Gehen Sie ins AD und erstellen eine Gruppe SSL-RDP-USER und eine SSL-TERMINAL-USER und ordnen Sie die Benutzer zu.
Sollten Sie ihre XG an das AD anbinden, gehen sie dazu wie folgt vor:
Melden Sie sich auf der XG an unter https://<IP>:4444
Gehen Sie unter Konfigurieren > Authentifizierung > Server > Hinzufügen und erstellen Sie den Server (natürlich mit ihren echten Daten):
Klicken Sie rechts auf das importieren Symbol neben dem Server und wählen die beiden Gruppen aus.
Sollten die Clients für RDP DHCP verwenden, diese bitte die Adressen als Static zuordnen (wenn per XG, dann bitte Konfigurieren > Netzwerk > DHCP > die Daten vom gewünschten Rechner notieren und in dem Range einen Static Eintrag erstellen) oder direkt eine feste Adresse vergeben und einen HOST erstellen.
Dann ein Profil erstellen unter Konfigurieren > VPN > SSL-VPN-Fernzugriff mit den Namen SSL-RDP-USER und dort in den Eigenschaften unter Identität die vorgenannte Gruppe hinzufügen und unter Zugelassene Netzwerkressourcen die Clientrechner für RDP eintragen.
Dann noch ein Profil erstellen mit den Namen SST-TERMINAL-USER und die entsprechende Gruppe zuordnen und dann Zugelassen Netzwerkressourcen die Server auf die Zugegriffen werden soll.
Standardmäßig ist der Userportal Port auf 443 gesetzt, veröffentlichen Sie Webserver sollte der Port verändert werden auf z.B. 4443 (System > Verwaltung > Admin- und Benutzereinstellungen > HTTPS Port für das Benutzerportal.
Soll von extern der Zugriff auf das Userprotal gewünscht werden, dann bitte dies aktivieren unter System > Verwaltung > Appliance Zugriff > Userportal: WAN aktivieren.
Anmeldenamen sind in der Form <anmeldename>@ad.local und das entsprechende AD Kennwort.
Für die SSL Einwahl über AD Konten muss erst unter Konfigurieren > Authentifizierung > Dienste > SSL VPN Authentifizierungsmedthoden das AD aktiviert werden.
Erstellen Sie nun eine Firewallregel wie folgt und speichern sie diese:
- Regelname: SSL-TERMINAL-USER
- Quellzone: VPN
- Zielzone: LAN
- Zielnetzwerk: Nur die Server auf die zugegriffen werden soll
- Hacken bei Übereinstimmung mit bekannten Benutzern und die Gruppe SSL-TERMINAL-USER auswählen
- Speichern
Das selbe nun mit der Gruppe SSL-RDP-USER mit den entsprechenden Einstellungen.
