KKeine Bearbeitungszusammenfassung |
Keine Bearbeitungszusammenfassung |
||
| Zeile 24: | Zeile 24: | ||
<p>Für die Anbindung an das Directory wird unter anderem das Light Directory Access Protocol (LDAP) verwendet.<br> | <p>Für die Anbindung an das Directory wird unter anderem das Light Directory Access Protocol (LDAP) verwendet.<br> | ||
Mittels LDAP können die Informationen über Benutzer, Gruppen und weitere Objekte aus dem Directory ausgelesen werden.</p> | Mittels LDAP können die Informationen über Benutzer, Gruppen und weitere Objekte aus dem Directory ausgelesen werden.</p> | ||
<p>{{ | <p>{{Alert|g}}Das Protokoll selbst sieht dabei im Standard keine Verschlüsselung oder Authentifizierung der Nachrichten vor.</p> | ||
<p>In [https://portal.msrc.microsoft.com/de-de/security-guidance/advisory/ADV190023 ADV190023] (Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing) wird | <p>In [https://portal.msrc.microsoft.com/de-de/security-guidance/advisory/ADV190023 ADV190023] (Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing) wird | ||
auf diesen Umstand hingewiesen und eine Anpassung der Sicherheitseinstellungen bekannt gegeben.</p> | auf diesen Umstand hingewiesen und eine Anpassung der Sicherheitseinstellungen bekannt gegeben.</p> | ||
<p>Zukünftig ist eine Signierung und Verschlüsselung des LDAP-Verkehrs erforderlich (''seal'').</p> | <p>Zukünftig ist eine Signierung und Verschlüsselung des LDAP-Verkehrs erforderlich (''seal'').</p> | ||
<p>{{Hinweis- | <p>{{Hinweis-box|Diese Umstellung wird von der UTM automatisch vorgenommen.|gr}}</p> | ||
<p>Alternativ kann das die gesamte Verbindung mit SSL abgesichert werden.</p> | <p>Alternativ kann das die gesamte Verbindung mit SSL abgesichert werden.</p> | ||
| <p>AD/LDAP connectivity enables existing directory services such as Microsoft Active Directory® or other LDAProtocol-based systems to be used for authentication, group management, and attribute storage.</p> | | <p>AD/LDAP connectivity enables existing directory services such as Microsoft Active Directory® or other LDAProtocol-based systems to be used for authentication, group management, and attribute storage.</p> | ||
| Zeile 35: | Zeile 35: | ||
<p> Among other things, the Light Directory Access Protocol (LDAP) is used for the connection to the directory..<br> | <p> Among other things, the Light Directory Access Protocol (LDAP) is used for the connection to the directory..<br> | ||
Using LDAP, information about users, groups and other objects can be read from the directory.</p> | Using LDAP, information about users, groups and other objects can be read from the directory.</p> | ||
<p>{{ | <p>{{Alert|g}} The standard protocol itself does not provide for encryption or authentication of the messages.</p> | ||
<p> In [https://portal.msrc.microsoft.com/de-de/security-guidance/advisory/ADV190023 ADV190023] (Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing) it is pointed out | <p> In [https://portal.msrc.microsoft.com/de-de/security-guidance/advisory/ADV190023 ADV190023] (Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing) it is pointed out | ||
and an adjustment of the security settings is given.</p> | and an adjustment of the security settings is given.</p> | ||
<p> In the future, signing and encryption of LDAP traffic will be required (''seal'').</p> | <p> In the future, signing and encryption of LDAP traffic will be required (''seal'').</p> | ||
<p>{{Hinweis- | <p>{{Hinweis-box|This change is made automatically by the UTM.|gr}}</p> | ||
<p> Alternatively, the entire connection can be secured with SSL.</p> | <p> Alternatively, the entire connection can be secured with SSL.</p> | ||
}} | }} | ||
| Zeile 269: | Zeile 269: | ||
| Mail-Attribute }} | | Mail-Attribute }} | ||
{{var | Mail-Attribute--text | {{var | Mail-Attribute--text | ||
| Die Attribute von ''OTP' bis ''Cert-Attribute'', die hier eingetragen sind, existieren in der Regel nicht im AD.<br>Um zum Beispiel den OTP-Geheimcode auf dem AD zu hinterlegen, kann ein ungenutztes Attribut des AD Schemas verwendet werden, der diesen Geheimcode des Benutzers enthält.<br>Eine entsprechende Anleitung befindet sich im Artikel [[UTM/AUTH/OTP-AD | Einbinden der OTP Funktion in das Active Directory]]. | | Die Attribute von ''OTP'' bis ''Cert-Attribute'', die hier eingetragen sind, existieren in der Regel nicht im AD.<br>Um zum Beispiel den OTP-Geheimcode auf dem AD zu hinterlegen, kann ein ungenutztes Attribut des AD Schemas verwendet werden, der diesen Geheimcode des Benutzers enthält.<br>Eine entsprechende Anleitung befindet sich im Artikel [[UTM/AUTH/OTP-AD | Einbinden der OTP Funktion in das Active Directory]]. | ||
| The attributes from OTP to Cert-Attribute, which are entered here, usually do not exist in the AD.<br>For example, to store the OTP secret code on the AD, an unused attribute of the AD schema can be used, which contains this secret code of the user.<br>A corresponding instruction can be found in the article [{{#var:host}}UTM/AUTH/OTP-AD Integrating the OTP function into the Active Directory]. }} | | The attributes from OTP to Cert-Attribute, which are entered here, usually do not exist in the AD.<br>For example, to store the OTP secret code on the AD, an unused attribute of the AD schema can be used, which contains this secret code of the user.<br>A corresponding instruction can be found in the article [{{#var:host}}UTM/AUTH/OTP-AD Integrating the OTP function into the Active Directory]. }} | ||
{{var | page-size--desc | {{var | page-size--desc | ||
| Zeile 315: | Zeile 315: | ||
{{var | ad-test-cli--text | {{var | ad-test-cli--text | ||
| Über CLI (Command Line Interface) Kommandos lässt sich verschiedenes über die Active Directory Anbindung und Benutzer überprüfen.{{Hinweis- | | Über CLI (Command Line Interface) Kommandos lässt sich verschiedenes über die Active Directory Anbindung und Benutzer überprüfen.{{Hinweis-box|Hinweis:}} Erfolgt die Eingabe (Bildschirm und Tastatur) direkt an der UTM lautet der Eingabe-Prompt der Firewall z. B.: ''firewall.foo.local>'' bzw. entsprechend der lokalen Konfiguration. Bei Aufruf über das User-Interface mit dem Menü {{Menu|Extras|CLI}} lautet der Prompt ''CLI>''Dahinter befindet sich das CLI Kommando.<br>Bei den Zeilen darunter handelt es sich um die Ausgabe der UTM zu diesem Befehl. | ||
| CLI (Command Line Interface) commands can be used to check various things about the Active Directory connection and users.{{Hinweis- | | CLI (Command Line Interface) commands can be used to check various things about the Active Directory connection and users.{{Hinweis-box|Hinweis:}} If the input (screen and keyboard) is made directly at the UTM, the input prompt of the firewall is e. g.: ''firewall.foo.local>'' or according to the local configuration. When called from the user interface with the {{Menu|Extras|CLI}} menu, the prompt is ''CLI>''. This is followed by the CLI command.<br> The lines below are the output of the UTM for this command. }} | ||
{{var | ad-beitreten | {{var | ad-beitreten | ||
| Zeile 415: | Zeile 415: | ||
* The corresponding connections will be added automatically during the next AD sync | * The corresponding connections will be added automatically during the next AD sync | ||
* If a new attribute is added to the users, these are also taken over at the next sync }} | * If a new attribute is added to the users, these are also taken over at the next sync }} | ||
{{var | UTM Azure AD | |||
| UTM mit Azure AD anbinden | |||
| }} | |||
{{var | UTM Azure AD--desc | |||
| Um Azure AD nutzen zu können, sind konfigurierte Azure Apps notwendig. | |||
| }} | |||
{{var | Konfiguration Azure Apps anzeigen | |||
| Konfiguration Azure Apps anzeigen | |||
| }} | |||
{{var | Azure AD Verbindung herstellen | |||
| Azure AD Verbindung herstellen | |||
| }} | |||
{{var | Azure AD Verbindung herstellen--desc | |||
| Besteht noch keine AD/LDAP-Authentifizierung öffnet sich automatisch der AD/LDAP Authentifizierungs Assistent.<br>Andernfalls kann der Assistent mit der Schaltfläche {{Button|Assistent}} gestartet werden. | |||
| }} | |||
{{var | Azure AD | |||
| Azure AD - Microsoft Azure Active Directory | |||
| }} | |||
{{var | Azure AD Schritt 1--Bild | |||
| UTM_v12.5_AD-LDAP-Authentifizierung_Assistent_Azure-AD_Schritt1.png | |||
| UTM_v12.5_AD-LDAP-Authentifizierung_Assistent_Azure-AD_Schritt1-en.png }} | |||
{{var | Verzeichnistyp--desc | |||
| Azure AD als Verzeichnistyp auswählen | |||
| }} | |||
{{var | Azure AD Schritt 2--Bild | |||
| UTM_v12.5_AD-LDAP-Authentifizierung_Assistent_Azure-AD_Schritt2.png | |||
| UTM_v12.5_AD-LDAP-Authentifizierung_Assistent_Azure-AD_Schritt2-en.png }} | |||
{{var | Verzeichnis-ID | |||
| Verzeichnis-ID (Mandanten-ID): | |||
| }} | |||
{{var | Verzeichnis-ID--desc | |||
| Verzeichnis-ID (Mandanten-ID) aus der App-Registrierung im Azure AD | |||
| }} | |||
{{var | Passwort anzeigen | |||
| Der eingetragene Wert wird anzeigt | |||
| }} | |||
{{var | Anwendungs-ID | |||
| Anwendungs-ID (Client-ID): | |||
| }} | |||
{{var | Anwendungs-ID--desc | |||
| Anwendungs-ID (Client-ID) aus der App-Registrierung im Azure AD | |||
| }} | |||
{{var | Geheimer Wert | |||
| Geheimer Wert: | |||
| }} | |||
{{var | Geheimer Wert--desc | |||
| Wert des geheimen Clientschlüssels aus dem Abschnitt Zertifikate & Geheimnisse des Azure ADs | |||
| }} | |||
{{var | Ergebnis Azure AD-Anbindung | |||
| Ergebnis Azure AD-Anbindung | |||
| }} | |||
{{var | Status | |||
| Status | |||
| }} | |||
{{var | Status Azure AD--Bild | |||
| UTM_v12.5_AD-LDAP-Authentifizierung_Azure-AD.png | |||
| UTM_v12.5_AD-LDAP-Authentifizierung_Azure-AD-en.png }} | |||
{{var | aktiviert Azure--desc | |||
| Die Azure AD Authentifizierung ist aktiviert | |||
| }} | |||
{{var | Verbindungsstatus Azure--desc | |||
| Zur Bestätigung wechselt die Anzeige von grau auf grün. | |||
| }} | |||
{{var | Refresh--desc | |||
| Über diese Schaltfläche wird der Verbindungsstatus aktualisiert | |||
| }} | |||
{{var | Verzeichnistyp Status--desc | |||
| Der eingestellte Verzeichnistyp | |||
| }} | |||
---- | ---- | ||
UTM/AUTH/AD Anbindung.lang: Unterschied zwischen den Versionen
Aus Securepoint Wiki