Wechseln zu:Navigation, Suche
Wiki
(Die Seite wurde neu angelegt: „{{Lang}} {{#vardefine:headerIcon|spicon-utm}} {{var | display | OTP mit AD-Anbindung | OTP with AD connection }} {{var | head | Konfiguration eines One-Time-Passwortes (OTP) mit AD-Anbindung | Configuration of a one-time password (OTP) with AD connection }} {{var | Authentifizierung | Authentifizierung | Authentication }} {{var | AD/LDAP Authentifizierung | AD/LDAP Authentifizierung | AD/LDAP authentication }} {{var | Erweitert | Erwei…“)
 
Keine Bearbeitungszusammenfassung
Zeile 14: Zeile 14:
{{var | AD/LDAP Authentifizierung
{{var | AD/LDAP Authentifizierung
| AD/LDAP Authentifizierung
| AD/LDAP Authentifizierung
| AD/LDAP authentication }}
| AD/LDAP Authentication }}
{{var | Erweitert
{{var | Erweitert
| Erweitert
| Erweitert
Zeile 34: Zeile 34:
| An exception on a per-user basis is not possible. This also applies to authentication at the user web interface and to SSL-VPN and IPSec-Xauth. }}
| An exception on a per-user basis is not possible. This also applies to authentication at the user web interface and to SSL-VPN and IPSec-Xauth. }}
{{var | Einleitung SSLVPN
{{var | Einleitung SSLVPN
| SSL-VPN:<br>Da beim SSL-VPN jede Stunde eine Reauthentifizierung stattfindet, muss auch jede Stunde ein neuer OTP eingegeben werden.
| '''SSL-VPN''':<br>Da beim SSL-VPN jede Stunde eine Reauthentifizierung stattfindet, muss auch jede Stunde ein neuer OTP eingegeben werden.
| SSL-VPN:<br>Since re-authentication takes place every hour with the SSL-VPN, a new OTP must also be entered every hour. }}
| '''SSL-VPN''':<br>Since re-authentication takes place every hour with the SSL-VPN, a new OTP must also be entered every hour. }}
{{var | Einleitung SSLVPN 2
{{var | Einleitung SSLVPN 2
| Die Renegotiation kann entsprechend erhöht oder komplett deaktiviert werden.<br>
| Die Renegotiation kann entsprechend erhöht oder komplett deaktiviert werden.<br>
Zeile 46: Zeile 46:
| Saving the password in the SSL-VPN client is not possible because the password to be passed is composed of the static user password and the OTP. }}
| Saving the password in the SSL-VPN client is not possible because the password to be passed is composed of the static user password and the OTP. }}
{{var | Einleitung Smartphone--Hinweis
{{var | Einleitung Smartphone--Hinweis
| Im Falle eines Ausfalls des Smartphones kann das OTP nicht mehr generiert werden und es besteht kein Zugriff mehr auf die ausgewählten Funktionen der UTM.<br>Sollte sich dieses auch auf die Administration der UTM beziehen, muss diese Firewall komplett neu aufsetzen werden.
| Fällt der OTP-Generator für den '''Administrator-Zugang''' aus, benötigt man eine ausgedruckte Version des QR-Codes.<br>Sollte diese nicht vorliegen, ist ein Zugriff auf die UTM nur noch mit physischem Zugang direkt am Gerät (Tastatur und Monitor an der UTM) möglich.
| In the event of a smartphone failure, the OTP can no longer be generated and there is no longer any access to the selected functions of the UTM.<br>If this also applies to the administration of the UTM, this firewall must be completely reset. }}
| If the OTP generator for '''administrator access''' fails, you require a printed version of the QR code.<br>If this is not available, access to the UTM is only possible with physical access directly at the device (keyboard and monitor at the UTM). }}
{{var | Einleitung Dokument
{{var | Einleitung Dokument
| Empfohlen wird das Ausdrucken dieses Codes für die Administratoren und das Ablegen zu der Dokumentation, wie unter [[OTP_V11#OTP_Secret | OTP Secret]]  beschrieben.
| Empfohlen wird das Ausdrucken dieses Codes für die Administratoren und das Ablegen zu der Dokumentation, wie unter [[OTP_V11#OTP_Secret | OTP Secret]]  beschrieben.
Zeile 107: Zeile 107:
| Enter attribute in the UTM }}
| Enter attribute in the UTM }}
{{var | Attribut in der UTM Eintragen--Bild
{{var | Attribut in der UTM Eintragen--Bild
| UTM_v12.3.4_Auth_AD-LDAP_Erweitert_OTP-Attribute.png
| UTM_v12.6_Auth_AD-LDAP_Erweitert_OTP-Attribute.png
| UTM_v12.3.4_Auth_AD-LDAP_Erweitert_OTP-Attribute-en.png }}
| UTM_v12.6_Auth_AD-LDAP_Erweitert_OTP-Attribute-en.png }}
{{var | Attribut in der UTM Eintragen--cap
{{var | Attribut in der UTM Eintragen--cap
| AD OTP Attribut
| AD OTP Attribut
| AD OTP attribute }}
| AD OTP attribute }}
{{var | Attribut in der UTM Eintragen--desc
{{var | Attribut in der UTM Eintragen--desc
| Das Attribute der AD mit dem OTP Geheimcode muss in die UTM eingetragen werden.<br> Im Menu {{Menu|Authentifizierung|AD/LDAP Authentifizierung}} zum Dialog {{Reiter|Erweitert}} wechseln.  
| Das Attribute der AD mit dem OTP Geheimcode muss in die UTM eingetragen werden.<br> Im Menu {{Menu-UTM|Authentifizierung|AD/LDAP Authentifizierung}} zum Bereich {{Reiter|Erweitert}} wechseln.  
| The attribute of the AD with the OTP secret code must be entered into the UTM.<br> In the menu {{Menu|Authentication|AD/LDAP Authentication}} switch to the dialog {{Reiter|Extended}}. }}
| The attribute of the AD with the OTP secret code must be entered into the UTM.<br> In the menu {{Menu-UTM|Authentication|AD/LDAP Authentication}} switch to the area {{Reiter|Extended}}. }}
{{var | OTP-Attribute--desc
{{var | OTP-Attribute--desc
| Das im AD ausgewählte Attribut eingetragen. Der dort eingetragene Wert wird einfach überschrieben.
| Das im AD ausgewählte Attribut eingetragen. Der dort eingetragene Wert wird einfach überschrieben.
Zeile 125: Zeile 125:
| Since the AD attribute ''extensionAttribute10'' should now contain a 16-digit base32 key code, this must be generated somehow. This can be done by the UTM. }}
| Since the AD attribute ''extensionAttribute10'' should now contain a 16-digit base32 key code, this must be generated somehow. This can be done by the UTM. }}
{{var | OTP Geheimcode generieren--Bild
{{var | OTP Geheimcode generieren--Bild
| UTM_v12.3.4_Auth_Benutzer.png
| UTM_v12.6_Auth_Benutzer.png
| UTM_v12.3.4_Auth_Benutzer-en.png }}
| UTM_v12.6_Auth_Benutzer-en.png }}
{{var | OTP Geheimcode generieren--cap
{{var | OTP Geheimcode generieren--cap
| Dummy User für OTP-Schlüssel
| Dummy User für OTP-Schlüssel
| Dummy user for OTP key }}
| Dummy user for OTP key }}
{{var | Benutzer
| Benutzer
| User }}
{{var | OTP Geheimcode generieren--desc2
{{var | OTP Geheimcode generieren--desc2
| Es wird einfach im Menü ''Authentifizierung'' unter ''Benutzer'' ein Benutzer angelegt - hier mit dem Namen ''otp_dummy_user''. Dieser muss keiner Gruppe angehören und benötigt auch keine Berechtigungen.
| Es wird einfach unter {{Menu-UTM|Authentifizierung|Benutzer}} ein Benutzer angelegt - hier mit dem Namen ''otp_dummy_user''. Dieser muss keiner Gruppe angehören und benötigt auch keine Berechtigungen.
| Simply create a user in the menu ''Authentication'' under ''User'' - here with the name ''otp_dummy_user''. This user does not have to belong to a group and does not need any permissions. }}
| Simply create a user under {{Menu-UTM|Authentication|User}} - here with the name ''otp_dummy_user''. This user does not have to belong to a group and does not need any permissions. }}
{{var | OTP Geheimcode generieren--Bild2
{{var | OTP Geheimcode generieren--Bild2
| UTM_v12.3.4_Auth_Benutzer_OTP.png
| UTM_v12.6_Auth_Benutzer_OTP.png
| UTM_v12.3.4_Auth_Benutzer_OTP-en.png }}
| UTM_v12.6_Auth_Benutzer_OTP-en.png }}
{{var | OTP Geheimcode generieren--cap2
{{var | OTP Geheimcode generieren--cap2
| OTP-Schlüssel generieren
| OTP-Schlüssel generieren
| Generate OTP key }}
| Generate OTP key }}
{{var | Benutzer bearbeiten
| Benutzer bearbeiten
| Edit user }}
{{var | OTP Geheimcode generieren--desc3
{{var | OTP Geheimcode generieren--desc3
| Wird dieser Benutzer erneut bearbeitet, befindet sich auf der rechten Seite der Tab ''OTP''.<br>Zum einen befindet sich hier schon ein per Zufallsgenerator erstellter Geheimcode, zum anderen auch ein aus diesem erstellter QR Code.
| Wird dieser Benutzer erneut bearbeitet, befindet sich auf der rechten Seite {{Button|OTP|Anw=UTM126}}.<br>Zum einen befindet sich in dem Bereich {{Kasten|OTP}} schon ein per Zufallsgenerator erstellter Geheimcode, zum anderen auch ein aus diesem erstellter QR Code.<br>Mit der Schaltfläche {{button||class=fas fa-arrow-rotate-left}} wird ein neuer Geheimcode generiert.
| If this user is edited again, the tab ''OTP'' is located on the right side.<br>On the one hand, a secret code created by random generator is already located here, on the other hand also a QR code created from this. }}
| If this user is edited again, {{button|OTP|Anw=UTM126}} is located on the right side.<br>On the one hand, a secret code created by random generator is already located in the area {{Kasten|OTP}}, on the other hand also a QR code created from this.<br>A new secret code is generated with the {{button||class=fas fa-arrow-rotate-left}} button. }}
{{var | OTP Geheimcode--desc
{{var | OTP Geheimcode--desc
| Der Geheimcode kann einfach kopiert und im Active Directory Attribut eingefügt werden.<br>Dies gilt natürlich auch für einen 40-stelligen HEX(60) Key eines Hardware Token.  
| Der Geheimcode kann einfach kopiert und im Active Directory Attribut eingefügt werden.<br>Dies gilt natürlich auch für einen 40-stelligen HEX(60) Key eines Hardware Token.  
Zeile 152: Zeile 158:
| Insert key code into attribute (Google Authenticator) }}
| Insert key code into attribute (Google Authenticator) }}
{{var | OTP Geheimcode Hardware-Token--desc
{{var | OTP Geheimcode Hardware-Token--desc
| '''Bitte beachten:'''<br>Bei der Verwendung eines Hardware-Token muss der Präfix (z. B. '''hex(60)''' )im AD-Attribut vor dem PSK angegeben werden. .  
| {{Alert}}'''Bitte beachten:'''<br>Bei der Verwendung eines Hardware-Token muss der Präfix (z. B. '''hex(60)''' )im AD-Attribut vor dem PSK angegeben werden.
| '''Please note:'''<br>When using a hardware token, the prefix (e.g. '''hex(60)''' )must be specified in the AD attribute before the PSK. }}
| {{Alert}}'''Please note:'''<br>When using a hardware token, the prefix (e.g. '''hex(60)''' )must be specified in the AD attribute before the PSK. }}
{{var | OTP Geheimcode Syntax Beispiel
| '''''Beispiel''''': sha256 mit base32 und 30 Sekunden-Intervall → sha256:b32(30)1234567ABCD123
| '''''Example''''': sha256 with base32 and 30 second interval → sha256:b32(30)1234567ABCD123 }}
{{var | OTP Geheimcode Hardware-Token--Bild
{{var | OTP Geheimcode Hardware-Token--Bild
| WIN2012_AD_EUAcode_hinz_hardware_token.png
| WIN2012_AD_EUAcode_hinz_hardware_token.png
Zeile 164: Zeile 173:
| The QR code can be saved as an image simply by clicking the right mouse button, and then send it to the user in a suitable way. Instructions on how to set this up in a software token such as Google Authenticator can be found [{{#var:host}}UTM/AUTH/OTP#Setting_up_an_Authenticator here]. }}
| The QR code can be saved as an image simply by clicking the right mouse button, and then send it to the user in a suitable way. Instructions on how to set this up in a software token such as Google Authenticator can be found [{{#var:host}}UTM/AUTH/OTP#Setting_up_an_Authenticator here]. }}
{{var | OTP QRCode speichern--Bild
{{var | OTP QRCode speichern--Bild
| UTM_v12.3.4_Auth_Benutzer_OTP_speichern.png
| UTM_v12.6_Auth_Benutzer_OTP_speichern.png
| UTM_v12.3.4_Auth_Benutzer_OTP_speichern-en.png }}
| UTM_v12.6_Auth_Benutzer_OTP_speichern-en.png }}
{{var | OTP QRCode speichern--cap
{{var | OTP QRCode speichern--cap
| QR Code als Grafik speichern
| QR Code als Grafik speichern
| Save QR code as an image }}
| Save QR code as an image }}
{{var | OTP QRCode speichern--desc2
{{var | OTP QRCode speichern--desc2
| Natürlich soll jeder Benutzer seinen eigenen OTP-Schlüssel erhalten.<br>Ein neuer, per Zufallsgenerator erzeugter Schlüssel und QR Code wird einfach durch einen Mausklick auf den Button [[Datei:UTM_V115_AktB.png|30px]] erstellt.
| Natürlich soll jeder Benutzer seinen eigenen OTP-Schlüssel erhalten.<br>Ein neuer, per Zufallsgenerator erzeugter Schlüssel und QR Code wird einfach durch einen Mausklick auf die Schaltfläche {{button||class=fas fa-arrow-rotate-left }} erstellt.
| Of course, each user should get his own OTP key.<br>A new randomly generated key and QR code is created simply by clicking the [[Datei:UTM_V115_AktB.png|30px]] button. }}
| Of course, each user should get his own OTP key.<br>A new randomly generated key and QR code is created simply by clicking the {{button||class=fas fa-arrow-rotate-left }} button. }}
{{var | Gruppe für AD Authentifizierung anlegen
{{var | Gruppe für AD Authentifizierung anlegen
| Gruppe für AD Authentifizierung anlegen
| Gruppe für AD Authentifizierung anlegen
Zeile 179: Zeile 188:
| The users in question must be grouped in the Active Directory, as individual users cannot be detected by the UTM. }}
| The users in question must be grouped in the Active Directory, as individual users cannot be detected by the UTM. }}
{{var | Gruppe für AD Authentifizierung anlegen--Bild
{{var | Gruppe für AD Authentifizierung anlegen--Bild
| UTM_v12.3.4_Auth_Gruppe_Berechtigungen.png
| UTM_v12.6_Auth_Gruppe_Berechtigungen.png
| UTM_v12.3.4_Auth_Gruppe_Berechtigungen-en.png }}
| UTM_v12.6_Auth_Gruppe_Berechtigungen-en.png }}
{{var | Gruppe für AD Authentifizierung anlegen--cap
{{var | Gruppe für AD Authentifizierung anlegen--cap
| Benutzergruppe anlegen
| Benutzergruppe anlegen
| Create user group }}
| Create user group }}
{{var | Gruppe hinzufügen
| Gruppe hinzufügen
| Add group }}
{{var | Gruppe für AD Authentifizierung anlegen--desc2
{{var | Gruppe für AD Authentifizierung anlegen--desc2
| Zum Abschluss muss auf der UTM noch eine Benutzergruppe angelegt werden, die die Berechtigungen der OTP-AD-Gruppe auf der UTM steuert.
| Zum Abschluss muss auf der UTM noch eine Benutzergruppe angelegt werden, die die Berechtigungen der OTP-AD-Gruppe auf der UTM steuert.
| Finally, a user group must be created on the UTM that controls the permissions of the OTP-AD group on the UTM. }}
| Finally, a user group must be created on the UTM that controls the permissions of the OTP-AD group on the UTM. }}
{{var | Gruppe für AD Authentifizierung anlegen--Bild2
{{var | Gruppe für AD Authentifizierung anlegen--Bild2
| UTM_v12.3.4_Auth_Gruppe_Verzeichnis-Dienst.png
| UTM_v12.6_Auth_Gruppe_Verzeichnis-Dienst.png
| UTM_v12.3.4_Auth_Gruppe_Verzeichnis-Dienst-en.png }}
| UTM_v12.6_Auth_Gruppe_Verzeichnis-Dienst-en.png }}
{{var | Gruppe für AD Authentifizierung anlegen--cap2
{{var | Gruppe für AD Authentifizierung anlegen--cap2
| AD Gruppe mit UTM Benutzergruppe verknüpfen
| AD Gruppe mit UTM Benutzergruppe verknüpfen

Version vom 26. Januar 2024, 10:08 Uhr