Securepoint Security Solutions Support Forum

Moderator: Securepoint

 
dzajac
Themen-Autor
Beiträge: 13
Registriert: Sa 03.05.2014, 18:44

Ein Zertifikat pro OpenVPN User mit AD-Anbindung.

Do 25.10.2018, 16:33

Hallo,

ist es mögilch für User aus einer AD Gruppe pro User ein eigenes Clientzertifikat zu verwenden?

Ich möchte es nach Möglichkeit vermeiden, dass alle User manuell angelegt werden müssen. Es wäre also interessant, ob die User aus der AD-Gruppe importiert werden können.
Hintergrund ist, ich möchte für bestimmte User nur Zertifikate mit einer bestimmten Laufzeit erstellen. Da ich aber den AD User im Interface nicht sehe, kann ich für ihn keine bestimmte Config mit einem eigenen Clientzertifikat zum Download einstellen.

Die Konfig sollen die User am besten selbst mit den AD Daten ausdem Interface laden können.

Ist das möglich und ich sehe den Weg gerade nicht?

VG,
 
Bjoern
Securepoint
Beiträge: 455
Registriert: Mi 03.07.2013, 10:06

Re: Ein Zertifikat pro OpenVPN User mit AD-Anbindung.

Fr 26.10.2018, 07:47

Hallo,

aktuell ist es leider nur über zwei Wege möglich.
1. Sie benutzen einen Dummy User und weisen diesem die erste Konfig zu. Diese exportieren Sie dann und dann ändern Sie das Zertifikat für den nächsten usw.
2. Der erste Benutzer meldet sich am Userinterface an und lädt es runter. Danach ändern Sie das Zertifikat und der nächste Benutzer lädt es sich herunter usw.

Gruß Björn
 
Christian Beyer
Securepoint
Beiträge: 152
Registriert: Mo 17.11.2008, 21:38
Kontaktdaten:

Re: Ein Zertifikat pro OpenVPN User mit AD-Anbindung.

Mo 15.04.2019, 10:24

Hallo, 
die Funktion wurde mit der 11.8 eingeführt.
Unter [size=85]Authentifizierung -> AD/LDAP -> Erweitert -> Cert-Attribute auf das gewünschte Attribut setzen und im AD den Wert (Zertifikatsname) eintragen. [/size]
 
Die Benutzergruppe benötigt die Berechtigungen: 
  • Userinterface
  • SSL-VPN
Sowie die Einstellungen im Reiter SSL-VPN:
  • Client im Userinterface herunterladbar -> aktiv
  • SSL-VPN Verbindung -> entsprechende Instanz auswählen
  • Remote Gateway -> IP/Hostname eintragen 
Die Zuweisung kann über das CLI geprüft werden: 
[size=85]user attribute get name $username [/size]
Als Wert für das Attribut [size=85]openvpn_certificate sollte der im AD zugewiesene Wert erscheinen. [/size]
 
merlin
Beiträge: 176
Registriert: So 01.07.2007, 12:34
Wohnort: Erlangen

Re: Ein Zertifikat pro OpenVPN User mit AD-Anbindung.

Do 18.04.2019, 10:03

Hallo Herr Beyer,

sehr schön! Grundsätzlich funktioniert es auch, allerdings habe ich ein Problem:
In unserer Umgebung gibt es die beiden Gruppen SSLVPN und SPAMREPORT, beide haben als Berechtigung "Userinterface", und dann jeweils "SSL-VPN" und "Spamreport" und sind mit jeweils einer AD-Gruppe verknüpft.
Wenn ich die Option "Client im Userinterface herunterladbar" in der Gruppe "SSLVPN" setze, bekomme ich im Userinterface keinen Download angeboten, setze ich die Option in der Gruppe "SPAMREPORT", funktioniert der Download. Der Benutzer, mit dem ich teste, ist natürlich in beiden AD-Gruppen enthalten, die mit den beiden UTM-Gruppen verknüpft sind.

Irgendeine Idee?

Gruß
Rolf Gerold
 
merlin
Beiträge: 176
Registriert: So 01.07.2007, 12:34
Wohnort: Erlangen

Re: Ein Zertifikat pro OpenVPN User mit AD-Anbindung.

Do 18.04.2019, 11:46

Noch zur Info:
cli> user get name $user
name   |groups           |permission
-------+-----------------+----------
$user|Spamreport,SSLVPN|WEB_USER,VPN_OPENVPN,MAILDIGESTS


Die Gruppenzugehörigkeiten passen definitiv.
 
kennethj
Beiträge: 244
Registriert: Di 25.04.2017, 10:17

Re: Ein Zertifikat pro OpenVPN User mit AD-Anbindung.

Do 18.04.2019, 12:33

Hallo,

die Option "Client im Userinterface herunterladbar" ist ein Attribut. Keine Permission.
Wenn die Firewall für den User zwei Gruppen mit einer verschiedenen Attributs Konfiguration findet, greift "First Macht Wins".

In Ihrem Fall ist das die Gruppe Spamreport, welche das Attribut für den Download dann auf 0 setzt.
Prüfen welches Attribut der User bekommt geht mit folgenden Befehl:

user attribute get $user


Gruß
Zuletzt geändert von kennethj am Do 18.04.2019, 13:39, insgesamt 2-mal geändert.
 
merlin
Beiträge: 176
Registriert: So 01.07.2007, 12:34
Wohnort: Erlangen

Re: Ein Zertifikat pro OpenVPN User mit AD-Anbindung.

Do 18.04.2019, 13:14

Hallo,

jetzt wird mir so einiges klar... das sollte mal dokumentiert werden, dass "First Macht Wins" gilt. Das erwartet man (bzw. ich) nicht wirklich.

Vielen Dank!
Schöne Ostern!

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 5 Gäste