Um auf einer ZyWall USG das Active Directory einzubinden muss folgendes gemacht werden:
1: Auf dem Domain Server muss Port 389 offen sein
2: Eine neue Sucherheitsgruppe eröffnen, hier im Beispiel ist es SSLVPN, und die Benutzer mit Zugriff für die VPN hinzufügen
3: Auf der ZyWall folgendes einstellen:
Object -> AAA Server -> Active Directory -> Edit
Server Adress: IP des Domain Controllers
Base DN: DC=domain,DC=local
Um den Base DN herauszufinden, geben Sie folgenden Befehl im CMD ein:
dsquery user -name Name*
Resultat:
CN=Name Vorname,CN=Users,DC=domain,DC=local
Die Base DN ist nun der schluss mit DC
Bind DN: CN=administrator,CN=Users,DC=domain,DC=local
Bind DN muss ein Benutzer mit Administratorrechten sein
Passwort: Natürlich dessen Passwort
Alternative Login Name Attribute: mail
Ist im AD auf dem Benutzer eine Mailadresse hinterlegt, kann sich dieser auch damit einloggen
Ganz unten kann nun die Verbindung getestet werden, ein Benutzername eingeben. Das Resultat sollte nun OK sein. Sucht darin aber gleich noch nach folgendem String:
memberOf: CN=SSLVPN,CN=Users,DC=domain,DC=local
4: Object -> Auth. Method -> Edit
Add -> Group ad
Ich empfehle an zweiter stelle
5: Object -> User/Group -> Add
Username: z.B. AD_SSLVPN
User Type: ext-group-user
Group identifier: CN=SSLVPN,CN=Users,DC=domain,DC=local
Der String am ende von Schritt 3, oder folgenden CMD Befehl:
dsquery group -samid SSLVPN
oder
dsquery group -name SSL*
Damit wird sichergestellt, das nur die Gruppenmitglieder Zugriff haben und nicht alle Benutzer
Associated AAA Server Object: Ad
Unten kann wieder getestet werden mit einem Benutzername. OK erscheint wenn der Benutzer in der Gruppe ist, ansonnsten erscheint: "user" does not belong to this group.
6: System -> DNS
Unter Domain Zone Forwarder muss unbedingt noch der interne DNS Server hinzugefügt werden
Domain Zone: domain.local
Private DNS Server: IP des DNS Servers
Fertig. Nun können sich die Benutzer einloggen auf der ZyWall mit SSL VPN
Keine Kommentare:
Kommentar veröffentlichen