Keine Bearbeitungszusammenfassung |
Keine Bearbeitungszusammenfassung |
||
Zeile 80: | Zeile 80: | ||
| It is important to make sure that the [{{#var:host}}UTM/NET/Servereinstellungen#Time_Settings UTM Time] is reasonably synchronized with the AD, since a Kerberos ticket has a limited validity period. }} | | It is important to make sure that the [{{#var:host}}UTM/NET/Servereinstellungen#Time_Settings UTM Time] is reasonably synchronized with the AD, since a Kerberos ticket has a limited validity period. }} | ||
{{var | utm-in-domäne--authentifizierung | {{var | utm-in-domäne--authentifizierung | ||
| Im Menü {{Menu | Authentifizierung |AD/LDAP Authentifizierung}} wird die Authentifizierung konfiguriert. | | Im Menü {{Menu-UTM|Authentifizierung|AD/LDAP Authentifizierung}} wird die Authentifizierung konfiguriert. | ||
| In the menu {{Menu | Authentication |AD/LDAP Authentication}} the authentication is configured. }} | | In the menu {{Menu-UTM|Authentication|AD/LDAP Authentication}} the authentication is configured. }} | ||
{{var | ad-verbindung | {{var | ad-verbindung | ||
| AD Verbindung herstellen | | AD Verbindung herstellen | ||
Zeile 104: | Zeile 104: | ||
| Even there is also running an LDAP, the group membership is treated differently in the AD environment than in a pure LDAP server. }} | | Even there is also running an LDAP, the group membership is treated differently in the AD environment than in a pure LDAP server. }} | ||
{{var | schritt-1--bild | {{var | schritt-1--bild | ||
| | | UTM_12.6_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt1.png | ||
| | | UTM_12.6_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt1-en.png }} | ||
{{var | AD/LDAP Authentifizierungs Assistent | |||
| AD/LDAP Authentifizierungs Assistent | |||
| AD/LDAP Authentication Wizard }} | |||
{{var | Weiter | {{var | Weiter | ||
| Weiter | | Weiter | ||
Zeile 119: | Zeile 122: | ||
| (Example address!) }} | | (Example address!) }} | ||
{{var | schritt-2--bild | {{var | schritt-2--bild | ||
| | | UTM_12.6_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt2.png | ||
| | | UTM_12.6_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt2-en.png }} | ||
{{var | Arbeitsgruppe | {{var | Arbeitsgruppe | ||
| Arbeitsgruppe: | | Arbeitsgruppe: | ||
Zeile 149: | Zeile 152: | ||
| IP address of an AD server of the domain, if necessary additionally the port }} | | IP address of an AD server of the domain, if necessary additionally the port }} | ||
{{var | schritt-3--bild | {{var | schritt-3--bild | ||
| | | UTM_12.6_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt3.png | ||
| | | UTM_12.6_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt3-en.png }} | ||
{{var | Speichern | {{var | Speichern | ||
| Speichern | | Speichern | ||
| Save }} | | Save }} | ||
{{var | ad-server | {{var | ad-server | ||
| Der AD-Server wird damit als Relay-Zone im Nameserver der UTM hinzugefügt.</p><p>Der Eintrag ist im Menü {{Menu|Anwendungen|Nameserver }} im Reiter {{Reiter|Zonen}} zu finden. | | Der AD-Server wird damit als Relay-Zone im Nameserver der UTM hinzugefügt.</p><p>Der Eintrag ist im Menü {{Menu-UTM|Anwendungen|Nameserver }} im Reiter {{Reiter|Zonen}} zu finden. | ||
| The AD server is thus added as a relay zone in the name server of the UTM.</p><p>The entry can be found in the menu {{Menu|Applications|Nameserver }} in the tab {{Reiter|Zones}}. }} | | The AD server is thus added as a relay zone in the name server of the UTM.</p><p>The entry can be found in the menu {{Menu-UTM|Applications|Nameserver }} in the tab {{Reiter|Zones}}. }} | ||
{{var | Beitreten | {{var | Beitreten | ||
| Beitreten | | Beitreten | ||
Zeile 167: | Zeile 170: | ||
| To join the domain, a user account with domain administrator permissions is required. }} | | To join the domain, a user account with domain administrator permissions is required. }} | ||
{{var | schritt-4--bild | {{var | schritt-4--bild | ||
| | | UTM_12.6_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt4.png | ||
| | | UTM_12.6_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt4-en.png }} | ||
{{var | Passwort | {{var | Passwort | ||
| Passwort: | | Passwort: | ||
Zeile 179: | Zeile 182: | ||
| hide }} | | hide }} | ||
{{var | hinweis--cluster--text | {{var | hinweis--cluster--text | ||
| Bei Betrieb der UTM im Cluster muss das Passwort auf der Spare-UTM unter {{Menu|Authentifizierung|AD/LDAP Authentifizierung|Beitreten}} separat eingegeben werden. </p><small>Bis auf den {{b|Appliance Account:}} (siehe Schritt 2) werden alle anderen Angaben im Cluster synchronisiert.</small> <br>Abschluss mit {{Button| Beitreten}} | | Bei Betrieb der UTM im Cluster muss das Passwort auf der Spare-UTM unter {{Menu-UTM|Authentifizierung|AD/LDAP Authentifizierung|Beitreten}} separat eingegeben werden. </p><small>Bis auf den {{b|Appliance Account:}} (siehe Schritt 2) werden alle anderen Angaben im Cluster synchronisiert.</small> <br>Abschluss mit {{Button| Beitreten}} | ||
| When operating the UTM in a cluster, the password on the spare UTM must be entered separately under {{Menu|Authentication|AD/LDAP Authentication|Join }}. </p><small>Except of the {{b|Appliance Account:}} (see step 2), all other information in the cluster will be synchronized.</small> <br>Complete with {{Button|Join}} }} | | When operating the UTM in a cluster, the password on the spare UTM must be entered separately under {{Menu-UTM|Authentication|AD/LDAP Authentication|Join }}. </p><small>Except of the {{b|Appliance Account:}} (see step 2), all other information in the cluster will be synchronized.</small> <br>Complete with {{Button|Join}} }} | ||
{{var | fertig | {{var | fertig | ||
| Fertig | | Fertig | ||
Zeile 197: | Zeile 200: | ||
| AD/LDAP authentication is enabled. }} | | AD/LDAP authentication is enabled. }} | ||
{{var | ergebnis--bild | {{var | ergebnis--bild | ||
| | | UTM_12.6_Authentifizierung_AD-LDAP-Authentifizierung.png | ||
| | | UTM_12.6_Authentifizierung_AD-LDAP-Authentifizierung-en.png }} | ||
{{var | Assistent | |||
| Assistent | |||
| Wizard }} | |||
{{var | Verbindungsstatus | {{var | Verbindungsstatus | ||
| Verbindungsstatus: | | Verbindungsstatus: | ||
Zeile 215: | Zeile 221: | ||
| The connection to the Active Directory server can be established using SSL encryption. }} | | The connection to the Active Directory server can be established using SSL encryption. }} | ||
{{var | erweitert--bild | {{var | erweitert--bild | ||
| | | UTM_v12.6_Authentifizierung_AD-LDAP-Authentifizierung_Erweitert.png | ||
| UTM_v12. | | UTM_v12.6_Authentifizierung_AD-LDAP-Authentifizierung_Erweitert-en.png }} | ||
{{var | erweitert--cap | {{var | erweitert--cap | ||
| Erweiterte Einstellungen | | Erweiterte Einstellungen | ||
Zeile 227: | Zeile 233: | ||
| Attribute Editor tab of the user properties in AD <br>with example values for WireGuard<br>  }} | | Attribute Editor tab of the user properties in AD <br>with example values for WireGuard<br>  }} | ||
{{var | erweitert2--bild | {{var | erweitert2--bild | ||
| | | UTM_v12.6_Authentifizierung_AD-LDAP-Authentifizierung_AD-Attribute.png | ||
| | | UTM_v12.6_Authentifizierung_AD-LDAP-Authentifizierung_AD-Attribute-en.png }} | ||
{{var | erweitert2--cap | {{var | erweitert2--cap | ||
| Namen der verwendeten Attribute aus dem AD | | Namen der verwendeten Attribute aus dem AD | ||
Zeile 278: | Zeile 284: | ||
| AD Grant permissions to user groups }} | | AD Grant permissions to user groups }} | ||
{{var | ad-benutzergruppen-berechtigungen--bild | {{var | ad-benutzergruppen-berechtigungen--bild | ||
| | | UTM_12.6_Authentifizierung_Benutzer_Gruppe-CLientlessvpn.png | ||
| | | UTM_12.6_Authentifizierung_Benutzer_Gruppe-CLientlessvpn-en.png }} | ||
{{var | ad-benutzergruppen-berechtigungen--bild--cap | {{var | ad-benutzergruppen-berechtigungen--bild--cap | ||
| Gruppen Berechtigungen | | Gruppen Berechtigungen | ||
| Group permissions }} | | Group permissions }} | ||
{{var | Gruppe hinzufügen | |||
| Gruppe hinzufügen | |||
| Add Group }} | |||
{{var | Benutzer | |||
| Benutzer | |||
| User }} | |||
{{var | ad-benutzergruppen-berechtigungen--desc | {{var | ad-benutzergruppen-berechtigungen--desc | ||
| Um den Benutzern aus dem Active Directory die Berechtigungen für den Zugriff auf das User-Interface der UTM und der Nutzung des Clientless VPN zu erteilen, wird im Menü {{Menu|Authentifizierung|Benutzer|Gruppen|Gruppe hinzufügen|+}} eine Gruppe mit eben diesen Berechtigungen angelegt. | | Um den Benutzern aus dem Active Directory die Berechtigungen für den Zugriff auf das User-Interface der UTM und der Nutzung des Clientless VPN zu erteilen, wird im Menü {{Menu-UTM|Authentifizierung|Benutzer}} Bereich {{Kasten|Gruppen}} Schaltfläche {{Button|Gruppe hinzufügen|+}} eine Gruppe mit eben diesen Berechtigungen angelegt. | ||
| To grant users from the Active Directory the permissions for accessing the UTM user interface and using the Clientless VPN, a group with exactly these permissions is created in the {{Menu|Authentication|User|Groups|Add Group|+}} menu. }} | | To grant users from the Active Directory the permissions for accessing the UTM user interface and using the Clientless VPN, a group with exactly these permissions is created in the {{Menu-UTM|Authentication|User}} Area {{Kasten|Groups}} Button {{Button|Add Group|+}} menu. }} | ||
{{var | Aktiv | {{var | Aktiv | ||
| Aktiv | | Aktiv | ||
Zeile 296: | Zeile 308: | ||
| Note }} | | Note }} | ||
{{var | benutzergruppe-auswählen | {{var | benutzergruppe-auswählen | ||
| | | UTM_12.6_Authentifizierung_Gruppe-hinzufügen_Verzeichnisdienst.png | ||
| | | UTM_12.6_Authentifizierung_Gruppe-hinzufügen_Verzeichnisdienst-en.png }} | ||
{{var | benutzergruppe-auswählen--cap | {{var | benutzergruppe-auswählen--cap | ||
| Benutzergruppe aus AD auswählen | | Benutzergruppe aus AD auswählen | ||
| Select user group from AD }} | | Select user group from AD }} | ||
{{var | benutzergruppe-auswählen--text | {{var | benutzergruppe-auswählen--text | ||
| Im | | Im Bereich {{Kasten|Verzeichnis Dienst}} kann jetzt die entsprechende Gruppe aus dem Active Directory ausgewählt und zugeordnet werden.<p>Weitere Informationen über Clientless VPN Berechtigungen befindet sich in dem Wiki zu [[UTM/VPN/ClientlessVPN#Zuweisen_der_Gruppe | Clientless VPN]].</p> | ||
| In the | | In the area {{Kasten|Directory Service}} the corresponding group from the Active Directory can now be selected and assigned.<p> Further information about Clientless VPN permissions can be found in the wiki for [{{#var:host}}UTM/VPN/ClientlessVPN#Assign_to_the_group Clientless VPN].</p> }} | ||
{{var | Ergebnis | {{var | Ergebnis | ||
| Ergebnis | | Ergebnis | ||
Zeile 315: | Zeile 327: | ||
{{var | ad-test-cli--text | {{var | ad-test-cli--text | ||
| Über CLI (Command Line Interface) Kommandos lässt sich verschiedenes über die Active Directory Anbindung und Benutzer überprüfen.{{Hinweis-box|Hinweis:}} Erfolgt die Eingabe (Bildschirm und Tastatur) direkt an der UTM lautet der Eingabe-Prompt der Firewall z. B.: ''firewall.foo.local>'' bzw. entsprechend der lokalen Konfiguration. Bei Aufruf über das User-Interface mit dem Menü {{Menu|Extras|CLI}} lautet der Prompt ''CLI>''Dahinter befindet sich das CLI Kommando.<br>Bei den Zeilen darunter handelt es sich um die Ausgabe der UTM zu diesem Befehl. | | Über CLI (Command Line Interface) Kommandos lässt sich verschiedenes über die Active Directory Anbindung und Benutzer überprüfen.{{Hinweis-box|Hinweis:}} Erfolgt die Eingabe (Bildschirm und Tastatur) direkt an der UTM lautet der Eingabe-Prompt der Firewall z. B.: ''firewall.foo.local>'' bzw. entsprechend der lokalen Konfiguration. Bei Aufruf über das User-Interface mit dem Menü {{Menu-UTM|Extras|CLI}} lautet der Prompt ''CLI>''Dahinter befindet sich das CLI Kommando.<br>Bei den Zeilen darunter handelt es sich um die Ausgabe der UTM zu diesem Befehl. | ||
| CLI (Command Line Interface) commands can be used to check various things about the Active Directory connection and users.{{Hinweis-box| | | CLI (Command Line Interface) commands can be used to check various things about the Active Directory connection and users.{{Hinweis-box|Note:}} If the input (screen and keyboard) is made directly at the UTM, the input prompt of the firewall is e. g.: ''firewall.foo.local>'' or according to the local configuration. When called from the user interface with the {{Menu-UTM|Extras|CLI}} menu, the prompt is ''CLI>''. This is followed by the CLI command.<br> The lines below are the output of the UTM for this command. }} | ||
{{var | ad-beitreten | {{var | ad-beitreten | ||
Zeile 418: | Zeile 430: | ||
{{var | UTM Azure AD | {{var | UTM Azure AD | ||
| UTM mit Azure AD anbinden | | UTM mit Azure AD anbinden | ||
| | | Connect UTM with Azure AD }} | ||
{{var | UTM Azure AD--desc | {{var | UTM Azure AD--desc | ||
| Um Azure AD nutzen zu können, sind konfigurierte Azure Apps notwendig. | | Um Azure AD nutzen zu können, sind konfigurierte Azure Apps notwendig. | ||
| | | In order to use Azure AD, configured Azure Apps are required. }} | ||
{{var | Konfiguration Azure Apps anzeigen | {{var | Konfiguration Azure Apps anzeigen | ||
| Konfiguration Azure Apps anzeigen | | Konfiguration Azure Apps anzeigen | ||
| | | View Azure Apps configuration }} | ||
{{var | Azure AD Verbindung herstellen | {{var | Azure AD Verbindung herstellen | ||
| Azure AD Verbindung herstellen | | Azure AD Verbindung herstellen | ||
| | | Establish Azure AD connection }} | ||
{{var | Azure AD Verbindung herstellen--desc | {{var | Azure AD Verbindung herstellen--desc | ||
| Besteht noch keine AD/LDAP-Authentifizierung öffnet sich automatisch der AD/LDAP | | Besteht noch keine AD/LDAP-Authentifizierung öffnet sich automatisch der AD/LDAP Authentifizierung Assistent.<br>Andernfalls kann der Assistent mit der Schaltfläche {{Button|Assistent}} gestartet werden. | ||
| | | If there is no AD/LDAP authentication yet, the AD/LDAP Authentication Wizard opens automatically.<br>Otherwise, the wizard can be started with the {{Button|Wizard}} button. }} | ||
{{var | Azure AD | {{var | Azure AD | ||
| Azure AD - Microsoft Azure Active Directory | | Azure AD - Microsoft Azure Active Directory | ||
| | | Azure AD - Microsoft Azure Active Directory }} | ||
{{var | Azure AD Schritt 1--Bild | {{var | Azure AD Schritt 1--Bild | ||
| UTM_v12. | | UTM_v12.6_AD-LDAP-Authentifizierung_Assistent_Azure-AD_Schritt1.png | ||
| UTM_v12. | | UTM_v12.6_AD-LDAP-Authentifizierung_Assistent_Azure-AD_Schritt1-en.png }} | ||
{{var | Verzeichnistyp--desc | {{var | Verzeichnistyp--desc | ||
| Azure AD als Verzeichnistyp auswählen | | Azure AD als Verzeichnistyp auswählen | ||
| | | Select Azure AD as directory type }} | ||
{{var | Azure AD Schritt 2--Bild | {{var | Azure AD Schritt 2--Bild | ||
| UTM_v12. | | UTM_v12.6_AD-LDAP-Authentifizierung_Assistent_Azure-AD_Schritt2.png | ||
| UTM_v12. | | UTM_v12.6_AD-LDAP-Authentifizierung_Assistent_Azure-AD_Schritt2-en.png }} | ||
{{var | Verzeichnis-ID | {{var | Verzeichnis-ID | ||
| Verzeichnis-ID (Mandanten-ID): | | Verzeichnis-ID (Mandanten-ID): | ||
| | | Directory-ID (Client-ID): }} | ||
{{var | Verzeichnis-ID--desc | {{var | Verzeichnis-ID--desc | ||
| Verzeichnis-ID (Mandanten-ID) aus der App-Registrierung im Azure AD | | Verzeichnis-ID (Mandanten-ID) aus der App-Registrierung im Azure AD | ||
| | | Directory-ID (Client-ID) from the app registration in Azure AD }} | ||
{{var | Passwort anzeigen | {{var | Passwort anzeigen | ||
| Der eingetragene Wert wird angezeigt | | Der eingetragene Wert wird angezeigt | ||
| | | The entered value is displayed }} | ||
{{var | Anwendungs-ID | {{var | Anwendungs-ID | ||
| Anwendungs-ID (Client-ID): | | Anwendungs-ID (Client-ID): | ||
| | | Application-ID (Client-ID): }} | ||
{{var | Anwendungs-ID--desc | {{var | Anwendungs-ID--desc | ||
| Anwendungs-ID (Client-ID) aus der App-Registrierung im Azure AD | | Anwendungs-ID (Client-ID) aus der App-Registrierung im Azure AD | ||
| | | Application-ID (Client-ID) from the app registry in Azure AD. }} | ||
{{var | Geheimer Wert | {{var | Geheimer Wert | ||
| Geheimer Wert: | | Geheimer Wert: | ||
| | | Secret value: }} | ||
{{var | Geheimer Wert--desc | {{var | Geheimer Wert--desc | ||
| Wert des geheimen Clientschlüssels aus dem Abschnitt Zertifikate & Geheimnisse des Azure ADs | | Wert des geheimen Clientschlüssels aus dem Abschnitt Zertifikate & Geheimnisse des Azure ADs | ||
| | | Value of the secret client key from the Certificates & Secrets section of Azure AD. }} | ||
{{var | Ergebnis Azure AD-Anbindung | {{var | Ergebnis Azure AD-Anbindung | ||
| Ergebnis Azure AD-Anbindung | | Ergebnis Azure AD-Anbindung | ||
| | | Result Azure AD Connection }} | ||
{{var | Status | {{var | Status | ||
| Status | | Status | ||
| | | Status }} | ||
{{var | Status Azure AD--Bild | {{var | Status Azure AD--Bild | ||
| UTM_v12. | | UTM_v12.6_AD-LDAP-Authentifizierung_Azure-AD.png | ||
| UTM_v12. | | UTM_v12.6_AD-LDAP-Authentifizierung_Azure-AD-en.png }} | ||
{{var | aktiviert Azure--desc | {{var | aktiviert Azure--desc | ||
| Die Azure AD Authentifizierung ist aktiviert | | Die Azure AD Authentifizierung ist aktiviert | ||
| | | Azure AD authentication is enabled }} | ||
{{var | Verbindungsstatus Azure--desc | {{var | Verbindungsstatus Azure--desc | ||
| Zur Bestätigung wechselt die Anzeige von grau auf grün. | | Zur Bestätigung wechselt die Anzeige von grau auf grün. | ||
| | | To confirm, the display changes from gray to green. }} | ||
{{var | Refresh--desc | {{var | Refresh--desc | ||
| Über diese Schaltfläche wird der Verbindungsstatus aktualisiert | | Über diese Schaltfläche wird der Verbindungsstatus aktualisiert | ||
| | | This button is used to update the connection status }} | ||
{{var | Verzeichnistyp Status--desc | {{var | Verzeichnistyp Status--desc | ||
| Der eingestellte Verzeichnistyp | | Der eingestellte Verzeichnistyp | ||
| }} | | The set directory type }} | ||
{{var | AD-Attribute Flag confidential | |||
| AD-Attribute können bestimmte Berechtigungen gegeben werden. So kann konfiguriert werden, wer diese einsehen kann. Beispielsweise können diese dann nicht durch einen LDAP-Search ausgelesen werden. Diese AD-Attribute werden mit dem Flag "'''confidential'''" markiert. | |||
| AD attributes can be given certain authorizations. This allows you to configure who can view them. For example, they cannot be read by an LDAP search. These AD attributes are marked with the "'''confidential''''" flag. }} | |||
{{var | AD-Attribute Flag confidential anzeigen | |||
| Konfiguration der AD-Attribute mit dem Flag confidential anzeigen | |||
| Display configuration of AD attributes with the confidential flag }} | |||
{{var | AD-Attribute Flag confidential--desc | |||
| Um ein AD-Attribute diese Berechtigungen zu geben, sind folgende Schritte notwendig: | |||
* Programm ''Active Directory Benutzer und Computer'' starten {{info|Start → Systemsteuerung → Verwaltung → Active Directory Benutzer und Computer}} | |||
* Im Menü ''Ansicht'' auf ''Erweiterte Funktionen'' klicken | |||
* Rechtsklick auf das gewünschte Objekt und auf ''Eigenschaften'' gehen | |||
* In Reiter ''Sicherheit'' bei ''Erweitert'' werden alle verfügbaren Berechtigungen angezeigt | |||
* Über die Schaltfläche ''Hinzufügen'' das gewünschte Benutzer-, Gruppenkonto auswählen, dass Zugriff haben soll | |||
* Im Dialog ''Berechtigung für Objektname'' bei ''Eigenschaften'' die gewünschten Eigenschaften und Berechtigungen auswählen und ''Speichern'' | |||
| To give an AD attribute these authorizations, the following steps are necessary: | |||
* Start the ''Active Directory Users and Computers'' program {{info|Start → Control Panel → Administrative Tools → Active Directory Users and Computers}} | |||
* Click on ''Advanced functions'' in the ''View'' menu | |||
* Right-click on the desired object and go to ''Properties'' | |||
* In the ''Security'' tab under ''Advanced'', all available authorizations are displayed | |||
* Use the ''Add'' button to select the desired user or group account that should have access | |||
* In the ''Permission for object name'' dialog, select the desired properties and permissions under ''Properties'' and ''Save'' }} | |||
{{var | AD-Attribute Flag confidential machineAccount | |||
| Dadurch kann es vorkommen, dass der Maschine Account der UTM dieses Attribut nicht mehr auslesen kann. Dann benötigt der Maschine Account weitere Rechte. | |||
| As a result, the machine account of the UTM may no longer be able to read this attribute. The machine account then requires additional rights. }} | |||
---- | ---- |
UTM/AUTH/AD Anbindung.lang: Unterschied zwischen den Versionen
Aus Securepoint Wiki