Wechseln zu:Navigation, Suche
Wiki
K (Lauritzl verschob die Seite UTM/AUTH/AD Anbindung nach UTM/AUTH/AD Anbindung 11.7, ohne dabei eine Weiterleitung anzulegen)
(kein Unterschied)

Version vom 9. August 2019, 17:28 Uhr

Informationen

Letze Anpassung zur Version: 11.7
Bemerkung: Artikelanpassung
Vorherige Versionen: v11.5

Active Directory Benutzergruppen zur Authentifizierung in der UTM nutzen

Ist ein zentraler Authentifizierungsserver in einem Netzwerk vorhanden, macht es wenig Sinn, die Benutzer alle noch einmal auf der UTM anzulegen, damit diese lokale Dienste der UTM nutzen können, für die die Benutzer bestimmte Rechte benötigen und sich daher Authentifizieren müssen.
In der Regel handelt es sich dabei um den Active Directory Service, der in einem Netzwerk die Domäne verwaltet und über das LDAP- und Kerberos-Protokoll die Authentifizierung der Netzwerk Nutzer steuert.

Active Directory Benutzergruppen anlegen

Da die Berechtigung zu den in der UTM enthaltenen Diensten in Gruppen verwaltet werden, von denen die Benutzer, die diesen Gruppen zugeordnet werden, diese Berechtigungen erben, müssen zunächst entsprechende Benutzergruppen im AD eingerichtet und die einzelnen Benutzer diesen Gruppen zugewiesen werden.

In diesem Beispiel sollen die Benutzer für Clientless VPN über den Active Directory Service Authentifiziert werden.

Sicherheitsgruppe hinzufügen
Sicherheitsgruppe hinzugefügt

Es muss also zunächst eine Gruppe vom Typ Sicherheitsgruppe auf dem AD hinzugefügt werden, die hier den Namen ClientlessVPN bekommt.













Benutzer zur Gruppe hinzufügen
Benutzer ist Mitglied der Gruppe

Anschließend werden die Benutzer, die für Clientless VPN freigeschaltet werden sollen, zu dieser Gruppe hinzugefügt.
















UTM in die Domäne einbinden

Bevor die UTM in die Domäne eingebunden werden kann, muss der primäre Domain Controller als Name-Server angeben werden.

Da seit UTM Version 11.5 der lokale Nameserver in den Servereinstellungen im Hintergrund schon eingetragen ist (127.0.0.1) entfällt dieser Schritt aus den vorherigen Versionen. Es muss aber darauf geachtet werden, dass die Uhrzeit der UTM mit dem des AD einigermaßen synchron läuft, da ein Kerberos Ticket nur eine begrenzte Gültigkeitsdauer hat.

Relay Zone hinzufügen

Über das Menü der UTM wird unter Anwendungen der Menüpunkt Nameserver aufgerufen und eine neue Relay Zone hinzugefügt. Hier wird die Netzwerkdomäne und die IP-Adresse des Active Directory Server eingetragen.


In diesem Beispiel hat der AD Server die IP-Adresse 172.31.10.100 und das Netzwerk befindet sich in der Domäne ttt-point.local.




AD Einstellungen

Im Menü Authentifizierung befindet sich der Menüpunkt Externe Authentifizierung. Hier befinden sich unter dem Tab AD/LDAP die Einstellungen für die Verzeichnis-Typen AD oder LDAP.


Im Abschnitt Einstellungen werden die IP-Adresse oder der Hostname, der Verzeichnistyp AD und die lokale Netzwerk-Domäne eingetragen.
Bei Arbeitsgruppe handelt es sich um den NETBIOS-Namen des AD. Sollte dieses von der Base Domain abweichen, muss hier der korrekte NETBIOS-Name eingetragen werden.
Im Feld unter Appliance Account wird der Name eingetragen, unter dem die UTM im AD in der Gruppe Computers eingetragen wird.


Nun muss noch im Abschnitt Beitreten der Name des Administrator bzw. eines Benutzers mit den Berechtigungen eines Domain-Administrators und dessen Passwort eingetragen werden.


Mit einen Klick auf den Button UTM115 AI AEAbeitB.png, meldet sich die UTM an der Domäne an. Zur Bestätigung wechselt die Anzeige des Verbindungsstatus: im Abschnitt Status von grau auf grün. Weiterhin ist das Feld hinter Aktiviert: markiert.


UMA20 AHB hinweispic.png

Achtung!
Es sollte auf alle Fälle der Verzeichnistyp AD gewählt werden, wenn es sich um eine Active Directory Umgebung handelt. Zwar läuft auch hier ein LDAP, die Gruppenzugehörigkeit wird aber in der AD Umgebung anders behandelt als bei einem reinen LDAP-Server.

Erweiterte Einstellungen

Erweiterte Einstellungen

Zunächst gibt es unter Erweiterte Einstellungen die Möglichkeit die Verbindung zum Active Directory Server SSL-Verschlüsselt herzustellen.
Die LDAP Anfrage kann zusätzlich mit den Verfahren seal oder sign Verschlüsselt und es kann ein Root-Zertifikat hinterlegt werden.

Weiterhin können Attribute definiert werden, unter denen die AD Verwaltung die Informationen zum Benutzer speichert und die dann von der UTM abgefragt werden können.

Zum Beispiel findet die UTM standardmäßig den Benutzer-Anmeldenamen im User-Attribut sAMAccountName sowie dessen E-Mail Adresse im Mail-Attribut mail.

Die Attribute von OTP bis SSL-VPN, die hier eingetragen sind, existieren in der Regel nicht im AD.

Um zum Beispiel den OTP-Geheimcode auf dem AD zu hinterlegen, kann ein ungenutztes Attribut des AD Schema verwendet werden, der diesen Geheimcode der Benutzer enthält.
Eine entsprechende Anleitung befindet sich hinter folgenden Link zum Einbinden der OTP Funktion in das Active Directory.

Es können natürlich auch neue Attribute erstellt werden. Dieses bedeutet aber immer einen Eingriff in das AD Schema und hatte schon häufig zur Folge, dass das AD anschließend nicht mehr genutzt werden kann.

In größeren Umgebungen kann es vorkommen, dass bei LDAP-Anfragen die serverseitig festgelegte, maximale Anzahl von Datensätzen (im AD sind es 1000) überschritten wird. Mit Page Size kann eingestellt werden das die LDAP-Abfrage stückweise ausgeführt wird. Eine Page Size von 300 bedeutet 300 Datensätze pro Abfrage. Die Page Size von 0 deaktiviert eine schrittweise LDAP-Abfrage.

AD Benutzergruppen Berechtigungen erteilen

Gruppen Berechtigungen

Um jetzt den Benutzern aus dem Active Directory die Berechtigungen für den Zugriff auf das User-Interface der UTM und der Nutzung des Clientless VPN zu erteilen, wird im Menü Authentifizierung unter Benutzer eine Gruppe mit eben diesen Berechtigungen angelegt.







AD Gruppe auswählen

Anschließend kann unter dem Tab Verzeichnis Dienst, die entsprechende Gruppe aus dem Active Directory ausgewählt und zugeordnet werden.






Weitere Informationen über Clientless VPN Berechtigungen befindet sich in dem Wiki zu Clientless VPN.


Nach dem Speichern kann sich jeder Benutzer, der Mitglied in der AD Gruppe ClientlessVPN ist, mit seinen Windows Domänen Zugangsdaten für die Nutzung des Clientless VPN auf der UTM einloggen.


Überprüfen der AD Anbindung, Benutzer und Benutzergruppen

Über CLI (Command Line Interface) Kommandos lässt sich verschiedenes über die Active Directory Anbindung und Benutzer überprüfen.

Hinweis: firewall.foo.local> ist der Eingabe-Prompt der Firewall, dahinter befindet sich das CLI Kommando.
Bei den Zeilen darunter handelt es sich um die Ausgabe der UTM zu diesem Befehl.

Beitreten und Verlassen der Domäne

Um zu überprüfen ob die UTM schon der Domäne beigetreten ist:

firewall.foo.local> system activedirectory testjoin
checking the trust secret for domain TTT-POINT via RPC calls succeeded
**

Sollte das nicht der Fall sein, erfolgt die Ausgabe

-- checking the trust secret for domain TTT-POINT via RPC calls failed

In diesem Fall kann der Domäne mit dem folgenden Kommando beigetreten werden

firewall.foo.local> system activedirectory join password Insecur3
password
--------
Insecur3

Das Kommando um die Domäne zu verlassen lautet

firewall.foo.local> system activedirectory leave password Insecur3
Deleted account for 'SP-UTM' in realm 'TTT-POINT.LOCAL'
**

Beim Beitreten bzw. Verlassen des Active Directories ist die Angabe des Administratorpasswortes notwendig. Das Passwort wird nicht gespeichert, die AD-Zugehörigkeit ist trotzdem Reboot fest.

AD Gruppen anzeigen

Mit dem folgenden Kommando können die Gruppen im Active Directory aufgelistet werden

firewall.foo.local> system activedirectory lsgroups
member
------
abgelehnte rodc-kennwortreplikationsgruppe
clientlessvpn
compliance management
delegated setup
discovery management
dnsadmins
dnsupdateproxy
domänen-admins
domänen-benutzer
domänen-gäste
domänencomputer
domänencontroller
help desk
hygiene management
klonbare domänencontroller
...

Überprüfen der Benutzer und Gruppenzugehörigkeit

Das folgende Kommando überprüft, ob ein AD-Benutzer einer UTM Gruppe zugeordnet ist

firewall.foo.local> user check name "mmeier" groups cvpn_grp
matched
**

Sollte das nicht der Fall sein erfolgt die Ausgabe

-- not a member

Weiterhin kann zu einem AD-Benutzer die Gruppenzugehörigkeit und Berechtigungen ausgegeben werden

firewall.foo.local> user get name mmeier
name  |groups               |permission
------+---------------------+---------------
mmeier|Proxy-GF_grp,cvpn_grp|HTTP_PROXY,WEB_USER,VPN_CLIENTLESS


Domain-Controller hinter Site-to-Site-VPN

In manchen Szenarien befindet sich der Domain-Controller hinter einem Site-to-Site-VPN-Tunnel. Ist dies der Fall, muss eine entsprechende Zone und eine Regel konfiguriert werden.
DNS-Relay bei IPSec-S2S
DNS-Relay bei SSL-S2S
Achtung: Für einen Beitritt in ein Active-Directory, welches sich hinter einem VPN-Tunnel befindet, wird in der NAT-Regel Richtung Domain-Controller neben den DNS-Ports natürlich noch die LDAP-Ports benötigt.