Hier können Sie die Verbindungsparameter für den Verzeichnisserver angeben, der zur Verwaltung der LDAP-Benutzer in Ihrem Netzwerk genutzt wird.
Im Tab Authentifizierungs-Server können Sie angeben, welchen Datenbanktyp Sie benutzen wollen. Sie können die lokale Benutzer-Datenbank in der LANCOM R&S®Unified Firewall unabhängig benutzen, oder zusätzlich zum Microsoft-Active-Directory-Server oder zum openLDAP-Server mit Kerberos als externe Benutzer-Datenbank.
Wenn Sie Microsoft Active Directory Server auswählen, können Sie die folgenden Elemente konfigurieren:
| Eingabefeld | Beschreibung |
|---|---|
| Host |
Geben Sie den Hostnamen oder die IP-Adresse des Directory-Servers ein.
Wichtig: Wenn Sie den Hostnamen des Directory-Servers eingeben, müssen Sie die DNS-Einstellungen
konfigurieren. Andernfalls kann der Name nicht aufgelöst werden.
|
| Port | Geben Sie die Port-Nummer des Directory-Servers ein, die für die Kommunikation genutzt werden soll. Sie können die Port-Nummer auch über Pfeil nach oben / nach unten auswählen. |
| Benutzername | Geben Sie den Namen eines leseberechtigten Benutzers ein, um die Liste der Domänenbenutzer aus dem Active Directory abzurufen. Dieses Eingabefeld muss mit dem Benutzerattribut sAMAccountName übereinstimmen. Der Benutzer muss in "CN=Users" eingeordnet sein. Weitere Informationen finden Sie unter Login über den LANCOM R&S®Unified Firewall Single Sign-On-Client. |
| Kennwort |
Geben Sie das Passwort des leseberechtigten Benutzers ein.
Anmerkung: Es ist empfohlen, einen dedizierten Benutzer für diesen Zweck zu erstellen.
|
| Domainname | Geben Sie den Domänennamen des Active Directorys ein. |
| StartTLS | Um die Verbindungssicherheit zum openLDAP- oder Microsoft-Active-Directory-Server zu gewährleisten können Sie das Protokoll StartTLS aktivieren. Geben Sie in diesem Fall auch die zu verwendende Server-CA an. |
Um die konfigurierten Einstellungen für Microsoft Active Directory Server zu prüfen, klicken Sie auf AD-Einstellungen testen.
Wenn Sie OpenLDAP Server auswählen, können Sie die folgenden Elemente konfigurieren:
| Eingabefeld | Beschreibung |
|---|---|
| Server-Adresse |
Geben Sie den Hostnamen oder die IP-Adresse des Directory-Servers ein.
Wichtig: Wenn Sie den Hostnamen des Directory-Servers eingeben, müssen Sie die DNS-Einstellungen
konfigurieren. Andernfalls kann der Name nicht aufgelöst werden.
|
| Port | Geben Sie die Port-Nummer des Directory-Servers ein, die für die Kommunikation genutzt werden soll. Sie können die Port-Nummer auch über Pfeil nach oben / nach unten auswählen. |
| User‑DN |
Geben Sie den Benutzerdomänennamen eines leseberechtigten Kontos ein.
Anmerkung: Es ist nicht erforderlich, den kompletten Benutzerdomänennamen einzugeben. Wenn Sie auf
Speichern klicken, fügt das System die Domain Components vom
Base‑DN-Eintrag automatisch hinzu.
|
| Kennwort | Geben Sie das Passwort des leseberechtigten Benutzers ein. |
| Base‑DN | Geben Sie einen eindeutigen Namen (Base-DN) als Abfolge von Relative Distinguished Names (RDN, Relative Eindeutige Namen) und verbunden durch Kommas ein, zum Beispiel drei Domain Components: dc=ldap,dc=example,dc=com, um den Ort im Verzeichnis festzulegen, von dem aus die Verzeichnissuche starten soll. |
| User-Query | Optional: Geben Sie den Filter an, der verwendet werden soll, um die Liste der Benutzer abzurufen. |
| User‑ID | Optional: Legen Sie die Attribute fest, von denen aus das Benutzer-Identifizierungszeichen abgerufen wird. Der im Webclient angezeigte Benutzername kommt aus diesem Attribut des LDAP-Benutzers. Das Benutzer-Identifizierungszeichen wird standardmäßig aus dem Attribut sAMAccountName abgerufen. |
| User-Name | Optional: Legen Sie das Attribut fest, aus dem der Benutzername abgerufen wird. |
| User-Gruppe | Optional: Legen Sie das Attribut fest, aus dem die Benutzergruppe abgerufen wird. |
| User-Primary-Group | Optional: Legen Sie das Attribut fest, aus dem die primäre Benutzergruppe abgerufen wird. |
| Mail-Query | Optional: Geben Sie den Filter an, der verwendet werden soll, um die E‑Mail-Liste abzurufen. |
| Mail-Name | Optional: Legen Sie das Attribut fest, aus dem der E‑Mail-Name abgerufen wird. |
| Group-Query | Optional: Geben Sie den Filter an, der verwendet werden soll, um die Liste der Gruppen abzurufen. |
| Group-Name | Optional: Legen Sie das Attribut fest, aus dem der E‑Mail-Name abgerufen wird. |
| Group‑ID | Optional: Legen Sie das Attribut fest, aus dem das Gruppen-Identifizierungszeichen abgerufen wird. |
| Group-Primary‑ID | Optional: Legen Sie das Attribut fest, aus dem das primäre Gruppen-Identifizierungszeichen abgerufen wird. |
| Group-Parent | Optional: Legen Sie das Attribut fest, aus dem die übergeordnete Gruppe abgerufen wird. |
| StartTLS | Um die Verbindungssicherheit zum openLDAP- oder Microsoft-Active-Directory-Server zu gewährleisten können Sie das Protokoll StartTLS aktivieren. Geben Sie in diesem Fall auch die zu verwendende Server-CA an. |
Wenn Sie auf Speichern klicken, ergänzt das System mit standardmäßigen Werten alle optionalen Felder, in denen Sie nichts angegeben haben.
Wenn Sie bei Single-Sign-On Kerberos verwenden möchten, muss der Benutzername gpLogin sein. Der Hostname und die Domain Ihrer Firewall wird aus den allgemeinen Einstellungen entnommen. Siehe Allgemeine Einstellungen. Weitere Informationen finden Sie unter Einloggen.
Im Tab Kerberos :
| Eingabefeld | Beschreibung |
|---|---|
| Aktiv | Wählen Sie dieses Kontrollkästchen, um den Kerberos-Dienst zu aktivieren. |
| Kerberos-Schlüssel | Zeigt den Dienstnamen, den Hostnamen und den Domänennamen bezüglich des userPrincipalName des zuletzt erzeugten Kerberos-Schlüssels an, auch Keytab genannt. Weitere Informationen finden Sie unter Einloggen. |
