KKeine Bearbeitungszusammenfassung |
KKeine Bearbeitungszusammenfassung |
||
| (2 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 19: | Zeile 19: | ||
| Introduction }} | | Introduction }} | ||
{{var | Einführung--desc | {{var | Einführung--desc | ||
| <p>Die AD/LDAP-Anbindung ermöglicht es, bestehende Verzeichnisdienste wie das Microsoft Active Directory® oder andere auf dem LDAProtocol basierende Systeme für die Authentifizierung, Verwaltung von Gruppen und Speichern von Attributen zu nutzen.</p> | | <p>Die AD/LDAP-Anbindung ermöglicht es, bestehende Verzeichnisdienste wie das Microsoft Active Directory® oder andere auf dem LDAProtocol basierende Systeme für die Authentifizierung, Verwaltung von Gruppen und Speichern von Attributen zu nutzen.</p> <p>Zentral verwaltete Benutzer aus dem Verzeichnis können so einfach für die Authentifizierung oder Nutzung von Diensten auf der UTM verwendet werden.</p> <p>Dies erleichtert die Administration komplexer Unternehmensnetzwerke und vereinheitlicht die Benutzer-Verwaltung.</p> <p>Für die Anbindung an das Directory wird unter anderem das Light Directory Access Protocol (LDAP) verwendet.<br> Mittels LDAP können die Informationen über Benutzer, Gruppen und weitere Objekte aus dem Directory ausgelesen werden.</p> <p>{{Alert|g}}Das Protokoll selbst sieht dabei im Standard keine Verschlüsselung oder Authentifizierung der Nachrichten vor.</p> <p>In [https://portal.msrc.microsoft.com/de-de/security-guidance/advisory/ADV190023 ADV190023] (Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing) wird auf diesen Umstand hingewiesen und eine Anpassung der Sicherheitseinstellungen bekannt gegeben.</p> <p>Zukünftig ist eine Signierung und Verschlüsselung des LDAP-Verkehrs erforderlich (''seal'').</p> <p>{{Hinweis-box|Diese Umstellung wird von der UTM automatisch vorgenommen.|gr}}</p> <p>Alternativ kann das die gesamte Verbindung mit SSL abgesichert werden.</p> <p>Ab Version 11.8.10 wird nicht nur der PDC, sondern '''sämtliche''' DCs für LDAP Anfragen verwendet. Somit steht die Authentifizierung für Benutzer aus dem AD auch zu Verfügung, wenn der PDC nicht erreichbar ist.</p> | ||
<p>Zentral verwaltete Benutzer aus dem Verzeichnis können so einfach für die Authentifizierung oder Nutzung von Diensten auf der UTM verwendet werden.</p> | | <p>AD/LDAP connectivity enables existing directory services such as Microsoft Active Directory® or other LDAProtocol-based systems to be used for authentication, group management, and attribute storage.</p> <p> Centrally managed users from the directory can thus easily be used for authentication or use of services on the UTM.</p> <p> This simplifies the administration of complex corporate networks and unifies user management.</p> | ||
<p>Dies erleichtert die Administration komplexer Unternehmensnetzwerke und vereinheitlicht die Benutzer-Verwaltung.</p> | |||
<p>Für die Anbindung an das Directory wird unter anderem das Light Directory Access Protocol (LDAP) verwendet.<br> | |||
Mittels LDAP können die Informationen über Benutzer, Gruppen und weitere Objekte aus dem Directory ausgelesen werden.</p> | |||
<p>{{Alert|g}}Das Protokoll selbst sieht dabei im Standard keine Verschlüsselung oder Authentifizierung der Nachrichten vor.</p> | |||
<p>In [https://portal.msrc.microsoft.com/de-de/security-guidance/advisory/ADV190023 ADV190023] (Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing) wird | |||
auf diesen Umstand hingewiesen und eine Anpassung der Sicherheitseinstellungen bekannt gegeben.</p> | |||
<p>Zukünftig ist eine Signierung und Verschlüsselung des LDAP-Verkehrs erforderlich (''seal'').</p> | |||
<p>{{Hinweis-box|Diese Umstellung wird von der UTM automatisch vorgenommen.|gr}}</p> | |||
<p>Alternativ kann das die gesamte Verbindung mit SSL abgesichert werden.</p> | |||
<p>Ab Version 11.8.10 wird nicht nur der PDC, sondern '''sämtliche''' DCs für LDAP Anfragen verwendet. Somit steht die Authentifizierung für Benutzer aus dem AD auch zu Verfügung, wenn der PDC nicht erreichbar ist.</p> | |||
| <p>AD/LDAP connectivity enables existing directory services such as Microsoft Active Directory® or other LDAProtocol-based systems to be used for authentication, group management, and attribute storage.</p> | |||
<p> Centrally managed users from the directory can thus easily be used for authentication or use of services on the UTM.</p> | |||
<p> This simplifies the administration of complex corporate networks and unifies user management.</p> | |||
<p> Among other things, the Light Directory Access Protocol (LDAP) is used for the connection to the directory..<br> | <p> Among other things, the Light Directory Access Protocol (LDAP) is used for the connection to the directory..<br> | ||
Using LDAP, information about users, groups and other objects can be read from the directory.</p> | Using LDAP, information about users, groups and other objects can be read from the directory.</p> <p>{{Alert|g}} The standard protocol itself does not provide for encryption or authentication of the messages.</p> <p> In [https://portal.msrc.microsoft.com/de-de/security-guidance/advisory/ADV190023 ADV190023] (Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing) it is pointed out | ||
<p>{{Alert|g}} The standard protocol itself does not provide for encryption or authentication of the messages.</p> | and an adjustment of the security settings is given.</p> <p> In the future, signing and encryption of LDAP traffic will be required (''seal'').</p> <p>{{Hinweis-box|This change is made automatically by the UTM.|gr}}</p> <p> Alternatively, the entire connection can be secured with SSL.</p> <p>Starting with version 11.8.10, not only the PDC, but '''all''' DCs are used for LDAP requests. Thus, authentication for users from the AD is available even if the PDC is not reachable.</p> }} | ||
<p> In [https://portal.msrc.microsoft.com/de-de/security-guidance/advisory/ADV190023 ADV190023] (Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing) it is pointed out | |||
and an adjustment of the security settings is given.</p> | |||
<p> In the future, signing and encryption of LDAP traffic will be required (''seal'').</p> | |||
<p>{{Hinweis-box|This change is made automatically by the UTM.|gr}}</p> | |||
<p> Alternatively, the entire connection can be secured with SSL.</p> | |||
<p>Starting with version 11.8.10, not only the PDC, but '''all''' DCs are used for LDAP requests. Thus, authentication for users from the AD is available even if the PDC is not reachable.</p> }} | |||
{{var | Voraussetzung | {{var | Voraussetzung | ||
| Voraussetzung | | Voraussetzung | ||
| Zeile 290: | Zeile 271: | ||
| Select user group from AD }} | | Select user group from AD }} | ||
{{var | benutzergruppe-auswählen--text | {{var | benutzergruppe-auswählen--text | ||
| Im Bereich {{Kasten|Verzeichnis Dienst}} kann jetzt die entsprechende Gruppe aus dem Active Directory ausgewählt und zugeordnet werden. < | | Im Bereich {{Kasten|Verzeichnis Dienst}} kann jetzt die entsprechende Gruppe aus dem Active Directory ausgewählt und zugeordnet werden.<br>{{Alert|g}}Es werden nur Gruppen aufgelistet, die nicht leer sind. | ||
| In the | | In the {{Kasten|Directory Service}} section, the corresponding group from the Active Directory can now be selected and assigned.<br>{{Alert|g}}Only groups that are not empty are listed. }} | ||
{{var | Weitere Informationen Clientless VPN--desc | |||
| Weitere Informationen über Clientless VPN Berechtigungen befindet sich in dem Wiki zu [[UTM/VPN/ClientlessVPN#Zuweisen_der_Gruppe | Clientless VPN]]. | |||
| Further information about clientless VPN permissions can be found in the wiki under [{{#var:host}}UTM/VPN/ClientlessVPN#Assigning_the_Group Clientless VPN]. }} | |||
{{var | Ergebnis | {{var | Ergebnis | ||
| Ergebnis | | Ergebnis | ||
| Zeile 328: | Zeile 312: | ||
| Mit dem folgenden Kommando können die Gruppen im Active Directory aufgelistet werden: | | Mit dem folgenden Kommando können die Gruppen im Active Directory aufgelistet werden: | ||
| With the following command the groups can be listed in the Active Directory: }} | | With the following command the groups can be listed in the Active Directory: }} | ||
{{var | AD Gruppen anzeigen--Hinweis | |||
| Es werden nur Gruppen aufgelistet, denen mindestens ein Nutzer zugeordnet ist. | |||
| Only groups with at least one assigned user are listed. }} | |||
{{var | ad-zugehörigkeit | {{var | ad-zugehörigkeit | ||
| Überprüfen der Benutzer und Gruppenzugehörigkeit | | Überprüfen der Benutzer und Gruppenzugehörigkeit | ||
| Zeile 350: | Zeile 337: | ||
| Attention: To join an active directory located behind a VPN tunnel, the LDAP ports are required in the NAT rule towards the domain controller in addition to the DNS ports. }} | | Attention: To join an active directory located behind a VPN tunnel, the LDAP ports are required in the NAT rule towards the domain controller in addition to the DNS ports. }} | ||
{{var | 1=groups--permissions | {{var | 1=groups--permissions | ||
| 2= | | 2=Die Berechtigungen zu den in der UTM enthaltenen Diensten können in Gruppen verwaltet werden. Die Benutzer, die diesen Gruppen zugeordnet werden sollen, müssen zunächst entsprechenden Benutzergruppen im AD zugeordnet werden. | ||
| 3= | | 3=The authorizations for the services contained in the UTM can be managed in groups. The users to be assigned to these groups must first be assigned to corresponding user groups in AD. }} | ||
{{var | dc-hinters2s--Link | {{var | dc-hinters2s--Link | ||
| Siehe auch [[UTM/VPN/DNS_Relay#DNS_Relay_f.C3.BCr_einen_IPSec_Site-to-Site_Tunnel | DNS-Relay bei IPSec-S2S]] ‖ [[UTM/VPN/DNS_Relay#DNS_Relay_f.C3.BCr_einen_OpenVPN_Site-to-Site_Tunnel | DNS-Relay bei SSL (OpenVPN) -S2S]] ‖ [[UTM/VPN/DNS_Relay#DNS_Relay_für_einen_WireGuard_Site-to-Site_Tunnel | DNS-Relay bei WireGuard-S2S]] | | Siehe auch [[UTM/VPN/DNS_Relay#DNS_Relay_f.C3.BCr_einen_IPSec_Site-to-Site_Tunnel | DNS-Relay bei IPSec-S2S]] ‖ [[UTM/VPN/DNS_Relay#DNS_Relay_f.C3.BCr_einen_OpenVPN_Site-to-Site_Tunnel | DNS-Relay bei SSL (OpenVPN) -S2S]] ‖ [[UTM/VPN/DNS_Relay#DNS_Relay_für_einen_WireGuard_Site-to-Site_Tunnel | DNS-Relay bei WireGuard-S2S]] | ||
| Zeile 434: | Zeile 421: | ||
| Application-ID (Client-ID) from the app registry in Entra ID. }} | | Application-ID (Client-ID) from the app registry in Entra ID. }} | ||
{{var | Geheimer Wert | {{var | Geheimer Wert | ||
| Geheimer Wert | | Geheimer Wert | ||
| Secret value | | Secret value }} | ||
{{var | Geheimer Wert--desc | {{var | Geheimer Wert--desc | ||
| Wert des geheimen Clientschlüssels aus dem Abschnitt Zertifikate & Geheimnisse der Entra ID | | Wert des geheimen Clientschlüssels aus dem Abschnitt Zertifikate & Geheimnisse der Entra ID | ||
| Zeile 458: | Zeile 445: | ||
| The set directory type }} | | The set directory type }} | ||
{{var | Erweitert--desc | {{var | Erweitert--desc | ||
| AD- | | AD-Attributen können bestimmte Berechtigungen gegeben werden. So kann konfiguriert werden, wer diese einsehen kann. Beispielsweise können diese dann nicht durch einen LDAP-Search ausgelesen werden. Diese AD-Attribute werden mit dem Flag "'''confidential'''" markiert. | ||
| AD attributes can be given certain authorizations. This allows you to configure who can view them. For example, they cannot be read by an LDAP search. These AD attributes are marked with the "'''confidential''''" flag. }} | | AD attributes can be given certain authorizations. This allows you to configure who can view them. For example, they cannot be read by an LDAP search. These AD attributes are marked with the "'''confidential''''" flag. }} | ||
{{var | AD-Attribute Flag confidential anzeigen | {{var | AD-Attribute Flag confidential anzeigen | ||
| Zeile 483: | Zeile 470: | ||
{{var | DNS-Konfiguration | {{var | DNS-Konfiguration | ||
| DNS-Konfiguration | | DNS-Konfiguration | ||
| | | DNS configuration }} | ||
{{var | DNS-Konfiguration--desc | {{var | DNS-Konfiguration--desc | ||
| Damit der Authentifizierungsvorgang der AD/LDAP-Anbindung problemlos funktioniert, muss der Nameserver der UTM entsprechend eingerichtet werden.<br> Dafür müssen folgende Konfigurationen getätigt werden: | | Damit der Authentifizierungsvorgang der AD/LDAP-Anbindung problemlos funktioniert, muss der Nameserver der UTM entsprechend eingerichtet werden.<br> Dafür müssen folgende Konfigurationen getätigt werden: | ||
* Bei {{Menu-UTM|Netzwerk|Servereinstellungen|DNS-Server}} muss bei {{b|Primärer Nameserver:}} {{ic|127.0.0.1}} stehen | * Bei {{Menu-UTM|Netzwerk|Servereinstellungen|DNS-Server}} muss bei {{b|Primärer Nameserver:}} {{ic|127.0.0.1}} stehen | ||
** {{Hinweis-box| Der Eintrag | ** {{Hinweis-box| Der Eintrag bei {{b|Sekundärer Nameserver:}} '''muss''' leer sein!}} | ||
* Bei {{Menu-UTM|Anwendungen|Nameserver|Zonen}} wird eine [[UTM/APP/Nameserver#Forward-Zone | Forward Zone]] mit einem A und PTR Eintrag angelegt | * Bei {{Menu-UTM|Anwendungen|Nameserver|Zonen}} wird eine [[UTM/APP/Nameserver#Forward-Zone | Forward Zone]] mit einem A und PTR Eintrag angelegt | ||
** Dabei wird der [[UTM/NET/Servereinstellungen#Firewall | Firewallname der UTM]] verwendet | ** Dabei wird der [[UTM/NET/Servereinstellungen#Firewall | Firewallname der UTM]] verwendet | ||
* Bei {{Menu-UTM|Anwendungen|Nameserver|DNS Forwarding}} wird ein [[UTM/APP/Nameserver-DNS_Forwarding | DNS Forwarding angelegt]] mit einem externen DNS wie 8.8.8.8 | * Bei {{Menu-UTM|Anwendungen|Nameserver|DNS Forwarding}} wird ein [[UTM/APP/Nameserver-DNS_Forwarding | DNS Forwarding angelegt]] mit einem externen DNS wie 8.8.8.8 | ||
| | | In order for the authentication process of the AD/LDAP connection to function smoothly, the name server of the UTM must be set up accordingly.<br> The following configurations must be made for this: | ||
* Under {{Menu-UTM|Network|Server options|DNS-Server}} {{b|Primary name server:}} must be {{ic|127.0.0.1}} | |||
** {{Hinweis-box| The entry for {{b|Secondary name server:}} '''must''' be empty!}} | |||
* Under {{Menu-UTM|Application|Nameserver|Zones}} a [{{#var:host}}UTM/APP/Nameserver#Forward-Zone Forward Zone] is created with an A and PTR entry | |||
** The [{{#var:host}}UTM/NET/Servereinstellungen#Firewall Firewall name of the UTM] is used here | |||
* With {{Menu-UTM|Applications|Nameserver|DNS Forwarding}} a [{{#var:host}}UTM/APP/Nameserver-DNS_Forwarding DNS Forwarding] is created with an external DNS such as 8.8.8.8 }} | |||
---- | ---- | ||
UTM/AUTH/AD Anbindung.lang: Unterschied zwischen den Versionen
Aus Securepoint Wiki