AD Anbindung und SSL-VPN

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
nehemann
Beiträge: 19
Registriert: Mi 22.06.2016, 09:05

AD Anbindung und SSL-VPN

Beitrag von nehemann »

Hallo,

leider hat im Thread viewtopic.php?f=27&t=7034&p=19752#p19752 niemand mehr geantwortet, daher hier noch mal die Frage:

Warum gibt es keine einfache Möglichkeit, die AD-User im Webinterface anzuzeigen, für eine Gruppe per einzelnem Klick individuelle Zertifikate zu erstellen und zuzuordnen sowie bei den einzelnen Usern dann die Möglichkeit, per einfachem Klick das Zertifikat zu wiederrufen und ein neues anzulegen? Wann wird dieses Feature implementiert?

Die beiden Workarounds aus o.g. Thread sind aus Adminsicht nahe am GAU. Wenn man nur ein Zertifikat verwendet, muss man im Falle eines Widerrufs alle Clients neu konfigurieren. Wenn man einzelne Zertifikate nutzen möchte, hat man schon bei einer Hand voll User stundenlange, fehlerträchtige Handarbeit, und kann zudem die Features der UTM (Konfigurationsdownload für den User) nicht mehr nutzen, sondern muss die User auch noch von Hand damit versorgen.

Und noch eine Zusatzfrage: (Wie) ist es bei der Variante mit den einzelnen Zertifikaten aus o.g. Thread möglich, für jeden User ein eigenes Kennwort anzulegen, ohne dass man für jeden User doch noch einen extra User in der UTM anlegen muss (womit die AD-Einbindung dann völlig sinnlos wird)? (Es soll natürlich so sein, dass das AD-Kennwort und dass Kennwort für die VPN-Verbindung übereinstimmen. Wenn ich manuell das Kennwort vom OpenVPN-Key auf das des Users ändere, bekomme ich im OpenVPN-GUI nun zwei Passwort-Prompts, wo ich zwei mal das gleiche Passwort angeben muss....)

Vielen Dank und schöne Grüße

Nico

kennethj
Beiträge: 408
Registriert: Di 25.04.2017, 10:17
Wohnort: Lüneburg
Kontaktdaten:

Beitrag von kennethj »

Hallo,

zum Thema Zertifikate und AD User:
Ab der 11.8.X können Sie der UTM sagen, welches Zertifikat ein AD Benutzer haben soll (via Attribut). Das Zertifikat muss auf der UTM angelegt sein und der Name des Zertifikates muss dann in diesem Attribut gespeichert sein.
Dann klappt der Download via Userinterface mit dem AD Benutzer.
Warum gibt es keine einfache Möglichkeit, die AD-User im Webinterface anzuzeigen
Weil die UTM die Benutzer nicht importiert sondern live abfragt. 

Zum Thema Feature Implementierung: Klick mich!

nehemann
Beiträge: 19
Registriert: Mi 22.06.2016, 09:05

Beitrag von nehemann »

Das hört sich ja nach einer guten Lösung an. Ich habe das aber offenbar nicht nicht ganz verstanden, was ich genau wie konfigurieren muss.
Unter AD/LDAP-Authentifizierung habe ich ja jetzt verschiedene Einstellungen mit vordefinierten Attributnamen zur Auswahl. Ich nehme an, wenn das Attribut nicht gefunden wird (diese Default-Attribute sind ja soweit ich gesehen habe im AD per default nicht vorhanden), dann wird die bisherige Einstellung verwendet (z.B. für SSL-VPN-Attribute (IPv4) - die sollte dann ja wie bisher aus dem konfigurierten Bereich zugewiesen werden).

Damit ich im AD nicht für jeden User manuell einen Zertifikatsnamen als Custom Attribut pflegen muss, habe ich als Cert-Attribute nun "sAMAccountName" eingetragen, und ein entsprechendes Zertifikat mit dem gleichen Common Name angelegt.
Dann habe ich eine Gruppe angelegt, die Berechtigungen "User Interface" und "SSL-VPN" hinzugefügt, bei SSL-VPN "Client im Userinterface herunterladbar" aktiviert und unter Verzeichnisdienst mit einer AD-Gruppe verknüpft.

Der Anwender kann sich dann auch anmelden, aber der SSL-Client-Download erscheint nicht. Die Einstellungen aus der Gruppe werden aber gezogen (z.B. wenn ich "Mailfilter Administrator" aktiviere). Was habe ich hier falsch gemacht oder vielleicht übersehen?

Partypapst
Beiträge: 53
Registriert: Sa 19.09.2015, 01:20

Beitrag von Partypapst »

Ist der AD-User auch noch Mitglied einer anderen Gruppe, die an die Securepoint weitergeleitet wurde?
Bei mir war es so, dass ich noch eine separate AD-Gruppe MAILFILTER für den Mailfilter im Userinterface angelegt hatte, da nicht alle User dieser Gruppe auch per SSL-VPN von außen die Verbindung herstellen. Die AD-User, die beides können sollten, hatte ich in beide Gruppen (SSL-VPN, MAILFILTER) gepackt. Dann war bei denen aber der Download nicht verfügbar. Nehme ich sie aus der AD-Gruppe MAILFILTER raus, ist der Download verfügbar. Ist wahrscheinlich so, weil die Berechtigung "Userinterface" immer die Mailfilter-Berechtigung bedeutet und bei zwei Gruppenzugehörigkeiten keine kumulierten Berechtigungen ziehen?!

nehemann
Beiträge: 19
Registriert: Mi 22.06.2016, 09:05

Beitrag von nehemann »

Nein, ist er nicht. Momentan habe ich nur einer UTM-Gruppe eine AD-Gruppe zugewiesen. Und ich meinte auch nicht den einfachen Mailfilter, sondern den Mailfilter Administrator: Wenn ich der Gruppe diese Berechtigung nicht gebe, sieht der User unter E-Mails nur seine eigenen; wenn ich die Berechtigung Mailfilter Administrator hinzufüge, kann er dann die Mails von allen Usern sehen. Also grundsätzlich werden die Berechtigungen gezogen. Aber der Download taucht leider nicht auf.

Svenja
Beiträge: 85
Registriert: Mo 16.04.2018, 12:00

Beitrag von Svenja »

Hallo nehemann,

der Partypapst meinte, ob der User im AD noch einer anderen Gruppe zugeordnet ist ;-)

Grüße
Svenja

nehemann
Beiträge: 19
Registriert: Mi 22.06.2016, 09:05

Beitrag von nehemann »

Äh. Natürlich ist der User im AD noch anderen Gruppen zugeordnet. Das AD möchte ich mal sehen, wo ein User nur einer Gruppe zugeordnet ist.
Aber 1. hat Partypapst explizit von einer Gruppe geschrieben, die an die UTM weitergeleitet wird (und da die UTM ja prinzipiell erst mal alle Gruppen sieht, meinte er vermutlich eine Gruppe, die in der UTM explizit einer UTM-Gruppe zugeordnet ist), und 2. werden die Berechtigungen ja offenbar von der Gruppe gezogen, da ich über genau diese Gruppe steuern kann, ob die Mailadministrator-Berechtigung erteilt ist oder nicht - nur wird eben kein Download angezeigt.

kennethj
Beiträge: 408
Registriert: Di 25.04.2017, 10:17
Wohnort: Lüneburg
Kontaktdaten:

Beitrag von kennethj »

Hallo,

sind die Benutzer (wo der Download Button nicht erscheint) mehreren AD Gruppen auf der UTM zugeordnet?
Wenn ein AD Benutzer auf der UTM in zwei lokalen Gruppen ist (mit verschiedenen Berechtigungen) kann es zu Konflikten kommen.
Bespiel: Max Mustermann ist in der Gruppe MailUser (hat Userinterface + Spamreport) und in der Gruppe VPN (SSL-VPN, Userinterface und Client Download)

Jetzt gibt es zwei Möglichkeiten: Er sieht den Client Download oder er sieht ihn nicht - das kommt jetzt darauf hin, welche Gruppe das Attribut (welches Den Download erlaubt) vererbt.
Vererbt die Gruppe MaiUser das Attribut -> Kein Client Download
Vererbt die Gruppe VPN -> Client Download

Lösung: In beiden Gruppen das Attribut für den Download aktivieren - da die anderen Benutzer in der Gruppe MailUser nicht Mitglied der Gruppe VPN sind, sehen den Download nicht.

Gruß

nehemann
Beiträge: 19
Registriert: Mi 22.06.2016, 09:05

Beitrag von nehemann »

Nein, wie gesagt, auf der UTM ist momentan nur einer Gruppe eine AD-Gruppe zugeordnet.
Ich habe jetzt aber mal allen Gruppen auf der UTM die Berechtigung Client Download gegeben - aber bei dem User ist sie trotzdem nicht sichtbar. Ich vermute also, es liegt am Cert-Attribut oder ähnlichem in der AD-Konfiguration (s.o. wie ich das gemacht habe).

kennethj
Beiträge: 408
Registriert: Di 25.04.2017, 10:17
Wohnort: Lüneburg
Kontaktdaten:

Beitrag von kennethj »

Ok.
Setzen Sie mal folgendes CLI Kommando ab:

Code: Alles auswählen

 user attribute get name $USER
Da wäre Interessant was bei dem Attribut "openvpn_client_download" steht.

nehemann
Beiträge: 19
Registriert: Mi 22.06.2016, 09:05

Beitrag von nehemann »

Da steht

Code: Alles auswählen

name        |attribute                               |value                 |inherit_from
------------+----------------------------------------+----------------------------------------------------------------------------------------------------------------------+------------
<username   |mailfilter_email_addresses              |<email>               |
            |openvpn_name                            |RW_Enerko             |Enerko Informatik MA
            |openvpn_certificate                     |                      |Enerko Informatik MA
            |openvpn_gateway                         |192.168.178.254       |Enerko Informatik MA
            |language                                |DEFAULT               |Enerko Informatik MA
            |mailfilter_download_attachments_filtered|1                     |Enerko Informatik MA
            |mailfilter_allow_resend                 |1                     |Enerko Informatik MA
            |openvpn_client_download                 |1                     |Enerko Informatik MA
            |openvpn_redirectgateway                 |0                     |Enerko Informatik MA
Offenbar fehlt also das Zertifikat...
Zuletzt geändert von nehemann am Mo 01.07.2019, 11:32, insgesamt 1-mal geändert.

Partypapst
Beiträge: 53
Registriert: Sa 19.09.2015, 01:20

Beitrag von Partypapst »

kennethj hat geschrieben:Hallo,

sind die Benutzer (wo der Download Button nicht erscheint) mehreren AD Gruppen auf der UTM zugeordnet?
Wenn ein AD Benutzer auf der UTM in zwei lokalen Gruppen ist (mit verschiedenen Berechtigungen) kann es zu Konflikten kommen.
Bespiel: Max Mustermann ist in der Gruppe MailUser (hat Userinterface + Spamreport) und in der Gruppe VPN (SSL-VPN, Userinterface und Client Download)

Jetzt gibt es zwei Möglichkeiten: Er sieht den Client Download oder er sieht ihn nicht - das kommt jetzt darauf hin, welche Gruppe das Attribut (welches Den Download erlaubt) vererbt.
Vererbt die Gruppe MaiUser das Attribut -> Kein Client Download
Vererbt die Gruppe VPN -> Client Download

Lösung: In beiden Gruppen das Attribut für den Download aktivieren - da die anderen Benutzer in der Gruppe MailUser nicht Mitglied der Gruppe VPN sind, sehen den Download nicht.

Gruß
Genau diese Problematik meinte ich. Ich werde es sow ei beschrieben mal probieren.
Grüße
PP

Partypapst
Beiträge: 53
Registriert: Sa 19.09.2015, 01:20

Beitrag von Partypapst »

nehemann hat geschrieben:Äh. Natürlich ist der User im AD noch anderen Gruppen zugeordnet. Das AD möchte ich mal sehen, wo ein User nur einer Gruppe zugeordnet ist.
Aber 1. hat Partypapst explizit von einer Gruppe geschrieben, die an die UTM weitergeleitet wird (und da die UTM ja prinzipiell erst mal alle Gruppen sieht, meinte er vermutlich eine Gruppe, die in der UTM explizit einer UTM-Gruppe zugeordnet ist), und 2. werden die Berechtigungen ja offenbar von der Gruppe gezogen, da ich über genau diese Gruppe steuern kann, ob die Mailadministrator-Berechtigung erteilt ist oder nicht - nur wird eben kein Download angezeigt.
Zu 1.) Ja, ich meinte natürlich eine weitere AD-Gruppe, die in der UTM auch einer lokalen Gruppe zugeordnet ist.
zu 2.) kennethj hat ja sehr schön beschrieben, dass es in diesem Fall zu Konflikten mit der Downloadberechtigung des SSL-VPN Clients kommen kann. (Ist bei mir ja auch der Fall)
          Deshalb die berechtigte Nachfrage.
Für deine Problematik ist das offensichtlich nicht ausschlaggebend, da du nur eine 1:1 Zuordnung hast.
Grüße und Viel Erfolg
PP

kennethj
Beiträge: 408
Registriert: Di 25.04.2017, 10:17
Wohnort: Lüneburg
Kontaktdaten:

Beitrag von kennethj »

Dann stimmt bei Ihnen irgendwas noch nicht - bei mir klappt es:

Code: Alles auswählen

user attribute get name kennethj

name       |attribute                               |value                                                         |inherit_from|conflict_with
-----------+----------------------------------------+--------------------------------------------------------------+------------+-------------
kennethj  |openvpn_certificate                     |Cert_kennethj                                                 |            |
           |otp_sharedsecret                        |***************                                               |            |
           |mailfilter_email_addresses              |                                                              |            |
           |openvpn_name                            |SSL-Roadwarrior                                               |Spamreport  |SSL-Roadwarrior-Grp,Proxy-Gruppe
           |openvpn_gateway                         |******.spdns.de                                               |Spamreport  |SSL-Roadwarrior-Grp,Proxy-Gruppe
           |language                                |DEFAULT                                                       |Spamreport  |SSL-Roadwarrior-Grp
           |mailfilter_download_attachments_filtered|0                                                             |Spamreport  |SSL-Roadwarrior-Grp,Proxy-Gruppe
           |mailfilter_allow_resend                 |1                                                             |Spamreport  |SSL-Roadwarrior-Grp
           |openvpn_client_download                 |1                                                             |Spamreport  |SSL-Roadwarrior-Grp,Proxy-Gruppe
           |openvpn_redirectgateway                 |0                                                             |Spamreport  |SSL-Roadwarrior-Grp,Proxy-Gruppe


nehemann
Beiträge: 19
Registriert: Mi 22.06.2016, 09:05

Beitrag von nehemann »

Offenbar wird "sAMAccountName" als Attribut an dieser Stelle nicht unterstützt, genauswenig wie "mail" (der value beim user attribute get bleibt dann leer). Den Grund dafür kann ich nicht ganz nachvollziehen, ich halte das für einen Bug. Evtl., weil das Attribut schon anderweitig genutzt wird.
Andere Attribute kann ich aber verwenden, z.B. mailNickname (entspricht inhaltlich bei mir dem sAMAccountName) oder auch userPrincipalName (entspricht inhaltlich mail). Also es liegt auch nicht am Wert als solches. So kann ich das aber nun wie gewünscht nutzen.

Wegen dem Fehler, dass das Attribut zwar eingetragen werden kann, der Wert dann aber nicht gezogen wird - kann/muss ich das noch irgendwo anders melden?

Albzundy
Beiträge: 34
Registriert: Mo 26.02.2018, 15:40

Beitrag von Albzundy »

Sehr interessantes Thema!
Dieser thread hat mir bereits jetzt sehr geholfen!
Auch bei uns klappt es nicht wenn man das Attribute sAMAccountName ein zweites Mal für das Zertifikat verwendet.
Mit mailNickname geht es! Doppelte Verwendung eines Attributes geht also nicht, schade!

Aber es gibt ein größeres Problem zu dem mir kein workaround einfällt:
Wenn ich ein Zertifkat widerrufe kann ich leider kein neues mit exakt dem gleichen Namen erstellen! Alte Zertifikate können
D.h. am Anfang funktioniert es noch so, wenn das Zertifikat den gleichen Namen hat wie der mailNickname bzw sAMAccountName.
Aber sobald ein User ein neues Zertifikat bekommt muss es zwangsläufig einen neuen Namen bekommen und dann wirds schwierig diesen aus der AD passend abzufragen.

Und die Konflikte bei mehreren Gruppen habe ich auch. Scheinbar wirken Verbote immer vorrangig. D.h. wenn jemand in 5 Gruppen ist und 4 davon erlauben den SSL Client download wird trotzdem das Verbot der übrigen Gruppe angewendet. Wäre andersherum natürlich einfacher zu konfigurieren!

kennethj
Beiträge: 408
Registriert: Di 25.04.2017, 10:17
Wohnort: Lüneburg
Kontaktdaten:

Beitrag von kennethj »

Hallo,

ich vermute mal das Zertifikats Problem wird das gleiche wie hier sein: https://support.securepoint.de/viewtopic.php?f=27&t=7872.
Also entweder per CLI löschen oder aber auf ein Firmware Update warten ;)

Bezüglich Attributsvererbung: Das Verhält sich wie beim Portfilter: First Match Wins. Verbote werden nicht bevorzugt. Der spauthd bekommt wahrscheinlich einfach nur diese Gruppe zuerst.

Gruß 

Albzundy
Beiträge: 34
Registriert: Mo 26.02.2018, 15:40

Beitrag von Albzundy »

First Match Wins kann natürlich auch sein! Das Pronzip Klingt auch wahrscheinlicher als meine Vorstellung.

Udnd mit den Zertifikaten gibt es doch noch einen workaround: Ein extra Extensionattribute verwenden und händisch pflegen... Da wir die Dateien normalerweise ohnehin nicht vom USer herunterladen lassen sondern händisch bei jedem installieren (alleine schon wegen benötigter Admin Rechte) ist das aber auch nicht so wichtig wenn der Download einfach nicht bei jedem USer direkt geht.

K.Jendrzej
Beiträge: 1
Registriert: Do 29.04.2021, 14:57

Beitrag von K.Jendrzej »

Guten Tag zusammen,

gibt es hierzu mittlerweile eine Lösung ohne die händischen Workarounds?

Viele Grüße

Antworten