
<br clear=all>
<br clear=all>


{{ pt3 | ++benutzergruppe-auswählen,,UTM_11-8_Authentifizierung_Gruppe-hinzufügen_Verzeichnisdienst.png__ | ++benutzergruppe-auswählen--cap,,Benutzergruppe aus AD auswählen__ }}
{{ pt3 | {{#var:benutzergruppe-auswählen| UTM_11-8_Authentifizierung_Gruppe-hinzufügen_Verzeichnisdienst.png }} | {{#var:benutzergruppe-auswählen--cap| Benutzergruppe aus AD auswählen }} }}
++benutzergruppe-auswählen--text,,Im Reiter {{ Reiter | Verzeichnis Dienst}} kann jetzt die entsprechende Gruppe aus dem Active Directory ausgewählt und zugeordnet werden.
{{#var:benutzergruppe-auswählen--text| Im Reiter {{ Reiter | Verzeichnis Dienst}} kann jetzt die entsprechende Gruppe aus dem Active Directory ausgewählt und zugeordnet werden.


<p>Weitere Informationen über Clientless VPN Berechtigungen befindet sich in dem Wiki zu [[ClientlessVPN-v11#Zuweisen_der_Gruppe | Clientless VPN]].</p>__
<p>Weitere Informationen über Clientless VPN Berechtigungen befindet sich in dem Wiki zu [[ClientlessVPN-v11#Zuweisen_der_Gruppe | Clientless VPN]].</p> }}


=== ++Ergebnis,,Ergebnis__ ===
=== {{#var:Ergebnis| Ergebnis }} ===
<p>++Ergebnis--text,,Nach dem Speichern kann sich jeder Benutzer, der Mitglied in der AD Gruppe ''ClientlessVPN'' ist, mit seinen Windows Domänen Zugangsdaten für die Nutzung des Clientless VPN auf der UTM anmleden.__</p>
<p>{{#var:Ergebnis--text| Nach dem Speichern kann sich jeder Benutzer, der Mitglied in der AD Gruppe ''ClientlessVPN'' ist, mit seinen Windows Domänen Zugangsdaten für die Nutzung des Clientless VPN auf der UTM anmleden. }}</p>


<br clear=all>
<br clear=all>
----
----
=== ++ad-test-cli,,Überprüfen der AD Anbindung mit CLI__ ===
=== {{#var:ad-test-cli| Überprüfen der AD Anbindung mit CLI }} ===
++ad-test-cli--text,,Über CLI (Command Line Interface) Kommandos lässt sich verschiedenes über die Active Directory Anbindung und Benutzer überprüfen.
{{#var:ad-test-cli--text| Über CLI (Command Line Interface) Kommandos lässt sich verschiedenes über die Active Directory Anbindung und Benutzer überprüfen.


{{ Hinweis | Hinweis:}} Erfolgt die Eingabe (Bildschirm und Tastatur) direkt an der UTM  lautet der Eingabe-Prompt der Firewall z. B.: ''firewall.foo.local>'' bzw. entprechend der lokalen Konfiguration. Bei Aufruf über das User-Interface mit dem Menü {{ Menu | Extras | CLI }} lautet der Prompt ''CLI>''
{{ Hinweis | Hinweis:}} Erfolgt die Eingabe (Bildschirm und Tastatur) direkt an der UTM  lautet der Eingabe-Prompt der Firewall z. B.: ''firewall.foo.local>'' bzw. entprechend der lokalen Konfiguration. Bei Aufruf über das User-Interface mit dem Menü {{ Menu | Extras | CLI }} lautet der Prompt ''CLI>''
Dahinter befindet sich das CLI Kommando.<br>
Dahinter befindet sich das CLI Kommando.<br>
Bei den Zeilen darunter handelt es sich um die Ausgabe der UTM zu diesem Befehl.__
Bei den Zeilen darunter handelt es sich um die Ausgabe der UTM zu diesem Befehl. }}


==== ++ad-beitreten,,Beitreten und Verlassen der Domäne__ ====
==== {{#var:ad-beitreten| Beitreten und Verlassen der Domäne }} ====


++ad-beitreten--text,,Um zu überprüfen ob die UTM schon der Domäne beigetreten ist:__
{{#var:ad-beitreten--text| Um zu überprüfen ob die UTM schon der Domäne beigetreten ist: }}
  cli> '''system activedirectory testjoin'''
  cli> '''system activedirectory testjoin'''
  Join is OK
  Join is OK
  cli>
  cli>


++ad-beitreten--text--alternativ,,Sollte das nicht der Fall sein, erfolgt die Ausgabe__
{{#var:ad-beitreten--text--alternativ| Sollte das nicht der Fall sein, erfolgt die Ausgabe }}


  cli> '''system activedirectory testjoin'''
  cli> '''system activedirectory testjoin'''
Zeile 182: Zeile 502:
  cli>
  cli>


++ad-beitreten--alternativ--comand,,In diesem Fall kann der Domäne mit dem folgenden Kommando beigetreten werden__
{{#var:ad-beitreten--alternativ--comand| In diesem Fall kann der Domäne mit dem folgenden Kommando beigetreten werden }}
  cli> '''system activedirectory join password Beispiel-Admin-Passwort'''
  cli> '''system activedirectory join password Beispiel-Admin-Passwort'''
  Password for Administrator@TTT-POINT.LOCAL:  
  Password for Administrator@TTT-POINT.LOCAL:  
Zeile 191: Zeile 511:
  cli>
  cli>


++ad-beitreten--command-verlassen,,Das Kommando um die Domäne zu verlassen lautet__
{{#var:ad-beitreten--command-verlassen| Das Kommando um die Domäne zu verlassen lautet }}
  cli> '''system activedirectory leave password Beispiel-Admin-Passwort'''
  cli> '''system activedirectory leave password Beispiel-Admin-Passwort'''
  Enter Administrator's password:
  Enter Administrator's password:
Zeile 197: Zeile 517:
  cli>
  cli>


++ad-beitreten--passwort,,Beim Beitreten bzw. Verlassen des Active Directories ist die Angabe des Administratorpasswortes notwendig. Das Passwort wird nicht gespeichert, die AD-Zugehörigkeit ist trotzdem Reboot fest.__
{{#var:ad-beitreten--passwort| Beim Beitreten bzw. Verlassen des Active Directories ist die Angabe des Administratorpasswortes notwendig. Das Passwort wird nicht gespeichert, die AD-Zugehörigkeit ist trotzdem Reboot fest. }}


==== ++ad-zeigen,,AD Gruppen anzeigen__ ====
==== {{#var:ad-zeigen| AD Gruppen anzeigen }} ====
++ad-zeigen--text,,Mit dem folgenden Kommando können die Gruppen im Active Directory aufgelistet werden:__
{{#var:ad-zeigen--text| Mit dem folgenden Kommando können die Gruppen im Active Directory aufgelistet werden: }}
  cli> '''system activedirectory lsgroups'''
  cli> '''system activedirectory lsgroups'''
  member
  member
Zeile 219: Zeile 539:
  cli>
  cli>


==== ++ad-zugehörigkeit,,Überprüfen der Benutzer und Gruppenzugehörigkeit__ ====
==== {{#var:ad-zugehörigkeit| Überprüfen der Benutzer und Gruppenzugehörigkeit }} ====
++ad-zugehörigkeit--text,,Das folgende Kommando überprüft, ob ein ''AD-Benutzer'' einer ''UTM Gruppe'' zugeordnet ist:__
{{#var:ad-zugehörigkeit--text| Das folgende Kommando überprüft, ob ein ''AD-Benutzer'' einer ''UTM Gruppe'' zugeordnet ist: }}
  cli> '''user check name "m.meier" groups grp_ClientlessVPN'''
  cli> '''user check name "m.meier" groups grp_ClientlessVPN'''
  matched
  matched
  cli>
  cli>


++ad-zugehörigkeit--no-member,,Sollte das nicht der Fall sein erfolgt die Ausgabe__
{{#var:ad-zugehörigkeit--no-member| Sollte das nicht der Fall sein erfolgt die Ausgabe }}
  not a member
  not a member
  cli>
  cli>


++ad-zugehörigkeit--gruppe,,Befehl, um zu einem AD-Benutzer die Gruppenzugehörigkeit und Berechtigungen auszugegeben:__
{{#var:ad-zugehörigkeit--gruppe| Befehl, um zu einem AD-Benutzer die Gruppenzugehörigkeit und Berechtigungen auszugegeben: }}
  cli> '''user get name m.meier'''
  cli> '''user get name m.meier'''
  name  |groups          |permission
  name  |groups          |permission
Zeile 236: Zeile 556:
  cli>
  cli>


==== ++dc-hinters2s,,Domain-Controller hinter Site-to-Site-VPN__ ====
==== {{#var:dc-hinters2s| Domain-Controller hinter Site-to-Site-VPN }} ====
++dc-hinters2s--text,,In manchen Szenarien befindet sich der Domain-Controller hinter einem Site-to-Site-VPN-Tunnel. Ist dies der Fall, muss eine entsprechende Zone und eine Regel konfiguriert werden.__ <br>
{{#var:dc-hinters2s--text| In manchen Szenarien befindet sich der Domain-Controller hinter einem Site-to-Site-VPN-Tunnel. Ist dies der Fall, muss eine entsprechende Zone und eine Regel konfiguriert werden. }} <br>
[http://wiki.securepoint.de/index.php/UTM/VPN/DNS_Relay#DNS_Relay_f.C3.BCr_einen_IPSec_Site-to-Site_Tunnel DNS-Relay bei IPSec-S2S]<br>
[http://wiki.securepoint.de/index.php/UTM/VPN/DNS_Relay#DNS_Relay_f.C3.BCr_einen_IPSec_Site-to-Site_Tunnel DNS-Relay bei IPSec-S2S]<br>
[http://wiki.securepoint.de/index.php/UTM/VPN/DNS_Relay#DNS_Relay_f.C3.BCr_einen_OpenVPN_Site-to-Site_Tunnel DNS-Relay bei SSL-S2S]<br>
[http://wiki.securepoint.de/index.php/UTM/VPN/DNS_Relay#DNS_Relay_f.C3.BCr_einen_OpenVPN_Site-to-Site_Tunnel DNS-Relay bei SSL-S2S]<br>
{{ Hinweis |! ++dc-hinters2s--hinweis,,Achtung: Für einen Beitritt in ein Active-Directory, das sich hinter einem VPN-Tunnel befindet, werden in der NAT-Regel Richtung Domain-Controller neben den DNS-Ports natürlich noch die LDAP-Ports benötigt.__| gelb |c=graul}}
{{ Hinweis |! {{#var:dc-hinters2s--hinweis| Achtung: Für einen Beitritt in ein Active-Directory, das sich hinter einem VPN-Tunnel befindet, werden in der NAT-Regel Richtung Domain-Controller neben den DNS-Ports natürlich noch die LDAP-Ports benötigt. }}| gelb |c=graul}}
----
----

Version vom 17. Februar 2020, 17:59 Uhr
































| WIN2012_AD_Sgrpcvpn1.png |





{{var | utm-in-domäne--authentifizierung

| Im Menü → Authentifizierung →AD/LDAP Authentifizierung wird die Authentifizierung konfiguriert.

====








{{var | appliance-account--text | Der Name, unter dem die UTM im AD in der Gruppe Computers eingetragen wird.
Ein eindeutiger Name, der nicht doppelt vergeben werden darf!--







































Anbindung einer UTM an ein AD/LDAP

{{#var:ver|Letzte Anpassung zur Version:\\ 11.8.8

Neu:

  • Automatische Einstellung der Verschlüsselung einer LDAP-Anbindung
  • Der Eintrag hat einen eigenen Platz in der Menü-Struktur erhalten und wurde im Layout angepasst.
  • Hinweis auf Appliance Account-Name im Cluster-Betrieb

Vorherige Versionen: 11.5 | 11.7 | 11.8.8




Zur Authentifizierung auf der UTM kann ein AD oder LDAP genutzt werden. Die Rechte auf der UTM können dann über die Gruppenzugehörigkeit im AD gesteuert werden.

In der Regel handelt es sich dabei um den Active Directory Service, der in einem Netzwerk die Domäne verwaltet und über das LDAP- und Kerberos-Protokoll die Authentifizierung der Netzwerk Nutzer steuert.



Vorbereitung im Active Directory

Benutzergruppen anlegen

Sicherheitsgruppe hinzufügen

Datei:Groups
WIN2012_AD_Sgrpcvpn1.png


Sicherheitsgruppe hinzugefügt

Die Berechtigungen zu den in der UTM enthaltenen Diensten können in Gruppen verwaltet werden. Die Benutzer, die diesen Gruppen zugeordnet werden sollen, müssen zunächst entsprechenden Benutzergruppen im AD zugeordnet werden.

In diesem Beispiel sollen die Benutzer für Clientless VPN über den Active Directory Service Authentifiziert werden.

Es muss also zunächst eine Gruppe vom Typ Sicherheitsgruppe auf dem AD hinzugefügt werden, die hier den Namen ClientlessVPN bekommt.


Benutzer hinzufügen

Benutzer hinzufügen

Benutzer ist Mitglied der Gruppe

Anschließend werden die Benutzer, die für Clientless VPN freigeschaltet werden sollen, zu dieser Gruppe hinzugefügt.



UTM in die Domäne einbinden

Es muss darauf geachtet werden, dass die Uhrzeit der UTM mit dem des AD einigermaßen synchron läuft, da ein Kerberos Ticket nur eine begrenzte Gültigkeitsdauer hat.

Im Menü → Authentifizierung →AD/LDAP Authentifizierung wird die Authentifizierung konfiguriert.

AD Verbindung herstellen

Besteht noch keine AD/LDAP-Authentifizierung öffnet sich automatisch der AD/LDAP Authentifizierungs Assistent

Andernfalls kann der Assistent mit der Schaltfläche Assistent gestartet werden.

{ !! Beschreibung |- | class="Leerzeile" colspan="3" |

Schritt 1: Verzeichnistyp

|- | Verzeichnistyp || AD - Active Directory || Es sollte auf alle Fälle der Verzeichnistyp »AD« gewählt werden, wenn es sich um eine Active Directory Umgebung handelt.
Zwar läuft auch hier ein LDAP, die Gruppenzugehörigkeit wird aber in der AD Umgebung anders behandelt als bei einem reinen LDAP-Server.

| class="bild" rowspan="2" |

UTM 11-8 Authentifizierung AD-LDAP-Authentifizierung Assistent Schritt1.png
Schritt 1

|- | class="Leerzeile" | Weiter |- | class="Leerzeile" colspan="3" |

Schritt 2: Einstellungen

|-

| IP oder Hostname: || » 192.168.145.1 || (Beispiel-Adresse!) || class="bild" rowspan="4" |

UTM 11-8 Authentifizierung AD-LDAP-Authentifizierung Assistent Schritt2.png
Schritt 2

|- | Domain || ttt-point.local || Domainname |- | Arbeitsgruppe: || ttt-point || Der NETBIOS-Name des AD
Sollte dieser von der Base Domain abweichen, muss hier der korrekte NETBIOS-Name eingetragen werden. |- | Appliance Account: || sp-utml || {{#var:appliance-account--text| Der Name, unter dem die UTM im AD in der Gruppe Computers eingetragen wird.
Ein eindeutiger Name, der nicht doppelt vergeben werden darf!--
Bei Betrieb der UTM im Cluster muss der Name im Master und Spare unterschiedlich sein. Der Name wird nicht synchronisiert! |- | class="Leerzeile" | Weiter |- | class="Leerzeile" colspan="3" |

Schritt 3: Nameserver

Ist der AD-Server noch nicht als Name-Server eingetragen, wird das in diesem Schritt vorgenommen:
Server hinzufügen |-

| IP-Adresse : || 192.168.145.1 || Beispieladresse!
IP-Adresse eines AD-Servers der Domäne || class="bild" rowspan="3" |

UTM 11-8 Authentifizierung AD-LDAP-Authentifizierung Assistent Schritt3.png
Schritt 3: Nameserver

|-

| Speichern || colspan="2" |

Der AD-Server wird damit als Relay-Zone im Nameserver der UTM hinzugefügt.

Der Eintrag ist im Menü → Anwendungen →Nameserver im Reiter Zonen zu finden.

|- | class="Leerzeile" | Weiter |- | class="Leerzeile" colspan="3" |

Schritt 4: Beitreten

|-

| Administratorname: || Administrator || Um der Domäne beizutreten ist ein Benutzer-Konto mit Domain-Administrator-Rechten erforderlich. || class="bild" rowspan="3" |

UTM 11-8 Authentifizierung AD-LDAP-Authentifizierung Assistent Schritt4.png

|- | Passwort: || •••••••• || <div class="mw-collapsible true mw-collapsed dezent " data-expandtext=" Hinweis bei Clusterbetrieb " data-collapsetext=" ausblenden " id="mw-customcollapsible-Inhalte"

   style=";"

>

Bei Betrieb der UTM im Cluster muss das Passwort auf der Spare-UTM unter → Authentifizierung →AD/LDAP AuthentifizierungReiter Beitreten separat eingegeben werden.

Bis auf den Appliance Account: (siehe Schritt 2) werden alle anderen Angaben im Cluster synchronisiert.
Abschluss mit Beitreten

|- | class="Leerzeile" | Fertig |- | class="Leerzeile" colspan="3" |

Ergebnis AD-Anbindung

Ergebnis im Abschnitt

Status

 :

|-

| Aktiviert: || Ein || Die AD/LDAP Authentifizierung ist aktiviert. || class="bild" rowspan="3" |

UTM 11-8 Authentifizierung AD-LDAP-Authentifizierung.png

|- | Verbindungsstatus: || || Zur Bestätigung wechselt die Anzeige von grau auf grün.
Aktualisieren mit |- | class="Leerzeile" | |-

| class="Leerzeile" colspan="3" |

Erweiterte Einstellungen

Erweitert

|-

| SSL: || Aus || Die Verbindung zum Active Directory Server kann SSL-Verschlüsselt hergestellt werden. || class="bild" rowspan="13" |

UTM v11.8.8 Authentifizierung AD-LDAP-Authentifizierung Erweitert1.png
Erweiterte Einstellungen

|- | colspan="3" | Hinweis zur LDAP-Verschlüsselung Aufgrund eines Microsoft-Updates (ursprünglich geplant für März 2020) wird eine unverschlüsselte Anbindung an ein AD zukünftig nicht mehr möglich sein.
ab 11.8.8 Die Einstellung wird von der Securepoint Appliance automatisch vorgenommen. Das entsprechende Dropdown-Menü entfällt ab Version 11.8.8

  • bestehende und neue Verbindungen werden separat verschlüsselt und signiert
  • bei Aktivierung von SSL wird keine zusätzliche Verschlüsselung angewendet.

|- | Root-Zertifikat: || Zertifikat || Es kann ein Root-Zertifikat hinterlegt werden. |- | LDAP-Filter: || (|(sAMAccountType=268435456)(sAMAccountType=268435457)(sAMAccountType=805306368)) || Nur für interne Prüfzwecke |- | User-Attribute: || sAMAccountName || Es können Attribute definiert werden, unter denen die AD Verwaltung die Informationen zum Benutzer speichert und die dann von der UTM abgefragt werden können: |- | Mail-Attribute: || » proxyAddresses || |- | class="Leerzeile" colspan="3" |
Die Attribute von OTP bis SSL-VPN, die hier eingetragen sind, existieren in der Regel nicht im AD.
Um zum Beispiel den OTP-Geheimcode auf dem AD zu hinterlegen, kann ein ungenutztes Attribut des AD Schema verwendet werden, der diesen Geheimcode des Benutzers enthält.
Eine entsprechende Anleitung befindet sich hinter folgenden Link zum Einbinden der OTP Funktion in das Active Directory. |- | OTP-Attribute: || sPOTPSecret || |- | L2TP-Attribute: || sPL2TPAddress || |- | SSL-VPN-Attribute (IPv4): || sPOVPNAddress || |- | SSL-VPN-Attribute (IPv6): || sPOVPNIP6Address || |- | SSL-Bump-Attribute: || sPSSLBumpMode || |- | Cert-Attribute: || sPCertificate || |- | Page Size: || 500   Link= || colspan="2" | In größeren Umgebungen kann es vorkommen, dass bei LDAP-Anfragen die serverseitig festgelegte, maximale Anzahl von Datensätzen (im AD sind es 1000) überschritten wird. Mit Page Size kann eingestellt werden das die LDAP-Abfrage stückweise ausgeführt wird. Eine Page Size von 500 bedeutet 500 Datensätze pro Abfrage. Die Page Size von 0 deaktiviert eine schrittweise LDAP-Abfrage. |}

AD Benutzergruppen Berechtigungen erteilen

Gruppen Berechtigungen

Um den Benutzern aus dem Active Directory die Berechtigungen für den Zugriff auf das User-Interface der UTM und der Nutzung des Clientless VPN zu erteilen, wird im Menü → Authentifizierung →BenutzerReiter Gruppen Schaltfläche Gruppe hinzufügen eine Gruppe mit eben diesen Berechtigungen angelegt.

Aktiv Berechtigung Hinweis
Ein Userinterface
Ein Clientless VPN Gewünschte Berechtigung


Benutzergruppe aus AD auswählen

Im Reiter Verzeichnis Dienst kann jetzt die entsprechende Gruppe aus dem Active Directory ausgewählt und zugeordnet werden.

Weitere Informationen über Clientless VPN Berechtigungen befindet sich in dem Wiki zu Clientless VPN.

Ergebnis

Nach dem Speichern kann sich jeder Benutzer, der Mitglied in der AD Gruppe ClientlessVPN ist, mit seinen Windows Domänen Zugangsdaten für die Nutzung des Clientless VPN auf der UTM anmleden.



Überprüfen der AD Anbindung mit CLI

Über CLI (Command Line Interface) Kommandos lässt sich verschiedenes über die Active Directory Anbindung und Benutzer überprüfen. Hinweis: Erfolgt die Eingabe (Bildschirm und Tastatur) direkt an der UTM lautet der Eingabe-Prompt der Firewall z. B.: firewall.foo.local> bzw. entprechend der lokalen Konfiguration. Bei Aufruf über das User-Interface mit dem Menü → Extras →CLI lautet der Prompt CLI>Dahinter befindet sich das CLI Kommando.
Bei den Zeilen darunter handelt es sich um die Ausgabe der UTM zu diesem Befehl.

Beitreten und Verlassen der Domäne

Um zu überprüfen ob die UTM schon der Domäne beigetreten ist:

cli> system activedirectory testjoin
Join is OK
cli>

Sollte das nicht der Fall sein, erfolgt die Ausgabe

cli> system activedirectory testjoin
Not joined
cli>

In diesem Fall kann der Domäne mit dem folgenden Kommando beigetreten werden

cli> system activedirectory join password Beispiel-Admin-Passwort
Password for Administrator@TTT-POINT.LOCAL: 
Processing principals to add...
Enter Administrator's password:
Using short domain name -- TTT-POINT
Joined 'SP-UTML' to dns domain 'ttt-point.local'
cli>

Das Kommando um die Domäne zu verlassen lautet

cli> system activedirectory leave password Beispiel-Admin-Passwort
Enter Administrator's password:
Deleted account for 'SP-UTML' in realm 'TTT-POINT.LOCAL'
cli>

Beim Beitreten bzw. Verlassen des Active Directories ist die Angabe des Administratorpasswortes notwendig. Das Passwort wird nicht gespeichert, die AD-Zugehörigkeit ist trotzdem Reboot fest.

AD Gruppen anzeigen

Mit dem folgenden Kommando können die Gruppen im Active Directory aufgelistet werden:

cli> system activedirectory lsgroups
member
------
Abgelehnte RODC-Kennwortreplikationsgruppe
Administratoren
Benutzer
Builtin
ClientlessVPN
Discovery Management
Domänen-Admins
Domänen-Benutzer
Domänen-Gäste
Exchange Servers
...
Users 
Windows-Autorisierungszugriffsgruppe
cli>

Überprüfen der Benutzer und Gruppenzugehörigkeit

Das folgende Kommando überprüft, ob ein AD-Benutzer einer UTM Gruppe zugeordnet ist:

cli> user check name "m.meier" groups grp_ClientlessVPN
matched
cli>

Sollte das nicht der Fall sein erfolgt die Ausgabe

not a member
cli>

Befehl, um zu einem AD-Benutzer die Gruppenzugehörigkeit und Berechtigungen auszugegeben:

cli> user get name m.meier
name   |groups           |permission
-------+-----------------+----------
m.meier|grp_ClientlessVPN|WEB_USER,VPN_CLIENTLESS
cli>

Domain-Controller hinter Site-to-Site-VPN

In manchen Szenarien befindet sich der Domain-Controller hinter einem Site-to-Site-VPN-Tunnel. Ist dies der Fall, muss eine entsprechende Zone und eine Regel konfiguriert werden.
DNS-Relay bei IPSec-S2S
DNS-Relay bei SSL-S2S
Achtung: Für einen Beitritt in ein Active-Directory, das sich hinter einem VPN-Tunnel befindet, werden in der NAT-Regel Richtung Domain-Controller neben den DNS-Ports natürlich noch die LDAP-Ports benötigt.