Securepoint OS v11 – SSL-VPN mit Active Directory-Anbindung

Zu den gelungensten Funktionen bei Securepoint im Allgemeinen gehört das SSL-VPN auf Basis von OpenVPN und im Speziellen ab v11 der Firmware die Anbindung an das Active Directory.

SSL-basierte VPNs sind in der Regel bei Roadwarrior-Szenarien weniger störanfällig als solche die auf IPsec beruhen. Ferner ist die Einrichtung und der Betrieb bei Securepoint recht einfach und vor allem gut dokumentiert. Sollte es doch mal Klemmen, hilft das Forum und der Support.

Ich möchte in diesem Artikel nun keine vollständige Anleitung zu dem Thema geben (außer die breite Masse verlangt danach), sondern lediglich auf ein paar Besonderheiten in der aktuell vorliegenden Implementierung hinweisen.

Als Voraussetzung gilt eine erfolgreiche Anbindung an das Active Directory. Eine Anleitung dazu findet sich im Wiki des Herstellers. Diese bezieht sich zwar von der Namensgebung her auf ClientlessVPN, aber man kann ja die Namen entsprechend anpassen oder für den Fall das man sowohl ClientlessVPN als auch SSL-VPN benutzt entweder die gleiche Benutzergruppe oder mehrere Benutzergruppen im AD verwenden.

Ferner sollte die CA, das Server- und mindest ein Benutzer-Zertifikat bereits erstellt sein.

Besonderheit Nr. 1 – Konfiguration des Roadwarrior-Servers

Beim erstellen des Roadwarrior-Servers kann man bei der Authentifizierung lediglich zwischen „NONE, LOCAL, RADIUS und LDAP“ wählen. Möchte man gegen ein Active Directory authentifizieren, so stellt man „LOCAL“ ein. Darauf muss man erstmal kommen und ich hab‘ auch erst nachgefragt (siehe Forum).

Daraus ergibt sich, das man sowohl lokale als auch Active Directory-Konten verwenden kann.

Kleiner Tipp am Rande: Verwendet man im Netz hinter der Securepoint Server mit Management-Modul und hat dadurch Zugriff auf Server, selbst wenn das installierte Betriebssystem (wie z.B. der Domänencontroller) abgestürzt ist, so kann es durchaus nützlich sein, ein lokales Konto auf der Securepoint zu haben, damit man sich dennoch via VPN anmelden und „alles“ Retten kann.

Besonderheit Nr. 2 – Benutzerzertifikate

Da man nun keine lokalen Benutzer auf der Securepoint hat, kann man folglich den AD-Benutzern auch kein Zertifikat direkt zuordnen. Allerdings kann man wie gewohnt die Zertifikate erstellen und exportiert Diese entsprechend. Alternativ kann man der Benutzergruppe ein Zertifikat zuordnen, das bedeutet dann aber wiederum, das alle AD-Benutzer das gleiche Zertifikat für das SSL-VPN verwenden würden.

Exportiert man die Zertifikate per Hand so benötigt man

  • das CA-Zertifikat im PEM-Format,
  • das Benutzerzertifikat im PEM-Format.

Das Benutzerzertifikat muss man dann öffnen, den Key-Abschnitt ausschneiden und als *.key-Datei speichern.

Ferner müssen die Dateinamen in der Konfigurationsdatei (*.ovpn) angepasst werden.

Besonderheit Nr. 3 – Kein SSL-VPN Client Download

Meldet sich ein AD-Benutzer im Userinterface an, so steht ihm kein SSL-VPN Client oder die Konfiguration zum Download zur Verfügung.

Den Client kann man hier herunterladen:

Securepoint SSL VPN Client v0.9.6

Securepoint SSL VPN Client v1

Um an die Konfiguration zu gelangen, kann man entweder einmal alles per Hand im SSL-VPN Client konfigurieren oder man erstellt einen lokalen Benutzer und lädt die Konfiguration herunter.

Für die Besonderheiten Nr. 2 und 3 haben die Jungs von Securepoint schon eine Idee, man darf gespannt sein.

Update 07.12.2012

Als weiteren Workaround für den aktuell fehlenden SSL-VPN Client Download kann man auch für jeden AD-Benutzer einen lokalen Benutzer (z.B. „Benutzername-Local“) auf der Securepoint UTM anlegen und die notwendigen Konfigurationsschritte (z.B. Zertifikat zuweisen) vornehmen. Dieser Weg ist natürlich nur für eine überschaubare Zahl an Benutzern gangbar.

Update 14.12.2012

Seit Version 11.1 haben auch Active Directory-Benutzer die Download-Möglichkeit des SSL-VPN Clients und der Konfguration im Userinterface. Allerdings nur mit dem Zertifikat, das der Gruppe zugeordnet ist!

Ein Kommentar

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.