KKeine Bearbeitungszusammenfassung |
KKeine Bearbeitungszusammenfassung |
||
Zeile 1: | Zeile 1: | ||
{{Set_lang}} | {{Set_lang}} | ||
{{#vardefine:headerIcon|spicon-utm}} | {{#vardefine:headerIcon|spicon-utm}} | ||
{{:UTM/AUTH/AD Anbindung.lang}} | {{:UTM/AUTH/AD Anbindung.lang}} | ||
</div> {{Select_lang}} {{TOC2}} | |||
</div>{{Select_lang}}{{TOC2}} | |||
{{Header|11.8.10| | {{Header|11.8.10| | ||
* {{#var:neu--alle-dcs}} | * {{#var:neu--alle-dcs}} | ||
* {{#var:neu--ldap | * {{#var:neu--ldap}} | ||
* {{#var:neu--menu | * {{#var:neu--menu}} | ||
* {{#var:neu--appliance-account | * {{#var:neu--appliance-account}} | ||
|[[UTM/AUTH/AD_Anbindung-v11.4 |'''11.5''']] | |[[UTM/AUTH/AD_Anbindung-v11.4 |'''11.5''']] | ||
[[UTM/AUTH/AD_Anbindung_11.7 | '''11.7''']] | [[UTM/AUTH/AD_Anbindung_11.7 |'''11.7''']] | ||
[[UTM/AUTH/AD_Anbindung_11.8 | '''11.8''']] | [[UTM/AUTH/AD_Anbindung_11.8 |'''11.8''']] | ||
|{{Menu|{{#var:Authentifizierung}}|{{#var:AD/LDAP Authentifizierung}} }} | |{{Menu|{{#var:Authentifizierung}}|{{#var:AD/LDAP Authentifizierung}} }} | ||
}} | }} | ||
---- | |||
=== {{#var:Einführung}} === | === {{#var:Einführung}} === | ||
< | <div class="Einrücken"> | ||
{{#var:ladap--desc}} | |||
{{#var:neu--alle-dcs--desc}} | {{#var:neu--alle-dcs--desc}} | ||
<br clear=all> | <br clear=all></div> | ||
---- | ---- | ||
=== {{#var:Voraussetzung}} === | === {{#var:Voraussetzung}} === | ||
<div class="Einrücken"> | |||
{{#var:Voraussetzung--desc}} | {{#var:Voraussetzung--desc}} | ||
{{Einblenden3 | {{#var:vorbereitung-ad | {{Einblenden3| {{#var:vorbereitung-ad}} |{{#var:hide}}|true|dezent}} | ||
< | ==== {{#var:add-usergroup}} ==== | ||
{{pt3| WIN2012_AD_Sgrpcvpn1.png | {{#var:security-groups--ad}} }} | |||
{{pt3| WIN2012 AD Sgrpcvpn2.png | {{#var:security-groups--added}} }} | |||
<div class="Einrücken"> | |||
{{#var:groups--permissions}} | |||
{{#var:user-groups--added--text}} | |||
<br clear=all></div> | |||
< | ==== {{#var:Benutzer hinzufügen}} ==== | ||
{{pt3| WIN2012_AD_EgrpM.png | {{#var:Benutzer hinzufügen}} }} | |||
{{pt3| WIN2012_AD_EuserMv.png | {{#var:Benutzer-ist-mitglied}} }} | |||
<div class="Einrücken"> | |||
{{#var:Benutzer hinzufügen--desc}} | |||
<br clear=all></div> | |||
</div></div></div> | |||
---- | |||
=== {{#var:utm-in-domäne}} === | |||
<div class="Einrücken"> | |||
{{ | <p>{{Hinweis-neu|!|g}} {{#var:utm-in-domäne--uhrzeit}}</p> | ||
<p>{{#var:utm-in-domäne--authentifizierung}}</p> | |||
</div><br clear=all> | |||
</ | |||
<p> | |||
<p>{{#var: | ==== {{#var:ad-verbindung}} ==== | ||
<div class="Einrücken"> | |||
<p>{{#var:ad-verbindung--text}}</p> | |||
<p>{{#var:ad-verbindung--assistent}}</p> | |||
</div><br clear=all> | |||
==== {{#var: | {| class="sptable2 pd5 zh1 Einrücken" | ||
|- class="Leerzeile" | |||
| colspan="3" | | |||
===== {{#var:Schritt}} 1: {{#var:Verzeichnistyp}} ===== | |||
! {{#var:cap | | class="Bild" rowspan="5" | {{Bild| {{#var:schritt-1--bild}} |{{#var:Schritt}} 1}} | ||
|- class="Leerzeile" | |||
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | |||
|- | |- | ||
| | | {{b|{{#var:Verzeichnistyp}}: }} || {{Button| AD - Active Directory|dr}} || <li class="UTM list--element__alert list--element__hint em2">{{Hinweis-neu| {{#var:ad-hinweis}}|g|c=graul }}<br> {{#var:ad-hinweis--erklärung}} | ||
|- class="Leerzeile" | |||
| {{Button|{{#var:Weiter}} }} | |||
{{#var:ad-hinweis--erklärung | |||
| | |||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| | | | ||
|- class="Leerzeile" | |||
| colspan="3" | | |||
===== {{#var:Schritt}} 2: {{#var:Einstellungen}} ===== | |||
| class="Bild" rowspan="7" | {{Bild| {{#var:schritt-2--bild}} |{{#var:Schritt}} 2}} | |||
|- | |- | ||
| | | {{b|{{#var:ip}} }} || {{cb|192.168.145.1}} || {{#var:beispiel-adrresse}} | ||
|- | |- | ||
| {{ b | | | {{b|Domain:}} || {{ic|ttt-point.local}} || Domainname | ||
|- | |- | ||
| {{ b | | | {{b|{{#var:Arbeitsgruppe}} }} || {{ic|ttt-point}} || {{#var:netbios-name}} | ||
|- | |- | ||
| {{b|Appliance Account:}} || {{ic|sp-utml}} || {{#var:appliance-account--text}}<br> {{Hinweis-neu|!|g}} {{#var:appliance-account--text--cluster-hinweis}} | |||
|- class="Leerzeile" | |||
| {{ b | Appliance Account:}} || {{ic| sp-utml }} || {{#var:appliance-account--text | | {{Button|{{#var:Weiter}} }} | ||
{{Hinweis|!|g}} {{#var:appliance-account--text--cluster-hinweis | |- class="Leerzeile" | ||
|- | | | ||
|- class="noborder" | |||
|- | | colspan="3" | | ||
| class=" | |||
===== {{#var:Schritt}} 3: Nameserver ===== | ===== {{#var:Schritt}} 3: Nameserver ===== | ||
{{#var:schritt-3-- | | class="Bild" rowspan="6" | {{Bild| {{#var:schritt-3--bild}} |{{#var:Schritt}} 3: Nameserver}} | ||
{{ Button | {{#var:add-server | |- class="noborder" | ||
| colspan="3" | {{#var:schritt-3--text}}<br> {{Button|{{#var:add-server}}|+}} | |||
|- | |- | ||
| {{ b | | | {{b|{{#var:ip-adresse}}: }} || {{ic|192.168.145.1}} ||{{Hinweis-neu|!|g}} {{#var:Beispieladresse}} <br>{{#var:ip-adresse--text}} | ||
|- | |- | ||
| {{ Button | {{#var: | | {{Button|{{#var:Speichern}} }} || colspan="2" | <p>{{#var:ad-server}} </p> | ||
|- | |- class="Leerzeile" | ||
| {{Button|{{#var:Weiter}} }} | |||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| | | | ||
|- class="Leerzeile" | |||
| colspan="3" | | |||
===== {{#var:Schritt}} 4: {{#var:Beitreten}} ===== | |||
| class="Bild" rowspan="5" | {{Bild| {{#var:schritt-4--bild}} }} | |||
|- | |- | ||
| | | {{b|{{#var:Administratorname}} }} || {{ic|Administrator}} || {{Hinweis-neu|!|g}} {{#var:Administratorname--hinweis}} | ||
|- | |- | ||
| {{ b | {{#var: | | {{b|{{#var:Passwort}} }} || {{ic| <nowiki>••••••••</nowiki> }} || {{einblenden3| {{#var:hinweis--cluster}} | {{#var:ausblenden}} |true|dezent|icon={{spc|io|o|-|c=g}} }} {{#var:hinweis--cluster--text}} separat eingegeben werden. </p><small>Bis auf den {{b|Appliance Account:}} (siehe Schritt 2) werden alle anderen Angaben im Cluster synchronisiert.</small> <br>Abschluss mit {{Button|Beitreten}}</div> | ||
|- class="Leerzeile" | |||
| {{Button|{{#var:fertig}} }} | |||
|- | |||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| | | | ||
|- class="noborder" | |||
| colspan="3" | | |||
==== {{#var:ergebnis-ad}} ==== | |||
| class="Bild" rowspan="5" | {{Bild|{{#var:ergebnis--bild}} }} | |||
|- class="noborder" | |||
| colspan="3" | {{#var:ergebnis-ad--text| Ergebnis im Abschnitt {{Kasten|Status}}: }} | |||
|- | |- | ||
| {{b|{{#var:aktiviert}}: }} || {{ButtonAn|{{#var:ein}} }} || {{#var:ad-aktiviert--text}} | |||
| {{ b | {{#var:aktiviert | |||
|- | |- | ||
| {{ b | {{#var:Verbindungsstatus | | {{b|{{#var:Verbindungsstatus}} }} || {{#if:|| <small><font color=green>⬤</font></small>}} || {{#var:Verbindungsstatus--text}} | ||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| | | | ||
|- class="Leerzeile" | |||
| colspan="3" | | |||
{{h4| {{#var:Erweiterte-Einstellungen}} | {{Reiter|{{#var:Erweitert}} }} }} | |||
|- | |- | ||
| {{b|SSL:}} || {{ButtonAus|{{#var:aus}} }} || {{#var:ssl--text}} | |||
| class="Bild" rowspan="13" | {{Bild| {{#var:erweitert--bild}} |{{#var:Erweiterte-Einstellungen}} }} | |||
| {{ b | SSL:}} || {{ ButtonAus|{{#var:aus}} }} || {{#var:ssl--text | |||
|- | |- | ||
| colspan="3" | <span id="LDAP"></span>{{Hinweis| ! {{#var:ldap--hinweis | | colspan="3" | <span id="LDAP"></span>{{Hinweis-neu|! {{#var:ldap--hinweis}}: |g|c=graul}}{{#var:ldap--hinweis--text}}<br> | ||
{{Hinweis| {{#var:ab| ab }} 11.8.8|11.8.8|gr}} {{#var:ldap-verschlüsselung--automatisch | {{Hinweis-neu| {{#var:ab| ab }} 11.8.8|11.8.8|gr}} {{#var:ldap-verschlüsselung--automatisch}} {{Hinweis-neu|§ {{#var:ldap-verschlüsselung--automatisch--hinweis}} |11.8.8}} | ||
* {{#var:ldap-verschlüsselung--automatisch--separat | * {{#var:ldap-verschlüsselung--automatisch--separat}} | ||
* {{#var:ldap-verschlüsselung--automatisch--ssl | * {{#var:ldap-verschlüsselung--automatisch--ssl}} | ||
|- | |- | ||
| {{ b | {{#var: | | {{b|{{#var:Root-Zertifikat}}: }} || {{Button|{{#var:Zertifikat}} |dr}} || {{#var:Zertifikat--text}} | ||
|- | |- | ||
| {{ b | LDAP-Filter: }} || {{ic| <nowiki>(|(sAMAccountType=268435456)(sAMAccountType=268435457)(sAMAccountType=805306368))</nowiki></code> }} || ''[https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-drsr/cc44dc4c-fb88-4ffb-9a29-148fb39002d4 sAMAccountType]=''{{#var:LDAP-Filter--desc}} | | {{b|LDAP-Filter:}} || {{ic| <nowiki>(|(sAMAccountType=268435456)(sAMAccountType=268435457)(sAMAccountType=805306368))</nowiki></code> }} || ''[https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-drsr/cc44dc4c-fb88-4ffb-9a29-148fb39002d4 sAMAccountType]=''{{#var:LDAP-Filter--desc}} | ||
|- | |- | ||
| {{ b | {{#var: | | {{b|{{#var:User-Attribute}}: }} || {{ic|sAMAccountName}} || {{#var:User-Attribute--text}} | ||
|- | |- | ||
| {{ b | {{#var: | | {{b| {{#var:Mail-Attribute}}: }} || {{ic| {{cb|proxyAddresses}} |cb}} || | ||
|- | |- | ||
| class="Leerzeile" colspan="3" | <br>{{#var:Mail-Attribute--text | | class="Leerzeile" colspan="3" | <br>{{#var:Mail-Attribute--text}} | ||
|- | |- | ||
| {{ b | OTP-Attribute: }} || {{ ic | sPOTPSecret }} || | | {{b|OTP-Attribute:}} || {{ic|sPOTPSecret}} || | ||
|- | |- | ||
| {{ b | L2TP-Attribute: }} || {{ ic | sPL2TPAddress }} || | | {{b|L2TP-Attribute:}} || {{ic|sPL2TPAddress}} || | ||
|- | |- | ||
| {{ b | SSL-VPN-Attribute (IPv4): }} || {{ ic | sPOVPNAddress }} || | | {{b|SSL-VPN-Attribute (IPv4):}} || {{ic|sPOVPNAddress}} || | ||
|- | |- | ||
| {{ b | SSL-VPN-Attribute (IPv6): }} || {{ ic | sPOVPNIP6Address }} || | | {{b|SSL-VPN-Attribute (IPv6):}} || {{ic|sPOVPNIP6Address}} || | ||
|- | |- | ||
| {{ b | SSL-Bump-Attribute: }} || {{ ic | sPSSLBumpMode }} || | | {{b|SSL-Bump-Attribute:}} || {{ic|sPSSLBumpMode}} || | ||
|- | |- | ||
| {{ b | Cert-Attribute: }} || {{ ic | sPCertificate }} || | | {{b|Cert-Attribute:}} || {{ic| sPCertificate}} || | ||
|- | |- | ||
| {{ b | Page Size: }} || {{ ic | 500   |c}} || colspan="2" | {{#var:page-size--desc | | {{b|Page Size:}} || {{ic|500   |c}} || colspan="2" | {{#var:page-size--desc}} | ||
|} | |} | ||
---- | ---- | ||
=== {{#var:ad-benutzergruppen-berechtigungen | === {{#var:ad-benutzergruppen-berechtigungen}} === | ||
{{ pt3 | {{#var:ad-benutzergruppen-berechtigungen--bild | {{pt3| {{#var:ad-benutzergruppen-berechtigungen--bild}} |{{#var:ad-benutzergruppen-berechtigungen--bild--cap}} }} | ||
{{#var:ad-benutzergruppen-berechtigungen--desc | <div class="Einrücken"> | ||
{| class="sptable2 pd5" | {{#var:ad-benutzergruppen-berechtigungen--desc}} | ||
! {{#var: | </div> | ||
{| class="sptable2 pd5 Einrücken" | |||
! {{#var:Aktiv}} !! {{#var:Berechtigung}} !! {{#var:Hinweis}} | |||
|- | |- | ||
| {{ButtonAn| {{#var:ein | | {{ButtonAn|{{#var:ein}} }} || {{ic|Userinterface}} || | ||
|- | |- | ||
| {{ButtonAn| {{#var:ein | | {{ButtonAn|{{#var:ein}} }} || {{ic|Clientless VPN}} || Gewünschte Berechtigung | ||
|} | |} | ||
<br clear=all> | <br clear=all> | ||
{{ pt3 | {{#var:benutzergruppe-auswählen | {{pt3| {{#var:benutzergruppe-auswählen}} |{{#var:benutzergruppe-auswählen--cap}} }} | ||
{{#var:benutzergruppe-auswählen--text | <div class="Einrücken"> | ||
{{#var:benutzergruppe-auswählen--text}} | |||
< | <br clear=all></div> | ||
---- | ---- | ||
<br clear=all> | === {{#var:Ergebnis}} === | ||
<div class="Einrücken"> | |||
<p>{{#var:Ergebnis--text}}</p> | |||
<br clear=all></div> | |||
---- | ---- | ||
=== {{#var:ad-test-cli}} === | |||
<div class="Einrücken"> | |||
{{#var:ad-test-cli--text}} | |||
<br clear=all></div> | |||
{{#var:ad-beitreten--text | ==== {{#var:ad-beitreten}} ==== | ||
<div class="Einrücken"> | |||
{{#var:ad-beitreten--text}} | |||
cli> '''system activedirectory testjoin''' | cli> '''system activedirectory testjoin''' | ||
Join is OK | Join is OK | ||
cli> | cli> | ||
{{#var:ad-beitreten--text--alternativ | {{#var:ad-beitreten--text--alternativ}} | ||
cli> '''system activedirectory testjoin''' | cli> '''system activedirectory testjoin''' | ||
Not joined | Not joined | ||
cli> | cli> | ||
{{#var:ad-beitreten--alternativ--comand | {{#var:ad-beitreten--alternativ--comand}} | ||
cli> '''system activedirectory join password Beispiel-Admin-Passwort''' | cli> '''system activedirectory join password Beispiel-Admin-Passwort''' | ||
Password for Administrator@TTT-POINT.LOCAL: | Password for Administrator@TTT-POINT.LOCAL: | ||
Zeile 206: | Zeile 221: | ||
cli> | cli> | ||
{{#var:ad-beitreten--command-verlassen | {{#var:ad-beitreten--command-verlassen}} | ||
cli> '''system activedirectory leave password Beispiel-Admin-Passwort''' | cli> '''system activedirectory leave password Beispiel-Admin-Passwort''' | ||
Enter Administrator's password: | Enter Administrator's password: | ||
Zeile 212: | Zeile 227: | ||
cli> | cli> | ||
{{#var:ad-beitreten--passwort | {{#var:ad-beitreten--passwort}} | ||
<br clear=all></div> | |||
==== {{#var:ad-zeigen | ==== {{#var:ad-zeigen}} ==== | ||
{{#var:ad-zeigen--text | <div class="Einrücken"> | ||
{{#var:ad-zeigen--text}} | |||
cli> '''system activedirectory lsgroups''' | cli> '''system activedirectory lsgroups''' | ||
member | member | ||
Zeile 233: | Zeile 250: | ||
Windows-Autorisierungszugriffsgruppe | Windows-Autorisierungszugriffsgruppe | ||
cli> | cli> | ||
<br clear=all></div> | |||
==== {{#var:ad-zugehörigkeit | ==== {{#var:ad-zugehörigkeit}} ==== | ||
{{#var:ad-zugehörigkeit--text | <div class="Einrücken"> | ||
{{#var:ad-zugehörigkeit--text}} | |||
cli> '''user check name "m.meier" groups grp_ClientlessVPN''' | cli> '''user check name "m.meier" groups grp_ClientlessVPN''' | ||
matched | matched | ||
cli> | cli> | ||
{{#var:ad-zugehörigkeit--no-member | {{#var:ad-zugehörigkeit--no-member}} | ||
not a member | not a member | ||
cli> | cli> | ||
{{#var:ad-zugehörigkeit--gruppe | {{#var:ad-zugehörigkeit--gruppe}} | ||
cli> '''user get name m.meier''' | cli> '''user get name m.meier''' | ||
name |groups |permission | name |groups |permission | ||
Zeile 250: | Zeile 269: | ||
m.meier|grp_ClientlessVPN|WEB_USER,VPN_CLIENTLESS | m.meier|grp_ClientlessVPN|WEB_USER,VPN_CLIENTLESS | ||
cli> | cli> | ||
<br clear=all></div> | |||
==== {{#var:dc-hinters2s | ==== {{#var:dc-hinters2s}} ==== | ||
{{#var:dc-hinters2s--text | <div class="Einrücken"> | ||
{{#var:dc-hinters2s--text}} <br> | |||
[http://wiki.securepoint.de/index.php/UTM/VPN/DNS_Relay#DNS_Relay_f.C3.BCr_einen_IPSec_Site-to-Site_Tunnel DNS-Relay bei IPSec-S2S]<br> | [http://wiki.securepoint.de/index.php/UTM/VPN/DNS_Relay#DNS_Relay_f.C3.BCr_einen_IPSec_Site-to-Site_Tunnel DNS-Relay bei IPSec-S2S]<br> | ||
[http://wiki.securepoint.de/index.php/UTM/VPN/DNS_Relay#DNS_Relay_f.C3.BCr_einen_OpenVPN_Site-to-Site_Tunnel DNS-Relay bei SSL-S2S]<br> | [http://wiki.securepoint.de/index.php/UTM/VPN/DNS_Relay#DNS_Relay_f.C3.BCr_einen_OpenVPN_Site-to-Site_Tunnel DNS-Relay bei SSL-S2S]<br> | ||
{{ Hinweis | !! {{#var:dc-hinters2s--hinweis | {{Hinweis-neu|!! {{#var:dc-hinters2s--hinweis}}|g|c=graul}} | ||
<br clear=all></div> | |||
---- | ---- |
Version vom 31. Januar 2023, 13:06 Uhr
Einführung
Voraussetzung
Um ein AD / LDAP zur Authentisierung nutzen zu können, müssen dort Benutzer angelegt und in Gruppen organisiert sein.
Die Berechtigungen zu den in der UTM enthaltenen Diensten können in Gruppen verwaltet werden. Die Benutzer, die diesen Gruppen zugeordnet werden sollen, müssen zunächst entsprechenden Benutzergruppen im AD zugeordnet werden.
In diesem Beispiel sollen die Benutzer für Clientless VPN über den Active Directory Service Authentifiziert werden.
Es muss also zunächst eine Gruppe vom Typ Sicherheitsgruppe auf dem AD hinzugefügt werden, die hier den Namen ClientlessVPN bekommt.
Benutzer im AD hinzufügen
Anschließend werden die Benutzer, die für Clientless VPN freigeschaltet werden sollen, zu dieser Gruppe hinzugefügt.
Schritt 1: Verzeichnistyp |
|||
Beschriftung | Wert | Beschreibung | |
---|---|---|---|
Verzeichnistyp: | |||
Schritt 2: Einstellungen |
|||
»192.168.145.1 | |||
Domain: | ttt-point.local | Domainname | |
Arbeitsgruppe | ttt-point | ||
Appliance Account: | sp-utml | ||
Schritt 3: Nameserver |
|||
Ist der AD-Server noch nicht als Name-Server eingetragen, wird das in diesem Schritt vorgenommen: | |||
| |||
| |||
Schritt 4: Beitreten |
|||
Administratorname | Administrator | | |
Passwort | •••••••• | separat eingegeben werden. Bis auf den Appliance Account: (siehe Schritt 2) werden alle anderen Angaben im Cluster synchronisiert.
Abschluss mit | |
|
|||
Ergebnis im Abschnitt Status :
| |||
Aktiviert: | Ein | Die AD/LDAP Authentifizierung ist aktiviert. | |
Verbindungsstatus: | ⬤ | Zur Bestätigung wechselt die Anzeige von grau auf grün. Aktualisieren mit | |
Erweiterte Einstellungen Erweitert
| |||
SSL: | Aus | Die Verbindung zum Active Directory Server kann SSL-Verschlüsselt hergestellt werden. | |
Hinweis zur LDAP-Verschlüsselung: ab 11.8.8
| |||
Root-Zertifikat: | Es kann ein Root-Zertifikat hinterlegt werden. | ||
LDAP-Filter: | (|(sAMAccountType=268435456)(sAMAccountType=268435457)(sAMAccountType=805306368)) | sAMAccountType=Schränkt die Authentisierung auf Mitglieder der folgenden Gruppen ein: Weitere Filter sind möglich
| |
| |||
| |||
Die Attribute von OTP bis Cert-Attribute, die hier eingetragen sind, existieren in der Regel nicht im AD. Um zum Beispiel den OTP-Geheimcode auf dem AD zu hinterlegen, kann ein ungenutztes Attribut des AD Schemas verwendet werden, der diesen Geheimcode des Benutzers enthält. Eine entsprechende Anleitung befindet sich im Artikel Einbinden der OTP Funktion in das Active Directory. | |||
OTP-Attribute: | sPOTPSecret | ||
L2TP-Attribute: | sPL2TPAddress | ||
SSL-VPN-Attribute (IPv4): | sPOVPNAddress | ||
SSL-VPN-Attribute (IPv6): | sPOVPNIP6Address | ||
SSL-Bump-Attribute: | sPSSLBumpMode | ||
Cert-Attribute: | sPCertificate | ||
Page Size: | 500 | In größeren Umgebungen kann es vorkommen, dass bei LDAP-Anfragen die serverseitig festgelegte, maximale Anzahl von Datensätzen (im AD sind es 1000) überschritten wird. Mit Page Size kann eingestellt werden das die LDAP-Abfrage stückweise ausgeführt wird. Eine Page Size von 500 bedeutet 500 Datensätze pro Abfrage. Die Page Size von 0 deaktiviert eine schrittweise LDAP-Abfrage. |
Aktiv | Berechtigung | Hinweis |
---|---|---|
Ein | Userinterface | |
Ein | Clientless VPN | Gewünschte Berechtigung |
Weitere Informationen über Clientless VPN Berechtigungen befindet sich in dem Wiki zu Clientless VPN.
Ergebnis
Beitreten und Verlassen der Domäne
Um zu überprüfen ob die UTM schon der Domäne beigetreten ist:
cli> system activedirectory testjoin Join is OK cli>
Sollte das nicht der Fall sein, erfolgt die Ausgabe
cli> system activedirectory testjoin Not joined cli>
In diesem Fall kann der Domäne mit dem folgenden Kommando beigetreten werden
cli> system activedirectory join password Beispiel-Admin-Passwort Password for Administrator@TTT-POINT.LOCAL: Processing principals to add... Enter Administrator's password: Using short domain name -- TTT-POINT Joined 'SP-UTML' to dns domain 'ttt-point.local' cli>
Das Kommando um die Domäne zu verlassen lautet
cli> system activedirectory leave password Beispiel-Admin-Passwort Enter Administrator's password: Deleted account for 'SP-UTML' in realm 'TTT-POINT.LOCAL' cli>
Beim Beitreten bzw. Verlassen des Active Directories ist die Angabe des Administratorpasswortes notwendig. Das Passwort wird nicht gespeichert, die AD-Zugehörigkeit ist trotzdem Reboot fest.
cli> system activedirectory lsgroups member ------ Abgelehnte RODC-Kennwortreplikationsgruppe Administratoren Benutzer Builtin ClientlessVPN Discovery Management Domänen-Admins Domänen-Benutzer Domänen-Gäste Exchange Servers ... Users Windows-Autorisierungszugriffsgruppe cli>
Überprüfen der Benutzer und Gruppenzugehörigkeit
Das folgende Kommando überprüft, ob ein AD-Benutzer einer UTM Gruppe zugeordnet ist:
cli> user check name "m.meier" groups grp_ClientlessVPN matched cli>
Sollte das nicht der Fall sein erfolgt die Ausgabe
not a member cli>
Befehl, um zu einem AD-Benutzer die Gruppenzugehörigkeit und Berechtigungen aus zugegeben:
cli> user get name m.meier name |groups |permission -------+-----------------+---------- m.meier|grp_ClientlessVPN|WEB_USER,VPN_CLIENTLESS cli>
Domain-Controller hinter Site-to-Site-VPN
In manchen Szenarien befindet sich der Domain-Controller hinter einem Site-to-Site-VPN-Tunnel.
Ist dies der Fall, muss eine entsprechende Zone und eine Regel konfiguriert werden.
DNS-Relay bei IPSec-S2S
DNS-Relay bei SSL-S2S