Wechseln zu:Navigation, Suche
Wiki
KKeine Bearbeitungszusammenfassung
KKeine Bearbeitungszusammenfassung
Zeile 15: Zeile 15:
  | AD/LDAP Authentifizierung
  | AD/LDAP Authentifizierung
  | AD/LDAP Authentication }}
  | AD/LDAP Authentication }}
<!-- IST NICHT IN BENUTZUNG
{{var | neu--ldap
{{var | neu--ldap
  | Automatische Einstellung der [[#LDAP | Verschlüsselung]] einer LDAP-Anbindung
  | Automatische Einstellung der [[#LDAP | Verschlüsselung]] einer LDAP-Anbindung
  | Automatic setting of [[#LDAP | Encryption]] of an LDAP connection }}
  | Automatic setting of [[#LDAP | Encryption]] of an LDAP connection }} -->
 
{{var | neu--menu
{{var | neu--menu
  | Der Eintrag hat einen eigenen Platz in der Menü-Struktur erhalten und wurde im Layout angepasst.
  | Der Eintrag hat einen eigenen Platz in der Menü-Struktur erhalten und wurde im Layout angepasst.
Zeile 40: Zeile 43:
<p>Alternativ kann das die gesamte Verbindung mit SSL abgesichert werden.</p>
<p>Alternativ kann das die gesamte Verbindung mit SSL abgesichert werden.</p>
  | An AD or LDAP can be used for authentication on the UTM. The rights on the UTM can then be controlled via the group membership in the AD.</p><p>In general, this is the Active Directory Service, which manages the domain in a network and controls the authentication of the network users via the LDAP and Kerberos protocol. }}
  | An AD or LDAP can be used for authentication on the UTM. The rights on the UTM can then be controlled via the group membership in the AD.</p><p>In general, this is the Active Directory Service, which manages the domain in a network and controls the authentication of the network users via the LDAP and Kerberos protocol. }}
{{var | Voraussetzung
{{var | Voraussetzung
  | Voraussetzung
  | Voraussetzung
Zeile 60: Zeile 65:
{{var | user-groups--added--text
{{var | user-groups--added--text
  | <p>In diesem Beispiel sollen die Benutzer für [[UTM/VPN/ClientlessVPN | Clientless VPN]] über den Active Directory Service Authentifiziert werden.</p><p>Es muss also zunächst eine Gruppe vom Typ ''Sicherheitsgruppe'' auf dem AD hinzugefügt werden, die hier den Namen ''ClientlessVPN'' bekommt.</p>
  | <p>In diesem Beispiel sollen die Benutzer für [[UTM/VPN/ClientlessVPN | Clientless VPN]] über den Active Directory Service Authentifiziert werden.</p><p>Es muss also zunächst eine Gruppe vom Typ ''Sicherheitsgruppe'' auf dem AD hinzugefügt werden, die hier den Namen ''ClientlessVPN'' bekommt.</p>
  | <p>In this example, the users for [[UTM/VPN/ClientlessVPN | Clientless VPN]] are to be authenticated via the Active Directory Service.</p><p> So first of all a group of the type ''Security Group'' must be added on the AD, which is given the name ''ClientlessVPN'' here.</p> }}
  | <p>In this example, the users for [{{#var:host}}UTM/VPN/ClientlessVPN Clientless VPN] are to be authenticated via the Active Directory Service.</p><p> So first of all a group of the type ''Security Group'' must be added on the AD, which is given the name ''ClientlessVPN'' here.</p> }}
{{var | Benutzer hinzufügen
{{var | Benutzer hinzufügen
  | Benutzer im AD hinzufügen
  | Benutzer im AD hinzufügen
Zeile 69: Zeile 74:
{{var | Benutzer hinzufügen--desc
{{var | Benutzer hinzufügen--desc
  | Anschließend werden die Benutzer, die für Clientless VPN freigeschaltet werden sollen, zu dieser Gruppe hinzugefügt.  
  | Anschließend werden die Benutzer, die für Clientless VPN freigeschaltet werden sollen, zu dieser Gruppe hinzugefügt.  
  | The users to be enabled for Clientless VPN are then added to this group. }}
  | The users to be enabled for Clientless VPN are then added to this group. }}
{{var | utm-in-domäne
{{var | utm-in-domäne
  | UTM in die Domäne einbinden
  | UTM in die Domäne einbinden
Zeile 75: Zeile 80:
{{var | utm-in-domäne--uhrzeit
{{var | utm-in-domäne--uhrzeit
  | Es muss darauf geachtet werden, dass die [[UTM/NET/Servereinstellungen#Zeiteinstellungen | Uhrzeit der UTM]] mit dem des AD einigermaßen synchron läuft, da ein Kerberos Ticket nur eine begrenzte Gültigkeitsdauer hat.
  | Es muss darauf geachtet werden, dass die [[UTM/NET/Servereinstellungen#Zeiteinstellungen | Uhrzeit der UTM]] mit dem des AD einigermaßen synchron läuft, da ein Kerberos Ticket nur eine begrenzte Gültigkeitsdauer hat.
  | It is important to make sure that the [[UTM/NET/Servereinstellungen#Zeiteinstellungen  | UTM Time]] is reasonably synchronized with the AD, since a Kerberos ticket has a limited validity period. }}
  | It is important to make sure that the [{{#var:host}}UTM/NET/Servereinstellungen#Time_Settings UTM Time] is reasonably synchronized with the AD, since a Kerberos ticket has a limited validity period. }}
{{var | utm-in-domäne--authentifizierung
{{var | utm-in-domäne--authentifizierung
  | Im Menü {{Menu | Authentifizierung |AD/LDAP Authentifizierung}} wird die Authentifizierung konfiguriert.
  | Im Menü {{Menu | Authentifizierung |AD/LDAP Authentifizierung}} wird die Authentifizierung konfiguriert.
Zeile 138: Zeile 143:
{{var | ip-adresse
{{var | ip-adresse
  | IP-Adresse
  | IP-Adresse
  | IP Address: }}
  | IP address: }}
{{var | Beispieladresse
{{var | Beispieladresse
  | Beispieladresse!
  | Beispieladresse!
Zeile 189: Zeile 194:
{{var | aktiviert
{{var | aktiviert
  | Aktiviert
  | Aktiviert
  | Enabled:  }}
  | Enabled:  }}
{{var | ad-aktiviert--text
{{var | ad-aktiviert--text
  | Die AD/LDAP Authentifizierung ist aktiviert.
  | Die AD/LDAP Authentifizierung ist aktiviert.
Zeile 198: Zeile 203:
{{var | Verbindungsstatus
{{var | Verbindungsstatus
  | Verbindungsstatus:
  | Verbindungsstatus:
  | Connection Status:  }}
  | Connection Status:  }}
{{var | Verbindungsstatus--text
{{var | Verbindungsstatus--text
  | Zur Bestätigung wechselt die Anzeige von grau auf grün.<br/>Aktualisieren mit {{Button| |refresh}}
  | Zur Bestätigung wechselt die Anzeige von grau auf grün.<br/>Aktualisieren mit {{Button| |refresh}}
Zeile 212: Zeile 217:
  | The connection to the Active Directory server can be established using SSL encryption. }}
  | The connection to the Active Directory server can be established using SSL encryption. }}
{{var | erweitert--bild
{{var | erweitert--bild
  | UTM_v11.8.8_Authentifizierung_AD-LDAP-Authentifizierung_Erweitert1.png
  | UTM_v12.4_Authentifizierung_AD-LDAP-Authentifizierung_Erweitert1.png
  | UTM_v11.8.8_Authentifizierung_AD-LDAP-Authentifizierung_Erweitert1-en.png }}
  | UTM_v12.4_Authentifizierung_AD-LDAP-Authentifizierung_Erweitert1-en.png }}
{{var | erweitert--cap
  | Erweiterte Einstellungen Teil 1
  | Extended settings part 1 }}
{{var | erweitert2--bild
  | UTM_v12.4_Authentifizierung_AD-LDAP-Authentifizierung_Erweitert2.png
  | UTM_v12.4_Authentifizierung_AD-LDAP-Authentifizierung_Erweitert2-en.png }}
{{var | erweitert2--cap
  | Erweiterte Einstellungen Teil 2
  | Extended settings part 2 }}
{{var | ldap--hinweis
{{var | ldap--hinweis
  | Hinweis zur LDAP-Verschlüsselung
  | Hinweis zur LDAP-Verschlüsselung
Zeile 237: Zeile 251:
{{var | Root-Zertifikat
{{var | Root-Zertifikat
  | Root-Zertifikat
  | Root-Zertifikat
  | Root Certificate }}
  | Root certificate }}
{{var | Zertifikat
{{var | Zertifikat
  | Zertifikat
  | Zertifikat
Zeile 264: Zeile 278:
{{var | Mail-Attribute--text
{{var | Mail-Attribute--text
  | Die Attribute von OTP bis SSL-VPN, die hier eingetragen sind, existieren in der Regel nicht im AD.<br>Um zum Beispiel den OTP-Geheimcode auf dem AD zu hinterlegen, kann ein ungenutztes Attribut des AD Schema verwendet werden, der diesen Geheimcode des Benutzers enthält.<br>Eine entsprechende Anleitung befindet sich im Artikel [[UTM/AUTH/OTP-AD | Einbinden der OTP Funktion in das Active Directory]].
  | Die Attribute von OTP bis SSL-VPN, die hier eingetragen sind, existieren in der Regel nicht im AD.<br>Um zum Beispiel den OTP-Geheimcode auf dem AD zu hinterlegen, kann ein ungenutztes Attribut des AD Schema verwendet werden, der diesen Geheimcode des Benutzers enthält.<br>Eine entsprechende Anleitung befindet sich im Artikel [[UTM/AUTH/OTP-AD | Einbinden der OTP Funktion in das Active Directory]].
  | The attributes from OTP to SSL VPN, which are entered here, usually do not exist in the AD.<br>For example, to store the OTP secret code on the AD, an unused attribute of the AD schema can be used, which contains this secret code of the user.<br>A corresponding instruction can be found in the article [[UTM/AUTH/OTP-AD | Integrating the OTP function into the Active Directory]]. }}
  | The attributes from OTP to SSL VPN, which are entered here, usually do not exist in the AD.<br>For example, to store the OTP secret code on the AD, an unused attribute of the AD schema can be used, which contains this secret code of the user.<br>A corresponding instruction can be found in the article [{{#var:host}}UTM/AUTH/OTP-AD Integrating the OTP function into the Active Directory]. }}
{{var | page-size--desc
{{var | page-size--desc
  | In größeren Umgebungen kann es vorkommen, dass bei LDAP-Anfragen die serverseitig festgelegte, maximale Anzahl von Datensätzen (im AD sind es 1000) überschritten wird. Mit Page Size kann eingestellt werden das die LDAP-Abfrage stückweise ausgeführt wird. Eine Page Size von 500 bedeutet 500 Datensätze pro Abfrage. Die Page Size von 0 deaktiviert eine schrittweise LDAP-Abfrage.
  | In größeren Umgebungen kann es vorkommen, dass bei LDAP-Anfragen die serverseitig festgelegte, maximale Anzahl von Datensätzen (im AD sind es 1000) überschritten wird.<br>Mit Page Size kann eingestellt werden das die LDAP-Abfrage stückweise ausgeführt wird.<br>Eine Page Size von 500 bedeutet 500 Datensätze pro Abfrage. Die Page Size von 0 deaktiviert eine schrittweise LDAP-Abfrage.
  | In larger environments, LDAP requests may exceed the maximum number of records defined on the server side (1000 in AD). With Page Size you can set that the LDAP query is executed piecewise. A page size of 500 means 500 data records per query. A page size of 0 deactivates a step-by-step LDAP query. }}
  | In larger environments, LDAP requests may exceed the maximum number of records defined on the server side (1000 in AD). With Page Size you can set that the LDAP query is executed piecewise. A page size of 500 means 500 data records per query. A page size of 0 deactivates a step-by-step LDAP query. }}
{{var | ad-benutzergruppen-berechtigungen
{{var | ad-benutzergruppen-berechtigungen
Zeile 297: Zeile 311:
{{var | benutzergruppe-auswählen--text
{{var | benutzergruppe-auswählen--text
  | Im Reiter {{ Reiter | Verzeichnis Dienst}} kann jetzt die entsprechende Gruppe aus dem Active Directory ausgewählt und zugeordnet werden.<p>Weitere Informationen über Clientless VPN Berechtigungen befindet sich in dem Wiki zu [[UTM/VPN/ClientlessVPN#Zuweisen_der_Gruppe | Clientless VPN]].</p>
  | Im Reiter {{ Reiter | Verzeichnis Dienst}} kann jetzt die entsprechende Gruppe aus dem Active Directory ausgewählt und zugeordnet werden.<p>Weitere Informationen über Clientless VPN Berechtigungen befindet sich in dem Wiki zu [[UTM/VPN/ClientlessVPN#Zuweisen_der_Gruppe | Clientless VPN]].</p>
  | In the tab {{Reiter| Directory Service}} the corresponding group from the Active Directory can now be selected and assigned.<p> Further information about Clientless VPN permissions can be found in the wiki for [[UTM/VPN/ClientlessVPN#Assign_to_the_group | Clientless VPN]].</p> }}
  | In the tab {{Reiter| Directory Service}} the corresponding group from the Active Directory can now be selected and assigned.<p> Further information about Clientless VPN permissions can be found in the wiki for [{{#var:host}}UTM/VPN/ClientlessVPN#Assign_to_the_group Clientless VPN].</p> }}
{{var | Ergebnis
{{var | Ergebnis
  | Ergebnis
  | Ergebnis
  | Result }}
  | Result }}
{{var | Ergebnis--text
{{var | Ergebnis--text
  | Nach dem Speichern kann sich jeder Benutzer, der Mitglied in der AD Gruppe ''ClientlessVPN'' ist, mit seinen Windows Domänen Zugangsdaten für die Nutzung des Clientless VPN auf der UTM anmleden.
  | Nach dem Speichern kann sich jeder Benutzer, der Mitglied in der AD Gruppe ''ClientlessVPN'' ist, mit seinen Windows Domänen Zugangsdaten für die Nutzung des Clientless VPN auf der UTM anmelden.
  | After saving, every user who is a member of the AD group ''ClientlessVPN'' can log on to the UTM with their Windows domains access data for using the Clientless VPN. }}
  | After saving, every user who is a member of the AD group ''ClientlessVPN'' can log on to the UTM with their Windows domains access data for using the Clientless VPN. }}
{{var | ad-test-cli
{{var | ad-test-cli
  | Überprüfen der AD Anbindung mit CLI
  | Überprüfen der AD Anbindung mit CLI
  | }}
  | Verifying the AD connection with CLI }}
 
{{var | ad-test-cli--text
{{var | ad-test-cli--text
  | Über CLI (Command Line Interface) Kommandos lässt sich verschiedenes über die Active Directory Anbindung und Benutzer überprüfen.{{Hinweis-neu|Hinweis:}} Erfolgt die Eingabe (Bildschirm und Tastatur) direkt an der UTM  lautet der Eingabe-Prompt der Firewall z. B.: ''firewall.foo.local>'' bzw. entprechend der lokalen Konfiguration. Bei Aufruf über das User-Interface mit dem Menü {{Menu|Extras|CLI}} lautet der Prompt ''CLI>''Dahinter befindet sich das CLI Kommando.<br>Bei den Zeilen darunter handelt es sich um die Ausgabe der UTM zu diesem Befehl.
  | Über CLI (Command Line Interface) Kommandos lässt sich verschiedenes über die Active Directory Anbindung und Benutzer überprüfen.{{Hinweis-neu|Hinweis:}} Erfolgt die Eingabe (Bildschirm und Tastatur) direkt an der UTM  lautet der Eingabe-Prompt der Firewall z. B.: ''firewall.foo.local>'' bzw. entsprechend der lokalen Konfiguration. Bei Aufruf über das User-Interface mit dem Menü {{Menu|Extras|CLI}} lautet der Prompt ''CLI>''Dahinter befindet sich das CLI Kommando.<br>Bei den Zeilen darunter handelt es sich um die Ausgabe der UTM zu diesem Befehl.
  | Validating the AD connection with CLI }}
  | Validating the AD connection with CLI }}
{{var | ad-beitreten
{{var | ad-beitreten
  | Beitreten und Verlassen der Domäne
  | Beitreten und Verlassen der Domäne
Zeile 344: Zeile 360:
  | If this is not the case, the output is }}
  | If this is not the case, the output is }}
{{var | ad-zugehörigkeit--gruppe
{{var | ad-zugehörigkeit--gruppe
  | Befehl, um zu einem AD-Benutzer die Gruppenzugehörigkeit und Berechtigungen auszugegeben:
  | Befehl, um zu einem AD-Benutzer die Gruppenzugehörigkeit und Berechtigungen aus zugegeben:
  | Command to display the group membership and permissions for an AD user: }}
  | Command to display the group membership and permissions for an AD user: }}
{{var | dc-hinters2s
{{var | dc-hinters2s
Zeile 350: Zeile 366:
  | Domain controller behind site-to-site VPN }}
  | Domain controller behind site-to-site VPN }}
{{var | dc-hinters2s--text
{{var | dc-hinters2s--text
  | In manchen Szenarien befindet sich der Domain-Controller hinter einem Site-to-Site-VPN-Tunnel. Ist dies der Fall, muss eine entsprechende Zone und eine Regel konfiguriert werden.
  | In manchen Szenarien befindet sich der Domain-Controller hinter einem Site-to-Site-VPN-Tunnel. <br>Ist dies der Fall, muss eine entsprechende Zone und eine Regel konfiguriert werden.  
  | In some scenarios, the domain controller is located behind a site-to-site VPN tunnel. If this is the case, a corresponding zone and rule must be configured. }}
  | In some scenarios, the domain controller is located behind a site-to-site VPN tunnel. <br>If this is the case, a corresponding zone and rule must be configured. }}
{{var | dc-hinters2s--hinweis
{{var | dc-hinters2s--hinweis
  | Achtung: Für einen Beitritt in ein Active-Directory, das sich hinter einem VPN-Tunnel befindet, werden in der NAT-Regel Richtung Domain-Controller neben den DNS-Ports die LDAP-Ports benötigt.
  | Achtung: Für einen Beitritt in ein Active-Directory, das sich hinter einem VPN-Tunnel befindet, werden in der NAT-Regel Richtung Domain-Controller neben den DNS-Ports die LDAP-Ports benötigt.
Zeile 360: Zeile 376:
{{var | neu--alle-dcs
{{var | neu--alle-dcs
  | Ab 11.8.10: Verwendung sämtlicher DCs für LDAP Anfragen  
  | Ab 11.8.10: Verwendung sämtlicher DCs für LDAP Anfragen  
  |  }}
  | As of 11.8.10: Use of all DCs for LDAP requests }}
{{var | neu--alle-dcs--desc
{{var | neu--alle-dcs--desc
  | Ab Version 11.8.10 wird nicht nur der PDC, sondern '''sämtliche''' DCs für LDAP Anfragen verwendet. Somit steht die Authentifizierung für Benutzer aus dem AD auch zu Verfügung, wenn der PDC nicht erreichbar ist.
  | Ab Version 11.8.10 wird nicht nur der PDC, sondern '''sämtliche''' DCs für LDAP Anfragen verwendet. Somit steht die Authentifizierung für Benutzer aus dem AD auch zu Verfügung, wenn der PDC nicht erreichbar ist.
  |  }}
  | Starting with version 11.8.10, not only the PDC, but '''all''' DCs are used for LDAP requests. Thus, authentication for users from the AD is available even if the PDC is not reachable. }}
{{var | dc-hinters2s--Link
| Siehe auch [[UTM/VPN/DNS_Relay#DNS_Relay_f.C3.BCr_einen_IPSec_Site-to-Site_Tunnel | DNS-Relay bei IPSec-S2S]] &#8214; [[UTM/VPN/DNS_Relay#DNS_Relay_f.C3.BCr_einen_OpenVPN_Site-to-Site_Tunnel | DNS-Relay bei SSL-S2S]]
|  }}
{{var |
|
|  }}


----
----

Version vom 15. Mai 2023, 15:02 Uhr