Versionen im Vergleich

Alte Version 3

changes.mady.by.user LANCOM Redaktion

Gespeichert am

verglichen mit

Neue Version 4

changes.mady.by.user LANCOM Redaktion

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

...

1.1.1 Wechseln Sie in der LMC in das Menü Netze Networks und klicken auf das Netzwerk, in das sich der LTA-Client einbuchen soll (in diesem Beispiel INTRANET).

1.1.2 Klicken Sie in der Übersicht Overview auf Netz bearbeiten Edit network.

1.1.3 Passen Sie die folgenden Parameter an und klicken auf Speichern Save:

  • Geräte über eine sichere Verbindung miteinander koppeln Link devices via secure connection (VPN): Setzen Sie den Haken, um die VPN-Funktionalität zu aktivieren.
  • Central Site IP-Adressen oder DNS-Namensite IP addresses or DNS names: Tragen Sie die öffentliche IP-Adresse oder den DNS-Namen des Routers ein. Diese muss angegeben werden, sobald die VPN-Funktionalität aktiviert wird.

...

1.2.1 Wechseln Sie im Menü Sicherheit Security in den Reiter LANCOM Trusted Access und klicken bei Activate LTA aktivieren auf den Schieberegler.

1.2.2 Klicken Sie auf Aktivieren Activate.


1.3 Client-Konfiguration:

In der Client -Konfigurationconfiguration werden grundlegende Parameter wie die Adresse des LTA-Gateways hinterlegt. Diese Einstellungen gelten global und können nicht für einzelne Benutzer konfiguriert werden.

1.3.1 Wechseln Sie in den Reiter Client -Konfigurationconfiguration und passen die folgenden Parameter an:

  • Erreichbares NetzAccessible network: Wählen Sie im Dropdown-Menü das in Schritt 1.1 bearbeite Netzwerk aus, in das sich der LTA-Client einbuchen soll (in diesem Beispiel INTRANET).
  • Gateway IP oder Domainor domain: Tragen Sie die öffentliche IP-Adresse oder den DNS-Namen des Routers ein, unter der/dem der LTA-Client den Router erreichen kann (in diesem Beispiel 81.81.81.181).
  • Trusted Access Client IP Netzwerknetwork: Geben Sie die Netzadresse eines Netzwerks in CIDR-Schreibweise (Classless Inter Domain Routing) an. Aus diesem Netzwerk wird dem LTA-Client eine IP-Adresse zugewiesen (in diesem Beispiel 10.0.0.0/8). In den meisten Fällen wird dazu das Erreichbare Netz Accessible network verwendet werden, es ist aber auch möglich, ein anderes Netzwerk anzugeben.
  • Getunnelte Domains für DNS-AuflösungTunneled domains for DNS resolution: Tragen Sie Domains ein, die immer über den VPN-Tunnel übertragen werden sollen (in diesem Beispiel *.intern).

...

1.3.2 Passen Sie bei Bedarf die folgenden Parameter an:

  • Allow AVC -Modus im LTA-Client erlaubenmode in LTA client: Wird diese Option aktiviert, kann der Benutzer zwischen LTA-Client und dem Advanced VPN Client umschalten. Dies ist z.B. sinnvoll, wenn neben dem LTA-Zugang in die Firma zusätzliche VPN-Verbindungen zu Kunden bestehen.
  • Autarker Weiterbetrieb im Enable LTA -Client aktivierenclient self-sustaining continued operation: Wird der autarke Weiterbtreib Weiterbetrieb aktiviert,  kann kann für den angegebenen Zeitraum eine VPN-Verbindung mit dem LTA-Client aufgebaut werden, auch wenn die LMC nicht erreichbar ist.

...

1.3.3 Wählen Sie bei Split Tunnel die Option Nur Netzwerkverkehr zu konfigurierten Netzwerken durch den Tunnel Only network traffic to configured networks through tunnel (Split Tunnel) aus und klicken auf das "Plus-Zeichen", um die Ziel-Netzwerke anzugeben.

Info

Wird die Option Gesamter Netzwerkverkehr durch Tunnel verwendet All network traffic through tunnel oder bei der Option Nur Netzwerkverkehr zu konfigurierten Netzwerken durch den Tunnel Only network traffic to configured networks through tunnel (Split Tunnel) kein Ziel-Netzwerk hinterlegt, wird jeglicher Datenverkehr über den VPN-Tunnel übertragen. Dies führt dazu, dass lokale Ressourcen im Netzwerk des Benutzers bei aufgebautem VPN-Tunnel nicht erreicht werden können. Zudem kann es zu einer langsameren Übetragung des Internet-Datenverkehrs kommen, da dieser über das LTA-Gateway übertragen wird.

...

1.3.4 Tragen Sie die Ziel-Netzwerke in CIDR-Schreibweise ein und klicken auf Speichern Save.


1.4 Endpoint Security (optional):

...

1.4.1 Wechseln Sie in den Reiter Endpoint Security, passen die folgenden Parameter an und klicken auf Speichern:

  • Endpoint Verifikation aktivierenEnable endpoint verfication: Aktivieren Sie die Option über den Schieberegler.
  • Erlaubte BetriebssystemeAllowed OS: Wählen Sie bei Bedarf die erlaubten Betriebssysteme sowie die minimalen und maximalen Build-Versionen aus (in diesem Beispiel wird Windows 10 bzw. Windows 11 vorausgesetzt).
  • Anti-Virus: Aktivieren Sie bei Bedarf die Prüfung der Antivirus-Funktion auf dem Computer des Benutzers (in diesem Beispiel wird die Option Aktiviert und enabled and up-to-date verwendet).
  • Firewall: Aktivieren Sie bei Bedarf die Prüfung der Firewall-Funkion auf dem Computer des Benutzers (in diesem Beispiel wird die Option Aktiviert enabled verwendet und somit geprüft, ob eine Firewall aktiv ist).

...

1.5 Benutzerverwaltung:

In der Benutzerverwaltung User administration wird die eigene Domäne hinterlegt. Benutzer können - sofern vorhanden - über ein Active Directory angebunden oder in der LMC konfiguriert werden.

1.5.1 Wechseln Sie in den Reiter Benutzerverwaltung User administration und aktivieren die Option IdP-verwaltetmanaged.

1.5.2 Passen Sie die folgenden Parameter an:

  • Name: Vergeben Sie einen aussagekräftigen Namen für den Identity Provider Eintrag in der LMC.
  • Domains: Tragen Sie bei Domains die von Ihnen verwendete Domäne ein (in diesem Beispiel mydomain.decom).
Info

Die Konfiguration kann an dieser Stelle noch nicht gespeichert werden, da hierfür noch die IdP -Metadaten-Metadata URL hinterlegt werden muss. Diese wird in Schritt 2.2.8 in Entra ID ausgelesen und in Schritt 3.1.1 in der LMC eingetragen.

1.5.3 Klicken Sie auf Einrichtung abschließen Finalize Setup.

1.5.4 Kopieren Sie die folgenden Parameter und speichern diese in einer Text-Datei ab:

  • TXT Resource Recordresource record: Tragen Sie diesen bei Ihrem DynDNS-Anbieter für die Domäne als TXT Resource Record ein.
  • LMC Entity URL: Tragen Sie diesen in Schritt 2.2.4 als Bezeichner Identifier (Entitäts-Entity ID) in Entra ID ein.
  • Antwort Reply URL: Tragen Sie diese in Schritt 2.2.4 als Antwort- als Reply URL (Assertionsverbraucherdienst-Assertion Consumer Service URL) in Entra ID ein.



2. Konfigurationsschritte in Microsoft Entra ID:

...

2.1.1 Öffnen Sie die Konfigurationsoberfläche von Entra ID und wechseln in das Menü Unternehmensanwendungen Enterprise applications.

2.1.2 Wählen Sie die unter Verwalten Manage die Option Alle Anwendungen All applications aus und klicken auf Neue Anwendung New application.

2.1.3 Klicken Sie auf Eigene Anwendung erstellen Create your own application.

2.1.4 Passen Seie die folgenden Parameter an und klicken auf Erstellen Create:

  • Wie lautet der Name der AppWhat's the name of your app?: Vergeben Sie einen aussagekräftigen Namen für die App (in diesem Beispiel LTA-App).
  • Was haben Sie mit Ihrer Anwendung vorWhat are you looking to do with your application?: Wählen Sie die Option Beliebige andere, nicht im Katalog gefundene Anwendung integrieren Integrate any other application you don't find in the gallery (Non-gallery) aus.


2.2 Single Sign on einrichten:

2.2.1 Klicken Sie in der soeben erstellten App auf 2. SSO einrichtenSet up single sign on.

2.2.2 Wählen Sie die Option SAML aus.

...

2.2.3 Klicken Sie in dem Feld Grundlegende Basic SAML -KonfigurationConfiguration auf Bearbeiten Edit.

2.2.4 Tragen Sie die in Schritt 1.5.4 kopierten Parameter ein und klicken auf Speichern Save:

  • Bezeichner Identifier (Entitäts-Entity ID): Tragen Sie die LMC Entity URL ein.
  • Antwort-Reply URL (Assertionsverbraucherdienst-Assertion Consumer Service URL): Tragen Sie die Antwort URL Reply URL ein.

2.2.5 Klicken Sie in dem Feld Attribute Attributes & AnsprücheClaims auf Bearbeiten Edit.

2.2.6 Klicken Sie auf Gruppenanspruch hinzufügen Add a group claim.

2.2.7 Wählen Sie die Option Alle Gruppen All groups aus und klicken auf Speichern Save.

2.2.8 Kopieren Sie in dem Feld SAML -ZertifikateCertificates die App -Verbundmetadaten-URLFederation Metadata Url und speichern diese in einer Text-Datei ab. Diese wird in Schritt 3.1.1 als IdP Metadaten-Metadata URL in der LMC hinterlegt.

...

2.3.1 Wechseln Sie in das Menü App -Registrierungenregistrations.

2.3.2 Klicken Sie in dem Reiter Alle Anwendungen All applications auf die in in Schritt 2.1.4 erstellte App.

2.3.3 Klicken Sie auf Ein Zertifikat oder Geheimnis hinzufügen Add a certificate or secret.

2.3.4 Klicken Sie auf Neuer geheimer Clientschlüssel New client secret.

2.3.5 Passen Sie die folgenden Parameter an und klicken auf Hinzufügen Add:

  • BeschreibungDescription: Vergeben Sie einen aussagekräftigen Namen für das Anwendungskennwort (in diesem Beispiel LTA-Secret).
  • Gültig bisExpires: Wählen Sie eine möglichst hohe Gültigkeitsdauer aus (in diesem Beispiel 24 Monate). 
Info

Nach Ablauf der Gültigkeit ist ein Abgleich der Active Directory Benutzer mit der LMC nicht mehr möglich. Dann muss ein neues Anwendungskennwort neues secret erstellt und dieses in der LMC hinterlegt werden.

...

2.3.6 Kopieren Sie das Anwendungskennwort unter Wert Value und speichern dieses in einer Text-Datei ab.

...

Wechseln Sie in der App in die Übersicht. Kopieren Sie die beiden folgenden Parameter und speichern diese in einer Text-Datei ab:

  • Anwendungs-ID Application (Clientclient) ID: Diese wird in Schritt 3.1.2 als Anwendungs als Application-ID (Client-ID) eingetragen.
  • Verzeichnis-ID Directory (Mandanttenant) ID: Diese wird in Schritt 3.1.2 als VerzeichnisDirectory-ID (MandantTenant-ID) eingetragen.


2.5 API-Berechtigungen:

2.5.1 Wechseln Sie in das Menü API -Berechtigungenpermissions und klicken auf Berechtigung hinzufügen Add a permission.

2.5.2 Wählen Sie im Reiter Microsoft - APIs die Option Microsoft Graph aus.

...

2.5.3 Wählen Sie die Option Anwendungsberechtigungen Application permissions aus.

2.5.4 Wählen Sie die Berechtigung Group.Read.All aus und klicken auf Berechtigung hinzufügen Add permissions

Info

Durch Eingabe des Strings Group.Read. in der Suche ist die Berechtigung direkt zu finden.

2.5.5 Klicken Sie auf Administratorzustimmung für Grant admin consent for <Active-Directory> erteilen.

2.5.6 Bestätigen Sie die Abfrage mit einem Klick auf Ja Yes.



3. Weiterführende Konfigurationsschritte in der LMC:

...

3.1.1 Wechseln Sie erneut in die LTA-Benutzerverwaltung in der LMC und tragen im Feld IdP Metadaten-Metadata URL die in Schritt 2.2.8 kopierte App -Verbundmetadaten-URL Federation Metadata Urlein.

3.1.2 Tragen Sie unter Zugangsdaten für IdP Gruppen-Synchronisation IdP credential to sync with AD die folgenden Parameter ein:

  • AnwendungsApplication-ID (Client-ID): Tragen Sie die in Schritt 2.4 kopierte Anwendungs-ID (Client)  kopierte Application (client) IDein.
  • Client Secret: Tragen Sie das in Schritt 2.3.6 kopierte Anwendungskennwort ein.
  • VerzeichnisDirectory-ID (MandantTenant-ID): Tragen Sie die in Schritt 2.4 kopierte Verzeichnis-ID Directory (Mandanttenant)  IDein.

3.1.3 Wählen Sie nach der Synchronisierung mit Microsoft Entra ID die Primärgruppe aus, welche zur Freigabe von LTA verwendet werden soll und aktivieren für diese Gruppe das Berechtigungsprofil. Klicken Sie anschließend auf Speichern Save

Info

Für jeden Benutzer in dieser Gruppe wird eine LTA-Lizenz benötigt.

...

3.2 Verbindungsziele:

In den Verbindungszielen Connection targets werden Ressourcen angelegt, welche den Benutzern zugewiesen werden können (siehe Schritt 3.3).

3.2.1 Wechseln Sie in den Reiter Verbindungsziele Connection targets und klicken auf Verbindungsziel hinzufügen Add connection target.

3.2.2 Passen Sie die folgenden Parameter an und klicken auf Speichern Save:

  • Name: Vergeben Sie einen aussagekräftigen Namen für das Verbindungsziel (in diesem Beispiel Web-Server).
  • Hostname / IPv4 -Adresse address / CIDR -Adressenotation: Tragen Sie einen DNS-Namen oder die IP-Adresse eines Verbindungsziels ein (in diesem Beispiel 10.0.0.250). Alternativ können Sie auch den Zugriff auf ein ganzes Netzwerk freigeben, indem Sie die Netz-Adresse in CIDR-Schreibweise angeben (z.B. 10.0.0.0/8).
  • ProtokollProtocol: Wählen Sie das Protokoll für die Kommunikation aus (in diesem Beispiel TCP).
    • Die folgenden Protokolle stehen zur Verfügung:
      • TCP
      • UDP
      • ICMP
      • AH
      • ESP
      • GRE
      • TCP + UDP
      • Alle Protokolle
  • Port: Tragen Sie die Ports für die Kommunikation ein (in diesem Beispiel 443 und 80). Mehrere Ports können durch ein Komma separiert werden (z.B. 443,80). Port-Bereiche können durch einen Bindestrich hinterlegt werden (z.B 5060-5061).

...

3.3 Berechtigungsprofile:

In den Berechtigungsprofilen Authorization profiles werden die Benutzer mit den Verbindungszielen verknüpft. Dabei ist es möglich unterschiedlichen Benutzern individuelle Verbindungsziele zuzuweisen. Die LMC erstellt anhand der vorgenommenen Einstellungen automatisch Firewall-Regeln, welche die Kommunikation zu den Verbindungszielen erlaubt.

3.3.1 Wechseln Sie in den Reiter Berechtigungsprofile Authorization profiles und klicken auf Berechtigungsprofil Add authorization profile hinzufügen.

3.3.2 Aktivieren Sie das Authorization profile über den Schieberegler und passen die folgenden Parameter an:

...