Sie zeigen eine alte Version dieser Seite an. Zeigen Sie die aktuelle Version an.

Unterschiede anzeigen Seitenhistorie anzeigen

« Vorherige Version anzeigen Version 11 Nächste Version anzeigen »


Beschreibung:

In diesem Artikel wird beschrieben, wie die Funktion Single Sign On (SSO) über eine LANCOM R&S®Unified Firewall per Gruppenrichtlinie eines Active Directory Servers realisiert werden kann.


Voraussetzungen:

  • Unified Firewall mit LCOS FX ab Version 10.4 (download aktuelle Version)
  • Bereits eingerichtetes und funktionsfähiges Netzwerk samt Internet-Verbindung
  • Windows Server mit eingerichtetem und funktionsfähigem Active Directory 


Szenario:


Vorgehensweise:

1. Konfigurations-Schritte auf dem Windows Server:

1.1 Einrichtung eines Benutzers für die Unified Firewall auf dem Windows Server:

1.1.1 Öffnen Sie auf dem Windows Server das Menü Active Directory-Benutzer und -Computer und wechseln in das Untermenü <Domänenname> → Users → Neu → Benutzer, um einen neuen Benutzer zu erstellen.

1.1.2 Passen Sie folgende Parameter an und klicken auf Weiter:

  • Vorname: Tragen Sie den Namen gpLogin ein.
  • Vollständiger Name: Tragen Sie den Namen gpLogin ein.
  • Benutzeranmeldename: Der Benutzeranmeldename muss im Format <Vollständiger Name>/<Firewall-Hostname> angegeben werden (in diesem Beispiel also gpLogin/rsuf). → Was ist mit der Domäne dahinter?
  • Benutzeranmeldename (Prä-Windows 2000): Löschen Sie den Firewall-Hostnamen, sodass nur noch der Vollständige Name hinterlegt ist (in diesem Beispiel also gpLogin).

Groß- und Kleinschreibung muss beachtet werden!      

1.1.3 Setzen Sie den Haken bei Kennwort läuft nie ab, damit der Benutzer dauerhaft gültig ist. Klicken Sie anschließend auf Weiter. → Screenshots der weiterführenden Fenster des Assistenten erforderlich.


1.2 Binden des "Service Principal Name" an den Unified Firewall Benutzer:

Der Service Principal Name (SPN) muss mit dem in Schritt 1.1 erstellten Benutzer für die Unified Firewall verbunden werden.

Öffnen Sie auf dem Windows Server die Kommandozeile oder die Powershell mit Administrator-Rechten und führen den Befehl im Format setspn -A gpLogin/<Firewall-Hostname> gpLogin aus (in diesem Beispiel also setspn -A gpLogin/rsuf gpLogin).


1.3 Bereitstellen der Datei "UAClientSSO" in der SYSVOL Freigabe der Domäne:

Damit Benutzer sich per Single Sign On an der Unified Firewall anmelden können, muss die Anwendung UAClientSSO verwendet werden.

Stellen Sie die Datei UAClientSSO im Freigabe-Verzeichnis Ihrer Domäne zur Verfügung. Diese liegt im Pfad \\<Domänen-Name>\SYSVOL\<Domänen-Name>\scripts (z.B. \\<lancom.local>\SYSVOL\<lancom.local>\scripts


1.4 Erstellen der Gruppenrichtlinie für die "Single Sign On" Anmeldung:

1.4.1 Öffnen Sie den Gruppenrichtlinienverwaltungs-Editor und wechseln in das Menü Benutzerkonfiguration → Richtlinien → Skripts (Anmelden/Abmelden) und führen einen Doppelklick auf Anmelden durch.

1.4.2 Passen Sie folgende Parameter an:

  • Tragen Sie als Name den vollständigen Freigabe-Pfad für die Anwendung UAClientSSO ein, die Sie in Schritt 1.3 in der Domänen-Freigabe zur Verfügung gestellt haben. Der Pfad muss im Format \\<Domänen-Name>\SYSVOL\<Domänen-Name>\scripts\UAClientSSO.exe angegeben werden.
  • Tragen Sie bei Parameter den Firewall-Hostnamen gefolgt von der IP-Adresse der Unified Firewall ein. Die beiden Parameter müssen durch ein Leerzeichen getrennt sein. Die Eingabe muss im Format <Firewall-Hostname> <IP-Adresse der Firewall> erfolgen. 

→ Möglichst neuer Screenshot mit rsuf als Firewall-Hostname.

1.4.3 Wechseln Sie in das Menü Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Sicherheitsoptionen → Netzwerksicherheit: Für Kerberos zulässige Verschlüsselungstypen konfigurieren und aktivieren alle Verschlüsselungs-Algorithmen.

1.4.4 Öffnen Sie die Gruppenrichtlinienverwaltung, wechseln Sie in das Menü Gesamtstruktur: <Domänen-Name> → Domänen → <Domänen-Name> Gruppenrichtlinienobjekte → SSO und fügen bei Sicherheitsfilterung die Netzwerk-Teilnehmer als Authentifizierte Benutzer hinzu, damit diese sich per Single Sign On authentifizieren können. 

→ Am besten ein Screenshot von einem Benutzer der erstellt wird.



2. Konfiguration der Funktion "Single Sign On" auf der Unified Firewall:

2.1 Öffnen Sie die Konfigurations-Oberfläche der Unified Firewall im Browser und wechseln in das Menü Benutzerauthentifizierung → Internes Portal → Einstellungen.

2.2 Aktivieren Sie die Anmelde-Funktion über die Schiebefläche und klicken auf Speichern.

2.3 Wechseln Sie in das Menü Benutzerauthentifizierung → LDAP/AD.

2.4 Wählen Sie im Dropdownmenü bei Server-Typ die Option Microsoft Active Directory Server aus und passen folgende Parameter an:

  • Host: Tragen Sie die IP-Adresse des Windows Servers mit dem Active Directory ein (in diesem Beispiel 192.168.1.100).
  • Port: Belassen Sie den Port auf dem Standard-Wert 389 oder ändern diesen, sofern Sie diesen auf dem Windows Server abgeändert haben.
  • Benutzername: Tragen Sie den Benutzer ein, mit dem die Unified Firewall sich am Active Directory anmeldet (siehe Schritt 1.1.2).
  • Kennwort: → Wo kommt das Passwort her? 
  • Domainname: Tragen Sie den Domänen-Namen Ihres Active Directory ein (in diesem Beispiel lancom.local).

2.5 Klicken Sie auf die Schaltfläche AD-Einstellungen testen, damit sichergestellt ist, dass die Anmeldung am Active Directory auch funktioniert.

2.6 Klicken Sie auf Speichern, nachdem der Verbindungs-Test (siehe Schritt 2.5) erfolgreich war.

2.6 → Reiter Kerberos neuer Screenshot erforderlich, da Firewall-Hostname auf firewall1 geändert wurde. Besser rsuf.








  • Keine Stichwörter

Alle LANCOM Produkte und Software-Versionen unterliegen dem LANCOM Software Lifecycle Management.
Informationen erhalten Sie auf unserer Webseite unter https://www.lancom-systems.de/produkte/firmware/software-lifecycle-management

© 2019-2024 LANCOM Systems GmbH