Diese Anleitung beschäftigt sich mit der Anbindung einer Sophos UTM an ein Microsoft Active Directory inklusive Single Sign-On (SSO). Die UTM wird dadurch in der Lage sein, Gruppen- und Benutzerinformationen aus dem AD abzufragen.
Ziel ist es, Berechtigungen und Ressourcen auf der UTM über Gruppenmitgliedschaften im Active Directory zuzuweisen.
Vorbereitend sollte man eine DNS-Anfrageroute in den DNS-Einstellungen konfigurieren. Unter Netzwerkdienste -> DNS -> Anfrageroute lässt sich diese hinzufügen. Im weiteren Verlauf gehe ich von der Domäne domain.local aus. Als Zielserver wird der interne DNS-Server eingetragen, der für die Domäne zuständig ist. Hier ist der Domaincontroller auch gleichzeitig DNS-Server.
Auf dem internen DNS-Server sollte man einen A-Record (sophos.domain.local) anlegen, der auf die interne IP-Adresse der UTM zeigt.
Danach legt man sich einen Servicebenutzer im Active Directory an. In diesem Beispiel wird der Benutzer „sophos_utm“ im Container „Users“ angelegt.
Anschließend navigiert man zu Definitionen & Benutzer -> Authentifizierungsdienste -> Server und erstellt einen neuen Auth-Server.
Unter Backend wählt man Active Directory aus und unter Server wird der entsprechnende DC eingetragen. Möchte man SSL bei der LDAP-Abfrage nicht verwenden, muss man den Port von 636 bzw 3269 auf 389 umändern. Bei der Bind DN benötigt die UTM den Distinguished Name des im AD angelegten Servicebenutzers „sophos_utm“. Dieser lautet in LDAP-Notation:
„cn=sophos_utm,cn=users,dc=domain,dc=local“
Abschließend muss das Kennwort des Servicebenutzers hinterlegt werden. Ob die Konfiguration funktioniert, lässt sich über den Test-Button herausfinden. Die Base DN ist übrigens optional.
Weitere Informationen über Distinguished Names findet Ihr hier: http://www.selfadsi.de
Zu guter Letzt aktiviert man Single Sign-On (SSO), indem die UTM der Domäne beitritt. Dies wird unter Definitionen & Benutzer -> Authentifizierungsdienste -> Single Sign-On vorgenommen. Der Vorgang sollte aufgrund der zuvor konfigurierten DNS-Anfrageroute reibungslos klappen.
In den Allgemeinen Einstellungen unter Definitionen & Benutzer -> Authentifizierungsdienste lasse ich die Benutzer übrigens immer automatisch erstellen. Die UTM generiert dem Benutzerobjekt dann nämlich auch ein Zertifikat.
Damit ist die Konfiguration abgeschlossen.
AD-Gruppen verknüpfen
Möchte man nun beispielsweise den Zugriff auf das User-Portal via AD-Gruppe steuern, legt man sich eine Sicherheitsgruppe (z.B. utm_portal) im AD an. Diese verknüpft man dann mit einer lokalen Gruppe der UTM.
Dazu erstellt man auf der UTM üblicherweise eine gleichnamige Gruppe unter Definitionen & Benutzer -> Benutzer & Gruppen -> Gruppen. Der Gruppentyp ist dann natürlich die Backend-Mitgliedschaft via Active Directory.
Über das Ordnersymbol öffnet sich der Active Directory Browser. Dort navigiert man zum entsprechenden AD-Gruppenobjekt und weist es via Drag&Drop in das DND-Feld zu.
Die verknüpfte Gruppe kann nun in den Benutzerportal-Optionen zugeteilt werden.
Ein Domänenbenutzer kann sich nun mit seinen Domänen- Anmeldedaten am Userportal anmelden, sofern er Mitglied der AD-Gruppe UTM-Portal ist. Die Anmeldung am Userportal erfolgt ohne Domänenangabe nur mit dem Benutzernamen (domäne\username und username@domäne entfällt).
Das Ganze ist natürlich nicht nur auf das Userportal beschränkt. Man kann zum Beispiel Surfcontrol-Gruppen für den Webfilter konfigurieren, um Ressourcen gruppengesteuert via AD freizugeben. Die Berechtigungen für Fernzugriffe lassen sich übrigens auch sehr gut über AD-Gruppen zuweisen.
Danke! Die Anleitung konnte mir sehr weiterhelfen.
Sehr gern!
THX!
Hallo und guten Abend…und ein gutes neues Jahr,
das Tutorial war Super und hat zu einem Erfolg geführt!!! Auch die Einbindung meiner PKI und der Link zu „Frankys Web“ war toll!!!!
Lieben Dank noch einmal
Gerne! Und ein frohes neues Jahr!
Ich habe unter Benutzer & Gruppen -> Gruppen meine AD-Gruppe gepflegt. Nur die darin enthaltenen Benutzer werden nicht im Reiter Benutzer automatisch synchronisiert. Was kann man hier noch tun?
Ich habe den relevanten Eintrag gefunden:
Definitionen & Benutzer -> Authentifizierungsdienste -> Erweitert :
Ganz unten gibt es einen Punkt „Verzeichnisbenutzer vorab holen“. Dort muss die AD-Gruppe hinzugefügt werden.
Prima! Falls noch Rückfragen sind, meld Dich!
Hi, ich habe den ADSERVER Erfolgreich angebunden und auch den Single Sign-On gemacht. Will ich aber nunr eine Gruppe aus der AD anbinden kommt bei mir folgender Fehler: „Error: Server response: Server encountered an internal error “ Hätte dazu eventuell jemand bitte ein Idee? Sg Bernd
Habe den Fehler gefunden, hatte beim Base DN dc=local statt dc= de= 🙁
Moin, danke für deinen Kommentar. Freut mich, dass es geklappt hat! Weiterhin viel Erfolg!
Hallo Thorsten,
ich experimentiere hier schon seit Stunden und bekomme es nicht hin mich mit einem AD-User in das Portal einzuloggen,
es kommt:Ungültiger Benutzername/Kennwort, oder Zugang verweigert aufgrund einer internen Vorgabe.
Die entsprechenden Vorgaben für das Passowrt habe ich eingehalten.
Wenn ich einen lokalen User in der Sophos erstelle mit dem gleichen Passwort komme ich ins Portal.
Im übrigen sehe ich auch nicht in der Gruppe den active Directory Browser
Fehler wurde von Reinhard nach kurzem Mailkontakt selbst behoben! Keine ausreichende Berechtigung des Serviceusers.