Cookie-Einstellungen
Diese Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt.
Konfiguration
Technisch erforderlich
Diese Cookies sind für die Grundfunktionen des Shops notwendig.
"Alle Cookies ablehnen" Cookie
"Alle Cookies annehmen" Cookie
Ausgewählter Shop
CSRF-Token
Cookie-Einstellungen
Individuelle Preise
Kundenspezifisches Caching
PayPal-Zahlungen
Session
Währungswechsel
Komfortfunktionen
Diese Cookies werden genutzt um das Einkaufserlebnis noch ansprechender zu gestalten, beispielsweise für die Wiedererkennung des Besuchers.
Merkzettel
Popup zu aktuellen Hinweisen nicht mehr anzeigen
Statistik & Tracking
Endgeräteerkennung
Google Analytics
Partnerprogramm
Filter schließen

Active Directory

02.12.16 00:00

Microsoft Active Directory (AD) ist ein Verzeichnisdienst und eine zentrale Komponente der Windows 2000/2003 Server. Es speichert Informationen aus einem breiten Spektrum von Netzwerkressourcen, einschließlich Benutzer, Gruppen, Computer, Drucker, Anwendungen, Dienste und jeder Art von benutzerdefinierten Objekten. Als solches ist es ein Mittel, um diese Ressourcen zentral zu organisieren, zu verwalten und den Zugriff darauf zu kontrollieren.

Hinweis – UTM unterstützt Active Directory 2003 und neuer.

Die Active-Directory-Authentifizierungsmethode ermöglicht es, die Sophos UTM an einer Windows-Domäne zu registrieren, wodurch ein Objekt für Sophos UTM auf dem primären Domänencontroller (DC) angelegt wird. UTM ist dann in der Lage, Benutzer- und Gruppeninformationen von der Domäne abzufragen.

Hinweis – Die Standardgruppe „Domain User“, die automatisch vom AD erstellt wird, kann nicht für die Umkehrauthentifizierung verwendet werden, da das die UTM verbietet. Die Standardgruppe „Domain User“ wird vom AD nicht im memberOf-Attribut zurückgegeben. Wenn Sie AD-Gruppen für die Umkehrauthentifizierung verwenden möchten, erstellen Sie neue Gruppen im AD. Manuell angelegte Gruppen werden vom AD im memberOf-Attribut zurückgegeben.

Um Active-Directory-Authentifizierung zu konfigurieren, gehen Sie folgendermaßen vor:

  1. Klicken Sie auf der Registerkarte Server auf Neuer Auth-Server.

    Das Dialogfeld Authentifizierungs-Server hinzufügen öffnet sich.

  2. Nehmen Sie die folgenden Einstellungen vor:

    Backend: Wählen Sie Active Directory als Backend-Verzeichnisdienst.

    Position: Wählen Sie eine Position für den Backend-Server. Backend-Server mit niedrigeren Nummern werden zuerst abgefragt. Stellen Sie für eine bessere Leistung sicher, dass der Backend-Server, der wahrscheinlich die meisten Anfragen erhält, ganz oben in der Liste steht.

    Server: Wählen Sie einen Active-Directory-Server (oder fügen Sie einen hinzu). Das Hinzufügen einer Definition wird auf der Seite Definitionen & Benutzer > Netzwerkdefinitionen > Netzwerkdefinitionen erläutert.

    SSL: Wählen Sie diese Option, um SSLClosed-gesicherten Datentransfer zu aktivieren. Der Port ändert sich dann von 389 (LDAPClosed) auf 636 (ldaps = LDAP over SSL).

    Port: Geben Sie den Port des Active-Directory-Servers ein. Der Standardwert ist Port 389.

    Bind DN: Der vollständige Distinguished Name (DN) des Benutzers, mit dem dieser am Server angemeldet werden soll, in LDAP-Notation. Dieser Benutzer wird benötigt, wenn anonyme Anfragen an den Active-Directory-Server nicht erlaubt sind. Beachten Sie, dass der Benutzer genügend Privilegien besitzen muss, um alle relevanten Informationen zur Benutzerdefinition vom Active-Directory-Server erhalten zu können, damit er Benutzer authentifizieren kann – das ist eine Voraussetzung, die meistens vom Administrator der Domäne erfüllt wird.

    Jeder DNClosed besteht aus einem oder mehreren Relative Distinguished Names (RDN). Ein RDN setzt sich aus Attributen des Active-Directory-Benutzerobjekts zusammen und umfasst seinen Benutzernamen, den Knoten des Objekts und den höchsten DN des Servers. Die Definition erfolgt in der LDAP-Notation. Als Trennzeichen wird das Komma verwendet.

    • Der Benutzername muss der Name des Benutzers sein, der in der Lage ist, auf das Verzeichnis zuzugreifen und folgendermaßen spezifiziert ist: CN-Bezeichner (z.B. CN=user). Obwohl die Nutzung eines beliebten Kontos mit Domänenberechtigungen, wie z.B. „admin“, möglich ist, wird als bessere Methode dringend empfohlen, einen Benutzer zu wählen, der keine Administrationsrechte besitzt, da es völlig ausreichend für diesen Benutzer ist, Leserechte auf alle Objekte des angegebenen BaseDN zu besitzen.
    • Die Information über den Knoten, an dem sich das Benutzerobjekt befindet, muss alle Unterknoten zwischen dem Wurzelknoten und dem Benutzerobjekt umfassen und besteht gewöhnlich aus Komponenten wie sogenannten Organisationseinheiten (engl. organizational units) und dem allgemeinen Namen (CN, engl. common name). Organisationseinheiten (dargestellt durch ein Verzeichnis-/Buchsymbol in der Microsoft Management-Konsole) werden durch den OU-Bezeichner spezifiziert. Beachten Sie, dass die Reihenfolge der Knoten vom untersten zum obersten verläuft, d.h., dass spezifischere Elemente zuerst angegeben werden (z.B. OU=Management_US,OU=Management). Andererseits werden Standardcontainer von Active Directory (dargestellt durch ein einfaches Verzeichnis-Symbol) wie z.B. der vordefinierte Benutzer-Knoten durch den CN-Bezeichner spezifiziert (z.B. CN=Users).
    • Der oberste DN des Servers kann aus mehreren Domänenkomponenten (engl. domain component) bestehen, wobei jede durch den DC-Bezeichner spezifiziert wird. Beachten Sie, dass die Domänenkomponenten in der gleichen Reihenfolge angegeben werden wie der Domänenname. Beispiel: Wenn der Domänenname beispiel.de ist, dann ist der DN-Teil DC=beispiel,DC=de.

    Ein Beispiel für einen Bind-Benutzer-DN, wenn der Benutzername administrator ist und sich das Benutzerobjekt im Container Benutzer befindet in einer Domäne namens beispiel.de: CN=administrator,CN=Users,DC=example,DC=com

    Authentifizierung: Microsoft Management-Konsole

    Nehmen wir nun an, Sie haben eine Organisationseinheit namens Management mit dem Unterknoten Management_US angelegt und verschieben das Benutzerobjekt „Administrator“ dorthin, dann ändert sich der DN wie folgt: CN=administrator,OU=Management_US,OU=Management,​DC=example,​DC=com

    Kennwort: Geben Sie das Kennwort des Bind-Benutzers ein.

    Servereinstellungen testen: Durch einen Klick auf die Schaltfläche Test wird ein Bind-Test mit dem konfigurierten Server durchgeführt. Dadurch wird sichergestellt, dass die Einstellungen auf dieser Registerkarte richtig sind, dass der Server eingeschaltet ist und Verbindungen annimmt.

    BaseDN: Der Startpunkt, relativ gesehen zur Wurzel (engl. root) des LDAP-Baums, in dem die Benutzer eingefügt sind, die authentifiziert werden sollen. Beachten Sie, dass der BaseDN über den vollen Distinguished Name (FDN) in LDAP-Notation spezifiziert werden muss, wobei Kommata als Trennzeichen verwendet werden müssen (z.B. O=Beispiel,OU=RnD). Der BaseDN kann leer sein. In diesem Fall wird der BaseDN automatisch aus dem Verzeichnis abgerufen.

    Benutzername: Geben Sie den Benutzernamen für den Testbenutzer an um die reguläre Authentifizierung durchzuführen.

    Kennwort: Geben Sie das Kennwort für den Testbenutzer an.

    Beispielbenutzer authentifizieren: Klicken Sie auf die Schaltfläche Test, um den Authentifizierungstest für den Testbenutzer zu starten. Dies stellt sicher, dass alle Servereinstellungen korrekt sind, dass der Server eingeschaltet ist und Verbindungen akzeptiert, und dass Benutzer erfolgreich authentifiziert werden können.

  3. Optional können Sie folgende erweiterte Einstellungen vornehmen:

    Timeout: Geben Sie das Timeout für die Kommunikation mit dem Server an, um höhere Latenzzeit-Szenarien zu unterstützen, wenn Sie Authentifizierungslösungen von Drittherstellern verwenden.

  4. Klicken Sie auf Speichern.

    Der Server wird in der Liste Server angezeigt.

Querverweis – Weitere Informationen zur Konfiguration der Benutzerauthentifizierung mit Active Directory finden Sie in der der Sophos Knowledgebase.

User Principal Name

In einigen Fällen sollte es Benutzern möglich sein, die User-Principal-Name-Notation „Benutzer@Domäne“ zu verwenden, wenn sie ihre Daten angeben. Zum Beispiel wenn Exchange-Server in Kombination mit Active Directory-Servern verwendet werden.

  • Klonen Sie den gewünschten Server um einen neuen Server zu erzeugen.
  • Ändern Sie Backend nach LDAP.
  • Ändern Sie das Benutzerattribut auf >.
  • Geben Sie userPrincipalname in das Feld Angepasst ein.

Sofern noch nicht verfügbar, wird eine Benutzergruppe „LDAP Users“ angelegt, die Sie anstelle der Gruppe „Active Directory Users“ verwenden müssen.

Hinweis – Das Format Domäne\Benutzer wird nicht unterstützt. Verwenden Sie stattdessen das Format Benutzer@Domäne.

Related Topics Link IconVerwandte Themen
Schnelle Lieferung
PayPal Express
Qualifizierter Support
Unsere Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt. Zur Datenschutzerklärung
Ablehnen Alle akzeptieren Konfigurieren