Wechseln zu:Navigation, Suche
Wiki
(30 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
{{DISPLAYTITLE:AD/LDAP-Anbindung}}
{{DISPLAYTITLE:AD/LDAP-Anbindung}}
{{TOC2}}
Letzte Anpassung zur Version: '''11.8'''
<p>Bemerkung: {{ Hinweis | Neu in 11.8 : | 11.8}}Der Eintrag hat einen eigenen Platz in der Menü-Struktur erhalten und wurde im Layout angepasst.</p>
<p>Vorherige Versionen: [[UTM/AUTH/AD_Anbindung-v11.4 |'''11.5''']] /  [[UTM/AUTH/AD_Anbindung_11.7 | '''11.7''']]</p>
<br>
----


Letze Anpassung zur Version: '''11.8'''
<p>Bemerkung: Der Eintrag hat einen eigenen Platz in der Menü-Struktur erhalten und wurde im Layout angepasst.</p>
<p>Vorherige Versionen: [[UTM/AUTH/AD_Anbindung-v11.4 |'''11.5''']] /  [[UTM/AUTH/AD_Anbindung-v11.7 | '''11.7''']]</p>
<br>


===Einführung===
===Einführung===
Zeile 34: Zeile 36:
===UTM in die Domäne einbinden===
===UTM in die Domäne einbinden===
Es muss darauf geachtet werden, dass die [[Uhrzeit_UTM_V11 | Uhrzeit der UTM]] mit dem des AD einigermaßen synchron läuft, da ein Kerberos Ticket nur eine begrenzte Gültigkeitsdauer hat.
Es muss darauf geachtet werden, dass die [[Uhrzeit_UTM_V11 | Uhrzeit der UTM]] mit dem des AD einigermaßen synchron läuft, da ein Kerberos Ticket nur eine begrenzte Gültigkeitsdauer hat.
====Relay-Zone mit AD-Server hinzufügen====
{{ pt | UTM_11-8_Anwendungen_Nameserver_Relay-Zone-hinzufügen.png }}Damit die UTM den AD-Server erreichen kann, muss eine Relay-Zone hinzugefügt werden.<p></p>
<p>Unter {{Menu | Anwendungen | Nameserver}} kann im Abschnitt {{ Reiter | Zonen}} eine Relay-Zone hinzugefügt werden {{ Button | + Relay-Zone hinzufügen}}.</p>
{{ td | {{ b |  Zonenname: }} | <code>Name der Netzwerkdomäne</code> }}
{{ td | {{ b |  Typ }}| {{ MenuD | Relay}} }}
{{ Button | + Server hinzufügen }}
{{ td | {{ b |  IP-Adresse:}} | <code>IP-Adresse eines AD-Servers der Domäne</code> }}
<p>{{ Button | Speichern}}</p>
<p>ggf. können weitere Server hinzugefügt werden.</p>
<p>{{ Button | Speichern}}</p>
<br clear=all>
{{ pt | UTM_11-8_Anwendungen_Nameserver_Relayzone.png |Relayzone mit AD-Server }}In diesem Beispiel hat der AD Server die IP-Adresse 192.168.145.1 <br>und das Netzwerk befindet sich in der Domäne ''ttt-point.local''.
<br clear=all>


====AD Verbindung herstellen====
====AD Verbindung herstellen====
Zeile 65: Zeile 51:
{{ td | {{ b | IP oder Hostname:}} | {{cb | 192.168.145.1}} (Beispiel.Adresse!)}}
{{ td | {{ b | IP oder Hostname:}} | {{cb | 192.168.145.1}} (Beispiel.Adresse!)}}
{{ td | {{ b | Domain }}| Domainname. <code>ttt-point.local</code>}}
{{ td | {{ b | Domain }}| Domainname. <code>ttt-point.local</code>}}
{{ td | {{ b | Arbeitsgruppe:}} |<code>ttt-point</code>  Der NETBIOS-Name des AD. {{ r |Sollte dieses von der Base Domain abweichen, muss hier der korrekte NETBIOS-Name eingetragen werden.??}} }}
{{ td | {{ b | Arbeitsgruppe:}} |<code>ttt-point</code>  Der NETBIOS-Name des AD.  
{{ td | {{ b | Appliance Account:}} |<code>sp-utml</code>  {{ r | Der Name, unter dem die UTM im AD in der Gruppe ''Computers'' eingetragen wird.??}} Ein eindeutiger Name, der nicht doppelt vergeben werden darf! }}
<!-- {{ r |Sollte dieses von der Base Domain abweichen, muss hier der korrekte NETBIOS-Name eingetragen werden.??}}--> }}  
{{ td | {{ b | Appliance Account:}} |<code>sp-utml</code><!-- {{ r | Der Name, unter dem die UTM im AD in der Gruppe ''Computers'' eingetragen wird.??}} --> Ein eindeutiger Name, der nicht doppelt vergeben werden darf! }}
<p>{{ Button | Weiter}}</p>
<p>{{ Button | Weiter}}</p>


Zeile 77: Zeile 64:
{{ td | {{ b |  IP-Adresse:}} | <code>IP-Adresse eines AD-Servers der Domäne</code> }}
{{ td | {{ b |  IP-Adresse:}} | <code>IP-Adresse eines AD-Servers der Domäne</code> }}
<p>{{ Button | Speichern}}</p>
<p>{{ Button | Speichern}}</p>
<p>{{ Button | weiter}}</p>
<p>{{ Button | Weiter}}</p>
 
<p>Der AD-Server wird damit als Relay-Zone im Nameserver der UTM hinzugefügt. Der Eintrag ist im Menü {{Menu|Anwendungen|Nameserver}} im Reiter {{Reiter|Zonen}} zu finden.
<br clear=all>
<br clear=all>


Zeile 88: Zeile 75:


<br clear=all>
<br clear=all>
{{ pt | UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung.png}}Aktiviert: {{ ButtonAn |Ein}} Die UTM verwendet die AD/LDAP Authentifizierung. Zur Bestätigung wechselt die Anzeige des ''Verbindungsstatus:'' im Abschnitt ''Status'' von grau auf grün.  
====Ergebnis AD-Anbindung====
{{ pt | UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung.png}}Ergebnis im Abschnitt {{ Kasten | Status}} : <br>
{{ td | {{ b | Aktiviert:}} | {{ ButtonAn |Ein}} Die AD/LDAP Authentifizierung ist aktiviert.}}
<dl><dd style="
max-width:16em;
float: left;
margin-left: 0;
">{{#if:||  {{ b | Verbindungsstatus:}}  }}</dd><dd style="
margin-inline-start:16em;
margin-bottom: calc(-5px + 0px);
">{{#if:|| <small><font color=green>⬤</font></small> Zur Bestätigung wechselt die Anzeige von grau auf grün.<br/>aktualisieren mit {{Button| |refresh}}  }}</dd></dl>


<br clear=all>
<br clear=all>


====Erweiterte Einstellungen====
====Erweiterte Einstellungen====
[[Datei:UTM115_AI_AEAADne.png|250px|right|thumb|Erweiterte Einstellungen]]
{{ pt | UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Erweitert1.png | Erweiterte Einstellungen}}{{a|5}}
 
Zunächst gibt es unter ''Erweiterte Einstellungen'' die Möglichkeit die Verbindung zum Active Directory Server SSL-Verschlüsselt herzustellen.<br>
Die LDAP Anfrage kann zusätzlich mit den Verfahren ''seal'' oder ''sign'' Verschlüsselt und es kann ein Root-Zertifikat hinterlegt werden.
 
Weiterhin können Attribute definiert werden, unter denen die AD Verwaltung die Informationen zum Benutzer speichert und die dann von der UTM abgefragt werden können.


Zum Beispiel findet die UTM standardmäßig den Benutzer-Anmeldenamen im User-Attribut ''sAMAccountName'' sowie dessen E-Mail Adresse im Mail-Attribut ''mail''.
{{ td | {{ b | SSL:}} | {{ ButtonAus|Aus}} Die Verbindung zum Active Directory Server kann SSL-Verschlüsselt hergestellt werden. }}
{{ td | {{ b |  LDAP-Verschlüsselung: }} | {{ MenuD | plain}} Die LDAP Anfrage kann zusätzlich mit den Verfahren  {{ MenuD | seal }} oder  {{ MenuD | sign }} verschlüsselt werden. }}
{{ td | {{ b |  Root-Zertifikat:  }} | {{ MenuD | Zertifikat  }} Es kann ein Root-Zertifikat hinterlegt werden. }}
{{ td | {{ b |  LDAP-Filter: }} | <code><nowiki>(sAMAccountType=268435456)(sAMAccountType=268435457)(sAMAccountType=805306368))</nowiki></code> }}


Es können Attribute definiert werden, unter denen die AD Verwaltung die Informationen zum Benutzer speichert und die dann von der UTM abgefragt werden können:
{{ td | {{ b |  User-Attribute:  }} | {{ sw | sAMAccountName}} }}
{{ td | {{ b |  Mail-Attribute:  }} | {{ cb | proxyAddress}} }}
Die Attribute von OTP bis SSL-VPN, die hier eingetragen sind, existieren in der Regel nicht im AD.
Die Attribute von OTP bis SSL-VPN, die hier eingetragen sind, existieren in der Regel nicht im AD.
 
Um zum Beispiel den OTP-Geheimcode auf dem AD zu hinterlegen, kann ein ungenutztes Attribut des AD Schema verwendet werden, der diesen Geheimcode des Benutzers enthält.<br>
Um zum Beispiel den OTP-Geheimcode auf dem AD zu hinterlegen, kann ein ungenutztes Attribut des AD Schema verwendet werden, der diesen Geheimcode der Benutzer enthält.<br>
Eine entsprechende Anleitung befindet sich hinter folgenden Link zum [[OTP_mit_AD_V11.5 | Einbinden der OTP Funktion in das Active Directory]].
Eine entsprechende Anleitung befindet sich hinter folgenden Link zum [[OTP_mit_AD_V11.5 | Einbinden der OTP Funktion in das Active Directory]].
 
{{ td | {{ b |  OTP-Attribute:  }} | {{ sw | sPOTPSecret }} }}
Es können natürlich auch neue Attribute erstellt werden. Dieses bedeutet aber immer einen Eingriff in das AD Schema und hatte schon häufig zur Folge, dass das AD anschließend nicht mehr genutzt werden kann.
{{ td | {{ b |  L2TP-Attribute:  }} | {{ sw | sPL2TPAddress }} }}
 
{{ td | {{ b |  SSL-VPN-Attribute (IPv4):  }} | {{ sw | sPOVPNAddress }} }}
In größeren Umgebungen kann es vorkommen, dass bei LDAP-Anfragen die serverseitig festgelegte, maximale Anzahl von Datensätzen (im AD sind es 1000) überschritten wird. Mit Page Size kann eingestellt werden das die LDAP-Abfrage stückweise ausgeführt wird. Eine Page Size von 300 bedeutet 300 Datensätze pro Abfrage. Die Page Size von 0 deaktiviert eine schrittweise LDAP-Abfrage.
{{ td | {{ b |  SSL-VPN-Attribute (IPv6):  }} | {{ sw | sPOVPNIP6Address }} }}
{{ td | {{ b |  SSL-Bump-Attribute:  }} | {{ sw | sPSSLBumpMode }} }}
{{ td | {{ b |  Cert-Attribute:  }} | {{ sw | sPCertificate }} }}
{{ td | {{ b |  Page Size:  }} | {{ sw | 500 }} In größeren Umgebungen kann es vorkommen, dass bei LDAP-Anfragen die serverseitig festgelegte, maximale Anzahl von Datensätzen (im AD sind es 1000) überschritten wird. Mit Page Size kann eingestellt werden das die LDAP-Abfrage stückweise ausgeführt wird. Eine Page Size von 500 bedeutet 500 Datensätze pro Abfrage. Die Page Size von 0 deaktiviert eine schrittweise LDAP-Abfrage. }}
<br clear=all>


===AD Benutzergruppen Berechtigungen erteilen===
===AD Benutzergruppen Berechtigungen erteilen===
[[Datei:UTM115_AI_ABGbercvpn.png|250px|right|thumb|Gruppen Berechtigungen]]
{{ pt | UTM_11-8_Authentifizierung_Benutzer_Gruppe-CLientlessvpn.png | Gruppen Berechtigungen}}Um den Benutzern aus dem Active Directory die Berechtigungen für den Zugriff auf das User-Interface der UTM und der Nutzung des Clientless VPN zu erteilen, wird im Menü {{ Menu | Authentifizierung | Benutzer}}  {{ Reiter |Gruppen}} mit {{ Button | + Gruppe hinzufügen}} eine Gruppe mit eben diesen Berechtigungen angelegt.
Um jetzt den Benutzern aus dem Active Directory die Berechtigungen für den Zugriff auf das User-Interface der UTM und der Nutzung des Clientless VPN zu erteilen, wird im Menü ''Authentifizierung'' unter ''Benutzer'' eine Gruppe mit eben diesen Berechtigungen angelegt.
<br clear=all>


{{ pt | UTM_11-8_Authentifizierung_Gruppe-hinzufügen_Verzeichnisdienst.png | Benutzergruppe aus AD auswählen}}Im Tab {{ Reiter | Verzeichnis Dienst}} kann jetzt die entsprechende Gruppe aus dem Active Directory ausgewählt und zugeordnet werden.


<p>Weitere Informationen über Clientless VPN Berechtigungen befindet sich in dem Wiki zu [[ClientlessVPN-v11#Zuweisen_der_Gruppe | Clientless VPN]].</p>
===Ergebnis===
<p>Nach dem Speichern kann sich jeder Benutzer, der Mitglied in der AD Gruppe ''ClientlessVPN'' ist, mit seinen Windows Domänen Zugangsdaten für die Nutzung des Clientless VPN auf der UTM anmleden.</p>


<br clear=all>


 
===Überprüfen der AD Anbindung mit CLI===
 
 
 
 
 
 
 
[[Datei:UTM115_AI_ABGADgrp.png|250px|right|thumb|AD Gruppe auswählen]]
Anschließend kann unter dem Tab ''Verzeichnis Dienst, die entsprechende Gruppe aus dem Active Directory ausgewählt und zugeordnet werden.
 
 
 
 
 
 
 
 
 
 
 
Weitere Informationen über Clientless VPN Berechtigungen befindet sich in dem Wiki zu [[ClientlessVPN-v11#Zuweisen_der_Gruppe | Clientless VPN]].
 
 
 
Nach dem Speichern kann sich jeder Benutzer, der Mitglied in der AD Gruppe ''ClientlessVPN'' ist, mit seinen Windows Domänen Zugangsdaten für die Nutzung des Clientless VPN auf der UTM einloggen.
 
 
===Überprüfen der AD Anbindung, Benutzer und Benutzergruppen===
Über CLI (Command Line Interface) Kommandos lässt sich verschiedenes über die Active Directory Anbindung und Benutzer überprüfen.
Über CLI (Command Line Interface) Kommandos lässt sich verschiedenes über die Active Directory Anbindung und Benutzer überprüfen.


'''''Hinweis: ''firewall.foo.local>'' ist der Eingabe-Prompt der Firewall, dahinter befindet sich das CLI Kommando.'''''<br>
{{ Hinweis | Hinweis:}} Erfolgt die Eingabe (Bildschirm und Tastatur) direkt an der UTM  lautet der Eingabe-Prompt der Firewall z. B.: ''firewall.foo.local>'' bzw. entprechend der lokalen Konfiguration. Bei Aufruf über das User-Interface mit dem Menü {{ Menu | Extras | CLI }} lautet der Prompt ''CLI>''
'''''Bei den Zeilen darunter handelt es sich um die Ausgabe der UTM zu diesem Befehl.'''''
Dahinter befindet sich das CLI Kommando.<br>
Bei den Zeilen darunter handelt es sich um die Ausgabe der UTM zu diesem Befehl.


====Beitreten und Verlassen der Domäne====
====Beitreten und Verlassen der Domäne====
Um zu überprüfen ob die UTM schon der Domäne beigetreten ist:
Um zu überprüfen ob die UTM schon der Domäne beigetreten ist:
  firewall.foo.local> '''system activedirectory testjoin'''
  cli> '''system activedirectory testjoin'''
  checking the trust secret for domain TTT-POINT via RPC calls succeeded
  Join is OK
  **
  cli>
 
Sollte das nicht der Fall sein, erfolgt die Ausgabe
Sollte das nicht der Fall sein, erfolgt die Ausgabe
  -- checking the trust secret for domain TTT-POINT via RPC calls failed
  cli> '''system activedirectory testjoin'''
Not joined
cli>


In diesem Fall kann der Domäne mit dem folgenden Kommando beigetreten werden
In diesem Fall kann der Domäne mit dem folgenden Kommando beigetreten werden
  firewall.foo.local> '''system activedirectory join password Insecur3'''
  cli> '''system activedirectory join password Beispiel-Admin-Passwort'''
  password
  Password for Administrator@TTT-POINT.LOCAL:
  --------
Processing principals to add...
  Insecur3
Enter Administrator's password:
  Using short domain name -- TTT-POINT
Joined 'SP-UTML' to dns domain 'ttt-point.local'
  cli>


Das Kommando um die Domäne zu verlassen lautet
Das Kommando um die Domäne zu verlassen lautet
  firewall.foo.local> '''system activedirectory leave password Insecur3'''
  cli> '''system activedirectory leave password Beispiel-Admin-Passwort'''
  Deleted account for 'SP-UTM' in realm 'TTT-POINT.LOCAL'
Enter Administrator's password:
  **
  Deleted account for 'SP-UTML' in realm 'TTT-POINT.LOCAL'
  cli>


Beim Beitreten bzw. Verlassen des Active Directories ist die Angabe des Administratorpasswortes notwendig. Das Passwort wird nicht gespeichert, die AD-Zugehörigkeit ist trotzdem Reboot fest.
Beim Beitreten bzw. Verlassen des Active Directories ist die Angabe des Administratorpasswortes notwendig. Das Passwort wird nicht gespeichert, die AD-Zugehörigkeit ist trotzdem Reboot fest.
Zeile 176: Zeile 161:
====AD Gruppen anzeigen====
====AD Gruppen anzeigen====
Mit dem folgenden Kommando können die Gruppen im Active Directory aufgelistet werden
Mit dem folgenden Kommando können die Gruppen im Active Directory aufgelistet werden
  firewall.foo.local> '''system activedirectory lsgroups'''
  cli> '''system activedirectory lsgroups'''
  member
  member
  ------
  ------
  abgelehnte rodc-kennwortreplikationsgruppe
  Abgelehnte RODC-Kennwortreplikationsgruppe
  clientlessvpn
  Administratoren
  compliance management
  Benutzer
  delegated setup
  Builtin
  discovery management
  ClientlessVPN
  dnsadmins
  Discovery Management
  dnsupdateproxy
  Domänen-Admins
domänen-admins
  Domänen-Benutzer
  domänen-benutzer
  Domänen-Gäste
  domänen-gäste
  Exchange Servers
domänencomputer
domänencontroller
help desk
hygiene management
  klonbare domänencontroller
  ...
  ...
Users
Windows-Autorisierungszugriffsgruppe
cli>


====Überprüfen der Benutzer und Gruppenzugehörigkeit====
====Überprüfen der Benutzer und Gruppenzugehörigkeit====
Das folgende Kommando überprüft, ob ein AD-Benutzer einer UTM Gruppe zugeordnet ist
Das folgende Kommando überprüft, ob ein ''AD-Benutzer'' einer ''UTM Gruppe'' zugeordnet ist
  firewall.foo.local> '''user check name "mmeier" groups cvpn_grp'''
  cli> '''user check name "m.meier" groups grp_ClientlessVPN'''
  matched
  matched
  **
  cli>
 
Sollte das nicht der Fall sein erfolgt die Ausgabe
Sollte das nicht der Fall sein erfolgt die Ausgabe
  -- not a member
  not a member
 
  cli>
Weiterhin kann zu einem AD-Benutzer die Gruppenzugehörigkeit und Berechtigungen ausgegeben werden
  firewall.foo.local> '''user get name mmeier'''
name  |groups              |permission
------+---------------------+---------------
mmeier|Proxy-GF_grp,cvpn_grp|HTTP_PROXY,WEB_USER,VPN_CLIENTLESS


Befehl, um zu einem AD-Benutzer die Gruppenzugehörigkeit und Berechtigungen auszugegeben:
cli> '''user get name m.meier'''
name  |groups          |permission
-------+-----------------+----------
m.meier|grp_ClientlessVPN|WEB_USER,VPN_CLIENTLESS
cli>


====Domain-Controller hinter Site-to-Site-VPN====
====Domain-Controller hinter Site-to-Site-VPN====
Zeile 215: Zeile 200:
[http://wiki.securepoint.de/index.php/UTM/VPN/DNS_Relay#DNS_Relay_f.C3.BCr_einen_IPSec_Site-to-Site_Tunnel DNS-Relay bei IPSec-S2S]<br>
[http://wiki.securepoint.de/index.php/UTM/VPN/DNS_Relay#DNS_Relay_f.C3.BCr_einen_IPSec_Site-to-Site_Tunnel DNS-Relay bei IPSec-S2S]<br>
[http://wiki.securepoint.de/index.php/UTM/VPN/DNS_Relay#DNS_Relay_f.C3.BCr_einen_OpenVPN_Site-to-Site_Tunnel DNS-Relay bei SSL-S2S]<br>
[http://wiki.securepoint.de/index.php/UTM/VPN/DNS_Relay#DNS_Relay_f.C3.BCr_einen_OpenVPN_Site-to-Site_Tunnel DNS-Relay bei SSL-S2S]<br>
'''Achtung: Für einen Beitritt in ein Active-Directory, welches sich hinter einem VPN-Tunnel befindet, wird in der NAT-Regel Richtung Domain-Controller neben den DNS-Ports natürlich noch die LDAP-Ports benötigt.'''
{{ Hinweis | Achtung: Für einen Beitritt in ein Active-Directory, das sich hinter einem VPN-Tunnel befindet, werden in der NAT-Regel Richtung Domain-Controller neben den DNS-Ports natürlich noch die LDAP-Ports benötigt.| gelb }}

Version vom 23. August 2019, 09:14 Uhr

Letzte Anpassung zur Version: 11.8

Bemerkung: Neu in 11.8 : Der Eintrag hat einen eigenen Platz in der Menü-Struktur erhalten und wurde im Layout angepasst.

Vorherige Versionen: 11.5 / 11.7




Einführung

Zur Authentifizierung auf der UTM kann ein AD oder LDAP genutzt werden. Die Rechte auf der UTM können dann über die Gruppenzugehörigkeit im AD gesteuert werden.

In der Regel handelt es sich dabei um den Active Directory Service, der in einem Netzwerk die Domäne verwaltet und über das LDAP- und Kerberos-Protokoll die Authentifizierung der Netzwerk Nutzer steuert.

Vorbereitung im Active Directory

Benutzergruppen anlegen

  • Sicherheitsgruppe hinzufügen

  • Die Berechtigungen zu den in der UTM enthaltenen Diensten können in Gruppen verwaltet werden. Die Benutzer, die diesen Gruppen zugeordnet werden sollen, müssen zunächst entsprechenden Benutzergruppen im AD zugeordnet werden.

    In diesem Beispiel sollen die Benutzer für Clientless VPN über den Active Directory Service Authentifiziert werden.

    Es muss also zunächst eine Gruppe vom Typ Sicherheitsgruppe auf dem AD hinzugefügt werden, die hier den Namen ClientlessVPN bekommt.

  • Sicherheitsgruppe hinzugefügt


Benutzer hinzufügen

  • Benutzer hinzufügen

  • Anschließend werden die Benutzer, die für Clientless VPN freigeschaltet werden sollen, zu dieser Gruppe hinzugefügt.

  • Benutzer ist Mitglied der Gruppe


UTM in die Domäne einbinden

Es muss darauf geachtet werden, dass die Uhrzeit der UTM mit dem des AD einigermaßen synchron läuft, da ein Kerberos Ticket nur eine begrenzte Gültigkeitsdauer hat.

AD Verbindung herstellen

Schritt 1: Verzeichnistyp
Schritt 1

Im Menü → Authentifizierung →AD/LDAP Authentifizierung wird die Authentifizierung konfiguriert.

Besteht noch keine AD/LDAP-Authentifizierung öffnet sich automatisch der AD/LDAP Authentifizierungs Assistent

Verzeichnistyp
AD - Active Directory Es sollte auf alle Fälle der Verzeichnistyp AD gewählt werden, wenn es sich um eine Active Directory Umgebung handelt. Zwar läuft auch hier ein LDAP, die Gruppenzugehörigkeit wird aber in der AD Umgebung anders behandelt als bei einem reinen LDAP-Server.

Weiter


Schritt 2: Einstellungen
Schritt 2

IP oder Hostname:
» 192.168.145.1 (Beispiel.Adresse!)
Domain
Domainname. ttt-point.local
Arbeitsgruppe:
ttt-point Der NETBIOS-Name des AD.
Appliance Account:
sp-utml Ein eindeutiger Name, der nicht doppelt vergeben werden darf!

Weiter


Schritt 3: Nameserver
Schritt 3: Nameserver

Ist der AD-Server noch nicht als Name-Server eingetragen, wird das in diesem Schriftt vorgenommen:
+Server hinzufügen

IP-Adresse:
IP-Adresse eines AD-Servers der Domäne

Speichern

Weiter

Der AD-Server wird damit als Relay-Zone im Nameserver der UTM hinzugefügt. Der Eintrag ist im Menü → Anwendungen →Nameserver im Reiter Zonen zu finden.

Schritt 4: Beitreten
UTM 11-8 Authentifizierung AD-LDAP-Authentifizierung Assistent Schritt4.png

Um der Domäne beizutreten müssen Benutzername und Kennwort eingegeben werden:

Administratorname:
Benutzerkonto mit Domain-Administrator-Rechten
Passwort:
Beispiel-Passwort

Fertig


Ergebnis AD-Anbindung

UTM 11-8 Authentifizierung AD-LDAP-Authentifizierung.png

Ergebnis im Abschnitt

Status

 :

Aktiviert:
Ein Die AD/LDAP Authentifizierung ist aktiviert.
Verbindungsstatus:
Zur Bestätigung wechselt die Anzeige von grau auf grün.
aktualisieren mit


Erweiterte Einstellungen

Erweiterte Einstellungen

SSL:
Aus Die Verbindung zum Active Directory Server kann SSL-Verschlüsselt hergestellt werden.
LDAP-Verschlüsselung:
plain Die LDAP Anfrage kann zusätzlich mit den Verfahren seal oder sign verschlüsselt werden.
Root-Zertifikat:
Zertifikat Es kann ein Root-Zertifikat hinterlegt werden.
LDAP-Filter:
(sAMAccountType=268435456)(sAMAccountType=268435457)(sAMAccountType=805306368))

Es können Attribute definiert werden, unter denen die AD Verwaltung die Informationen zum Benutzer speichert und die dann von der UTM abgefragt werden können:

User-Attribute:
sAMAccountName
Mail-Attribute:
» proxyAddress

Die Attribute von OTP bis SSL-VPN, die hier eingetragen sind, existieren in der Regel nicht im AD. Um zum Beispiel den OTP-Geheimcode auf dem AD zu hinterlegen, kann ein ungenutztes Attribut des AD Schema verwendet werden, der diesen Geheimcode des Benutzers enthält.
Eine entsprechende Anleitung befindet sich hinter folgenden Link zum Einbinden der OTP Funktion in das Active Directory.

OTP-Attribute:
sPOTPSecret
L2TP-Attribute:
sPL2TPAddress
SSL-VPN-Attribute (IPv4):
sPOVPNAddress
SSL-VPN-Attribute (IPv6):
sPOVPNIP6Address
SSL-Bump-Attribute:
sPSSLBumpMode
Cert-Attribute:
sPCertificate
Page Size:
500 In größeren Umgebungen kann es vorkommen, dass bei LDAP-Anfragen die serverseitig festgelegte, maximale Anzahl von Datensätzen (im AD sind es 1000) überschritten wird. Mit Page Size kann eingestellt werden das die LDAP-Abfrage stückweise ausgeführt wird. Eine Page Size von 500 bedeutet 500 Datensätze pro Abfrage. Die Page Size von 0 deaktiviert eine schrittweise LDAP-Abfrage.


AD Benutzergruppen Berechtigungen erteilen

Gruppen Berechtigungen

Um den Benutzern aus dem Active Directory die Berechtigungen für den Zugriff auf das User-Interface der UTM und der Nutzung des Clientless VPN zu erteilen, wird im Menü → Authentifizierung →Benutzer Gruppen mit + Gruppe hinzufügen eine Gruppe mit eben diesen Berechtigungen angelegt.


Benutzergruppe aus AD auswählen

Im Tab Verzeichnis Dienst kann jetzt die entsprechende Gruppe aus dem Active Directory ausgewählt und zugeordnet werden.

Weitere Informationen über Clientless VPN Berechtigungen befindet sich in dem Wiki zu Clientless VPN.

Ergebnis

Nach dem Speichern kann sich jeder Benutzer, der Mitglied in der AD Gruppe ClientlessVPN ist, mit seinen Windows Domänen Zugangsdaten für die Nutzung des Clientless VPN auf der UTM anmleden.


Überprüfen der AD Anbindung mit CLI

Über CLI (Command Line Interface) Kommandos lässt sich verschiedenes über die Active Directory Anbindung und Benutzer überprüfen.

Hinweis: Erfolgt die Eingabe (Bildschirm und Tastatur) direkt an der UTM lautet der Eingabe-Prompt der Firewall z. B.: firewall.foo.local> bzw. entprechend der lokalen Konfiguration. Bei Aufruf über das User-Interface mit dem Menü → Extras →CLI lautet der Prompt CLI> Dahinter befindet sich das CLI Kommando.
Bei den Zeilen darunter handelt es sich um die Ausgabe der UTM zu diesem Befehl.

Beitreten und Verlassen der Domäne

Um zu überprüfen ob die UTM schon der Domäne beigetreten ist:

cli> system activedirectory testjoin
Join is OK
cli>

Sollte das nicht der Fall sein, erfolgt die Ausgabe

cli> system activedirectory testjoin
Not joined
cli>

In diesem Fall kann der Domäne mit dem folgenden Kommando beigetreten werden

cli> system activedirectory join password Beispiel-Admin-Passwort
Password for Administrator@TTT-POINT.LOCAL: 
Processing principals to add...
Enter Administrator's password:
Using short domain name -- TTT-POINT
Joined 'SP-UTML' to dns domain 'ttt-point.local'
cli>

Das Kommando um die Domäne zu verlassen lautet

cli> system activedirectory leave password Beispiel-Admin-Passwort
Enter Administrator's password:
Deleted account for 'SP-UTML' in realm 'TTT-POINT.LOCAL'
cli>

Beim Beitreten bzw. Verlassen des Active Directories ist die Angabe des Administratorpasswortes notwendig. Das Passwort wird nicht gespeichert, die AD-Zugehörigkeit ist trotzdem Reboot fest.

AD Gruppen anzeigen

Mit dem folgenden Kommando können die Gruppen im Active Directory aufgelistet werden

cli> system activedirectory lsgroups
member
------
Abgelehnte RODC-Kennwortreplikationsgruppe
Administratoren
Benutzer
Builtin
ClientlessVPN
Discovery Management
Domänen-Admins
Domänen-Benutzer
Domänen-Gäste
Exchange Servers
...
Users 
Windows-Autorisierungszugriffsgruppe
cli>

Überprüfen der Benutzer und Gruppenzugehörigkeit

Das folgende Kommando überprüft, ob ein AD-Benutzer einer UTM Gruppe zugeordnet ist

cli> user check name "m.meier" groups grp_ClientlessVPN
matched
cli>

Sollte das nicht der Fall sein erfolgt die Ausgabe

not a member
cli>

Befehl, um zu einem AD-Benutzer die Gruppenzugehörigkeit und Berechtigungen auszugegeben:

cli> user get name m.meier
name   |groups           |permission
-------+-----------------+----------
m.meier|grp_ClientlessVPN|WEB_USER,VPN_CLIENTLESS
cli>

Domain-Controller hinter Site-to-Site-VPN

In manchen Szenarien befindet sich der Domain-Controller hinter einem Site-to-Site-VPN-Tunnel. Ist dies der Fall, muss eine entsprechende Zone und eine Regel konfiguriert werden.
DNS-Relay bei IPSec-S2S
DNS-Relay bei SSL-S2S
Achtung: Für einen Beitritt in ein Active-Directory, das sich hinter einem VPN-Tunnel befindet, werden in der NAT-Regel Richtung Domain-Controller neben den DNS-Ports natürlich noch die LDAP-Ports benötigt.