Hallo!
Brauchen Sie Hilfe? Wir sind hier!
Brauchen Sie Hilfe? Wir sind hier!
Search Results:
×Dieses Handbuch bietet eine Einführung in einige der wichtigsten Lösungen, die der miniOrange Single Sign On-Server zur Sicherung Ihrer Windows-Infrastruktur bietet. Einige davon ermöglichen die Authentifizierung bei verbundenen Anwendungen, nachdem Sie sich bei Ihrer Windows-Domäne angemeldet haben. Außerdem wird eine zweite Authentifizierungsebene hinzugefügt, wenn Sie über ein VPN oder einen Remotedesktopserver usw. auf geschützte Ressourcen zugreifen.
In allen oben genannten Fällen ist LDAP ein wichtiger Aspekt, da es den Vorteil bietet, die Informationen einer gesamten Organisation in einem zentralen Repository zu konsolidieren. miniOrange bietet eine breite Palette von Lösungen für LDAP, wie z. B. LDAP-Proxy/Gateway, Unterstützung für mehrere Active Directorys als Benutzerspeicher, Active Directory-Synchronisierung mit dem miniOrange-Server usw.
miniOrange bietet Benutzerauthentifizierung aus verschiedenen externen Quellen, die Verzeichnisse (wie ADFS, Microsoft Active Directory, OpenLDAP, AWS usw.), Identitätsanbieter (wie Microsoft Entra ID, Okta, AWS) und viele mehr. Sie können Ihren bestehenden Verzeichnis-/Benutzerspeicher konfigurieren oder Benutzer in miniOrange hinzufügen.
Sie sind bei Ihrem Windows-System angemeldet und möchten sich bei einer Anwendung anmelden, beispielsweise einer lokalen Anwendung wie SharePoint oder einer Cloud-Anwendung wie GSuite. Sind Sie es nicht leid, sich jedes Mal bei jeder Anwendung mit denselben Anmeldeinformationen anzumelden? Vertrauen Sie uns, wir machen es Ihnen mühelos.
miniOrange bietet eine Lösung, mit der Sie sich nach der Anmeldung bei Windows per Single Sign-On bei verbundenen Anwendungen anmelden können, die sowohl in der Cloud als auch vor Ort gehostet werden, vorausgesetzt, die Anwendungen sind innerhalb der Domäne für SSO konfiguriert. Sie können Intranet-Portale oder Anwendungen wie Google Apps, Office 365 usw. konfigurieren, die Sie automatisch anmelden, wenn Sie versuchen, auf sie zuzugreifen.
Windows Challenge/Response (NTLM) ist das Authentifizierungsprotokoll, das in Netzwerken verwendet wird, zu denen Systeme gehören, auf denen das Windows-Betriebssystem ausgeführt wird, sowie auf eigenständigen Systemen.
Das Kerberos-Protokoll definiert, wie Clients mit einem Netzwerkauthentifizierungsdienst interagieren. Clients erhalten Tickets vom Kerberos Key Distribution Center (KDC) und legen diese Tickets den Servern vor, wenn Verbindungen hergestellt werden. Kerberos-Tickets stellen die Netzwerkanmeldeinformationen des Clients dar.
Die Windows-Authentifizierung verwendet je nach Client- und Serverkonfiguration entweder Kerberos- oder NTLM-Authentifizierung. Dieses Dokument folgt dem Beispiel eines Anwendungsfalls, in dem NTLM die beste Wahl ist: Die Anwendungen werden auf Windows-Servern bereitgestellt, die der Active Directory-Domäne beigetreten sind. d. h. es ist ein vollständiges Microsoft Active Directory-Setup vorhanden.
Mit dem miniOrange SSO-Server können Sie sich bei Ihren Anwendungen anmelden, ohne Ihre Anmeldeinformationen erneut eingeben zu müssen, nachdem Sie sich bei der Windows-Domäne authentifiziert haben.
miniOrange erreicht dies durch die Installation einer Komponente auf dem Windows-Server, die im Grunde als Identitätsanbieter fungiert. Wenn der Benutzer versucht, auf eine Cloud-Anwendung wie Salesforce zuzugreifen, wird die Anforderung an den miniOrange SSO-Server gesendet, der wiederum das auf dem Windows-Computer installierte miniOrange SAML-Modul fragt, ob der Benutzer angemeldet werden kann, und SSO basierend auf der Antwort des Moduls durchführt.
Dies umfasst im Wesentlichen drei Schritte:
1. Öffnen Sie die Eingabeaufforderung im Verwaltungsmodus.
2. Führen Sie darauf den folgenden Befehl aus:
setspn -a HTTP/## Server-FQDN## ##Domänendienstkonto##
3. Öffnen Sie „Active Directory-Benutzer und -Computer“.
4. Suchen Sie nach dem Dienstkonto, mit dem das Dienstprinzipalname (SPN).
5 Navigieren Sie zum Delegation Tab.
6 Wählen Vertrauen Sie diesem Benutzer für die Delegierung an einen beliebigen Dienst (nur Kerberos)..
7 Klicken Tragen Sie.
8. Öffne dich IIS-Manager.
9. Wählen Sie die Site aus, die Sie anwenden möchten Windows-Authentifizierung nach.
10. Wählen Sie den Anwendungspool für diese Website aus. Klicken Sie mit der rechten Maustaste darauf und wählen Sie Erweiterte Einstellungen.
11. Benutzen Benutzerdefiniertes Konto und legen Sie das Konto als Dienstkonto fest, für das die Delegierung aktiviert wurde. Sie müssen auch das Kennwort des Dienstkontos eingeben.
12 Navigieren Sie zum Authentifizierung Abschnitt für die Website.
13. Aktivieren Windows-Authentifizierung und deaktivieren Anonyme Authentifizierung.
14. Suchen Sie im Konfigurationseditor nach system.webServer/security/authentication/windowsAuthentication.
15. einstellen useKernelMode as falsch , useAppPoolCredentials as richtig
16 Klicken Tragen Sie.
17. Öffne dich Internet Explorer und offene Internet-Optionen.
18. Fügen Sie den FQDN des IIS-Servers zur Liste der Sites im lokalen Intranet hinzu.
19 Wählen Benutzerdefinierte Stufe für die SicherheitszoneWählen Sie in der Liste der Optionen Automatische Anmeldung nur in der Intranetzone.
Sie installieren ein SAML-Modul auf dem IIS-Server, der mit der Windows-Domäne verbunden ist. Dieses Modul ist dafür verantwortlich, festzustellen, ob der bei Windows angemeldete Benutzer sich innerhalb der Domäne auch bei verbundenen Anwendungen anmelden kann.
Wenn der Benutzer versucht, auf eine Cloud-Anwendung zuzugreifen, beispielsweise Salesforce, wird die Anforderung von miniOrange empfangen, das die Anforderung an dieses vor Ort installierte SAML-Modul weiterleitet, das bestimmt, ob der Benutzer automatisch angemeldet werden kann, und die entsprechende Antwort sendet.
1. Tragen Sie die URLs in das samlsso.php im SAML-Modul.
| Parameter | Wert |
|---|---|
| ACS-URL | Vom Format: https://auth.miniorange.com/moas/endusersamlresponse |
| Aussteller | Der Hostname des Servers |
| Publikum | https://auth.miniorange.com/moas |
2. Speichern Sie die Datei.
1. Melden Sie sich beim Administrator-Dashboard an.
2. Navigieren Sie zu Identitätsanbieter in der linken Navigationsleiste.
3. Klicke auf Identitätsquelle hinzufügen.
4. Fügen Sie in miniOrange eine SAML-Identitätsquelle mit den Details des lokalen SAML-Moduls hinzu.
| Parameter | Wert |
|---|---|
| IdP-Entitäts-ID/Aussteller | Wie im obigen Schritt festgelegt |
| SAML-SSO-Anmelde-URL | Vom Format http://< hostname_of_server >/saml/samlsso.php |
| X.509-Zertifikat | Das SP-Zertifikat im SAML-Modul |
5. Speichern Sie die Identitätsquelle und legen Sie sie als Standardidentitätsquelle fest, indem Sie auf Machen Standard.
miniOrange Gateway ist eine kleine Software, die auf einem gemeinsam genutzten Rechner laufen kann. Es wird kein eigener Rechner benötigt und unsere Kunden installieren es im Allgemeinen auf jedem Server, der sich bereits in der DMZ befindet.
Klicken Sie hier für mehr.
Damit wird eine externe Eigenschaftendatei festgelegt, die Tomcat zum Lesen und Schreiben der LDAP-Konfiguration verwendet. Um die externe Eigenschaftendatei festzulegen, führen Sie die folgenden Schritte aus:
1. Öffnen Sie die Datei catalina.bat (catalina.sh auf Linux-Servern) der Tomcat-Installation.
2. Fügen Sie unten die folgende Zeile hinzu: # ----- Führen Sie den angeforderten Befehl aus -------------------------------------
Linux
JAVA_OPTS="$JAVA_OPTS-Dexternal.properties.file=/home/Benutzer/Anwendung.properties
Windows
setze JAVA_OPTS=%JAVA_OPTS%-Dexternal.properties.file=C:\Benutzer\Benutzer\Dokumente\Anwendung.properties
3. Speichern Sie die Datei.
4. Starten Sie Tomcat neu.
Dieser Schritt ist erforderlich, um die LDAP-Verbindung auf dem Gateway einzurichten. Befolgen Sie die folgenden Schritte:
1. Melden Sie sich beim miniOrange LDAP Gateway an.
2 Navigieren Sie zum Schlüssel konfigurieren .
3. Stellen Sie die Kundennummer Und Token-Schlüssel des miniOrange-Kontos und klicken Sie auf Speichern.
4 Navigieren Sie zum LDAP-Konfigurationen Klicken Sie auf Bearbeiten für die standardmäßige LDAP-Konfiguration.
5. Fügen Sie die folgenden Konfigurationsdetails hinzu. Klicken Sie auf Speichern.
Befolgen Sie die nachstehenden Schritte, um die geplante Synchronisierung zu konfigurieren
1 Navigieren Sie zum Terminplaner .
2. Stellen Sie die Synchronisierungsintervall in Stunden. Dies bestimmt die Anzahl der Stunden, nach denen die geplante Synchronisierung ausgeführt wird. In typischen Setups ist es 24 Stunden.
3. Stellen Sie die Synchronisierungszeit in HH: mm Format. Dies bestimmt die Tageszeit, zu der die erste geplante Synchronisierung ausgeführt wird. Klicken Sie auf Speichern.
Die geplante Synchronisierung wird nun zur festgelegten Zeit ausgeführt.
Befolgen Sie die folgenden Schritte, um das LDAP-Gateway in der miniOrange-Admin-Konsole zu konfigurieren:
1. Navigieren Sie zur miniOrange-Admin-Konsole. Melden Sie sich mit Ihren miniOrange-Anmeldeinformationen an.
2 Navigieren Sie zum Benutzerspeicher .
3. Klicke auf Benutzer hinzufügen Bewahren.
4. Wählen Sie den Typ als AD/LDAP und einstellen LDAP-Konfiguration vor Ort speichern.
Setze die miniOrange Gateway-URL.
Auswählen LDAP aktivieren.
Klicken Sie auf Speichern.
Das miniOrange LDAP Gateway Sync-Tool fungiert als Vermittler zwischen einem lokalen Active Directory-/LDAP-Server und dem Cloud-basierten Dienst von miniOrange.
Es ermöglicht die folgenden Funktionalitäten:
Das miniOrange LDAP Gateway Sync-Tool fungiert als Vermittler zwischen einem lokalen Active Directory/LDAP-Server und dem Cloud-basierten miniOrange-Dienst. Es ermöglicht die folgenden Funktionen:
Damit können Sie in miniOrange mehrere Active Directorys zur Authentifizierung konfigurieren und festlegen, welches Active Directory zur Authentifizierung bei welcher Anwendung verwendet werden soll. Sie können beispielsweise AD1, AD2, … ADN als Authentifizierungsquelle für Apps konfigurieren. Damit können sich Benutzer in all diesen Verzeichnissen mit einem einzigen Login bei allen Apps anmelden.
LDAP als Proxy fungiert als Middleware-Schicht zwischen dem LDAP-Client, z. B. jedem CMS (z. B. Wordpress) und dem Active Directory, dem LDAP-Verzeichnisserver.
Der LDAP-Proxy befindet sich in der DMZ zwischen einer Cloud-basierten Anwendung und einem internen LDAP und ist für die Weiterleitung von LDAP-Anfragen von der Anwendung an den lokalen Server verantwortlich. Dadurch kann die Anwendung für die LDAP-Integration auf den Proxy zugreifen und das interne Verzeichnis bleibt im Netzwerk ungeschützt.
Wenn Sie ein virtuelles privates Netzwerk (VPN) verwenden, um Ihren Benutzern die Verbindung über ein öffentliches Netzwerk zu ermöglichen, wird die Verbesserung der Sicherheit zum Problem, da Benutzer Zugriff auf vertrauliche digitale Assets erhalten. miniOrange kann hier von großem Nutzen sein, indem es zusätzlich zur VPN-Authentifizierung eine Zwei-Faktor-Authentifizierung bietet. Dadurch wird der Zugriff auf geschützte Ressourcen gesichert, anstatt sich nur auf den VPN-Benutzernamen/das VPN-Passwort zu verlassen.
Remote Authentication Dial-In User Service (RADIUS) ist ein Client/Server-Protokoll, das Client-Authentifizierung und -Autorisierung bereitstellt. Es ermöglicht RAS-Servern die Kommunikation mit einem Server, um Benutzer zu authentifizieren und ihren Zugriff auf das angeforderte System oder den angeforderten Dienst zu autorisieren.
| Klartext | NT-Hash (ntlm_auth) | MD5-Hash | Gesalzener MD5-Hash | SHA1-Hash | Gesalzener SHA1-Hash | Unix-Kryptologie | |
|---|---|---|---|---|---|---|---|
| BREI | |||||||
| CHAP | |||||||
| Digest | |||||||
| MS-CHAP | |||||||
| PEAP | |||||||
| EAP-MSCHAPv2 | |||||||
| Cisco LEAP | |||||||
| EAP-AGB | |||||||
| EAP-MD5 | |||||||
| EAP-SIM | |||||||
| EAP-TLS |
miniOrange erreicht dies, indem es als RADIUS-Server fungiert, der den Benutzernamen und das Passwort des als RADIUS-Anforderung eingegebenen Benutzers akzeptiert, den Benutzer anhand des Benutzerspeichers als Active Directory (AD) validiert, ihn zur Zwei-Faktor-Authentifizierung auffordert und den Zugriff basierend auf der Eingabe des Benutzers gewährt oder widerruft.
Die Zwei-Faktor-Authentifizierung kann je nach VPN-Client zwei Arten haben.
In diesem Fall gibt es zwei Anfragen. Die erste ist mit dem Benutzernamen/Passwort des Benutzers, das anhand der im Active Directory gespeicherten Anmeldeinformationen validiert wird. Nachdem die erste Anfrage eine Erfolgsantwort gesendet hat, wird eine Challenge-Anfrage gesendet, um die 2-Faktor-Authentifizierung des Benutzers zu validieren (z. B. wird im Fall von OTP Over Email ein Einmalpasscode an die E-Mail des Benutzers gesendet). Der Benutzer validiert den zweiten Faktor, woraufhin ihm Zugriff auf die Anwendung gewährt wird.
Nutzbare Authentifizierungsmethoden:
RADIUS-Clients, die diesen Authentifizierungstyp unterstützen:
Weiter unten gibt es dabei zwei Arten der Authentifizierung:
In beiden oben genannten Fällen akzeptiert miniOrange die Anfrage und validiert zuerst den Benutzernamen/das Passwort und dann den vom Benutzer eingegebenen 2-Faktor-Code.
Nutzbare Authentifizierungsmethoden:
RADIUS-Clients, die diesen Authentifizierungstyp unterstützen:
1. Melden Sie sich beim Administrator-Dashboard an.
2. Navigieren Sie zu Apps >> Apps verwalten in der linken Navigationsleiste.
3. Klicke auf Apps konfigurieren.
4. Gehen Sie zur Registerkarte Radius-Anwendungen und wählen Sie Radius-Server App. Klicke auf App hinzufügen .
5. Geben Sie den Radius-Clientnamen, die Client-IP und das Shared Secret ein, die Sie auch im Radius-Client konfigurieren müssen.
6. Klicke auf Gespeichert .
1. Gehen Sie zum Menü „Benutzerspeicher“ und klicken Sie auf Benutzerspeicher hinzufügen .
2. Konfigurieren Sie Ihre LDAP-Einstellungen.
3. Stellen Sie sicher, dass die folgenden Optionen aktiviert bleiben.
4. Klicke auf Gespeichert.
5. Klicken Sie nach dem Speichern auf Testkonfiguration um Ihre LDAP-Einstellungen zu überprüfen
1. Gehen Sie zur Registerkarte Richtlinien und klicken Sie auf App-Authentifizierungsrichtlinie.
2. Gehen Sie zur Registerkarte „Richtlinie hinzufügen“ und fügen Sie eine Richtlinie für die in Schritt 1 hinzugefügte Anwendung hinzu.
Sie können Ihren Radius-Client mit den folgenden Details konfigurieren:
Radius-Server-IP/-Host: IP oder Domänenname des Servers, auf dem Sie miniOrange installiert haben.
Serverport: 1812
Gemeinsames Geheimnis: In Schritt 1 konfiguriert.
Die Konfiguration auf Seiten des RADIUS-Clients hängt vom VPN-Client ab. Als Beispiel wurde hier OpenVPN demonstriert.
Klicken Sie hier, um die detaillierten Schritte anzuzeigen.1. Melden Sie sich beim . an OpenVPN-Administrator-Dashboard.
2. Navigieren Sie zu Authentifizierung >> Allgemein in der linken Navigationsleiste. Wählen Sie RADIUS und speichern Sie die Einstellungen.
3. Navigieren Sie zu Authentifizierung >> RADIUS in der linken Navigationsleiste. Wählen BREI als RADIUS-Authentifizierungsmethode.
Geben Sie in den RADIUS-Einstellungen unten den Radius-Server-IP/-Host als IP- oder Domänenname des Servers, auf dem Sie miniOrange installiert haben, Server-Port wie 1812 und Geteiltes Geheimnis im vorherigen Schritt konfiguriert.
4. Klicke auf Einstellungen speichern.
So funktioniert der eigentliche VPN-Login mit 2FA.
1. Verbinden mit OpenVPN indem Sie den Hostnamen des Servers eingeben.
2. Geben Sie Ihren AD-Benutzernamen und Ihr Passwort ein und klicken Sie auf Verbinden.
3. Nun werden Sie nach dem 2-Faktor-Authentifizierungscode gefragt. Geben Sie den Code ein und klicken Sie auf Fortfahren.
4. Nach erfolgreicher Validierung sind Sie verbunden.
Die Benutzer geben ihre AD-Anmeldeinformationen ein, um sich bei Palo Alto, dem Radius-Client, anzumelden. Nach der Validierung von Benutzername und Passwort wird ein Einmalpasswort an die Mobiltelefonnummer des Benutzers gesendet. Der Benutzer gibt das erhaltene Einmalpasswort ein, das von miniOrange validiert wird, um dem Benutzer Zugriff zu gewähren/zu verweigern.
Die Benutzer geben ihre AD-Anmeldeinformationen und den 2FA-Code (Software-Token) ein, um sich bei OpenVPN, dem Radius-Client, anzumelden. Nach der Validierung von Benutzername und Passwort werden sie zur 2-Faktor-Authentifizierung aufgefordert. Nach der Validierung des 2. Faktors werden die Benutzer bei OpenVPN angemeldet.
Die Benutzer geben ihre AD-Anmeldeinformationen ein, um sich bei FortiNet anzumelden. Nach der Benutzername-/Passwortvalidierung wird eine Push-Benachrichtigung an das Mobiltelefon des Benutzers gesendet, die er akzeptieren muss, um sich bei AWS anzumelden.
Wenn Benutzer eine Verbindung zu einem Remotedesktopdienst herstellen, ist die Zwei-Faktor-Authentifizierung unerlässlich, um einen hohen Sicherheitsschutz für Ihre Unternehmensressourcen zu gewährleisten. Durch die Installation der miniOrange 2-Faktor-Authentifizierung für die Windows-Anmeldung wird Windows-Anmeldeversuchen über RDP eine Zwei-Faktor-Authentifizierung hinzugefügt.
Der Benutzer initiiert die Anmeldung beim Remotedesktopdienst entweder über einen Remotedesktopclient oder über die RD-Web-Anmeldeseite seines Browsers. Anschließend wird die RADIUS-Anforderung von der auf dem Zielcomputer installierten miniOrange RD-Webkomponente an den miniOrange RADIUS-Server gesendet, der den Benutzer über Local AD authentifiziert. Nach erfolgreicher Authentifizierung wird die 2-Faktor-Authentifizierung des Benutzers aufgerufen. Nachdem sich der Benutzer validiert hat, wird ihm der Zugriff auf den Remotedesktopdienst gewährt.
Ein Benutzer kann auf zwei Arten versuchen, eine Verbindung zu RDS (Remote Desktop Services) herzustellen:
1. Der Benutzer ruft über seinen Browser die RD-Web-Anmeldeseite auf, gibt seinen Benutzernamen und sein Passwort ein und klickt auf „Senden“.
2.
Dieser Fehler wird üblicherweise durch eine Zeitdifferenz zwischen dem miniOrange-Server und Ihrem Mobilgerät verursacht (bzw. durch eine Zeitdifferenz zwischen der Uhrzeit Ihres Rechners und der Uhrzeit Ihres Mobilgeräts im Falle der Offline-Authentifizierung für Windows/Linux/Mac).
Die von Authentifizierungs-Apps generierten Sicherheitstoken sind zeitbasiert (TOTP). Sie sind nur für ein bestimmtes Zeitfenster von 30 bis 60 Sekunden gültig. Weicht die Systemzeit Ihres Telefons, auf dem die Authentifizierungs-App läuft, oder Ihres Computers (bei Offline-Authentifizierung) auch nur um zwei Minuten ab, wird der Code vom Server/Computer als abgelaufen betrachtet.
