Einrichtung von TightGate-Pro (Active Directory)
Nachdem die Vorbereitung des Active Directory Servers für die Benutzerauthentisierung mit TightGate-Pro abgeschlossen ist und die erzeugte keytab-Datei sowie die CA für die LDAPS-Kommunikation ins Transfer-Verzeichnis des Benutzers config auf TightGate-Pro kopiert wurden, kann mit der abschließenden Konfiguration am TightGate-Pro begonnen werden.
So geht's
- Anmeldung als Administrator config und Wechsel in das Menü Systemvorgaben.
- Auswahl des Menüpunkt Benutzerverz. automatisch für und dort Krb auswählen.
- Auswahl des Menüpunkts Authentisierungs-Methode und dort AD auswählen. Nach der Auswahl erscheinen unterhalb des Menüpunktes weitere Menüpunkte.
- Konfiguration der weiteren Menüpunkte anhand der nachfolgenden Tabelle. Bitte beachten Sie, dass sich die Beispielwerte auf unser Beispiel beziehen.
| Menüpunkt | Beispielwert | Bemerkung |
|---|---|---|
| Kerberos Realms* | SSO.M-PRIVACY.HOM:sso.m-privacy.hom:192.168.4.208:192.168.4.208 | Angabe des REALMS,der DNS-Domäne, des Kerberos Admin Servers sowie der zuständigen KDCs in der Form: REALM:DNS-Domäne:Admin-Server:KDC1:KDC2… . |
| Kerberos Hostname* | TGPro (für Einzelsystem) internet.intern.netz (für Clustersystem) | DNS-Name des Kerberos-Servers (meist, aber nicht zwingend der Name eines Einzelsystems oder des Clusters). Spezifisch für die Infrastruktur am Einsatzort. Achtung: Bei fehlerhafter Angabe dieses Parameters ist keine Anmeldung möglich. Eine dedizierte Fehlermeldung erfolgt nicht. |
| Importiere Kerberos Host Keytab* | TGPro.keytab | Auswahl der im Transfer-Verzeichnis von config abgelegten keytab-Datei. Die keytab-Datei kann nach dem Speichern und Anwenden der Einstellungen wieder aus dem Transfer-Verzeichnis gelöscht werden. |
| Transfer-MIME-Typen-Gruppen* | 2 | Definiert Anzahl und Inhalt der Gruppen von MIME-Typen, die AD-gesteuert über die Dateischleuse von TightGate-Pro transferiert werden dürfen. Es können maximal 99 Gruppen angelegt und beliebig mit MIME-Typen bestückt werden. Jeder dieser Gruppen können im Active Directory (AD) Benutzer zugewiesen werden. Ist ein Benutzer in keiner Transfergruppe, kann er keine Dateien über die Dateischleuse übertragen. Die Transferberechtigungen der Gruppen sind kumulativ. Achtung: Die Gruppe tgtransfer ist stets erforderlich - ihr muss ein Benutzer auf dem AD angehören, um überhaupt zur Dateiübertragung berechtigt zu sein. |
| —- | ||
| AD-gruppenbasierte Anmeldung* | Ja | Legt fest, ob die tg*-Gruppen aus dem AD ausgelesen werden. Bei Nein wird nur geprüft, ob der Benutzer existiert und authentisiert wird. Nur wenn für diesen Menüpunkt Ja ausgewählt wurde, werden die nachfolgenden Menüpunkte verfügbar. |
| Weitere AD-Servern automatisch suchen* | Nein | Wird dieser Menüpunkt aktiviert, so wird im Hintergrund bei den eingetragenen DNS-Servern nach SRV-Einträgen der Kerberos-Domänen gesucht. In den SRV-Einträgen sind die zuständigen LDAP-Server zu finden. Ohne diese Einstellung werden nur die im REALM genannten Server genutzt. Wird dieser Menüpunkt aktiviert, so erscheint nachfolgend ein Menüpunkt zum Ausschließen bestimmter AD-/LDAP-Server. |
| Ausgeschlossene LDAP-Server* | – | Nur wenn unter dem Menüpunkt Nach weiteren AD-Servern automatisch suchen der Wert Ja ausgewählt wurde, erscheint dieser Menüpunkt. Hier können einzelne Server (DCs oder GCs) explizit von der Nutzung ausgeschlossen werden. |
| LDAP-Protokoll | LDAP+LDAPS | Festlegung des zu verwendenden Protokolls für die Anbindung an den Active-Directory Server. |
| Importiere LDAPS-Custom-CA | – | Hier wird das notwendige Zertifikat zur verschlüsselten LDAP-Variante (LDAPS) zur Standardkommunikation mit Active Directory importiert. Damit diese Kommunikation funktioniert, muss die CA vom AD-Server in TightGate-Pro eingespielt werden. Die benötigte CA sollte sich bereits im Transfer-Verzeichnis des Administrators config befinden. Dann kann sie über diesen Menüpunkt importiert werden. Hinweis: Die Custom-CA muss in der Base64-Kodierung vorliegen und kann nach dem Import wieder aus dem Transfer-Verzeichnis gelöscht werden. Es ist darauf zu achten, dass der Dateiname der CA keine der folgenden Zeichen enthält, da die CA sonst nicht importiert werden kann: "()§'`°&; |
| Entferne LDAPS-Custom-CA | – | Entfernen einer bereits hinterlegten Custom-CA für die LDAPS-Kommunikation. |
| —- | ||
| Klarname beim Anmelden aus AD lesen* | Ja | Wird dieser Menüpunkt auf Ja gesetzt, so werden bei jeder Anmeldung einer Benutzerkennung der zugehörige Klarname aus dem AD-Server abgefragt und im TightGate-Pro gespeichert. Als Administrator maint werden diese dann unter der Benutzerverwaltung angezeigt. Wird der Wert auf Nein gesetzt, so erfolgt eine weitere Abfrage, ob alle bisher im TightGate-Pro gespeicherten Klarnamen gelöscht werden sollen. Wird dies bestätigt, werden alle Klarnamen gelöscht und fortan keine Klarnamen mehr bei Benutzeranmeldungen vom AD-Server abgerufen. |
Nachdem die Einstellungen vorgenommen wurden, sind diese über den Menüpunkt Speichern zu sichern. Anschließend bewirkt die Menüoption Anwenden die Aktivierung der gespeicherten Einstellungen.
Überprüfung der Einstellungen
Die Korrektheit der Einstellungen bei der Nutzung eines Active Directory kann als Administrators config über den Menüpunkt Netzwerk prüfen kontrolliert werden. Folgende Tests sollten vom System mit OK bestätigt werden, damit die Voraussetzungen für die Zusammenarbeit mit TightGate-Pro gegeben sind:
| Testname | Ergebnis |
|---|---|
| Kerberos realm [Names des REALM] | |
| KDC 1 mit TCP: | OK |
| KDC1 IP DNS reverse: | OK |
| KDC1 DNS forward: | OK |
| KDC1 DNS = IP: | OK |
| KDC 1 LDAP mit TCP: | OK |
| Keytab Principal with SSL CN: | OK |
| TGT request (with keytab): | OK |
| AD GCs and DCs (with ports): | OK |
| GC ldap Port Check: | OK |
| GC ldaps Port Check: | OK |
| DC ldap Port Check: | OK |
| DC ldaps Port Check: | OK |
| AD server 1: | |
| Forward DNS: | OK |
| Reverse DNS: | OK |
| GSSAPI support (ldap): | OK |
| GSSAPI support (ldaps): | OK |
| – | |
| ggf. weitere AD Server … | |
Hinweis
Sofern LDAPS verwendet wird, werden die Tests zu LDAP ggf mit Failed angezeigt. Dies beeinträchtigt die Funktionsweise von TightGate-Pro nicht, sofern die Verbindungen mit LDAPS korrekt konfiguriert sind.