Benutzerverwaltung per LightShadow

LightShadow ermöglicht eine Benutzerverwaltung für TightGate-Pro, bei der Sicherheitsgruppen eines internen Active Directory genutzt werden können, ohne dass TightGate-Pro oder der LightShadow-Dienst selbst eine direkte Verbindung zum internen Active Directory aufbauen müssen.

Damit erfüllt LightShadow die folgenden zentralen Anforderungen an die Benutzerverwaltung von TightGate-Pro:

Vereinfachte Benutzerverwaltung durch die Nutzung von Active-Directory-Gruppenmitgliedschaften
Keine direkte Kommunikation von TightGate-Pro oder LightShadow mit dem internen Active Directory
Single Sign-on (SSO) für Benutzer beim Zugriff auf TightGate-Pro

Weitere Hintergrundinformationen finden Sie hier: So funktioniert LightShadow

Voraussetzungen

Installierter LightShadow-Server Installation und Konfiguration des LightShadow-Servers
Zertifizierungsstelle (CA) des LightShadow-Servers

Vorgehensweise

LightShadow-Paket installieren

Anmeldung am TightGate-Pro als Administrator update
Auswahl des Menüpunkts Optionale Pakete hinzufügen
Auswahl des Pakets lightshadow
Bestätigung mit OK

Das Paket wird installiert. Im Weiteren ist den Anweisungen des Systems zu folgen.

LightShadow konfigurieren

Anmeldung am TightGate-Pro Administrator config
Aufruf des Menüpunkts System-Vorgaben > Authentisierungsmethode
Auswahl der Authentisierungsmethode LightShadow
Nach der Auswahl werden zusätzliche Konfigurationsoptionen angezeigt, die wie folgt zu konfigurieren sind:

LightShadow IP: Eintragung der IPv4- oder IPv6-Adresse des LightShadow-Servers
LightShadow Passwort: Eintragung des Passworts, mit dem TightGate-Pro auf den LightShadow-Dienst zugreift.
Das Passwort wird auf dem LightShadow-Server vergeben und kann dort eingesehen werden.
Importiere LightShadow-CA: Import der für die HTTPS-Verbindung benötigten CA des LightShadow-Servers aus dem Verzeichnis ~/config/transfer.

Hinweis

Die CA-Datei muss vor dem Import bereits in diesem Verzeichnis abgelegt sein. Beachten Sie hierzu auch den Exkurs im folgenden Abschnitt.

Übernahme der Einstellungen über Speichern und anschließend Anwenden

Hinweis

Wird eine vorhandene LightShadow-CA nicht mehr benötigt oder hat sich diese geändert, kann sie über den Menüpunkt Entferne LightShadow-CA aus dem System entfernt werden.

Exkurs: LightShadow-CA herunterladen

Die CA des LightShadow-Servers kann wie folgt bezogen werden:

Aufruf der folgenden URL im Webbrowser: https://<IP-des-LightShadow-Servers>/status/index.php
Gegebenenfalls auftretende HTTPS-Warnung bestätigen
Im unteren Abschnitt Sonstiges den Link SSL-CA auswählen. Die CA-Datei cacert.crt wird heruntergeladen

Hinweis

Ist der Zugriff auf die Status-Seite des LightShadow-Servers nicht möglich, melden Sie sich als Benutzer config am LightShadow-Server an und öffnen Sie den Menüpunkt Einstellungen > Netzwerk > Von außen offene TCP-Ports. Geben Sie dort temporär den Port 443 frei und übernehmen Sie die Änderungen über Speichern und Sanft Anwenden. Nach dem erfolgreichen Download der CA-Datei sollte der Port 443 aus Sicherheitsgründen wieder geschlossen werden.