Hallo Zusammen,
es gibt zwar die Möglichkeit eine AD-Verbindung zwischen der UTM und dem MS-AD herzustellen, aber ich habe noch kein Feature in der UTM entdeckt wo dies Sinn macht.
Weder SSL-VPN, noch Reverse-Proxy können damit (durchgängig) umgehen. Gerade beim VPN wäre es doch sinnvoll, die User nicht doppelt pflegen zu müssen, abgesehen das man pro User auch noch die Passwörter lokal verwalten muß bzw. diese nicht automatisch synchronisiert werden. Legt man nun keine lokalen User an, dann fehlt die bequeme SSL-User-Konfiguration - auch für den User selbst inkl. Download.
Selbst wenn man keine lokalen User anlegt, der SSL-VPN-Gruppe/Webinterface-Gruppe der AD-VPN-Gruppe zuordnet, kann der User sich nicht mit den AD-Credentials am Userinterface anmelden.
Vielleicht übersehe ich was, aber der Sinn bzw. die Funktion der "AD-Authentifizierung" will sich mir nicht so recht erschliessen, aber ich lerne ja gerne dazu.....
AD-Integration nutzloses Feature ?
Moderator: Securepoint
-
Andreas Altermann
- Beiträge: 25
- Registriert: Di 12.08.2014, 20:41
AD-Integration nutzloses Feature ?
MfG
Andreas Altermann
Andreas Altermann
Sehr geehrter Herr Altermann,
wir können Ihr Problem nicht ganz nachvollziehen. Sie brauchen die Benutzer nicht lokal auf der UTM anlegen. Sobald Sie eine AD Gruppe mit den betroffenen Benutzern haben geht dies. Lokale Benutzer gehen aber vor AD Benutzern. Das bedeutet sobald der Name auf der UTM angelegt ist wird dieser auch gezogen. Das einzige was uns noch Probleme bereitet ist das für jeden Benutzer ein eigenes Zertifikat zu zuweisen. Das geht aktuell nur über ein dummy Benutzer oder alle Benutzer arbeiten mit dem selben Zertifikat. Denken Sie bitte daran das die AD Gruppe auch die Notwendigen Rechte bekommt.
Des Weiteren kann die AD Gruppe auch für den HTTP Proxy (Webfilter) zugrunde gelegt werden. So können Sie einzelne Kategorien bzw. Seiten für die Gruppen unterschiedlich freigeben. Das Mailrelay kann zum Beispiel auch den Abgleich der Adressen über LDAP machen. Die Quarantäne vom SPAM Filter ist genauso über das AD machbar. So kann jeder Benutzer auf seine SPAM-Mails Zugriff haben wenn es gewollt ist.
Gruß Björn
wir können Ihr Problem nicht ganz nachvollziehen. Sie brauchen die Benutzer nicht lokal auf der UTM anlegen. Sobald Sie eine AD Gruppe mit den betroffenen Benutzern haben geht dies. Lokale Benutzer gehen aber vor AD Benutzern. Das bedeutet sobald der Name auf der UTM angelegt ist wird dieser auch gezogen. Das einzige was uns noch Probleme bereitet ist das für jeden Benutzer ein eigenes Zertifikat zu zuweisen. Das geht aktuell nur über ein dummy Benutzer oder alle Benutzer arbeiten mit dem selben Zertifikat. Denken Sie bitte daran das die AD Gruppe auch die Notwendigen Rechte bekommt.
Des Weiteren kann die AD Gruppe auch für den HTTP Proxy (Webfilter) zugrunde gelegt werden. So können Sie einzelne Kategorien bzw. Seiten für die Gruppen unterschiedlich freigeben. Das Mailrelay kann zum Beispiel auch den Abgleich der Adressen über LDAP machen. Die Quarantäne vom SPAM Filter ist genauso über das AD machbar. So kann jeder Benutzer auf seine SPAM-Mails Zugriff haben wenn es gewollt ist.
Gruß Björn
-
Andreas Altermann
- Beiträge: 25
- Registriert: Di 12.08.2014, 20:41
Hi Björn,
>wir können Ihr Problem nicht ganz nachvollziehen.
Wir haben kein Problem, nur das ständige Abwägen zwischen lokaler UTM-Verwaltung oder AD-Administration, bereitet einem manchmal Kopfzerbrechen.
*Nutzt man die UTM, gibt es tolle Feature gerade beim VPN, hat aber doppelte Verwaltung.
*Nutzt man das AD, gehen gute UTM-Funktionen verloren.
Da ist etwas noch nicht ganz zusammengewachsen, aber Ihr seit auf dem richtigen Weg.
>wir können Ihr Problem nicht ganz nachvollziehen.
Wir haben kein Problem, nur das ständige Abwägen zwischen lokaler UTM-Verwaltung oder AD-Administration, bereitet einem manchmal Kopfzerbrechen.
*Nutzt man die UTM, gibt es tolle Feature gerade beim VPN, hat aber doppelte Verwaltung.
*Nutzt man das AD, gehen gute UTM-Funktionen verloren.
Da ist etwas noch nicht ganz zusammengewachsen, aber Ihr seit auf dem richtigen Weg.
MfG
Andreas Altermann
Andreas Altermann