Benutzer, Gruppen und Geräte aus Active Directory oder LDAP synchronisieren

Gilt für: WatchGuard Cloud Dieses Thema bezieht sich auf Authentifizierungsdomänen in WatchGuard Cloud.

Um Benutzer, Gruppen und Geräte aus einer Active Directory- oder Lightweight Directory Access Protocol (LDAP)-Datenbank mit Ihrer WatchGuard Cloud-Authentifizierungsdomäne zu synchronisieren, müssen Sie die Verzeichnissynchronisierung aktivieren und konfigurieren. Nach der Konfiguration der Verzeichnissynchronisierung stellt WatchGuard Cloud eine Verbindung zu Ihrer externen Benutzerdatenbank her und fügt alle Benutzer, Gruppen und Geräte gleichzeitig zu Ihrer Authentifizierungsdomäne hinzu.

Sie können synchronisierte Benutzer und Gruppen in WatchGuard Cloud nicht löschen. Um einen Benutzer oder eine Gruppe aus Ihrer WatchGuard Cloud-Authentifizierungsdomäne zu entfernen, müssen Sie den Benutzer bzw. die Gruppe aus Ihrem Active Directory oder Ihrem LDAP-Server löschen.

Die Registerkarte Verzeichnissynchronisierung wird nur für Authentifizierungsdomänen mit einem Active Directory oder LDAP-Server angezeigt.

Wenn Sie Active Directory- oder Entra ID-Benutzer (Azure Active Directory) mit AuthPoint synchronisieren möchten, fügen Sie in AuthPoint eine externe Identität hinzu. Mehr erfahren Sie unter Benutzerkonten hinzufügen.

Anforderungen

Um die Funktion Verzeichnissynchronisierung nutzen zu können, muss der WatchGuard Endpoint Agent auf Ihrem Firmennetzwerk an einem Ort mit Internetzugang und einer Verbindungsmöglichkeit zu Ihrem LDAP-Server installiert sein. Der Agent ermöglicht die Kommunikation zwischen WatchGuard Cloud und Ihrer Active Directory- oder LDAP-Datenbank. Bei der Konfiguration der Verzeichnissynchronisierung legen Sie fest, welcher Computer für die Synchronisierung von Benutzern, Gruppen und Geräten Ihrer Authentifizierungsdomäne mit WatchGuard Cloud verwendet wird.

Damit Fireboxen Active Directory- und LDAP-Benutzer authentifizieren können, muss sich die Firebox direkt mit dem Active Directory- oder LDAP-Server verbinden können.

Sie finden die Protokolldateien des WatchGuard Endpoint Agent in diesem Verzeichnis: %ProgramData%\Panda Security\Panda Aether Agent\Logs

Bevor Sie fortfahren, sollten Sie sich über diese Anforderungen im Klaren sein:

• Um die Funktion AD Sync zu nutzen, müssen Sie v1.18.02 oder höher auf dem WatchGuard Endpoint Agent auf Ihrem Active Directory- oder LDAP-Server installieren
• Um die erweiterte Filterfunktion mit AD Sync zu nutzen, müssen Sie v1.18.03 oder höher auf dem WatchGuard Endpoint Agent auf Ihrem Active Directory- oder LDAP-Server installieren
• Sie können die Benutzer und Gruppen, die Sie synchronisieren, in WatchGuard Cloud nicht mit AuthPoint einer Authentifizierungsdomäne hinzufügen

Wenn Ihr Konto über eine WatchGuard Endpoint Security-Lizenz verfügt, belegt der WatchGuard Endpoint Agent einen Endpoint.

Wir empfehlen Ihnen, beim Herunterladen des WatchGuard Endpoint Agent die Versionsnummer des Agenten zu überprüfen. Wenn Ihr Konto nicht vorgesehen ist für eine Version des Agenten, die die Funktion AD Sync unterstützt, müssen Sie sich an den Technischen Support von WatchGuard wenden.

Verzeichnissynchronisierung konfigurieren

So synchronisieren Sie in WatchGuard Cloud die Benutzer, Gruppen und Geräte in der Active Directory oder einer LDAP-Datenbank mit Ihrer Authentifizierungsdomäne:

1. Wählen Sie als Service-Provider den Namen des verwalteten Subscriber-Kontos aus.
2. Wählen Sie Konfigurieren > Verzeichnisse und Domänen-Dienste.
   Die Seite Authentifizierungsdomänen wird geöffnet.

3. Klicken Sie auf den Domänennamen, der bearbeitet werden soll.
   Die Seite Authentifizierungsdomänen aktualisieren wird geöffnet.

4. Wählen Sie Verzeichnissynchronisierung.

5. Klicken Sie auf Verzeichnissynchronisierung konfigurieren.
   Die Seite Verzeichnissynchronisierung wird geöffnet.

6. Laden Sie den WatchGuard Endpoint Agent herunter und installieren Sie ihn. Wenn der WatchGuard Endpoint Agent bereits auf einem Computer installiert ist, der eine Verbindung zu Ihrem Active Directory oder LDAP-Server herstellen kann, fahren Sie mit Schritt 9 fort.
   1. Um den WatchGuard Endpoint Agent herunterzuladen, klicken Sie auf WatchGuard Endpoint Agent herunterladen.
      Das Fenster Agent-Installationsprogramm herunterladen wird geöffnet.
   2. Wählen Sie den Computertyp, auf dem Sie den Agent installieren möchten.
   3. Klicken Sie auf Agent herunterladen.
      Das Agent-Installationsprogramm wird heruntergeladen.
   4. Wir empfehlen Ihnen, beim Herunterladen des WatchGuard Endpoint Agent die Versionsnummer des Agenten zu überprüfen. Wenn Ihr Konto nicht vorgesehen ist für eine Version des Agenten, die die Funktion AD Sync unterstützt, müssen Sie sich an den Technischen Support von WatchGuard wenden.
      1. Rechtsklicken Sie auf die heruntergeladene Datei des WatchGuard Endpoint Agent und wählen Sie im Kontextmenü Eigenschaften.
         Das Fenster WatchGuard Endpoint Agent-Eigenschaften wird geöffnet.
      2. Wählen Sie die Registerkarte Details.
         Die Version des Agenten wird über die Comments-Eigenschaft angezeigt.
   5. Um die Installation zu beginnen, klicken Sie doppelt auf die heruntergeladene Installationsprogrammdatei. Sie müssen den Agenten auf einem Computer installieren, der Internetzugang hat und eine Verbindung zu Ihrem LDAP- oder Active Directory-Server herstellen kann.
      Der Wizard für die Installation des WatchGuard Endpoint Agent wird geöffnet.
   6. Klicken Sie auf Weiter.
   7. Klicken Sie auf Installieren.
   8. Klicken Sie auf Fertigstellen.
      Der Agent ist installiert.
7. Klicken Sie auf der Seite Verzeichnissynchronisierung neben der Dropdown-Liste Hosts auf das Symbol Neu laden .
8. Wählen Sie in der Dropdown-Liste Hosts den Computer, der für die Ausführung der Synchronisierung genutzt werden soll. Die Liste enthält alle Computer mit einem installierten WatchGuard Endpoint Agent.
9. Geben Sie in die Textfelder Dienstkonto und Dienstkonto-Passwort die Zugangsdaten für einen Active Directory-Benutzer ein, der zur Durchführung von LDAP Bind & Search-Vorgängen berechtigt ist.

10. Wählen Sie im Abschnitt Attribute des synchronisierten Benutzers, ob es sich hierbei um einen Active Directory-Server oder einen anderen Typ von LDAP-Datenbank handelt. Bei anderen Datenbanken müssen Sie alle Attributwerte angeben. Bei Active Directory müssen Sie dies nicht tun, da die Attributwerte bekannt sind.
11. Wenn es sich nicht um einen Active Directory-Server handelt, geben Sie für jedes Attribut einen Wert ein.
12. Wählen Sie in der Dropdown-Liste Primärer Server den primären Server aus, der für die Synchronisierung verwendet werden soll. Diese Dropdown-Liste enthält die Server, die Sie zu Ihrer WatchGuard Cloud-Authentifizierungsdomäne hinzugefügt haben.
13. (Optional) Wählen Sie in der Dropdown-Liste Sekundärer Server einen Backup-Server, der für die Synchronisierung verwendet werden soll.

14. Wählen Sie in der Dropdown-Liste Synchronisierungsintervall aus, wie häufig Sie Benutzer und Gruppen aus der LDAP-Datenbank synchronisieren möchten.
15. Klicken Sie auf Weiter.
    Die Seite Erweiterter Filter wird geöffnet.

16. (Optional) Um einen Filter mit einer LDAP-Abfrage hinzuzufügen, um anzugeben, welche Gruppen oder Benutzer synchronisiert werden, klicken Sie auf Erweiterten Filter hinzufügen. Wenn Sie keinen Filter hinzufügen, werden alle LDAP-Benutzer und -Gruppen mit Ihrer Authentifizierungsdomäne synchronisiert.
    Das Fenster Erweiterter Filter wird geöffnet.

    Um die Funktion Erweiterter Filter nutzen zu können, müssen Sie v1.18.03 oder höher des WatchGuard Endpoint Agent installieren.

17. Wählen Sie in der Dropdown-Liste Filtertyp den Eintrag Nach Abfrage filtern.
18. Geben Sie einen Namen für den Filter ein.
19. Geben Sie in das Textfeld Abfrage eine LDAP-Abfrage ein. Um beispielsweise Benutzer zu synchronisieren, die Mitglieder der Gruppe TestGroup sind, lautet Ihre Abfrage (&(objectClass=user)(memberOf=CN=TestGroup,CN=Users,DC=myorg,DC=local)).
20. Klicken Sie auf Filter hinzufügen.
21. Klicken Sie auf Speichern.
    Die Seite Authentifizierungsdomäne aktualisieren wird geöffnet und Ihnen werden die Details Ihrer Verzeichnissynchronisierung angezeigt.

Nachdem Sie die Einstellungen der Verzeichnissynchronisierung konfiguriert und gespeichert haben, muss WatchGuard Cloud den Computer registrieren, den Sie für die Verzeichnissynchronisierung ausgewählt haben. Dieser Vorgang kann bis zu vier Stunden dauern. Wenn die Registrierung abgeschlossen ist, synchronisiert WatchGuard Cloud mit Ihrer Active Directory- oder LDAP-Datenbank und fügt Folgendes zu Ihrer Authentifizierungsdomäne hinzu:

• Ihre LDAP-Benutzer und -Gruppen
• Geräte, die zu einer der Active Directory-Domänen gehören, die Sie zu dieser Authentifizierungsdomäne hinzugefügt haben

Nachdem Sie eine Verzeichnissynchronisierung konfiguriert haben, werden folgende Details auf der Registerkarte Verzeichnissynchronisierung angezeigt:

• Hostname — Der Name des Computers, der Benutzer und Gruppen von Ihrem Active Directory- oder LDAP-Server zu WatchGuard Cloud synchronisiert.
• Status — Zeigt an, ob WatchGuard Cloud eine Verbindung zu Ihrem LDAP-Server herstellen kann.
• Letzte Synchronisierung — Datum und Zeitpunkt, an dem WatchGuard Cloud zuletzt Benutzer und Gruppen von Ihrem LDAP-Server synchronisiert hat.

Um diese Informationen zu aktualisieren, klicken Sie auf das Symbol Neu laden .

Benutzer und Gruppen manuell synchronisieren

Nach der Konfiguration der Verzeichnissynchronisierung synchronisiert WatchGuard Cloud zu jedem Synchronisierungsintervall mit Ihrer Active Directory- oder LDAP-Datenbank und fügt alle Benutzer, Gruppen und Geräte von Ihrer Active Directory- oder LDAP-Datenbank zu Ihrer Authentifizierungsdomäne in WatchGuard Cloud hinzu.

Wenn Sie Benutzer außerhalb des angegebenen Synchronisierungsplans synchronisieren wollen, können Sie Benutzer jederzeit manuell synchronisieren.

So synchronisieren Sie Benutzer manuell:

1. Wählen Sie als Service-Provider den Namen des verwalteten Subscriber-Kontos aus.
2. Wählen Sie Konfigurieren > Verzeichnisse und Domänen-Dienste.
   Die Seite Authentifizierungsdomänen wird geöffnet.

3. Klicken Sie auf den Domänennamen, der bearbeitet werden soll.
   
   Die Seite Authentifizierungsdomänen aktualisieren wird geöffnet.

4. Wählen Sie Verzeichnissynchronisierung.
5. Klicken Sie auf Verzeichnis synchronisieren.

Verzeichnissynchronisierungen deaktivieren

Wenn Sie neue Benutzer, Gruppen und Geräte nicht zu Ihrer Authentifizierungsdomäne synchronisieren wollen, können Sie die Verzeichnissynchronisierung deaktivieren.

Wenn Sie die Verzeichnissynchronisierung für eine Authentifizierungsdomäne deaktivieren, führt WatchGuard Cloud keine automatische Synchronisierung mit Ihrer Active Directory- oder LDAP-Datenbank durch. Benutzer, Gruppen und Geräte, die bereits zu Ihrer Authentifizierungsdomäne synchronisiert worden sind, bleiben verfügbar, aber WatchGuard Cloud führt keine automatische Synchronisierung neuer oder Aktualisierung bestehender Benutzer, Gruppen und Geräte mehr durch.

Wenn Sie eine Verzeichnissynchronisierung deaktivieren, können Sie weiter Benutzer, Gruppen und Geräte manuell zu Ihrer WatchGuard Cloud-Authentifizierungsdomäne synchronisieren.

So deaktivieren Sie eine Verzeichnissynchronisierung in WatchGuard Cloud:

1. Wählen Sie Konfigurieren > Verzeichnisse und Domänen-Dienste.
   Die Seite Authentifizierungsdomänen wird geöffnet.

2. Klicken Sie auf den Domänennamen, der bearbeitet werden soll.
   Die Seite Authentifizierungsdomänen aktualisieren wird geöffnet.

3. Wählen Sie Verzeichnissynchronisierung.

4. Deaktivieren Sie den Schalter Verzeichnissynchronisierung.

Ähnliche Themen

WatchGuard Cloud-Authentifizierungsdomänen