Hallo,
ist es mögilch für User aus einer AD Gruppe pro User ein eigenes Clientzertifikat zu verwenden?
Ich möchte es nach Möglichkeit vermeiden, dass alle User manuell angelegt werden müssen. Es wäre also interessant, ob die User aus der AD-Gruppe importiert werden können.
Hintergrund ist, ich möchte für bestimmte User nur Zertifikate mit einer bestimmten Laufzeit erstellen. Da ich aber den AD User im Interface nicht sehe, kann ich für ihn keine bestimmte Config mit einem eigenen Clientzertifikat zum Download einstellen.
Die Konfig sollen die User am besten selbst mit den AD Daten ausdem Interface laden können.
Ist das möglich und ich sehe den Weg gerade nicht?
VG,
Ein Zertifikat pro OpenVPN User mit AD-Anbindung.
Moderator: Securepoint
Hallo,
aktuell ist es leider nur über zwei Wege möglich.
1. Sie benutzen einen Dummy User und weisen diesem die erste Konfig zu. Diese exportieren Sie dann und dann ändern Sie das Zertifikat für den nächsten usw.
2. Der erste Benutzer meldet sich am Userinterface an und lädt es runter. Danach ändern Sie das Zertifikat und der nächste Benutzer lädt es sich herunter usw.
Gruß Björn
aktuell ist es leider nur über zwei Wege möglich.
1. Sie benutzen einen Dummy User und weisen diesem die erste Konfig zu. Diese exportieren Sie dann und dann ändern Sie das Zertifikat für den nächsten usw.
2. Der erste Benutzer meldet sich am Userinterface an und lädt es runter. Danach ändern Sie das Zertifikat und der nächste Benutzer lädt es sich herunter usw.
Gruß Björn
-
- Securepoint
- Beiträge: 170
- Registriert: Mo 17.11.2008, 21:38
- Kontaktdaten:
Hallo,
die Funktion wurde mit der 11.8 eingeführt.
Unter Authentifizierung -> AD/LDAP -> Erweitert -> Cert-Attribute auf das gewünschte Attribut setzen und im AD den Wert (Zertifikatsname) eintragen.
Die Benutzergruppe benötigt die Berechtigungen:
user attribute get name $username
Als Wert für das Attribut openvpn_certificate sollte der im AD zugewiesene Wert erscheinen.
die Funktion wurde mit der 11.8 eingeführt.
Unter Authentifizierung -> AD/LDAP -> Erweitert -> Cert-Attribute auf das gewünschte Attribut setzen und im AD den Wert (Zertifikatsname) eintragen.
Die Benutzergruppe benötigt die Berechtigungen:
- Userinterface
- SSL-VPN
- Client im Userinterface herunterladbar -> aktiv
- SSL-VPN Verbindung -> entsprechende Instanz auswählen
- Remote Gateway -> IP/Hostname eintragen
user attribute get name $username
Als Wert für das Attribut openvpn_certificate sollte der im AD zugewiesene Wert erscheinen.
Hallo Herr Beyer,
sehr schön! Grundsätzlich funktioniert es auch, allerdings habe ich ein Problem:
In unserer Umgebung gibt es die beiden Gruppen SSLVPN und SPAMREPORT, beide haben als Berechtigung "Userinterface", und dann jeweils "SSL-VPN" und "Spamreport" und sind mit jeweils einer AD-Gruppe verknüpft.
Wenn ich die Option "Client im Userinterface herunterladbar" in der Gruppe "SSLVPN" setze, bekomme ich im Userinterface keinen Download angeboten, setze ich die Option in der Gruppe "SPAMREPORT", funktioniert der Download. Der Benutzer, mit dem ich teste, ist natürlich in beiden AD-Gruppen enthalten, die mit den beiden UTM-Gruppen verknüpft sind.
Irgendeine Idee?
Gruß
Rolf Gerold
sehr schön! Grundsätzlich funktioniert es auch, allerdings habe ich ein Problem:
In unserer Umgebung gibt es die beiden Gruppen SSLVPN und SPAMREPORT, beide haben als Berechtigung "Userinterface", und dann jeweils "SSL-VPN" und "Spamreport" und sind mit jeweils einer AD-Gruppe verknüpft.
Wenn ich die Option "Client im Userinterface herunterladbar" in der Gruppe "SSLVPN" setze, bekomme ich im Userinterface keinen Download angeboten, setze ich die Option in der Gruppe "SPAMREPORT", funktioniert der Download. Der Benutzer, mit dem ich teste, ist natürlich in beiden AD-Gruppen enthalten, die mit den beiden UTM-Gruppen verknüpft sind.
Irgendeine Idee?
Gruß
Rolf Gerold
Hallo,
die Option "Client im Userinterface herunterladbar" ist ein Attribut. Keine Permission.
Wenn die Firewall für den User zwei Gruppen mit einer verschiedenen Attributs Konfiguration findet, greift "First Macht Wins".
In Ihrem Fall ist das die Gruppe Spamreport, welche das Attribut für den Download dann auf 0 setzt.
Prüfen welches Attribut der User bekommt geht mit folgenden Befehl:
Gruß
die Option "Client im Userinterface herunterladbar" ist ein Attribut. Keine Permission.
Wenn die Firewall für den User zwei Gruppen mit einer verschiedenen Attributs Konfiguration findet, greift "First Macht Wins".
In Ihrem Fall ist das die Gruppe Spamreport, welche das Attribut für den Download dann auf 0 setzt.
Prüfen welches Attribut der User bekommt geht mit folgenden Befehl:
Code: Alles auswählen
user attribute get $user
Zuletzt geändert von kennethj am Do 18.04.2019, 13:39, insgesamt 2-mal geändert.