Wechseln zu:Navigation, Suche
Wiki

UTM/AUTH/AD Anbindung v11.8.10: Unterschied zwischen den Versionen

Aus Securepoint Wiki
KKeine Bearbeitungszusammenfassung
KKeine Bearbeitungszusammenfassung
 
(4 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
{{Archivhinweis|UTM/AUTH/AD Anbindung}}
{{Set_lang}}
{{Set_lang}}
{{#vardefine:headerIcon|spicon-utm}}
{{#vardefine:headerIcon|spicon-utm}}


{{var | display
{{var | display
| AD/LDAP-Anbindung
  | AD/LDAP-Anbindung
| AD / LDAP Authentication }}
  | AD/LDAP Authentication }}
{{var | headline
{{var | head
| Anbindung einer UTM an ein AD/LDAP
  | Anbindung einer UTM an ein AD/LDAP
| Connection of a UTM to an AD/LDAP }}
  | Connection of a UTM to an AD/LDAP }}
{{var | Authentifizierung
  | Authentifizierung
  | Authentication }}
{{var | AD/LDAP Authentifizierung
  | AD/LDAP Authentifizierung
  | AD/LDAP Authentication }}
{{var | neu--ldap
{{var | neu--ldap
| Automatische Einstellung der [[#LDAP | Verschlüsselung]] einer LDAP-Anbindung
  | Automatische Einstellung der [[#LDAP | Verschlüsselung]] einer LDAP-Anbindung
| Automatic setting of [[#LDAP | Encryption]] of an LDAP connection }}
  | Automatic setting of [[#LDAP | Encryption]] of an LDAP connection }}
{{var | neu--menu
{{var | neu--menu
| Der Eintrag hat einen eigenen Platz in der Menü-Struktur erhalten und wurde im Layout angepasst.
  | Der Eintrag hat einen eigenen Platz in der Menü-Struktur erhalten und wurde im Layout angepasst.
| The entry has its own place in the menu structure and has been adapted in the layout }}
  | The entry has its own place in the menu structure and has been adapted in the layout }}
{{var | neu--appliance-account
{{var | neu--appliance-account
| Hinweis auf ''Appliance Account''-Name im Cluster-Betrieb
  | Hinweis auf ''Appliance Account''-Name im Cluster-Betrieb
| Notification of ''Appliance Account''-name in cluster operation }}
  | Notification of ''Appliance Account''-name in cluster operation }}
{{var| Einführung
{{var | Einführung
| Einführung
  | Einführung
| Introduction }}
  | Introduction }}
{{var | ladap--desc
{{var | ladap--desc
| <p>Die AD/LDAP-Anbindung ermöglicht es, bestehende Verzeichnisdienste wie das Microsoft Active Directory® oder andere auf dem LDAProtocol basierende Systeme für die Authentifizierung, Verwaltung von Gruppen und Speichern von Attributen zu nutzen.</p>
  | <p>Die AD/LDAP-Anbindung ermöglicht es, bestehende Verzeichnisdienste wie das Microsoft Active Directory® oder andere auf dem LDAProtocol basierende Systeme für die Authentifizierung, Verwaltung von Gruppen und Speichern von Attributen zu nutzen.</p>
<p>Zentral verwaltete Benutzer aus dem Verzeichnis können so einfach für die Authentifizierung oder Nutzung von Diensten auf der UTM verwendet werden.</p>
<p>Zentral verwaltete Benutzer aus dem Verzeichnis können so einfach für die Authentifizierung oder Nutzung von Diensten auf der UTM verwendet werden.</p>
<p>Dies erleichtert die Administration komplexer Unternehmensnetzwerke und vereinheitlicht die Benutzer-Verwaltung.</p>
<p>Dies erleichtert die Administration komplexer Unternehmensnetzwerke und vereinheitlicht die Benutzer-Verwaltung.</p>
<p>Für die Anbindung an das Directory wird unter anderem das Light Directory Access Protocol (LDAP) verwendet.<br>
<p>Für die Anbindung an das Directory wird unter anderem das Light Directory Access Protocol (LDAP) verwendet.<br>
Mittels LDAP können die Informationen über Benutzer, Gruppen und weitere Objekte aus dem Directory ausgelesen werden.</p>
Mittels LDAP können die Informationen über Benutzer, Gruppen und weitere Objekte aus dem Directory ausgelesen werden.</p>
<p>{{Hinweis|!|g}}Das Protokoll selbst sieht dabei im Standard keine Verschlüsselung oder Authentifizierung der Nachrichten vor.</p>
<p>{{Hinweis-neu|!|g}}Das Protokoll selbst sieht dabei im Standard keine Verschlüsselung oder Authentifizierung der Nachrichten vor.</p>
<p>In [https://portal.msrc.microsoft.com/de-de/security-guidance/advisory/ADV190023 ADV190023] (Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing) wird
<p>In [https://portal.msrc.microsoft.com/de-de/security-guidance/advisory/ADV190023 ADV190023] (Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing) wird
auf diesen Umstand hingewiesen und eine Anpassung der Sicherheitseinstellungen bekannt gegeben.</p>
auf diesen Umstand hingewiesen und eine Anpassung der Sicherheitseinstellungen bekannt gegeben.</p>
<p>Zukünftig ist eine Signierung und Verschlüsselung des LDAP-Verkehrs erforderlich (''seal'').</p>
<p>Zukünftig ist eine Signierung und Verschlüsselung des LDAP-Verkehrs erforderlich (''seal'').</p>
<p>{{Hinweis|! Diese Umstellung wird von der UTM automatisch vorgenommen.|gr}}</p>
<p>{{Hinweis-neu|! Diese Umstellung wird von der UTM automatisch vorgenommen.|gr}}</p>
<p>Alternativ kann das die gesamte Verbindung mit SSL abgesichert werden.</p>
<p>Alternativ kann das die gesamte Verbindung mit SSL abgesichert werden.</p>
 
  | An AD or LDAP can be used for authentication on the UTM. The rights on the UTM can then be controlled via the group membership in the AD.</p><p>In general, this is the Active Directory Service, which manages the domain in a network and controls the authentication of the network users via the LDAP and Kerberos protocol. }}
 
| An AD or LDAP can be used for authentication on the UTM. The rights on the UTM can then be controlled via the group membership in the AD.</p><p>In general, this is the Active Directory Service, which manages the domain in a network and controls the authentication of the network users via the LDAP and Kerberos protocol. }}
{{var | Voraussetzung
{{var | Voraussetzung
| Voraussetzung
  | Voraussetzung
| Requirement}}
  | Requirement}}
{{ var | Voraussetzung--desc
{{var | Voraussetzung--desc
| Um ein AD / LDAP zur Authentisierung nutzen zu können, müssen dort Benutzer angelegt und in Gruppen organisiert sein.
  | Um ein AD / LDAP zur Authentisierung nutzen zu können, müssen dort Benutzer angelegt und in Gruppen organisiert sein.
| To use an AD / LDAP for authentication, users must be created there and organized in groups.}}
  | To use an AD / LDAP for authentication, users must be created there and organized in groups. }}
{{var | vorbereitung-ad
{{var | vorbereitung-ad
| Vorbereitung im Active Directory anzeigen
  | Vorbereitung im Active Directory anzeigen
| Show preparation in Active Directory }}
  | Show preparation in Active Directory }}
{{var | add-usergroup
{{var | add-usergroup
| Benutzergruppen im AD anlegen
  | Benutzergruppen im AD anlegen
| Create user groups in AD}}
  | Create user groups in AD }}
{{var | security-groups--ad
{{var | security-groups--ad
| Sicherheitsgruppe hinzufügen
  | Sicherheitsgruppe hinzufügen
| Add a security group }}
  | Add a security group }}
{{var | security-groups--added
{{var | security-groups--added
| Sicherheitsgruppe hinzugefügt
  | Sicherheitsgruppe hinzugefügt
| Security group added }}
  | Security group added }}
{{var | user-groups--added--text
{{var | user-groups--added--text
| In diesem Beispiel sollen die Benutzer für [[UTM/VPN/ClientlessVPN | Clientless VPN]] über den Active Directory Service Authentifiziert werden.</p><p>Es muss also zunächst eine Gruppe vom Typ ''Sicherheitsgruppe'' auf dem AD hinzugefügt werden, die hier den Namen ''ClientlessVPN'' bekommt.
  | <p>In diesem Beispiel sollen die Benutzer für [[UTM/VPN/ClientlessVPN | Clientless VPN]] über den Active Directory Service Authentifiziert werden.</p><p>Es muss also zunächst eine Gruppe vom Typ ''Sicherheitsgruppe'' auf dem AD hinzugefügt werden, die hier den Namen ''ClientlessVPN'' bekommt.</p>
| In this example, the users for [[UTM/VPN/ClientlessVPN | Clientless VPN]] are to be authenticated via the Active Directory Service.</p><p> So first of all a group of the type ''Security Group'' must be added on the AD, which is given the name ''ClientlessVPN'' here. }}
  | <p>In this example, the users for [[UTM/VPN/ClientlessVPN | Clientless VPN]] are to be authenticated via the Active Directory Service.</p><p> So first of all a group of the type ''Security Group'' must be added on the AD, which is given the name ''ClientlessVPN'' here.</p> }}
 
{{var | Benutzer hinzufügen
{{var | Benutzer hinzufügen
| Benutzer im AD hinzufügen
  | Benutzer im AD hinzufügen
| Add user in AD}}
  | Add user in AD}}
{{var | Benutzer-ist-mitglied
{{var | Benutzer-ist-mitglied
| Benutzer ist Mitglied der Gruppe
  | Benutzer ist Mitglied der Gruppe
| User is a member of the group }}
  | User is a member of the group }}
{{var | Benutzer hinzufügen--desc
{{var | Benutzer hinzufügen--desc
| Anschließend werden die Benutzer, die für Clientless VPN freigeschaltet werden sollen, zu dieser Gruppe hinzugefügt.  
  | Anschließend werden die Benutzer, die für Clientless VPN freigeschaltet werden sollen, zu dieser Gruppe hinzugefügt.  
| The users to be enabled for Clientless VPN are then added to this group.  }}
  | The users to be enabled for Clientless VPN are then added to this group.  }}
{{var | utm-in-domäne
{{var | utm-in-domäne
| UTM in die Domäne einbinden
  | UTM in die Domäne einbinden
| Integrate UTM into the domain }}
  | Integrate UTM into the domain }}
{{var | utm-in-domäne--uhrzeit
{{var | utm-in-domäne--uhrzeit
| Es muss darauf geachtet werden, dass die [[UTM/NET/Servereinstellungen#Zeiteinstellungen | Uhrzeit der UTM]] mit dem des AD einigermaßen synchron läuft, da ein Kerberos Ticket nur eine begrenzte Gültigkeitsdauer hat.
  | Es muss darauf geachtet werden, dass die [[UTM/NET/Servereinstellungen#Zeiteinstellungen | Uhrzeit der UTM]] mit dem des AD einigermaßen synchron läuft, da ein Kerberos Ticket nur eine begrenzte Gültigkeitsdauer hat.
| It is important to make sure that the [[UTM/NET/Servereinstellungen#Zeiteinstellungen  | UTM Time]] is reasonably synchronized with the AD, since a Kerberos ticket has a limited validity period. }}
  | It is important to make sure that the [[UTM/NET/Servereinstellungen#Zeiteinstellungen  | UTM Time]] is reasonably synchronized with the AD, since a Kerberos ticket has a limited validity period. }}
{{var | utm-in-domäne--authentifizierung
{{var | utm-in-domäne--authentifizierung
| Im Menü {{Menu | Authentifizierung |AD/LDAP Authentifizierung}} wird die Authentifizierung konfiguriert.
  | Im Menü {{Menu | Authentifizierung |AD/LDAP Authentifizierung}} wird die Authentifizierung konfiguriert.
| In the menu {{Menu | Authentication |AD/LDAP Authentication}} the authentication is configured. }}
  | In the menu {{Menu | Authentication |AD/LDAP Authentication}} the authentication is configured. }}
{{var | ad-verbindung
{{var | ad-verbindung
| AD Verbindung herstellen
  | AD Verbindung herstellen
| Establishing an AD connection }}
  | Establishing an AD connection }}
{{var | ad-verbindung--text
{{var | ad-verbindung--text
| Besteht noch keine AD/LDAP-Authentifizierung öffnet sich automatisch der AD/LDAP Authentifizierungs Assistent
  | Besteht noch keine AD/LDAP-Authentifizierung öffnet sich automatisch der AD/LDAP Authentifizierungs Assistent
| If there is no AD/LDAP authentication yet, the AD/LDAP authentication wizard opens automatically }}
  | If there is no AD/LDAP authentication yet, the AD/LDAP authentication wizard opens automatically }}
{{var | ad-verbindung--assistent
{{var | ad-verbindung--assistent
| Andernfalls kann der Assistent mit der Schaltfläche {{Button| Assistent }} gestartet werden.
  | Andernfalls kann der Assistent mit der Schaltfläche {{Button| Assistent }} gestartet werden.
| Otherwise the wizard can be started with the button {{Button| Wizard }} }}
  | Otherwise the wizard can be started with the button {{Button| Wizard }} }}
{{var | Schritt
{{var | Schritt
| Schritt
  | Schritt
| Step }}
  | Step }}
{{var | Verzeichnistyp
{{var | Verzeichnistyp
| Verzeichnistyp
  | Verzeichnistyp
| Directory type }}
  | Directory type }}
{{var | ad-hinweis
{{var | 1=ad-hinweis
| Es sollte auf alle Fälle der Verzeichnistyp <i>»AD«</i> gewählt werden, wenn es sich um eine Active Directory Umgebung handelt.  
  | 2=Es sollte auf alle Fälle der Verzeichnistyp <i>»AD«</i> gewählt werden, wenn es sich um eine Active Directory Umgebung handelt.  
| In any case, the directory type <i>»AD«</i> should be selected if it is an Active Directory environment. }}
  | 3=In any case, the directory type <i>»AD«</i> should be selected if it is an Active Directory environment. }}
{{var | ad-hinweis--erklärung
{{var | ad-hinweis--erklärung
| Zwar läuft auch hier ein LDAP, die Gruppenzugehörigkeit wird aber in der AD Umgebung anders behandelt als bei einem reinen LDAP-Server.
  | Zwar läuft auch hier ein LDAP, die Gruppenzugehörigkeit wird aber in der AD Umgebung anders behandelt als bei einem reinen LDAP-Server.
| Even there is also running an LDAP, the group membership is treated differently in the AD environment than in a pure LDAP server. }}
  | Even there is also running an LDAP, the group membership is treated differently in the AD environment than in a pure LDAP server. }}
{{var | schritt-1--bild
{{var | schritt-1--bild
| UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt1.png
  | UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt1.png
| UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt1-en.png }}
  | UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt1-en.png }}
{{var | Weiter
{{var | Weiter
| Weiter
  | Weiter
| Next }}
  | Next }}
{{var | Einstellungen
{{var | Einstellungen
| Einstellungen
  | Einstellungen
| Options }}
  | Options }}
{{var | ip
{{var | ip
| IP oder Hostname:
  | IP oder Hostname:
| IP Address or Hostname: }}
  | IP Address or Hostname: }}
{{var | beispiel-adrresse
{{var | beispiel-adrresse
| (Beispiel-Adresse!)
  | (Beispiel-Adresse!)
| (Example address!) }}
  | (Example address!) }}
{{var | schritt-2--bild
{{var | schritt-2--bild
| UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt2.png
  | UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt2.png
| UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt2-en.png }}
  | UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt2-en.png }}
{{var | Arbeitsgruppe
{{var | Arbeitsgruppe
| Arbeitsgruppe:
  | Arbeitsgruppe:
| Workgroup: }}
  | Workgroup: }}
{{var | netbios-name
{{var | netbios-name
| Der NETBIOS-Name des AD<br>Sollte dieser von der ''Base Domain'' abweichen, muss hier der korrekte NETBIOS-Name eingetragen werden.
  | Der NETBIOS-Name des AD<br>Sollte dieser von der ''Base Domain'' abweichen, muss hier der korrekte NETBIOS-Name eingetragen werden.
| The NETBIOS name of the AD<br>If this should differ from the ''base domain'', the correct NETBIOS name must be entered here. }}
  | The NETBIOS name of the AD<br>If this should differ from the ''base domain'', the correct NETBIOS name must be entered here. }}
{{var | appliance-account--text
{{var | appliance-account--text
| Der Name, unter dem die UTM im AD in der Gruppe ''Computers'' eingetragen wird.<br>Ein eindeutiger Name, der nicht doppelt vergeben werden darf!  
  | Der Name, unter dem die UTM im AD in der Gruppe ''Computers'' eingetragen wird.<br>Ein eindeutiger Name, der nicht doppelt vergeben werden darf!  
| The name by which the UTM is entered in the AD in the group ''Computers''.<br>A unique name that must not be assigned twice! }}
  | The name by which the UTM is entered in the AD in the group ''Computers''.<br>A unique name that must not be assigned twice! }}
{{var | appliance-account--text--cluster-hinweis
{{var | appliance-account--text--cluster-hinweis
| Bei Betrieb der UTM im Cluster muss der Name im Master und Spare unterschiedlich sein. Der Name wird nicht synchronisiert!
  | Bei Betrieb der UTM im Cluster muss der Name im Master und Spare unterschiedlich sein. Der Name wird nicht synchronisiert!
| When operating the UTM in a cluster, the name in the master and spare must be different. The name is not synchronized! }}
  | When operating the UTM in a cluster, the name in the master and spare must be different. The name is not synchronized! }}
{{var | schritt-3--text
{{var | schritt-3--text
| Ist der AD-Server noch nicht als Name-Server eingetragen, wird das in diesem Schritt vorgenommen:
  | Ist der AD-Server noch nicht als Name-Server eingetragen, wird das in diesem Schritt vorgenommen:
| If the AD server is not yet entered as the name server, this is done in this step: }}
  | If the AD server is not yet entered as the name server, this is done in this step: }}
{{var | add-server
{{var | add-server
| Server hinzufügen
  | Server hinzufügen
| Add Server }}
  | Add Server }}
{{var | ip-adresse
{{var | ip-adresse
| IP-Adresse
  | IP-Adresse
| IP Address: }}
  | IP Address: }}
{{var | Beispieladresse
{{var | Beispieladresse
| Beispieladresse!
  | Beispieladresse!
| Sample address! }}
  | Sample address! }}
{{var | ip-adresse--text
{{var | ip-adresse--text
| IP-Adresse eines AD-Servers der Domäne, ggf. zusätzlich der Port
  | IP-Adresse eines AD-Servers der Domäne, ggf. zusätzlich der Port
| IP address of an AD server of the domain, if necessary additionally the port }}
  | IP address of an AD server of the domain, if necessary additionally the port }}
{{var | schritt-3--bild
{{var | schritt-3--bild
| UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt3.png
  | UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt3.png
| UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt3-en.png }}
  | UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt3-en.png }}
{{var | Speichern
{{var | Speichern
| Speichern
  | Speichern
| Save }}
  | Save }}
{{var | ad-server
{{var | ad-server
| Der AD-Server wird damit als Relay-Zone im Nameserver der UTM hinzugefügt.</p><p>Der Eintrag ist im Menü {{Menu|Anwendungen|Nameserver }} im Reiter {{Reiter|Zonen}} zu finden.
  | Der AD-Server wird damit als Relay-Zone im Nameserver der UTM hinzugefügt.</p><p>Der Eintrag ist im Menü {{Menu|Anwendungen|Nameserver }} im Reiter {{Reiter|Zonen}} zu finden.
| The AD server is thus added as a relay zone in the name server of the UTM.</p><p>The entry can be found in the menu {{Menu|Applications|Nameserver }} in the tab {{Reiter|Zones}}. }}
  | The AD server is thus added as a relay zone in the name server of the UTM.</p><p>The entry can be found in the menu {{Menu|Applications|Nameserver }} in the tab {{Reiter|Zones}}. }}
{{var | Beitreten
{{var | Beitreten
| Beitreten
  | Beitreten
| Join }}
  | Join }}
{{var | Administratorname
{{var | Administratorname
| Administratorname:
  | Administratorname:
| Administratorname: }}
  | Administratorname: }}
{{var | Administratorname--hinweis
{{var | Administratorname--hinweis
| Um der Domäne beizutreten ist ein Benutzer-Konto mit Domain-Administrator-Rechten erforderlich.
  | Um der Domäne beizutreten ist ein Benutzer-Konto mit Domain-Administrator-Rechten erforderlich.
| To join the domain, a user account with domain administrator permissions is required. }}
  | To join the domain, a user account with domain administrator permissions is required. }}
{{var | schritt-4--bild
{{var | schritt-4--bild
| UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt4.png
  | UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt4.png
| UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt4-en.png }}
  | UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt4-en.png }}
{{var | Passwort
{{var | Passwort
| Passwort:
  | Passwort:
| Password: }}
  | Password: }}
{{var | hinweis--cluster
{{var | hinweis--cluster
| Hinweis bei Clusterbetrieb
  | Hinweis bei Clusterbetrieb
| Note for cluster operation }}
  | Note for cluster operation }}
{{var | ausblenden
{{var | ausblenden
| ausblenden
  | ausblenden
| hide }}
  | hide }}
{{var | hinweis--cluster--text
{{var | hinweis--cluster--text
| Bei Betrieb der UTM im Cluster muss das Passwort auf der Spare-UTM unter {{Menu| Authentifizierung | AD/LDAP Authentifizierung | Beitreten }} separat eingegeben werden. </p><small>Bis auf den {{b| Appliance Account: }} (siehe Schritt 2) werden alle anderen Angaben im Cluster synchronisiert.</small> <br>Abschluss mit {{Button| Beitreten}}
  | Bei Betrieb der UTM im Cluster muss das Passwort auf der Spare-UTM unter {{Menu|Authentifizierung|AD/LDAP Authentifizierung|Beitreten}} separat eingegeben werden. </p><small>Bis auf den {{b|Appliance Account:}} (siehe Schritt 2) werden alle anderen Angaben im Cluster synchronisiert.</small> <br>Abschluss mit {{Button| Beitreten}}
| When operating the UTM in a cluster, the password on the spare UTM must be entered separately under {{Menu| Authentication | AD/LDAP Authentication | Join }}. </p><small>Except of the {{b| Appliance Account: }} (see step 2), all other information in the cluster will be synchronized.</small> <br>Complete with {{Button| Join}} }}
  | When operating the UTM in a cluster, the password on the spare UTM must be entered separately under {{Menu|Authentication|AD/LDAP Authentication|Join }}. </p><small>Except of the {{b|Appliance Account:}} (see step 2), all other information in the cluster will be synchronized.</small> <br>Complete with {{Button|Join}} }}
{{var | fertig
{{var | fertig
| Fertig
  | Fertig
| Finish }}
  | Finish }}
{{var | ergebnis-ad
{{var | ergebnis-ad
| Ergebnis AD-Anbindung
  | Ergebnis AD-Anbindung
| Result of AD connection }}
  | Result of AD connection }}
{{var | ergebnis-ad--text
{{var | ergebnis-ad--text
| Ergebnis im Abschnitt {{ Kasten | Status}} :
  | Ergebnis im Abschnitt {{ Kasten | Status}} :
| Result in section {{ Kasten | Status}} : }}
  | Result in section {{ Kasten | Status}} : }}
{{var | aktiviert
{{var | aktiviert
| Aktiviert
  | Aktiviert
|  Enabled:  }}
  |  Enabled:  }}
{{var | ad-aktiviert--text
{{var | ad-aktiviert--text
| Die AD/LDAP Authentifizierung ist aktiviert.
  | Die AD/LDAP Authentifizierung ist aktiviert.
| AD/LDAP authentication is enabled. }}
  | AD/LDAP authentication is enabled. }}
{{var | ergebnis--bild
{{var | ergebnis--bild
| UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung.png
  | UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung.png
| UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung-en.png }}
  | UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung-en.png }}
{{var | Verbindungsstatus
{{var | Verbindungsstatus
| Verbindungsstatus:
  | Verbindungsstatus:
|  Connection Status:  }}
  |  Connection Status:  }}
{{var | Verbindungsstatus--text
{{var | Verbindungsstatus--text
| Zur Bestätigung wechselt die Anzeige von grau auf grün.<br/>Aktualisieren mit {{Button| |refresh}}
  | Zur Bestätigung wechselt die Anzeige von grau auf grün.<br/>Aktualisieren mit {{Button| |refresh}}
| For confirmation the display changes from grey to green.<br/>Update with {{Button| |refresh}} }}
  | For confirmation the display changes from grey to green.<br/>Update with {{Button| |refresh}} }}
{{var | Erweiterte-Einstellungen
{{var | Erweiterte-Einstellungen
| Erweiterte Einstellungen
  | Erweiterte Einstellungen
| Extended settings }}
  | Extended settings }}
{{var | Erweitert
{{var | Erweitert
| Erweitert
  | Erweitert
| Extended }}
  | Extended }}
{{var | ssl--text
{{var | ssl--text
| Die Verbindung zum Active Directory Server kann SSL-Verschlüsselt hergestellt werden.
  | Die Verbindung zum Active Directory Server kann SSL-Verschlüsselt hergestellt werden.
| The connection to the Active Directory server can be established using SSL encryption. }}
  | The connection to the Active Directory server can be established using SSL encryption. }}
{{var | erweitert--bild
{{var | erweitert--bild
| UTM_v11.8.8_Authentifizierung_AD-LDAP-Authentifizierung_Erweitert1.png
  | UTM_v11.8.8_Authentifizierung_AD-LDAP-Authentifizierung_Erweitert1.png
| UTM_v11.8.8_Authentifizierung_AD-LDAP-Authentifizierung_Erweitert1-en.png }}
  | UTM_v11.8.8_Authentifizierung_AD-LDAP-Authentifizierung_Erweitert1-en.png }}
{{var | ldap--hinweis
{{var | ldap--hinweis
| Hinweis zur LDAP-Verschlüsselung
  | Hinweis zur LDAP-Verschlüsselung
| Note on LDAP Encryption }}
  | Note on LDAP Encryption }}
{{var | ldap--hinweis--text
{{var | ldap--hinweis--text
| Aufgrund eines Microsoft-Updates (ursprünglich geplant für März 2020) wird eine unverschlüsselte Anbindung an ein AD mit Default-Einstellungen zukünftig nicht mehr möglich sein.
  | Aufgrund eines Microsoft-Updates (ursprünglich geplant für März 2020) wird eine unverschlüsselte Anbindung an ein AD mit Default-Einstellungen zukünftig nicht mehr möglich sein.
| Due to a Microsoft update (originally planned for March 2020), an unencrypted connection to an AD with default settings will no longer be possible in future. }}
  | Due to a Microsoft update (originally planned for March 2020), an unencrypted connection to an AD with default settings will no longer be possible in future. }}
{{var | ab
{{var | ab
| ab
  | ab
| since }}
  | since }}
{{var | ldap-verschlüsselung--automatisch
{{var | ldap-verschlüsselung--automatisch
| Die Einstellung wird von der Securepoint Appliance automatisch vorgenommen.
  | Die Einstellung wird von der Securepoint Appliance automatisch vorgenommen.
| The setting is made automatically by the Securepoint appliance. }}
  | The setting is made automatically by the Securepoint appliance. }}
{{var | ldap-verschlüsselung--automatisch--hinweis
{{var | ldap-verschlüsselung--automatisch--hinweis
| Die Option <i>LDAP-Verschlüsselung</i> entfällt ab Version 11.8.8
  | Die Option <i>LDAP-Verschlüsselung</i> entfällt ab Version 11.8.8
| The option ''LDAP Encryption'' has been removed from version 11.8.8 }}
  | The option ''LDAP Encryption'' has been removed from version 11.8.8 }}
{{var | ldap-verschlüsselung--automatisch--separat
{{var | ldap-verschlüsselung--automatisch--separat
| bestehende und neue Verbindungen werden separat verschlüsselt und signiert (''seal'')
  | bestehende und neue Verbindungen werden separat verschlüsselt und signiert (''seal'')
| existing and new connections are encrypted and signed separately }}
  | existing and new connections are encrypted and signed separately }}
{{var | ldap-verschlüsselung--automatisch--ssl
{{var | ldap-verschlüsselung--automatisch--ssl
| bei Aktivierung von SSL wird keine zusätzliche Verschlüsselung angewendet.
  | bei Aktivierung von SSL wird keine zusätzliche Verschlüsselung angewendet.
| if SSL is activated, no additional encryption is applied }}
  | if SSL is activated, no additional encryption is applied }}
{{var | Root-Zertifikat
{{var | Root-Zertifikat
| Root-Zertifikat
  | Root-Zertifikat
|  Root Certificate }}
  |  Root Certificate }}
{{var | Zertifikat
{{var | Zertifikat
| Zertifikat
  | Zertifikat
| Certificate }}
  | Certificate }}
{{var | Zertifikat--text
{{var | Zertifikat--text
| Es kann ein Root-Zertifikat hinterlegt werden.  
  | Es kann ein Root-Zertifikat hinterlegt werden.  
| A root certificate can be deposited. }}
  | A root certificate can be deposited. }}
{{var | LDAP-Filter--desc
{{var | LDAP-Filter--desc
| Schränkt die Authentisierung auf Mitglieder der folgenden Gruppen ein: {{info|Weitere Filter sind möglich}}
  | Schränkt die Authentisierung auf Mitglieder der folgenden Gruppen ein: {{info|Weitere Filter sind möglich}}
* 268435456 (→ Gruppen, SAM_ALIAS_OBJECT 0x20000000)
* 268435456 (→ Gruppen, SAM_ALIAS_OBJECT 0x20000000)
* 268435457 (→ Nicht Sicherheits-Gruppen, SAM_NON_SECURITY_ALIAS_OBJECT 0x20000001)
* 268435457 (→ Nicht Sicherheits-Gruppen, SAM_NON_SECURITY_ALIAS_OBJECT 0x20000001)
* 805306368 (→ Benutzer Konten, SAM_USER_OBJECT 0x30000000)
* 805306368 (→ Benutzer Konten, SAM_USER_OBJECT 0x30000000)
| Restricts authentication to members of the following groups: {{info|Further filters are possible}}
  | Restricts authentication to members of the following groups: {{info|Further filters are possible}}
* 268435456 (→ Groups, SAM_ALIAS_OBJECT 0x20000000)
* 268435456 (→ Groups, SAM_ALIAS_OBJECT 0x20000000)
* 268435457 (→ Non Security Groups, SAM_NON_SECURITY_ALIAS_OBJECT 0x20000001)
* 268435457 (→ Non Security Groups, SAM_NON_SECURITY_ALIAS_OBJECT 0x20000001)
* 805306368 (→ User Accounts, SAM_USER_OBJECT 0x30000000) }}
* 805306368 (→ User Accounts, SAM_USER_OBJECT 0x30000000) }}
{{var | User-Attribute
{{var | User-Attribute
| User-Attribute
  | User-Attribute
| User-Attribute:  }}
  | User-Attribute:  }}
{{var | User-Attribute--text
{{var | User-Attribute--text
| Es können Attribute definiert werden, unter denen die AD Verwaltung die Informationen zum Benutzer speichert und die dann von der UTM abgefragt werden können:
  | Es können Attribute definiert werden, unter denen die AD Verwaltung die Informationen zum Benutzer speichert und die dann von der UTM abgefragt werden können:
| Attributes can be defined under which the AD administration stores the user information and which can then be queried by the UTM: }}
  | Attributes can be defined under which the AD administration stores the user information and which can then be queried by the UTM: }}
{{var | Mail-Attribute
{{var | Mail-Attribute
| Mail-Attribute
  | Mail-Attribute
| Mail-Attribute }}
  | Mail-Attribute }}
{{var | Mail-Attribute--text
{{var | Mail-Attribute--text
| Die Attribute von OTP bis SSL-VPN, die hier eingetragen sind, existieren in der Regel nicht im AD.<br>Um zum Beispiel den OTP-Geheimcode auf dem AD zu hinterlegen, kann ein ungenutztes Attribut des AD Schema verwendet werden, der diesen Geheimcode des Benutzers enthält.<br>Eine entsprechende Anleitung befindet sich im Artikel [[UTM/AUTH/OTP-AD | Einbinden der OTP Funktion in das Active Directory]].
  | Die Attribute von OTP bis SSL-VPN, die hier eingetragen sind, existieren in der Regel nicht im AD.<br>Um zum Beispiel den OTP-Geheimcode auf dem AD zu hinterlegen, kann ein ungenutztes Attribut des AD Schema verwendet werden, der diesen Geheimcode des Benutzers enthält.<br>Eine entsprechende Anleitung befindet sich im Artikel [[UTM/AUTH/OTP-AD | Einbinden der OTP Funktion in das Active Directory]].
| The attributes from OTP to SSL VPN, which are entered here, usually do not exist in the AD.<br>For example, to store the OTP secret code on the AD, an unused attribute of the AD schema can be used, which contains this secret code of the user.<br>A corresponding instruction can be found in the article [[UTM/AUTH/OTP-AD | Integrating the OTP function into the Active Directory]]. }}
  | The attributes from OTP to SSL VPN, which are entered here, usually do not exist in the AD.<br>For example, to store the OTP secret code on the AD, an unused attribute of the AD schema can be used, which contains this secret code of the user.<br>A corresponding instruction can be found in the article [[UTM/AUTH/OTP-AD | Integrating the OTP function into the Active Directory]]. }}
{{var | page-size--desc
{{var | page-size--desc
| In größeren Umgebungen kann es vorkommen, dass bei LDAP-Anfragen die serverseitig festgelegte, maximale Anzahl von Datensätzen (im AD sind es 1000) überschritten wird. Mit Page Size kann eingestellt werden das die LDAP-Abfrage stückweise ausgeführt wird. Eine Page Size von 500 bedeutet 500 Datensätze pro Abfrage. Die Page Size von 0 deaktiviert eine schrittweise LDAP-Abfrage.
  | In größeren Umgebungen kann es vorkommen, dass bei LDAP-Anfragen die serverseitig festgelegte, maximale Anzahl von Datensätzen (im AD sind es 1000) überschritten wird. Mit Page Size kann eingestellt werden das die LDAP-Abfrage stückweise ausgeführt wird. Eine Page Size von 500 bedeutet 500 Datensätze pro Abfrage. Die Page Size von 0 deaktiviert eine schrittweise LDAP-Abfrage.
| In larger environments, LDAP requests may exceed the maximum number of records defined on the server side (1000 in AD). With Page Size you can set that the LDAP query is executed piecewise. A page size of 500 means 500 data records per query. A page size of 0 deactivates a step-by-step LDAP query. }}
  | In larger environments, LDAP requests may exceed the maximum number of records defined on the server side (1000 in AD). With Page Size you can set that the LDAP query is executed piecewise. A page size of 500 means 500 data records per query. A page size of 0 deactivates a step-by-step LDAP query. }}
{{var | ad-benutzergruppen-berechtigungen
{{var | ad-benutzergruppen-berechtigungen
| AD Benutzergruppen Berechtigungen erteilen
  | AD Benutzergruppen Berechtigungen erteilen
| AD Grant permissions to user groups }}
  | AD Grant permissions to user groups }}
{{var | ad-benutzergruppen-berechtigungen--bild
{{var | ad-benutzergruppen-berechtigungen--bild
| UTM_11-8_Authentifizierung_Benutzer_Gruppe-CLientlessvpn.png
  | UTM_11-8_Authentifizierung_Benutzer_Gruppe-CLientlessvpn.png
| UTM_11-8_Authentifizierung_Benutzer_Gruppe-CLientlessvpn-en.png }}
  | UTM_11-8_Authentifizierung_Benutzer_Gruppe-CLientlessvpn-en.png }}
{{var | ad-benutzergruppen-berechtigungen--bild--cap
{{var | ad-benutzergruppen-berechtigungen--bild--cap
| Gruppen Berechtigungen
  | Gruppen Berechtigungen
| Group permissions }}
  | Group permissions }}
{{var | ad-benutzergruppen-berechtigungen--desc
{{var | ad-benutzergruppen-berechtigungen--desc
| Um den Benutzern aus dem Active Directory die Berechtigungen für den Zugriff auf das User-Interface der UTM und der Nutzung des Clientless VPN zu erteilen, wird im Menü {{ Menu | Authentifizierung | Benutzer | Gruppen | Gruppe hinzufügen |+}} eine Gruppe mit eben diesen Berechtigungen angelegt.
  | Um den Benutzern aus dem Active Directory die Berechtigungen für den Zugriff auf das User-Interface der UTM und der Nutzung des Clientless VPN zu erteilen, wird im Menü {{Menu|Authentifizierung|Benutzer|Gruppen|Gruppe hinzufügen|+}} eine Gruppe mit eben diesen Berechtigungen angelegt.
| To grant users from the Active Directory the permissions for accessing the UTM user interface and using the Clientless VPN, a group with exactly these permissions is created in the {{ Menu | Authentication | User | Groups | Add Group |+}} menu. }}
  | To grant users from the Active Directory the permissions for accessing the UTM user interface and using the Clientless VPN, a group with exactly these permissions is created in the {{Menu|Authentication|User|Groups|Add Group|+}} menu. }}
{{var | Aktiv
{{var | Aktiv
| Aktiv
  | Aktiv
| Active }}
  | Active }}
{{var | Berechtigung
{{var | Berechtigung
| Berechtigung
  | Berechtigung
| Permissions }}
  | Permissions }}
{{var | Hinweis
{{var | Hinweis
| Hinweis
  | Hinweis
| Note }}
  | Note }}
{{var | benutzergruppe-auswählen
{{var | benutzergruppe-auswählen
| UTM_11-8_Authentifizierung_Gruppe-hinzufügen_Verzeichnisdienst.png
  | UTM_11-8_Authentifizierung_Gruppe-hinzufügen_Verzeichnisdienst.png
| UTM_11-8_Authentifizierung_Gruppe-hinzufügen_Verzeichnisdienst-en.png }}
  | UTM_11-8_Authentifizierung_Gruppe-hinzufügen_Verzeichnisdienst-en.png }}
{{var | benutzergruppe-auswählen--cap
{{var | benutzergruppe-auswählen--cap
| Benutzergruppe aus AD auswählen
  | Benutzergruppe aus AD auswählen
| Select user group from AD }}
  | Select user group from AD }}
{{var | benutzergruppe-auswählen--text
{{var | benutzergruppe-auswählen--text
| Im Reiter {{ Reiter | Verzeichnis Dienst}} kann jetzt die entsprechende Gruppe aus dem Active Directory ausgewählt und zugeordnet werden.<p>Weitere Informationen über Clientless VPN Berechtigungen befindet sich in dem Wiki zu [[UTM/VPN/ClientlessVPN#Zuweisen_der_Gruppe | Clientless VPN]].</p>
  | Im Reiter {{ Reiter | Verzeichnis Dienst}} kann jetzt die entsprechende Gruppe aus dem Active Directory ausgewählt und zugeordnet werden.<p>Weitere Informationen über Clientless VPN Berechtigungen befindet sich in dem Wiki zu [[UTM/VPN/ClientlessVPN#Zuweisen_der_Gruppe | Clientless VPN]].</p>
| In the tab {{Reiter| Directory Service}} the corresponding group from the Active Directory can now be selected and assigned.<p> Further information about Clientless VPN permissions can be found in the wiki for [[UTM/VPN/ClientlessVPN#Assign_to_the_group | Clientless VPN]].</p> }}
  | In the tab {{Reiter| Directory Service}} the corresponding group from the Active Directory can now be selected and assigned.<p> Further information about Clientless VPN permissions can be found in the wiki for [[UTM/VPN/ClientlessVPN#Assign_to_the_group | Clientless VPN]].</p> }}
{{var | Ergebnis
{{var | Ergebnis
| Ergebnis
  | Ergebnis
| Result }}
  | Result }}
{{var | Ergebnis--text
{{var | Ergebnis--text
| Nach dem Speichern kann sich jeder Benutzer, der Mitglied in der AD Gruppe ''ClientlessVPN'' ist, mit seinen Windows Domänen Zugangsdaten für die Nutzung des Clientless VPN auf der UTM anmleden.
  | Nach dem Speichern kann sich jeder Benutzer, der Mitglied in der AD Gruppe ''ClientlessVPN'' ist, mit seinen Windows Domänen Zugangsdaten für die Nutzung des Clientless VPN auf der UTM anmleden.
| After saving, every user who is a member of the AD group ''ClientlessVPN'' can log on to the UTM with their Windows domains access data for using the Clientless VPN. }}
  | After saving, every user who is a member of the AD group ''ClientlessVPN'' can log on to the UTM with their Windows domains access data for using the Clientless VPN. }}
{{var | ad-test-cli
{{var | ad-test-cli
| Überprüfen der AD Anbindung mit CLI
  | Überprüfen der AD Anbindung mit CLI
|  }}
  |  }}
{{var | ad-test-cli--text
{{var | ad-test-cli--text
| Über CLI (Command Line Interface) Kommandos lässt sich verschiedenes über die Active Directory Anbindung und Benutzer überprüfen.{{ Hinweis | Hinweis:}} Erfolgt die Eingabe (Bildschirm und Tastatur) direkt an der UTM  lautet der Eingabe-Prompt der Firewall z. B.: ''firewall.foo.local>'' bzw. entprechend der lokalen Konfiguration. Bei Aufruf über das User-Interface mit dem Menü {{ Menu | Extras | CLI }} lautet der Prompt ''CLI>''Dahinter befindet sich das CLI Kommando.<br>Bei den Zeilen darunter handelt es sich um die Ausgabe der UTM zu diesem Befehl.
  | Über CLI (Command Line Interface) Kommandos lässt sich verschiedenes über die Active Directory Anbindung und Benutzer überprüfen.{{Hinweis-neu|Hinweis:}} Erfolgt die Eingabe (Bildschirm und Tastatur) direkt an der UTM  lautet der Eingabe-Prompt der Firewall z. B.: ''firewall.foo.local>'' bzw. entprechend der lokalen Konfiguration. Bei Aufruf über das User-Interface mit dem Menü {{Menu|Extras|CLI}} lautet der Prompt ''CLI>''Dahinter befindet sich das CLI Kommando.<br>Bei den Zeilen darunter handelt es sich um die Ausgabe der UTM zu diesem Befehl.
| Validating the AD connection with CLI }}
  | Validating the AD connection with CLI }}
{{var | ad-beitreten
{{var | ad-beitreten
| Beitreten und Verlassen der Domäne
  | Beitreten und Verlassen der Domäne
| Joining and leaving the domain }}
  | Joining and leaving the domain }}
{{var | ad-beitreten--text
{{var | ad-beitreten--text
| Um zu überprüfen ob die UTM schon der Domäne beigetreten ist:
  | Um zu überprüfen ob die UTM schon der Domäne beigetreten ist:
| To validate whether the UTM has already joined the domain: }}
  | To validate whether the UTM has already joined the domain: }}
{{var | ad-beitreten--text--alternativ
{{var | ad-beitreten--text--alternativ
| Sollte das nicht der Fall sein, erfolgt die Ausgabe
  | Sollte das nicht der Fall sein, erfolgt die Ausgabe
| If this is not the case, the following output will take place }}
  | If this is not the case, the following output will take place }}
{{var | ad-beitreten--alternativ--comand
{{var | ad-beitreten--alternativ--comand
| In diesem Fall kann der Domäne mit dem folgenden Kommando beigetreten werden
  | In diesem Fall kann der Domäne mit dem folgenden Kommando beigetreten werden
| In this case the domain can be joined with the following command }}
  | In this case the domain can be joined with the following command }}
{{var | ad-beitreten--command-verlassen
{{var | ad-beitreten--command-verlassen
| Das Kommando um die Domäne zu verlassen lautet
  | Das Kommando um die Domäne zu verlassen lautet
| The command to leave the domain is }}
  | The command to leave the domain is }}
{{var | ad-beitreten--passwort
{{var | ad-beitreten--passwort
| Beim Beitreten bzw. Verlassen des Active Directories ist die Angabe des Administratorpasswortes notwendig. Das Passwort wird nicht gespeichert, die AD-Zugehörigkeit ist trotzdem Reboot fest.
  | Beim Beitreten bzw. Verlassen des Active Directories ist die Angabe des Administratorpasswortes notwendig. Das Passwort wird nicht gespeichert, die AD-Zugehörigkeit ist trotzdem Reboot fest.
| When entering or leaving the Active Directory, the administrator password must be entered. The password is not stored, but the AD membership is nevertheless rebootable. }}
  | When entering or leaving the Active Directory, the administrator password must be entered. The password is not stored, but the AD membership is nevertheless rebootable. }}
{{var | ad-zeigen
{{var | ad-zeigen
| AD Gruppen anzeigen
  | AD Gruppen anzeigen
| Display AD groups }}
  | Display AD groups }}
{{var | ad-zeigen--text
{{var | ad-zeigen--text
| Mit dem folgenden Kommando können die Gruppen im Active Directory aufgelistet werden:
  | Mit dem folgenden Kommando können die Gruppen im Active Directory aufgelistet werden:
| With the following command the groups can be listed in the Active Directory: }}
  | With the following command the groups can be listed in the Active Directory: }}
{{var | ad-zugehörigkeit
{{var | ad-zugehörigkeit
| Überprüfen der Benutzer und Gruppenzugehörigkeit
  | Überprüfen der Benutzer und Gruppenzugehörigkeit
| Verification of users and group membership }}
  | Verification of users and group membership }}
{{var | ad-zugehörigkeit--text
{{var | ad-zugehörigkeit--text
| Das folgende Kommando überprüft, ob ein ''AD-Benutzer'' einer ''UTM Gruppe'' zugeordnet ist:
  | Das folgende Kommando überprüft, ob ein ''AD-Benutzer'' einer ''UTM Gruppe'' zugeordnet ist:
| The following command checks whether an ''AD user'' is assigned to an ''UTM group'': }}
  | The following command checks whether an ''AD user'' is assigned to an ''UTM group'': }}
{{var | ad-zugehörigkeit--no-member
{{var | ad-zugehörigkeit--no-member
| Sollte das nicht der Fall sein erfolgt die Ausgabe
  | Sollte das nicht der Fall sein erfolgt die Ausgabe
| If this is not the case, the output is }}
  | If this is not the case, the output is }}
{{var | ad-zugehörigkeit--gruppe
{{var | ad-zugehörigkeit--gruppe
| Befehl, um zu einem AD-Benutzer die Gruppenzugehörigkeit und Berechtigungen auszugegeben:
  | Befehl, um zu einem AD-Benutzer die Gruppenzugehörigkeit und Berechtigungen auszugegeben:
| Command to display the group membership and permissions for an AD user: }}
  | Command to display the group membership and permissions for an AD user: }}
{{var | dc-hinters2s
{{var | dc-hinters2s
| Domain-Controller hinter Site-to-Site-VPN
  | Domain-Controller hinter Site-to-Site-VPN
| Domain controller behind site-to-site VPN }}
  | Domain controller behind site-to-site VPN }}
{{var | dc-hinters2s--text
{{var | dc-hinters2s--text
| In manchen Szenarien befindet sich der Domain-Controller hinter einem Site-to-Site-VPN-Tunnel. Ist dies der Fall, muss eine entsprechende Zone und eine Regel konfiguriert werden.
  | In manchen Szenarien befindet sich der Domain-Controller hinter einem Site-to-Site-VPN-Tunnel. Ist dies der Fall, muss eine entsprechende Zone und eine Regel konfiguriert werden.
| In some scenarios, the domain controller is located behind a site-to-site VPN tunnel. If this is the case, a corresponding zone and rule must be configured. }}
  | In some scenarios, the domain controller is located behind a site-to-site VPN tunnel. If this is the case, a corresponding zone and rule must be configured. }}
{{var | dc-hinters2s--hinweis
{{var | dc-hinters2s--hinweis
| Achtung: Für einen Beitritt in ein Active-Directory, das sich hinter einem VPN-Tunnel befindet, werden in der NAT-Regel Richtung Domain-Controller neben den DNS-Ports die LDAP-Ports benötigt.
  | Achtung: Für einen Beitritt in ein Active-Directory, das sich hinter einem VPN-Tunnel befindet, werden in der NAT-Regel Richtung Domain-Controller neben den DNS-Ports die LDAP-Ports benötigt.
| Attention: To join an active directory located behind a VPN tunnel, the LDAP ports are required in the NAT rule towards the domain controller in addition to the DNS ports. }}
  | Attention: To join an active directory located behind a VPN tunnel, the LDAP ports are required in the NAT rule towards the domain controller in addition to the DNS ports. }}
{{var | 1=groups--permissions
  | 2=<p>Die Berechtigungen zu den in der UTM enthaltenen Diensten können in Gruppen verwaltet werden. Die Benutzer, die diesen Gruppen zugeordnet werden sollen, müssen zunächst entsprechenden Benutzergruppen im AD zugeordnet werden.</p>
  | 3=<p>The authorizations for the services contained in the UTM can be managed in groups. The users to be assigned to these groups must first be assigned to corresponding user groups in AD.</p> }}
{{var | neu--alle-dcs
  | Ab 11.8.10: Verwendung sämtlicher DCs für LDAP Anfragen
  |  }}
{{var | neu--alle-dcs--desc
  | Ab Version 11.8.10 wird nicht nur der PDC, sondern '''sämtliche''' DCs für LDAP Anfragen verwendet. Somit steht die Authentifizierung für Benutzer aus dem AD auch zu Verfügung, wenn der PDC nicht erreichbar ist.
  |  }}


{{var| groups--permissions
</div> {{Select_lang}} {{TOC2}}
| Die Berechtigungen zu den in der UTM enthaltenen Diensten können in Gruppen verwaltet werden. Die Benutzer, die diesen Gruppen zugeordnet werden sollen, müssen zunächst entsprechenden Benutzergruppen im AD zugeordnet werden.
{{Header|11.8.10|
| The authorizations for the services contained in the UTM can be managed in groups. The users to be assigned to these groups must first be assigned to corresponding user groups in AD. }}
* {{#var:neu--alle-dcs}}
* {{#var:neu--ldap}}
* {{#var:neu--menu}}
* {{#var:neu--appliance-account}}
|[[UTM/AUTH/AD_Anbindung-v11.4 |'''11.5''']]
[[UTM/AUTH/AD_Anbindung_11.7 |'''11.7''']]
[[UTM/AUTH/AD_Anbindung_11.8 |'''11.8''']]
|{{Menu|{{#var:Authentifizierung}}|{{#var:AD/LDAP Authentifizierung}} }}
}}
----




</div>{{DISPLAYTITLE:{{#var:display| AD/LDAP-Anbindung }} }}{{Select_lang}}{{TOC2}}
=== {{#var:Einführung}} ===
<p>'''{{#var:headline| Anbindung einer UTM an ein AD/LDAP }}'''</p>
<div class="Einrücken">
 
{{#var:ladap--desc}}
 
<p>{{#var:ver|Letzte Anpassung zur Version:}} '''11.8.8''' </p>
 
 
<p>{{cl| {{#var:neu|Neu:}} |
* {{#var:neu--ldap| Automatische Einstellung der [[#LDAP | Verschlüsselung]] einer LDAP-Anbindung }}
* {{#var:neu--menu| Der Eintrag hat einen eigenen Platz in der Menü-Struktur erhalten und wurde im Layout angepasst. }}
* {{#var:neu--appliance-account| Hinweis auf ''Appliance Account''-Name im Cluster-Betrieb }}
|w=40px}}</p>


 
{{#var:neu--alle-dcs--desc}}
<p>{{#var:prev|Vorherige Versionen:}} [[UTM/AUTH/AD_Anbindung-v11.4 |'''11.5''']] |  [[UTM/AUTH/AD_Anbindung_11.7 | '''11.7''']] | [[UTM/AUTH/AD_Anbindung_11.8 | '''11.8''']]</p>
<br clear=all></div>
<br>
----
----


=== {{#var:Einführung}} ===
<p>{{#var:ladap--desc| Zur Authentifizierung auf der UTM kann ein AD oder LDAP genutzt werden. Die Rechte auf der UTM können dann über die Gruppenzugehörigkeit im AD gesteuert werden.</p>
<p>In der Regel handelt es sich dabei um den Active Directory Service, der in einem Netzwerk die Domäne verwaltet und über das LDAP- und Kerberos-Protokoll die Authentifizierung der Netzwerk Nutzer steuert. }}</p>
<br clear=all>
----
=== {{#var:Voraussetzung}} ===
=== {{#var:Voraussetzung}} ===
<div class="Einrücken">
{{#var:Voraussetzung--desc}}
{{#var:Voraussetzung--desc}}


{{Einblenden | {{#var:vorbereitung-ad| Vorbereitung im Active Directory }} | {{#var:hide}} | true | dezent }}
{{Einblenden3| {{#var:vorbereitung-ad}} |{{#var:hide}}|true|dezent}}
==== {{#var:add-usergroup| Benutzergruppen anlegen }} ====
{{pt3| WIN2012_AD_Sgrpcvpn1.png | {{#var:security-groups--ad| Sicherheitsgruppe hinzufügen }} }}
{{pt3 | WIN2012 AD Sgrpcvpn2.png | {{#var:security-groups--added| Sicherheitsgruppe hinzugefügt }} }}
<p>{{#var:groups--permissions|Die Berechtigungen zu den in der UTM enthaltenen Diensten können in Gruppen verwaltet werden. Die Benutzer, die diesen Gruppen zugeordnet werden sollen, müssen zunächst entsprechenden Benutzergruppen im AD zugeordnet werden.}}</p>


<p>{{#var:user-groups--added--text| In diesem Beispiel sollen die Benutzer für [[ClientlessVPN-v11 | Clientless VPN]] über den Active Directory Service Authentifiziert werden.</p>
==== {{#var:add-usergroup}} ====
{{pt3| WIN2012_AD_Sgrpcvpn1.png | {{#var:security-groups--ad}} }}
{{pt3| WIN2012 AD Sgrpcvpn2.png | {{#var:security-groups--added}} }}
<div class="Einrücken">
{{#var:groups--permissions}}
{{#var:user-groups--added--text}}
<br clear=all></div>


<p>Es muss also zunächst eine Gruppe vom Typ ''Sicherheitsgruppe'' auf dem AD hinzugefügt werden, die hier den Namen ''ClientlessVPN'' bekommt. }} </p>
==== {{#var:Benutzer hinzufügen}} ====
{{pt3| WIN2012_AD_EgrpM.png | {{#var:Benutzer hinzufügen}} }}
{{pt3| WIN2012_AD_EuserMv.png | {{#var:Benutzer-ist-mitglied}} }}
<div class="Einrücken">
{{#var:Benutzer hinzufügen--desc}}
<br clear=all></div>
</div></div></div>
----


<br clear=all>
=== {{#var:utm-in-domäne}} ===
==== {{#var:Benutzer hinzufügen| Benutzer hinzufügen }} ====
<div class="Einrücken">
{{pt3 | WIN2012_AD_EgrpM.png | {{#var:Benutzer hinzufügen| Benutzer hinzufügen }} }}
<p>{{Hinweis-neu|!|g}} {{#var:utm-in-domäne--uhrzeit}}</p>
{{pt3 | WIN2012_AD_EuserMv.png | {{#var:Benutzer-ist-mitglied| Benutzer ist Mitglied der Gruppe }} }}
<p>{{#var:utm-in-domäne--authentifizierung}}</p>
{{#var:Benutzer hinzufügen--desc| Anschließend werden die Benutzer, die für Clientless VPN freigeschaltet werden sollen, zu dieser Gruppe hinzugefügt.  }}
</div><br clear=all>
</div>
<br clear=all>
----
=== {{#var:utm-in-domäne| UTM in die Domäne einbinden }} ===
<p>{{Hinweis| !|g}} {{#var:utm-in-domäne--uhrzeit| Es muss darauf geachtet werden, dass die [[Uhrzeit_UTM_V11 | Uhrzeit der UTM]] mit dem des AD einigermaßen synchron läuft, da ein Kerberos Ticket nur eine begrenzte Gültigkeitsdauer hat. }}</p>


<p>{{#var:utm-in-domäne--authentifizierung| Im Menü {{Menu | Authentifizierung |AD/LDAP Authentifizierung}} wird die Authentifizierung konfiguriert.}}</p>
==== {{#var:ad-verbindung}} ====
<div class="Einrücken">
<p>{{#var:ad-verbindung--text}}</p>
<p>{{#var:ad-verbindung--assistent}}</p>
</div><br clear=all>


==== {{#var:ad-verbindung| AD Verbindung herstellen }} ====
{| class="sptable2 pd5 zh1 Einrücken"
<p>{{#var:ad-verbindung--text| Besteht noch keine AD/LDAP-Authentifizierung öffnet sich automatisch der AD/LDAP Authentifizierungs Assistent }}</p>
|- class="Leerzeile"  
<p>{{#var:ad-verbindung--assistent| Andernfalls kann der Assistent mit der Schaltfläche {{Button| Assistent }} gestartet werden. }}</p>
| colspan="3" |  
{| class="sptable2 pd5"
===== {{#var:Schritt}} 1: {{#var:Verzeichnistyp}} =====
! {{#var:cap|Beschriftung}} !! {{#var:val|Wert}} !! {{#var:desc|Beschreibung}}
| class="Bild" rowspan="5" | {{Bild| {{#var:schritt-1--bild}} |{{#var:Schritt}} 1}}
|-
|- class="Leerzeile"
| class="Leerzeile" colspan="3" |  
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
===== {{#var:Schritt| Schritt }} 1: {{#var:Verzeichnistyp| Verzeichnistyp }} =====
|-
| {{ b | {{#var:Verzeichnistyp}} }} || {{Button| AD - Active Directory|dr}} || <li class="UTM list--element__alert list--element__hint em2">{{Hinweis| {{#var:ad-hinweis| Es sollte auf alle Fälle der Verzeichnistyp <i>»AD«</i> gewählt werden, wenn es sich um eine Active Directory Umgebung handelt.}}| gelb|c=graul }}<br>
{{#var:ad-hinweis--erklärung|Zwar läuft auch hier ein LDAP, die Gruppenzugehörigkeit wird aber in der AD Umgebung anders behandelt als bei einem reinen LDAP-Server. }}
| class="bild" rowspan="2" | {{ Bild | {{#var:schritt-1--bild| UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt1.png }} | {{#var:Schritt}} 1}}
|-
| class="Leerzeile" |{{ Button | {{#var:Weiter| Weiter }} }}
|-
| class="Leerzeile" colspan="3" |
===== {{#var:Schritt}} 2: {{#var:Einstellungen| Einstellungen }} =====
|-
| {{ b | {{#var:ip| IP oder Hostname: }} }} || {{cb | 192.168.145.1}} || {{#var:beispiel-adrresse| (Beispiel-Adresse!) }} || class="bild" rowspan="4" | {{Bild | {{#var:schritt-2--bild| UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt2.png }} | {{#var:Schritt}} 2}}
|-
|-
| {{ b | Domain }} || {{ic| ttt-point.local }} || Domainname
| {{b|{{#var:Verzeichnistyp}}: }} || {{Button| AD - Active Directory|dr}} || <li class="UTM list--element__alert list--element__hint em2">{{Hinweis-neu| {{#var:ad-hinweis}}|g|c=graul }}<br> {{#var:ad-hinweis--erklärung}}  
|- class="Leerzeile"
| {{Button|{{#var:Weiter}} }}
|- class="Leerzeile"
|
|- class="Leerzeile"
| colspan="3" |
===== {{#var:Schritt}} 2: {{#var:Einstellungen}} =====
| class="Bild" rowspan="7" | {{Bild| {{#var:schritt-2--bild}} |{{#var:Schritt}} 2}}
|-
|-
| {{ b | {{#var:Arbeitsgruppe| Arbeitsgruppe: }} }} || {{ic| ttt-point }} || {{#var:netbios-name| Der NETBIOS-Name des AD<br>Sollte dieser von der Base Domain abweichen, muss hier der korrekte NETBIOS-Name eingetragen werden. }}
| {{b|{{#var:ip}} }} || {{cb|192.168.145.1}} || {{#var:beispiel-adrresse}}  
|-
|-
| {{ b | Appliance Account:}} || {{ic| sp-utml }} || {{#var:appliance-account--text| Der Name, unter dem die UTM im AD in der Gruppe ''Computers'' eingetragen wird.<br>Ein eindeutiger Name, der nicht doppelt vergeben werden darf!}}<br>
| {{b|Domain:}} || {{ic|ttt-point.local}} || Domainname
{{Hinweis|!|g}} {{#var:appliance-account--text--cluster-hinweis| Bei Betrieb der UTM im Cluster muss der Name im Master und Spare unterschiedlich sein. Der Name wird nicht synchronisiert! }}
|-
|-
| class="Leerzeile" | {{ Button | {{#var:Weiter}} }}
| {{b|{{#var:Arbeitsgruppe}} }} || {{ic|ttt-point}} || {{#var:netbios-name}}
|-
|-
| class="Leerzeile" colspan="3" |  
| {{b|Appliance Account:}} || {{ic|sp-utml}} || {{#var:appliance-account--text}}<br> {{Hinweis-neu|!|g}} {{#var:appliance-account--text--cluster-hinweis}}
|- class="Leerzeile"
| {{Button|{{#var:Weiter}} }}
|- class="Leerzeile"
|
|- class="noborder"
| colspan="3" |  
===== {{#var:Schritt}} 3: Nameserver =====
===== {{#var:Schritt}} 3: Nameserver =====
{{#var:schritt-3--text| Ist der AD-Server noch nicht als Name-Server eingetragen, wird das in diesem Schritt vorgenommen: }}<br>
| class="Bild" rowspan="6" | {{Bild| {{#var:schritt-3--bild}} |{{#var:Schritt}} 3: Nameserver}}
{{ Button | {{#var:add-server| Server hinzufügen }} |+}}
|- class="noborder"
|-
| colspan="3" | {{#var:schritt-3--text}}<br> {{Button|{{#var:add-server}}|+}}
| {{ b |  {{#var:ip-adresse| IP-Adresse }} :}} || {{ic| 192.168.145.1}} ||{{Hinweis|!|g}} {{#var:Beispieladresse| Beispieladresse! }} <br>{{#var:ip-adresse--text| IP-Adresse eines AD-Servers der Domäne }} || class="bild" rowspan="3" | {{ bild | {{#var:schritt-3--bild| UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt3.png }} | {{#var:Schritt}} 3: Nameserver}}
|-
| {{ Button | {{#var:Speichern| Speichern }} }} || colspan="2" | <p>{{#var:ad-server| Der AD-Server wird damit als Relay-Zone im Nameserver der UTM hinzugefügt.</p><p>Der Eintrag ist im Menü {{Menu|Anwendungen|Nameserver }} im Reiter {{Reiter|Zonen}} zu finden. }} </p>
|-
| class="Leerzeile" | {{ Button | {{#var:Weiter}} }}
|-
| class="Leerzeile" colspan="3" |  
===== {{#var:Schritt}} 4: {{#var:Beitreten| Beitreten }} =====
|-
| {{ b | {{#var:Administratorname| Administratorname: }} }} || {{ic| Administrator }} || {{Hinweis|!|g}} {{#var:Administratorname--hinweis| Um der Domäne beizutreten ist ein Benutzer-Konto mit Domain-Administrator-Rechten erforderlich. }} || class="bild" rowspan="3" | {{ bild | {{#var:schritt-4--bild| UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung_Assistent_Schritt4.png }} }}
|-
| {{ b | {{#var:Passwort| Passwort: }} }} || {{ic| <nowiki>••••••••</nowiki> }} || {{einblenden| {{#var:hinweis--cluster| Hinweis bei Clusterbetrieb }} | {{#var:ausblenden| ausblenden }} | true | dezent|icon={{spc|io|o|-|c=g}} }} {{#var:hinweis--cluster--text| Bei Betrieb der UTM im Cluster muss das Passwort auf der Spare-UTM unter {{Menu| Authentifizierung | AD/LDAP Authentifizierung | Beitreten }} separat eingegeben werden. </p><small>Bis auf den {{b|  Appliance Account:  }} (siehe Schritt 2) werden alle anderen Angaben im Cluster synchronisiert.</small> <br>Abschluss mit {{Button| Beitreten}} }}</div>
|-
|-
| class="Leerzeile" |{{ Button | {{#var:fertig| Fertig }} }}
| {{b|{{#var:ip-adresse}}: }} || {{ic|192.168.145.1}} ||{{Hinweis-neu|!|g}} {{#var:Beispieladresse}} <br>{{#var:ip-adresse--text}}  
|-
|-
| class="Leerzeile" colspan="3" |
| {{Button|{{#var:Speichern}} }} || colspan="2" | <p>{{#var:ad-server}} </p>
==== {{#var:ergebnis-ad| Ergebnis AD-Anbindung }} ====
|- class="Leerzeile"  
{{#var:ergebnis-ad--text| Ergebnis im Abschnitt {{ Kasten | Status}} : }} <br>
| {{Button|{{#var:Weiter}} }}
|- class="Leerzeile"
|
|- class="Leerzeile"
| colspan="3" |  
===== {{#var:Schritt}} 4: {{#var:Beitreten}} =====
| class="Bild" rowspan="5" | {{Bild| {{#var:schritt-4--bild}} }}  
|-
|-
| {{ b | {{#var:aktiviert| Aktiviert }}:}} || {{ ButtonAn |{{#var:ein}} }} || {{#var:ad-aktiviert--text| Die AD/LDAP Authentifizierung ist aktiviert. }} || class="bild" rowspan="3" | {{ Bild | {{#var:ergebnis--bild| UTM_11-8_Authentifizierung_AD-LDAP-Authentifizierung.png }} }}
| {{b|{{#var:Administratorname}} }} || {{ic|Administrator}} || {{Hinweis-neu|!|g}} {{#var:Administratorname--hinweis}}  
|-
|-
| {{ b | {{#var:Verbindungsstatus| Verbindungsstatus: }} }} || {{#if:|| <small><font color=green></font></small>}} || {{#var:Verbindungsstatus--text| Zur Bestätigung wechselt die Anzeige von grau auf grün.<br/>Aktualisieren mit {{Button| |refresh}} }}
| {{b|{{#var:Passwort}} }} || {{ic| <nowiki>••••••••</nowiki> }} || {{einblenden3| {{#var:hinweis--cluster}} | {{#var:ausblenden}} |true|dezent|icon={{spc|io|o|-|c=g}} }} {{#var:hinweis--cluster--text}} separat eingegeben werden. </p><small>Bis auf den {{b|Appliance Account:}} (siehe Schritt 2) werden alle anderen Angaben im Cluster synchronisiert.</small> <br>Abschluss mit {{Button|Beitreten}}</div>
|- class="Leerzeile"
| {{Button|{{#var:fertig}} }}
|- class="Leerzeile"
|
|- class="noborder"
| colspan="3" |
==== {{#var:ergebnis-ad}} ====
| class="Bild" rowspan="5" | {{Bild|{{#var:ergebnis--bild}} }}
|- class="noborder"
| colspan="3" | {{#var:ergebnis-ad--text| Ergebnis im Abschnitt {{Kasten|Status}}: }}
|-
|-
| class="Leerzeile" |  
| {{b|{{#var:aktiviert}}: }} || {{ButtonAn|{{#var:ein}} }} || {{#var:ad-aktiviert--text}}
|-
|-
| class="Leerzeile" colspan="3" | {{h4 | {{#var:Erweiterte-Einstellungen| Erweiterte Einstellungen }} | {{Reiter| {{#var:Erweitert| Erweitert }} }} }}
| {{b|{{#var:Verbindungsstatus}} }} || {{#if:|| <small><font color=green>⬤</font></small>}} || {{#var:Verbindungsstatus--text}}
|- class="Leerzeile"
|
|- class="Leerzeile"  
| colspan="3" |  
{{h4| {{#var:Erweiterte-Einstellungen}} | {{Reiter|{{#var:Erweitert}} }} }}
|-
|-
| {{ b | SSL:}} || {{ ButtonAus|{{#var:aus}} }} || {{#var:ssl--text| Die Verbindung zum Active Directory Server kann SSL-Verschlüsselt hergestellt werden. }} || class="bild" rowspan="13" | {{ Bild| {{#var:erweitert--bild| UTM_v11.8.8_Authentifizierung_AD-LDAP-Authentifizierung_Erweitert1.png }} | {{#var:Erweiterte-Einstellungen}} }}
| {{b|SSL:}} || {{ButtonAus|{{#var:aus}} }} || {{#var:ssl--text}}  
| class="Bild" rowspan="13" | {{Bild| {{#var:erweitert--bild}} |{{#var:Erweiterte-Einstellungen}} }}
|-
|-
| colspan="3" | <span id="LDAP"></span>{{Hinweis| ! {{#var:ldap--hinweis| Hinweis zur LDAP-Verschlüsselung}}: |gelb|c=graul}}{{#var:ldap--hinweis--text| Aufgrund eines Microsoft-Updates (ursprünglich geplant für März 2020) wird eine unverschlüsselte Anbindung an ein AD zukünftig nicht mehr möglich sein. }}<br>
| colspan="3" | <span id="LDAP"></span>{{Hinweis-neu|! {{#var:ldap--hinweis}}: |g|c=graul}}{{#var:ldap--hinweis--text}}<br>
{{Hinweis| {{#var:ab| ab }} 11.8.8|11.8.8|gr}} {{#var:ldap-verschlüsselung--automatisch| Die Einstellung wird von der Securepoint Appliance automatisch vorgenommen. }} {{Hinweis| § {{#var:ldap-verschlüsselung--automatisch--hinweis| Das entsprechende Dropdown-Menü entfällt ab Version 11.8.8 }}|11.8.8}}
{{Hinweis-neu| {{#var:ab| ab }} 11.8.8|11.8.8|gr}} {{#var:ldap-verschlüsselung--automatisch}} {{Hinweis-neu|§ {{#var:ldap-verschlüsselung--automatisch--hinweis}} |11.8.8}}
* {{#var:ldap-verschlüsselung--automatisch--separat| bestehende und neue Verbindungen werden separat verschlüsselt und signiert }}
* {{#var:ldap-verschlüsselung--automatisch--separat}}
* {{#var:ldap-verschlüsselung--automatisch--ssl| bei Aktivierung von SSL wird keine zusätzliche Verschlüsselung angewendet. }}
* {{#var:ldap-verschlüsselung--automatisch--ssl}}
|-
|-
| {{ b | {{#var:Root-Zertifikat| Root-Zertifikat }}: }} || {{ Button | {{#var:Zertifikat| Zertifikat }} |dr}} || {{#var:Zertifikat--text| Es kann ein Root-Zertifikat hinterlegt werden.  }}
| {{b|{{#var:Root-Zertifikat}}: }} || {{Button|{{#var:Zertifikat}} |dr}} || {{#var:Zertifikat--text}}
|-
|-
| {{ b | LDAP-Filter: }} || {{ic| <nowiki>(|(sAMAccountType=268435456)(sAMAccountType=268435457)(sAMAccountType=805306368))</nowiki></code> }} || ''[https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-drsr/cc44dc4c-fb88-4ffb-9a29-148fb39002d4 sAMAccountType]=''{{#var:LDAP-Filter--desc}}
| {{b|LDAP-Filter:}} || {{ic| <nowiki>(|(sAMAccountType=268435456)(sAMAccountType=268435457)(sAMAccountType=805306368))</nowiki></code> }} || ''[https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-drsr/cc44dc4c-fb88-4ffb-9a29-148fb39002d4 sAMAccountType]=''{{#var:LDAP-Filter--desc}}
|-
|-
| {{ b | {{#var:User-Attribute| User-Attribute }}: }} || {{ ic| sAMAccountName}} || {{#var:User-Attribute--text| Es können Attribute definiert werden, unter denen die AD Verwaltung die Informationen zum Benutzer speichert und die dann von der UTM abgefragt werden können: }}
| {{b|{{#var:User-Attribute}}: }} || {{ic|sAMAccountName}} || {{#var:User-Attribute--text}}
|-
|-
| {{ b | {{#var:Mail-Attribute| Mail-Attribute }}: }} || {{ic| {{ cb| proxyAddresses}} |cb}} ||
| {{b| {{#var:Mail-Attribute}}: }} || {{ic| {{cb|proxyAddresses}} |cb}} ||
|-
|-
| class="Leerzeile" colspan="3" | <br>{{#var:Mail-Attribute--text| Die Attribute von OTP bis SSL-VPN, die hier eingetragen sind, existieren in der Regel nicht im AD.<br>
| class="Leerzeile" colspan="3" | <br>{{#var:Mail-Attribute--text}}
Um zum Beispiel den OTP-Geheimcode auf dem AD zu hinterlegen, kann ein ungenutztes Attribut des AD Schema verwendet werden, der diesen Geheimcode des Benutzers enthält.<br>
Eine entsprechende Anleitung befindet sich hinter folgenden Link zum [[OTP_mit_AD_V11.5 | Einbinden der OTP Funktion in das Active Directory]]. }}
|-
|-
| {{ b | OTP-Attribute: }} || {{ ic | sPOTPSecret }} ||
| {{b|OTP-Attribute:}} || {{ic|sPOTPSecret}} ||
|-
|-
| {{ b | L2TP-Attribute: }} || {{ ic | sPL2TPAddress }} ||
| {{b|L2TP-Attribute:}} || {{ic|sPL2TPAddress}} ||
|-
|-
| {{ b | SSL-VPN-Attribute (IPv4): }} || {{ ic | sPOVPNAddress }} ||
| {{b|SSL-VPN-Attribute (IPv4):}} || {{ic|sPOVPNAddress}} ||
|-
|-
| {{ b | SSL-VPN-Attribute (IPv6): }} || {{ ic | sPOVPNIP6Address }} ||
| {{b|SSL-VPN-Attribute (IPv6):}} || {{ic|sPOVPNIP6Address}} ||
|-
|-
| {{ b | SSL-Bump-Attribute: }} || {{ ic | sPSSLBumpMode }} ||
| {{b|SSL-Bump-Attribute:}} || {{ic|sPSSLBumpMode}} ||
|-
|-
| {{ b | Cert-Attribute: }} || {{ ic | sPCertificate }} ||
| {{b|Cert-Attribute:}} || {{ic| sPCertificate}} ||
|-
|-
| {{ b | Page Size: }} || {{ ic | 500 &emsp;&emsp;|c}} || colspan="2" | {{#var:page-size--desc| In größeren Umgebungen kann es vorkommen, dass bei LDAP-Anfragen die serverseitig festgelegte, maximale Anzahl von Datensätzen (im AD sind es 1000) überschritten wird. Mit Page Size kann eingestellt werden das die LDAP-Abfrage stückweise ausgeführt wird. Eine Page Size von 500 bedeutet 500 Datensätze pro Abfrage. Die Page Size von 0 deaktiviert eine schrittweise LDAP-Abfrage. }}
| {{b|Page Size:}} || {{ic|500 &emsp;&emsp;|c}} || colspan="2" | {{#var:page-size--desc}}
|}
|}
<br>
 
----
----
<br>
 
=== {{#var:ad-benutzergruppen-berechtigungen| AD Benutzergruppen Berechtigungen erteilen }} ===
=== {{#var:ad-benutzergruppen-berechtigungen}} ===
{{ pt3 | {{#var:ad-benutzergruppen-berechtigungen--bild| UTM_11-8_Authentifizierung_Benutzer_Gruppe-CLientlessvpn.png }} | {{#var:ad-benutzergruppen-berechtigungen--bild--cap| Gruppen Berechtigungen }} }}
{{pt3| {{#var:ad-benutzergruppen-berechtigungen--bild}} |{{#var:ad-benutzergruppen-berechtigungen--bild--cap}} }}
{{#var:ad-benutzergruppen-berechtigungen--desc| Um den Benutzern aus dem Active Directory die Berechtigungen für den Zugriff auf das User-Interface der UTM und der Nutzung des Clientless VPN zu erteilen, wird im Menü {{ Menu | Authentifizierung | Benutzer | Gruppen | Gruppe hinzufügen |+}} eine Gruppe mit eben diesen Berechtigungen angelegt. }}
<div class="Einrücken">
{| class="sptable2 pd5"
{{#var:ad-benutzergruppen-berechtigungen--desc}}
! {{#var:Aktiv| Aktiv }} !! {{#var:Berechtigung| Berechtigung }} !! {{#var:Hinweis| Hinweis }}
</div>
 
{| class="sptable2 pd5 Einrücken"
! {{#var:Aktiv}} !! {{#var:Berechtigung}} !! {{#var:Hinweis}}
|-
|-
| {{ButtonAn| {{#var:ein|Ein}} }} || {{ic| Userinterface}} ||
| {{ButtonAn|{{#var:ein}} }} || {{ic|Userinterface}} ||
|-
|-
| {{ButtonAn| {{#var:ein|Ein}} }} || {{ic| Clientless VPN }} || Gewünschte Berechtigung
| {{ButtonAn|{{#var:ein}} }} || {{ic|Clientless VPN}} || Gewünschte Berechtigung
|}
|}


<br clear=all>
<br clear=all>


{{ pt3 | {{#var:benutzergruppe-auswählen| UTM_11-8_Authentifizierung_Gruppe-hinzufügen_Verzeichnisdienst.png }} | {{#var:benutzergruppe-auswählen--cap| Benutzergruppe aus AD auswählen }} }}
{{pt3| {{#var:benutzergruppe-auswählen}} |{{#var:benutzergruppe-auswählen--cap}} }}
{{#var:benutzergruppe-auswählen--text| Im Reiter {{ Reiter | Verzeichnis Dienst}} kann jetzt die entsprechende Gruppe aus dem Active Directory ausgewählt und zugeordnet werden.
<div class="Einrücken">
 
{{#var:benutzergruppe-auswählen--text}}
<p>Weitere Informationen über Clientless VPN Berechtigungen befindet sich in dem Wiki zu [[ClientlessVPN-v11#Zuweisen_der_Gruppe | Clientless VPN]].</p> }}
<br clear=all></div>
----
----
=== {{#var:Ergebnis| Ergebnis }} ===
<p>{{#var:Ergebnis--text| Nach dem Speichern kann sich jeder Benutzer, der Mitglied in der AD Gruppe ''ClientlessVPN'' ist, mit seinen Windows Domänen Zugangsdaten für die Nutzung des Clientless VPN auf der UTM anmleden. }}</p>


<br clear=all>
=== {{#var:Ergebnis}} ===
<div class="Einrücken">
<p>{{#var:Ergebnis--text}}</p>
<br clear=all></div>
----
----
=== {{#var:ad-test-cli| Überprüfen der AD Anbindung mit CLI }} ===
{{#var:ad-test-cli--text| Über CLI (Command Line Interface) Kommandos lässt sich verschiedenes über die Active Directory Anbindung und Benutzer überprüfen.


{{ Hinweis | Hinweis:}} Erfolgt die Eingabe (Bildschirm und Tastatur) direkt an der UTM  lautet der Eingabe-Prompt der Firewall z. B.: ''firewall.foo.local>'' bzw. entprechend der lokalen Konfiguration. Bei Aufruf über das User-Interface mit dem Menü {{ Menu | Extras | CLI }} lautet der Prompt ''CLI>''
=== {{#var:ad-test-cli}} ===
Dahinter befindet sich das CLI Kommando.<br>
<div class="Einrücken">
Bei den Zeilen darunter handelt es sich um die Ausgabe der UTM zu diesem Befehl. }}
{{#var:ad-test-cli--text}}
<br clear=all></div>


==== {{#var:ad-beitreten| Beitreten und Verlassen der Domäne }} ====
==== {{#var:ad-beitreten}} ====
 
<div class="Einrücken">
{{#var:ad-beitreten--text| Um zu überprüfen ob die UTM schon der Domäne beigetreten ist: }}
{{#var:ad-beitreten--text}}
  cli> '''system activedirectory testjoin'''
  cli> '''system activedirectory testjoin'''
  Join is OK
  Join is OK
  cli>
  cli>


{{#var:ad-beitreten--text--alternativ| Sollte das nicht der Fall sein, erfolgt die Ausgabe }}
{{#var:ad-beitreten--text--alternativ}}
 
  cli> '''system activedirectory testjoin'''
  cli> '''system activedirectory testjoin'''
  Not joined
  Not joined
  cli>
  cli>


{{#var:ad-beitreten--alternativ--comand| In diesem Fall kann der Domäne mit dem folgenden Kommando beigetreten werden }}
{{#var:ad-beitreten--alternativ--comand}}
  cli> '''system activedirectory join password Beispiel-Admin-Passwort'''
  cli> '''system activedirectory join password Beispiel-Admin-Passwort'''
  Password for Administrator@TTT-POINT.LOCAL:  
  Password for Administrator@TTT-POINT.LOCAL:  
Zeile 557: Zeile 583:
  cli>
  cli>


{{#var:ad-beitreten--command-verlassen| Das Kommando um die Domäne zu verlassen lautet }}
{{#var:ad-beitreten--command-verlassen}}
  cli> '''system activedirectory leave password Beispiel-Admin-Passwort'''
  cli> '''system activedirectory leave password Beispiel-Admin-Passwort'''
  Enter Administrator's password:
  Enter Administrator's password:
Zeile 563: Zeile 589:
  cli>
  cli>


{{#var:ad-beitreten--passwort| Beim Beitreten bzw. Verlassen des Active Directories ist die Angabe des Administratorpasswortes notwendig. Das Passwort wird nicht gespeichert, die AD-Zugehörigkeit ist trotzdem Reboot fest. }}
{{#var:ad-beitreten--passwort}}
<br clear=all></div>


==== {{#var:ad-zeigen| AD Gruppen anzeigen }} ====
==== {{#var:ad-zeigen}} ====
{{#var:ad-zeigen--text| Mit dem folgenden Kommando können die Gruppen im Active Directory aufgelistet werden: }}
<div class="Einrücken">
{{#var:ad-zeigen--text}}
  cli> '''system activedirectory lsgroups'''
  cli> '''system activedirectory lsgroups'''
  member
  member
Zeile 584: Zeile 612:
  Windows-Autorisierungszugriffsgruppe
  Windows-Autorisierungszugriffsgruppe
  cli>
  cli>
<br clear=all></div>


==== {{#var:ad-zugehörigkeit| Überprüfen der Benutzer und Gruppenzugehörigkeit }} ====
==== {{#var:ad-zugehörigkeit}} ====
{{#var:ad-zugehörigkeit--text| Das folgende Kommando überprüft, ob ein ''AD-Benutzer'' einer ''UTM Gruppe'' zugeordnet ist: }}
<div class="Einrücken">
{{#var:ad-zugehörigkeit--text}}
  cli> '''user check name "m.meier" groups grp_ClientlessVPN'''
  cli> '''user check name "m.meier" groups grp_ClientlessVPN'''
  matched
  matched
  cli>
  cli>


{{#var:ad-zugehörigkeit--no-member| Sollte das nicht der Fall sein erfolgt die Ausgabe }}
{{#var:ad-zugehörigkeit--no-member}}
  not a member
  not a member
  cli>
  cli>


{{#var:ad-zugehörigkeit--gruppe| Befehl, um zu einem AD-Benutzer die Gruppenzugehörigkeit und Berechtigungen auszugegeben: }}
{{#var:ad-zugehörigkeit--gruppe}}
  cli> '''user get name m.meier'''
  cli> '''user get name m.meier'''
  name  |groups          |permission
  name  |groups          |permission
Zeile 601: Zeile 631:
  m.meier|grp_ClientlessVPN|WEB_USER,VPN_CLIENTLESS
  m.meier|grp_ClientlessVPN|WEB_USER,VPN_CLIENTLESS
  cli>
  cli>
<br clear=all></div>


==== {{#var:dc-hinters2s| Domain-Controller hinter Site-to-Site-VPN }} ====
==== {{#var:dc-hinters2s}} ====
{{#var:dc-hinters2s--text| In manchen Szenarien befindet sich der Domain-Controller hinter einem Site-to-Site-VPN-Tunnel. Ist dies der Fall, muss eine entsprechende Zone und eine Regel konfiguriert werden. }} <br>
<div class="Einrücken">
{{#var:dc-hinters2s--text}} <br>
[http://wiki.securepoint.de/index.php/UTM/VPN/DNS_Relay#DNS_Relay_f.C3.BCr_einen_IPSec_Site-to-Site_Tunnel DNS-Relay bei IPSec-S2S]<br>
[http://wiki.securepoint.de/index.php/UTM/VPN/DNS_Relay#DNS_Relay_f.C3.BCr_einen_IPSec_Site-to-Site_Tunnel DNS-Relay bei IPSec-S2S]<br>
[http://wiki.securepoint.de/index.php/UTM/VPN/DNS_Relay#DNS_Relay_f.C3.BCr_einen_OpenVPN_Site-to-Site_Tunnel DNS-Relay bei SSL-S2S]<br>
[http://wiki.securepoint.de/index.php/UTM/VPN/DNS_Relay#DNS_Relay_f.C3.BCr_einen_OpenVPN_Site-to-Site_Tunnel DNS-Relay bei SSL-S2S]<br>
{{ Hinweis | !! {{#var:dc-hinters2s--hinweis| Achtung: Für einen Beitritt in ein Active-Directory, das sich hinter einem VPN-Tunnel befindet, werden in der NAT-Regel Richtung Domain-Controller neben den DNS-Ports natürlich noch die LDAP-Ports benötigt. }}| gelb |c=graul}}
{{Hinweis-neu|!! {{#var:dc-hinters2s--hinweis}}|g|c=graul}}
<br clear=all></div>
 
----
----

Aktuelle Version vom 15. Mai 2023, 15:56 Uhr





notempty
Dieser Artikel bezieht sich auf eine nicht mehr aktuelle Version!

notempty
Der Artikel für die neueste Version steht hier

notempty
Zu diesem Artikel gibt es bereits eine neuere Version, die sich allerdings auf eine Reseller-Preview bezieht























































































De.png
En.png
Fr.png






Anbindung einer UTM an ein AD/LDAP
Letzte Anpassung zur Version: 11.8.10
Neu:
  • Ab 11.8.10: Verwendung sämtlicher DCs für LDAP Anfragen
  • Automatische Einstellung der Verschlüsselung einer LDAP-Anbindung
  • Der Eintrag hat einen eigenen Platz in der Menü-Struktur erhalten und wurde im Layout angepasst.
  • Hinweis auf Appliance Account-Name im Cluster-Betrieb
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview

11.5 11.7 11.8

Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115 → Authentifizierung →AD/LDAP Authentifizierung


Einführung

Die AD/LDAP-Anbindung ermöglicht es, bestehende Verzeichnisdienste wie das Microsoft Active Directory® oder andere auf dem LDAProtocol basierende Systeme für die Authentifizierung, Verwaltung von Gruppen und Speichern von Attributen zu nutzen.

Zentral verwaltete Benutzer aus dem Verzeichnis können so einfach für die Authentifizierung oder Nutzung von Diensten auf der UTM verwendet werden.

Dies erleichtert die Administration komplexer Unternehmensnetzwerke und vereinheitlicht die Benutzer-Verwaltung.

Für die Anbindung an das Directory wird unter anderem das Light Directory Access Protocol (LDAP) verwendet.
Mittels LDAP können die Informationen über Benutzer, Gruppen und weitere Objekte aus dem Directory ausgelesen werden.

Das Protokoll selbst sieht dabei im Standard keine Verschlüsselung oder Authentifizierung der Nachrichten vor.

In ADV190023 (Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing) wird auf diesen Umstand hingewiesen und eine Anpassung der Sicherheitseinstellungen bekannt gegeben.

Zukünftig ist eine Signierung und Verschlüsselung des LDAP-Verkehrs erforderlich (seal).

Diese Umstellung wird von der UTM automatisch vorgenommen.

Alternativ kann das die gesamte Verbindung mit SSL abgesichert werden.

Ab Version 11.8.10 wird nicht nur der PDC, sondern sämtliche DCs für LDAP Anfragen verwendet. Somit steht die Authentifizierung für Benutzer aus dem AD auch zu Verfügung, wenn der PDC nicht erreichbar ist.


Voraussetzung

Um ein AD / LDAP zur Authentisierung nutzen zu können, müssen dort Benutzer angelegt und in Gruppen organisiert sein.

Benutzergruppen im AD anlegen

Sicherheitsgruppe hinzufügen
Sicherheitsgruppe hinzugefügt

Die Berechtigungen zu den in der UTM enthaltenen Diensten können in Gruppen verwaltet werden. Die Benutzer, die diesen Gruppen zugeordnet werden sollen, müssen zunächst entsprechenden Benutzergruppen im AD zugeordnet werden.

In diesem Beispiel sollen die Benutzer für Clientless VPN über den Active Directory Service Authentifiziert werden.

Es muss also zunächst eine Gruppe vom Typ Sicherheitsgruppe auf dem AD hinzugefügt werden, die hier den Namen ClientlessVPN bekommt.


Benutzer im AD hinzufügen

Benutzer im AD hinzufügen
Benutzer ist Mitglied der Gruppe

Anschließend werden die Benutzer, die für Clientless VPN freigeschaltet werden sollen, zu dieser Gruppe hinzugefügt.


UTM in die Domäne einbinden

Es muss darauf geachtet werden, dass die Uhrzeit der UTM mit dem des AD einigermaßen synchron läuft, da ein Kerberos Ticket nur eine begrenzte Gültigkeitsdauer hat.

Im Menü → Authentifizierung →AD/LDAP Authentifizierung wird die Authentifizierung konfiguriert.


AD Verbindung herstellen

Besteht noch keine AD/LDAP-Authentifizierung öffnet sich automatisch der AD/LDAP Authentifizierungs Assistent

Andernfalls kann der Assistent mit der Schaltfläche Assistent gestartet werden.


Schritt 1: Verzeichnistyp
 UTM 11-8 Authentifizierung AD-LDAP-Authentifizierung Assistent Schritt1.png
Schritt 1
Beschriftung Wert Beschreibung
Verzeichnistyp: AD - Active Directory
  • Es sollte auf alle Fälle der Verzeichnistyp »AD« gewählt werden, wenn es sich um eine Active Directory Umgebung handelt.

    Zwar läuft auch hier ein LDAP, die Gruppenzugehörigkeit wird aber in der AD Umgebung anders behandelt als bei einem reinen LDAP-Server.
    • Weiter
    Schritt 2: Einstellungen
    		 UTM 11-8 Authentifizierung AD-LDAP-Authentifizierung Assistent Schritt2.png
    Schritt 2
    IP oder Hostname: »192.168.145.1 (Beispiel-Adresse!)
    Domain: ttt-point.local Domainname
    Arbeitsgruppe: ttt-point Der NETBIOS-Name des AD
    Sollte dieser von der Base Domain abweichen, muss hier der korrekte NETBIOS-Name eingetragen werden.
    Appliance Account: sp-utml Der Name, unter dem die UTM im AD in der Gruppe Computers eingetragen wird.
    Ein eindeutiger Name, der nicht doppelt vergeben werden darf!
     Bei Betrieb der UTM im Cluster muss der Name im Master und Spare unterschiedlich sein. Der Name wird nicht synchronisiert!
    Weiter
    Schritt 3: Nameserver
    		 UTM 11-8 Authentifizierung AD-LDAP-Authentifizierung Assistent Schritt3.png
    Schritt 3: Nameserver
    Ist der AD-Server noch nicht als Name-Server eingetragen, wird das in diesem Schritt vorgenommen:
    Server hinzufügen
    IP-Adresse: 192.168.145.1
    Beispieladresse!
    IP-Adresse eines AD-Servers der Domäne, ggf. zusätzlich der Port
    Speichern

    Der AD-Server wird damit als Relay-Zone im Nameserver der UTM hinzugefügt.

    Der Eintrag ist im Menü → Anwendungen →Nameserver im Reiter Zonen zu finden.

    Weiter
    Schritt 4: Beitreten
    		 UTM 11-8 Authentifizierung AD-LDAP-Authentifizierung Assistent Schritt4.png
    Administratorname: Administrator
    Um der Domäne beizutreten ist ein Benutzer-Konto mit Domain-Administrator-Rechten erforderlich.
    Passwort: ••••••••
    Bei Betrieb der UTM im Cluster muss das Passwort auf der Spare-UTM unter → Authentifizierung →AD/LDAP AuthentifizierungReiter Beitreten separat eingegeben werden.

    Bis auf den Appliance Account: (siehe Schritt 2) werden alle anderen Angaben im Cluster synchronisiert.
    Abschluss mit Beitreten separat eingegeben werden.

    Bis auf den Appliance Account: (siehe Schritt 2) werden alle anderen Angaben im Cluster synchronisiert.
    Abschluss mit Beitreten
    Fertig

    Ergebnis AD-Anbindung

    		 UTM 11-8 Authentifizierung AD-LDAP-Authentifizierung.png
    Ergebnis im Abschnitt
    Status
     :
    Aktiviert: Ein Die AD/LDAP Authentifizierung ist aktiviert.
    Verbindungsstatus: Zur Bestätigung wechselt die Anzeige von grau auf grün.
    Aktualisieren mit

    Erweiterte Einstellungen

    Erweitert
    SSL: Aus Die Verbindung zum Active Directory Server kann SSL-Verschlüsselt hergestellt werden. UTM v11.8.8 Authentifizierung AD-LDAP-Authentifizierung Erweitert1.png
    Erweiterte Einstellungen
    Hinweis zur LDAP-Verschlüsselung:
    Aufgrund eines Microsoft-Updates (ursprünglich geplant für März 2020) wird eine unverschlüsselte Anbindung an ein AD mit Default-Einstellungen zukünftig nicht mehr möglich sein.
    ab 11.8.8
     Die Einstellung wird von der Securepoint Appliance automatisch vorgenommen.
    Die Option LDAP-Verschlüsselung entfällt ab Version 11.8.8
    • bestehende und neue Verbindungen werden separat verschlüsselt und signiert (seal)
    • bei Aktivierung von SSL wird keine zusätzliche Verschlüsselung angewendet.
    Root-Zertifikat: Zertifikat Es kann ein Root-Zertifikat hinterlegt werden.
    LDAP-Filter: (|(sAMAccountType=268435456)(sAMAccountType=268435457)(sAMAccountType=805306368)) sAMAccountType=Schränkt die Authentisierung auf Mitglieder der folgenden Gruppen ein:
    Weitere Filter sind möglich
      
    • 268435456 (→ Gruppen, SAM_ALIAS_OBJECT 0x20000000)
    • 268435457 (→ Nicht Sicherheits-Gruppen, SAM_NON_SECURITY_ALIAS_OBJECT 0x20000001)
    • 805306368 (→ Benutzer Konten, SAM_USER_OBJECT 0x30000000)
    User-Attribute: sAMAccountName Es können Attribute definiert werden, unter denen die AD Verwaltung die Informationen zum Benutzer speichert und die dann von der UTM abgefragt werden können:
    Mail-Attribute: »proxyAddresses

    Die Attribute von OTP bis SSL-VPN, die hier eingetragen sind, existieren in der Regel nicht im AD.
    Um zum Beispiel den OTP-Geheimcode auf dem AD zu hinterlegen, kann ein ungenutztes Attribut des AD Schema verwendet werden, der diesen Geheimcode des Benutzers enthält.
    Eine entsprechende Anleitung befindet sich im Artikel Einbinden der OTP Funktion in das Active Directory.
    OTP-Attribute: sPOTPSecret
    L2TP-Attribute: sPL2TPAddress
    SSL-VPN-Attribute (IPv4): sPOVPNAddress
    SSL-VPN-Attribute (IPv6): sPOVPNIP6Address
    SSL-Bump-Attribute: sPSSLBumpMode
    Cert-Attribute: sPCertificate
    Page Size: 500   Link= In größeren Umgebungen kann es vorkommen, dass bei LDAP-Anfragen die serverseitig festgelegte, maximale Anzahl von Datensätzen (im AD sind es 1000) überschritten wird. Mit Page Size kann eingestellt werden das die LDAP-Abfrage stückweise ausgeführt wird. Eine Page Size von 500 bedeutet 500 Datensätze pro Abfrage. Die Page Size von 0 deaktiviert eine schrittweise LDAP-Abfrage.

    AD Benutzergruppen Berechtigungen erteilen

    Gruppen Berechtigungen

    Um den Benutzern aus dem Active Directory die Berechtigungen für den Zugriff auf das User-Interface der UTM und der Nutzung des Clientless VPN zu erteilen, wird im Menü → Authentifizierung →BenutzerReiter Gruppen Schaltfläche Gruppe hinzufügen eine Gruppe mit eben diesen Berechtigungen angelegt.

    Aktiv Berechtigung Hinweis
    Ein Userinterface
    Ein Clientless VPN Gewünschte Berechtigung


    Benutzergruppe aus AD auswählen
    Im Reiter Verzeichnis Dienst kann jetzt die entsprechende Gruppe aus dem Active Directory ausgewählt und zugeordnet werden.

    Weitere Informationen über Clientless VPN Berechtigungen befindet sich in dem Wiki zu Clientless VPN.


    Ergebnis

    Nach dem Speichern kann sich jeder Benutzer, der Mitglied in der AD Gruppe ClientlessVPN ist, mit seinen Windows Domänen Zugangsdaten für die Nutzung des Clientless VPN auf der UTM anmleden.


    Überprüfen der AD Anbindung mit CLI

    Über CLI (Command Line Interface) Kommandos lässt sich verschiedenes über die Active Directory Anbindung und Benutzer überprüfen.
    Hinweis:
     Erfolgt die Eingabe (Bildschirm und Tastatur) direkt an der UTM lautet der Eingabe-Prompt der Firewall z. B.: firewall.foo.local> bzw. entprechend der lokalen Konfiguration. Bei Aufruf über das User-Interface mit dem Menü → Extras →CLI lautet der Prompt CLI>Dahinter befindet sich das CLI Kommando.
    Bei den Zeilen darunter handelt es sich um die Ausgabe der UTM zu diesem Befehl.

    Beitreten und Verlassen der Domäne

    Um zu überprüfen ob die UTM schon der Domäne beigetreten ist: 

    cli> system activedirectory testjoin
Join is OK
cli>

    Sollte das nicht der Fall sein, erfolgt die Ausgabe 

    cli> system activedirectory testjoin
Not joined
cli>

    In diesem Fall kann der Domäne mit dem folgenden Kommando beigetreten werden 

    cli> system activedirectory join password Beispiel-Admin-Passwort
Password for Administrator@TTT-POINT.LOCAL: 
Processing principals to add...
Enter Administrator's password:
Using short domain name -- TTT-POINT
Joined 'SP-UTML' to dns domain 'ttt-point.local'
cli>

    Das Kommando um die Domäne zu verlassen lautet 

    cli> system activedirectory leave password Beispiel-Admin-Passwort
Enter Administrator's password:
Deleted account for 'SP-UTML' in realm 'TTT-POINT.LOCAL'
cli>

    Beim Beitreten bzw. Verlassen des Active Directories ist die Angabe des Administratorpasswortes notwendig. Das Passwort wird nicht gespeichert, die AD-Zugehörigkeit ist trotzdem Reboot fest.


    AD Gruppen anzeigen

    Mit dem folgenden Kommando können die Gruppen im Active Directory aufgelistet werden: 

    cli> system activedirectory lsgroups
member
------
Abgelehnte RODC-Kennwortreplikationsgruppe
Administratoren
Benutzer
Builtin
ClientlessVPN
Discovery Management
Domänen-Admins
Domänen-Benutzer
Domänen-Gäste
Exchange Servers
...
Users 
Windows-Autorisierungszugriffsgruppe
cli>

    Überprüfen der Benutzer und Gruppenzugehörigkeit

    Das folgende Kommando überprüft, ob ein AD-Benutzer einer UTM Gruppe zugeordnet ist: 

    cli> user check name "m.meier" groups grp_ClientlessVPN
matched
cli>

    Sollte das nicht der Fall sein erfolgt die Ausgabe 

    not a member
cli>

    Befehl, um zu einem AD-Benutzer die Gruppenzugehörigkeit und Berechtigungen auszugegeben: 

    cli> user get name m.meier
name   |groups           |permission
-------+-----------------+----------
m.meier|grp_ClientlessVPN|WEB_USER,VPN_CLIENTLESS
cli>

    Domain-Controller hinter Site-to-Site-VPN

    In manchen Szenarien befindet sich der Domain-Controller hinter einem Site-to-Site-VPN-Tunnel. Ist dies der Fall, muss eine entsprechende Zone und eine Regel konfiguriert werden.
    DNS-Relay bei IPSec-S2S
    DNS-Relay bei SSL-S2S

    Achtung: Für einen Beitritt in ein Active-Directory, das sich hinter einem VPN-Tunnel befindet, werden in der NAT-Regel Richtung Domain-Controller neben den DNS-Ports die LDAP-Ports benötigt.
    Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/AUTH/AD_Anbindung_v11.8.10&oldid=85858