Wechseln zu:Navigation, Suche
Wiki
Keine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung
Zeile 1: Zeile 1:
{{v11}}
{{v11}}
==Benutzergruppen Anbindung an das AD==
==Benutzergruppen Anbindung an das AD==
Benutzer können für die Dienste Userinterface/Spamfilter/HTTP-Proxy und VPN über das AD ausgelesen und entsprechenden Gruppen zugewiesen werden. Den Gruppen wiederum können dann auf der SP entsprechende Rechte gegeben werden. Damit können Sie genau steuern wer welche Rechte hat.
Benutzer können für die Dienste Userinterface/Spamfilter/HTTP-Proxy und VPN über das AD ausgelesen und entsprechenden Gruppen zugewiesen werden. Den Gruppen wiederum können dann auf der SP entsprechende Rechte gegeben werden. Damit können Sie genau steuern welcher Benutzer sich wo anmelden darf.


Die Dienste Userinterface/Spamfilter/usw. senden ihre Daten an den zentralen Authentifizierungsdienst "ActiveDirecory Service". Dieser authentifiziert die Benutzer am AD über das Kerberos-Protokoll.  
Die Dienste Userinterface/Spamfilter/usw. senden ihre Daten an den zentralen Authentifizierungsdienst "ActiveDirecory Service". Dieser authentifiziert die Benutzer am AD über das Kerberos-Protokoll.  
Zeile 11: Zeile 11:


===Änderungen zur Version10===
===Änderungen zur Version10===
In Version10 gab es keine gesonderten Benutzergruppen, die Rechte wurde jedem Benutzer einzeln vergeben. Darübe rhinaus war der Authentifizierungsdienst nicht zentralisiert und stand auch nicht für alle Anwendungen zur Verfügung.
In Version10 gab es keine gesonderten Benutzergruppen, die Rechte wurde jedem Benutzer einzeln vergeben. Darüber hinaus war der Authentifizierungsdienst nicht zentralisiert und stand auch nicht für alle Anwendungen zur Verfügung.


==Einrichten des ADs==
==Einrichten des ADs==
Zeile 23: Zeile 23:


==Konfiguration der SP==
==Konfiguration der SP==
Unsere Domäne ist "nac.local" der AD-Server hat die IP "192.168.6.91"
In unserem Beispiel ist die Domäne "nac.local" der AD-Server hat die IP "192.168.6.91".


Damit die SP die Domäne auch findet, weisen wir der SP sich selbst als DNS zu und konfigurieren im Anschluss eine Domän-Weiterleitung. Sie können hier  auch das AD als DNS-Server eingeben, dies könnte dann aber zu einer DNS-Schleife führen wenn auf dem AD die FW eingetrage ist.
Damit die SP die Domäne auch findet, weisen wir der SP sich selbst als DNS zu und konfigurieren im Anschluss eine Domän-Weiterleitung. Sie können hier  auch das AD als DNS-Server eingeben, dies könnte dann aber zu einer DNS-Schleife führen wenn auf dem AD die FW eingetragen ist.


* Gehen Sie auf "Network -> Appliance Settings" und pasen die Werte entsprechend an
* Gehen Sie auf "Network -> Appliance Settings" und passen die Werte entsprechend an.
* Beachte Sie auch die Systemzeit! Kerberos-Tickets werden ggf. nur für 2h ausgestellt und könnten dann schon abgelaufen sein.
* Beachte Sie auch die Systemzeit! Kerberos-Tickets werden ggf. nur für 2h ausgestellt und könnten dann schon abgelaufen sein.


[[Datei:Utm_ad_gruppen3.png‎|center|Appliance Einstellungen]]
[[Datei:Utm_ad_gruppen3.png‎|center|Appliance Einstellungen]]


* Die DNS-Weiterleitung können Sie unter "Services-> Nameserver" einrichten
* Die DNS-Weiterleitung können Sie unter "Services-> Nameserver" einrichten.
* Klicken Sie dort auf "Add Relay-Zone"
* Klicken Sie dort auf "Add Relay-Zone".


[[Datei:Utm_ad_gruppen4.png‎|center|Nameserver]]
[[Datei:Utm_ad_gruppen4.png‎|center|Nameserver]]


Jetzt sollten alle Vorausetzungen erfüllt sein um die FW in die Domäne zu integrieren:
Jetzt sollten alle Voraussetzungen erfüllt sein, um die FW in die Domäne zu integrieren:
* Klicken Sie auf "Authentication -> External Authentication -> Active Directory".
* Klicken Sie auf "Authentication -> External Authentication -> Active Directory".
* Passen Sie die Werte an und klicken Sie auf "Join".
* Passen Sie die Werte an und klicken Sie auf "Join".
Zeile 45: Zeile 45:




Jetzt können wir eine neue Benutzergruppe mit den entsprechenden Rechten anlegen den wir den AD-Benutzern geben möchten:
Jetzt können wir eine neue Benutzergruppe mit den entsprechenden Rechten anlegen die wir unseren AD-Benutzern geben möchten:
* Klicken Sie auf "Authentication -> Users -> Reiter:Groups" und fügen eine neue Gruppe hinzu.
* Klicken Sie auf "Authentication -> Users -> Reiter:Groups" und fügen eine neue Gruppe hinzu.
* Geben Sie dieser die entsprechenden Rechte
* Geben Sie dieser die entsprechenden Rechte.




Zeile 53: Zeile 53:




* Nun können Sie unter dem Reiter "Active Directory" die Sicherheitsgruppe aus dem AD auslesen
* Nun können Sie unter dem Reiter "Active Directory" die Sicherheitsgruppe aus dem AD auslesen.
* Speichern Sie ab.
 
 
[[Datei:Utm_ad_gruppen7.png‎|center|Sichheitsgruppen]]
[[Datei:Utm_ad_gruppen7.png‎|center|Sichheitsgruppen]]
==Anmelden==
==Anmelden==
[[Datei:Utm_ad_gruppen8.png‎|center|Sichheitsgruppen]]
Jetzt sollten wir uns von intern am Userportal anmelden können, geben Sie dazu https://IP_der_FW im Browser ein.
 
Wollen Sie das Userinterface auch aus dem Internet erreichen, so müssen Sie dies expliziet freigeben. Dies können Sie über eine Regel machen
* Von "Internet" -> "Externel-Interface" -> "Port_des_Userinterface (https)"
oder
* Sie geben es über "Firewall -> Implied Rules" frei.
 
Nach der Anmeldung werden uns die Programme/Funktionen angezeigt die wir nutzen dürfen.
[[Datei:Utm_ad_gruppen8.png‎|center|Userinterface]]

Version vom 10. Oktober 2012, 08:46 Uhr

Vorlage:V11

Benutzergruppen Anbindung an das AD

Benutzer können für die Dienste Userinterface/Spamfilter/HTTP-Proxy und VPN über das AD ausgelesen und entsprechenden Gruppen zugewiesen werden. Den Gruppen wiederum können dann auf der SP entsprechende Rechte gegeben werden. Damit können Sie genau steuern welcher Benutzer sich wo anmelden darf.

Die Dienste Userinterface/Spamfilter/usw. senden ihre Daten an den zentralen Authentifizierungsdienst "ActiveDirecory Service". Dieser authentifiziert die Benutzer am AD über das Kerberos-Protokoll.


Ziel: Ist die Anbindung des ADs an die SP und die Anmeldung am Userinterface mit einem AD-Benutzer.


Änderungen zur Version10

In Version10 gab es keine gesonderten Benutzergruppen, die Rechte wurde jedem Benutzer einzeln vergeben. Darüber hinaus war der Authentifizierungsdienst nicht zentralisiert und stand auch nicht für alle Anwendungen zur Verfügung.

Einrichten des ADs

  • Erstellen Sie ein Sicherheitsgruppe auf dem AD, den Namen können Sie frei wählen.
Sichheitsgruppe erstellen


  • Weisen Sie den Benutzern, denen Sie die Rechte erteilen wollen, die entsprechende Gruppe zu.
Rechte hinzufügen


Konfiguration der SP

In unserem Beispiel ist die Domäne "nac.local" der AD-Server hat die IP "192.168.6.91".

Damit die SP die Domäne auch findet, weisen wir der SP sich selbst als DNS zu und konfigurieren im Anschluss eine Domän-Weiterleitung. Sie können hier auch das AD als DNS-Server eingeben, dies könnte dann aber zu einer DNS-Schleife führen wenn auf dem AD die FW eingetragen ist.

  • Gehen Sie auf "Network -> Appliance Settings" und passen die Werte entsprechend an.
  • Beachte Sie auch die Systemzeit! Kerberos-Tickets werden ggf. nur für 2h ausgestellt und könnten dann schon abgelaufen sein.
Appliance Einstellungen
  • Die DNS-Weiterleitung können Sie unter "Services-> Nameserver" einrichten.
  • Klicken Sie dort auf "Add Relay-Zone".
Nameserver

Jetzt sollten alle Voraussetzungen erfüllt sein, um die FW in die Domäne zu integrieren:

  • Klicken Sie auf "Authentication -> External Authentication -> Active Directory".
  • Passen Sie die Werte an und klicken Sie auf "Join".


AD


Jetzt können wir eine neue Benutzergruppe mit den entsprechenden Rechten anlegen die wir unseren AD-Benutzern geben möchten:

  • Klicken Sie auf "Authentication -> Users -> Reiter:Groups" und fügen eine neue Gruppe hinzu.
  • Geben Sie dieser die entsprechenden Rechte.


Sichheitsgruppen


  • Nun können Sie unter dem Reiter "Active Directory" die Sicherheitsgruppe aus dem AD auslesen.
  • Speichern Sie ab.


Sichheitsgruppen

Anmelden

Jetzt sollten wir uns von intern am Userportal anmelden können, geben Sie dazu https://IP_der_FW im Browser ein.

Wollen Sie das Userinterface auch aus dem Internet erreichen, so müssen Sie dies expliziet freigeben. Dies können Sie über eine Regel machen

  • Von "Internet" -> "Externel-Interface" -> "Port_des_Userinterface (https)"

oder

  • Sie geben es über "Firewall -> Implied Rules" frei.

Nach der Anmeldung werden uns die Programme/Funktionen angezeigt die wir nutzen dürfen.

Userinterface