UTM/AUTH/AD Anbindung: Unterschied zwischen den Versionen

Aktuelle Version vom 23. Mai 2024, 13:00 Uhr

Anbindung einer UTM an ein AD/LDAP

Letzte Anpassung zur Version: 12.7.0

Neu:

Umbenennung Azure AD in Entra ID

notempty

Dieser Artikel bezieht sich auf eine Resellerpreview

12.6.1 12.5.4 12.4 11.8.10 11.8 11.7 11.5

Einführung

Die AD/LDAP-Anbindung ermöglicht es, bestehende Verzeichnisdienste wie das Microsoft Active Directory® oder andere auf dem LDAProtocol basierende Systeme für die Authentifizierung, Verwaltung von Gruppen und Speichern von Attributen zu nutzen.

Zentral verwaltete Benutzer aus dem Verzeichnis können so einfach für die Authentifizierung oder Nutzung von Diensten auf der UTM verwendet werden.

Dies erleichtert die Administration komplexer Unternehmensnetzwerke und vereinheitlicht die Benutzer-Verwaltung.

Für die Anbindung an das Directory wird unter anderem das Light Directory Access Protocol (LDAP) verwendet.
Mittels LDAP können die Informationen über Benutzer, Gruppen und weitere Objekte aus dem Directory ausgelesen werden.

Das Protokoll selbst sieht dabei im Standard keine Verschlüsselung oder Authentifizierung der Nachrichten vor.

In ADV190023 (Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing) wird auf diesen Umstand hingewiesen und eine Anpassung der Sicherheitseinstellungen bekannt gegeben.

Zukünftig ist eine Signierung und Verschlüsselung des LDAP-Verkehrs erforderlich (seal).

notempty

Diese Umstellung wird von der UTM automatisch vorgenommen.

Alternativ kann das die gesamte Verbindung mit SSL abgesichert werden.

Ab Version 11.8.10 wird nicht nur der PDC, sondern sämtliche DCs für LDAP Anfragen verwendet. Somit steht die Authentifizierung für Benutzer aus dem AD auch zu Verfügung, wenn der PDC nicht erreichbar ist.

Voraussetzung

Um ein AD / LDAP zur Authentisierung nutzen zu können, müssen dort Benutzer angelegt und in Gruppen organisiert sein.

Benutzergruppen im AD anlegen

Sicherheitsgruppe hinzufügen

Sicherheitsgruppe hinzugefügt

Die Berechtigungen zu den in der UTM enthaltenen Diensten können in Gruppen verwaltet werden. Die Benutzer, die diesen Gruppen zugeordnet werden sollen, müssen zunächst entsprechenden Benutzergruppen im AD zugeordnet werden.

In diesem Beispiel sollen die Benutzer für Clientless VPN über den Active Directory Service Authentifiziert werden.

Es muss also zunächst eine Gruppe vom Typ Sicherheitsgruppe auf dem AD hinzugefügt werden, die hier den Namen ClientlessVPN bekommt.

Benutzer im AD hinzufügen

Benutzer ist Mitglied der Gruppe

Anschließend werden die Benutzer, die für Clientless VPN freigeschaltet werden sollen, zu dieser Gruppe hinzugefügt.

DNS-Konfiguration

Damit der Authentifizierungsvorgang der AD/LDAP-Anbindung problemlos funktioniert, muss der Nameserver der UTM entsprechend eingerichtet werden.
Dafür müssen folgende Konfigurationen getätigt werden:

Bei Netzwerk Servereinstellungen Bereich DNS-Server muss bei Primärer Nameserver: 127.0.0.1 stehen
- notempty
  Der Eintrag bei Sekundärer Nameserver: muss leer sein!
Bei Anwendungen Nameserver Bereich Zonen wird eine Forward Zone mit einem A und PTR Eintrag angelegt
- Dabei wird der Firewallname der UTM verwendet
Bei Anwendungen Nameserver Bereich DNS Forwarding wird ein DNS Forwarding angelegt mit einem externen DNS wie 8.8.8.8

UTM in die Domäne einbinden

Es muss darauf geachtet werden, dass die Uhrzeit der UTM mit dem des AD einigermaßen synchron läuft, da ein Kerberos Ticket nur eine begrenzte Gültigkeitsdauer hat.
Im Menü wird die Authentifizierung konfiguriert.

AD Verbindung herstellen

Besteht noch keine AD/LDAP-Authentifizierung öffnet sich automatisch der AD/LDAP Authentifizierungs Assistent.
Andernfalls kann der Assistent mit der Schaltfläche Assistent gestartet werden.

Schritt 1: Verzeichnistyp
Beschriftung	Wert	Beschreibung	AD/LDAP Authentifizierungs Assistent UTMbenutzer@firewall.name.fqdnAuthentifizierungAD/LDAP Authentifizierung Schritt 1
Verzeichnistyp:	AD - Active Directory	notempty Es sollte auf alle Fälle der Verzeichnistyp »AD« gewählt werden, wenn es sich um eine Active Directory Umgebung handelt.
Weiter

Schritt 2: Einstellungen
IP oder Hostname:	»192.168.145.1	(Beispiel-Adresse!)	Schritt 2
Domain:	ttt-point.local	Domainname
Arbeitsgruppe:	ttt-point	Der NETBIOS-Name des AD Sollte dieser von der Base Domain abweichen, muss hier der korrekte NETBIOS-Name eingetragen werden.
Appliance Account:	sp-utml	Der Name, unter dem die UTM im AD in der Gruppe Computers eingetragen wird. Ein eindeutiger Name, der nicht doppelt vergeben werden darf! Bei Betrieb der UTM im Cluster muss der Name im Master und Spare unterschiedlich sein. Der Name wird nicht synchronisiert!
Weiter

Schritt 3: Nameserver			Schritt 3: Nameserver
Ist der AD-Server noch nicht als Name-Server eingetragen, wird das in diesem Schritt vorgenommen: + Server hinzufügen
IP-Adresse:	192.168.145.1	notempty Beispieladresse! IP-Adresse eines AD-Servers der Domäne, ggf. zusätzlich der Port.
Speichern	Der AD-Server wird damit als Relay-Zone im Nameserver der UTM hinzugefügt. Der Eintrag ist im Menü Anwendungen Nameserver Bereich Zonen zu finden.
Weiter

Schritt 4: Beitreten
Administratorname:	Administrator	Um der Domäne beizutreten ist ein Benutzer-Konto mit Domain-Administrator-Rechten erforderlich.
Passwort:	••••••••	Hinweis beim Clusterbetrieb
Fertig

Ergebnis AD-Anbindung
Ergebnis im Abschnitt Status :
Aktiviert:	Ein	Die AD/LDAP Authentifizierung ist aktiviert.	AD/LDAP Authentifizierung UTMbenutzer@firewall.name.fqdnAuthentifizierung Assistent
Verbindungsstatus:		Zur Bestätigung wechselt die Anzeige von grau auf grün. Aktualisieren mit

Erweitert
AD-Attribute können bestimmte Berechtigungen gegeben werden. So kann konfiguriert werden, wer diese einsehen kann. Beispielsweise können diese dann nicht durch einen LDAP-Search ausgelesen werden. Diese AD-Attribute werden mit dem Flag "confidential" markiert.
Um ein AD-Attribute diese Berechtigungen zu geben, sind folgende Schritte notwendig: Programm Active Directory Benutzer und Computer starten Start → Systemsteuerung → Verwaltung → Active Directory Benutzer und Computer Im Menü Ansicht auf Erweiterte Funktionen klicken Rechtsklick auf das gewünschte Objekt und auf Eigenschaften gehen In Reiter Sicherheit bei Erweitert werden alle verfügbaren Berechtigungen angezeigt Über die Schaltfläche Hinzufügen das gewünschte Benutzer-, Gruppenkonto auswählen, dass Zugriff haben soll Im Dialog Berechtigung für Objektname bei Eigenschaften die gewünschten Eigenschaften und Berechtigungen auswählen und Speichern
notempty Dadurch kann es vorkommen, dass der Maschine Account der UTM dieses Attribut nicht mehr auslesen kann. Dann benötigt der Maschine Account weitere Rechte.
SSL:	Aus	Die Verbindung zum Active Directory Server kann SSL-Verschlüsselt hergestellt werden.	Erweiterte Einstellungen
SSL:	Hinweis zur LDAP-Verschlüsselung: bestehende und neue Verbindungen werden separat verschlüsselt und signiert (seal) bei Aktivierung von SSL wird keine zusätzliche Verschlüsselung angewendet.
Root-Zertifikat:	Zertifikat	Es kann ein Root-Zertifikat hinterlegt werden.
LDAP-Filter:	(\|(sAMAccountType=268435456)(sAMAccountType=268435457)(sAMAccountType=805306368))	sAMAccountType=Schränkt die Authentisierung auf Mitglieder der folgenden Gruppen ein: Weitere Filter sind möglich 268435456 (→ Gruppen, SAM_ALIAS_OBJECT 0x20000000) 268435457 (→ Nicht Sicherheits-Gruppen, SAM_NON_SECURITY_ALIAS_OBJECT 0x20000001) 805306368 (→ Benutzer Konten, SAM_USER_OBJECT 0x30000000)
User-Attribute:	sAMAccountName	Es können Attribute definiert werden, unter denen die AD Verwaltung die Informationen zum Benutzer speichert und die dann von der UTM abgefragt werden können:
Mail-Attribute:	»proxyAddresses
Die Attribute von OTP bis Cert-Attribute, die hier eingetragen sind, existieren in der Regel nicht im AD. Um zum Beispiel den OTP-Geheimcode auf dem AD zu hinterlegen, kann ein ungenutztes Attribut des AD Schemas verwendet werden, der diesen Geheimcode des Benutzers enthält. Eine entsprechende Anleitung befindet sich im Artikel Einbinden der OTP Funktion in das Active Directory. Einen Wireguard Peer auf der UTM anlegen Eine Usergruppe auf dem AD anlegen, wodurch die Benutzer WireGuard nutzen können Die benötigten Wireguard Attribute in ein AD Attribut der Benutzer eintragen (zum Beispiel die extensionAttribute#) Die UTM mit dem AD verbinden und die eingestellten AD Attribute konfigurieren Auf der UTM eine Benutzergruppe anlegen, die mit der AD-Usergruppe verbunden ist und die Wireguard Berechtigung hat Die entsprechenden Verknüpfungen werden automatisch beim nächsten AD-Sync hinzugefügt Wird ein neues Attribute den Usern hinzugefügt, werden diese auch beim nächsten Sync übernommen			Reiter Attribut-Editor der Benutzereigenschaften im AD mit Beispielwerten für WireGuard Namen der verwendeten Attribute aus dem AD
OTP-Attribute:	sPOTPSecret
L2TP-Attribute:	sPL2TPAddress
WireGuard-Attribute (IPv4):	sPWireguardIP4Address	Das AD Attribut der IPv4-Adresse der WireGuard-Verbindung Die IPv4-Adresse kann in ein beliebiges AD Attribut des Benutzers hinterlegt werden. Wird die IPv4-Adresse in extensionAttribute1 hinterlegt, wird extensionAttribute1 hier eingetragen. ❶
WireGuard-Attribute (IPv6):	sPWireguardIP6Address	Das AD Attribut der IPv6-Adresse der WireGuard-Verbindung Die IPv6-Adresse kann in ein beliebiges AD Attribut des Benutzers hinterlegt werden. Wird die IPv6-Adresse in extensionAttribute2 hinterlegt, wird extensionAttribute2 hier eingetragen. ❷
WireGuard-Public-Key-Attribute:	sPWireguardPubkeyVal	Das AD Attribut des Public Key der WireGuard-Verbindung Der Public Key kann in ein beliebiges AD Attribut des Benutzers hinterlegt werden. Wird der Public Key in extensionAttribute3 hinterlegt, wird extensionAttribute3 hier eingetragen. ❸
SSL-VPN-Attribute (IPv4):	sPOVPNAddress
SSL-VPN-Attribute (IPv6):	sPOVPNIP6Address
SSL-Bump-Attribute:	sPSSLBumpMode
Cert-Attribute:	sPCertificate
Page Size:	500	In größeren Umgebungen kann es vorkommen, dass bei LDAP-Anfragen die serverseitig festgelegte, maximale Anzahl von Datensätzen (im AD sind es 1000) überschritten wird. Mit Page Size kann eingestellt werden das die LDAP-Abfrage stückweise ausgeführt wird. Eine Page Size von 500 bedeutet 500 Datensätze pro Abfrage. Die Page Size von 0 deaktiviert eine schrittweise LDAP-Abfrage.

UTM mit Entra ID anbinden

Um Entra ID (ehemals Azure AD) nutzen zu können, sind konfigurierte Azure Apps notwendig.

Hinweis
Dieser Artikel beinhaltet Beschreibungen der Software von Drittanbietern und basiert auf dem Stand zum Zeitpunkt der Erstellung dieser Seite.
Änderungen an der Benutzeroberfläche durch den Hersteller sind jederzeit möglich und müssen in der Durchführung entsprechend berücksichtigt werden.
Alle Angaben ohne Gewähr.

Um die AD-Authentifizierung mit Entra ID nutzen zu können, sind folgende Angaben erforderlich:

Anwendungs ID
Mandanten-ID
Geheimer Clientschlüssel

In dieser Anleitung wird exemplarisch gezeigt, welche Vorbereitungen und Einstellung in Microsoft Azure erforderlich sind.

Azure Active Directory admin center starten
Mandanten-ID im Menü Entra ID notieren/kopieren
Neue App registrieren unter Menü App-Registrierung Schaltfläche Neue Registrierung
Eindeutigen Namen vergeben und Schaltfläche Registrieren klicken
Anwendungs-ID notieren, alternativ kann hier die Verzeichnis-ID (Mandanten-ID) gefunden werden
Im Menü API-Berechtigungen die Schaltfläche Berechtigung hinzufügen klicken
Berechtigung Group.Read.All im Reiter Anwendungsberechtigung wählen
Berechtigung User.Read.All im Reiter Anwendungsberechtigung wählen
Im Menü API-Berechtigungen den Eintrag Administratorzustimmung für [...] erteilen aktivieren
Im Menü Zertifikate & Geheimnisse ein Geheimen Clientschlüssel erstellen
Wert notieren, wird als Geheimer Wert eingetragen
Damit ist die Konfiguration im Microsoft Azure abgeschlossen.

notempty

Die Microsoft Server brauchen ggf. bis zu 30 Minuten, bevor der Zugang funktioniert

Abb.1

Anmelden unter Portal Azure oder Microsoft Entra
In Microsoft Entra sind einige Menupunkte als Untermenupunkte eingerichtet.
Menü Azure Active Directory wählen
Mandanten-ID notieren, wird beim hinzufügen einer AD-Authentifizierung in der UTM benötigt

Abb.2

Neue App registrieren:

Menü App-Registrierung
Schaltfläche Neue Registrierung

Abb.3

Eindeutigen Namen vergeben
Schaltfläche Registrieren klicken

Abb.4

Es wird eine Zusammenfassung der soeben registrierten App angezeigt

Hier sind auch die Verzeichnis-ID (Mandanten-ID) und Anwendungs-ID (Client-ID) zu finden
Die hier angezeigte Object ID gehört nicht zur App und wird nicht benötigt!
Menu API-Berechtigungen wählen

Abb.5

Schaltfläche Berechtigung hinzufügen klicken

Abb.6

Microsoft Graph und dann den Reiter Anwendungsberechtigung wählen
Berechtigung für Group.Read.All wählen

Abb.7

Microsoft Graph und dann den Reiter Anwendungsberechtigung wählen
Berechtigung für User.Read.All wählen

Azure MC Granted Admin consent UTM-AD.png

Abb.8

Erneut Menü API-Berechtigungen auswählen
Eintrag Administratorzustimmung für [...] erteilen auswählen
Schaltfläche Ja anklicken

Abb.9

Menü Zertifikate & Geheimnisse
Reiter Geheime Clientschlüssel
Eintrag neuer geheimer Clientschlüssel
Eindeutige Beschreibung eingeben
gewünschte Laufzeit wählen (max. 24 Monate)
Schaltfläche Hinzufügen anklicken

Abb.10

Wert notieren, wird als Geheimer Wert eingetragen

Entra ID Verbindung herstellen
Besteht noch keine AD/LDAP-Authentifizierung öffnet sich automatisch der AD/LDAP Authentifizierung Assistent. Andernfalls kann der Assistent gestartet werden.
Schritt 1: Verzeichnistyp
Beschriftung	Wert	Beschreibung	AD/LDAP Authentifizierungs Assistent UTMbenutzer@firewall.name.fqdnAuthentifizierungAD/LDAP Authentifizierung
Verzeichnistyp:	Entra ID - Microsoft Entra ID	Entra ID als Verzeichnistyp auswählen
Weiter

Schritt 2: Einstellungen
Verzeichnis-ID (Mandanten-ID):	••••••••••••••••••••	Verzeichnis-ID (Mandanten-ID) aus der App-Registrierung in Entra ID
Verzeichnis-ID (Mandanten-ID):		Der eingetragene Wert wird angezeigt
Anwendungs-ID (Client-ID):	••••••••••••••••••••	Anwendungs-ID (Client-ID) aus der App-Registrierung in Entra ID
Anwendungs-ID (Client-ID):		Der eingetragene Wert wird angezeigt
Geheimer Wert	••••••••••••••••••••	Wert des geheimen Clientschlüssels aus dem Abschnitt Zertifikate & Geheimnisse der Entra ID
Geheimer Wert		Der eingetragene Wert wird angezeigt
Fertig

Ergebnis Entra ID-Anbindung
Status
Aktiviert:	Ja	Die Entra ID Authentifizierung ist aktiviert	AD/LDAP Authentifizierung UTMbenutzer@firewall.name.fqdnAuthentifizierung Assistent
Verbindungsstatus:		Zur Bestätigung wechselt die Anzeige von grau auf grün.
Verbindungsstatus:		Über diese Schaltfläche wird der Verbindungsstatus aktualisiert
Verzeichnistyp:	Entra ID	Der eingestellte Verzeichnistyp

Einstellungen
Verzeichnis-ID (Mandanten-ID):	••••••••••••••••••••	Verzeichnis-ID (Mandanten-ID) aus der App-Registrierung in Entra ID
Verzeichnis-ID (Mandanten-ID):		Der eingetragene Wert wird angezeigt
Anwendungs-ID (Client-ID):	••••••••••••••••••••	Anwendungs-ID (Client-ID) aus der App-Registrierung in Entra ID
Anwendungs-ID (Client-ID):		Der eingetragene Wert wird angezeigt
Geheimer Wert	••••••••••••••••••••	Wert des geheimen Clientschlüssels aus dem Abschnitt Zertifikate & Geheimnisse der Entra ID
Geheimer Wert		Der eingetragene Wert wird angezeigt

AD Benutzergruppen Berechtigungen erteilen

Gruppe hinzufügen UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer Gruppen Berechtigungen

Um den Benutzern aus dem Active Directory die Berechtigungen für den Zugriff auf das User-Interface der UTM und der Nutzung des Clientless VPN zu erteilen, wird im Menü Bereich

Gruppen

Schaltfläche Gruppe hinzufügen eine Gruppe mit eben diesen Berechtigungen angelegt.

Aktiv	Berechtigung	Hinweis
Ein	Userinterface
Ein	Clientless VPN	Gewünschte Berechtigung

UTM 12.6 Authentifizierung Gruppe-hinzufügen Verzeichnisdienst.png

Benutzergruppe aus AD auswählen

Im Bereich

Verzeichnis Dienst

kann jetzt die entsprechende Gruppe aus dem Active Directory ausgewählt und zugeordnet werden.
Weitere Informationen über Clientless VPN Berechtigungen befindet sich in dem Wiki zu Clientless VPN.

Ergebnis

Nach dem Speichern kann sich jeder Benutzer, der Mitglied in der AD Gruppe ClientlessVPN ist, mit seinen Windows Domänen Zugangsdaten für die Nutzung des Clientless VPN auf der UTM anmelden.

Überprüfen der AD Anbindung mit CLI

Über CLI (Command Line Interface) Kommandos lässt sich verschiedenes über die Active Directory Anbindung und Benutzer überprüfen.notempty

Hinweis:

Erfolgt die Eingabe (Bildschirm und Tastatur) direkt an der UTM lautet der Eingabe-Prompt der Firewall z. B.: firewall.foo.local> bzw. entsprechend der lokalen Konfiguration. Bei Aufruf über das User-Interface mit dem Menü lautet der Prompt CLI>Dahinter befindet sich das CLI Kommando.
Bei den Zeilen darunter handelt es sich um die Ausgabe der UTM zu diesem Befehl.

Beitreten und Verlassen der Domäne

Um zu überprüfen ob die UTM schon der Domäne beigetreten ist:

cli> system activedirectory testjoin
Join is OK
cli>

Sollte das nicht der Fall sein, erfolgt die Ausgabe

cli> system activedirectory testjoin
Not joined
cli>

In diesem Fall kann der Domäne mit dem folgenden Kommando beigetreten werden

cli> system activedirectory join password Beispiel-Admin-Passwort
Password for Administrator@TTT-POINT.LOCAL: 
Processing principals to add...
Enter Administrator's password:
Using short domain name -- TTT-POINT
Joined 'SP-UTML' to dns domain 'ttt-point.local'
cli>

Das Kommando um die Domäne zu verlassen lautet

cli> system activedirectory leave password Beispiel-Admin-Passwort
Enter Administrator's password:
Deleted account for 'SP-UTML' in realm 'TTT-POINT.LOCAL'
cli>

Beim Beitreten bzw. Verlassen des Active Directories ist die Angabe des Administratorpasswortes notwendig. Das Passwort wird nicht gespeichert, die AD-Zugehörigkeit ist trotzdem Reboot fest.

AD Gruppen anzeigen

Mit dem folgenden Kommando können die Gruppen im Active Directory aufgelistet werden:

cli> system activedirectory lsgroups
member
------
Abgelehnte RODC-Kennwortreplikationsgruppe
Administratoren
Benutzer
Builtin
ClientlessVPN
Discovery Management
Domänen-Admins
Domänen-Benutzer
Domänen-Gäste
Exchange Servers
...
Users 
Windows-Autorisierungszugriffsgruppe
cli>

Überprüfen der Benutzer und Gruppenzugehörigkeit

Das folgende Kommando überprüft, ob ein AD-Benutzer einer UTM Gruppe zugeordnet ist:

cli> user check name "m.meier" groups grp_ClientlessVPN
matched
cli>

Sollte das nicht der Fall sein erfolgt die Ausgabe

not a member
cli>

Befehl, um zu einem AD-Benutzer die Gruppenzugehörigkeit und Berechtigungen aus zugegeben:

cli> user get name m.meier
name   |groups           |permission
-------+-----------------+----------
m.meier|grp_ClientlessVPN|WEB_USER,VPN_CLIENTLESS
cli>

Domain-Controller hinter Site-to-Site-VPN

In manchen Szenarien befindet sich der Domain-Controller hinter einem Site-to-Site-VPN-Tunnel.
Ist dies der Fall, muss eine entsprechende Zone und eine Regel konfiguriert werden.
Siehe auch DNS-Relay bei IPSec-S2S ‖ DNS-Relay bei SSL (OpenVPN) -S2S ‖ DNS-Relay bei WireGuard-S2S

notempty

Achtung: Für einen Beitritt in ein Active-Directory, das sich hinter einem VPN-Tunnel befindet, werden in der NAT-Regel Richtung Domain-Controller neben den DNS-Ports die LDAP-Ports benötigt.

@@ Zeile 1: / Zeile 1: @@
-{{Archivhinweis|UTM/AUTH/AD_Anbindung|pre=12.6.0}}
+<span id=1270></span>{{Set_lang}}
-{{Set_lang}}
 {{#vardefine:headerIcon|spicon-utm}}
+{{:UTM/AUTH/AD Anbindung.lang}}
-{{var | display
+{{var   | neu--Entra ID
-	  | AD/LDAP-Anbindung
+	    | Umbenennung Azure AD in Entra ID
-	  | AD/LDAP Authentication }}
+	    |  }}
-{{var | head
-	  | Anbindung einer UTM an ein AD/LDAP
-	  | Connection of a UTM to an AD/LDAP }}
-{{var | Authentifizierung
-	  | Authentifizierung
-	  | Authentication }}
-{{var | AD/LDAP Authentifizierung
-	  | AD/LDAP Authentifizierung
-	  | AD/LDAP Authentication }}
-{{var | Einführung
-	  | Einführung
-	  | Introduction }}
-{{var | ladap--desc
-	  | <p>Die AD/LDAP-Anbindung ermöglicht es, bestehende Verzeichnisdienste wie das Microsoft Active Directory® oder andere auf dem LDAProtocol basierende Systeme für die Authentifizierung, Verwaltung von Gruppen und Speichern von Attributen zu nutzen.</p>
-<p>Zentral verwaltete Benutzer aus dem Verzeichnis können so einfach für die Authentifizierung oder Nutzung von Diensten auf der UTM verwendet werden.</p>
-<p>Dies erleichtert die Administration komplexer Unternehmensnetzwerke und vereinheitlicht die Benutzer-Verwaltung.</p>
-<p>Für die Anbindung an das Directory wird unter anderem das Light Directory Access Protocol (LDAP) verwendet.<br>
-Mittels LDAP können die Informationen über Benutzer, Gruppen und weitere Objekte aus dem Directory ausgelesen werden.</p>
-<p>{{Alert|g}}Das Protokoll selbst sieht dabei im Standard keine Verschlüsselung oder Authentifizierung der Nachrichten vor.</p>
-<p>In [https://portal.msrc.microsoft.com/de-de/security-guidance/advisory/ADV190023 ADV190023] (Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing) wird
-auf diesen Umstand hingewiesen und eine Anpassung der Sicherheitseinstellungen bekannt gegeben.</p>
-<p>Zukünftig ist eine Signierung und Verschlüsselung des LDAP-Verkehrs erforderlich (''seal'').</p>
-<p>{{Hinweis-box|Diese Umstellung wird von der UTM automatisch vorgenommen.|gr}}</p>
-<p>Alternativ kann die gesamte Verbindung mit SSL abgesichert werden.</p>
-	  | <p>AD/LDAP connectivity enables existing directory services such as Microsoft Active Directory® or other LDAProtocol-based systems to be used for authentication, group management, and attribute storage.</p>
-<p> Centrally managed users from the directory can thus easily be used for authentication or use of services on the UTM.</p>
-<p> This simplifies the administration of complex corporate networks and unifies user management.</p>
-<p> Among other things, the Light Directory Access Protocol (LDAP) is used for the connection to the directory..<br>
-Using LDAP, information about users, groups and other objects can be read from the directory.</p>
-<p>{{Alert|g}} The standard protocol itself does not provide for encryption or authentication of the messages.</p>
-<p> In [https://portal.msrc.microsoft.com/de-de/security-guidance/advisory/ADV190023 ADV190023] (Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing) it is pointed out
-and an adjustment of the security settings is given.</p>
-<p> In the future, signing and encryption of LDAP traffic will be required (''seal'').</p>
-<p>{{Hinweis-box|This change is made automatically by the UTM.|gr}}</p>
-<p> Alternatively, the entire connection can be secured with SSL.</p>
-  }}
-{{var | Voraussetzung
+</div><div class="new_design"></div>{{Select_lang}}{{TOC2|limit=2}}
-	  | Voraussetzung
+{{Header|12.7.0|
-	  | Requirement}}
+* {{#var:neu--Entra ID}}
-{{var | Voraussetzung--desc
+|[[UTM/AUTH/AD_Anbindung_v12.6.1 | 12.6.1]]
-	  | Um ein AD / LDAP zur Authentisierung nutzen zu können, müssen dort Benutzer angelegt und in Gruppen organisiert sein.
+[[UTM/AUTH/AD_Anbindung_v12.5.4 | 12.5.4]]
-	  | To use an AD / LDAP for authentication, users must be created there and organized in groups. }}
+[[UTM/AUTH/AD_Anbindung_v12.4 |'''12.4''']]
-{{var | vorbereitung-ad
-	  | Vorbereitung im Active Directory anzeigen
-	  | Show preparation in Active Directory }}
-{{var | add-usergroup
-	  | Benutzergruppen im AD anlegen
-	  | Create user groups in AD }}
-{{var | security-groups--ad
-	  | Sicherheitsgruppe hinzufügen
-	  | Add a security group }}
-{{var | security-groups--added
-	  | Sicherheitsgruppe hinzugefügt
-	  | Security group added }}
-{{var | user-groups--added--text
-	  | <p>In diesem Beispiel sollen die Benutzer für [[UTM/VPN/ClientlessVPN | Clientless VPN]] über den Active Directory Service Authentifiziert werden.</p><p>Es muss also zunächst eine Gruppe vom Typ ''Sicherheitsgruppe'' auf dem AD hinzugefügt werden, die hier den Namen ''ClientlessVPN'' bekommt.</p>
-	  | <p>In this example, the users for [{{#var:host}}UTM/VPN/ClientlessVPN Clientless VPN] are to be authenticated via the Active Directory Service.</p><p> So first of all a group of the type ''Security Group'' must be added on the AD, which is given the name ''ClientlessVPN'' here.</p> }}
-{{var | Benutzer hinzufügen
-	  | Benutzer im AD hinzufügen
-	  | Add user in AD}}
-{{var | Benutzer-ist-mitglied
-	  | Benutzer ist Mitglied der Gruppe
-	  | User is a member of the group }}
-{{var | Benutzer hinzufügen--desc
-	  | Anschließend werden die Benutzer, die für Clientless VPN freigeschaltet werden sollen, zu dieser Gruppe hinzugefügt.
-	  | The users to be enabled for Clientless VPN are then added to this group. }}
-{{var | utm-in-domäne
-	  | UTM in die Domäne einbinden
-	  | Integrate UTM into the domain }}
-{{var | utm-in-domäne--uhrzeit
-	  | Es muss darauf geachtet werden, dass die [[UTM/NET/Servereinstellungen#Zeiteinstellungen | Uhrzeit der UTM]] mit dem des AD einigermaßen synchron läuft, da ein Kerberos Ticket nur eine begrenzte Gültigkeitsdauer hat.
-	  | It is important to make sure that the [{{#var:host}}UTM/NET/Servereinstellungen#Time_Settings UTM Time] is reasonably synchronized with the AD, since a Kerberos ticket has a limited validity period. }}
-{{var | utm-in-domäne--authentifizierung
-	  | Im Menü {{Menu | Authentifizierung |AD/LDAP Authentifizierung}} wird die Authentifizierung konfiguriert.
-	  | In the menu {{Menu | Authentication |AD/LDAP Authentication}} the authentication is configured. }}
-{{var | ad-verbindung
-	  | AD Verbindung herstellen
-	  | Establishing an AD connection }}
-{{var | ad-verbindung--text
-	  | Besteht noch keine AD/LDAP-Authentifizierung öffnet sich automatisch der AD/LDAP Authentifizierungs Assistent
-	  | If there is no AD/LDAP authentication yet, the AD/LDAP authentication wizard opens automatically }}
-{{var | ad-verbindung--assistent
-	  | Andernfalls kann der Assistent mit der Schaltfläche {{Button| Assistent }} gestartet werden.
-	  | Otherwise the wizard can be started with the button {{Button| Wizard }} }}
-{{var | Schritt
-	  | Schritt
-	  | Step }}
-{{var | Verzeichnistyp
-	  | Verzeichnistyp
-	  | Directory type }}
-{{var | 1=ad-hinweis
-	  | 2=Es sollte auf alle Fälle der Verzeichnistyp <i>»AD«</i> gewählt werden, wenn es sich um eine Active Directory Umgebung handelt.
-	  | 3=In any case, the directory type <i>»AD«</i> should be selected if it is an Active Directory environment. }}
-{{var | ad-hinweis--erklärung
-	  | Zwar läuft auch hier ein LDAP, die Gruppenzugehörigkeit wird aber in der AD Umgebung anders behandelt als bei einem reinen LDAP-Server.
-	  | Even there is also running an LDAP, the group membership is treated differently in the AD environment than in a pure LDAP server. }}
-{{var | schritt-1--bild
-	  | UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt1.png
-	  | UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt1-en.png }}
-{{var | Weiter
-	  | Weiter
-	  | Next }}
-{{var | Einstellungen
-	  | Einstellungen
-	  | Options }}
-{{var | ip
-	  | IP oder Hostname:
-	  | IP Address or Hostname: }}
-{{var | beispiel-adrresse
-	  | (Beispiel-Adresse!)
-	  | (Example address!) }}
-{{var | schritt-2--bild
-	  | UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt2.png
-	  | UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt2-en.png }}
-{{var | Arbeitsgruppe
-	  | Arbeitsgruppe:
-	  | Workgroup: }}
-{{var | netbios-name
-	  | Der NETBIOS-Name des AD<br>Sollte dieser von der ''Base Domain'' abweichen, muss hier der korrekte NETBIOS-Name eingetragen werden.
-	  | The NETBIOS name of the AD<br>If this should differ from the ''base domain'', the correct NETBIOS name must be entered here. }}
-{{var | appliance-account--text
-	  | Der Name, unter dem die UTM im AD in der Gruppe ''Computers'' eingetragen wird.<br>Ein eindeutiger Name, der nicht doppelt vergeben werden darf!
-	  | The name by which the UTM is entered in the AD in the group ''Computers''.<br>A unique name that must not be assigned twice! }}
-{{var | appliance-account--text--cluster-hinweis
-	  | Bei Betrieb der UTM im Cluster muss der Name im Master und Spare unterschiedlich sein. Der Name wird nicht synchronisiert!
-	  | When operating the UTM in a cluster, the name in the master and spare must be different. The name is not synchronized! }}
-{{var | schritt-3--text
-	  | Ist der AD-Server noch nicht als Name-Server eingetragen, wird das in diesem Schritt vorgenommen:
-	  | If the AD server is not yet entered as the name server, this is done in this step: }}
-{{var | add-server
-	  | Server hinzufügen
-	  | Add Server }}
-{{var | ip-adresse
-	  | IP-Adresse
-	  | IP address: }}
-{{var | Beispieladresse
-	  | Beispieladresse!
-	  | Sample address! }}
-{{var | ip-adresse--text
-	  | IP-Adresse eines AD-Servers der Domäne, ggf. zusätzlich der Port
-	  | IP address of an AD server of the domain, if necessary additionally the port }}
-{{var | schritt-3--bild
-	  | UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt3.png
-	  | UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt3-en.png }}
-{{var | Speichern
-	  | Speichern
-	  | Save }}
-{{var | ad-server
-	  | Der AD-Server wird damit als Relay-Zone im Nameserver der UTM hinzugefügt.</p><p>Der Eintrag ist im Menü {{Menu|Anwendungen|Nameserver }} im Reiter {{Reiter|Zonen}} zu finden.
-	  | The AD server is thus added as a relay zone in the name server of the UTM.</p><p>The entry can be found in the menu {{Menu|Applications|Nameserver }} in the tab {{Reiter|Zones}}. }}
-{{var | Beitreten
-	  | Beitreten
-	  | Join }}
-{{var | Administratorname
-	  | Administratorname:
-	  | Administratorname: }}
-{{var | Administratorname--hinweis
-	  | Um der Domäne beizutreten ist ein Benutzer-Konto mit Domain-Administrator-Rechten erforderlich.
-	  | To join the domain, a user account with domain administrator permissions is required. }}
-{{var | schritt-4--bild
-	  | UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt4.png
-	  | UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt4-en.png }}
-{{var | Passwort
-	  | Passwort:
-	  | Password: }}
-{{var | hinweis--cluster
-	  | Hinweis bei Clusterbetrieb
-	  | Note for cluster operation }}
-{{var | ausblenden
-	  | ausblenden
-	  | hide }}
-{{var | hinweis--cluster--text
-	  | Bei Betrieb der UTM im Cluster muss das Passwort auf der Spare-UTM unter {{Menu|Authentifizierung|AD/LDAP Authentifizierung|Beitreten}} separat eingegeben werden. </p><small>Bis auf den {{b|Appliance Account:}} (siehe Schritt 2) werden alle anderen Angaben im Cluster synchronisiert.</small> <br>Abschluss mit {{Button| Beitreten}}
-	  | When operating the UTM in a cluster, the password on the spare UTM must be entered separately under {{Menu|Authentication|AD/LDAP Authentication|Join }}. </p><small>Except of the {{b|Appliance Account:}} (see step 2), all other information in the cluster will be synchronized.</small> <br>Complete with {{Button|Join}} }}
-{{var | fertig
-	  | Fertig
-	  | Finish }}
-{{var | ergebnis-ad
-	  | Ergebnis AD-Anbindung
-	  | Result of AD connection }}
-{{var | ergebnis-ad--text
-	  | Ergebnis im Abschnitt {{ Kasten | Status}} :
-	  | Result in section {{ Kasten | Status}} : }}
-{{var | aktiviert
-	  | Aktiviert
-	  | Enabled:  }}
-{{var | ad-aktiviert--text
-	  | Die AD/LDAP Authentifizierung ist aktiviert.
-	  | AD/LDAP authentication is enabled. }}
-{{var | ergebnis--bild
-	  | UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung.png
-	  | UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung-en.png }}
-{{var | Verbindungsstatus
-	  | Verbindungsstatus:
-	  | Connection Status:  }}
-{{var | Verbindungsstatus--text
-	  | Zur Bestätigung wechselt die Anzeige von grau auf grün.<br/>Aktualisieren mit {{Button| |refresh}}
-	  | For confirmation the display changes from grey to green.<br/>Update with {{Button| |refresh}} }}
-{{var | Erweiterte-Einstellungen
-	  | Erweiterte Einstellungen
-	  | Extended settings }}
-{{var | Erweitert
-	  | Erweitert
- 	  | Extended }}
-{{var | ssl--text
-	  | Die Verbindung zum Active Directory Server kann SSL-Verschlüsselt hergestellt werden.
-	  | The connection to the Active Directory server can be established using SSL encryption. }}
-{{var | erweitert--bild
-	  | UTM v12.4 Authentifizierung AD-LDAP-Authentifizierung Erweitert.png
-	  | UTM_v12.4_Authentifizierung_AD-LDAP-Authentifizierung_Erweitert-en.png }}
-{{var | erweitert--cap
-	  | Erweiterte Einstellungen
-	  | Extended settings }}
-{{var | WG-Attribute im AD--Bild
-		| UTM v12.4 WG-Attribute im AD.png
-		|  }}
-{{var	| WG-Attribute im AD--cap
-		| Reiter ''Attribut-Editor'' der Benutzereigenschaften im AD <br>mit Beispielwerten für WireGuard<br>&emsp;
-		| Attribute Editor tab of the user properties in AD <br>with example values for WireGuard<br>&emsp; }}
-{{var | erweitert2--bild
-	  | UTM v12.4 Authentifizierung AD-LDAP-Authentifizierung AD-Attribute.png
-	  | UTM v12.4 Authentifizierung AD-LDAP-Authentifizierung AD-Attribute-en.png }}
-{{var | erweitert2--cap
-	  | Namen der verwendeten Attribute aus dem AD
-	  | Names of the attributes used from the AD }}
-{{var | ldap--hinweis
-	  | Hinweis zur LDAP-Verschlüsselung
-	  | Note on LDAP Encryption }}
-{{var | ldap-verschlüsselung--automatisch--separat
-	  | bestehende und neue Verbindungen werden separat verschlüsselt und signiert (''seal'')
-	  | existing and new connections are encrypted and signed separately }}
-{{var | ldap-verschlüsselung--automatisch--ssl
-	  | bei Aktivierung von SSL wird keine zusätzliche Verschlüsselung angewendet.
-	  | if SSL is activated, no additional encryption is applied }}
-{{var | Root-Zertifikat
-	  | Root-Zertifikat
-	  | Root certificate }}
-{{var | Zertifikat
-	  | Zertifikat
-	  | Certificate }}
-{{var | Zertifikat--text
- 	  | Es kann ein Root-Zertifikat hinterlegt werden.
-	  | A root certificate can be deposited. }}
-{{var | LDAP-Filter--desc
-	  | Schränkt die Authentisierung auf Mitglieder der folgenden Gruppen ein: {{info|Weitere Filter sind möglich}}
-* 268435456 (→ Gruppen, SAM_ALIAS_OBJECT 0x20000000)
-* 268435457 (→ Nicht Sicherheits-Gruppen, SAM_NON_SECURITY_ALIAS_OBJECT 0x20000001)
-* 805306368 (→ Benutzer Konten, SAM_USER_OBJECT 0x30000000)
-	  | Restricts authentication to members of the following groups: {{info|Further filters are possible}}
-* 268435456 (→ Groups, SAM_ALIAS_OBJECT 0x20000000)
-* 268435457 (→ Non Security Groups, SAM_NON_SECURITY_ALIAS_OBJECT 0x20000001)
-* 805306368 (→ User Accounts, SAM_USER_OBJECT 0x30000000) }}
-{{var | User-Attribute
-	  | User-Attribute
-	  | User-Attribute:  }}
-{{var | User-Attribute--text
-	  | Es können Attribute definiert werden, unter denen die AD Verwaltung die Informationen zum Benutzer speichert und die dann von der UTM abgefragt werden können:
-	  | Attributes can be defined under which the AD administration stores the user information and which can then be queried by the UTM: }}
-{{var | Mail-Attribute
-	  | Mail-Attribute
-	  | Mail-Attribute }}
-{{var | Mail-Attribute--text
-	  | Die Attribute von ''OTP'' bis ''Cert-Attribute'', die hier eingetragen sind, existieren in der Regel nicht im AD.<br>Um zum Beispiel den OTP-Geheimcode auf dem AD zu hinterlegen, kann ein ungenutztes Attribut des AD Schemas verwendet werden, der diesen Geheimcode des Benutzers enthält.<br>Eine entsprechende Anleitung befindet sich im Artikel [[UTM/AUTH/OTP-AD | Einbinden der OTP Funktion in das Active Directory]].
-	  | The attributes from OTP to Cert-Attribute, which are entered here, usually do not exist in the AD.<br>For example, to store the OTP secret code on the AD, an unused attribute of the AD schema can be used, which contains this secret code of the user.<br>A corresponding instruction can be found in the article [{{#var:host}}UTM/AUTH/OTP-AD Integrating the OTP function into the Active Directory]. }}
-{{var | page-size--desc
-	  | In größeren Umgebungen kann es vorkommen, dass bei LDAP-Anfragen die serverseitig festgelegte, maximale Anzahl von Datensätzen (im AD sind es 1000) überschritten wird.<br>Mit Page Size kann eingestellt werden das die LDAP-Abfrage stückweise ausgeführt wird.<br>Eine Page Size von 500 bedeutet 500 Datensätze pro Abfrage. Die Page Size von 0 deaktiviert eine schrittweise LDAP-Abfrage.
-	  | In larger environments, LDAP requests may exceed the maximum number of records defined on the server side (1000 in AD). With Page Size you can set that the LDAP query is executed piecewise. A page size of 500 means 500 data records per query. A page size of 0 deactivates a step-by-step LDAP query. }}
-{{var | ad-benutzergruppen-berechtigungen
-	  | AD Benutzergruppen Berechtigungen erteilen
-	  | AD Grant permissions to user groups }}
-{{var | ad-benutzergruppen-berechtigungen--bild
-	  | UTM_11-8_Authentifizierung_Benutzer_Gruppe-CLientlessvpn.png
-	  | UTM_11-8_Authentifizierung_Benutzer_Gruppe-CLientlessvpn-en.png }}
-{{var | ad-benutzergruppen-berechtigungen--bild--cap
-	  | Gruppen Berechtigungen
-	  | Group permissions }}
-{{var | ad-benutzergruppen-berechtigungen--desc
-	  | Um den Benutzern aus dem Active Directory die Berechtigungen für den Zugriff auf das User-Interface der UTM und der Nutzung des Clientless VPN zu erteilen, wird im Menü {{Menu|Authentifizierung|Benutzer|Gruppen|Gruppe hinzufügen|+}} eine Gruppe mit eben diesen Berechtigungen angelegt.
-	  | To grant users from the Active Directory the permissions for accessing the UTM user interface and using the Clientless VPN, a group with exactly these permissions is created in the {{Menu|Authentication|User|Groups|Add Group|+}} menu. }}
-{{var | Aktiv
-	  | Aktiv
-	  | Active }}
-{{var | Berechtigung
-	  | Berechtigung
-	  | Permissions }}
-{{var | Hinweis
-	  | Hinweis
-	  | Note }}
-{{var | benutzergruppe-auswählen
-	  | UTM_11-8_Authentifizierung_Gruppe-hinzufügen_Verzeichnisdienst.png
-	  | UTM_11-8_Authentifizierung_Gruppe-hinzufügen_Verzeichnisdienst-en.png }}
-{{var | benutzergruppe-auswählen--cap
-	  | Benutzergruppe aus AD auswählen
-	  | Select user group from AD }}
-{{var | benutzergruppe-auswählen--text
-	  | Im Reiter {{ Reiter | Verzeichnis Dienst}} kann jetzt die entsprechende Gruppe aus dem Active Directory ausgewählt und zugeordnet werden.<p>Weitere Informationen über Clientless VPN Berechtigungen befindet sich in dem Wiki zu [[UTM/VPN/ClientlessVPN#Zuweisen_der_Gruppe | Clientless VPN]].</p>
-	  | In the tab {{Reiter| Directory Service}} the corresponding group from the Active Directory can now be selected and assigned.<p> Further information about Clientless VPN permissions can be found in the wiki for [{{#var:host}}UTM/VPN/ClientlessVPN#Assign_to_the_group Clientless VPN].</p> }}
-{{var | Ergebnis
-	  | Ergebnis
-	  | Result }}
-{{var | Ergebnis--text
-	  | Nach dem Speichern kann sich jeder Benutzer, der Mitglied in der AD Gruppe ''ClientlessVPN'' ist, mit seinen Windows Domänen Zugangsdaten für die Nutzung des Clientless VPN auf der UTM anmelden.
-	  | After saving, every user who is a member of the AD group ''ClientlessVPN'' can log on to the UTM with their Windows domains access data for using the Clientless VPN. }}
-{{var | ad-test-cli
-	  | Überprüfen der AD Anbindung mit CLI
-	  | Verifying the AD connection with CLI }}
-{{var | ad-test-cli--text
-	  | Über CLI (Command Line Interface) Kommandos lässt sich verschiedenes über die Active Directory Anbindung und Benutzer überprüfen.{{Hinweis-box|Hinweis:}} Erfolgt die Eingabe (Bildschirm und Tastatur) direkt an der UTM  lautet der Eingabe-Prompt der Firewall z. B.: ''firewall.foo.local>'' bzw. entsprechend der lokalen Konfiguration. Bei Aufruf über das User-Interface mit dem Menü {{Menu|Extras|CLI}} lautet der Prompt ''CLI>''Dahinter befindet sich das CLI Kommando.<br>Bei den Zeilen darunter handelt es sich um die Ausgabe der UTM zu diesem Befehl.
-	  | CLI (Command Line Interface) commands can be used to check various things about the Active Directory connection and users.{{Hinweis-box|Hinweis:}} If the input (screen and keyboard) is made directly at the UTM, the input prompt of the firewall is e. g.: ''firewall.foo.local>'' or according to the local configuration. When called from the user interface with the {{Menu|Extras|CLI}} menu, the prompt is ''CLI>''. This is followed by the CLI command.<br> The lines below are the output of the UTM for this command. }}
-{{var | ad-beitreten
-	  | Beitreten und Verlassen der Domäne
-	  | Joining and leaving the domain }}
-{{var | ad-beitreten--text
-	  | Um zu überprüfen ob die UTM schon der Domäne beigetreten ist:
-	  | To validate whether the UTM has already joined the domain: }}
-{{var | ad-beitreten--text--alternativ
-	  | Sollte das nicht der Fall sein, erfolgt die Ausgabe
-	  | If this is not the case, the following output will take place }}
-{{var | ad-beitreten--alternativ--comand
-	  | In diesem Fall kann der Domäne mit dem folgenden Kommando beigetreten werden
-	  | In this case the domain can be joined with the following command }}
-{{var | ad-beitreten--command-verlassen
-	  | Das Kommando um die Domäne zu verlassen lautet
-	  | The command to leave the domain is }}
-{{var | ad-beitreten--passwort
-	  | Beim Beitreten bzw. Verlassen des Active Directories ist die Angabe des Administratorpasswortes notwendig. Das Passwort wird nicht gespeichert, die AD-Zugehörigkeit ist trotzdem Reboot fest.
-	  | When entering or leaving the Active Directory, the administrator password must be entered. The password is not stored, but the AD membership is nevertheless rebootable. }}
-{{var | ad-zeigen
-	  | AD Gruppen anzeigen
-	  | Display AD groups }}
-{{var | ad-zeigen--text
-	  | Mit dem folgenden Kommando können die Gruppen im Active Directory aufgelistet werden:
-	  | With the following command the groups can be listed in the Active Directory: }}
-{{var | ad-zugehörigkeit
-	  | Überprüfen der Benutzer und Gruppenzugehörigkeit
-	  | Verification of users and group membership }}
-{{var | ad-zugehörigkeit--text
-	  | Das folgende Kommando überprüft, ob ein ''AD-Benutzer'' einer ''UTM Gruppe'' zugeordnet ist:
-	  | The following command checks whether an ''AD user'' is assigned to an ''UTM group'': }}
-{{var | ad-zugehörigkeit--no-member
-	  | Sollte das nicht der Fall sein erfolgt die Ausgabe
-	  | If this is not the case, the output is }}
-{{var | ad-zugehörigkeit--gruppe
-	  | Befehl, um zu einem AD-Benutzer die Gruppenzugehörigkeit und Berechtigungen aus zugegeben:
-	  | Command to display the group membership and permissions for an AD user: }}
-{{var | dc-hinters2s
-	  | Domain-Controller hinter Site-to-Site-VPN
-	  | Domain controller behind site-to-site VPN }}
-{{var | dc-hinters2s--text
-	  | In manchen Szenarien befindet sich der Domain-Controller hinter einem Site-to-Site-VPN-Tunnel. <br>Ist dies der Fall, muss eine entsprechende Zone und eine Regel konfiguriert werden.
-	  | In some scenarios, the domain controller is located behind a site-to-site VPN tunnel. <br>If this is the case, a corresponding zone and rule must be configured. }}
-{{var | dc-hinters2s--hinweis
-	  | Achtung: Für einen Beitritt in ein Active-Directory, das sich hinter einem VPN-Tunnel befindet, werden in der NAT-Regel Richtung Domain-Controller neben den DNS-Ports die LDAP-Ports benötigt.
-	  | Attention: To join an active directory located behind a VPN tunnel, the LDAP ports are required in the NAT rule towards the domain controller in addition to the DNS ports. }}
-{{var | 1=groups--permissions
-	  | 2=<p>Die Berechtigungen zu den in der UTM enthaltenen Diensten können in Gruppen verwaltet werden. Die Benutzer, die diesen Gruppen zugeordnet werden sollen, müssen zunächst entsprechenden Benutzergruppen im AD zugeordnet werden.</p>
-	  | 3=<p>The authorizations for the services contained in the UTM can be managed in groups. The users to be assigned to these groups must first be assigned to corresponding user groups in AD.</p> }}
-{{var | neu--alle-dcs
-	  | Ab 11.8.10: Verwendung sämtlicher DCs für LDAP Anfragen
-	  | As of 11.8.10: Use of all DCs for LDAP requests  }}
-{{var | neu--alle-dcs--desc
-	  | Ab Version 11.8.10 wird nicht nur der PDC, sondern '''sämtliche''' DCs für LDAP Anfragen verwendet. Somit steht die Authentifizierung für Benutzer aus dem AD auch zu Verfügung, wenn der PDC nicht erreichbar ist.
-	  | Starting with version 11.8.10, not only the PDC, but '''all''' DCs are used for LDAP requests. Thus, authentication for users from the AD is available even if the PDC is not reachable. }}
-{{var	| dc-hinters2s--Link
-		| Siehe auch [[UTM/VPN/DNS_Relay#DNS_Relay_f.C3.BCr_einen_IPSec_Site-to-Site_Tunnel | DNS-Relay bei IPSec-S2S]] &#8214; [[UTM/VPN/DNS_Relay#DNS_Relay_f.C3.BCr_einen_OpenVPN_Site-to-Site_Tunnel | DNS-Relay bei SSL (OpenVPN) -S2S]]
-		| See also [{{#var:host}}UTM/VPN/DNS_Relay#DNS_Relay_for_an_IPSec_Site-to-Site_Tunnel DNS-Relay for IPSec-S2S] &#8214;
-[{{#var:host}}UTM/VPN/DNS_Relay#DNS_Relay_for_an_OpenVPN_Site-to-Site_Tunnel DNS-Relay for SSL (OpenVPN) -S2S] }}
-{{var	| WireGuard-Attribute (IPv4)--desc
-		| Das AD Attribut der IPv4-Adresse der WireGuard-Verbindung
-		| The AD attribute of the IPv4 address of the WireGuard connection. }}
-{{var	| WireGuard-Attribute (IPv4)--info
-		| Die IPv4-Adresse kann in ein beliebiges AD Attribut des Benutzers hinterlegt werden. Wird die IPv4-Adresse in ''extensionAttribute1'' hinterlegt, wird {{ic|extensionAttribute1}} hier eingetragen.
-		| The IPv4 address can be stored in any AD attribute of the user. If the IPv4 address is stored in ''extensionAttribute1'', {{ic|extensionAttribute1}} is entered here. }}
-{{var	| WireGuard-Attribute (IPv6)--desc
-		| Das AD Attribut der IPv6-Adresse der WireGuard-Verbindung
-		| The AD attribute of the IPv6 address of the WireGuard connection }}
-{{var	| WireGuard-Attribute (IPv6)--info
-		| Die IPv6-Adresse kann in ein beliebiges AD Attribut des Benutzers hinterlegt werden. Wird die IPv6-Adresse in ''extensionAttribute2'' hinterlegt, wird {{ic|extensionAttribute2}} hier eingetragen.
-		| The IPv6 address can be stored in any AD attribute of the user. If the IPv6 address is stored in ''extensionAttribute2'', {{ic|extensionAttribute2}} is entered here. }}
-{{var	| WireGuard-Public-Key-Attribute--desc
-		| Das AD Attribut des Public Key der WireGuard-Verbindung
-		| The AD attribute of the public key of the WireGuard connection. }}
-{{var	| WireGuard-Public-Key-Attribute--info
-		| Der Public Key kann in ein beliebiges AD Attribut des Benutzers hinterlegt werden. Wird der Public Key in ''extensionAttribute3'' hinterlegt, wird {{ic|extensionAttribute3}} hier eingetragen.
-		| The public key can be stored in any AD attribute of the user. If the public key is stored in ''extensionAttribute3'', {{ic|extensionAttribute3}} is entered here. }}
-{{var	| Konfiguration WireGuard AD--show
-		| Konfiguration der WireGuard Windows-AD Verknüpfung anzeigen
-		| Show configuration of the WireGuard Windows-AD shortcut }}
-{{var	| Konfiguration WireGuard AD--hide
-		| Konfiguration der WireGuard Windows-AD Verknüpfung ausblenden
-		| Hide the configuration of the WireGuard Windows-AD shortcut }}
-{{var	| WireGuard AD Verknüpfung
-		| * Einen Wireguard Peer auf der UTM anlegen
-* Eine Usergruppe auf dem AD anlegen, wodurch die Benutzer WireGuard nutzen können
-* Die benötigten Wireguard Attribute in ein AD Attribut der Benutzer eintragen (zum Beispiel die ''extensionAttribute#'')
-* Die UTM mit dem AD verbinden und die eingestellten AD Attribute konfigurieren
-* Auf der UTM eine Benutzergruppe anlegen, die mit der AD-Usergruppe verbunden ist und die Wireguard Berechtigung hat
-* Die entsprechenden Verknüpfungen werden automatisch beim nächsten AD-Sync hinzugefügt
-* Wird ein neues Attribute den Usern hinzugefügt, werden diese auch beim nächsten Sync übernommen
-		| * Create a Wireguard peer on the UTM
-* Create a user group on the AD, which allows the users to use WireGuard
-* Enter the required Wireguard attributes into an AD attribute of the users (for example the ''extensionAttribute#'')
-* Connect the UTM to the AD and configure the set AD attributes
-* Create a user group on the UTM which is connected to the AD user group and has the Wireguard permission
-* The corresponding connections will be added automatically during the next AD sync
-* If a new attribute is added to the users, these are also taken over at the next sync }}
-{{var	| UTM Azure AD
-		| UTM mit Azure AD anbinden
-		| Connect UTM with Azure AD }}
-{{var	| UTM Azure AD--desc
-		| Um Azure AD nutzen zu können, sind konfigurierte Azure Apps notwendig.
-		| In order to use Azure AD, configured Azure Apps are required. }}
-{{var	| Konfiguration Azure Apps anzeigen
-		| Konfiguration Azure Apps anzeigen
-		| View Azure Apps configuration }}
-{{var	| Azure AD Verbindung herstellen
-		| Azure AD Verbindung herstellen
-		| Establish Azure AD connection }}
-{{var	| Azure AD Verbindung herstellen--desc
-		| Besteht noch keine AD/LDAP-Authentifizierung öffnet sich automatisch der AD/LDAP Authentifizierung Assistent.<br>Andernfalls kann der Assistent mit der Schaltfläche {{Button|Assistent}} gestartet werden.
-		| If there is no AD/LDAP authentication yet, the AD/LDAP Authentication Wizard opens automatically.<br>Otherwise, the wizard can be started with the {{Button|Wizard}} button. }}
-{{var	| Azure AD
-		| Azure AD - Microsoft Azure Active Directory
-		| Azure AD - Microsoft Azure Active Directory }}
-{{var	| Azure AD Schritt 1--Bild
-		| UTM_v12.5_AD-LDAP-Authentifizierung_Assistent_Azure-AD_Schritt1.png
-		| UTM_v12.5_AD-LDAP-Authentifizierung_Assistent_Azure-AD_Schritt1-en.png }}
-{{var	| Verzeichnistyp--desc
-		| Azure AD als Verzeichnistyp auswählen
-		| Select Azure AD as directory type }}
-{{var	| Azure AD Schritt 2--Bild
-		| UTM_v12.5_AD-LDAP-Authentifizierung_Assistent_Azure-AD_Schritt2.png
-		| UTM_v12.5_AD-LDAP-Authentifizierung_Assistent_Azure-AD_Schritt2-en.png }}
-{{var	| Verzeichnis-ID
-		| Verzeichnis-ID (Mandanten-ID):
-		| Directory-ID (Client-ID): }}
-{{var	| Verzeichnis-ID--desc
-		| Verzeichnis-ID (Mandanten-ID) aus der App-Registrierung im Azure AD
-		| Directory-ID (Client-ID) from the app registration in Azure AD }}
-{{var	| Passwort anzeigen
-		| Der eingetragene Wert wird angezeigt
-		| The entered value is displayed }}
-{{var	| Anwendungs-ID
-		| Anwendungs-ID (Client-ID):
-		| Application-ID (Client-ID): }}
-{{var	| Anwendungs-ID--desc
-		| Anwendungs-ID (Client-ID) aus der App-Registrierung im Azure AD
-		| Application-ID (Client-ID) from the app registry in Azure AD. }}
-{{var	| Geheimer Wert
-		| Geheimer Wert:
-		| Secret value: }}
-{{var	| Geheimer Wert--desc
-		| Wert des geheimen Clientschlüssels aus dem Abschnitt Zertifikate & Geheimnisse des Azure ADs
-		| Value of the secret client key from the Certificates & Secrets section of Azure AD. }}
-{{var	| Ergebnis Azure AD-Anbindung
-		| Ergebnis Azure AD-Anbindung
-		| Result Azure AD Connection }}
-{{var	| Status
-		| Status
-		| Status }}
-{{var	| Status Azure AD--Bild
-		| UTM_v12.5_AD-LDAP-Authentifizierung_Azure-AD.png
-		| UTM_v12.5_AD-LDAP-Authentifizierung_Azure-AD-en.png }}
-{{var	| aktiviert Azure--desc
-		| Die Azure AD Authentifizierung ist aktiviert
-		| Azure AD authentication is enabled }}
-{{var	| Verbindungsstatus Azure--desc
-		| Zur Bestätigung wechselt die Anzeige von grau auf grün.
-		| To confirm, the display changes from gray to green. }}
-{{var	| Refresh--desc
-		| Über diese Schaltfläche wird der Verbindungsstatus aktualisiert
-		| This button is used to update the connection status }}
-{{var	| Verzeichnistyp Status--desc
-		| Der eingestellte Verzeichnistyp
-		| The set directory type }}
-{{var	| AD-Attribute Flag confidential
-		| AD-Attribute können bestimmte Berechtigungen gegeben werden. So kann konfiguriert werden, wer diese einsehen kann. Beispielsweise können diese dann nicht durch einen LDAP-Search ausgelesen werden. Diese AD-Attribute werden mit dem Flag "'''confidential'''" markiert.
-		| AD attributes can be given certain authorizations. This allows you to configure who can view them. For example, they cannot be read by an LDAP search. These AD attributes are marked with the "'''confidential''''" flag. }}
-{{var	| AD-Attribute Flag confidential anzeigen
-		| Konfiguration der AD-Attribute mit dem Flag confidential anzeigen
-		| Display configuration of AD attributes with the confidential flag }}
-{{var	| AD-Attribute Flag confidential--desc
-		| Um ein AD-Attribute diese Berechtigungen zu geben, sind folgende Schritte notwendig:
-* Programm ''Active Directory Benutzer und Computer'' starten {{info|Start → Systemsteuerung → Verwaltung → Active Directory Benutzer und Computer}}
-* Im Menü ''Ansicht'' auf ''Erweiterte Funktionen'' klicken
-* Rechtsklick auf das gewünschte Objekt und auf ''Eigenschaften'' gehen
-* In Reiter ''Sicherheit'' bei ''Erweitert'' werden alle verfügbaren Berechtigungen angezeigt
-* Über die Schaltfläche ''Hinzufügen'' das gewünschte Benutzer-, Gruppenkonto auswählen, dass Zugriff haben soll
-* Im Dialog ''Berechtigung für Objektname'' bei ''Eigenschaften'' die gewünschten Eigenschaften und Berechtigungen auswählen und ''Speichern''
-		| To give an AD attribute these authorizations, the following steps are necessary:
-* Start the ''Active Directory Users and Computers'' program {{info|Start → Control Panel → Administrative Tools → Active Directory Users and Computers}}
-* Click on ''Advanced functions'' in the ''View'' menu
-* Right-click on the desired object and go to ''Properties''
-* In the ''Security'' tab under ''Advanced'', all available authorizations are displayed
-* Use the ''Add'' button to select the desired user or group account that should have access
-* In the ''Permission for object name'' dialog, select the desired properties and permissions under ''Properties'' and ''Save'' }}
-{{var	| AD-Attribute Flag confidential machineAccount
-		| Dadurch kann es vorkommen, dass der ''machineAccount'' der UTM dieses Attribut nicht mehr auslesen kann. <br>Dann benötigt der ''machineAccount'' weitere Rechte.
-		| As a result, the ''machineAccount'' of the UTM may no longer be able to read this attribute. The ''machineAccount'' then requires additional rights.  }}
-{{var | neu--Azure AD
-	  | Neuer Verzeichnistyp: [[#UTM_mit_Azure_AD_anbinden | Azure AD]]
-	  | New directory type: [[#Connect_UTM_with_Azure_AD | Azure AD]] }}
-{{var | neu--WireGuard Attribute
-	  | WireGuard Attribute unter [[#Erweiterte_Einstellungen | Erweiterte Einstellungen]]
-	  | WireGuard attributes under [[#Extended_settings | Extended settings]] }}
-{{var | neu--AD-Attribute Flag confidential
-	  | Beschreibung, wie [[#AD-Attribute_Flag_confidential | AD-Attribute Zugriffsberechtigungen]] erhalten
-	  | Description of how [[#AD-Attribute_Flag_confidential | AD attributes access authorizations]] are obtained }}
-</div> {{Select_lang}} {{TOC2}}
-{{Header|12.5.0|
-* {{#var:neu--AD-Attribute Flag confidential}}
-* {{#var:neu--Azure AD}}
-* {{#var:neu--WireGuard Attribute}} <small>(v12.4)</small>
-|[[UTM/AUTH/AD_Anbindung_v12.4 |'''12.4''']]
 [[UTM/AUTH/AD_Anbindung_v11.8.10 |'''11.8.10''']]
 [[UTM/AUTH/AD_Anbindung_11.8 |'''11.8''']]
 [[UTM/AUTH/AD_Anbindung_11.7 |'''11.7''']]
 [[UTM/AUTH/AD_Anbindung-v11.4 |'''11.5''']]
-|{{Menu|{{#var:Authentifizierung}}|{{#var:AD/LDAP Authentifizierung}} }}
+| {{Menu-UTM|Authentifizierung|AD/LDAP Authentifizierung}}
-| zuletzt=12.2023 }}
+}}
 ----
@@ Zeile 539: / Zeile 25: @@
 === {{#var:Einführung}} ===
 <div class="Einrücken">
-{{#var:ladap--desc}}
+{{#var:Einführung--desc}}
+<br clear=all></div>
-{{#var:neu--alle-dcs--desc}}
+----
-<br clear=all>
-</div>
-----
 === {{#var:Voraussetzung}} ===
 <div class="Einrücken">
 {{#var:Voraussetzung--desc}}
+<br>
+{{Einblenden3| {{#var:vorbereitung-ad}} | {{#var:hide}} |true|dezent}}
-{{Einblenden3| {{#var:vorbereitung-ad}} |{{#var:hide}}|true|dezent}}
-==== {{#var:add-usergroup}} ====
+==== {{#var:Benutzergruppen im AD anlegen}} ====
-{{pt3| WIN2012_AD_Sgrpcvpn1.png | {{#var:security-groups--ad}} }}
+{{pt3| WIN2012_AD_Sgrpcvpn1.png |{{#var:security-groups--ad}} }}
-{{pt3| WIN2012 AD Sgrpcvpn2.png | {{#var:security-groups--added}} }}
+{{pt3| WIN2012 AD Sgrpcvpn2.png |{{#var:security-groups--added}} }}
 <div class="Einrücken">
 {{#var:groups--permissions}}
 {{#var:user-groups--added--text}}
 <br clear=all></div>
 ==== {{#var:Benutzer hinzufügen}} ====
-{{pt3| WIN2012_AD_EgrpM.png | {{#var:Benutzer hinzufügen}} }}
+{{pt3| WIN2012_AD_EgrpM.png |{{#var:Benutzer hinzufügen}} }}
-{{pt3| WIN2012_AD_EuserMv.png | {{#var:Benutzer-ist-mitglied}} }}
+{{pt3| WIN2012_AD_EuserMv.png |{{#var:Benutzer-ist-mitglied}} }}
 <div class="Einrücken">
 {{#var:Benutzer hinzufügen--desc}}
 <br clear=all></div>
 </div></div></div>
+----
+=== {{#var:DNS-Konfiguration}} ===
+<div class="einrücken">
+{{#var:DNS-Konfiguration--desc}}
+</div>
 ----
-=== {{#var:utm-in-domäne}} ===
+=== {{#var:UTM in die Domäne einbinden}} ===
 <div class="Einrücken">
-<p>{{Alert|g}} {{#var:utm-in-domäne--uhrzeit}}</p>
+{{Hinweis-box||g}} {{#var:UTM in die Domäne einbinden--desc}}
-<p>{{#var:utm-in-domäne--authentifizierung}}</p>
+</div>
-</div><br clear=all>
-==== {{#var:ad-verbindung}} ====
+==== {{#var:AD Verbindung herstellen}} ====
 <div class="Einrücken">
-<p>{{#var:ad-verbindung--text}}</p>
+{{#var:AD Verbindung herstellen--desc}}
-<p>{{#var:ad-verbindung--assistent}}</p>
+</div>
-</div><br clear=all>
 {| class="sptable2 pd5 zh1 Einrücken"
@@ Zeile 589: / Zeile 80: @@
 |-
 ! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
-| class="Bild" rowspan="4" | {{Bild| {{#var:schritt-1--bild}} |{{#var:Schritt}} 1}}
+| class="Bild" rowspan="4" | {{Bild| {{#var:schritt-1--bild}} |{{#var:Schritt}} 1||{{#var:AD/LDAP Authentifizierungs Assistent}}|{{#var:Authentifizierung}}|{{#var:AD/LDAP Authentifizierung}} }}
 |-
-| {{b|{{#var:Verzeichnistyp}}: }} || {{Button| AD - Active Directory|dr|class=available}} || <li class="UTM list--element__alert list--element__hint em2">{{Hinweis-box|{{#var:ad-hinweis}}|g|fs__icon=none}}<br> {{#var:ad-hinweis--erklärung}}
+| {{b|{{#var:Verzeichnistyp}}: }} || {{Button|AD - Active Directory|dr|class=available}} || {{Hinweis-box|{{#var:Verzeichnistyp--Hinweis}}|g|fs__icon=em2}}
 |- class="Leerzeile"
-| {{Button|{{#var:Weiter}} }}
+| colspan="3" | {{Button|{{#var:Weiter}} }}
 |- class="Leerzeile"
 |
@@ Zeile 600: / Zeile 91: @@
 ===== {{#var:Schritt}} 2: {{#var:Einstellungen}} =====
 |-
-| {{b|{{#var:ip}} }} || {{ic|{{cb|192.168.145.1}}|cb|class=available}} || {{#var:beispiel-adrresse}}
+| {{b|{{#var:IP oder Hostname}}:}} || {{ic| {{cb|192.168.145.1}} |cb|class=available}} || {{#var:IP oder Hostname--desc}}
 | class="Bild" rowspan="6" | {{Bild| {{#var:schritt-2--bild}} |{{#var:Schritt}} 2}}
 |-
-| {{b|Domain:}} ||  {{ic|ttt-point.local|class=available}} || Domainname
+| {{b|Domain:}} || {{ic|ttt-point.local|class=available}} || Domainname
 |-
-| {{b|{{#var:Arbeitsgruppe}} }} || {{ic|ttt-point|class=available}} || {{#var:netbios-name}}
+| {{b|{{#var:Arbeitsgruppe}}:}} || {{ic|ttt-point|class=available}} || {{#var:Arbeitsgruppe--desc}}
 |-
-| {{b|Appliance Account:}} || {{ic|sp-utml|class=available}} || {{#var:appliance-account--text}}<br> {{Alert|g}} {{#var:appliance-account--text--cluster-hinweis}}
+| {{b|Appliance Account:}} || {{ic|sp-utml|class=available}} || {{#var:Appliance Account--desc}}
 |- class="Leerzeile"
-| {{Button|{{#var:Weiter}} }}
+| colspan="3" | {{Button|{{#var:Weiter}} }}
 |- class="Leerzeile"
 |
@@ Zeile 617: / Zeile 108: @@
 | class="Bild" rowspan="6" | {{Bild| {{#var:schritt-3--bild}} |{{#var:Schritt}} 3: Nameserver}}
 |- class="noborder"
-| colspan="3" | {{#var:schritt-3--text}}<br> {{Button|{{#var:add-server}}|+}}
+| colspan="3" | {{#var:schritt-3--text}}
 |-
-| {{b|{{#var:ip-adresse}}: }} || {{ic|192.168.145.1|class=available}} ||{{Alert|g}} {{#var:Beispieladresse}} <br>{{#var:ip-adresse--text}}
+| {{b|{{#var:IP-Adresse}}:}} || {{ic|192.168.145.1|class=available}} || {{#var:IP-Adresse--desc}}
 |-
-| {{Button|{{#var:Speichern}} }} || colspan="2" | <p>{{#var:ad-server}} </p>
+| {{Button|{{#var:Speichern}} }} || colspan="2" | {{#var:Speichern--desc}}
 |- class="Leerzeile"
-| {{Button|{{#var:Weiter}} }}
+| colspan="3" | {{Button|{{#var:Weiter}} }}
 |- class="Leerzeile"
 |
@@ Zeile 630: / Zeile 121: @@
 ===== {{#var:Schritt}} 4: {{#var:Beitreten}} =====
 |-
-| {{b|{{#var:Administratorname}} }} || {{ic|Administrator|class=available}} || {{Alert|g}} {{#var:Administratorname--hinweis}}
+| {{b|{{#var:Administratorname}}:}} || {{ic|Administrator|class=available}} || {{#var:Administratorname--desc}}
-| class="Bild" rowspan="4" | {{Bild| {{#var:schritt-4--bild}} }}
+| class="Bild" rowspan="4" | {{Bild|{{#var:schritt-4--bild}} }}
 |-
-| {{b|{{#var:Passwort}} }} || {{ic| <nowiki>••••••••</nowiki>|class=available}} || {{einblenden3| {{#var:hinweis--cluster}} | {{#var:ausblenden}} |true|dezent|icon={{spc|io|o|-|c=g}} }} {{#var:hinweis--cluster--text}}
+| {{b|{{#var:Passwort}}:}} || {{ic| <nowiki>••••••••</nowiki>|class=available}} || {{einblenden3| {{#var:Hinweis beim Clusterbetrieb}} | {{#var:hide}} |true|dezent|icon={{spc|io|o|-|c=g}} }} {{#var:Hinweis beim Clusterbetrieb}}
 |- class="Leerzeile"
-| {{Button|{{#var:fertig}} }}
+| colspan="3" | {{Button|{{#var:Fertig}} }}
 |- class="Leerzeile"
 |
 |- class="noborder"
 | colspan="3" |
-==== {{#var:ergebnis-ad}} ====
+==== {{#var:Ergebnis AD-Anbindung}} ====
 |- class="noborder"
-| colspan="3" | {{#var:ergebnis-ad--text| Ergebnis im Abschnitt {{Kasten|Status}}: }}
+| colspan="3" | {{#var:Ergebnis AD-Anbindung--desc}}
 |-
-| {{b|{{#var:aktiviert}}: }} || {{ButtonAn|{{#var:ein}} }} || {{#var:ad-aktiviert--text}}
+| {{b|{{#var:aktiviert}}:}} || {{ButtonAn|{{#var:ein}} }} || {{#var:ad-aktiviert--text}}
-| class="Bild" rowspan="3" | {{Bild|{{#var:ergebnis--bild}} }}
+| class="Bild" rowspan="3" | {{Bild| {{#var:ergebnis--bild}} |||{{#var:AD/LDAP Authentifizierung}}|{{#var:Authentifizierung}}|icon=fa-wand-magic-sparkles|icon-text={{#var:Assistent}}|icon2=fa-save}}
 |-
-| {{b|{{#var:Verbindungsstatus}} }} || {{#if:|| <small><font color=green>⬤</font></small>}} || {{#var:Verbindungsstatus--text}}
+| {{b|{{#var:Verbindungsstatus}} }} || {{spc|fa|o|-|class=fas fa-check-circle|icon-c=green}} || {{#var:Verbindungsstatus--text}}
 |- class="Leerzeile"
 |
 |- class="Leerzeile"
 | colspan="3" |
-{{h-4| {{#var:Erweiterte-Einstellungen}} | {{Reiter|{{#var:Erweitert}} }} }}
+==== {{Reiter|{{#var:Erweitert}} }} ====
 |- class="Leerzeile"
-| colspan="3" <span id="AD-Attribute_Flag_confidential"></span>| {{Hinweis-box||gr|12.5.4|status=update}} {{#var:AD-Attribute Flag confidential}}
+| colspan="3" | {{#var:Erweitert--desc}}
 |- class="Leerzeile"
-| colspan="3"| {{Einblenden2|{{#var:AD-Attribute Flag confidential anzeigen}}|{{#var:hide}}|dezent|true|{{#var:AD-Attribute Flag confidential--desc}} }}
+| colspan="3"| {{Einblenden2| {{#var:AD-Attribute Flag confidential anzeigen}} | {{#var:hide}} |dezent|true|{{#var:AD-Attribute Flag confidential--desc}} }}
 |- class="Leerzeile"
-| colspan="3"| {{Hinweis-box|{{#var:AD-Attribute Flag confidential machineAccount}}|g}}
+| colspan="3"| {{Hinweis-box|{{#var:AD-Attribute Flag confidential machineAccount}}|g|fs__icon=em2}}
 |-
 | rowspan="2" | {{b|SSL:}} || {{ButtonAus|{{#var:aus}} }} || {{#var:ssl--text}}
-| class="Bild" rowspan="6" | {{Bild| {{#var:erweitert--bild}} | {{#var:erweitert--cap}} }}
+| class="Bild" rowspan="6" | {{Bild| {{#var:erweitert--bild}} |{{#var:erweitert--cap}} }}
 |-
-| colspan="2" | <span id="LDAP"></span>
+| colspan="2" |
 <li class="list--element__alert list--element__hint">{{#var:ldap--hinweis}}:</li>
 <li class="list--element__bullet Einrücken">{{#var:ldap-verschlüsselung--automatisch--separat}}</li>
@@ Zeile 672: / Zeile 163: @@
 | {{b|LDAP-Filter:}} || {{ic| <nowiki>(|(sAMAccountType=268435456)(sAMAccountType=268435457)(sAMAccountType=805306368))</nowiki></code>|class=available}} || ''[https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-drsr/cc44dc4c-fb88-4ffb-9a29-148fb39002d4 sAMAccountType]=''{{#var:LDAP-Filter--desc}}
 |-
-| {{b|{{#var:User-Attribute}}: }} || {{ic|sAMAccountName|class=available}} || {{#var:User-Attribute--text}}
+| {{b|User-Attribute:}} || {{ic|sAMAccountName|class=available}} || {{#var:User-Attribute--text}}
 |-
-| {{b| {{#var:Mail-Attribute}}: }} || {{ic| {{cb|proxyAddresses}} |cb|class=available}} ||
+| {{b|Mail-Attribute:}} || {{ic| {{cb|proxyAddresses}} |cb|class=available}} ||
-|-
+|- class="Leerzeile"
-| class="Leerzeile" colspan="3" | <br>{{#var:Mail-Attribute--text}}{{Einblenden2|{{#var:Konfiguration WireGuard AD--show}}|{{#var:Konfiguration WireGuard AD--hide}}|tre|dezent|{{#var:WireGuard AD Verknüpfung}} }}
+| colspan="3" | {{#var:Mail-Attribute--text}} {{Einblenden2| {{#var:Konfiguration WireGuard AD--show}} | {{#var:hide}} |true|dezent| {{#var:WireGuard AD Verknüpfung}} }}
-| class="Bild" rowspan="12"| <br>{{Bild | {{#var:WG-Attribute im AD--Bild}}|{{#var:WG-Attribute im AD--cap}} }}<br>{{Bild|{{#var:erweitert2--bild}} | {{#var:erweitert2--cap}} }}</p>
+| class="Bild" rowspan="12" | <br>{{Bild| {{#var:WG-Attribute im AD--Bild}} |{{#var:WG-Attribute im AD--cap}} }}<br> {{Bild|{{#var:erweitert2--bild}} |{{#var:erweitert2--cap}} }}
 |-
 | {{b|OTP-Attribute:}} || {{ic|sPOTPSecret|class=available}} ||
@@ Zeile 683: / Zeile 174: @@
 | {{b|L2TP-Attribute:}} || {{ic|sPL2TPAddress|class=available}} ||
 |-
-| {{b|WireGuard-Attribute (IPv4):}} || {{ic|sPWireguardIP4Address|class=available}} || {{#var:WireGuard-Attribute (IPv4)--desc}}{{Einblenden2|&nbsp;|{{#var:hide}}|true|info|{{#var:WireGuard-Attribute (IPv4)--info}} }} {{c|❶|r}}
+| {{b|WireGuard-Attribute (IPv4):}} || {{ic|sPWireguardIP4Address|class=available}} || {{#var:WireGuard-Attribute (IPv4)--desc}} {{Einblenden2|&nbsp;|{{#var:hide}} |true|info|{{#var:WireGuard-Attribute (IPv4)--info}} }} {{c|❶|r}}
 |-
-| class=mw16 | {{b|WireGuard-Attribute (IPv6):}} || {{ic|sPWireguardIP6Address|class=available}} || {{#var:WireGuard-Attribute (IPv6)--desc}}{{Einblenden2|&nbsp;|{{#var:hide}}|true|info|{{#var:WireGuard-Attribute (IPv6)--info}} }} {{c|❷|r}}
+| class=mw16 | {{b|WireGuard-Attribute (IPv6):}} || {{ic|sPWireguardIP6Address|class=available}} || {{#var:WireGuard-Attribute (IPv6)--desc}}{{Einblenden2|&nbsp;| {{#var:hide}} |true|info| {{#var:WireGuard-Attribute (IPv6)--info}} }} {{c|❷|r}}
 |-
 | {{b|WireGuard-Public-Key-Attribute:}} || {{ic|sPWireguardPubkeyVal|class=available}} || {{#var:WireGuard-Public-Key-Attribute--desc}}
-{{Einblenden2|&nbsp;|{{#var:hide}}|true|info|{{#var:WireGuard-Public-Key-Attribute--info}} }} {{c|❸|r}}
+{{Einblenden2|&nbsp;| {{#var:hide}} |true|info|{{#var:WireGuard-Public-Key-Attribute--info}} }} {{c|❸|r}}
 |-
 | {{b|SSL-VPN-Attribute (IPv4):}} || {{ic|sPOVPNAddress|class=available}} ||
@@ Zeile 696: / Zeile 187: @@
 | {{b|SSL-Bump-Attribute:}} || {{ic|sPSSLBumpMode|class=available}} ||
 |-
-| {{b|Cert-Attribute:}} || {{ic| sPCertificate|class=available}} ||
+| {{b|Cert-Attribute:}} || {{ic|sPCertificate|class=available}} ||
 |-
 | {{b|Page Size:}} || {{ic|500 &emsp;&emsp;|c|class=available}} || {{#var:page-size--desc}}
@@ Zeile 702: / Zeile 193: @@
 |
 |}
+----
-----
-=== {{#var:UTM Azure AD}} ===
+=== {{#var:UTM mit Entra ID anbinden}} ===
 <div class="einrücken">
-{{#var:UTM Azure AD--desc}}
+{{#var:UTM mit Entra ID anbinden--desc}}
-{{Einblenden2|{{#var:Konfiguration Azure Apps anzeigen}}|{{#var:hide}}|bigdezent|true|{{:UTM/APP/Azure-AD|collapsed=true}} }}
+{{Einblenden2| {{#var:Konfiguration Azure Apps anzeigen}} | {{#var:hide}} |bigdezent|true|{{:UTM/APP/Azure-AD|collapsed=true}} }}
+</div>
 {| class="sptable2 pd5 zh1 einrücken"
-|-
+|- class="Leerzeile"
-| class="Leerzeile" colspan="3"|
+| colspan="3" |
-==== {{#var:Azure AD Verbindung herstellen}} ====
+==== {{#var:Entra ID Verbindung herstellen}} ====
-|-
+|- class="Leerzeile"
-| class="Leerzeile" colspan="3"| {{#var:Azure AD Verbindung herstellen--desc}}
+| colspan="3" | {{#var:Entra ID Verbindung herstellen--desc}}
-|-
+|- class="Leerzeile"
-| class="Leerzeile" colspan="3"|
+| colspan="3" |
 ===== {{#var:Schritt}} 1: {{#var:Verzeichnistyp}} =====
 |-
 ! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
-| class="Bild" rowspan="4"| {{Bild|{{#var:Azure AD Schritt 1--Bild}} }}
+| class="Bild" rowspan="4" | {{Bild| {{#var:Azure AD Schritt 1--Bild}} |{{#var:Azure AD Schritt 1--cap}}||{{#var:AD/LDAP Authentifizierungs Assistent}}|{{#var:Authentifizierung}}|{{#var:AD/LDAP Authentifizierung}} }}
 |-
-| {{b|{{#var:Verzeichnistyp}}: }} || {{Button|{{#var:Azure AD}}|dr|class=available}} || {{#var:Verzeichnistyp--desc}}
+| {{b|{{#var:Verzeichnistyp}}:}} || {{Button|Entra ID - Microsoft Entra ID|dr|class=available}} || {{#var:Verzeichnistyp--desc}}
-|-
+|- class="Leerzeile"
-| class="Leerzeile" colspan="3"| {{Button|{{#var:Weiter}} }}
+| colspan="3" | {{Button|{{#var:Weiter}} }}
 |- class="Leerzeile"
 |
-|-
+|- class="Leerzeile"
-| class="Leerzeile" colspan="3"|
+| colspan="3" |
 ===== {{#var:Schritt}} 2: {{#var:Einstellungen}} =====
 |-
 | rowspan="2"| {{b|{{#var:Verzeichnis-ID}} }} || {{ic|••••••••••••••••••••|class=available}} || {{#var:Verzeichnis-ID--desc}}
-| class="Bild" rowspan="8"| {{Bild|{{#var:Azure AD Schritt 2--Bild}} }}
+| class="Bild" rowspan="8"| {{Bild|{{#var:Azure AD Schritt 2--Bild}}|{{#var:Azure AD Schritt 2--cap}} }}
 |-
 | {{Button|{{spc|auge|o|-|class=fas}} }} || {{#var:Passwort anzeigen}}
 |-
-| rowspan="2"| {{b|{{#var:Anwendungs-ID}} }} || {{ic|••••••••••••••••••••|class=available}} || {{#var:Anwendungs-ID--desc}}
+| rowspan="2" | {{b|{{#var:Anwendungs-ID}} }} || {{ic|••••••••••••••••••••|class=available}} || {{#var:Anwendungs-ID--desc}}
 |-
 | {{Button|{{spc|auge|o|-|class=fas}} }} || {{#var:Passwort anzeigen}}
 |-
-| rowspan="2"| {{b|{{#var:Geheimer Wert}} }} || {{ic|••••••••••••••••••••|class=available}} || {{#var:Geheimer Wert--desc}}
+| rowspan="2" | {{b|{{#var:Geheimer Wert}} }} || {{ic|••••••••••••••••••••|class=available}} || {{#var:Geheimer Wert--desc}}
 |-
 | {{Button|{{spc|auge|o|-|class=fas}} }} || {{#var:Passwort anzeigen}}
-|-
+|- class="Leerzeile"
-| class="Leerzeile" colspan="3"| {{Button|{{#var:fertig}} }}
+| colspan="3" | {{Button|{{#var:Fertig}} }}
 |- class="Leerzeile"
 |
-|-
+|- class="Leerzeile"
-| class="Leerzeile" colspan="3"|
+| colspan="3" |
-==== {{#var:Ergebnis Azure AD-Anbindung}} ====
+==== {{#var:Ergebnis Entra ID-Anbindung}} ====
-|-
+|- class="Leerzeile"
-| class="Leerzeile" colspan="3"| {{b|{{Kasten|{{#var:Status}} }} }}
+| colspan="3" | {{b|{{Kasten|Status}} }}
 |-
 | {{b|{{#var:aktiviert}}: }} || {{ButtonAn|{{#var:ja}} }} || {{#var:aktiviert Azure--desc}}
-| class="Bild" rowspan="13"| {{Bild|{{#var:Status Azure AD--Bild}} }}
+| class="Bild" rowspan="13" | {{Bild| {{#var:Status Azure AD--Bild}} |{{#var:Status Azure AD--cap}}||{{#var:AD/LDAP Authentifizierung}}|{{#var:Authentifizierung}}|icon=fa-wand-magic-sparkles|icon-text={{#var:Assistent}}|icon2=fa-save }}
 |-
-| rowspan="2"| {{b|{{#var:Verbindungsstatus}} }} || {{spc|fa|o|-|class=fas fa-check-circle|icon-c=green}} || {{#var:Verbindungsstatus Azure--desc}}
+| rowspan="2" | {{b|{{#var:Verbindungsstatus}} }} || {{spc|fa|o|-|class=fas fa-check-circle|icon-c=green}} || {{#var:Verbindungsstatus Azure--desc}}
 |-
 | {{Button|{{spc|sync|o|-|class=fas}} }} || {{#var:Refresh--desc}}
 |-
-| {{b|{{#var:Verzeichnistyp}}: }} || {{Button|Azure AD|dr|class=available}} || {{#var:Verzeichnistyp Status--desc}}
+| {{b|{{#var:Verzeichnistyp}}: }} || {{Button|Entra ID|dr|class=available}} || {{#var:Verzeichnistyp Status--desc}}
 |- class="Leerzeile"
 |
+|- class="Leerzeile"
+| colspan="3" | {{Reiter|{{#var:Einstellungen}} }}
 |-
-| class="Leerzeile" colspan="3"| {{Reiter|{{#var:Einstellungen}} }}
+| rowspan="2" | {{b|{{#var:Verzeichnis-ID}} }} || {{ic|••••••••••••••••••••|class=available}} || {{#var:Verzeichnis-ID--desc}}
-|-
-| rowspan="2"| {{b|{{#var:Verzeichnis-ID}} }} || {{ic|••••••••••••••••••••|class=available}} || {{#var:Verzeichnis-ID--desc}}
 |-
 | {{Button|{{spc|auge|o|-|class=fas}} }} || {{#var:Passwort anzeigen}}
 |-
-| rowspan="2"| {{b|{{#var:Anwendungs-ID}} }} || {{ic|••••••••••••••••••••|class=available}} || {{#var:Anwendungs-ID--desc}}
+| rowspan="2" | {{b|{{#var:Anwendungs-ID}} }} || {{ic|••••••••••••••••••••|class=available}} || {{#var:Anwendungs-ID--desc}}
 |-
 | {{Button|{{spc|auge|o|-|class=fas}} }} || {{#var:Passwort anzeigen}}
 |-
-| rowspan="2"| {{b|{{#var:Geheimer Wert}} }} || {{ic|••••••••••••••••••••|class=available}} || {{#var:Geheimer Wert--desc}}
+| rowspan="2" | {{b|{{#var:Geheimer Wert}} }} || {{ic|••••••••••••••••••••|class=available}} || {{#var:Geheimer Wert--desc}}
 |-
 | {{Button|{{spc|auge|o|-|class=fas}} }} || {{#var:Passwort anzeigen}}
@@ Zeile 781: / Zeile 273: @@
 |
 |}
-</div>
+----
-----
-=== {{#var:ad-benutzergruppen-berechtigungen}} ===
+=== {{#var:AD Benutzergruppen Berechtigungen erteilen}} ===
-{{pt3| {{#var:ad-benutzergruppen-berechtigungen--bild}} |{{#var:ad-benutzergruppen-berechtigungen--bild--cap}} }}
+{{Bild| {{#var:ad-benutzergruppen-berechtigungen--bild}} |{{#var:ad-benutzergruppen-berechtigungen--bild--cap}}||{{#var:Gruppe hinzufügen}}|{{#var:Authentifizierung}}|{{#var:Benutzer}}|class=Bild-t|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
 <div class="Einrücken">
 {{#var:ad-benutzergruppen-berechtigungen--desc}}
 </div>
-{| class="sptable2 pd5 Einrücken"
+{| class="sptable2 pd5 zh1 Einrücken"
 ! {{#var:Aktiv}} !! {{#var:Berechtigung}} !! {{#var:Hinweis}}
 |-
@@ Zeile 798: / Zeile 289: @@
 | {{ButtonAn|{{#var:ein}} }} || {{ic|Clientless VPN|class=available}} || Gewünschte Berechtigung
 |}
 <br clear=all>
-{{pt3| {{#var:benutzergruppe-auswählen}} |{{#var:benutzergruppe-auswählen--cap}} }}
+{{Bild| {{#var:benutzergruppe-auswählen}} |{{#var:benutzergruppe-auswählen--cap}}|class=Bild-t}}
 <div class="Einrücken">
 {{#var:benutzergruppe-auswählen--text}}
 <br clear=all></div>
+----
-----
 === {{#var:Ergebnis}} ===
 <div class="Einrücken">
-<p>{{#var:Ergebnis--text}}</p>
+{{#var:Ergebnis--desc}}
-<br clear=all></div>
+</div>
+----
-----
-=== {{#var:ad-test-cli}} ===
+=== {{#var:Überprüfen der AD Anbindung mit CLI}} ===
 <div class="Einrücken">
-{{#var:ad-test-cli--text}}
+{{#var:Überprüfen der AD Anbindung mit CLI--desc}}
-<br clear=all></div>
+</div><br clear=all>
 ==== {{#var:ad-beitreten}} ====
@@ Zeile 850: / Zeile 340: @@
 <br clear=all></div>
-==== {{#var:ad-zeigen}} ====
+==== {{#var:AD Gruppen anzeigen}} ====
 <div class="Einrücken">
-{{#var:ad-zeigen--text}}
+{{#var:AD Gruppen anzeigen--desc}}
   cli> '''system activedirectory lsgroups'''
   member
@@ Zeile 871: / Zeile 362: @@
   cli>
 <br clear=all></div>
 ==== {{#var:ad-zugehörigkeit}} ====
@@ Zeile 889: / Zeile 381: @@
   m.meier|grp_ClientlessVPN|WEB_USER,VPN_CLIENTLESS
   cli>
-<br clear=all></div>
+<br clear=all></div></div>
+----
-==== {{#var:dc-hinters2s}} ====
+=== {{#var:dc-hinters2s}} ===
 <div class="Einrücken">
-{{#var:dc-hinters2s--text}} <br>
+{{#var:dc-hinters2s--text}}<br>
 {{#var:dc-hinters2s--Link}}
 <p>{{Hinweis-box|{{#var:dc-hinters2s--hinweis}}|g|fs__icon=em2}}</p>
 <br clear=all></div>
-----

Aktuelle Version vom 23. Mai 2024, 13:00 Uhr

Einführung

Voraussetzung

Benutzergruppen im AD anlegen

Benutzer im AD hinzufügen

DNS-Konfiguration

UTM in die Domäne einbinden

AD Verbindung herstellen

Schritt 1: Verzeichnistyp

Schritt 2: Einstellungen

Schritt 3: Nameserver

Schritt 4: Beitreten

Ergebnis AD-Anbindung

Erweitert

UTM mit Entra ID anbinden

Entra ID Verbindung herstellen

Schritt 1: Verzeichnistyp

Schritt 2: Einstellungen

Ergebnis Entra ID-Anbindung

AD Benutzergruppen Berechtigungen erteilen

Ergebnis

Überprüfen der AD Anbindung mit CLI

Beitreten und Verlassen der Domäne

AD Gruppen anzeigen

Überprüfen der Benutzer und Gruppenzugehörigkeit

Domain-Controller hinter Site-to-Site-VPN