Wechseln zu:Navigation, Suche
Wiki
Keine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung
Zeile 39: Zeile 39:
==Benutzerauthentifizierung über die UTM mit dem Active Directory per OTP==
==Benutzerauthentifizierung über die UTM mit dem Active Directory per OTP==
Nachdem die UTM an das Active Directory angebunden ist, eine Anleitung dazu gibt es im Wiki [[Benutzergruppen_Anbindung-AD | Active Directory Anbindung]], wird ein nicht genutztes Attribut im Active Directory Schema benötigt. In dieses wird dann der Geheimcode hinterlegt.<br>
Nachdem die UTM an das Active Directory angebunden ist, eine Anleitung dazu gibt es im Wiki [[Benutzergruppen_Anbindung-AD | Active Directory Anbindung]], wird ein nicht genutztes Attribut im Active Directory Schema benötigt. In dieses wird dann der Geheimcode hinterlegt.<br>
[[Datei:UTM115_AD_BuGerw.png|250px|right|thumb|AD Erweiterte Einstellungen]]
Eine Liste der Attribute befindet sich im Active Directory unter ''Active Directory-Benutzer  und -Computer". Dazu ist es allerdings notwendig, unter ''Ansicht'' den Menüpunkt ''Erweiterte Features'' zu aktivieren.
[[Datei:UTM115_AD_EuserAE.png|250px|right|thumb|AD Attribute-Editor]]
Anschließend befinden sich weitere Menüpunkte im Eigenschaften-Fenster des Benutzers und unter dem Tab ''Attribut-Editor'' befindet sich eine Liste mit den Attributen.<br>
In diesem Beispiel stehen die Attribute ''extensionAttribute1 - 15" zur Verfügung. Hier wähle ich das ''extensionAttribute10'' da bei diesem kein Wert hinterlegt ist.

Version vom 21. August 2015, 09:41 Uhr


Vorlage:V11.5


Wichtige Hinweise bei Verwendung des OTP-Verfahrens

Ist das OTP-Verfahren aktiviert, ist die Anmeldung nur durch Eingabe eines korrekten OTP möglich.

Ist das OTP-Verfahren für das Admin-Webinterface und SSH Konsole aktiv, muss jeder Administrator über diesen Token verfügen, um auf das Gerät zugreifen zu können.
Eine Ausnahme auf User-Basis ist nicht möglich. Dieses gilt auch für die Authentifizierung am User-Webinterface sowie für SSL-VPN und IPSec-Xauth.

SSL-VPN:
Da beim SSL-VPN jede Stunde eine Reauthentifizierung stattfindet, muss auch jede Stunde ein neuer OTP eingegeben werden.

Die Renegotiation kann entsprechend erhöht oder komplett deaktiviert werden.
Das Deaktivieren ist natürlich nicht empfohlen. Eine Änderung muss auf der UTM und allen SSL-VPN Clients erfolgen.

Das Speichern des Passwortes im SSL-VPN Client ist nicht möglich, da sich das zu übergebene Passwort aus dem statischen Benutzer-Passwort und dem OTP zusammensetzt.

UMA20 AHB hinweispic.png Achtung!

Denken Sie bitte daran, dass im Falle eines Ausfalls des Smartphones, das OTP nicht mehr generiert werden kann und Sie keinen Zugriff auf die ausgewählten Funktionen der UTM haben.
Sollte sich dieses auch auf die Administration der UTM beziehen, müssten Sie diese Firewall komplett neu aufsetzen.

Am besten drucken Sie sich diesen Code für die Administratoren wie unter OTP Secret beschrieben aus und legen Sie zu Ihrer Dokumentation.

Da das OTP-Verfahren Zeitbasiert ist, muss darauf geachtet werden, dass der Zeitserver in der UTM synchron zum Hard- oder Software Token läuft.
Die Uhrzeit des UTM Systems lässt sich über drei Wege überprüfen:

  • Über die Administrations-Weboberfläche: Die Uhrzeit steht in der Widget Auswahl wenn diese nicht ausgeklappt ist oder im Menü Netzwerk unter dem Menüpunkt Servereinstellungen im Abschnitt Zeiteinstellungen
  • Über die CLI mit dem Kommando system date get
  • Über die Root Konsole mit dem Kommando date


Die Systemzeit kann dann über die folgenden Möglichkeiten eingestellt werden:

  • Über die Administrations-Weboberfläche im Menü Netzwerk unter dem Menüpunkt Servereinstellungen im Abschnitt Zeiteinstellungen
  • Über die CLI mit dem Kommando system date set date anschließend mit Leerzeichen getrennt das aktuelle Datum und die Uhrzeit im Format JJJJ-MM-TT hh:mm:ss

Benutzerauthentifizierung über die UTM mit dem Active Directory per OTP

Nachdem die UTM an das Active Directory angebunden ist, eine Anleitung dazu gibt es im Wiki Active Directory Anbindung, wird ein nicht genutztes Attribut im Active Directory Schema benötigt. In dieses wird dann der Geheimcode hinterlegt.

Datei:UTM115 AD BuGerw.png
AD Erweiterte Einstellungen

Eine Liste der Attribute befindet sich im Active Directory unter Active Directory-Benutzer und -Computer". Dazu ist es allerdings notwendig, unter Ansicht den Menüpunkt Erweiterte Features zu aktivieren.


Datei:UTM115 AD EuserAE.png
AD Attribute-Editor

Anschließend befinden sich weitere Menüpunkte im Eigenschaften-Fenster des Benutzers und unter dem Tab Attribut-Editor befindet sich eine Liste mit den Attributen.
In diesem Beispiel stehen die Attribute extensionAttribute1 - 15" zur Verfügung. Hier wähle ich das extensionAttribute10 da bei diesem kein Wert hinterlegt ist.