Ansichten:
Bevor Sie Ihr NTLM oder Kerberos für die einmalige Anmeldung mit Active Directory (vor Ort) konfigurieren, müssen Sie zuerst den Active Directory-Server und den Client-Computer konfigurieren.
Wichtig
Wichtig
Stellen Sie sicher, dass Sie ein Service-Gateway konfiguriert haben, mit dem Zero Trust Secure Access On-premises Gateway installiert und aktiviert ist.
Zugehörige Informationen

Konfigurieren des Active Directory-Servers für Kerberos- oder NTLM-Single-Sign-On

Konfigurieren Sie Ihren Active Directory-Server, um die Aktivierung von Single Sign-On-Authentifizierungsdiensten auf Ihrem lokalen Internetzugang-Gateway vorzubereiten.

Um Ihren Active Directory-Server für Kerberos oder NTLM Single Sign-On zu konfigurieren, müssen Sie einen DNS-Eintrag des lokalen Gateways hinzufügen, das als Authentifizierungs-Proxy verwendet wird.

Prozedur

  1. Ermitteln Sie die IP-Adresse des Service-Gateways, das mit dem lokalen Gateway-Dienst konfiguriert ist, den Sie als Authentifizierungs-Proxy verwenden möchten.
    1. Gehen Sie auf der Trend Vision One-Konsole zu Workflow and AutomationService Gateway Management.
    2. Klicken Sie auf die Kennung des Service-Gateways, das Sie als Authentifizierungs-Proxy verwenden möchten.
    3. Kopieren Sie die IPv4-Adresse vom Bildschirm mit den Service-Gateway-Details.
  2. Navigieren Sie in der Konsole Ihres Active Directory-Servers zu Administrator-ToolsDNSForward Lookup Zones.
  3. Klicken Sie mit der rechten Maustaste auf den Namen der Active Directory-Domäne, die Sie mit dem angegebenen Internetzugang vor Ort Gateway synchronisieren möchten, und wählen Sie New Host....
  4. Im New Host-Bildschirm, der erscheint, geben Sie ein Name für den Authentifizierungs-Proxy ein.
    Verwenden Sie einen Namen, der leicht zu merken ist, wie zum Beispiel authproxy.
  5. Geben Sie die IPv4-Adresse des Service-Gateways ein, das als Authentifizierungs-Proxy verwendet wird.
    Das FQDN-Feld wird automatisch ausgefüllt. Kopieren Sie das FQDN für einen späteren Schritt.
  6. Klicken Sie auf Add Host.
  7. Aktualisieren Sie den FQDN des Service-Gateways.
    1. Gehen Sie auf der Trend Vision One-Konsole zu Workflow and AutomationService Gateway Management.
    2. Lokalisieren Sie das Service-Gateway, das Sie als Authentifizierungs-Proxy verwenden.
    3. Klicken Sie auf das Einstellungen konfigurieren-Symbol (configure=GUID-657DB993-ADC7-4DEC-8C62-C8739D74760E.png).
      Das Fenster Service Gateway Settings wird angezeigt.
    4. Klicken Sie auf das Edit name-Symbol (Edit=GUID-fbd72244-55f4-4c70-a5b0-e5caf4f0cc8e.png).
    5. Ersetzen Sie den Wert durch den FQDN, den Sie kopiert haben.
    6. Klicken Sie auf Ändern und dann auf Speichern.

Konfigurieren des Client-Computers für Kerberos- oder NTLM-Einmalanmeldung

Konfigurieren Sie Ihren Client-Computer, um die Aktivierung von Single-Sign-On-Authentifizierungsdiensten auf Ihrem Internetzugang vor Ort Gateway vorzubereiten.

Prozedur

  1. Konfigurieren Sie den DNS-Server für den Client-Computer.
    1. Öffnen Sie einen Webbrowser auf dem Client-Computer und gehen Sie zu Internet Protocol Version 4 (TCP/IPv4) in den Interneteinstellungen.
    2. Geben Sie im Preferred DNS server-Feld die IP-Adresse Ihres Active Directory-Servers ein.
    3. Klicken Sie auf OK.
  2. Deaktivieren Sie IPv6 auf dem Client-Computer.
    1. Im Browser auf Ihrem Client-Computer gehen Sie zu Internet Protocol Version 6 (TCP/IPv6) in den Interneteinstellungen.
    2. Deaktivieren Sie das Kontrollkästchen zur Aktivierung der IPv6-Nutzung.
    3. Klicken Sie auf OK.
  3. Fügen Sie den Client-Computer einer Active Directory-Domäne hinzu.
    1. Gehen Sie zu System Properties und wählen Sie die Registerkarte Computername aus.
    2. Wählen Sie Ändern.
    3. Auf dem Bildschirm Computer Name/Domain Changes, der erscheint, wählen Sie Domäne und geben Sie den Namen der gewünschten Active Directory-Domäne ein.
    4. Klicken Sie auf OK.
    5. Bestätigen Sie den Benutzernamen und das Passwort des Administrator-Kontos.
    6. Starten Sie den Client-Computer neu und melden Sie sich mit den Anmeldeinformationen des Active Directory-Domänenbenutzerkontos an.
  4. Stellen Sie sicher, dass der FQDN des Authentifizierungs-Proxys in den Übergehungs- oder Ausnahmelisten der Client-Proxy-Einstellungen enthalten ist.
    • Wenn Sie eine PAC-Datei verwenden, fügen Sie den FQDN zu den PAC-Datei-Einstellungen in Trend Vision One hinzu
      1. Navigieren Sie in der Trend Vision One-Konsole zu Zero Trust Secure AccessSecure Access ConfigurationInternet Access ConfigurationPAC Files.
      2. Suchen Sie die PAC-Datei, die der Client-Computer verwendet, und klicken Sie auf das Bearbeitungssymbol (modify_connector=d7163417-a1d8-4a5a-8e4b-a8babe128751.jpg).
      3. Fügen Sie den FQDN zur Liste der zu übergehenden Proxys hinzu:
        1. Wenn Sie ein einzelnes Gateway verwenden, übergehen Sie <the single gateway FQDN>.
        2. Wenn Sie mehrere Gateways hinter einem Lastenausgleich verwenden, umgehen Sie das <load balancer FQDN>.
      4. Klicken Sie auf Save.
      5. Stellen Sie die aktualisierte PAC-Datei auf dem Client-Computer bereit.
    • Wenn Sie eine manuelle Proxy-Konfiguration auf dem Client-Computer verwenden, fügen Sie den FQDN zur Proxy-Ausnahmeliste hinzu.
      1. Gehen Sie auf dem Client-Computer zu StartenEinstellungenNetwork & InternetProxy.
      2. Fügen Sie den FQDN zur Liste unter Use the proxy server except for addresses that start with the following entries hinzu:
        1. Wenn Sie ein einzelnes Gateway verwenden, fügen Sie <the single gateway FQDN> hinzu.
        2. Wenn Sie mehrere Gateways hinter einem Lastenausgleich verwenden, fügen Sie das <load balancer FQDN> hinzu.
      3. Klicken Sie auf Save.
  5. Auf dem Client-Computer erlauben Sie die automatische Anmeldung in der Intranetzone, indem Sie den FQDN des Authentifizierungs-Proxys zu Ihrem Intranet hinzufügen, basierend darauf, ob das Secure Access Module installiert ist oder durch einen unterstützten Browser.
    Verbindungsmethode
    Unterstützter Browser
    Einstellungen
    Mit installiertem Secure Access Module
    n. v.
    1. Wechseln Sie zu SystemsteuerungNetwork and InternetInternetoptionen, und klicken Sie auf die Registerkarte Sicherheit.
    2. Wählen Sie Local intranet aus und klicken Sie auf Standorte.
    3. Klicken Sie im Local intranet-Bildschirm auf Erweitert, fügen Sie den FQDN des Authentifizierungs-Proxys hinzu und klicken Sie auf Hinzufügen.
      Tipp
      Tipp
      Für ein einzelnes Gateway verwenden Sie <the single gateway FQDN>.
      Für mehrere Gateways hinter einem Lastenausgleich verwenden Sie das <load balancer FQDN>.
    4. Bildschirm schließen.
    Ohne Secure Access Module installiert (verwenden Sie einen unterstützten Browser)
    Mozilla® Firefox®
    1. Öffnen Sie Firefox, geben Sie about:config in die Adressleiste ein und klicken Sie dann auf I accept the risk!.
    2. Für NLTM geben Sie network.automatic in das Suchfeld ein und doppelklicken Sie auf network.automatic-ntlm-auth.trusted-uris.
    3. Für Kerberos: Geben Sie network.negotiate-auth in das Suchfeld ein und doppelklicken Sie auf network.negotiate-auth.trusted-uris.
    4. Geben Sie den FQDN des Authentifizierungs-Proxys ein und klicken Sie auf OK.
      Tipp
      Tipp
      Für ein einzelnes Gateway verwenden Sie <the single gateway FQDN>.
      Für mehrere Gateways hinter einem Lastenausgleich verwenden Sie das <load balancer FQDN>.
    Google Chrome™
    Microsoft Edge™ (Chromium-basiert)
    1. Öffnen Sie Internetoptionen und klicken Sie auf die Registerkarte Sicherheit.
    2. Wählen Sie Local intranet aus und klicken Sie auf Standorte.
    3. Klicken Sie im Local intranet-Bildschirm auf Erweitert, fügen Sie den FQDN des Authentifizierungs-Proxys hinzu und klicken Sie auf Hinzufügen.
      Tipp
      Tipp
      Für ein einzelnes Gateway verwenden Sie <the single gateway FQDN>.
      Für mehrere Gateways hinter einem Lastenausgleich verwenden Sie das <load balancer FQDN>.
    4. Bildschirm schließen.