LDAP Einstellungen

Top  Previous  Next

Nach der Auswahl des Moduls zur Benutzerverwaltung wird beim ersten Aufruf automatisch auf die zweite Registerkarte LDAP-Einstellungen umgeleitet. In diesem Formular muss der  zu verwendende LDAP Server ausgewählt werden. Standardmäßig wird der lokale OpenLDAP Server verwendet.

 

Lokaler OpenLDAP Server (Standard)

Neben dem Feld "Status" wird der aktuelle Status angezeigt (in diesem Fall läuft der Server nicht) und dieser kann auch geändert werden. Durch das Drücken des Start-Buttons (grüner Pfeil) wird der LDAP Server gestartet.

 

Nach dem Aktivieren des Servers können im Formular Benutzer die Benutzer angelegt werden.

 

HINWEIS: Nach dem Starten des lokalen OpenLDAP Servers wird dieser auch bei jedem Neustart der Firewall gestartet. Er kann über dieses Tab auf Wunsch auch wieder gestoppt (roter Stopbutton) werden.

 

Externer OpenLDAP Server

 

ACHTUNG: Die Verwendung eines externen OpenLDAP Servers benötigt ausführliches Wissen über die Administration eines OpenLDAP Servers (z.B. für die Konfiguration der Access Control Lists) und ist daher wirklich nur für Profis ratsam.

 

Neben dem lokalen OpenLDAP Server kann auch ein externer OpenLDAP Server verwendet werden. In der Auswahlliste "Server" muss hierzu der "external LDAP" Server ausgewählt werden. Anschließend ändert sich die Anzeige (JavaScript muss hierfür aktiviert sein) und zusätzliche Felder müssen ausgefüllt werden:

 

LDAP Server: IP Adresse bzw. Hostname des externen LDAP Servers. (Achtung: Für eine Verschlüsselung der Verbindung mit TLS MUSS hier der Hostname verwendet werden, der im TLS Zertifikat unter Common Name enthalten ist)
LDAP Port: Port des LDAP Servers (Standardmäßig 389)
Benutzername Administrator: manager (sofern die LDAP Initialisierungsdaten verwendet werden)
OU: ou=admin (sofern die LDAP Initialisierungsdaten verwendet werden)
Root DC: dc=gibraltar,dc=local (sofern die LDAP Initialisierungsdaten verwendet werden)
Passwort: wird zufällig erzeugt. Nach dem Einspielen der LDAP Initialisierungsdaten empfiehlt es sich, das Passwort zu ändern.
Passwort  bestätigen: Bestätigen des geänderten Passworts
LDAP Passwörter ändern: Durch diesen Button lassen sich weitere Passwörter ändern. Die verschiedenen Dienste benötigen verschiedene Benutzer mit unterschiedlichen Berechtigungen. Die Passwörter können hier geändert werden.
TLS: Für eine mit TLS-verschlüsselte Verbindung muss für den externen OpenLDAP Server ein Zertifikat erstellt werden und der Server entsprechend für StartTLS bzw. SSL konfiguriert werden. Bei StartTLS erfolgt die Verschlüsselung über den Standardport nach dem Verschicken eines speziellen Kommandos, bei SSL erfolgt die Verschlüsselung über einen eigenen Port (636). Über diesen Port wird nur verschlüsselt kommuniziert. Es müssen beide Varianten aktiviert sein, da manche Dienste, die die Benutzerverwaltung verwenden, nur die eine bzw. die andere Variante unterstützen.
LDAP Schema herunterladen: Der OpenLDAP Server auf der Gibraltar Firewall verwendet zur Benutzerverwaltung eigene Schemadateien. Diese Schemadatei kann hier heruntergeladen werden und diese muss anschließend im OpenLDAP Server eingebunden werden.
LDAP Initialisierungsdaten herunterladen: Zusätzlich zu den Schemadateien wird auch das Grundgerüst benötigt, dass hier heruntergeladen werden kann.

 

 

TIPP: Diese Variante empfiehlt sich nur für spezielle Installationen mit vielen Benutzern bzw. für bereits vorhandene OpenLDAP Server. Für den Großteil der Installationen ist der lokale OpenLDAP Server völlig ausreichend. Dieser ist direkt auf diese Anwendung abgestimmt und benötigt keine weiteren Einstellungen.

 

HINWEIS: Bei Verwendung eines externen Servers sollte die Verbindung immer verschlüsselt werden.

 

SSL Zertifikat

Um die Verbindung zu einem externen OpenLDAP Server zu verschlüsseln, ist es notwendig ein Serverzertifikat zu erstellen. Das Zertifikat kann mit OpenSSL erstellt werden:

Anschließend muss der OpenLDAP Server entsprechend konfiguriert werden, um das SSL Zertifikat zu verwenden. Die Anleitung hierfür unterscheidet sich für die verschiedenen Distributionen und sind daher aus der Dokumentation der jeweiligen Distribution zu entnehmen.

 

Microsoft Active Directory

Wollen Sie Microsoft Active Directory (AD) zur Authentifizierung verwenden, wählen Sie den entsprechenden Eintrag in der Auswahlliste Server.

 

IP Domänencontroller: IP Adresse bzw. Hostname des Domänencontrollers. (Achtung: Für eine Verschlüsselung der Verbindung mit TLS MUSS hier der Hostname verwendet werden, der im TLS Zertifikat unter Common Name enthalten ist)
LDAP Port: LDAP-Port des Directoryservers (Standardmäßig 389)
AD Benutzer: Name eines Benutzers zur Authentifizierung der Firewall am Active Directory. Hier empfiehlt es sich NICHT den Administratoraccount (meist "administrator") zu verwenden, sondern einen eigenen Benutzer (z.B. gibraltar) anzulegen. Hierfür reicht ein normaler Benutzeraccount. Spezielle Berechtigungen werden nur zum Speichern der OpenVPN Zertifikate benötigt.
AD Benutzerpasswort: Passwort des gewählten Benutzeraccounts.
AD Benutzerpasswort  bestätigen: Bestätigen des gewählten Passworts
Organisationseinheit AD Benutzer: Name der OU (Organisationseinheit), in die der AD Benutzer eingegliedert ist.
Domänenname: Domänenname, der beim Konfigurieren des Active Directorys gewählt wurde, z.B. gibraltar.local oder esys.local.
TLS: Für eine mit TLS-verschlüsselte Verbindung muss für den AD Server ein Zertifikat erstellt werden und der Server entsprechend konfiguriert werden (Certificate Authority).
Domäne beitreten/verlassen: Zum Beitreten zur Domäne benötigen Sie Benutzername und Passwort eines Domänenadministrators.
Gruppen auswählen: Für die entsprechenden Dienste (Mail, HTTP-Proxy, ChilliSpot, VPN) müssen anschließend die dafür berechtigten Gruppen ausgewählt werden. Dadurch kann konfiguriert werden, dass alle Benutzer in einer bestimmten Gruppe (z.B. internet) den ausgewählten Dienst verwenden dürfen.

 

ldap_ad

 

Berechtigungen des AD Benutzers, der für die Authentifizierung verwendet wird

Es wird empfohlen, einen normalen Benutzeraccount (z.B. Firewall oder Gibraltar) anzulegen, mit dem die Authentifizierung durchgeführt wird. Dadurch ist es nicht notwendig, die Benutzerdaten des Domänenadministrators auf der Firewall zu speichern.

Für die Speicherung der Clientzertifikate müssen allerdings die Berechtigungen erweitert werden. Dazu wird das standardmäßig vorhandene Tool dsacls des AD verwendet.

Bei DSACLS (dsacls.exe) handelt es sich um ein Befehlszeilentool, das zum Anfordern und Ändern von Berechtigungen und Sicherheitsattributen von Active Directory-Objekten verwendet wird. Es handelt sich um die Befehlszeilenentsprechung der Registerkarte Sicherheit in Windows 2000 Server Active Directory-Snap-In-Tools wie Active Directory-Benutzer und -Computer oder Active Directory-Standorte und -Dienste. (MS DSACLS)

 

Wurde der Benutzer wie im Bild oben angelegt, so können sich mit folgendem Befehl die Berechtigungen des Benutzers firewall ausgeben lassen:

dsacls cn=firewall,ou=esys,dc=esys,dc=local

 

Diese Berechtigungen müssen mit folgendem Befehl erweitert werden:

dsacls ou=esys,dc=esys,dc=local /I:S /G "esys\firewall:RPWP;userPKCS12;user"

 

Die Rechte des Benutzers firewall werden dahingehend erweitert, dass dieser Benutzer Lese- und Schreibrechte (RPWP-Right Property, Write Property) auf das Attribut userPKCS12 erweitert werden. In diesem Attribut werden die Clientzertifikate gespeichert. Weitere Informationen können in DSACLS-Befehlssyntax nachgelesen werden.

 

Domäne beitreten

Für die VPN Dienste PPTP und L2TP ist es notwendig, dass Gibraltar der Domäne als Mitglied beitritt. Dazu müssen Sie folgende Angaben machen:

Domänencontroller: IP Adresse eines Domänencontrollers
Domänenadministrator: AD-Benutzer mit den Rechten eines Domänenadministrators, standardmäßig administrator
Passwort

 

HINWEIS: Die Zugangsdaten des Administrators werden nur zum Beitreten in die Domäne benötigt und nicht dauerhaft auf Gibraltar gespeichert.

 

AD Gruppen auswählen

Für jeden auf der Firewall verfügbaren Dienst der eine Authentifizierung verlangt, kann in dieser Registerkarte eine Gruppe ausgewählt werden. Alle Benutzer, die sich in den ausgewählten Gruppen befinden, dürfen den zugehörigen Dienst verwenden.

VPN Gruppe: Gruppe, in der sich die Benutzer befinden müssen, um VPN (PPTP und L2TP) verwenden zu dürfen.
HTTP-Proxy Gruppe: Gruppe, in der sich die Benutzer befinden müssen, um den HTTP-Proxy verwenden zu dürfen.
Mail Gruppe:Gruppe, in der sich die Benutzer befinden müssen, um die Mailauthentifizierung verwenden zu dürfen.
ChilliSpot Gruppe: Gruppe, in der sich die Benutzer befinden müssen, um ChilliSpot verwenden zu dürfen.

 

HINWEIS: Es kann auch für jeden Dienst die gleiche Gruppe ausgewählt werden, ein Benutzer der sich in dieser Gruppe befindet darf dann alle Dienste verwenden.

 

SSL Zertifikat

Eine Beschreibung zur Integration eines SSL Zertifikates finden Sie auf http://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/index.jsp?topic=/com.ibm.itame.doc/am60_install166.html