Zu der Einrichtung bzw Umstellung der UTM VPN-User habe ich eine Frage:
Da ich ja jedem Benutzer ein eigenes Zertifikat zuweisen muss/sollte, muss ich also trotz AD Anbindung jeden VPN User auf der UTM anlegen?
Bisher existiert der Benutzer nur lokal auf der UTM, dort ist ihm zugeordnet:
- Benutzername
- Passwort
- Client-Zertikat
- One-Time Password Token
Für den Webzugriff (Administration oder Zugriff auf Mailfilter) ist das ja ganz einfach, dafür braucht man nur einen Benutzernamen und ein Passwort.
Für OpenSSL VPN reicht ja aber alleine die Gruppe im AD nicht, weil dort nur der Benutzername und Passwort hinterlegt ist.
Die Einstellung für das Client-Zertifikat und bei uns noch zusätzlich den OTP-Hardware Token kann ja nur direkt auf der Firewall erfolgen.
Also muss man zwingend auf der Firewall einen Benutzer anlegen, der dann exakt den gleichen Anmeldenamen haben muss wie der AD-User?
Ich muss auf der UTM beim Benutzer Anlegen außerdem zwingend ein Kennwort vergebeben. Mit AD Anbindung wird bei gleichen Username immer das Passwort vom AD User gefordert habe ich ausprobiert?.(Habe ich eben nochmal getstet,ich bin mir nicht mehr sicher)
Kann/Muss ich das lokale Kennwort auf der UTM somit als Rückfallebene ansehen? Normalerweise brauche und kann ich es ja gar nicht verwenden (?).
Ich habe eben gesehen, dass man doch alle Informationen im AD speichern kann und warscheinlich auch MUSS:
https://wiki.securepoint.de/UTM/AUTH/AD_Anbindung
https://wiki.securepoint.de/UTM/AUTH/OTP
https://wiki.securepoint.de/UTM/AUTH/OTP-AD
Dann gibts keine Verwirrung mehr wegen mehrfach angelegten Usern mit gleichen Benutzernamen.
Auf lokale Benutzer kann also komplett verzichtet werden denke ich (außer natürlich min. 1 Admin Konto für den Notfall etc)