++display,,AD/LDAP-Anbindung__

++headline,,Anbindung einer UTM an ein AD/LDAP__

Letzte Anpassung zur Version: !! Beschreibung |- | class="Leerzeile" colspan="3" |

++Schritt,,Schritt__ 1: ++Verzeichnistyp,,Verzeichnistyp__

|- | || AD - Active Directory || ++ad-hinweis,,Es sollte auf alle Fälle der Verzeichnistyp »AD« gewählt werden, wenn es sich um eine Active Directory Umgebung handelt.
Zwar läuft auch hier ein LDAP, die Gruppenzugehörigkeit wird aber in der AD Umgebung anders behandelt als bei einem reinen LDAP-Server.__

| class="bild" rowspan="2" |

|- | class="Leerzeile" | ++Weiter,,Weiter__ |- | class="Leerzeile" colspan="3" |

2: ++Einstellungen,,Einstellungen__

|-

| ++ip,,IP oder Hostname:__ || » ✕ 192.168.145.1 || ++beispiel-adrresse,,(Beispiel-Adresse!)__ || class="bild" rowspan="4" |

|- | Domain || ttt-point.local || Domainname |- | ++Arbeitsgruppe,,Arbeitsgruppe:__ || ttt-point || ++netbios-name,,Der NETBIOS-Name des AD
Sollte dieser von der Base Domain abweichen, muss hier der korrekte NETBIOS-Name eingetragen werden.__ |- | Appliance Account: || sp-utml || ++appliance-account--text,,Der Name, unter dem die UTM im AD in der Gruppe Computers eingetragen wird.
Ein eindeutiger Name, der nicht doppelt vergeben werden darf!--
++appliance-account--text--cluster-hinweis,,Bei Betrieb der UTM im Cluster muss der Name im Master und Spare unterschiedlich sein. Der Name wird nicht synchronisiert!__ |- | class="Leerzeile" | |- | class="Leerzeile" colspan="3" |

3: Nameserver

++schritt-3--text,,Ist der AD-Server noch nicht als Name-Server eingetragen, wird das in diesem Schritt vorgenommen:__
++add-server,,Server hinzufügen__ |-

| ++ip-adresse,,IP-Adresse__ : || 192.168.145.1 || ++Beispieladresse,,Beispieladresse!__
++ip-adresse--text,,IP-Adresse eines AD-Servers der Domäne__ || class="bild" rowspan="3" |

|-

| ++Speichern,,Speichern__ || colspan="2" |

++ad-server,,Der AD-Server wird damit als Relay-Zone im Nameserver der UTM hinzugefügt.

Der Eintrag ist im Menü → Anwendungen →Nameserver im Reiter Zonen zu finden.__

|- | class="Leerzeile" | |- | class="Leerzeile" colspan="3" |

4: ++Beitreten,,Beitreten__

|-

| ++Administratorname,,Administratorname:__ || Administrator || ++Administratorname--hinweis,,Um der Domäne beizutreten ist ein Benutzer-Konto mit Domain-Administrator-Rechten erforderlich.__ || class="bild" rowspan="3" |

|- | ++Passwort,,Passwort:__ || •••••••• || <div class="mw-collapsible true mw-collapsed dezent " data-expandtext=" ++hinweis--cluster,,Hinweis bei Clusterbetrieb__ " data-collapsetext=" ++ausblenden,,ausblenden__ " id="mw-customcollapsible-Inhalte"

>

|- | class="Leerzeile" | ++fertig,,Fertig__ |- | class="Leerzeile" colspan="3" |

++ergebnis-ad,,Ergebnis AD-Anbindung__

++ergebnis-ad--text,,Ergebnis im Abschnitt

:__

|-

| ++aktiviert,,Aktiviert__: || Ein || ++ad-aktiviert--text,,Die AD/LDAP Authentifizierung ist aktiviert.__ || class="bild" rowspan="3" |

|- | ++Verbindungsstatus,,Verbindungsstatus:__ || ⬤ || ++Verbindungsstatus--text,,Zur Bestätigung wechselt die Anzeige von grau auf grün.
Aktualisieren mit __ |- | class="Leerzeile" | |-

| class="Leerzeile" colspan="3" |

++Erweiterte-Einstellungen,,Erweiterte Einstellungen__

|-

| SSL: || Aus || ++ssl--text,,Die Verbindung zum Active Directory Server kann SSL-Verschlüsselt hergestellt werden.__ || class="bild" rowspan="13" |

|- | colspan="3" | ++ldap--hinweis,,Hinweis zur LDAP-Verschlüsselung__ ++ldap--hinweis--text,,Aufgrund eines Microsoft-Updates (ursprünglich geplant für März 2020) wird eine unverschlüsselte Anbindung an ein AD zukünftig nicht mehr möglich sein.__
++ab,,ab__ 11.8.8 ++ldap-verschlüsselung--automatisch,,Die Einstellung wird von der Securepoint Appliance automatisch vorgenommen.__ ++ldap-verschlüsselung--automatisch--hinweis,,Das entsprechende Dropdown-Menü entfällt ab Version 11.8.8__

• ++ldap-verschlüsselung--automatisch--separat,,bestehende und neue Verbindungen werden separat verschlüsselt und signiert__
• ++ldap-verschlüsselung--automatisch--ssl,,bei Aktivierung von SSL wird keine zusätzliche Verschlüsselung angewendet.__

|- | ++Root-Zertifikat,,Root-Zertifikat__: || ++Zertifikat,,Zertifikat__ || ++Zertifikat--text,,Es kann ein Root-Zertifikat hinterlegt werden. __ |- | LDAP-Filter: || (|(sAMAccountType=268435456)(sAMAccountType=268435457)(sAMAccountType=805306368)) || Nur für interne Prüfzwecke |- | ++User-Attribute,,User-Attribute__: || sAMAccountName || ++User-Attribute--text,,Es können Attribute definiert werden, unter denen die AD Verwaltung die Informationen zum Benutzer speichert und die dann von der UTM abgefragt werden können:__ |- | ++Mail-Attribute,,Mail-Attribute__: || » ✕ proxyAddresses || |- | class="Leerzeile" colspan="3" |
++Mail-Attribute--text,,Die Attribute von OTP bis SSL-VPN, die hier eingetragen sind, existieren in der Regel nicht im AD.
Um zum Beispiel den OTP-Geheimcode auf dem AD zu hinterlegen, kann ein ungenutztes Attribut des AD Schema verwendet werden, der diesen Geheimcode des Benutzers enthält.
Eine entsprechende Anleitung befindet sich hinter folgenden Link zum Einbinden der OTP Funktion in das Active Directory.__ |- | OTP-Attribute: || sPOTPSecret || |- | L2TP-Attribute: || sPL2TPAddress || |- | SSL-VPN-Attribute (IPv4): || sPOVPNAddress || |- | SSL-VPN-Attribute (IPv6): || sPOVPNIP6Address || |- | SSL-Bump-Attribute: || sPSSLBumpMode || |- | Cert-Attribute: || sPCertificate || |- | Page Size: || 500    || colspan="2" | ++page-size--desc,,In größeren Umgebungen kann es vorkommen, dass bei LDAP-Anfragen die serverseitig festgelegte, maximale Anzahl von Datensätzen (im AD sind es 1000) überschritten wird. Mit Page Size kann eingestellt werden das die LDAP-Abfrage stückweise ausgeführt wird. Eine Page Size von 500 bedeutet 500 Datensätze pro Abfrage. Die Page Size von 0 deaktiviert eine schrittweise LDAP-Abfrage.__ |}

++ad-benutzergruppen-berechtigungen,,AD Benutzergruppen Berechtigungen erteilen__

++ad-benutzergruppen-berechtigungen--desc,,Um den Benutzern aus dem Active Directory die Berechtigungen für den Zugriff auf das User-Interface der UTM und der Nutzung des Clientless VPN zu erteilen, wird im Menü → Authentifizierung →BenutzerReiter Gruppen Schaltfläche Gruppe hinzufügen eine Gruppe mit eben diesen Berechtigungen angelegt.__

++benutzergruppe-auswählen--text,,Im Reiter Verzeichnis Dienst kann jetzt die entsprechende Gruppe aus dem Active Directory ausgewählt und zugeordnet werden.

Weitere Informationen über Clientless VPN Berechtigungen befindet sich in dem Wiki zu Clientless VPN.

__

++Ergebnis,,Ergebnis__

++Ergebnis--text,,Nach dem Speichern kann sich jeder Benutzer, der Mitglied in der AD Gruppe ClientlessVPN ist, mit seinen Windows Domänen Zugangsdaten für die Nutzung des Clientless VPN auf der UTM anmleden.__

++ad-test-cli,,Überprüfen der AD Anbindung mit CLI__

++ad-test-cli--text,,Über CLI (Command Line Interface) Kommandos lässt sich verschiedenes über die Active Directory Anbindung und Benutzer überprüfen.

Hinweis: Erfolgt die Eingabe (Bildschirm und Tastatur) direkt an der UTM lautet der Eingabe-Prompt der Firewall z. B.: firewall.foo.local> bzw. entprechend der lokalen Konfiguration. Bei Aufruf über das User-Interface mit dem Menü → Extras →CLI lautet der Prompt CLI> Dahinter befindet sich das CLI Kommando.
Bei den Zeilen darunter handelt es sich um die Ausgabe der UTM zu diesem Befehl.__

++ad-beitreten,,Beitreten und Verlassen der Domäne__

++ad-beitreten--text,,Um zu überprüfen ob die UTM schon der Domäne beigetreten ist:__

cli> system activedirectory testjoin
Join is OK
cli>

++ad-beitreten--text--alternativ,,Sollte das nicht der Fall sein, erfolgt die Ausgabe__

cli> system activedirectory testjoin
Not joined
cli>

++ad-beitreten--alternativ--comand,,In diesem Fall kann der Domäne mit dem folgenden Kommando beigetreten werden__

cli> system activedirectory join password Beispiel-Admin-Passwort
Password for Administrator@TTT-POINT.LOCAL: 
Processing principals to add...
Enter Administrator's password:
Using short domain name -- TTT-POINT
Joined 'SP-UTML' to dns domain 'ttt-point.local'
cli>

++ad-beitreten--command-verlassen,,Das Kommando um die Domäne zu verlassen lautet__

cli> system activedirectory leave password Beispiel-Admin-Passwort
Enter Administrator's password:
Deleted account for 'SP-UTML' in realm 'TTT-POINT.LOCAL'
cli>

++ad-beitreten--passwort,,Beim Beitreten bzw. Verlassen des Active Directories ist die Angabe des Administratorpasswortes notwendig. Das Passwort wird nicht gespeichert, die AD-Zugehörigkeit ist trotzdem Reboot fest.__

++ad-zeigen,,AD Gruppen anzeigen__

++ad-zeigen--text,,Mit dem folgenden Kommando können die Gruppen im Active Directory aufgelistet werden:__

cli> system activedirectory lsgroups
member
------
Abgelehnte RODC-Kennwortreplikationsgruppe
Administratoren
Benutzer
Builtin
ClientlessVPN
Discovery Management
Domänen-Admins
Domänen-Benutzer
Domänen-Gäste
Exchange Servers
...
Users 
Windows-Autorisierungszugriffsgruppe
cli>

++ad-zugehörigkeit,,Überprüfen der Benutzer und Gruppenzugehörigkeit__

++ad-zugehörigkeit--text,,Das folgende Kommando überprüft, ob ein AD-Benutzer einer UTM Gruppe zugeordnet ist:__

cli> user check name "m.meier" groups grp_ClientlessVPN
matched
cli>

++ad-zugehörigkeit--no-member,,Sollte das nicht der Fall sein erfolgt die Ausgabe__

not a member
cli>

++ad-zugehörigkeit--gruppe,,Befehl, um zu einem AD-Benutzer die Gruppenzugehörigkeit und Berechtigungen auszugegeben:__

cli> user get name m.meier
name   |groups           |permission
-------+-----------------+----------
m.meier|grp_ClientlessVPN|WEB_USER,VPN_CLIENTLESS
cli>

++dc-hinters2s,,Domain-Controller hinter Site-to-Site-VPN__

++dc-hinters2s--text,,In manchen Szenarien befindet sich der Domain-Controller hinter einem Site-to-Site-VPN-Tunnel. Ist dies der Fall, muss eine entsprechende Zone und eine Regel konfiguriert werden.__
DNS-Relay bei IPSec-S2S
DNS-Relay bei SSL-S2S
++dc-hinters2s--hinweis,,Achtung: Für einen Beitritt in ein Active-Directory, das sich hinter einem VPN-Tunnel befindet, werden in der NAT-Regel Richtung Domain-Controller neben den DNS-Ports natürlich noch die LDAP-Ports benötigt.__