KKeine Bearbeitungszusammenfassung |
KKeine Bearbeitungszusammenfassung |
||
Zeile 4: | Zeile 4: | ||
{{var | display | {{var | display | ||
| AD/LDAP-Anbindung | | AD/LDAP-Anbindung | ||
| | | AD / LDAP Authentication }} | ||
{{var | headline | {{var | headline | ||
| Anbindung einer UTM an ein AD/LDAP | | Anbindung einer UTM an ein AD/LDAP | ||
| | | Connection of a UTM to an AD/LDAP }} | ||
{{var | neu--ldap | {{var | neu--ldap | ||
| Automatische Einstellung der [[#LDAP | Verschlüsselung]] einer LDAP-Anbindung | | Automatische Einstellung der [[#LDAP | Verschlüsselung]] einer LDAP-Anbindung | ||
| | | Automatic setting of [[#LDAP | Encryption]] of an LDAP connection }} | ||
{{var | neu--menu | {{var | neu--menu | ||
| Der Eintrag hat einen eigenen Platz in der Menü-Struktur erhalten und wurde im Layout angepasst. | | Der Eintrag hat einen eigenen Platz in der Menü-Struktur erhalten und wurde im Layout angepasst. | ||
| }} | | The entry has its own place in the menu structure and has been adapted in the layout }} | ||
{{var | neu--appliance-account | {{var | neu--appliance-account | ||
| Hinweis auf ''Appliance Account''-Name im Cluster-Betrieb | | Hinweis auf ''Appliance Account''-Name im Cluster-Betrieb | ||
| | | Notification of ''Appliance Account''-name in cluster operation }} | ||
{{var | ladap--desc | {{var | ladap--desc | ||
| Zur Authentifizierung auf der UTM kann ein AD oder LDAP genutzt werden. Die Rechte auf der UTM können dann über die Gruppenzugehörigkeit im AD gesteuert werden.</p><p>In der Regel handelt es sich dabei um den Active Directory Service, der in einem Netzwerk die Domäne verwaltet und über das LDAP- und Kerberos-Protokoll die Authentifizierung der Netzwerk Nutzer steuert. | | Zur Authentifizierung auf der UTM kann ein AD oder LDAP genutzt werden. Die Rechte auf der UTM können dann über die Gruppenzugehörigkeit im AD gesteuert werden.</p><p>In der Regel handelt es sich dabei um den Active Directory Service, der in einem Netzwerk die Domäne verwaltet und über das LDAP- und Kerberos-Protokoll die Authentifizierung der Netzwerk Nutzer steuert. | ||
| | | An AD or LDAP can be used for authentication on the UTM. The rights on the UTM can then be controlled via the group membership in the AD.</p><p>In general, this is the Active Directory Service, which manages the domain in a network and controls the authentication of the network users via the LDAP and Kerberos protocol. }} | ||
{{var | vorbereitung-ad | {{var | vorbereitung-ad | ||
| Vorbereitung im Active Directory | | Vorbereitung im Active Directory | ||
| | | Preparation in Active Directory }} | ||
{{var | add-usergroup | {{var | add-usergroup | ||
| Benutzergruppen anlegen | | Benutzergruppen anlegen | ||
| | | Create user groups }} | ||
{{var | security-groups--ad | {{var | security-groups--ad | ||
| Sicherheitsgruppe hinzufügen | | Sicherheitsgruppe hinzufügen | ||
| | | Add a security group }} | ||
{{var | security-groups--added | {{var | security-groups--added | ||
| Sicherheitsgruppe hinzugefügt | | Sicherheitsgruppe hinzugefügt | ||
| | | Security group added }} | ||
{{var | user-groups--added--text | {{var | user-groups--added--text | ||
| In diesem Beispiel sollen die Benutzer für [[ClientlessVPN | | In diesem Beispiel sollen die Benutzer für [[UTM/VPN/ClientlessVPN | Clientless VPN]] über den Active Directory Service Authentifiziert werden.</p><p>Es muss also zunächst eine Gruppe vom Typ ''Sicherheitsgruppe'' auf dem AD hinzugefügt werden, die hier den Namen ''ClientlessVPN'' bekommt. | ||
| | | In this example, the users for [[UTM/VPN/ClientlessVPN | Clientless VPN]] are to be authenticated via the Active Directory Service.</p><p> So first of all a group of the type ''Security Group'' must be added on the AD, which is given the name ''ClientlessVPN'' here. }} | ||
{{var | Benutzer hinzufügen | {{var | Benutzer hinzufügen | ||
| Benutzer hinzufügen | | Benutzer hinzufügen | ||
| | | Add user }} | ||
{{var | Benutzer-ist-mitglied | {{var | Benutzer-ist-mitglied | ||
| Benutzer ist Mitglied der Gruppe | | Benutzer ist Mitglied der Gruppe | ||
| | | User is a member of the group }} | ||
{{var | Benutzer hinzufügen--desc | {{var | Benutzer hinzufügen--desc | ||
| Anschließend werden die Benutzer, die für Clientless VPN freigeschaltet werden sollen, zu dieser Gruppe hinzugefügt. | | Anschließend werden die Benutzer, die für Clientless VPN freigeschaltet werden sollen, zu dieser Gruppe hinzugefügt. | ||
| }} | | The users to be enabled for Clientless VPN are then added to this group. }} | ||
{{var | utm-in-domäne | {{var | utm-in-domäne | ||
| UTM in die Domäne einbinden | | UTM in die Domäne einbinden | ||
| | | Integrate UTM into the domain }} | ||
{{var | utm-in-domäne--uhrzeit | {{var | utm-in-domäne--uhrzeit | ||
| Es muss darauf geachtet werden, dass die [[ | | Es muss darauf geachtet werden, dass die [[UTM/NET/Servereinstellungen#Zeiteinstellungen | Uhrzeit der UTM]] mit dem des AD einigermaßen synchron läuft, da ein Kerberos Ticket nur eine begrenzte Gültigkeitsdauer hat. | ||
| }} | | It is important to make sure that the [[UTM/NET/Servereinstellungen#Zeiteinstellungen | UTM Time]] is reasonably synchronized with the AD, since a Kerberos ticket has a limited validity period. }} | ||
{{var | utm-in-domäne--authentifizierung | {{var | utm-in-domäne--authentifizierung | ||
| Im Menü {{Menu | Authentifizierung |AD/LDAP Authentifizierung}} wird die Authentifizierung konfiguriert. | | Im Menü {{Menu | Authentifizierung |AD/LDAP Authentifizierung}} wird die Authentifizierung konfiguriert. | ||
| }} | | In the menu {{Menu | Authentication |AD/LDAP Authentication}} the authentication is configured. }} | ||
{{var | ad-verbindung | {{var | ad-verbindung | ||
| AD Verbindung herstellen | | AD Verbindung herstellen | ||
| | | Establishing an AD connection }} | ||
{{var | ad-verbindung--text | {{var | ad-verbindung--text | ||
| Besteht noch keine AD/LDAP-Authentifizierung öffnet sich automatisch der AD/LDAP Authentifizierungs Assistent | | Besteht noch keine AD/LDAP-Authentifizierung öffnet sich automatisch der AD/LDAP Authentifizierungs Assistent | ||
| | | If there is no AD/LDAP authentication yet, the AD/LDAP authentication wizard opens automatically }} | ||
{{var | ad-verbindung--assistent | {{var | ad-verbindung--assistent | ||
| Andernfalls kann der Assistent mit der Schaltfläche {{Button| Assistent }} gestartet werden. | | Andernfalls kann der Assistent mit der Schaltfläche {{Button| Assistent }} gestartet werden. | ||
| | | Otherwise the wizard can be started with the button {{Button| Wizard }} }} | ||
{{var | Schritt | {{var | Schritt | ||
| Schritt | | Schritt | ||
| | | Step }} | ||
{{var | Verzeichnistyp | {{var | Verzeichnistyp | ||
| Verzeichnistyp | | Verzeichnistyp | ||
| | | Directory type }} | ||
{{var | ad-hinweis | {{var | ad-hinweis | ||
| Es sollte auf alle Fälle der Verzeichnistyp <i>»AD«</i> gewählt werden, wenn es sich um eine Active Directory Umgebung handelt. § <br>Zwar läuft auch hier ein LDAP, die Gruppenzugehörigkeit wird aber in der AD Umgebung anders behandelt als bei einem reinen LDAP-Server. | | Es sollte auf alle Fälle der Verzeichnistyp <i>»AD«</i> gewählt werden, wenn es sich um eine Active Directory Umgebung handelt. § <br>Zwar läuft auch hier ein LDAP, die Gruppenzugehörigkeit wird aber in der AD Umgebung anders behandelt als bei einem reinen LDAP-Server. | ||
| | | In any case, the directory type <i>»AD«</i> should be selected if it is an Active Directory environment. § <br>Even there is also running an LDAP, the group membership is treated differently in the AD environment than in a pure LDAP server. }} | ||
{{var | schritt-1--bild | {{var | schritt-1--bild | ||
| UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt1.png | | UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt1.png | ||
| | | UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt1-en.png }} | ||
{{var | Weiter | {{var | Weiter | ||
| Weiter | | Weiter | ||
| | | Next }} | ||
{{var | Einstellungen | {{var | Einstellungen | ||
| Einstellungen | | Einstellungen | ||
| | | Options }} | ||
{{var | ip | {{var | ip | ||
| IP oder Hostname: | | IP oder Hostname: | ||
| | | IP Address or Hostname: }} | ||
{{var | beispiel-adrresse | {{var | beispiel-adrresse | ||
| (Beispiel-Adresse!) | | (Beispiel-Adresse!) | ||
| | | (Example address!) }} | ||
{{var | schritt-2--bild | {{var | schritt-2--bild | ||
| UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt2.png | | UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt2.png | ||
| | | UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt2-en.png }} | ||
{{var | Arbeitsgruppe | {{var | Arbeitsgruppe | ||
| Arbeitsgruppe: | | Arbeitsgruppe: | ||
| | | Workgroup: }} | ||
{{var | netbios-name | {{var | netbios-name | ||
| Der NETBIOS-Name des AD<br>Sollte dieser von der Base Domain abweichen, muss hier der korrekte NETBIOS-Name eingetragen werden. | | Der NETBIOS-Name des AD<br>Sollte dieser von der ''Base Domain'' abweichen, muss hier der korrekte NETBIOS-Name eingetragen werden. | ||
| | | The NETBIOS name of the AD<br>If this should differ from the ''base domain'', the correct NETBIOS name must be entered here. }} | ||
{{var | appliance-account--text | {{var | appliance-account--text | ||
| Der Name, unter dem die UTM im AD in der Gruppe ''Computers'' eingetragen wird.<br>Ein eindeutiger Name, der nicht doppelt vergeben werden darf! | | Der Name, unter dem die UTM im AD in der Gruppe ''Computers'' eingetragen wird.<br>Ein eindeutiger Name, der nicht doppelt vergeben werden darf! | ||
| The name by which the UTM is entered in the AD in the group ''Computers''.<br>A unique name that must not be assigned twice! }} | |||
{{var | appliance-account--text--cluster-hinweis | {{var | appliance-account--text--cluster-hinweis | ||
| Bei Betrieb der UTM im Cluster muss der Name im Master und Spare unterschiedlich sein. Der Name wird nicht synchronisiert! | | Bei Betrieb der UTM im Cluster muss der Name im Master und Spare unterschiedlich sein. Der Name wird nicht synchronisiert! | ||
| | | When operating the UTM in a cluster, the name in the master and spare must be different. The name is not synchronized! }} | ||
{{var | schritt-3--text | {{var | schritt-3--text | ||
| Ist der AD-Server noch nicht als Name-Server eingetragen, wird das in diesem Schritt vorgenommen: | | Ist der AD-Server noch nicht als Name-Server eingetragen, wird das in diesem Schritt vorgenommen: | ||
| | | If the AD server is not yet entered as the name server, this is done in this step: }} | ||
{{var | add-server | {{var | add-server | ||
| Server hinzufügen | | Server hinzufügen | ||
| | | Add Server }} | ||
{{var | ip-adresse | {{var | ip-adresse | ||
| IP-Adresse | | IP-Adresse | ||
| | | IP Address: }} | ||
{{var | Beispieladresse | {{var | Beispieladresse | ||
| Beispieladresse! | | Beispieladresse! | ||
| | | Sample address! }} | ||
{{var | ip-adresse--text | {{var | ip-adresse--text | ||
| IP-Adresse eines AD-Servers der Domäne | | IP-Adresse eines AD-Servers der Domäne, ggf. zusätzlich der Port | ||
| | | IP address of an AD server of the domain, if necessary additionally the port }} | ||
{{var | schritt-3--bild | {{var | schritt-3--bild | ||
| UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt3.png | | UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt3.png | ||
| | | UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt3-en.png }} | ||
{{var | Speichern | {{var | Speichern | ||
| Speichern | | Speichern | ||
| | | Save }} | ||
{{var | ad-server | {{var | ad-server | ||
| Der AD-Server wird damit als Relay-Zone im Nameserver der UTM hinzugefügt.</p><p>Der Eintrag ist im Menü {{Menu|Anwendungen|Nameserver }} im Reiter {{Reiter|Zonen}} zu finden. | | Der AD-Server wird damit als Relay-Zone im Nameserver der UTM hinzugefügt.</p><p>Der Eintrag ist im Menü {{Menu|Anwendungen|Nameserver }} im Reiter {{Reiter|Zonen}} zu finden. | ||
| | | The AD server is thus added as a relay zone in the name server of the UTM.</p><p>The entry can be found in the menu {{Menu|Applications|Nameserver }} in the tab {{Reiter|Zones}}. }} | ||
{{var | Beitreten | {{var | Beitreten | ||
| Beitreten | | Beitreten | ||
| | | Join }} | ||
{{var | Administratorname | {{var | Administratorname | ||
| Administratorname: | | Administratorname: | ||
| | | Administratorname: }} | ||
{{var | Administratorname--hinweis | {{var | Administratorname--hinweis | ||
| Um der Domäne beizutreten ist ein Benutzer-Konto mit Domain-Administrator-Rechten erforderlich. | | Um der Domäne beizutreten ist ein Benutzer-Konto mit Domain-Administrator-Rechten erforderlich. | ||
| | | To join the domain, a user account with domain administrator permissions is required. }} | ||
{{var | schritt-4--bild | {{var | schritt-4--bild | ||
| UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt4.png | | UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt4.png | ||
| | | UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt4-en.png }} | ||
{{var | Passwort | {{var | Passwort | ||
| Passwort: | | Passwort: | ||
| | | Password: }} | ||
{{var | hinweis--cluster | {{var | hinweis--cluster | ||
| Hinweis bei Clusterbetrieb | | Hinweis bei Clusterbetrieb | ||
| | | Note for cluster operation }} | ||
{{var | ausblenden | {{var | ausblenden | ||
| ausblenden | | ausblenden | ||
| | | hide }} | ||
{{var | hinweis--cluster--text | {{var | hinweis--cluster--text | ||
| Bei Betrieb der UTM im Cluster muss das Passwort auf der Spare-UTM unter {{Menu| Authentifizierung | AD/LDAP Authentifizierung | Beitreten }} separat eingegeben werden. </p><small>Bis auf den {{b| Appliance Account: }} (siehe Schritt 2) werden alle anderen Angaben im Cluster synchronisiert.</small> <br>Abschluss mit {{Button| Beitreten}} | | Bei Betrieb der UTM im Cluster muss das Passwort auf der Spare-UTM unter {{Menu| Authentifizierung | AD/LDAP Authentifizierung | Beitreten }} separat eingegeben werden. </p><small>Bis auf den {{b| Appliance Account: }} (siehe Schritt 2) werden alle anderen Angaben im Cluster synchronisiert.</small> <br>Abschluss mit {{Button| Beitreten}} | ||
| }} | | When operating the UTM in a cluster, the password on the spare UTM must be entered separately under {{Menu| Authentication | AD/LDAP Authentication | Join }}. </p><small>Except of the {{b| Appliance Account: }} (see step 2), all other information in the cluster will be synchronized.</small> <br>Complete with {{Button| Join}} }} | ||
{{var | fertig | {{var | fertig | ||
| Fertig | | Fertig | ||
| | | Finish }} | ||
{{var | ergebnis-ad | {{var | ergebnis-ad | ||
| Ergebnis AD-Anbindung | | Ergebnis AD-Anbindung | ||
| | | Result of AD connection }} | ||
{{var | ergebnis-ad--text | {{var | ergebnis-ad--text | ||
| Ergebnis im Abschnitt {{ Kasten | Status}} : | | Ergebnis im Abschnitt {{ Kasten | Status}} : | ||
| | | Result in section {{ Kasten | Status}} : }} | ||
{{var | aktiviert | {{var | aktiviert | ||
| Aktiviert | | Aktiviert | ||
| }} | | Enabled: }} | ||
{{var | ad-aktiviert--text | {{var | ad-aktiviert--text | ||
| Die AD/LDAP Authentifizierung ist aktiviert. | | Die AD/LDAP Authentifizierung ist aktiviert. | ||
| | | AD/LDAP authentication is enabled. }} | ||
{{var | ergebnis--bild | {{var | ergebnis--bild | ||
| UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung.png | | UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung.png | ||
| | | UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung-en.png }} | ||
{{var | Verbindungsstatus | {{var | Verbindungsstatus | ||
| Verbindungsstatus: | | Verbindungsstatus: | ||
| }} | | Connection Status: }} | ||
{{var | Verbindungsstatus--text | {{var | Verbindungsstatus--text | ||
| Zur Bestätigung wechselt die Anzeige von grau auf grün.<br/>Aktualisieren mit {{Button| |refresh}} | | Zur Bestätigung wechselt die Anzeige von grau auf grün.<br/>Aktualisieren mit {{Button| |refresh}} | ||
| | | For confirmation the display changes from grey to green.<br/>Update with {{Button| |refresh}} }} | ||
{{var | Erweiterte-Einstellungen | {{var | Erweiterte-Einstellungen | ||
| Erweiterte Einstellungen | | Erweiterte Einstellungen | ||
| | | Extended settings }} | ||
{{var | Erweitert | {{var | Erweitert | ||
| Erweitert | | Erweitert | ||
| | | Extended }} | ||
{{var | ssl--text | {{var | ssl--text | ||
| Die Verbindung zum Active Directory Server kann SSL-Verschlüsselt hergestellt werden. | | Die Verbindung zum Active Directory Server kann SSL-Verschlüsselt hergestellt werden. | ||
Zeile 317: | Zeile 316: | ||
| }} | | }} | ||
{{var | dc-hinters2s--hinweis | {{var | dc-hinters2s--hinweis | ||
| Achtung: Für einen Beitritt in ein Active-Directory, das sich hinter einem VPN-Tunnel befindet, werden in der NAT-Regel Richtung Domain-Controller neben den DNS-Ports | | Achtung: Für einen Beitritt in ein Active-Directory, das sich hinter einem VPN-Tunnel befindet, werden in der NAT-Regel Richtung Domain-Controller neben den DNS-Ports die LDAP-Ports benötigt. | ||
| }} | | }} | ||
Zeile 352: | Zeile 351: | ||
<br clear=all> | <br clear=all> | ||
==== {{#var: | ==== {{#var:Benutzer hinzufügen| Benutzer hinzufügen }} ==== | ||
{{pt3 | WIN2012_AD_EgrpM.png | {{#var:Benutzer hinzufügen| Benutzer hinzufügen }} }} | {{pt3 | WIN2012_AD_EgrpM.png | {{#var:Benutzer hinzufügen| Benutzer hinzufügen }} }} | ||
{{pt3 | WIN2012_AD_EuserMv.png | {{#var:Benutzer-ist-mitglied| Benutzer ist Mitglied der Gruppe }} }} | {{pt3 | WIN2012_AD_EuserMv.png | {{#var:Benutzer-ist-mitglied| Benutzer ist Mitglied der Gruppe }} }} | ||
Zeile 387: | Zeile 386: | ||
| {{ b | {{#var:Arbeitsgruppe| Arbeitsgruppe: }} }} || {{ic| ttt-point }} || {{#var:netbios-name| Der NETBIOS-Name des AD<br>Sollte dieser von der Base Domain abweichen, muss hier der korrekte NETBIOS-Name eingetragen werden. }} | | {{ b | {{#var:Arbeitsgruppe| Arbeitsgruppe: }} }} || {{ic| ttt-point }} || {{#var:netbios-name| Der NETBIOS-Name des AD<br>Sollte dieser von der Base Domain abweichen, muss hier der korrekte NETBIOS-Name eingetragen werden. }} | ||
|- | |- | ||
| {{ b | Appliance Account:}} || {{ic| sp-utml }} || {{#var:appliance-account--text| Der Name, unter dem die UTM im AD in der Gruppe ''Computers'' eingetragen wird.<br>Ein eindeutiger Name, der nicht doppelt vergeben werden darf! | | {{ b | Appliance Account:}} || {{ic| sp-utml }} || {{#var:appliance-account--text| Der Name, unter dem die UTM im AD in der Gruppe ''Computers'' eingetragen wird.<br>Ein eindeutiger Name, der nicht doppelt vergeben werden darf!}}<br> | ||
{{Hinweis|!|g}} {{#var:appliance-account--text--cluster-hinweis| Bei Betrieb der UTM im Cluster muss der Name im Master und Spare unterschiedlich sein. Der Name wird nicht synchronisiert! }} | {{Hinweis|!|g}} {{#var:appliance-account--text--cluster-hinweis| Bei Betrieb der UTM im Cluster muss der Name im Master und Spare unterschiedlich sein. Der Name wird nicht synchronisiert! }} | ||
|- | |- |
Version vom 18. Februar 2020, 10:11 Uhr
Anbindung einer UTM an ein AD/LDAP
Letzte Anpassung zur Version: 11.8.8
- Neu:
- Automatische Einstellung der Verschlüsselung einer LDAP-Anbindung
- Der Eintrag hat einen eigenen Platz in der Menü-Struktur erhalten und wurde im Layout angepasst.
- Hinweis auf Appliance Account-Name im Cluster-Betrieb
Vorherige Versionen: 11.5 | 11.7 | 11.8
Zur Authentifizierung auf der UTM kann ein AD oder LDAP genutzt werden. Die Rechte auf der UTM können dann über die Gruppenzugehörigkeit im AD gesteuert werden.
In der Regel handelt es sich dabei um den Active Directory Service, der in einem Netzwerk die Domäne verwaltet und über das LDAP- und Kerberos-Protokoll die Authentifizierung der Netzwerk Nutzer steuert.
Vorbereitung im Active Directory
Benutzergruppen anlegen
Die Berechtigungen zu den in der UTM enthaltenen Diensten können in Gruppen verwaltet werden. Die Benutzer, die diesen Gruppen zugeordnet werden sollen, müssen zunächst entsprechenden Benutzergruppen im AD zugeordnet werden.
In diesem Beispiel sollen die Benutzer für Clientless VPN über den Active Directory Service Authentifiziert werden.
Es muss also zunächst eine Gruppe vom Typ Sicherheitsgruppe auf dem AD hinzugefügt werden, die hier den Namen ClientlessVPN bekommt.
Benutzer hinzufügen
Anschließend werden die Benutzer, die für Clientless VPN freigeschaltet werden sollen, zu dieser Gruppe hinzugefügt.
UTM in die Domäne einbinden
Es muss darauf geachtet werden, dass die Uhrzeit der UTM mit dem des AD einigermaßen synchron läuft, da ein Kerberos Ticket nur eine begrenzte Gültigkeitsdauer hat.
Im Menü
wird die Authentifizierung konfiguriert.AD Verbindung herstellen
Besteht noch keine AD/LDAP-Authentifizierung öffnet sich automatisch der AD/LDAP Authentifizierungs Assistent
Andernfalls kann der Assistent mit der Schaltfläche
gestartet werden.Beschriftung | Wert | Beschreibung | |
---|---|---|---|
Schritt 1: Verzeichnistyp | |||
Verzeichnistyp | Es sollte auf alle Fälle der Verzeichnistyp »AD« gewählt werden, wenn es sich um eine Active Directory Umgebung handelt. Zwar läuft auch hier ein LDAP, die Gruppenzugehörigkeit wird aber in der AD Umgebung anders behandelt als bei einem reinen LDAP-Server. |
||
Schritt 2: Einstellungen | |||
IP oder Hostname: | » ✕ 192.168.145.1 | (Beispiel-Adresse!) | |
Domain | ttt-point.local | Domainname | |
Arbeitsgruppe: | ttt-point | Der NETBIOS-Name des AD Sollte dieser von der Base Domain abweichen, muss hier der korrekte NETBIOS-Name eingetragen werden. | |
Appliance Account: | sp-utml | Der Name, unter dem die UTM im AD in der Gruppe Computers eingetragen wird. Ein eindeutiger Name, der nicht doppelt vergeben werden darf! Bei Betrieb der UTM im Cluster muss der Name im Master und Spare unterschiedlich sein. Der Name wird nicht synchronisiert! | |
Schritt 3: NameserverIst der AD-Server noch nicht als Name-Server eingetragen, wird das in diesem Schritt vorgenommen: | |||
IP-Adresse : | 192.168.145.1 | Beispieladresse! IP-Adresse eines AD-Servers der Domäne, ggf. zusätzlich der Port |
|
Der AD-Server wird damit als Relay-Zone im Nameserver der UTM hinzugefügt. Der Eintrag ist im Menü Zonen zu finden. im Reiter | |||
Schritt 4: Beitreten | |||
Administratorname: | Administrator | Um der Domäne beizutreten ist ein Benutzer-Konto mit Domain-Administrator-Rechten erforderlich. | |
Passwort: | •••••••• | <div
class="mw-collapsible true mw-collapsed dezent " data-expandtext=" Hinweis bei Clusterbetrieb " data-collapsetext=" ausblenden " id="mw-customcollapsible-Inhalte" > Bei Betrieb der UTM im Cluster muss das Passwort auf der Spare-UTM unter Beitreten separat eingegeben werden. Bis auf den Appliance Account: (siehe Schritt 2) werden alle anderen Angaben im Cluster synchronisiert.
Reiter Abschluss mit | |
Ergebnis AD-AnbindungErgebnis im Abschnitt Status : | |||
Aktiviert: | Ein | Die AD/LDAP Authentifizierung ist aktiviert. | |
Verbindungsstatus: | ⬤ | Zur Bestätigung wechselt die Anzeige von grau auf grün. Aktualisieren mit | |
Erweiterte Einstellungen Erweitert
| |||
SSL: | Aus | Die Verbindung zum Active Directory Server kann SSL-Verschlüsselt hergestellt werden. | |
Hinweis zur LDAP-Verschlüsselung Aufgrund eines Microsoft-Updates (ursprünglich geplant für März 2020) wird eine unverschlüsselte Anbindung an ein AD zukünftig nicht mehr möglich sein. ab 11.8.8 Die Einstellung wird von der Securepoint Appliance automatisch vorgenommen. Das entsprechende Dropdown-Menü entfällt ab Version 11.8.8
| |||
Root-Zertifikat: | Es kann ein Root-Zertifikat hinterlegt werden. | ||
LDAP-Filter: | (|(sAMAccountType=268435456)(sAMAccountType=268435457)(sAMAccountType=805306368)) | Nur für interne Prüfzwecke | |
User-Attribute: | sAMAccountName | Es können Attribute definiert werden, unter denen die AD Verwaltung die Informationen zum Benutzer speichert und die dann von der UTM abgefragt werden können: | |
Mail-Attribute: | » ✕ proxyAddresses | ||
Die Attribute von OTP bis SSL-VPN, die hier eingetragen sind, existieren in der Regel nicht im AD. Um zum Beispiel den OTP-Geheimcode auf dem AD zu hinterlegen, kann ein ungenutztes Attribut des AD Schema verwendet werden, der diesen Geheimcode des Benutzers enthält. Eine entsprechende Anleitung befindet sich hinter folgenden Link zum Einbinden der OTP Funktion in das Active Directory. | |||
OTP-Attribute: | sPOTPSecret | ||
L2TP-Attribute: | sPL2TPAddress | ||
SSL-VPN-Attribute (IPv4): | sPOVPNAddress | ||
SSL-VPN-Attribute (IPv6): | sPOVPNIP6Address | ||
SSL-Bump-Attribute: | sPSSLBumpMode | ||
Cert-Attribute: | sPCertificate | ||
Page Size: | 500 | In größeren Umgebungen kann es vorkommen, dass bei LDAP-Anfragen die serverseitig festgelegte, maximale Anzahl von Datensätzen (im AD sind es 1000) überschritten wird. Mit Page Size kann eingestellt werden das die LDAP-Abfrage stückweise ausgeführt wird. Eine Page Size von 500 bedeutet 500 Datensätze pro Abfrage. Die Page Size von 0 deaktiviert eine schrittweise LDAP-Abfrage. |
AD Benutzergruppen Berechtigungen erteilen
Um den Benutzern aus dem Active Directory die Berechtigungen für den Zugriff auf das User-Interface der UTM und der Nutzung des Clientless VPN zu erteilen, wird im Menü Gruppen Schaltfläche eine Gruppe mit eben diesen Berechtigungen angelegt.
ReiterAktiv | Berechtigung | Hinweis |
---|---|---|
Ein | Userinterface | |
Ein | Clientless VPN | Gewünschte Berechtigung |
Im Reiter Verzeichnis Dienst kann jetzt die entsprechende Gruppe aus dem Active Directory ausgewählt und zugeordnet werden.
Weitere Informationen über Clientless VPN Berechtigungen befindet sich in dem Wiki zu Clientless VPN.
Ergebnis
Nach dem Speichern kann sich jeder Benutzer, der Mitglied in der AD Gruppe ClientlessVPN ist, mit seinen Windows Domänen Zugangsdaten für die Nutzung des Clientless VPN auf der UTM anmleden.
Überprüfen der AD Anbindung mit CLI
Über CLI (Command Line Interface) Kommandos lässt sich verschiedenes über die Active Directory Anbindung und Benutzer überprüfen. Hinweis: Erfolgt die Eingabe (Bildschirm und Tastatur) direkt an der UTM lautet der Eingabe-Prompt der Firewall z. B.: firewall.foo.local> bzw. entprechend der lokalen Konfiguration. Bei Aufruf über das User-Interface mit dem Menü lautet der Prompt CLI>Dahinter befindet sich das CLI Kommando.
Bei den Zeilen darunter handelt es sich um die Ausgabe der UTM zu diesem Befehl.
Beitreten und Verlassen der Domäne
Um zu überprüfen ob die UTM schon der Domäne beigetreten ist:
cli> system activedirectory testjoin Join is OK cli>
Sollte das nicht der Fall sein, erfolgt die Ausgabe
cli> system activedirectory testjoin Not joined cli>
In diesem Fall kann der Domäne mit dem folgenden Kommando beigetreten werden
cli> system activedirectory join password Beispiel-Admin-Passwort Password for Administrator@TTT-POINT.LOCAL: Processing principals to add... Enter Administrator's password: Using short domain name -- TTT-POINT Joined 'SP-UTML' to dns domain 'ttt-point.local' cli>
Das Kommando um die Domäne zu verlassen lautet
cli> system activedirectory leave password Beispiel-Admin-Passwort Enter Administrator's password: Deleted account for 'SP-UTML' in realm 'TTT-POINT.LOCAL' cli>
Beim Beitreten bzw. Verlassen des Active Directories ist die Angabe des Administratorpasswortes notwendig. Das Passwort wird nicht gespeichert, die AD-Zugehörigkeit ist trotzdem Reboot fest.
AD Gruppen anzeigen
Mit dem folgenden Kommando können die Gruppen im Active Directory aufgelistet werden:
cli> system activedirectory lsgroups member ------ Abgelehnte RODC-Kennwortreplikationsgruppe Administratoren Benutzer Builtin ClientlessVPN Discovery Management Domänen-Admins Domänen-Benutzer Domänen-Gäste Exchange Servers ... Users Windows-Autorisierungszugriffsgruppe cli>
Überprüfen der Benutzer und Gruppenzugehörigkeit
Das folgende Kommando überprüft, ob ein AD-Benutzer einer UTM Gruppe zugeordnet ist:
cli> user check name "m.meier" groups grp_ClientlessVPN matched cli>
Sollte das nicht der Fall sein erfolgt die Ausgabe
not a member cli>
Befehl, um zu einem AD-Benutzer die Gruppenzugehörigkeit und Berechtigungen auszugegeben:
cli> user get name m.meier name |groups |permission -------+-----------------+---------- m.meier|grp_ClientlessVPN|WEB_USER,VPN_CLIENTLESS cli>
Domain-Controller hinter Site-to-Site-VPN
In manchen Szenarien befindet sich der Domain-Controller hinter einem Site-to-Site-VPN-Tunnel. Ist dies der Fall, muss eine entsprechende Zone und eine Regel konfiguriert werden.
DNS-Relay bei IPSec-S2S
DNS-Relay bei SSL-S2S
Achtung: Für einen Beitritt in ein Active-Directory, das sich hinter einem VPN-Tunnel befindet, werden in der NAT-Regel Richtung Domain-Controller neben den DNS-Ports die LDAP-Ports benötigt.