Ein Zertifikat pro OpenVPN User mit AD-Anbindung.

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
dzajac
Beiträge: 15
Registriert: Sa 03.05.2014, 18:44

Ein Zertifikat pro OpenVPN User mit AD-Anbindung.

Beitrag von dzajac »

Hallo,

ist es mögilch für User aus einer AD Gruppe pro User ein eigenes Clientzertifikat zu verwenden?

Ich möchte es nach Möglichkeit vermeiden, dass alle User manuell angelegt werden müssen. Es wäre also interessant, ob die User aus der AD-Gruppe importiert werden können.
Hintergrund ist, ich möchte für bestimmte User nur Zertifikate mit einer bestimmten Laufzeit erstellen. Da ich aber den AD User im Interface nicht sehe, kann ich für ihn keine bestimmte Config mit einem eigenen Clientzertifikat zum Download einstellen.

Die Konfig sollen die User am besten selbst mit den AD Daten ausdem Interface laden können.

Ist das möglich und ich sehe den Weg gerade nicht?

VG,

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

aktuell ist es leider nur über zwei Wege möglich.
1. Sie benutzen einen Dummy User und weisen diesem die erste Konfig zu. Diese exportieren Sie dann und dann ändern Sie das Zertifikat für den nächsten usw.
2. Der erste Benutzer meldet sich am Userinterface an und lädt es runter. Danach ändern Sie das Zertifikat und der nächste Benutzer lädt es sich herunter usw.

Gruß Björn

Christian Beyer
Securepoint
Beiträge: 170
Registriert: Mo 17.11.2008, 21:38
Kontaktdaten:

Beitrag von Christian Beyer »

Hallo, 
die Funktion wurde mit der 11.8 eingeführt.
Unter Authentifizierung -> AD/LDAP -> Erweitert -> Cert-Attribute auf das gewünschte Attribut setzen und im AD den Wert (Zertifikatsname) eintragen. 
 
Die Benutzergruppe benötigt die Berechtigungen: 
  • Userinterface
  • SSL-VPN
Sowie die Einstellungen im Reiter SSL-VPN:
  • Client im Userinterface herunterladbar -> aktiv
  • SSL-VPN Verbindung -> entsprechende Instanz auswählen
  • Remote Gateway -> IP/Hostname eintragen 
Die Zuweisung kann über das CLI geprüft werden: 
user attribute get name $username 
Als Wert für das Attribut openvpn_certificate sollte der im AD zugewiesene Wert erscheinen. 

merlin
Beiträge: 263
Registriert: So 01.07.2007, 12:34
Wohnort: Erlangen

Beitrag von merlin »

Hallo Herr Beyer,

sehr schön! Grundsätzlich funktioniert es auch, allerdings habe ich ein Problem:
In unserer Umgebung gibt es die beiden Gruppen SSLVPN und SPAMREPORT, beide haben als Berechtigung "Userinterface", und dann jeweils "SSL-VPN" und "Spamreport" und sind mit jeweils einer AD-Gruppe verknüpft.
Wenn ich die Option "Client im Userinterface herunterladbar" in der Gruppe "SSLVPN" setze, bekomme ich im Userinterface keinen Download angeboten, setze ich die Option in der Gruppe "SPAMREPORT", funktioniert der Download. Der Benutzer, mit dem ich teste, ist natürlich in beiden AD-Gruppen enthalten, die mit den beiden UTM-Gruppen verknüpft sind.

Irgendeine Idee?

Gruß
Rolf Gerold

merlin
Beiträge: 263
Registriert: So 01.07.2007, 12:34
Wohnort: Erlangen

Beitrag von merlin »

Noch zur Info:
cli> user get name $user
name   |groups           |permission
-------+-----------------+----------
$user|Spamreport,SSLVPN|WEB_USER,VPN_OPENVPN,MAILDIGESTS


Die Gruppenzugehörigkeiten passen definitiv.

kennethj
Beiträge: 408
Registriert: Di 25.04.2017, 10:17
Wohnort: Lüneburg
Kontaktdaten:

Beitrag von kennethj »

Hallo,

die Option "Client im Userinterface herunterladbar" ist ein Attribut. Keine Permission.
Wenn die Firewall für den User zwei Gruppen mit einer verschiedenen Attributs Konfiguration findet, greift "First Macht Wins".

In Ihrem Fall ist das die Gruppe Spamreport, welche das Attribut für den Download dann auf 0 setzt.
Prüfen welches Attribut der User bekommt geht mit folgenden Befehl:

Code: Alles auswählen

user attribute get $user
Gruß
Zuletzt geändert von kennethj am Do 18.04.2019, 13:39, insgesamt 2-mal geändert.

merlin
Beiträge: 263
Registriert: So 01.07.2007, 12:34
Wohnort: Erlangen

Beitrag von merlin »

Hallo,

jetzt wird mir so einiges klar... das sollte mal dokumentiert werden, dass "First Macht Wins" gilt. Das erwartet man (bzw. ich) nicht wirklich.

Vielen Dank!
Schöne Ostern!

Antworten