KKeine Bearbeitungszusammenfassung |
KKeine Bearbeitungszusammenfassung |
||
| Zeile 11: | Zeile 11: | ||
| WireGuard attributes under [[#Extended_settings | Extended settings]] }} | | WireGuard attributes under [[#Extended_settings | Extended settings]] }} | ||
</div> {{Select_lang}} {{TOC2}} | </div> {{Select_lang}} {{TOC2|limit=2}} | ||
{{Header|12.5.0| | {{Header|12.5.0| | ||
* {{#var:neu--Azure AD}} | * {{#var:neu--Azure AD}} | ||
Version vom 2. November 2023, 14:55 Uhr
Anbindung einer UTM an ein AD/LDAP
Letzte Anpassung zur Version: 12.5.0
Neu:
- Neuer Verzeichnistyp: Azure AD
- WireGuard Attribute unter Erweiterte Einstellungen (v12.4)
Dieser Artikel bezieht sich auf eine Resellerpreview
Einführung
Voraussetzung
Um ein AD / LDAP zur Authentisierung nutzen zu können, müssen dort Benutzer angelegt und in Gruppen organisiert sein.
Schritt 1: Verzeichnistyp | |||
| Beschriftung | Wert | Beschreibung |  |
|---|---|---|---|
| Verzeichnistyp: | |||
Schritt 2: Einstellungen | |||
| »192.168.145.1 |  | ||
| Domain: | ttt-point.local | Domainname | |
| Arbeitsgruppe | ttt-point | ||
| Appliance Account: | sp-utml | ||
Schritt 3: Nameserver |
 | ||
| Ist der AD-Server noch nicht als Name-Server eingetragen, wird das in diesem Schritt vorgenommen: | |||
| |||
| |||
Schritt 4: Beitreten | |||
| Administratorname | Administrator |  | |
| Passwort | •••••••• | ||
|
| |||
| Ergebnis im Abschnitt Status :
| |||
| Aktiviert: | Ein | Die AD/LDAP Authentifizierung ist aktiviert. |  |
| Verbindungsstatus: | ⬤ | Zur Bestätigung wechselt die Anzeige von grau auf grün. Aktualisieren mit | |
Erweiterte EinstellungenErweitert | |||
| SSL: | Aus | Die Verbindung zum Active Directory Server kann SSL-Verschlüsselt hergestellt werden. |  |
|
| |||
| Root-Zertifikat: | Zertifikat | Es kann ein Root-Zertifikat hinterlegt werden. | |
| LDAP-Filter: | (|(sAMAccountType=268435456)(sAMAccountType=268435457)(sAMAccountType=805306368)) | sAMAccountType=Schränkt die Authentisierung auf Mitglieder der folgenden Gruppen ein:
| |
| |||
| |||
Die Attribute von OTP bis Cert-Attribute, die hier eingetragen sind, existieren in der Regel nicht im AD. Um zum Beispiel den OTP-Geheimcode auf dem AD zu hinterlegen, kann ein ungenutztes Attribut des AD Schemas verwendet werden, der diesen Geheimcode des Benutzers enthält. Eine entsprechende Anleitung befindet sich im Artikel Einbinden der OTP Funktion in das Active Directory. |
 mit Beispielwerten für WireGuard  | ||
| OTP-Attribute: | sPOTPSecret | ||
| L2TP-Attribute: | sPL2TPAddress | ||
| WireGuard-Attribute (IPv4): | sPWireguardIP4Address | Das AD Attribut der IPv4-Adresse der WireGuard-Verbindung ❶ | |
| WireGuard-Attribute (IPv6): | sPWireguardIP6Address | Das AD Attribut der IPv6-Adresse der WireGuard-Verbindung ❷ | |
| WireGuard-Public-Key-Attribute: | sPWireguardPubkeyVal | Das AD Attribut des Public Key der WireGuard-Verbindung ❸ | |
| SSL-VPN-Attribute (IPv4): | sPOVPNAddress | ||
| SSL-VPN-Attribute (IPv6): | sPOVPNIP6Address | ||
| SSL-Bump-Attribute: | sPSSLBumpMode | ||
| Cert-Attribute: | sPCertificate | ||
| Page Size: | 500  |
In größeren Umgebungen kann es vorkommen, dass bei LDAP-Anfragen die serverseitig festgelegte, maximale Anzahl von Datensätzen (im AD sind es 1000) überschritten wird. Mit Page Size kann eingestellt werden das die LDAP-Abfrage stückweise ausgeführt wird. Eine Page Size von 500 bedeutet 500 Datensätze pro Abfrage. Die Page Size von 0 deaktiviert eine schrittweise LDAP-Abfrage. | |
|
| |||
Schritt 1: Verzeichnistyp | |||
| Beschriftung | Wert | Beschreibung |  |
|---|---|---|---|
| Verzeichnistyp: | Entra ID als Verzeichnistyp auswählen | ||
Schritt 2: Einstellungen | |||
| Verzeichnis-ID (Mandanten-ID): | •••••••••••••••••••• | Verzeichnis-ID (Mandanten-ID) aus der App-Registrierung in Entra ID |  |
| Der eingetragene Wert wird angezeigt | |||
| Anwendungs-ID (Client-ID): | •••••••••••••••••••• | Anwendungs-ID (Client-ID) aus der App-Registrierung in Entra ID | |
| Der eingetragene Wert wird angezeigt | |||
| Geheimer Wert | •••••••••••••••••••• | Wert des geheimen Clientschlüssels aus dem Abschnitt Zertifikate & Geheimnisse der Entra ID | |
| Der eingetragene Wert wird angezeigt | |||
|
| |||
| Aktiviert: | Ja | Die Entra ID Authentifizierung ist aktiviert |  |
| Verbindungsstatus: | Zur Bestätigung wechselt die Anzeige von grau auf grün. | ||
| Über diese Schaltfläche wird der Verbindungsstatus aktualisiert | |||
| Verzeichnistyp: | Der eingestellte Verzeichnistyp | ||
| Einstellungen | |||
| Verzeichnis-ID (Mandanten-ID): | •••••••••••••••••••• | Verzeichnis-ID (Mandanten-ID) aus der App-Registrierung in Entra ID | |
| Der eingetragene Wert wird angezeigt | |||
| Anwendungs-ID (Client-ID): | •••••••••••••••••••• | Anwendungs-ID (Client-ID) aus der App-Registrierung in Entra ID | |
| Der eingetragene Wert wird angezeigt | |||
| Geheimer Wert | •••••••••••••••••••• | Wert des geheimen Clientschlüssels aus dem Abschnitt Zertifikate & Geheimnisse der Entra ID | |
| Der eingetragene Wert wird angezeigt | |||
Um den Benutzern aus dem Active Directory die Berechtigungen für den Zugriff auf das User-Interface der UTM und der Nutzung des Clientless VPN zu erteilen, wird im Menü Bereich
Gruppen
Schaltfläche eine Gruppe mit eben diesen Berechtigungen angelegt.
| Aktiv | Berechtigung | Hinweis |
|---|---|---|
| Ein | Userinterface | |
| Ein | Clientless VPN | Gewünschte Berechtigung |
Im Bereich
Es werden nur Gruppen aufgelistet, die nicht leer sind.
Verzeichnis Dienst
kann jetzt die entsprechende Gruppe aus dem Active Directory ausgewählt und zugeordnet werden.Es werden nur Gruppen aufgelistet, die nicht leer sind.
Ergebnis
Beitreten und Verlassen der Domäne
Um zu überprüfen ob die UTM schon der Domäne beigetreten ist:
cli> system activedirectory testjoin Join is OK cli>
Sollte das nicht der Fall sein, erfolgt die Ausgabe
cli> system activedirectory testjoin Not joined cli>
In diesem Fall kann der Domäne mit dem folgenden Kommando beigetreten werden
cli> system activedirectory join password Beispiel-Admin-Passwort Password for Administrator@TTT-POINT.LOCAL: Processing principals to add... Enter Administrator's password: Using short domain name -- TTT-POINT Joined 'SP-UTML' to dns domain 'ttt-point.local' cli>
Das Kommando um die Domäne zu verlassen lautet
cli> system activedirectory leave password Beispiel-Admin-Passwort Enter Administrator's password: Deleted account for 'SP-UTML' in realm 'TTT-POINT.LOCAL' cli>
Beim Beitreten bzw. Verlassen des Active Directories ist die Angabe des Administratorpasswortes notwendig. Das Passwort wird nicht gespeichert, die AD-Zugehörigkeit ist trotzdem Reboot fest.
cli> system activedirectory lsgroups member ------ Abgelehnte RODC-Kennwortreplikationsgruppe Administratoren Benutzer Builtin ClientlessVPN Discovery Management Domänen-Admins Domänen-Benutzer Domänen-Gäste Exchange Servers ... Users Windows-Autorisierungszugriffsgruppe cli>
Überprüfen der Benutzer und Gruppenzugehörigkeit
Das folgende Kommando überprüft, ob ein AD-Benutzer einer UTM Gruppe zugeordnet ist:
cli> user check name "m.meier" groups grp_ClientlessVPN matched cli>
Sollte das nicht der Fall sein erfolgt die Ausgabe
not a member cli>
Befehl, um zu einem AD-Benutzer die Gruppenzugehörigkeit und Berechtigungen aus zugegeben:
cli> user get name m.meier name |groups |permission -------+-----------------+---------- m.meier|grp_ClientlessVPN|WEB_USER,VPN_CLIENTLESS cli>
Domain-Controller hinter Site-to-Site-VPN
In manchen Szenarien befindet sich der Domain-Controller hinter einem Site-to-Site-VPN-Tunnel.
Ist dies der Fall, muss eine entsprechende Zone und eine Regel konfiguriert werden.
Siehe auch DNS-Relay bei IPSec-S2S ‖ DNS-Relay bei SSL (OpenVPN) -S2S ‖ DNS-Relay bei WireGuard-S2S
notempty
Achtung: Für einen Beitritt in ein Active-Directory, das sich hinter einem VPN-Tunnel befindet, werden in der NAT-Regel Richtung Domain-Controller neben den DNS-Ports die LDAP-Ports benötigt.