...
In diesem Artikel wird beschrieben wie der LTA-Client in der LMC unter Verwendung der externen Benutzerverwaltung mit Microsoft Entra ID (ehemals Azure AD) konfiguriert werden kann.
Voraussetzungen:
- Zugang zur LMC samt eigenem Projekt (kostenpflichtig)
- LANCOM Router oder LANCOM R&S®Unified Firewall als LTA-Gateway
- LCOS ab Version 10.80 Rel
- LCOS FX ab Version 10.13
- LTA-Client
- Bereits konfiguriertes und funktionsfähiges Netzwerk samt Internet-Verbindung
- Beliebiger Web-Browser für den Zugriff auf die LMC
- Bereits konfiguriertes und funktionsfähiges Adctive Directory in Microsoft Entra ID
- DynDNS-Anbieter für die E-Mail-Domäne mit Unterstützung für einen "TXT Resource Record"
| Info |
|---|
Der in der LMC integrierte DynDNS-Dienst unterstützt keinen "TXT Resource Record" und kann daher leider nicht verwendet werden. |
Vorgehensweise:
1. Konfigurations-Schritte in der LMC:
1.1 Aktivierung der VPN-Funktionalität:
1.1.1 Wechseln Sie in der LMC in das Menü Netze und klicken auf das Netzwerk, in das sich der LTA-Client einbuchen soll (in diesem Beispiel INTRANET).
1.1.2 Klicken Sie in der Übersicht auf Netz bearbeiten.
1.1.3 Passen Sie die folgenden Parameter an und klicken auf Speichern:
- Aktivieren Sie die Option Geräte über eine sichere Verbindung miteinander koppeln (VPN).
- Tragen Sie bei Central-Site IP-Adressen oder DNS-Namen / LMC Dynamic DNS die öffentliche IP-Adresse oder den DNS-Namen des Routers ein.
1.2 LTA-Funktion aktivieren:
1.2.1 Wechseln Sie im Menü Sicherheit in den Reiter LANCOM Trusted Access und klicken bei LTA aktivieren auf den Schieberegler.
1.2.2 Klicken Sie auf Aktivieren.
1.3 Client-Konfiguration:
In der Client-Konfiguration werden grundlegende Parameter wie die Adresse des LTA-Gateways hinterlegt. Diese Einstellungen gelten global und können nicht für einzelne Benutzer konfiguriert werden.
1.3.1 Wechseln Sie in den Reiter Client-Konfiguration und passen die folgenden Parameter an:
- Erreichbares Netz: Wählen Sie im Dropdown-Menü das in Schritt 1.1 bearbeite Netzwerk aus, in das sich der LTA-Client einbuchen soll (in diesem Beispiel INTRANET).
- Gateway IP oder Domain: Tragen Sie die öffentliche IP-Adresse oder den DNS-Namen des Routers ein, unter der/dem der LTA-Client den Router erreichen kann (in diesem Beispiel 81.81.81.1).
- Trusted Access Client IP Netzwerk: Geben Sie die Netzadresse eines Netzwerks in CIDR-Schreibweise (Classless Inter Domain Routing) an. Aus diesem Netzwerk wird dem LTA-Client eine IP-Adresse zugewiesen (in diesem Beispiel 10.0.0.0/8). In den meisten Fällen wird dazu das Erreichbare Netz verwendet werden, es ist aber auch möglich, ein anderes Netzwerk anzugeben.
- Getunnelte Domains für DNS-Auflösung: Tragen Sie Domains ein, die immer über den VPN-Tunnel übertragen werden sollen (in diesem Beispiel *.intern).
| Info |
|---|
Für die Getunnelten Domains für DNS-Auflösung kann die Wildcard * verwendet werden. Diese steht für beliebig viele Zeichen. Mehrere Einträge können durch ein Komma separiert werden. |
...
| Hinweis |
|---|
Im VPN gibt es einige Standard-Einstellungen und -Profile (z.B. Verschlüsselungs-Parameter). Diese werden bei der Einrichtung von VPN-Verbindungen herangezogen und ermöglichen eine einfachere Konfiguration anhand vorgefertigter Parameter. Bei Verwendung von IKEv2 kommt der Gegenstelle DEFAULT in der Verbindungs-Liste eine besondere Bedeutung zu, da der initiale Verbindungsaufbau über diese erfolgt. Wenn die VPN-Verbindung erkannt wird (etwa anhand der Identitäten), erfolgt ein Schwenk auf die tatsächliche VPN-Gegenstelle. Die Standard-Profile dürfen auf keinen Fall gelöscht oder verändert werden. Ansonsten kann es dazu kommen, dass keine VPN-Verbindung mehr aufgebaut werden kann!
|
Voraussetzungen:
- Zugang zur LMC samt eigenem Projekt (kostenpflichtig)
- LANCOM Router oder LANCOM R&S®Unified Firewall als LTA-Gateway
- LCOS ab Version 10.80 Rel (download aktuelle Version)
- LCOS FX ab Version 10.13 (download aktuelle Version)
- LTA-Client (download aktuelle Version)
- Bereits konfiguriertes und funktionsfähiges Netzwerk samt Internet-Verbindung
- Beliebiger Web-Browser für den Zugriff auf die LMC
- Bereits konfiguriertes und funktionsfähiges Adctive Directory in Microsoft Entra ID
- DynDNS-Anbieter für die E-Mail-Domäne mit Unterstützung für einen "TXT Resource Record"
| Info |
|---|
Der in der LMC integrierte DynDNS-Dienst unterstützt keinen "TXT Resource Record" und kann daher leider nicht verwendet werden. |
Vorgehensweise:
1. Initiale Konfigurations-Schritte in der LMC:
1.1 Aktivierung der VPN-Funktionalität:
1.1.1 Wechseln Sie in der LMC in das Menü Netze und klicken auf das Netzwerk, in das sich der LTA-Client einbuchen soll (in diesem Beispiel INTRANET).
1.1.2 Klicken Sie in der Übersicht auf Netz bearbeiten.
1.1.3 Passen Sie die folgenden Parameter an und klicken auf Speichern:
- Geräte über eine sichere Verbindung miteinander koppeln (VPN): Setzen Sie den Haken, um die VPN-Funktionalität zu aktivieren.
- Central Site IP-Adressen oder DNS-Namen: Tragen Sie die öffentliche IP-Adresse oder den DNS-Namen des Routers ein. Diese muss angegeben werden, sobald die VPN-Funktionalität aktiviert wird.
1.2 LTA-Funktion aktivieren:
1.2.1 Wechseln Sie im Menü Sicherheit in den Reiter LANCOM Trusted Access und klicken bei LTA aktivieren auf den Schieberegler.
1.2.2 Klicken Sie auf Aktivieren.
1.3 Client-Konfiguration:
In der Client-Konfiguration werden grundlegende Parameter wie die Adresse des LTA-Gateways hinterlegt. Diese Einstellungen gelten global und können nicht für einzelne Benutzer konfiguriert werden.
1.3.1 Wechseln Sie in den Reiter Client-Konfiguration und passen die folgenden Parameter an:
- Erreichbares Netz: Wählen Sie im Dropdown-Menü das in Schritt 1.1 bearbeite Netzwerk aus, in das sich der LTA-Client einbuchen soll (in diesem Beispiel INTRANET).
- Gateway IP oder Domain: Tragen Sie die öffentliche IP-Adresse oder den DNS-Namen des Routers ein, unter der/dem der LTA-Client den Router erreichen kann (in diesem Beispiel 81.81.81.1).
- Trusted Access Client IP Netzwerk: Geben Sie die Netzadresse eines Netzwerks in CIDR-Schreibweise (Classless Inter Domain Routing) an. Aus diesem Netzwerk wird dem LTA-Client eine IP-Adresse zugewiesen (in diesem Beispiel 10.0.0.0/8). In den meisten Fällen wird dazu das Erreichbare Netz verwendet werden, es ist aber auch möglich, ein anderes Netzwerk anzugeben.
- Getunnelte Domains für DNS-Auflösung: Tragen Sie Domains ein, die immer über den VPN-Tunnel übertragen werden sollen (in diesem Beispiel *.intern).
| Info |
|---|
Für die Getunnelten Domains für DNS-Auflösung kann die Wildcard * verwendet werden. Diese steht für beliebig viele Zeichen. Mehrere Einträge können durch ein Komma separiert werden. |
1.3.2 Passen Sie bei Bedarf die folgenden Parameter an:
- AVC-Modus im LTA-Client erlauben: Wird diese Option aktiviert, kann der Benutzer zwischen LTA-Client und dem Advanced VPN Client umschalten. Dies ist z.B. sinnvoll, wenn neben dem LTA-Zugang in die Firma zusätzliche VPN-Verbindungen zu Kunden bestehen.
- Autarker Weiterbetrieb im LTA-Client aktivieren: Wird der autarke Weiterbetrieb aktiviert, kann für den angegebenen Zeitraum eine VPN-Verbindung mit dem LTA-Client aufgebaut werden, auch wenn die LMC nicht erreichbar ist.
1.3.3 Wählen Sie bei Split Tunnel die Option Nur Netzwerkverkehr zu konfigurierten Netzwerken durch den Tunnel (Split Tunnel) aus und klicken auf das "Plus-Zeichen", um die Ziel-Netzwerke anzugeben.
| Info |
|---|
Wird die Option Gesamter Netzwerkverkehr durch Tunnel (LANCOM Trusted Internet Access - Full Tunnel) verwendet oder bei der Option Option Nur Netzwerkverkehr zu konfigurierten Netzwerken durch den Tunnel (Split Tunnel) kein Ziel-Netzwerk hinterlegt, wird jeglicher Datenverkehr über den VPN-Tunnel übertragen. Dies führt dazu, dass lokale Ressourcen im Netzwerk des Benutzers bei aufgebautem VPN-Tunnel nicht erreicht werden können. Zudem kann es zu einer langsameren Übetragung Übertragung des Internet-Datenverkehrs kommen, da dieser über das LTA-Gateway übertragen wird. Dafür kann der Datenverkehr aber auf dem LTA-Gateway per Content Filter und Antivirus geprüft werden. |
1.3.4 Tragen Sie die Ziel-Netzwerke in CIDR-Schreibweise ein und klicken auf Speichern.
1.4 Endpoint Security (optional):
...
| Info |
|---|
Die Konfiguration kann an dieser Stelle noch nicht gespeichert werden, da hierfür noch die IdP-Metadaten-URL hinterlegt werden muss. Diese wird in Schritt 2.x 2.8 in Entra ID ausgelesen und wird anschließend in Schritt 3.1.1 in der LMC eingetragen. |
1.5.3 Klicken Sie auf Einrichtung abschließen.
...
- TXT Resource Record: Tragen Sie diesen in Ihrem Account bei Ihrem DynDNS-Anbieter für die Domäne als TXT Resource Record ein.
- LMC Entity URL: Tragen Sie diesen in Schritt 2.2.84 als Bezeichner (Entitäts-ID) in Entra ID ein.
- Antwort URL: Tragen Sie diese in Schritt 2.82.4 als Antwort-URL (Assertionsverbraucherdienst-URL) in Entra ID ein.
...
2. Konfigurationsschritte in Microsoft Entra ID:
2.1 Eigene Anwendung erstellen:
2.1.1 Öffnen Sie die Konfigurationsoberfläche von Entra ID und wechseln in das Menü Unternehmensanwendungen.
2.1.2 Wählen Sie die unter Verwalten die Option Alle Anwendungen aus und klicken auf Neue Anwendung.
2.1.3 Klicken Sie auf Eigene Anwendung erstellen.
2.1.4 Passen Seie die folgenden Parameter an und klicken auf Erstellen:
- Wie lautet der Name der App?: Vergeben Sie einen aussagekräftigen Namen für die App (in diesem Beispiel LTA-App).
- Was haben Sie mit Ihrer Anwendung vor?: Wählen Sie die Option Beliebige andere, nicht im Katalog gefundene Anwendung integrieren aus.
2.2 Single Sign on einrichten:
2.5 2.1 Klicken Sie in der soeben erstellten App auf 2. SSO einrichten.
2.2.6 2 Wählen Sie die Option SAML aus.
2.2.7 3 Klicken Sie in dem Feld Grundlegende SAML-Konfiguration auf Bearbeiten.
2.2.8 4 Tragen Sie die in Schritt 1.5.4 kopierten Parameter ein und klicken auf Speichern:
- Bezeichner (Entitäts-ID): Tragen Sie die kopierte LMC Entity URL ein.
- Antwort-URL (Assertionsverbraucherdienst-URL): Tragen Sie die Antwort URL ein.
2.2.9 5 Klicken Sie in dem Feld Attribute & Ansprüche auf Bearbeiten.
2.10 2.6 Klicken Sie auf Neuen Anspruch Gruppenanspruch hinzufügen.
2.11 2.7 Wählen Sie die Option Alle Gruppen aus und klicken auf Speichern.
2.2.12 8 Kopieren Sie in dem Feld SAML-Zertifikate die App-Verbundmetadaten-URL und speichern diese in einer Text-Datei ab. Diese wird in Schritt 3.1.1 als IdP Metadaten-URL in der LMC hinterlegt..
2.3 Registrierung der Applikation:
2.13 3.1 Wechseln Sie in das Menü App-Registrierungen.
2.3.14 2 Klicken Sie in dem Reiter Alle Anwendungen auf die in Schritt 2.1.4 erstellte App.
2.3.15 3 Klicken Sie auf Ein Zertifikat oder Geheimnis hinzufügen.
2.16 3.4 Klicken Sie auf Neuer geheimer Clientschlüssel.
2.3.17 5 Passen Sie die folgenden Parameter an und klicken auf Hinzufügen:
...
| Info |
|---|
Nach Ablauf der Gültigkeit ist ein Abgleich der Active Directory Benutzer mit der LMC nicht mehr möglich. Dann muss ein neues Anwendungskennwort erstellt und dieses in der LMC hinterlegt werden. |
2.18 3.6 Kopieren Sie das Anwendungskennwort unter Wert und speichern dieses in einer Text-Datei ab.
| Hinweis |
|---|
Das Anwendungskennwort muss zwingend in diesem Schritt kopiert werden. Zu einem späteren Zeitpunkt wird das Kennwort unkenntlich gemacht. In diesem Fall muss das Kennwort gelöscht und neu erstellt werden. |
2.4 Kopieren der Anwendungs-ID und der Verzeichnis-ID:
19 Wechseln Sie in der App in die die Übersicht. Kopieren Sie die beiden folgenden Parameter und speichern diese in einer Text-Datei ab:
- VerzeichnisAnwendungs-ID (MandantClient): Diese Diese wird in Schritt 3.1.2 als VerzeichnisAnwendungs-ID (MandantClient-ID) eingetragen.
- AnwendungsVerzeichnis-ID -URI: Diese (Mandant): Diese wird in Schritt 3.1.2 als AnwendungsVerzeichnis-ID (ClientMandant-ID) eingetragen.
2.5 API-Berechtigungen:
2.5.20 1 Wechseln Sie in das Menü API-Berechtigungen und klicken auf Berechtigung hinzufügen.
2.21 5.2 Wählen Sie im Reiter Microsoft-APIs die Option Microsoft Graph aus.
2.5.22 3 Wählen Sie die Option Anwendungsberechtigungen aus.
2.23 5.4 Wählen Sie die Berechtigung Group.Read.All aus und klicken auf Berechtigung hinzufügen.
| Info |
|---|
Durch Eingabe des Strings Group.Read. in der Suche ist die Berechtigung direkt zu finden. |
2.5.5 Klicken Sie auf Administratorzustimmung für <Active-Directory> erteilen.
2.5.24 6 Bestätigen Sie die Abfrage mit einem Klick auf auf Ja.
3. Weitere Weiterführende Konfigurationsschritte in der LMC:
...
3.1.1 Wechseln Sie erneut in die LTA-Benutzerverwaltung in der LMC und tragen im Feld IdP Metadaten-URL die in Schritt 2.2.128 kopierte App-Verbundmetadaten-URL ein.
...
3.1.2 Tragen Sie unter Zugangsdaten für IdP Gruppen-Synchronisation die folgenden Parameter ein und klicken auf Speichern:
- Anwendungs-ID (Client-ID): Tragen Sie die in Schritt 2.194 kopierte Anwendungs-ID -URI (Client) ein.
- Client Secret: Tragen Sie das in Schritt 2.3.186 kopierte Anwendungskennwort ein.
- Verzeichnis-ID (Mandant-ID): Tragen Sie die in Schritt 2.19 kopierte Verzeichnis-ID (Mandant) ein.
...
- die
...
- in Schritt 2.4 kopierte Verzeichnis-ID (Mandant) ein.
3.1.3 Wählen Sie die nach der Synchronisierung mit Microsoft Entra ID die Primärgruppe aus, welche zur Freigabe von LTA verwendet werden soll und aktivieren für diese Gruppe das Berechtigungsprofil. Klicken Sie anschließend auf Speichern.
| Info |
|---|
Für jeden Benutzer in dieser Gruppe wird eine LTA-Lizenz benötigt. |
3.2 Verbindungsziele:
In den Verbindungszielen werden Ressourcen angelegt, welche den Benutzern zugewiesen werden können (siehe Schritt 3.3).
...
- Profilname: Vergeben Sie einen aussagekräftigen Namen für das Profil (in diesem Beispiel Administrator).
- Benutzer / Gruppen: Wählen Sie im Dropdownmenü den in Schritt 1.5.4 erstellten Benutzer eine Gruppe aus dem Active Directory aus (in diesem Beispiel admin Admin). Sie können auch mehrere Benutzer auswählen und diesen die gleichen Berechtigungen zuweisen.
3.3.3 Aktivieren Sie unter Status die gewünschten Verbindungsziele für den Benutzer (siehe Schritt 3.2.2) und klicken auf Erstellen.
4. Konfigurations-Schritte im LTA-Client:
4.1 Klicken Sie im LTA-Client auf Einstellungen und wählen die Option LMC Domäne aus.
4.2 Passen Sie die folgenden Parmeter an:
...