Single Sign-On

Auf der Registerkarte Definitionen & Benutzer > Authentifizierungsdienste > Single Sign-On können Sie die Single-Sign-On-Funktionalität für Active Directory und/oder eDirectory konfigurieren.

Active Directory Single Sign-On (SSO)

Beachten Sie, dass die Active-Directory-SSO-Einrichtung augenblicklich nur mit dem Webfilter verwendet wird, um Single Sign-On für Browser bereitzustellen, die NTLMv2 oder Kerberos-Authentifizierung unterstützen.

Um die Single-Sign-On-Funktionalität zu aktivieren, muss UTM der Active-Directory-Domäne beitreten. Damit dieser Domänenbeitritt funktioniert, müssen die folgenden Voraussetzungen erfüllt sein:

  • Der Zeitunterschied der Uhren auf dem Gateway und dem DC darf NICHT mehr als fünf Minuten betragen.
  • Der UTM-Hostname muss im ADClosed-DNSClosed-System vorhanden sein.
  • UTM muss das AD-DNS zur Weiterleitung (engl. forwarder) verwenden oder sie muss eine DNS-Anfrageroute zur AD-Domäne besitzen, die auf den AD-DNS-Server zeigt.

Hinweis – Active Directory Synchronisierung der Gruppenmitgliedschaft verwendet das SSO-Kennwort um mit dem AD-Server zu kommunizieren. Wenn dieses Kennwort geändert wurde, muss das neue Kennwort eingegeben werden und die UTM wieder verbunden, hierfür muss die UTM wieder mit dem Server synchronisiert werden.

Um Active Directory SSO zu konfigurieren, gehen Sie folgendermaßen vor:

  1. Legen Sie einen Active-Directory-Server auf der Registerkarte Server an.
  2. Nehmen Sie die folgenden Einstellungen vor:

    Domäne: Name der Domäne (z.B. intranet.meinefirma.de). UTM sucht alle DCs, die über DNSClosed erreichbar sind.

    Admin-Benutzername: Tragen Sie den Benutzernamen ein, der auch die Rechte für die Anbindung von Computern an diese Domäne besitzt (in der Regel ist dies der „Administrator‟).

    Kennwort: Das Kennwort für den Admin-Benutzer.

  3. Klicken Sie auf Übernehmen.

    Ihre Einstellungen werden gespeichert.

Hinweis zur Unterstützung der Kerberos-Authentifizierung: Damit die opportunistische SSO-Kerberos-Unterstützung funktioniert, MÜSSEN die Clients den FQDN-Hostnamen von UTM in ihren Proxyeinstellungen verwenden. Wenn sie die IP-Adresse verwenden, schlägt der Vorgang fehl. Der NTLMv2-Modus ist von dieser Voraussetzung nicht betroffen und wird automatisch genutzt, wenn diese Voraussetzung nicht erfüllt ist oder wenn der Browser eine Kerberos-Authentifizierung nicht unterstützt.

eDirectory Single Sign-On (SSO)

Hier können Sie SSO für eDirectory konfigurieren. Wenn Sie eDirectory SSO als Authentifizierungsmethode unter Web Protection > Webfilter eingerichtet haben, wird der hier gewählte eDirectory-Server verwendet.

Um eDirectory SSO zu konfigurieren, gehen Sie folgendermaßen vor:

  1. Legen Sie einen eDirectory-Server auf der Registerkarte Server an.
  2. Nehmen Sie die folgenden Einstellungen vor:

    Server: Wählen Sie einen eDirectory-Server aus, für den Sie SSO aktivieren möchten.

    Sync-Interval: Die Zeit (in Sekunden) zwischen zwei Synchronisierungsereignissen zwischen UTM und eDirectory-Server.

  3. Klicken Sie auf Übernehmen.

    Ihre Einstellungen werden gespeichert.