Wechseln zu:Navigation, Suche
Wiki
KKeine Bearbeitungszusammenfassung
K (Textersetzung - „#WEITERLEITUNG(.*)Preview1260\n“ durch „“)
Markierung: Weiterleitung entfernt
 
(2 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 4: Zeile 4:
{{:UTM/AUTH/SSL-VPN-AD.lang}}
{{:UTM/AUTH/SSL-VPN-AD.lang}}


{{var | neu--Korrektur AD-Attribut UTM
| Aktualisierung der [[#Attribut_in_der_UTM_Eintragen|AD-Attribute, die in die UTM eingetragen]] werden 
| Updating the [[#Enter_attribute_in_the_UTM|AD attributes that are entered in the UTM]] }}
{{var | neu--Cert-Attribut AD-Attribut UTM
| Weiterer Parameter Cert-Attribute bei [[#Attribut_in_der_UTM_Eintragen|Attribut in der UTM eintragen]]
| Enter additional parameter Cert attributes for [[#Enter_attribute_in_the_UTM|attribute in the UTM]] }}


</div>{{Select_lang}}{{TOC2}}
</div>{{Select_lang}}{{TOC2}}
{{Header|10.2023|new=true
{{Header|12.6.0|
|
* {{#var:neu--Korrektur AD-Attribut UTM}}
|
* {{#var:neu--Cert-Attribut AD-Attribut UTM}}
|{{Menu|{{#var:Authentifizierung}}|{{#var:AD/LDAP Authentifizierung}}||{{#var:Erweitert}} }}
* {{#var:neu--rwi}}
}}
| zuletzt= 12.2023
| [[UTM/AUTH/SSL-VPN-AD_v12.5.2 | 12.5.2]]
|{{Menu-UTM|{{#var:Authentifizierung}}|{{#var:AD/LDAP Authentifizierung}}|{{#var:Erweitert}} }}
}}<div class="new_design"></div>


----
----
Zeile 25: Zeile 34:
==== {{#var:Konfiguration der Zertifikate}} ====
==== {{#var:Konfiguration der Zertifikate}} ====
<div class="einrücken">
<div class="einrücken">
{{Bild|{{#var:Konfiguration der Zertifikate Benutzer--Bild}}|{{#var:Konfiguration der Zertifikate Benutzer--cap}}||{{#var:Benutzer bearbeiten}}|
{{#var:Authentifizierung}}|{{#var:Benutzer}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close|class=Bild-t }}
{{#var:Konfiguration der Zertifikate--desc}}
{{#var:Konfiguration der Zertifikate--desc}}
{{pt3|{{#var:Konfiguration der Zertifikate Benutzer--Bild}}|{{#var:Konfiguration der Zertifikate Benutzer--cap}} }}
{{#var:Konfiguration der Zertifikate Benutzer}}
{{#var:Konfiguration der Zertifikate Benutzer}}
{{#var:Konfiguration der Zertifikate Benutzer CLI}}
{{#var:Konfiguration der Zertifikate Benutzer CLI}}
<br clear=all>
<br clear=all>
{{pt3|{{#var:Konfiguration der Zertifikate Gruppen--Bild}}|{{#var:Konfiguration der Zertifikate Gruppen--cap}} }}
{{Bild|{{#var:Konfiguration der Zertifikate Gruppen--Bild}}|{{#var:Konfiguration der Zertifikate Gruppen--cap}}||{{#var:Gruppe bearbeiten}}|
{{#var:Authentifizierung}}|{{#var:Benutzer}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close|class=Bild-t  }}
{{#var:Konfiguration der Zertifikate Gruppen}}
{{#var:Konfiguration der Zertifikate Gruppen}}
{{#var:Konfiguration der Zertifikate Gruppen CLI}}
{{#var:Konfiguration der Zertifikate Gruppen CLI}}
<br clear=all>
<br clear=all>
{{pt3|{{#var:Erstellung Zertifikate für Benutzer--Bild}}|{{#var:Erstellung Zertifikate für Benutzer--cap}} }}
{{Bild|{{#var:Erstellung Zertifikate für Benutzer--Bild}}|{{#var:Erstellung Zertifikate für Benutzer--cap}}||{{#var:Zertifikate}}|{{#var:Authentifizierung}}|icon=fa-save|class=Bild-t }}
{{#var:Erstellung Zertifikate für Benutzer}}
{{#var:Erstellung Zertifikate für Benutzer}}
</div>
</div>
Zeile 40: Zeile 51:
==== {{#var:Attribute im Active Directory}} ====
==== {{#var:Attribute im Active Directory}} ====
<div class="einrücken">
<div class="einrücken">
{{pt3|{{#var:Attribute im Active Directory--Bild}}|{{#var:Attribute im Active Directory--cap}} }}
{{#var:Attribute im Active Directory--desc}}
{{#var:Attribute im Active Directory--desc}}
{{pt3|{{#var:Attribute im Active Directory--Bild}}|{{#var:Attribute im Active Directory--cap}} }}
{{#var:Attribute im Active Directory--desc2}}
{{#var:Attribute im Active Directory--desc2}}
<br clear=all>
<br clear=all>
Zeile 49: Zeile 60:
{{#var:Attribut-Editor Beispiel}}
{{#var:Attribut-Editor Beispiel}}
<br>
<br>
{{Hinweis-box|{{#var:Attribut-Editor neue Attribute}}|g}}
{{Hinweis-box|{{#var:Attribut-Editor neue Attribute}}|g|css=flex|fs__icon=em2}}
<br clear=all>
<br clear=all>
</div>
</div>


==== {{#var:Attribut in der UTM Eintragen}} ====
==== {{#var:Attribut in der UTM Eintragen}} {{Hinweis-box||gr|12.6.0|status=update}} ====
<div class="einrücken">
<div class="einrücken">
{{#var:Attribut in der UTM Eintragen--desc}}
{{#var:Attribut in der UTM Eintragen--desc}}
{| class="sptable2 pd5 zh1"
{| class="sptable2 pd5 zh1"
|-
|-
! class="mw11" | {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
! class="mw14" | {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
| class="Bild" rowspan="5"| {{Bild|{{#var:Attribut in der UTM Eintragen--Bild}}|{{#var:Attribut in der UTM Eintragen--cap}} }}
| class="Bild" rowspan="6"| {{Bild|{{#var:Attribut in der UTM Eintragen--Bild}}|{{#var:Attribut in der UTM Eintragen--cap}}||{{#var:AD/LDAP Authentifizierung}}|{{#var:Authentifizierung}}|icon=fa-wand-magic-sparkles|icon-text={{#var:Assistent}}|icon2=fa-save }}
|-
|-
| {{b|SSL-VPN-Attribute (IPv4):}} || {{ic|extensionAttribute10|class="available"}} || {{#var:SSL-VPN-Attribute--desc}}
| {{b|SSL-VPN-Attribute (IPv4):}} || {{ic|extensionAttribute10|class="available"}} || {{#var:SSL-VPN-Attribute--desc}}
|-
|-
| {{b|SSL-VPN-Attribute (IPv6):}} || {{ic|extensionAttribute11|class="available"}} || {{#var:SSL-VPN-Attribute IPv6--desc}}
| {{b|SSL-VPN-Attribute (IPv6):}} || {{ic|extensionAttribute11|class="available"}} || {{#var:SSL-VPN-Attribute IPv6--desc}}
|-
| {{b|Cert-Attribute:}}<br>{{Hinweis-box||gr|12.6.0|status=neu}} || {{ic|extensionAttribute12|class="available"}} || {{#var:Cert-Attribute--desc}}
|-
|-
| class="Leerzeile" colspan="3"| {{#var:Speichern}}
| class="Leerzeile" colspan="3"| {{#var:Speichern}}

Aktuelle Version vom 16. Januar 2024, 15:14 Uhr































De.png
En.png
Fr.png








AD-Anbindung von Benutzern und Gruppen bzgl. SSL-VPN
Letzte Anpassung zur Version: 12.6.0
Neu:
Zuletzt aktualisiert: 
    12.2023
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview

12.5.2

Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115
Authentifizierung AD/LDAP Authentifizierung  Bereich Erweitert

Einleitung

Benutzer und Gruppen lassen sich per AD-Attribut an eine SSL-VPN-Verbindung anbinden.


Benutzerauthentifizierung über die UTM mit dem Active Directory für SSL-VPN

Konfiguration der Zertifikate

Benutzer bearbeiten UTMbenutzer@firewall.name.fqdn AuthentifizierungBenutzer UTM v12.6.0 Benutzer Benutzer-Bearbeiten SSL-VPN-AD Zertifikat.pngKein Zertifikat ausgewählt bei einem Benutzer Unter Authentifizierung Benutzer werden die ausgewählten Zertifikate der jeweiligen Benutzer und der Gruppen überprüft

  • Im Bereich Benutzer wird über die Schaltfläche Bearbeiten der Dialog geöffnet
  • Zum Bereich SSL-VPN wechseln
  • Beim Parameter Client-Zertifikat: darf kein Zertifikat ausgewählt sein

Sollte in Client-Zertifikat ein Zertifikat ausgewählt sein und es lässt sich nicht entfernen, wird im CLI folgender Befehl eingegeben user attribute set name "user" attribute "openvpn_certificate" value 0
Gruppe bearbeiten UTMbenutzer@firewall.name.fqdn AuthentifizierungBenutzer UTM v12.6.0 Benutzer Gruppen--Bearbeiten SSL-VPN-AD Zertifikat.pngKein Zertifikat ausgewählt bei der Gruppe

  • Im Bereich Gruppen wird über die Schaltfläche Bearbeiten der Dialog geöffnet
  • Zum Bereich SSL-VPN wechseln
  • Beim Parameter Client-Zertifikat: darf kein Zertifikat ausgewählt sein

Sollte in Client-Zertifikat ein Zertifikat ausgewählt sein und es lässt sich nicht entfernen, wird im CLI folgender Befehl eingegeben user group attribute set name "group" attribute "openvpn_certificate" value 0
Zertifikate UTMbenutzer@firewall.name.fqdnAuthentifizierung UTM v12.6.0 Zertifikat SSL-VPN Zertifikat Benutzer.pngBeispielhaftes Zertifikat des Benutzers Alice

notempty
Für jeden Benutzer, welcher über die SSL-VPN-Verbindung Zugriff haben soll, wird ein Zertifikat angelegt.


Über Authentifizierung Zertifikate  Bereich Zertifikate wird mit der Schaltfläche Zertifikat hinzufügen ein Zertifikat für einen Benutzer angelegt.


notempty
Der gewählte Name dieses Zertifikats wird als AD-Attribut benötigt


Attribute im Active Directory

AD Erweiterte Einstellungen

Die UTM wird an das Active Directory angebunden. Eine Anleitung dafür gibt es in diesem Wiki-Artikel Active Directory Anbindung. Ein nicht genutztes Attribut im Active Directory Schema wird benötigt. Darin wird der Zertifikatsname des Benutzers hinterlegt. Eine Liste der Attribute befindet sich im Active Directory unter Active Directory-Benutzer und -Computer.
Dazu ist es allerdings notwendig, unter Ansicht den Menüpunkt Erweiterte Features zu aktivieren.

AD Attribut-Editor

Beim gewünschtem Benutzer Eigenschaften öffnen. Zum Reiter Attribut-Editor wechseln. Dort befindet sich die Liste mit den Attributen.
In diesem Beispiel stehen die Attribute extensionAttribute1 - 15 zur Verfügung. Eines dieser Attribute auswählen, indem der Zertifikatsname als Attribut für den Benutzer hinterlegt wird.

notempty
Es können auch neue Attribute erstellt werden. Das ist jedoch ein Eingriff in das AD Schema und das hat schon häufig zur Folge, dass das AD anschließend nicht mehr genutzt werden kann.


Attribut in der UTM Eintragen

Der Name des Attributs aus dem AD mit dem Zertifikatsnamen muss in die UTM eingetragen werden.
Im Menu Authentifizierung AD/LDAP Authentifizierung zum Bereich Erweitert wechseln.

Beschriftung Wert Beschreibung AD/LDAP Authentifizierung UTMbenutzer@firewall.name.fqdnAuthentifizierung Assistent UTM v12.6.0 AD-LDAP Erweitert SSL-VPN-Attribut.pngAD SSL-VPN Attribut
SSL-VPN-Attribute (IPv4): extensionAttribute10 Optional Die IP-Adresse innerhalb des SSL-VPN Tunnels. Wird der Wert nicht gesetzt, wird eine IP-Adresse zugewiesen.
SSL-VPN-Attribute (IPv6): extensionAttribute11 Optional Die IPv6-Adresse innerhalb des SSL-VPN Tunnels. Wird der Wert nicht gesetzt, wird eine IPv6-Adresse zugewiesen.
Cert-Attribute:
extensionAttribute12 Der Name des Attributs aus dem AD mit dem Zertifikatsnamen eingetragen. notempty
Wird dieser Wert nicht gesetzt, ist eine SSL-VPN-Verbindung nicht möglich!
Auf die Schaltfläche
Speichern
klicken um die Einträge abzuspeichern.