Wechseln zu:Navigation, Suche
Wiki
KKeine Bearbeitungszusammenfassung
KKeine Bearbeitungszusammenfassung
Zeile 1: Zeile 1:
{{Set_lang}}
{{Set_lang}}
{{#vardefine:headerIcon|spicon-utm}}
{{#vardefine:headerIcon|spicon-utm}}
{{:UTM/AUTH/AD Anbindung.lang}}
{{:UTM/AUTH/AD Anbindung.lang}}


 
</div> {{Select_lang}} {{TOC2}}
</div>{{Select_lang}}{{TOC2}}
{{Header|11.8.10|
{{Header|11.8.10|
* {{#var:neu--alle-dcs}}
* {{#var:neu--alle-dcs}}
* {{#var:neu--ldap| Automatische Einstellung der [[#LDAP | Verschlüsselung]] einer LDAP-Anbindung }}
* {{#var:neu--ldap}}
* {{#var:neu--menu| Der Eintrag hat einen eigenen Platz in der Menü-Struktur erhalten und wurde im Layout angepasst. }}
* {{#var:neu--menu}}
* {{#var:neu--appliance-account| Hinweis auf ''Appliance Account''-Name im Cluster-Betrieb }}
* {{#var:neu--appliance-account}}
|[[UTM/AUTH/AD_Anbindung-v11.4 |'''11.5''']]  
|[[UTM/AUTH/AD_Anbindung-v11.4 |'''11.5''']]  
[[UTM/AUTH/AD_Anbindung_11.7 | '''11.7''']]  
[[UTM/AUTH/AD_Anbindung_11.7 |'''11.7''']]  
[[UTM/AUTH/AD_Anbindung_11.8 | '''11.8''']]
[[UTM/AUTH/AD_Anbindung_11.8 |'''11.8''']]
|{{Menu|{{#var:Authentifizierung}}|{{#var:AD/LDAP Authentifizierung}} }}
|{{Menu|{{#var:Authentifizierung}}|{{#var:AD/LDAP Authentifizierung}} }}
}}
}}
----


----


=== {{#var:Einführung}} ===
=== {{#var:Einführung}} ===
<p>{{#var:ladap--desc}}</p>
<div class="Einrücken">
{{#var:ladap--desc}}


{{#var:neu--alle-dcs--desc}}
{{#var:neu--alle-dcs--desc}}
<br clear=all>
<br clear=all></div>
----
----
=== {{#var:Voraussetzung}} ===
=== {{#var:Voraussetzung}} ===
<div class="Einrücken">
{{#var:Voraussetzung--desc}}
{{#var:Voraussetzung--desc}}


{{Einblenden3 | {{#var:vorbereitung-ad| Vorbereitung im Active Directory }} | {{#var:hide}} | true | dezent }}
{{Einblenden3| {{#var:vorbereitung-ad}} |{{#var:hide}}|true|dezent}}
==== {{#var:add-usergroup| Benutzergruppen anlegen }} ====
{{pt3| WIN2012_AD_Sgrpcvpn1.png | {{#var:security-groups--ad| Sicherheitsgruppe hinzufügen }} }}
{{pt3 | WIN2012 AD Sgrpcvpn2.png | {{#var:security-groups--added| Sicherheitsgruppe hinzugefügt }} }}
<p>{{#var:groups--permissions|Die Berechtigungen zu den in der UTM enthaltenen Diensten können in Gruppen verwaltet werden. Die Benutzer, die diesen Gruppen zugeordnet werden sollen, müssen zunächst entsprechenden Benutzergruppen im AD zugeordnet werden.}}</p>


<p>{{#var:user-groups--added--text| In diesem Beispiel sollen die Benutzer für [[ClientlessVPN-v11 | Clientless VPN]] über den Active Directory Service Authentifiziert werden.</p>
==== {{#var:add-usergroup}} ====
{{pt3| WIN2012_AD_Sgrpcvpn1.png | {{#var:security-groups--ad}} }}
{{pt3| WIN2012 AD Sgrpcvpn2.png | {{#var:security-groups--added}} }}
<div class="Einrücken">
{{#var:groups--permissions}}
{{#var:user-groups--added--text}}
<br clear=all></div>


<p>Es muss also zunächst eine Gruppe vom Typ ''Sicherheitsgruppe'' auf dem AD hinzugefügt werden, die hier den Namen ''ClientlessVPN'' bekommt. }} </p>
==== {{#var:Benutzer hinzufügen}} ====
{{pt3| WIN2012_AD_EgrpM.png | {{#var:Benutzer hinzufügen}} }}
{{pt3| WIN2012_AD_EuserMv.png | {{#var:Benutzer-ist-mitglied}} }}
<div class="Einrücken">
{{#var:Benutzer hinzufügen--desc}}
<br clear=all></div>
</div></div></div>
----


<br clear=all>
=== {{#var:utm-in-domäne}} ===
==== {{#var:Benutzer hinzufügen| Benutzer hinzufügen }} ====
<div class="Einrücken">
{{pt3 | WIN2012_AD_EgrpM.png | {{#var:Benutzer hinzufügen| Benutzer hinzufügen }} }}
<p>{{Hinweis-neu|!|g}} {{#var:utm-in-domäne--uhrzeit}}</p>
{{pt3 | WIN2012_AD_EuserMv.png | {{#var:Benutzer-ist-mitglied| Benutzer ist Mitglied der Gruppe }} }}
<p>{{#var:utm-in-domäne--authentifizierung}}</p>
{{#var:Benutzer hinzufügen--desc| Anschließend werden die Benutzer, die für Clientless VPN freigeschaltet werden sollen, zu dieser Gruppe hinzugefügt.  }}
</div><br clear=all>
</div>
<br clear=all>
----
=== {{#var:utm-in-domäne| UTM in die Domäne einbinden }} ===
<p>{{Hinweis| !|g}} {{#var:utm-in-domäne--uhrzeit| Es muss darauf geachtet werden, dass die [[Uhrzeit_UTM_V11 | Uhrzeit der UTM]] mit dem des AD einigermaßen synchron läuft, da ein Kerberos Ticket nur eine begrenzte Gültigkeitsdauer hat. }}</p>


<p>{{#var:utm-in-domäne--authentifizierung| Im Menü {{Menu | Authentifizierung |AD/LDAP Authentifizierung}} wird die Authentifizierung konfiguriert.}}</p>
==== {{#var:ad-verbindung}} ====
<div class="Einrücken">
<p>{{#var:ad-verbindung--text}}</p>
<p>{{#var:ad-verbindung--assistent}}</p>
</div><br clear=all>


==== {{#var:ad-verbindung| AD Verbindung herstellen }} ====
{| class="sptable2 pd5 zh1 Einrücken"
<p>{{#var:ad-verbindung--text| Besteht noch keine AD/LDAP-Authentifizierung öffnet sich automatisch der AD/LDAP Authentifizierungs Assistent }}</p>
|- class="Leerzeile"
<p>{{#var:ad-verbindung--assistent| Andernfalls kann der Assistent mit der Schaltfläche {{Button| Assistent }} gestartet werden. }}</p>
| colspan="3" |
{| class="sptable2 pd5 zh1"
===== {{#var:Schritt}} 1: {{#var:Verzeichnistyp}} =====
! {{#var:cap|Beschriftung}} !! {{#var:val|Wert}} !! {{#var:desc|Beschreibung}}
| class="Bild" rowspan="5" | {{Bild| {{#var:schritt-1--bild}} |{{#var:Schritt}} 1}}
|- class="Leerzeile"
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
|-
|-
| class="Leerzeile" colspan="3" |
| {{b|{{#var:Verzeichnistyp}}: }} || {{Button| AD - Active Directory|dr}} || <li class="UTM list--element__alert list--element__hint em2">{{Hinweis-neu| {{#var:ad-hinweis}}|g|c=graul }}<br> {{#var:ad-hinweis--erklärung}}  
===== {{#var:Schritt| Schritt }} 1: {{#var:Verzeichnistyp| Verzeichnistyp }} =====
|- class="Leerzeile"
|-
| {{Button|{{#var:Weiter}} }}
| {{ b | {{#var:Verzeichnistyp}} }} || {{Button| AD - Active Directory|dr}} || <li class="UTM list--element__alert list--element__hint em2">{{Hinweis| {{#var:ad-hinweis }}| gelb|c=graul }}<br>
{{#var:ad-hinweis--erklärung|Zwar läuft auch hier ein LDAP, die Gruppenzugehörigkeit wird aber in der AD Umgebung anders behandelt als bei einem reinen LDAP-Server. }}  
| class="bild" rowspan="3" | {{ Bild | {{#var:schritt-1--bild| UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt1.png }} | {{#var:Schritt}} 1}}
|-
| class="Leerzeile" |{{ Button | {{#var:Weiter| Weiter }} }}
|- class="Leerzeile"  
|- class="Leerzeile"  
|
|
|- class="Leerzeile"
| colspan="3" |
===== {{#var:Schritt}} 2: {{#var:Einstellungen}} =====
| class="Bild" rowspan="7" | {{Bild| {{#var:schritt-2--bild}} |{{#var:Schritt}} 2}}
|-
|-
| class="Leerzeile" colspan="3" |  
| {{b|{{#var:ip}} }} || {{cb|192.168.145.1}} || {{#var:beispiel-adrresse}}  
===== {{#var:Schritt}} 2: {{#var:Einstellungen| Einstellungen }} =====
|-
|-
| {{ b | {{#var:ip| IP oder Hostname: }} }} || {{cb | 192.168.145.1}} || {{#var:beispiel-adrresse| (Beispiel-Adresse!) }} || class="bild" rowspan="4" | {{Bild | {{#var:schritt-2--bild| UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt2.png }} | {{#var:Schritt}} 2}}
| {{b|Domain:}} || {{ic|ttt-point.local}} || Domainname
|-
|-
| {{ b | Domain }} || {{ic| ttt-point.local }} || Domainname
| {{b|{{#var:Arbeitsgruppe}} }} || {{ic|ttt-point}} || {{#var:netbios-name}}
|-
|-
| {{ b | {{#var:Arbeitsgruppe| Arbeitsgruppe: }} }} || {{ic| ttt-point }} || {{#var:netbios-name| Der NETBIOS-Name des AD<br>Sollte dieser von der Base Domain abweichen, muss hier der korrekte NETBIOS-Name eingetragen werden. }}
| {{b|Appliance Account:}} || {{ic|sp-utml}} || {{#var:appliance-account--text}}<br> {{Hinweis-neu|!|g}} {{#var:appliance-account--text--cluster-hinweis}}
|-
|- class="Leerzeile"
| {{ b | Appliance Account:}} || {{ic| sp-utml }} || {{#var:appliance-account--text| Der Name, unter dem die UTM im AD in der Gruppe ''Computers'' eingetragen wird.<br>Ein eindeutiger Name, der nicht doppelt vergeben werden darf!}}<br>
| {{Button|{{#var:Weiter}} }}
{{Hinweis|!|g}} {{#var:appliance-account--text--cluster-hinweis| Bei Betrieb der UTM im Cluster muss der Name im Master und Spare unterschiedlich sein. Der Name wird nicht synchronisiert! }}
|- class="Leerzeile"
|-
|
| class="Leerzeile" | {{ Button | {{#var:Weiter}} }}
|- class="noborder"
|-
| colspan="3" |  
| class="Leerzeile" colspan="3" |  
===== {{#var:Schritt}} 3: Nameserver =====
===== {{#var:Schritt}} 3: Nameserver =====
{{#var:schritt-3--text| Ist der AD-Server noch nicht als Name-Server eingetragen, wird das in diesem Schritt vorgenommen: }}<br>
| class="Bild" rowspan="6" | {{Bild| {{#var:schritt-3--bild}} |{{#var:Schritt}} 3: Nameserver}}
{{ Button | {{#var:add-server| Server hinzufügen }} |+}}
|- class="noborder"
| colspan="3" | {{#var:schritt-3--text}}<br> {{Button|{{#var:add-server}}|+}}
|-
|-
| {{ b | {{#var:ip-adresse| IP-Adresse }} :}} || {{ic| 192.168.145.1}} ||{{Hinweis|!|g}} {{#var:Beispieladresse| Beispieladresse! }} <br>{{#var:ip-adresse--text| IP-Adresse eines AD-Servers der Domäne }} || class="bild" rowspan="4" | {{ bild | {{#var:schritt-3--bild| UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt3.png }} | {{#var:Schritt}} 3: Nameserver}}
| {{b|{{#var:ip-adresse}}: }} || {{ic|192.168.145.1}} ||{{Hinweis-neu|!|g}} {{#var:Beispieladresse}} <br>{{#var:ip-adresse--text}}  
|-
|-
| {{ Button | {{#var:Speichern| Speichern }} }} || colspan="2" | <p>{{#var:ad-server| Der AD-Server wird damit als Relay-Zone im Nameserver der UTM hinzugefügt.</p><p>Der Eintrag ist im Menü {{Menu|Anwendungen|Nameserver }} im Reiter {{Reiter|Zonen}} zu finden. }} </p>
| {{Button|{{#var:Speichern}} }} || colspan="2" | <p>{{#var:ad-server}} </p>
|-  
|- class="Leerzeile"  
| class="Leerzeile" | {{ Button | {{#var:Weiter}} }}
| {{Button|{{#var:Weiter}} }}
|- class="Leerzeile"  
|- class="Leerzeile"  
|
|
|- class="Leerzeile"
| colspan="3" |
===== {{#var:Schritt}} 4: {{#var:Beitreten}} =====
| class="Bild" rowspan="5" | {{Bild| {{#var:schritt-4--bild}} }}
|-
|-
| class="Leerzeile" colspan="3" |  
| {{b|{{#var:Administratorname}} }} || {{ic|Administrator}} || {{Hinweis-neu|!|g}} {{#var:Administratorname--hinweis}}  
===== {{#var:Schritt}} 4: {{#var:Beitreten| Beitreten }} =====
|-
|-
| {{ b | {{#var:Administratorname| Administratorname: }} }} || {{ic| Administrator }} || {{Hinweis|!|g}} {{#var:Administratorname--hinweis| Um der Domäne beizutreten ist ein Benutzer-Konto mit Domain-Administrator-Rechten erforderlich. }} || class="bild" rowspan="4" | {{ bild | {{#var:schritt-4--bild| UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt4.png }} }}
| {{b|{{#var:Passwort}} }} || {{ic| <nowiki>••••••••</nowiki> }} || {{einblenden3| {{#var:hinweis--cluster}} | {{#var:ausblenden}} |true|dezent|icon={{spc|io|o|-|c=g}} }} {{#var:hinweis--cluster--text}} separat eingegeben werden. </p><small>Bis auf den {{b|Appliance Account:}} (siehe Schritt 2) werden alle anderen Angaben im Cluster synchronisiert.</small> <br>Abschluss mit {{Button|Beitreten}}</div>
|-
|- class="Leerzeile"  
| {{ b | {{#var:Passwort| Passwort: }} }} || {{ic| <nowiki>••••••••</nowiki> }} || {{einblenden3| {{#var:hinweis--cluster| Hinweis bei Clusterbetrieb }} | {{#var:ausblenden| ausblenden }} | true | dezent|icon={{spc|io|o|-|c=g}} }} {{#var:hinweis--cluster--text| Bei Betrieb der UTM im Cluster muss das Passwort auf der Spare-UTM unter {{Menu| Authentifizierung | AD/LDAP Authentifizierung | Beitreten }} separat eingegeben werden. </p><small>Bis auf den {{b| Appliance Account: }} (siehe Schritt 2) werden alle anderen Angaben im Cluster synchronisiert.</small> <br>Abschluss mit {{Button| Beitreten}} }}</div>
| {{Button|{{#var:fertig}} }}
|-
| class="Leerzeile" |{{ Button | {{#var:fertig| Fertig }} }}
|- class="Leerzeile"  
|- class="Leerzeile"  
|
|
|- class="noborder"
| colspan="3" |
==== {{#var:ergebnis-ad}} ====
| class="Bild" rowspan="5" | {{Bild|{{#var:ergebnis--bild}} }}
|- class="noborder"
| colspan="3" | {{#var:ergebnis-ad--text| Ergebnis im Abschnitt {{Kasten|Status}}: }}
|-
|-
| class="Leerzeile" colspan="3" |
| {{b|{{#var:aktiviert}}: }} || {{ButtonAn|{{#var:ein}} }} || {{#var:ad-aktiviert--text}}  
==== {{#var:ergebnis-ad| Ergebnis AD-Anbindung }} ====
{{#var:ergebnis-ad--text| Ergebnis im Abschnitt {{ Kasten | Status}} : }} <br>
|-
| {{ b | {{#var:aktiviert| Aktiviert }}:}} || {{ ButtonAn |{{#var:ein}} }} || {{#var:ad-aktiviert--text| Die AD/LDAP Authentifizierung ist aktiviert. }} || class="bild" rowspan="3" | {{ Bild | {{#var:ergebnis--bild| UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung.png }} }}
|-
|-
| {{ b | {{#var:Verbindungsstatus| Verbindungsstatus: }} }} || {{#if:|| <small><font color=green>⬤</font></small>}} || {{#var:Verbindungsstatus--text| Zur Bestätigung wechselt die Anzeige von grau auf grün.<br/>Aktualisieren mit {{Button| |refresh}} }}
| {{b|{{#var:Verbindungsstatus}} }} || {{#if:|| <small><font color=green>⬤</font></small>}} || {{#var:Verbindungsstatus--text}}
|- class="Leerzeile"  
|- class="Leerzeile"  
|  
|  
|- class="Leerzeile"
| colspan="3" |
{{h4| {{#var:Erweiterte-Einstellungen}} | {{Reiter|{{#var:Erweitert}} }} }}
|-
|-
| class="Leerzeile" colspan="3" | {{h4 | {{#var:Erweiterte-Einstellungen| Erweiterte Einstellungen }} | {{Reiter| {{#var:Erweitert| Erweitert }} }} }}
| {{b|SSL:}} || {{ButtonAus|{{#var:aus}} }} || {{#var:ssl--text}}  
|-
| class="Bild" rowspan="13" | {{Bild| {{#var:erweitert--bild}} |{{#var:Erweiterte-Einstellungen}} }}
| {{ b | SSL:}} || {{ ButtonAus|{{#var:aus}} }} || {{#var:ssl--text| Die Verbindung zum Active Directory Server kann SSL-Verschlüsselt hergestellt werden. }} || class="bild" rowspan="13" | {{ Bild| {{#var:erweitert--bild| UTM_v11.8.8_Authentifizierung_AD-LDAP-Authentifizierung_Erweitert1.png }} | {{#var:Erweiterte-Einstellungen}} }}
|-
|-
| colspan="3" | <span id="LDAP"></span>{{Hinweis| ! {{#var:ldap--hinweis| Hinweis zur LDAP-Verschlüsselung}}: |gelb|c=graul}}{{#var:ldap--hinweis--text| Aufgrund eines Microsoft-Updates (ursprünglich geplant für März 2020) wird eine unverschlüsselte Anbindung an ein AD zukünftig nicht mehr möglich sein. }}<br>
| colspan="3" | <span id="LDAP"></span>{{Hinweis-neu|! {{#var:ldap--hinweis}}: |g|c=graul}}{{#var:ldap--hinweis--text}}<br>
{{Hinweis| {{#var:ab| ab }} 11.8.8|11.8.8|gr}} {{#var:ldap-verschlüsselung--automatisch| Die Einstellung wird von der Securepoint Appliance automatisch vorgenommen. }} {{Hinweis| § {{#var:ldap-verschlüsselung--automatisch--hinweis| Das entsprechende Dropdown-Menü entfällt ab Version 11.8.8 }}|11.8.8}}
{{Hinweis-neu| {{#var:ab| ab }} 11.8.8|11.8.8|gr}} {{#var:ldap-verschlüsselung--automatisch}} {{Hinweis-neu|§ {{#var:ldap-verschlüsselung--automatisch--hinweis}} |11.8.8}}
* {{#var:ldap-verschlüsselung--automatisch--separat| bestehende und neue Verbindungen werden separat verschlüsselt und signiert }}
* {{#var:ldap-verschlüsselung--automatisch--separat}}
* {{#var:ldap-verschlüsselung--automatisch--ssl| bei Aktivierung von SSL wird keine zusätzliche Verschlüsselung angewendet. }}
* {{#var:ldap-verschlüsselung--automatisch--ssl}}
|-
|-
| {{ b | {{#var:Root-Zertifikat| Root-Zertifikat }}: }} || {{ Button | {{#var:Zertifikat| Zertifikat }} |dr}} || {{#var:Zertifikat--text| Es kann ein Root-Zertifikat hinterlegt werden.  }}
| {{b|{{#var:Root-Zertifikat}}: }} || {{Button|{{#var:Zertifikat}} |dr}} || {{#var:Zertifikat--text}}
|-
|-
| {{ b | LDAP-Filter: }} || {{ic| <nowiki>(|(sAMAccountType=268435456)(sAMAccountType=268435457)(sAMAccountType=805306368))</nowiki></code> }} || ''[https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-drsr/cc44dc4c-fb88-4ffb-9a29-148fb39002d4 sAMAccountType]=''{{#var:LDAP-Filter--desc}}
| {{b|LDAP-Filter:}} || {{ic| <nowiki>(|(sAMAccountType=268435456)(sAMAccountType=268435457)(sAMAccountType=805306368))</nowiki></code> }} || ''[https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-drsr/cc44dc4c-fb88-4ffb-9a29-148fb39002d4 sAMAccountType]=''{{#var:LDAP-Filter--desc}}
|-
|-
| {{ b | {{#var:User-Attribute| User-Attribute }}: }} || {{ ic| sAMAccountName}} || {{#var:User-Attribute--text| Es können Attribute definiert werden, unter denen die AD Verwaltung die Informationen zum Benutzer speichert und die dann von der UTM abgefragt werden können: }}
| {{b|{{#var:User-Attribute}}: }} || {{ic|sAMAccountName}} || {{#var:User-Attribute--text}}
|-
|-
| {{ b | {{#var:Mail-Attribute| Mail-Attribute }}: }} || {{ic| {{ cb| proxyAddresses}} |cb}} ||
| {{b| {{#var:Mail-Attribute}}: }} || {{ic| {{cb|proxyAddresses}} |cb}} ||
|-
|-
| class="Leerzeile" colspan="3" | <br>{{#var:Mail-Attribute--text| Die Attribute von OTP bis SSL-VPN, die hier eingetragen sind, existieren in der Regel nicht im AD.<br>
| class="Leerzeile" colspan="3" | <br>{{#var:Mail-Attribute--text}}
Um zum Beispiel den OTP-Geheimcode auf dem AD zu hinterlegen, kann ein ungenutztes Attribut des AD Schema verwendet werden, der diesen Geheimcode des Benutzers enthält.<br>
Eine entsprechende Anleitung befindet sich hinter folgenden Link zum [[OTP_mit_AD_V11.5 | Einbinden der OTP Funktion in das Active Directory]]. }}
|-
|-
| {{ b | OTP-Attribute: }} || {{ ic | sPOTPSecret }} ||
| {{b|OTP-Attribute:}} || {{ic|sPOTPSecret}} ||
|-
|-
| {{ b | L2TP-Attribute: }} || {{ ic | sPL2TPAddress }} ||
| {{b|L2TP-Attribute:}} || {{ic|sPL2TPAddress}} ||
|-
|-
| {{ b | SSL-VPN-Attribute (IPv4): }} || {{ ic | sPOVPNAddress }} ||
| {{b|SSL-VPN-Attribute (IPv4):}} || {{ic|sPOVPNAddress}} ||
|-
|-
| {{ b | SSL-VPN-Attribute (IPv6): }} || {{ ic | sPOVPNIP6Address }} ||
| {{b|SSL-VPN-Attribute (IPv6):}} || {{ic|sPOVPNIP6Address}} ||
|-
|-
| {{ b | SSL-Bump-Attribute: }} || {{ ic | sPSSLBumpMode }} ||
| {{b|SSL-Bump-Attribute:}} || {{ic|sPSSLBumpMode}} ||
|-
|-
| {{ b | Cert-Attribute: }} || {{ ic | sPCertificate }} ||
| {{b|Cert-Attribute:}} || {{ic| sPCertificate}} ||
|-
|-
| {{ b | Page Size: }} || {{ ic | 500 &emsp;&emsp;|c}} || colspan="2" | {{#var:page-size--desc| In größeren Umgebungen kann es vorkommen, dass bei LDAP-Anfragen die serverseitig festgelegte, maximale Anzahl von Datensätzen (im AD sind es 1000) überschritten wird. Mit Page Size kann eingestellt werden das die LDAP-Abfrage stückweise ausgeführt wird. Eine Page Size von 500 bedeutet 500 Datensätze pro Abfrage. Die Page Size von 0 deaktiviert eine schrittweise LDAP-Abfrage. }}
| {{b|Page Size:}} || {{ic|500 &emsp;&emsp;|c}} || colspan="2" | {{#var:page-size--desc}}
|}
|}
<br>
 
----
----
<br>
 
=== {{#var:ad-benutzergruppen-berechtigungen| AD Benutzergruppen Berechtigungen erteilen }} ===
=== {{#var:ad-benutzergruppen-berechtigungen}} ===
{{ pt3 | {{#var:ad-benutzergruppen-berechtigungen--bild| UTM_11-8_Authentifizierung_Benutzer_Gruppe-CLientlessvpn.png }} | {{#var:ad-benutzergruppen-berechtigungen--bild--cap| Gruppen Berechtigungen }} }}
{{pt3| {{#var:ad-benutzergruppen-berechtigungen--bild}} |{{#var:ad-benutzergruppen-berechtigungen--bild--cap}} }}
{{#var:ad-benutzergruppen-berechtigungen--desc| Um den Benutzern aus dem Active Directory die Berechtigungen für den Zugriff auf das User-Interface der UTM und der Nutzung des Clientless VPN zu erteilen, wird im Menü {{ Menu | Authentifizierung | Benutzer | Gruppen | Gruppe hinzufügen |+}} eine Gruppe mit eben diesen Berechtigungen angelegt. }}
<div class="Einrücken">
{| class="sptable2 pd5"
{{#var:ad-benutzergruppen-berechtigungen--desc}}
! {{#var:Aktiv| Aktiv }} !! {{#var:Berechtigung| Berechtigung }} !! {{#var:Hinweis| Hinweis }}
</div>
 
{| class="sptable2 pd5 Einrücken"
! {{#var:Aktiv}} !! {{#var:Berechtigung}} !! {{#var:Hinweis}}
|-
|-
| {{ButtonAn| {{#var:ein|Ein}} }} || {{ic| Userinterface}} ||
| {{ButtonAn|{{#var:ein}} }} || {{ic|Userinterface}} ||
|-
|-
| {{ButtonAn| {{#var:ein|Ein}} }} || {{ic| Clientless VPN }} || Gewünschte Berechtigung
| {{ButtonAn|{{#var:ein}} }} || {{ic|Clientless VPN}} || Gewünschte Berechtigung
|}
|}


<br clear=all>
<br clear=all>


{{ pt3 | {{#var:benutzergruppe-auswählen| UTM_11-8_Authentifizierung_Gruppe-hinzufügen_Verzeichnisdienst.png }} | {{#var:benutzergruppe-auswählen--cap| Benutzergruppe aus AD auswählen }} }}
{{pt3| {{#var:benutzergruppe-auswählen}} |{{#var:benutzergruppe-auswählen--cap}} }}
{{#var:benutzergruppe-auswählen--text| Im Reiter {{ Reiter | Verzeichnis Dienst}} kann jetzt die entsprechende Gruppe aus dem Active Directory ausgewählt und zugeordnet werden.
<div class="Einrücken">
 
{{#var:benutzergruppe-auswählen--text}}
<p>Weitere Informationen über Clientless VPN Berechtigungen befindet sich in dem Wiki zu [[ClientlessVPN-v11#Zuweisen_der_Gruppe | Clientless VPN]].</p> }}
<br clear=all></div>
----
----
=== {{#var:Ergebnis| Ergebnis }} ===
<p>{{#var:Ergebnis--text| Nach dem Speichern kann sich jeder Benutzer, der Mitglied in der AD Gruppe ''ClientlessVPN'' ist, mit seinen Windows Domänen Zugangsdaten für die Nutzung des Clientless VPN auf der UTM anmleden. }}</p>


<br clear=all>
=== {{#var:Ergebnis}} ===
<div class="Einrücken">
<p>{{#var:Ergebnis--text}}</p>
<br clear=all></div>
----
----
=== {{#var:ad-test-cli| Überprüfen der AD Anbindung mit CLI }} ===
{{#var:ad-test-cli--text| Über CLI (Command Line Interface) Kommandos lässt sich verschiedenes über die Active Directory Anbindung und Benutzer überprüfen.
{{ Hinweis | Hinweis:}} Erfolgt die Eingabe (Bildschirm und Tastatur) direkt an der UTM  lautet der Eingabe-Prompt der Firewall z. B.: ''firewall.foo.local>'' bzw. entprechend der lokalen Konfiguration. Bei Aufruf über das User-Interface mit dem Menü {{ Menu | Extras | CLI }} lautet der Prompt ''CLI>''
Dahinter befindet sich das CLI Kommando.<br>
Bei den Zeilen darunter handelt es sich um die Ausgabe der UTM zu diesem Befehl. }}


==== {{#var:ad-beitreten| Beitreten und Verlassen der Domäne }} ====
=== {{#var:ad-test-cli}} ===
<div class="Einrücken">
{{#var:ad-test-cli--text}}
<br clear=all></div>


{{#var:ad-beitreten--text| Um zu überprüfen ob die UTM schon der Domäne beigetreten ist: }}
==== {{#var:ad-beitreten}} ====
<div class="Einrücken">
{{#var:ad-beitreten--text}}
  cli> '''system activedirectory testjoin'''
  cli> '''system activedirectory testjoin'''
  Join is OK
  Join is OK
  cli>
  cli>


{{#var:ad-beitreten--text--alternativ| Sollte das nicht der Fall sein, erfolgt die Ausgabe }}
{{#var:ad-beitreten--text--alternativ}}
 
  cli> '''system activedirectory testjoin'''
  cli> '''system activedirectory testjoin'''
  Not joined
  Not joined
  cli>
  cli>


{{#var:ad-beitreten--alternativ--comand| In diesem Fall kann der Domäne mit dem folgenden Kommando beigetreten werden }}
{{#var:ad-beitreten--alternativ--comand}}
  cli> '''system activedirectory join password Beispiel-Admin-Passwort'''
  cli> '''system activedirectory join password Beispiel-Admin-Passwort'''
  Password for Administrator@TTT-POINT.LOCAL:  
  Password for Administrator@TTT-POINT.LOCAL:  
Zeile 206: Zeile 221:
  cli>
  cli>


{{#var:ad-beitreten--command-verlassen| Das Kommando um die Domäne zu verlassen lautet }}
{{#var:ad-beitreten--command-verlassen}}
  cli> '''system activedirectory leave password Beispiel-Admin-Passwort'''
  cli> '''system activedirectory leave password Beispiel-Admin-Passwort'''
  Enter Administrator's password:
  Enter Administrator's password:
Zeile 212: Zeile 227:
  cli>
  cli>


{{#var:ad-beitreten--passwort| Beim Beitreten bzw. Verlassen des Active Directories ist die Angabe des Administratorpasswortes notwendig. Das Passwort wird nicht gespeichert, die AD-Zugehörigkeit ist trotzdem Reboot fest. }}
{{#var:ad-beitreten--passwort}}
<br clear=all></div>


==== {{#var:ad-zeigen| AD Gruppen anzeigen }} ====
==== {{#var:ad-zeigen}} ====
{{#var:ad-zeigen--text| Mit dem folgenden Kommando können die Gruppen im Active Directory aufgelistet werden: }}
<div class="Einrücken">
{{#var:ad-zeigen--text}}
  cli> '''system activedirectory lsgroups'''
  cli> '''system activedirectory lsgroups'''
  member
  member
Zeile 233: Zeile 250:
  Windows-Autorisierungszugriffsgruppe
  Windows-Autorisierungszugriffsgruppe
  cli>
  cli>
<br clear=all></div>


==== {{#var:ad-zugehörigkeit| Überprüfen der Benutzer und Gruppenzugehörigkeit }} ====
==== {{#var:ad-zugehörigkeit}} ====
{{#var:ad-zugehörigkeit--text| Das folgende Kommando überprüft, ob ein ''AD-Benutzer'' einer ''UTM Gruppe'' zugeordnet ist: }}
<div class="Einrücken">
{{#var:ad-zugehörigkeit--text}}
  cli> '''user check name "m.meier" groups grp_ClientlessVPN'''
  cli> '''user check name "m.meier" groups grp_ClientlessVPN'''
  matched
  matched
  cli>
  cli>


{{#var:ad-zugehörigkeit--no-member| Sollte das nicht der Fall sein erfolgt die Ausgabe }}
{{#var:ad-zugehörigkeit--no-member}}
  not a member
  not a member
  cli>
  cli>


{{#var:ad-zugehörigkeit--gruppe| Befehl, um zu einem AD-Benutzer die Gruppenzugehörigkeit und Berechtigungen auszugegeben: }}
{{#var:ad-zugehörigkeit--gruppe}}
  cli> '''user get name m.meier'''
  cli> '''user get name m.meier'''
  name  |groups          |permission
  name  |groups          |permission
Zeile 250: Zeile 269:
  m.meier|grp_ClientlessVPN|WEB_USER,VPN_CLIENTLESS
  m.meier|grp_ClientlessVPN|WEB_USER,VPN_CLIENTLESS
  cli>
  cli>
<br clear=all></div>


==== {{#var:dc-hinters2s| Domain-Controller hinter Site-to-Site-VPN }} ====
==== {{#var:dc-hinters2s}} ====
{{#var:dc-hinters2s--text| In manchen Szenarien befindet sich der Domain-Controller hinter einem Site-to-Site-VPN-Tunnel. Ist dies der Fall, muss eine entsprechende Zone und eine Regel konfiguriert werden. }} <br>
<div class="Einrücken">
{{#var:dc-hinters2s--text}} <br>
[http://wiki.securepoint.de/index.php/UTM/VPN/DNS_Relay#DNS_Relay_f.C3.BCr_einen_IPSec_Site-to-Site_Tunnel DNS-Relay bei IPSec-S2S]<br>
[http://wiki.securepoint.de/index.php/UTM/VPN/DNS_Relay#DNS_Relay_f.C3.BCr_einen_IPSec_Site-to-Site_Tunnel DNS-Relay bei IPSec-S2S]<br>
[http://wiki.securepoint.de/index.php/UTM/VPN/DNS_Relay#DNS_Relay_f.C3.BCr_einen_OpenVPN_Site-to-Site_Tunnel DNS-Relay bei SSL-S2S]<br>
[http://wiki.securepoint.de/index.php/UTM/VPN/DNS_Relay#DNS_Relay_f.C3.BCr_einen_OpenVPN_Site-to-Site_Tunnel DNS-Relay bei SSL-S2S]<br>
{{ Hinweis | !! {{#var:dc-hinters2s--hinweis| Achtung: Für einen Beitritt in ein Active-Directory, das sich hinter einem VPN-Tunnel befindet, werden in der NAT-Regel Richtung Domain-Controller neben den DNS-Ports natürlich noch die LDAP-Ports benötigt. }}| gelb |c=graul}}
{{Hinweis-neu|!! {{#var:dc-hinters2s--hinweis}}|g|c=graul}}
<br clear=all></div>
 
----
----

Version vom 31. Januar 2023, 13:06 Uhr





























De.png
En.png
Fr.png








Anbindung einer UTM an ein AD/LDAP
Letzte Anpassung zur Version: 11.8.10
Neu:
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview

11.5 11.7 11.8

Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115
→ Authentifizierung →AD/LDAP Authentifizierung


Einführung




Voraussetzung

Um ein AD / LDAP zur Authentisierung nutzen zu können, müssen dort Benutzer angelegt und in Gruppen organisiert sein.

Sicherheitsgruppe hinzufügen
Sicherheitsgruppe hinzugefügt

Die Berechtigungen zu den in der UTM enthaltenen Diensten können in Gruppen verwaltet werden. Die Benutzer, die diesen Gruppen zugeordnet werden sollen, müssen zunächst entsprechenden Benutzergruppen im AD zugeordnet werden.

In diesem Beispiel sollen die Benutzer für Clientless VPN über den Active Directory Service Authentifiziert werden.

Es muss also zunächst eine Gruppe vom Typ Sicherheitsgruppe auf dem AD hinzugefügt werden, die hier den Namen ClientlessVPN bekommt.


Benutzer im AD hinzufügen

Benutzer im AD hinzufügen
Benutzer ist Mitglied der Gruppe

Anschließend werden die Benutzer, die für Clientless VPN freigeschaltet werden sollen, zu dieser Gruppe hinzugefügt.





Schritt 1: Verzeichnistyp
UTM 12.6 Authentifizierung AD-LDAP-Authentifizierung Assistent Schritt1.png
Schritt 1
Beschriftung Wert Beschreibung
Verzeichnistyp: AD - Active Directory

  • Weiter
    Schritt 2: Einstellungen
    UTM 12.6 Authentifizierung AD-LDAP-Authentifizierung Assistent Schritt2.png
    Schritt 2
    »192.168.145.1
    Domain: ttt-point.local Domainname
    Arbeitsgruppe ttt-point
    Appliance Account: sp-utml
    Weiter
    Schritt 3: Nameserver
    UTM 12.6 Authentifizierung AD-LDAP-Authentifizierung Assistent Schritt3.png
    Schritt 3: Nameserver
    Ist der AD-Server noch nicht als Name-Server eingetragen, wird das in diesem Schritt vorgenommen: + Server hinzufügen
    || 192.168.145.1 ||

    Speichern

    Weiter
    Schritt 4: Beitreten
    UTM 12.6 Authentifizierung AD-LDAP-Authentifizierung Assistent Schritt4.png
    Administratorname Administrator
    Passwort ••••••••
    separat eingegeben werden.

    Bis auf den Appliance Account: (siehe Schritt 2) werden alle anderen Angaben im Cluster synchronisiert.
    Abschluss mit Beitreten

    UTM 12.6 Authentifizierung AD-LDAP-Authentifizierung.png
    Ergebnis im Abschnitt
    Status
    :
    Aktiviert: Ein Die AD/LDAP Authentifizierung ist aktiviert.
    Verbindungsstatus: Zur Bestätigung wechselt die Anzeige von grau auf grün.
    Aktualisieren mit

    Erweiterte Einstellungen

    Erweitert
    SSL: Aus Die Verbindung zum Active Directory Server kann SSL-Verschlüsselt hergestellt werden. UTM v12.6 Authentifizierung AD-LDAP-Authentifizierung Erweitert.png
    Erweiterte Einstellungen
    Hinweis zur LDAP-Verschlüsselung:

    ab 11.8.8
    • bestehende und neue Verbindungen werden separat verschlüsselt und signiert (seal)
    • bei Aktivierung von SSL wird keine zusätzliche Verschlüsselung angewendet.
    Root-Zertifikat: Zertifikat Es kann ein Root-Zertifikat hinterlegt werden.
    LDAP-Filter: (|(sAMAccountType=268435456)(sAMAccountType=268435457)(sAMAccountType=805306368)) sAMAccountType=Schränkt die Authentisierung auf Mitglieder der folgenden Gruppen ein:
    Weitere Filter sind möglich
    • 268435456 (→ Gruppen, SAM_ALIAS_OBJECT 0x20000000)
    • 268435457 (→ Nicht Sicherheits-Gruppen, SAM_NON_SECURITY_ALIAS_OBJECT 0x20000001)
    • 805306368 (→ Benutzer Konten, SAM_USER_OBJECT 0x30000000)
    || sAMAccountName || Es können Attribute definiert werden, unter denen die AD Verwaltung die Informationen zum Benutzer speichert und die dann von der UTM abgefragt werden können:
    || »proxyAddresses ||

    Die Attribute von OTP bis Cert-Attribute, die hier eingetragen sind, existieren in der Regel nicht im AD.
    Um zum Beispiel den OTP-Geheimcode auf dem AD zu hinterlegen, kann ein ungenutztes Attribut des AD Schemas verwendet werden, der diesen Geheimcode des Benutzers enthält.
    Eine entsprechende Anleitung befindet sich im Artikel Einbinden der OTP Funktion in das Active Directory.
    OTP-Attribute: sPOTPSecret
    L2TP-Attribute: sPL2TPAddress
    SSL-VPN-Attribute (IPv4): sPOVPNAddress
    SSL-VPN-Attribute (IPv6): sPOVPNIP6Address
    SSL-Bump-Attribute: sPSSLBumpMode
    Cert-Attribute: sPCertificate
    Page Size: 500   Link= In größeren Umgebungen kann es vorkommen, dass bei LDAP-Anfragen die serverseitig festgelegte, maximale Anzahl von Datensätzen (im AD sind es 1000) überschritten wird.
    Mit Page Size kann eingestellt werden das die LDAP-Abfrage stückweise ausgeführt wird.
    Eine Page Size von 500 bedeutet 500 Datensätze pro Abfrage. Die Page Size von 0 deaktiviert eine schrittweise LDAP-Abfrage.

    Gruppen Berechtigungen
    Um den Benutzern aus dem Active Directory die Berechtigungen für den Zugriff auf das User-Interface der UTM und der Nutzung des Clientless VPN zu erteilen, wird im Menü Authentifizierung Benutzer Bereich
    Gruppen
    Schaltfläche Gruppe hinzufügen eine Gruppe mit eben diesen Berechtigungen angelegt.
    Aktiv Berechtigung Hinweis
    Ein Userinterface
    Ein Clientless VPN Gewünschte Berechtigung


    Benutzergruppe aus AD auswählen
    Im Bereich
    Verzeichnis Dienst
    kann jetzt die entsprechende Gruppe aus dem Active Directory ausgewählt und zugeordnet werden.
    Weitere Informationen über Clientless VPN Berechtigungen befindet sich in dem Wiki zu Clientless VPN.

    Ergebnis




    Beitreten und Verlassen der Domäne

    Um zu überprüfen ob die UTM schon der Domäne beigetreten ist:

    cli> system activedirectory testjoin
    Join is OK
    cli>
    

    Sollte das nicht der Fall sein, erfolgt die Ausgabe

    cli> system activedirectory testjoin
    Not joined
    cli>
    

    In diesem Fall kann der Domäne mit dem folgenden Kommando beigetreten werden

    cli> system activedirectory join password Beispiel-Admin-Passwort
    Password for Administrator@TTT-POINT.LOCAL: 
    Processing principals to add...
    Enter Administrator's password:
    Using short domain name -- TTT-POINT
    Joined 'SP-UTML' to dns domain 'ttt-point.local'
    cli>
    

    Das Kommando um die Domäne zu verlassen lautet

    cli> system activedirectory leave password Beispiel-Admin-Passwort
    Enter Administrator's password:
    Deleted account for 'SP-UTML' in realm 'TTT-POINT.LOCAL'
    cli>
    

    Beim Beitreten bzw. Verlassen des Active Directories ist die Angabe des Administratorpasswortes notwendig. Das Passwort wird nicht gespeichert, die AD-Zugehörigkeit ist trotzdem Reboot fest.


    cli> system activedirectory lsgroups
    member
    ------
    Abgelehnte RODC-Kennwortreplikationsgruppe
    Administratoren
    Benutzer
    Builtin
    ClientlessVPN
    Discovery Management
    Domänen-Admins
    Domänen-Benutzer
    Domänen-Gäste
    Exchange Servers
    ...
    Users 
    Windows-Autorisierungszugriffsgruppe
    cli>
    

    Überprüfen der Benutzer und Gruppenzugehörigkeit

    Das folgende Kommando überprüft, ob ein AD-Benutzer einer UTM Gruppe zugeordnet ist:

    cli> user check name "m.meier" groups grp_ClientlessVPN
    matched
    cli>
    

    Sollte das nicht der Fall sein erfolgt die Ausgabe

    not a member
    cli>
    

    Befehl, um zu einem AD-Benutzer die Gruppenzugehörigkeit und Berechtigungen aus zugegeben:

    cli> user get name m.meier
    name   |groups           |permission
    -------+-----------------+----------
    m.meier|grp_ClientlessVPN|WEB_USER,VPN_CLIENTLESS
    cli>
    

    Domain-Controller hinter Site-to-Site-VPN

    In manchen Szenarien befindet sich der Domain-Controller hinter einem Site-to-Site-VPN-Tunnel.
    Ist dies der Fall, muss eine entsprechende Zone und eine Regel konfiguriert werden.
    DNS-Relay bei IPSec-S2S
    DNS-Relay bei SSL-S2S

    Achtung: Für einen Beitritt in ein Active-Directory, das sich hinter einem VPN-Tunnel befindet, werden in der NAT-Regel Richtung Domain-Controller neben den DNS-Ports die LDAP-Ports benötigt.