LDAP Einstellungen |
Top Previous Next |
Nach der Auswahl des Moduls zur Benutzerverwaltung wird beim ersten Aufruf automatisch auf die zweite Registerkarte LDAP-Einstellungen umgeleitet. In diesem Formular muss der zu verwendende LDAP Server ausgewählt werden. Standardmäßig wird der lokale OpenLDAP Server verwendet.
Lokaler OpenLDAP Server (Standard) Neben dem Feld "Status" wird der aktuelle Status angezeigt (in diesem Fall läuft der Server nicht) und dieser kann auch geändert werden. Durch das Drücken des Start-Buttons (grüner Pfeil) wird der LDAP Server gestartet.
Nach dem Aktivieren des Servers können im Formular Benutzer die Benutzer angelegt werden.
HINWEIS: Nach dem Starten des lokalen OpenLDAP Servers wird dieser auch bei jedem Neustart der Firewall gestartet. Er kann über dieses Tab auf Wunsch auch wieder gestoppt (roter Stopbutton) werden.
Externer OpenLDAP Server
ACHTUNG: Die Verwendung eines externen OpenLDAP Servers benötigt ausführliches Wissen über die Administration eines OpenLDAP Servers (z.B. für die Konfiguration der Access Control Lists) und ist daher wirklich nur für Profis ratsam.
Neben dem lokalen OpenLDAP Server kann auch ein externer OpenLDAP Server verwendet werden. In der Auswahlliste "Server" muss hierzu der "external LDAP" Server ausgewählt werden. Anschließend ändert sich die Anzeige (JavaScript muss hierfür aktiviert sein) und zusätzliche Felder müssen ausgefüllt werden:
TIPP: Diese Variante empfiehlt sich nur für spezielle Installationen mit vielen Benutzern bzw. für bereits vorhandene OpenLDAP Server. Für den Großteil der Installationen ist der lokale OpenLDAP Server völlig ausreichend. Dieser ist direkt auf diese Anwendung abgestimmt und benötigt keine weiteren Einstellungen.
HINWEIS: Bei Verwendung eines externen Servers sollte die Verbindung immer verschlüsselt werden.
SSL Zertifikat Um die Verbindung zu einem externen OpenLDAP Server zu verschlüsseln, ist es notwendig ein Serverzertifikat zu erstellen. Das Zertifikat kann mit OpenSSL erstellt werden: Anschließend muss der OpenLDAP Server entsprechend konfiguriert werden, um das SSL Zertifikat zu verwenden. Die Anleitung hierfür unterscheidet sich für die verschiedenen Distributionen und sind daher aus der Dokumentation der jeweiligen Distribution zu entnehmen.
Microsoft Active Directory Wollen Sie Microsoft Active Directory (AD) zur Authentifizierung verwenden, wählen Sie den entsprechenden Eintrag in der Auswahlliste Server.
Berechtigungen des AD Benutzers, der für die Authentifizierung verwendet wird Es wird empfohlen, einen normalen Benutzeraccount (z.B. Firewall oder Gibraltar) anzulegen, mit dem die Authentifizierung durchgeführt wird. Dadurch ist es nicht notwendig, die Benutzerdaten des Domänenadministrators auf der Firewall zu speichern. Für die Speicherung der Clientzertifikate müssen allerdings die Berechtigungen erweitert werden. Dazu wird das standardmäßig vorhandene Tool dsacls des AD verwendet. Bei DSACLS (dsacls.exe) handelt es sich um ein Befehlszeilentool, das zum Anfordern und Ändern von Berechtigungen und Sicherheitsattributen von Active Directory-Objekten verwendet wird. Es handelt sich um die Befehlszeilenentsprechung der Registerkarte Sicherheit in Windows 2000 Server Active Directory-Snap-In-Tools wie Active Directory-Benutzer und -Computer oder Active Directory-Standorte und -Dienste. (MS DSACLS)
Wurde der Benutzer wie im Bild oben angelegt, so können sich mit folgendem Befehl die Berechtigungen des Benutzers firewall ausgeben lassen: dsacls cn=firewall,ou=esys,dc=esys,dc=local
Diese Berechtigungen müssen mit folgendem Befehl erweitert werden: dsacls ou=esys,dc=esys,dc=local /I:S /G "esys\firewall:RPWP;userPKCS12;user"
Die Rechte des Benutzers firewall werden dahingehend erweitert, dass dieser Benutzer Lese- und Schreibrechte (RPWP-Right Property, Write Property) auf das Attribut userPKCS12 erweitert werden. In diesem Attribut werden die Clientzertifikate gespeichert. Weitere Informationen können in DSACLS-Befehlssyntax nachgelesen werden.
Domäne beitreten Für die VPN Dienste PPTP und L2TP ist es notwendig, dass Gibraltar der Domäne als Mitglied beitritt. Dazu müssen Sie folgende Angaben machen:
HINWEIS: Die Zugangsdaten des Administrators werden nur zum Beitreten in die Domäne benötigt und nicht dauerhaft auf Gibraltar gespeichert.
AD Gruppen auswählen Für jeden auf der Firewall verfügbaren Dienst der eine Authentifizierung verlangt, kann in dieser Registerkarte eine Gruppe ausgewählt werden. Alle Benutzer, die sich in den ausgewählten Gruppen befinden, dürfen den zugehörigen Dienst verwenden.
HINWEIS: Es kann auch für jeden Dienst die gleiche Gruppe ausgewählt werden, ein Benutzer der sich in dieser Gruppe befindet darf dann alle Dienste verwenden.
SSL Zertifikat Eine Beschreibung zur Integration eines SSL Zertifikates finden Sie auf http://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/index.jsp?topic=/com.ibm.itame.doc/am60_install166.html
|