Ansichten:

Richten Sie NTLM v2 oder Kerberos-basiertes Single Sign-On ein, um lokale Active Directory-Benutzer transparent mit ihren Windows-Anmeldeinformationen zu authentifizieren.

Hinweis
Hinweis
NTLM v2 und Kerberos-basiertes Single Sign-On gelten nur für Benutzergeräte in einer Active-Directory-Domäne. Bevor Sie die Dienste aktivieren, stellen Sie sicher, dass Sie die erforderlichen Benutzergeräte zu Ihren lokalen Active-Directory-Domänen hinzugefügt haben, und überprüfen Sie die folgenden Themen:
Berücksichtigen Sie die folgenden Einschränkungen bei der Planung von NTLM v2- oder Kerberos-basiertem Single Sign-On:
  • Für NTLM v2-basiertes Single Sign-On: Wenn Sie einen Active Directory-Globalen Katalogserver verwenden, kann es bei Benutzern mit demselben Benutzernamen in Ihrer Organisation zu einer Internetzugriffsregelabweichung kommen.
  • Für Kerberos-basiertes Single Sign-On: Wenn der Benutzerprinzipalname eines Kerberos-authentifizierten Benutzers von dem in Active Directory verwendeten Namen abweicht, können Sie möglicherweise keine benutzer- oder gruppenbasierten Regeln auf den Benutzer anwenden.

Prozedur

  1. Gehen Sie zu Zero Trust Secure AccessSecure Access ConfigurationInternet Access and AI Service Access ConfigurationAllgemeine Einstellungen und klicken Sie auf Single Sign-On with Active Directory (On-Premises).
  2. Single Sign-On aktivieren.
  3. Wählen Sie ein einzelnes lokales Gateway oder mehrere lokale Gateways hinter einem Lastenausgleich als Authentifizierungsproxy, um mit Active Directory für die Authentifizierung zu kommunizieren.
    • Einzelnes Gateway: Alle lokalen Active Directory-Benutzer werden über das angegebene lokale Gateway mit dem angegebenen Active Directory-Server authentifiziert.
      Hinweis
      Hinweis
      • Das lokale Gateway verwendet Port 8089 für den Authentifizierungsverkehr.
      • Nur lokale Gateways mit Unterstützung für Authentifizierungs-Proxy werden in der Liste angezeigt.
    • Mehrere Gateways: Um eine hohe Verfügbarkeit des Dienstes sicherzustellen, werden Benutzer über einen Lastenausgleich auf mehrere lokale Gateways authentifiziert. Sie müssen die IP-Adresse oder den FQDN eines konfigurierten Lastenausgleichs angeben. Informationen zur Zuweisung und Konfiguration des Lastenausgleichs finden Sie unter Konfigurieren Sie Lastenausgleicher, um mehrere Internetzugang-Gateways vor Ort als Authentifizierungs-Proxy zu verwenden.
  4. Wählen Sie ein vertrauenswürdiges Serverzertifikat aus und importieren Sie es aus Ihrer Organisation.
    Hinweis
    Hinweis
    • Standardmäßig verwendet der Internetzugang das integrierte CA-Zertifikat für die HTTPS-Inspektion, um das Serverzertifikat für die Benutzerauthentifizierung zu signieren. Um ein benutzerdefiniertes Zertifikat zu verwenden, wählen Sie die Option, laden Sie Ihr eigenes Zertifikat und den privaten Schlüssel hoch und geben Sie das Passwort ein und bestätigen Sie es.
    • Der allgemeine Name (CN) und der alternative Antragstellername (SAN) auf dem Zertifikat müssen mit dem Host-Name des angegebenen lokalen Gateways oder Lastenausgleichs übereinstimmen.
  5. Falls gewünscht, wählen Sie die Aktivierung des NTLM v2-basierten Single Sign-On.
    1. Wählen Sie auf der Trend Vision One-Konsole Ihre Active Directory-Servervariante aus.
    2. Schützen Sie Authentifizierungsdaten während der Kommunikation mit Active Directory, indem Sie Use LDAPS auswählen.
    3. Geben Sie den Einzelmodus oder den Hochverfügbarkeitsmodus an.
      • Für den Einzelmodus geben Sie die IP-Adresse oder den FQDN Ihres Active Directory-Servers an.
      • Wählen Sie für den Hochverfügbarkeitsmodus die Methode zur Verkehrsverteilung aus.
        • Wenn Sie Failover auswählen, geben Sie die IP-Adressen oder FQDNs Ihrer primären und sekundären Active Directory-Server an.
        • Wenn Sie Round Robin auswählen, geben Sie die IP-Adressen und FQDNs aller Active Directory-Server an, die Sie für die Authentifizierung verwenden möchten.
    4. Geben Sie die Ports für die Übertragung von Authentifizierungsdaten basierend auf der ausgewählten Servervariante und dem Protokoll an.
      Protokoll
      Microsoft Active Directory
      Microsoft Active Directory Globaler Katalog
      LDAP
      389
      3268
      LDAPS
      636
      3269
    5. Melden Sie sich bei Ihrem primären Active Directory-Server mit einem Konto mit Administratorrechten an.
    6. Navigieren Sie zu StartenServer ManagerToolsGroup Policy Management.
      Das Fenster Group Policy Management wird angezeigt.
    7. Wählen Sie im Navigationsmenü auf der linken Seite Ihren Wald und Ihre Domäne aus.
    8. Klicken Sie mit der rechten Maustaste auf Default Domain Policy unter Ihrer Domäne, und wählen Sie Edit....
      Die Seite Group Policy Management Editor wird angezeigt.
    9. Unter Computer Configuration gehen Sie zu RichtlinienWindows SettingsSicherheitseinstellungenLocal PoliciesSecurity Options.
    10. Wenn Sie LDAP verwenden:
      1. Doppelklicken Sie auf Domain controller: LDAP server signing requirements.
      2. Klicken Sie auf Define this policy setting.
      3. Wählen Sie Keine.
      4. Klicken Sie auf Übernehmen und dann auf OK.
      5. Wiederholen Sie das Konfigurationsverfahren für alle anderen Active Directory-Server, die Sie für die Authentifizierung verwenden möchten.
    11. Wenn Sie LDAPS verwenden:
      1. Doppelklicken Sie auf Domain controller: LDAP server channel binding token requirements.
      2. Klicken Sie auf Define this policy setting.
      3. Wählen Sie Nie.
      4. Klicken Sie auf Übernehmen und dann auf OK.
      5. Wiederholen Sie das Konfigurationsverfahren für alle anderen Active Directory-Server, die Sie für die Authentifizierung verwenden möchten.
      NTLM v2-Authentifizierung kann erfolgreich aktiviert werden, nachdem die Änderungen der Gruppenrichtlinie wirksam werden, was bis zu zwei Stunden dauern kann.
  6. Falls gewünscht, aktivieren Sie die Kerberos-basierte Single Sign-On und laden Sie die erforderliche Keytab-Datei hoch.
    1. Melden Sie sich bei Ihrem Active Directory-Domänencontroller mit einem Konto mit Administratorrechten an.
    2. Erstellen Sie einen neuen Active Directory-Benutzer, der als Service Principal Name (SPN) für die Kerberos-Authentifizierung dient.
      1. Geben Sie den Benutzername des Kontos und das Kennwort an.
      2. Wählen Sie die Option Password never expires, um sicherzustellen, dass die Keytab-Datei gültig bleibt.
      3. Wählen Sie die Option This account supports Kerberos AES 256 bit encryption, um die Verwendung des Kontos für die Authentifizierung zu ermöglichen.
        Hinweis
        Hinweis
        Sie können die Konfiguration des Authentifizierungskontos jederzeit überprüfen, indem Sie den entsprechenden Benutzer in Active Directory auswählen und zu EigenschaftenKontoAccount options gehen.
    3. Führen Sie den folgenden Befehl in der Befehlszeile aus, um den neuen Benutzer als SPN festzulegen.
      setspn -a HTTP/<auth proxy fqdn> <user name>
      Tipp
      Tipp
      Für <auth proxy fqdn> ersetzen Sie den FQDN, der Ihrer Konfiguration entspricht:
      • Für ein einzelnes Gateway verwenden Sie <the single gateway FQDN>.
      • Für mehrere Gateways hinter einem Lastenausgleich verwenden Sie das <load balancer FQDN>.
      Hinweis
      Hinweis
      Der <auth proxy fqdn> ist der FQDN des Service-Gateways, das das Internetzugang-On-Premises-Gateway hostet. Der FQDN wird erstellt, wenn der Active Directory-Server konfiguriert wird.
    4. Führen Sie den folgenden Befehl aus, um die Keytab-Datei zu generieren, die den neuen SPN mit dem Kerberos-Dienst verknüpft.
      ktpass -princ HTTP/<auth proxy fqdn>@<DOMAIN> -mapuser <user name>@<domain> -pass <user password> -out swg.keytab -ptype KRB5_NT_PRINCIPAL -mapop add -crypto all
      Eine Keytab-Datei mit dem Namen swg.keytab wird erstellt und unter C:\Users\Administrator gespeichert.
      Tipp
      Tipp
      Für <auth proxy fqdn> ersetzen Sie den FQDN, der Ihrer Konfiguration entspricht:
      • Für ein einzelnes Gateway verwenden Sie <the single gateway FQDN>.
      • Für mehrere Gateways hinter einem Lastenausgleich verwenden Sie das <load balancer FQDN>.
      Hinweis
      Hinweis
      • Kerberos-Befehle sind case-sensitiv. Im Befehl zur Erstellung der Keytab-Datei ist der Server-FQDN basierend auf Ihrem lokalen Gateway (<auth proxy fqdn>) komplett in Kleinbuchstaben, während der Kerberos-Bereich (die Active Directory-Domäne, @<DOMAIN>) komplett in Großbuchstaben sein sollte.
      • Wenn die Keytab-Datei jemals geändert wird, müssen Benutzer möglicherweise ihren Kerberos-Cache leeren, um eine Authentifizierungsfehler zu vermeiden.
    5. Laden Sie die generierte Keytab-Datei in die Kerberos-Einstellungen in Single Sign-On with Active Directory (On-Premises) auf der Trend Vision One-Konsole hoch.
  7. Klicken Sie auf Save.
    Es kann einige Minuten dauern, bis die Konfiguration wirksam wird.
  8. Sehen Sie den Status des lokalen Gateways im Bildschirm Gateways an.
    • Setting up auth proxy: Internetzugang wendet die NTLM v2- oder Kerberos-basierte Single-Sign-On-Einstellungen auf das lokale Gateway an.
    • Used as auth proxy: Das lokale Gateway ist erfolgreich als Authentifizierungs-Proxy konfiguriert.
    • Auth proxy error: Aufgrund eines der folgenden Probleme ist ein Fehler aufgetreten:
      • Das lokale Gateway hat versucht, mit dem Active Directory-Server oder Trend Vision One zu kommunizieren, während der Zero Trust Secure Access On-Premises Gateway-Dienst auf dem Service Gateway-Gerät deaktiviert oder deinstalliert ist.
      • Das Service-Gateway-Gerät ist getrennt.
      • Der Host-Name des lokalen Gateways ist mit keinem SPN in der Kerberos-Keytab-Datei verknüpft.
Zugehörige Informationen