Konfiguration von Gibraltar in Verbindung mit Active Directory. Gewisse Active Directory Benutzer sollen nachfolgende Dienste mit Ihren gewohnten Benutzernamen und Passwörtern nutzen können. Der Zugriff auf diese Dienste kann mit Active Directory Sicherheitsgruppen gesteuert werden. Konfiguration von OpenVPN für den Fernzugriff.
▪ | HTTP-Proxy zum Schutz des HTTP-Traffic |
▪ | SMTP-Authentifizierung damit Mitarbeiter von extern über die Firewall Mails versenden können |
▪ | OpenVPN zur gesicherten Einwahl ins interne Netz |
Folgende Voraussetzungen der Active Directory Domäne sind gegeben:
▪ | Domänenname: "firma.local" |
▪ | Organisationseinheit des Active Directory Benutzers für die Kommunikation mit Gibraltar: firma.local/firma/Benutzer |
▪ | Loginname des Active Directory Benutzers: "gibuser" |
▪ | Organisationseinheit für die Active Directory Gruppen zur Steuerung des Zugriffs auf die einzelnen Dienste: firma.local/firma/Gruppen |
▪ | Eine domänenlokale Gruppe "dl_http" in der Organisationseinheit "firma.local/firma/Gruppen" für die Steuerung des Zugriffs auf den HTTP-Proxy. |
▪ | Eine domänenlokale Gruppe "dl_smtp" in der Organisationseinheit "firma.local/firma/Gruppen" für die Steuerung des Zugriffs auf die SMTP-Authentifizierung |
▪ | Eine domänenlokale Gruppe "dl_vpn" in der Organisationseinheit "firma.local/firma/Gruppen" für die Steuerung der Einwahl via VPN. |
▪ | Internes Netz: 192.168.0.0/24 |
Hinweis: Alle angegebenen Werte sind nur Beispiele. Sie müssen diese Werte an Ihre individuellen Gegebenheiten anpassen.
Systemvoraussetzungen
PC mit zwei kompatiblen Netzwerkkarten oder Gibraltar Security Gateway.
Installation von Gibraltar
Installieren sie Gibraltar wie im Kapitel Installation beschrieben.
Systemeinstellungen
Systemeinstellungen wie in Szenario 2
Netzwerkeinstellungen - Netzwerkkarte
Netzwerk- sowie Routingeinstellungen wie in Szenario 2
ACHTUNG: Durch das Verändern der IP-Adresse auf der Netzwerkkarte, über die Sie auf Gibraltar zugreifen, wird die Verbindung unterbrochen und Sie müssen für Ihren Arbeitsplatzrechner ebenfalls die IP-Adresse anpassen.
Firewallregeln
Firewallregeln wie in Szenario 2
NAT - Regeln
NAT-Regeln wie in Szenario 2
Integration in Active Directory
Um alle Dienste mit den bestehenden Windows-Logins nutzen zu können, muss Gibraltar in das Active Directory integriert werden. Gehen Sie folgendermaßen vor:
1. | Wählen Sie die Registerkarte Benutzer. |
2. | Sie werden automatisch zur Registerkarte LDAP Einstellungen weitergeleitet. |
3. | Server: Wählen Sie "Active Directory". |
4. | IP Domaincontroller: Geben Sie hier die IP-Adresse eines Domaincontrollers an. |
5. | Benutzer für Kommunikation mit dem AD: Geben Sie hier den Namen eines Active Directory Benutzers ("gibuser") ein. Dieser Benutzer muss keine Administratorenrechte haben, da er lediglich zur Kommunikation mit dem Active Directory verwendet wird. |
6. | AD Benutzerpasswort: Geben Sie hier das Passwort des Benutzers "gibuser" ein und wiederholen Sie es im folgendem Feld. |
7. | Organisationseinheit dieses AD-Benutzers: Geben sie hier die Organisationseinheit des AD Benutzers "gibuser" ein. ("ou=Benutzer,ou=firma"). |
8. | Organisationseinheit AD Gruppen: Geben Sie die Organisationseinheit für die AD Gruppen ein: ("ou=Gruppen,ou=firma"). |
9. | Domäne: Geben sie hier den FQDN der internen Windows Domäne ein ("firma.local") |
10. | Speichern: Betätigen Sie diese Schaltfläche, um die Werte zu speichern. |
11. | Domäne beitreten: Betätigen Sie diese Schaltfläche, um einer Active Directory Domäne beizutreten. |
12. | Domänenadministrator: Geben sie hier den Windows Loginnamen eines Domänenadministrators an. |
13. | Passwort: Geben Sie hier das Passwort des Domänenadministrators an. |
14. | Domäne beitreten: Betätigen Sie diese Schaltfläche, um einer Active Directory Domäne beizutreten. |
15. | AD Gruppen auswählen: Betätigen Sie diese Schaltfläche, um Active Directory Gruppen für die Steuerung der Zugriffe auszuwählen. Es werden alle Gruppen aufgelistet, die sich in der Organisationseinheit "ou=Gruppen,ou=firma" befinden. |
16. | VPN Gruppe: Wählen Sie hier die Gruppe "dl_vpn" |
17. | HTTP-Proxy Gruppe: Wählen Sie hier die Gruppe "dl_http". |
18. | Mail Gruppe: "Wählen Sie hier die Gruppe "dl_mail". |
19. | Speichern: Betätigen Sie diese Schaltfläche, um die Werte zu speichern. |
20. | Fügen Sie nun mit Hilfe des Active Directory Snap In die autorisierten Benutzer in die jeweiligen Gruppen. |
HTTP-Proxy konfigurieren
1. | Wählen Sie im Hauptmenü den Punkt Proxy Server. |
2. | Wählen Sie den Untermenüpunkt HTTP Proxy. |
3. | Wählen Sie die Registerkarte Proxy Cache. |
4. | Hauptspeicher für Proxy (in MB): Geben Sie hier einen Wert an, wie viel Hauptspeicher für den Proxy-Cache zur Verfügung gestellt werden soll. Dieser Teil des Hauptspeichers wird dadurch für übrige Dienste blockiert. Belassen Sie den Wert auf 4. |
5. | Maximale Größe des Objekts (in KB): Dieser Wert legt fest, bis zu welcher Größe Objekte im Cache zwischengespeichert werden, die auf besuchten Homepages angezeigt werden. Überschreitet ein Objekt diesen Wert, so wird es nicht für einen weiteren Aufruf im Cache zwischengespeichert. |
6. | Cache auf Festplatte verwenden: Markieren Sie dieses Kontrollkästchen, wenn Sie eine Festplatte im Modul System eingebunden haben und diese auch als Cache für den HTTP-Proxy zur Verfügung stellen wollen. |
7. | Größe des Disk-Cache (in MB): Wenn Sie das Kontrollkästchen Cache auf der Festplatte verwenden markiert haben, können Sie in diesem Textfeld den Speicherplatz eingeben, den Sie für den HTTP-Proxy auf der Festplatte zur Verfügung stellen wollen. |
8. | Speichern: Betätigen Sie diese Schaltfläche, um die Änderungen zu speichern. |
9. | Wählen Sie die Registerkarte Authentifizierung. |
10. | Authentifizierungsmethode: Wählen Sie hier den Wert "Authentifizierung über LDAP". |
11. | Speichern: Betätigen Sie diese Schaltfläche, um die Änderungen zu speichern. |
12. | Wählen Sie die Registerkarte Content Filter. |
13. | Kaspersky Anti-Virus: Markieren Sie dieses Kontrollkästchen, um den Kaspersky Anti-Virus Scanner zu aktivieren, sofern Sie für diesen eine gültige Lizenz erworben haben. |
14. | Speichern: Betätigen Sie diese Schaltfläche, um die Änderungen zu speichern. |
15. | Erstellen Sie nun eine Firewallregel, die für den TCP Port 3128 von int->local die Pakete erlaubt, damit Ihre Benutzer den HTTP-Proxy verwenden können. |
16. | Starten Sie anschließend im Modul Dienste den HTTP-Proxy Dienst, damit die Einstellungen aktiviert werden und stellen Sie den Starttyp auf "automatisch". |
Wichtig: Damit Ihre Benutzer den HTTP-Proxy verwenden können muss dieser bei den jeweiligen Internet Browsern eingetragen werden. Am leichtesten lösen Sie diese Aufgabe mit Hilfe von Active Directory Gruppenrichtlinien! Damit können nun alle Benutzer, die sich in der Gruppe "dl_http" befinden den HTTP-Proxy ohne Eingabe von Benutzernamen und Passwort verwenden.
Mail Authentifizierung konfigurieren
1. | Wählen Sie im Hauptmenü den Punkt Mail.. |
2. | Wählen Sie die Registerkarte SMTP-Authentifizierung. |
3. | Authentifizierung verwenden: Aktivieren Sie dieses Kontrollkästchen, um die Authentifizierung zu verwenden. |
4. | Speichern: Betätigen Sie diese Schaltfläche, um die Änderungen zu speichern. |
5. | Erstellen Sie nun eine Firewallregel, die für den TCP Port 25 von ext->local die Pakete erlaubt, damit Ihre Benutzer über Gibraltar Mails versenden können. |
6. | Starten Sie anschließend im Modul Dienste den Mail Server Dienst, damit die Einstellungen aktiviert werden und stellen Sie den Starttyp auf "automatisch". |
Konfigurieren Sie nun bei den Mailclients Ihrer Benutzer Gibraltar als SMTP-Server. Vergessen Sie dabei nicht, dass der SMTP-Server eine gesicherte Verbindung (SSL) benötigt (Bspw. bei Microsoft Outlook Express in den erweiterten Kontooptionen einzustellen)
Erstellen eines Zertifikates
Für die Authentifizierung bei OpenVPN werden Benutzerzertifikate verwendet. Damit Sie Zertifikate im Active Directory speichern können, müssen zuerst die Berechtigungen auf das Schema für den Active Directory Benutzer "gibuser" adaptiert werden. Melden Sie sich als Schemaadministrator auf einem Domänencontroller an und geben Sie folgende Befehlszeile ein:
dsacls ou=Benutzer,ou=firma,dc=firma,dc=local /I:S /G "firma\gibuser:RPWP;userPKCS12;user"
Um ein Benutzerzertifikat zu erstellen gehen Sie folgendermaßen vor:
1. | Wählen Sie im Hauptmenü den Punkt VPN.. |
2. | Wählen Sie die Untermenüpunkt Zertifikate. |
3. | Clientzertifikat generieren: Betätigen Sie diese Schaltfläche, um ein neues Zertifikat hinzuzufügen. |
4. | Füllen Sie alle Felder sinngemäß aus und wählen Sie bei Eigentümer den Active Directory Benutzer, für den Sie das Zertifikat generieren wollen. Notieren Sie sich das Passwort, da Ihre Benutzer dieses zur Herstellung der OpenVPN Verbindung benötigen. |
5. | Speichern Sie das soeben erstelle Zertifikat auf Ihrer lokalen Festplatte ab. |
Konfiguration des OpenVPN Dienstes
Zur Konfiguration des OpenVPN Dienstes gehen Sie folgendermaßen vor:
1. | Wählen Sie im Hauptmenü den Punkt VPN.. |
2. | Wählen Sie den Untermenüpunkt OpenVPN. |
3. | IP-Adresse: Wählen Sie hier die Ihre offizielle IP Adresse. ("1.1.1.1") |
4. | Geroutete Netzwerke: Geben Sie hier das interne Netzwerk an, das über OpenVPN erreichbar sein soll. ("192.168.0.0/24) |
5. | Speichern: Betätigen Sie diese Schaltfläche, um die Änderungen zu speichern. |
6. | Erstellen Sie nun eine Firewallregel, die alle Pakete vom Interface tun+ (virtuelles Interface der OpenVPN Einwahl) nach int erlaubt. |
7. | Starten Sie anschließend im Modul Dienste den OpenVPN Dienst, damit die Einstellungen aktiviert werden und stellen Sie den Starttyp auf "automatisch". |
Windows Client installieren
Der für OpenVPN notwendige Client für Ihre Benutzer kann auf der Seite http://openvpn.se/ heruntergeladen werden.
Nach der Installation des Pakets für Windows kann nach Wunsch noch die deutsche Version (oder spanische, italienische, französische, schwedische oder norwegische Version) heruntergeladen werden. Diese Datei muss anschließend nach c:\Programme\OpenVPN\bin kopiert werden und ersetzt das englischsprachige Original. Nach dem Starten (Client startet automatisch bei jedem Neustart) befindet sich in der Taskleiste (Rechts unten neben der Uhrzeit) ein neues Symbol - der OpenVPN Client. Um den OpenVPN Client für die Einwahl zu konfigurieren gehen Sie folgendermaßen vor:
1. | Kopieren Sie das soeben heruntergeladene Zertifikat ins Verzeichnis "c:\programme\openvpn\config". |
2. | Wählen Sie im Hauptmenü den Punkt VPN. |
3. | Wählen Sie den Untermenüpunkt OpenVPN. |
4. | Clientkonfig. herunterladen: Betätigen Sie diese Schaltfläche, um die Clientkonfiguration herunterzuladen und speichern Sie diese ins Verzeichnis "c:\programme\openvpn\config". |
5. | Starten Sie mit der rechten Maustaste die OpenVPN Verbindung und geben Sie dabei das Passwort ein, das Sie bei der Erstellung des Zertifikates gewählt haben. |
Nach erfolgreicher Einwahl haben Ihre Benutzer Zugriff auf die internen Ressourcen.
Active Directory Gruppen
Konfigurieren Sie nun die Mitgliedschaft in den jeweiligen Gruppen, um Ihren Benutzern den Zugriff auf die Dienste zu erlauben. Fügen Sie bspw. einen Benutzer "user1" in die Gruppe "dl_http", damit dieser den HTTP-Proxy verwenden kann!
ACHTUNG: Aus Performancegründen cachet sich der HTTP-Proxy die Authentifizierungsdaten. Sollten Sie den Benutzer "user1" wieder aus der Gruppe "dl_http" entfernen, so wird diese Einstellung erst nach einer Stunde wirksam. Um dies zu beschleunigen starten Sie einfach den HTTP-Proxy Dienst neu!.
Konfiguration speichern
1. | Speichern Sie die Konfiguration auf einem USB-Stick oder auf der Harddisk. |
Damit sind die Einstellungen vollkommen und der angelegte Benutzer kann einen VPN Tunnel aufbauen. Durch das Speichern der Konfiguration können Sie jederzeit den jetzigen Stand wiederherstellen, indem Sie den USB Stick in den Computer geben und Gibraltar neu booten.
|