5
Watchguard XTM525 - Authentifikation über AD Gruppen
Hallo zusammen,
wir setzen in der Fa. eine Watchguard XTM525 Firewall ein. Ich bin neu in der Fa. und meine Erste Aufgabe wird sein, die Firwallregeln aufzuräumen und neue Regel anzulegen. Bisher greifen die Regeln nur über IP-Adressen. Was allerdings im Terminalserverumfeld keinen Sinn macht und viel zu viel Verwaltungsaufwand ist. Auf dem Terminalservern habe ich nun die WatchGuard Terminal Services Agent Software installiert und die Userauthentifizierung funktioniert jetzt.
Allerdings möchte ich in der AD auf unserem DC (Windows Server 2008R2) eine Gruppe erstellen die dann zur Authentifizierung auf der Firewall dienen soll. Allerdings funktioniert das nicht einfach so. Muss ich evtl. auch auf den DCs eine Clientsoftware installieren damit das funktioniert?
Gruß
D
wir setzen in der Fa. eine Watchguard XTM525 Firewall ein. Ich bin neu in der Fa. und meine Erste Aufgabe wird sein, die Firwallregeln aufzuräumen und neue Regel anzulegen. Bisher greifen die Regeln nur über IP-Adressen. Was allerdings im Terminalserverumfeld keinen Sinn macht und viel zu viel Verwaltungsaufwand ist. Auf dem Terminalservern habe ich nun die WatchGuard Terminal Services Agent Software installiert und die Userauthentifizierung funktioniert jetzt.
Allerdings möchte ich in der AD auf unserem DC (Windows Server 2008R2) eine Gruppe erstellen die dann zur Authentifizierung auf der Firewall dienen soll. Allerdings funktioniert das nicht einfach so. Muss ich evtl. auch auf den DCs eine Clientsoftware installieren damit das funktioniert?
Gruß
D
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 257496
Url: https://administrator.de/contentid/257496
Printed on: April 25, 2024 at 09:04 o'clock
5 Comments
Latest comment
Hi,
und warum funktioniert das nicht?
Das geht sogar sehr gut, du musst nur dafür sorgen das deine WG (=Watchguard) die auch lesen kann.
Dafür brauchst du einen AD-User der lesen darf.
Den trägst du unter Setup/Authentication/Authentication Server/ Active Directory ein (Group String= memberOf, Login Attribute =sAMAccountName).
Dann unter Setup/Authentication/Authorized Users and Groups kommen die Gruppen rein und die Gruppe in die Policy.
Fertig!
VG
Deepsys
und warum funktioniert das nicht?
Das geht sogar sehr gut, du musst nur dafür sorgen das deine WG (=Watchguard) die auch lesen kann.
Dafür brauchst du einen AD-User der lesen darf.
Den trägst du unter Setup/Authentication/Authentication Server/ Active Directory ein (Group String= memberOf, Login Attribute =sAMAccountName).
Dann unter Setup/Authentication/Authorized Users and Groups kommen die Gruppen rein und die Gruppe in die Policy.
Fertig!
VG
Deepsys
Hallo,
danke für die schnelle Antwort. Muss bei "DN of Searching User" z.B. einfach nur Administrator drin stehen, oder muss das z.B. so rein geschrieben werden: CN=Administrator,OU=Administratoren,OU=IT,DC=xxx,DC=local ???
Diesn Punkt hatte ich auch gefunden, aber es stand nichts drin.
danke für die schnelle Antwort. Muss bei "DN of Searching User" z.B. einfach nur Administrator drin stehen, oder muss das z.B. so rein geschrieben werden: CN=Administrator,OU=Administratoren,OU=IT,DC=xxx,DC=local ???
Diesn Punkt hatte ich auch gefunden, aber es stand nichts drin.
Der DN ist nur der Name, aber den Administrator würde ich dafür nicht unbedingt nehmen.
Irgendeinen User anlegen, der muss nur das AD lesen können.
Unter Search Base musst du CN=Administrator,OU=Administratoren,OU=IT,DC=xxx,DC=local angeben.
Irgendeinen User anlegen, der muss nur das AD lesen können.
Unter Search Base musst du CN=Administrator,OU=Administratoren,OU=IT,DC=xxx,DC=local angeben.
Wenn der schon korrekt vorausgefüllt wäre, würde ich mir aber Sorgen machen 
Hallo,
die FW war ja bereits in Betrieb und wurde eigentlich immer von einem Systemhaus betreut. Aber laut denen funktioniert die Authentifizierung über AD Gruppen nicht. An dieser Stelle hat nichts drin gestanden, weil sie wohl noch weniger Ahnung haben als ich. Ohoh
Auf jeden Fall funktioniert es jetzt und ich kann anfangen aufzuräumen.
Vielen Dank und ein schönes Wochenende
die FW war ja bereits in Betrieb und wurde eigentlich immer von einem Systemhaus betreut. Aber laut denen funktioniert die Authentifizierung über AD Gruppen nicht. An dieser Stelle hat nichts drin gestanden, weil sie wohl noch weniger Ahnung haben als ich. Ohoh
Auf jeden Fall funktioniert es jetzt und ich kann anfangen aufzuräumen.
Vielen Dank und ein schönes Wochenende
