Kürzliche Suchen

Keine aktuellen Suchvorgänge

    Beliebte Artikel

      Artikel
      Alle ansehen
        Themen
        Alle ansehen
          Tickets
          Alle ansehen
            keine Ergebnisse

            Leider nichts gefunden für

            Wie Sie MFA nur für ausgewählte Active Directory-Benutzergruppen erzwingen

            Geändert am Di, 28 Okt um 1:38 NACHMITTAGS

            Wenn Sie Multi-Faktor-Authentifizierung (MFA) für bestimmte Active Directory (AD)-Benutzergruppen erzwingen möchten und sicherstellen wollen, dass nur diese Benutzer im Rublon Admin Console als Active markiert sind (und somit eine Lizenz verbrauchen), führen Sie die folgenden Schritte aus.


            Bevor Sie beginnen

            Der Rublon Authentication Proxy ist eine Anwendung, die auf Windows oder Linux installiert werden kann. Sie ermöglicht Multi-Faktor-Authentifizierung (MFA) für Dienste, die die RADIUS- und LDAP(S)-Protokolle unterstützen. Außerdem können Sie damit Ihre Active Directory-Benutzer mit der Rublon Admin Console synchronisieren, was die Funktion ist, die in diesem Artikel verwendet wird.


            Voraussetzungen:


            Schritt 1: Öffnen Sie die Konfigurationsdatei des Rublon Authentication Proxy

            Suchen und öffnen Sie die Konfigurationsdatei des Rublon Authentication Proxy. Diese Datei heißt entweder config.json oder config.yaml, abhängig von Ihrer Wahl bei der Einrichtung des Auth Proxy. 

            • Für Windows befindet sich die Konfigurationsdatei im Verzeichnis:

              C:\Program Files\Rublon Auth Proxy\config\config.yaml

            • Für Linux befindet sich die Konfigurationsdate unter:

            /etc/rublonauthproxy/config/config.yaml

            Wenn die Datei nicht existiert, können Sie eine neue erstellen, indem Sie eine der Vorlagen im Ordner rublonauthproxy/config/examples verwenden. Wir empfehlen, das YAML-Format für Ihre Konfigurationsdatei zu verwenden.


            Schritt 2: Konfigurieren Sie die AD-Synchronisierung für ausgewählte Benutzergruppen

            1. Fügen Sie in der Auth Proxy-Konfigurationsdatei den Abschnitt directory_sync hinzu.


            2. Setzen Sie den Parameter enabled auf true, um die Verzeichnissynchronisierung zu aktivieren.


            3. Setzen Sie den Parameter source_type auf ad.


            4. Definieren Sie Ihre AD-Gruppen im Feld group_dns, indem Sie deren vollständige Distinguished Names (DNs) angeben. Dies sind die AD-Gruppen, für deren Mitglieder MFA erzwungen wird. Nur diese Benutzer werden als Active in Rublon synchronisiert und verbrauchen eine Lizenz.


            5. Beispielkonfiguration (im YAML-Format):

            directory_sync:
  enabled: true
  auth_source: EXAMPLE_AD
  source_type: ad
  group_dns:
    - cn=some-group,dc=example,dc=org
    - cn=some-group2,dc=example,dc=org

auth_sources:
  - name: EXAMPLE_AD
    type: LDAP
    ip: localhost
    port: 636
    transport_type: ssl
    search_dn: dc=example,dc=org
    access_user_dn: cn=admin,dc=example,dc=org
    access_user_password: some-very-hard-password

rublon:
  api_server: https://core.rublon.net
  system_token: ABC
  secret_key: def


            Es ist wichtig, den korrekten Wert für search_dn zu definieren. Dies ist der root Distinguished Name, von dem aus das Verzeichnis durchsucht wird, in der Regel der AD FQDN (Fully Qualified Domain Name) Ihres Unternehmens.
            (Siehe: Wie finde ich den FQDN für meinen Active Directory Server (search_dn in der Rublon Auth Proxy Konfiguration)?).
            Benutzer werden zunächst mithilfe des search_dn der Authentifizierungsquelle gefunden. Erst danach wird eine Mitgliedschaftsprüfung durchgeführt, um zu überprüfen, ob sie zu den im group_dns-Feld aufgeführten Gruppen gehören.


            Schritt 3 (optional): Führen Sie die Directory Sync manuell aus

            Nachdem Sie die Konfigurationsdatei bearbeitet und gespeichert haben, können Sie die directory sync manuell ausführen, um die Konfiguration zu testen. Andernfalls müssten Sie warten, bis der Auth Proxy die Synchronisierung zum geplanten Zeitpunkt automatisch ausführt.

            • Für Windows:  Öffnen Sie das Verzeichnis Rublon Auth Proxy/bin und doppelklicken Sie auf die Datei rublon-directorysync.exe
            • Für Linux: Führen Sie die Datei rublonauthproxy/bin/rublon-directorysync.exe aus


            Schritt 4: Speichern und starten Sie den Rublon Authentication Proxy-Dienst neu

            Nachdem Sie die Konfigurationsdatei bearbeitet und gespeichert haben, starten Sie den Rublon Authentication Proxy-Dienst neu, um die Änderungen zu übernehmen.

            • Für Windows: Öffnen Sie die Eingabeaufforderung als Administrator und führen Sie die folgenden Befehle aus:
              net stop rublonauthproxy

            net start rublonauthproxy

            • Für Linux: Verwenden Sie den folgenden Befehl:
              sudo systemctl restart rublonauthproxy


            Schritt 5: Legen Sie den Enrollment-Typ für unbekannte Benutzer fest

            Um zu verhindern, dass Benutzer außerhalb der ausgewählten AD-Gruppen Lizenzen verbrauchen und zur Verwendung von MFA aufgefordert werden, konfigurieren Sie, wie Rublon mit unbekannten Benutzern umgehen soll:

            1. Melden Sie sich bei der Rublon Admin Console an.

            2. Gehen Sie zum Reiter Settings.

            3. Setzen Sie Enrollment Type auf Manual und Handling of unknown users auf Bypass. Vergessen Sie nicht, auf Save zu klicken, um die Änderungen zu speichern. Dadurch wird sichergestellt, dass Benutzer, die nicht aus den angegebenen AD-Gruppen synchronisiert werden, die MFA-Abfrage umgehen und nicht in der Rublon Admin Console erscheinen. Somit verbrauchen sie keine Lizenz.


            Schritt 6: Überprüfen Sie die Konfiguration

            1. Öffnen Sie in der Rublon Admin Console den Reiter Users, um sicherzustellen, dass nur Benutzer aus den ausgewählten AD-Gruppen (angegeben im Feld group_dns) in die Admin Console übernommen wurden und deren Status auf Active gesetzt ist.


            Wenn sich ein Benutzer anmeldet, der keiner der ausgewählten AD-Gruppen angehört, wird er umgangen (die MFA-Abfrage wird übersprungen). Ein solcher Benutzer wird nicht im Reiter Users in der Rublon Admin Console angezeigt und verbraucht keine Lizenz.

            2. Gehen Sie zum Reiter Groups und bestätigen Sie, dass die AD-Gruppen synchronisiert sind.

            Nützliche Links

            Rublon Authentication Proxy - Download

            Rublon Authentication Proxy - Dokumentation

            Wie finde ich den FQDN für meinen Active Directory Server (search_dn in der Rublon Auth Proxy Konfiguration)?

            How to synchronize users from Active Directory using Directory Sync

            War dieser Artikel hilfreich?

            Das ist großartig!

            Vielen Dank für das Feedback

            Leider konnten wir nicht helfen

            Vielen Dank für das Feedback

            Wie können wir diesen Artikel verbessern?

            Wählen Sie wenigstens einen der Gründe aus
            CAPTCHA-Verifikation ist erforderlich.

            Feedback gesendet

            Wir wissen Ihre Bemühungen zu schätzen und werden versuchen, den Artikel zu korrigieren

            Vorschau
            0 von 0