Wechseln zu:Navigation, Suche
Wiki
KKeine Bearbeitungszusammenfassung
KKeine Bearbeitungszusammenfassung
Zeile 42: Zeile 42:
<p>{{Hinweis-neu|! Diese Umstellung wird von der UTM automatisch vorgenommen.|gr}}</p>
<p>{{Hinweis-neu|! Diese Umstellung wird von der UTM automatisch vorgenommen.|gr}}</p>
<p>Alternativ kann das die gesamte Verbindung mit SSL abgesichert werden.</p>
<p>Alternativ kann das die gesamte Verbindung mit SSL abgesichert werden.</p>
  | An AD or LDAP can be used for authentication on the UTM. The rights on the UTM can then be controlled via the group membership in the AD.</p><p>In general, this is the Active Directory Service, which manages the domain in a network and controls the authentication of the network users via the LDAP and Kerberos protocol. }}
  | <p>AD/LDAP connectivity enables existing directory services such as Microsoft Active Directory® or other LDAProtocol-based systems to be used for authentication, group management, and attribute storage.</p>
 
<p> Centrally managed users from the directory can thus easily be used for authentication or use of services on the UTM.</p>
<p> This simplifies the administration of complex corporate networks and unifies user management.</p>
<p> Among other things, the Light Directory Access Protocol (LDAP) is used for the connection to the directory..<br>
Using LDAP, information about users, groups and other objects can be read from the directory.</p>
<p>{{Hinweis-neu|!|g}} The standard protocol itself does not provide for encryption or authentication of the messages.</p>
<p> In [https://portal.msrc.microsoft.com/de-de/security-guidance/advisory/ADV190023 ADV190023] (Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing) it is pointed out
and an adjustment of the security settings is given.</p>
<p> In the future, signing and encryption of LDAP traffic will be required (''seal'').</p>
<p>{{Hinweis-neu|! This change is made automatically by the UTM.|gr}}</p>
<p> Alternatively, the entire connection can be secured with SSL.</p>
}}


{{var | Voraussetzung
{{var | Voraussetzung
Zeile 324: Zeile 334:
{{var | ad-test-cli--text
{{var | ad-test-cli--text
  | Über CLI (Command Line Interface) Kommandos lässt sich verschiedenes über die Active Directory Anbindung und Benutzer überprüfen.{{Hinweis-neu|Hinweis:}} Erfolgt die Eingabe (Bildschirm und Tastatur) direkt an der UTM  lautet der Eingabe-Prompt der Firewall z. B.: ''firewall.foo.local>'' bzw. entsprechend der lokalen Konfiguration. Bei Aufruf über das User-Interface mit dem Menü {{Menu|Extras|CLI}} lautet der Prompt ''CLI>''Dahinter befindet sich das CLI Kommando.<br>Bei den Zeilen darunter handelt es sich um die Ausgabe der UTM zu diesem Befehl.
  | Über CLI (Command Line Interface) Kommandos lässt sich verschiedenes über die Active Directory Anbindung und Benutzer überprüfen.{{Hinweis-neu|Hinweis:}} Erfolgt die Eingabe (Bildschirm und Tastatur) direkt an der UTM  lautet der Eingabe-Prompt der Firewall z. B.: ''firewall.foo.local>'' bzw. entsprechend der lokalen Konfiguration. Bei Aufruf über das User-Interface mit dem Menü {{Menu|Extras|CLI}} lautet der Prompt ''CLI>''Dahinter befindet sich das CLI Kommando.<br>Bei den Zeilen darunter handelt es sich um die Ausgabe der UTM zu diesem Befehl.
  | Validating the AD connection with CLI }}
  | CLI (Command Line Interface) commands can be used to check various things about the Active Directory connection and users.{{Hinweis-neu|Hinweis:}} If the input (screen and keyboard) is made directly at the UTM, the input prompt of the firewall is e. g.: ''firewall.foo.local>'' or according to the local configuration. When called from the user interface with the {{Menu|Extras|CLI}} menu, the prompt is ''CLI>''. This is followed by the CLI command.<br> The lines below are the output of the UTM for this command. }}


{{var | ad-beitreten
{{var | ad-beitreten
Zeile 381: Zeile 391:
  | Starting with version 11.8.10, not only the PDC, but '''all''' DCs are used for LDAP requests. Thus, authentication for users from the AD is available even if the PDC is not reachable. }}
  | Starting with version 11.8.10, not only the PDC, but '''all''' DCs are used for LDAP requests. Thus, authentication for users from the AD is available even if the PDC is not reachable. }}
{{var | dc-hinters2s--Link
{{var | dc-hinters2s--Link
| Siehe auch [[UTM/VPN/DNS_Relay#DNS_Relay_f.C3.BCr_einen_IPSec_Site-to-Site_Tunnel | DNS-Relay bei IPSec-S2S]] &#8214; [[UTM/VPN/DNS_Relay#DNS_Relay_f.C3.BCr_einen_OpenVPN_Site-to-Site_Tunnel | DNS-Relay bei SSL-S2S]]
| Siehe auch [[UTM/VPN/DNS_Relay#DNS_Relay_f.C3.BCr_einen_IPSec_Site-to-Site_Tunnel | DNS-Relay bei IPSec-S2S]] &#8214; [[UTM/VPN/DNS_Relay#DNS_Relay_f.C3.BCr_einen_OpenVPN_Site-to-Site_Tunnel | DNS-Relay bei SSL (OpenVPN) -S2S]]
| }}
| See also [{{#var:host}}UTM/VPN/DNS_Relay#DNS_Relay_for_an_IPSec_Site-to-Site_Tunnel DNS-Relay for IPSec-S2S] &#8214;
{{var |  
[{{#var:host}}UTM/VPN/DNS_Relay#DNS_Relay_for_an_OpenVPN_Site-to-Site_Tunnel DNS-Relay for SSL (OpenVPN) -S2S] }}
|  
{{var | WireGuard-Attribute (IPv4)--desc
| }}
| Das AD Attribut der IPv4-Adresse der WireGuard-Verbindung
| The AD attribute of the IPv4 address of the WireGuard connection. }}
{{var | WireGuard-Attribute (IPv4)--info
| Die IPv4-Adresse kann in ein beliebiges AD Attribut des Benutzers hinterlegt werden. Wird die IPv4-Adresse in ''extensionAttribute1'' hinterlegt, wird {{ic|extensionAttribute1}} hier eingetragen.
| The IPv4 address can be stored in any AD attribute of the user. If the IPv4 address is stored in ''extensionAttribute1'', {{ic|extensionAttribute1}} is entered here. }}
{{var | WireGuard-Attribute (IPv6)--desc
| Das AD Attribut der IPv6-Adresse der WireGuard-Verbindung
| The AD attribute of the IPv6 address of the WireGuard connection }}
{{var | WireGuard-Attribute (IPv6)--info
| Die IPv6-Adresse kann in ein beliebiges AD Attribut des Benutzers hinterlegt werden. Wird die IPv6-Adresse in ''extensionAttribute2'' hinterlegt, wird {{ic|extensionAttribute2}} hier eingetragen.
| The IPv6 address can be stored in any AD attribute of the user. If the IPv6 address is stored in ''extensionAttribute2'', {{ic|extensionAttribute2}} is entered here. }}
{{var | WireGuard-Public-Key-Attribute--desc
| Das AD Attribut des Public Key der WireGuard-Verbindung
| The AD attribute of the public key of the WireGuard connection. }}
{{var | WireGuard-Public-Key-Attribute--info
| Der Public Key kann in ein beliebiges AD Attribut des Benutzers hinterlegt werden. Wird der Public Key in ''extensionAttribute3'' hinterlegt, wird {{ic|extensionAttribute3}} hier eingetragen.
| The public key can be stored in any AD attribute of the user. If the public key is stored in ''extensionAttribute3'', {{ic|extensionAttribute3}} is entered here. }}
{{var | Konfiguration WireGuard AD--show
| Konfiguration der WireGuard Windows-AD Verknüpfung anzeigen
| Show configuration of the WireGuard Windows-AD shortcut }}
{{var | Konfiguration WireGuard AD--hide
| Konfiguration der WireGuard Windows-AD Verknüpfung ausblenden
| Hide the configuration of the WireGuard Windows-AD shortcut }}
{{var | WireGuard AD Verknüpfung
| * Einen Wireguard Peer auf der UTM anlegen
* Eine Usergruppe auf dem AD anlegen, wodurch die Benutzer WireGuard nutzen können
* Die benötigten Wireguard Attribute in ein AD Attribut der Benutzer eintragen (zum Beispiel die ''extensionAttribute#'')
* Die UTM mit dem AD verbinden und konfiguriert die eingestellten AD Attribute
* Auf der UTM eine Benutzergruppe anlegen, die mit der AD-Usergruppe verbunden ist und die Wireguard Berechtigung hat
* Die entsprechenden Verknüpfungen werden automatisch beim nächsten AD-Sync hinzugefügt
* Wird ein neues Attribute den Usern hinzugefügt, werden diese auch beim nächsten Sync übernommen
| * Create a Wireguard peer on the UTM
* Create a user group on the AD, which allows the users to use WireGuard
* Enter the required Wireguard attributes into an AD attribute of the users (for example the ''extensionAttribute#'')
* Connect the UTM to the AD and configure the set AD attributes
* Create a user group on the UTM which is connected to the AD user group and has the Wireguard permission
* The corresponding connections will be added automatically during the next AD sync
* If a new attribute is added to the users, these are also taken over at the next sync }}


----
----

Version vom 27. Juni 2023, 08:32 Uhr