KKeine Bearbeitungszusammenfassung |
KKeine Bearbeitungszusammenfassung |
||
Zeile 19: | Zeile 19: | ||
| Introduction }} | | Introduction }} | ||
{{var | Einführung--desc | {{var | Einführung--desc | ||
| <p>Die AD/LDAP-Anbindung ermöglicht es, bestehende Verzeichnisdienste wie das Microsoft Active Directory® oder andere auf dem LDAProtocol basierende Systeme für die Authentifizierung, Verwaltung von Gruppen und Speichern von Attributen zu nutzen.</p> | | <p>Die AD/LDAP-Anbindung ermöglicht es, bestehende Verzeichnisdienste wie das Microsoft Active Directory® oder andere auf dem LDAProtocol basierende Systeme für die Authentifizierung, Verwaltung von Gruppen und Speichern von Attributen zu nutzen.</p> <p>Zentral verwaltete Benutzer aus dem Verzeichnis können so einfach für die Authentifizierung oder Nutzung von Diensten auf der UTM verwendet werden.</p> <p>Dies erleichtert die Administration komplexer Unternehmensnetzwerke und vereinheitlicht die Benutzer-Verwaltung.</p> <p>Für die Anbindung an das Directory wird unter anderem das Light Directory Access Protocol (LDAP) verwendet.<br> Mittels LDAP können die Informationen über Benutzer, Gruppen und weitere Objekte aus dem Directory ausgelesen werden.</p> <p>{{Alert|g}}Das Protokoll selbst sieht dabei im Standard keine Verschlüsselung oder Authentifizierung der Nachrichten vor.</p> <p>In [https://portal.msrc.microsoft.com/de-de/security-guidance/advisory/ADV190023 ADV190023] (Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing) wird auf diesen Umstand hingewiesen und eine Anpassung der Sicherheitseinstellungen bekannt gegeben.</p> <p>Zukünftig ist eine Signierung und Verschlüsselung des LDAP-Verkehrs erforderlich (''seal'').</p> <p>{{Hinweis-box|Diese Umstellung wird von der UTM automatisch vorgenommen.|gr}}</p> <p>Alternativ kann das die gesamte Verbindung mit SSL abgesichert werden.</p> <p>Ab Version 11.8.10 wird nicht nur der PDC, sondern '''sämtliche''' DCs für LDAP Anfragen verwendet. Somit steht die Authentifizierung für Benutzer aus dem AD auch zu Verfügung, wenn der PDC nicht erreichbar ist.</p> | ||
<p>Zentral verwaltete Benutzer aus dem Verzeichnis können so einfach für die Authentifizierung oder Nutzung von Diensten auf der UTM verwendet werden.</p> | | <p>AD/LDAP connectivity enables existing directory services such as Microsoft Active Directory® or other LDAProtocol-based systems to be used for authentication, group management, and attribute storage.</p> <p> Centrally managed users from the directory can thus easily be used for authentication or use of services on the UTM.</p> <p> This simplifies the administration of complex corporate networks and unifies user management.</p> | ||
<p>Dies erleichtert die Administration komplexer Unternehmensnetzwerke und vereinheitlicht die Benutzer-Verwaltung.</p> | |||
<p>Für die Anbindung an das Directory wird unter anderem das Light Directory Access Protocol (LDAP) verwendet.<br> | |||
Mittels LDAP können die Informationen über Benutzer, Gruppen und weitere Objekte aus dem Directory ausgelesen werden.</p> | |||
<p>{{Alert|g}}Das Protokoll selbst sieht dabei im Standard keine Verschlüsselung oder Authentifizierung der Nachrichten vor.</p> | |||
<p>In [https://portal.msrc.microsoft.com/de-de/security-guidance/advisory/ADV190023 ADV190023] (Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing) wird | |||
auf diesen Umstand hingewiesen und eine Anpassung der Sicherheitseinstellungen bekannt gegeben.</p> | |||
<p>Zukünftig ist eine Signierung und Verschlüsselung des LDAP-Verkehrs erforderlich (''seal'').</p> | |||
<p>{{Hinweis-box|Diese Umstellung wird von der UTM automatisch vorgenommen.|gr}}</p> | |||
<p>Alternativ kann das die gesamte Verbindung mit SSL abgesichert werden.</p> | |||
<p>Ab Version 11.8.10 wird nicht nur der PDC, sondern '''sämtliche''' DCs für LDAP Anfragen verwendet. Somit steht die Authentifizierung für Benutzer aus dem AD auch zu Verfügung, wenn der PDC nicht erreichbar ist.</p> | |||
| <p>AD/LDAP connectivity enables existing directory services such as Microsoft Active Directory® or other LDAProtocol-based systems to be used for authentication, group management, and attribute storage.</p> | |||
<p> Centrally managed users from the directory can thus easily be used for authentication or use of services on the UTM.</p> | |||
<p> This simplifies the administration of complex corporate networks and unifies user management.</p> | |||
<p> Among other things, the Light Directory Access Protocol (LDAP) is used for the connection to the directory..<br> | <p> Among other things, the Light Directory Access Protocol (LDAP) is used for the connection to the directory..<br> | ||
Using LDAP, information about users, groups and other objects can be read from the directory.</p> | Using LDAP, information about users, groups and other objects can be read from the directory.</p> <p>{{Alert|g}} The standard protocol itself does not provide for encryption or authentication of the messages.</p> <p> In [https://portal.msrc.microsoft.com/de-de/security-guidance/advisory/ADV190023 ADV190023] (Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing) it is pointed out | ||
<p>{{Alert|g}} The standard protocol itself does not provide for encryption or authentication of the messages.</p> | and an adjustment of the security settings is given.</p> <p> In the future, signing and encryption of LDAP traffic will be required (''seal'').</p> <p>{{Hinweis-box|This change is made automatically by the UTM.|gr}}</p> <p> Alternatively, the entire connection can be secured with SSL.</p> <p>Starting with version 11.8.10, not only the PDC, but '''all''' DCs are used for LDAP requests. Thus, authentication for users from the AD is available even if the PDC is not reachable.</p> }} | ||
<p> In [https://portal.msrc.microsoft.com/de-de/security-guidance/advisory/ADV190023 ADV190023] (Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing) it is pointed out | |||
and an adjustment of the security settings is given.</p> | |||
<p> In the future, signing and encryption of LDAP traffic will be required (''seal'').</p> | |||
<p>{{Hinweis-box|This change is made automatically by the UTM.|gr}}</p> | |||
<p> Alternatively, the entire connection can be secured with SSL.</p> | |||
<p>Starting with version 11.8.10, not only the PDC, but '''all''' DCs are used for LDAP requests. Thus, authentication for users from the AD is available even if the PDC is not reachable.</p> }} | |||
{{var | Voraussetzung | {{var | Voraussetzung | ||
| Voraussetzung | | Voraussetzung | ||
Zeile 290: | Zeile 271: | ||
| Select user group from AD }} | | Select user group from AD }} | ||
{{var | benutzergruppe-auswählen--text | {{var | benutzergruppe-auswählen--text | ||
| Im Bereich {{Kasten|Verzeichnis Dienst}} kann jetzt die entsprechende Gruppe aus dem Active Directory ausgewählt und zugeordnet werden. < | | Im Bereich {{Kasten|Verzeichnis Dienst}} kann jetzt die entsprechende Gruppe aus dem Active Directory ausgewählt und zugeordnet werden.<br> Weitere Informationen über Clientless VPN Berechtigungen befindet sich in dem Wiki zu [[UTM/VPN/ClientlessVPN#Zuweisen_der_Gruppe | Clientless VPN]]. | ||
| In the area {{Kasten|Directory Service}} the corresponding group from the Active Directory can now be selected and assigned.< | | In the area {{Kasten|Directory Service}} the corresponding group from the Active Directory can now be selected and assigned.<br> Further information about Clientless VPN permissions can be found in the wiki for [{{#var:host}}UTM/VPN/ClientlessVPN#Assign_to_the_group Clientless VPN]. }} | ||
{{var | Ergebnis | {{var | Ergebnis | ||
| Ergebnis | | Ergebnis | ||
Zeile 350: | Zeile 331: | ||
| Attention: To join an active directory located behind a VPN tunnel, the LDAP ports are required in the NAT rule towards the domain controller in addition to the DNS ports. }} | | Attention: To join an active directory located behind a VPN tunnel, the LDAP ports are required in the NAT rule towards the domain controller in addition to the DNS ports. }} | ||
{{var | 1=groups--permissions | {{var | 1=groups--permissions | ||
| 2= | | 2=Die Berechtigungen zu den in der UTM enthaltenen Diensten können in Gruppen verwaltet werden. Die Benutzer, die diesen Gruppen zugeordnet werden sollen, müssen zunächst entsprechenden Benutzergruppen im AD zugeordnet werden. | ||
| 3= | | 3=The authorizations for the services contained in the UTM can be managed in groups. The users to be assigned to these groups must first be assigned to corresponding user groups in AD. }} | ||
{{var | dc-hinters2s--Link | {{var | dc-hinters2s--Link | ||
| Siehe auch [[UTM/VPN/DNS_Relay#DNS_Relay_f.C3.BCr_einen_IPSec_Site-to-Site_Tunnel | DNS-Relay bei IPSec-S2S]] ‖ [[UTM/VPN/DNS_Relay#DNS_Relay_f.C3.BCr_einen_OpenVPN_Site-to-Site_Tunnel | DNS-Relay bei SSL (OpenVPN) -S2S]] ‖ [[UTM/VPN/DNS_Relay#DNS_Relay_für_einen_WireGuard_Site-to-Site_Tunnel | DNS-Relay bei WireGuard-S2S]] | | Siehe auch [[UTM/VPN/DNS_Relay#DNS_Relay_f.C3.BCr_einen_IPSec_Site-to-Site_Tunnel | DNS-Relay bei IPSec-S2S]] ‖ [[UTM/VPN/DNS_Relay#DNS_Relay_f.C3.BCr_einen_OpenVPN_Site-to-Site_Tunnel | DNS-Relay bei SSL (OpenVPN) -S2S]] ‖ [[UTM/VPN/DNS_Relay#DNS_Relay_für_einen_WireGuard_Site-to-Site_Tunnel | DNS-Relay bei WireGuard-S2S]] | ||
Zeile 434: | Zeile 415: | ||
| Application-ID (Client-ID) from the app registry in Entra ID. }} | | Application-ID (Client-ID) from the app registry in Entra ID. }} | ||
{{var | Geheimer Wert | {{var | Geheimer Wert | ||
| Geheimer Wert | | Geheimer Wert | ||
| Secret value | | Secret value }} | ||
{{var | Geheimer Wert--desc | {{var | Geheimer Wert--desc | ||
| Wert des geheimen Clientschlüssels aus dem Abschnitt Zertifikate & Geheimnisse der Entra ID | | Wert des geheimen Clientschlüssels aus dem Abschnitt Zertifikate & Geheimnisse der Entra ID | ||
Zeile 483: | Zeile 464: | ||
{{var | DNS-Konfiguration | {{var | DNS-Konfiguration | ||
| DNS-Konfiguration | | DNS-Konfiguration | ||
| | | DNS configuration }} | ||
{{var | DNS-Konfiguration--desc | {{var | DNS-Konfiguration--desc | ||
| Damit der Authentifizierungsvorgang der AD/LDAP-Anbindung problemlos funktioniert, muss der Nameserver der UTM entsprechend eingerichtet werden.<br> Dafür müssen folgende Konfigurationen getätigt werden: | | Damit der Authentifizierungsvorgang der AD/LDAP-Anbindung problemlos funktioniert, muss der Nameserver der UTM entsprechend eingerichtet werden.<br> Dafür müssen folgende Konfigurationen getätigt werden: | ||
* Bei {{Menu-UTM|Netzwerk|Servereinstellungen|DNS-Server}} muss bei {{b|Primärer Nameserver:}} {{ic|127.0.0.1}} stehen | * Bei {{Menu-UTM|Netzwerk|Servereinstellungen|DNS-Server}} muss bei {{b|Primärer Nameserver:}} {{ic|127.0.0.1}} stehen | ||
** {{Hinweis-box| Der Eintrag | ** {{Hinweis-box| Der Eintrag bei {{b|Sekundärer Nameserver:}} '''muss''' leer sein!}} | ||
* Bei {{Menu-UTM|Anwendungen|Nameserver|Zonen}} wird eine [[UTM/APP/Nameserver#Forward-Zone | Forward Zone]] mit einem A und PTR Eintrag angelegt | * Bei {{Menu-UTM|Anwendungen|Nameserver|Zonen}} wird eine [[UTM/APP/Nameserver#Forward-Zone | Forward Zone]] mit einem A und PTR Eintrag angelegt | ||
** Dabei wird der [[UTM/NET/Servereinstellungen#Firewall | Firewallname der UTM]] verwendet | ** Dabei wird der [[UTM/NET/Servereinstellungen#Firewall | Firewallname der UTM]] verwendet | ||
* Bei {{Menu-UTM|Anwendungen|Nameserver|DNS Forwarding}} wird ein [[UTM/APP/Nameserver-DNS_Forwarding | DNS Forwarding angelegt]] mit einem externen DNS wie 8.8.8.8 | * Bei {{Menu-UTM|Anwendungen|Nameserver|DNS Forwarding}} wird ein [[UTM/APP/Nameserver-DNS_Forwarding | DNS Forwarding angelegt]] mit einem externen DNS wie 8.8.8.8 | ||
| | | In order for the authentication process of the AD/LDAP connection to function smoothly, the name server of the UTM must be set up accordingly.<br> The following configurations must be made for this: | ||
* Under {{Menu-UTM|Network|Server options|DNS-Server}} {{b|Primary name server:}} must be {{ic|127.0.0.1}} | |||
** {{Hinweis-box| The entry for {{b|Secondary name server:}} '''must''' be empty!}} | |||
* Under {{Menu-UTM|Application|Nameserver|Zones}} a [[UTM/APP/Nameserver#Forward-Zone | Forward Zone]] is created with an A and PTR entry | |||
** The [[UTM/NET/Server settings#Firewall | Firewall name of the UTM]] is used here | |||
* With {{Menu-UTM|Applications|Nameserver|DNS Forwarding}} a [[UTM/APP/Nameserver-DNS_Forwarding | DNS Forwarding]] is created with an external DNS such as 8.8.8.8 }} | |||
---- | ---- |
UTM/AUTH/AD Anbindung.lang: Unterschied zwischen den Versionen
Aus Securepoint Wiki