{"id":2177,"date":"2010-04-01T22:02:00","date_gmt":"2010-04-01T20:02:00","guid":{"rendered":"https:\/\/www.boc.de\/watchguard-info-portal\/fireware-xtm-v11-und-windows-2000-active-directory-user-authentication\/"},"modified":"2016-08-23T15:08:48","modified_gmt":"2016-08-23T13:08:48","slug":"fireware-xtm-v11-und-windows-2000-active-directory-user-authentication","status":"publish","type":"post","link":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2010\/04\/fireware-xtm-v11-und-windows-2000-active-directory-user-authentication\/","title":{"rendered":"Fireware XTM v11 und Windows 2000 Active Directory User Authentication"},"content":{"rendered":"<p>Die Release Notes von WSM und Fireware XTM v11 enthalten den lapidaren Satz <strong>&#8220;We no longer support Microsoft Windows 2000&#8221;<\/strong>. Eine damit zusammenh\u00e4ngende Erscheinung hat mir die Tage etwas Kopfzerbrechen beschert: <strong>User Authentication gegen\u00fcber einer nativen Windows 2000 Dom\u00e4ne<\/strong>. Nach dem Upgrade von WSM\/Fireware 10.2.7 auf 11.2.1 funktionierte sowohl die Web Authentication \u00fcber Port 4100 nicht mehr (&#8220;user name or password invalid&#8221;) als auch die MUVPN-Einwahl \u00fcber den IPSec-Client (&#8220;admd ADM auth Firewall user [xxxxx@Active Directory] Error, Reason &#8211; Generic error id=&#8221;1100-0012&#8221; bzw. &#8220;wgcgi Firewall user xxxxx@Active Directory from [IP] rejected &#8211; all other error&#8221;).<br \/>Das liegt daran, dass eine Firebox mit Fireware XTM v11 &#8220;anders&#8221; in das Active Directory abfragt als die bisherige Fireware 10. Zum Auslesen von Gruppenmitgliedschaften werden jetzt <strong>tokenGroups_get<\/strong> Abfragen ins AD gestellt. Damit kann ein natives Windows 2000 Active Directory aber noch nichts anfangen. Erst ein Windows 2003 Dom\u00e4nencontroller kommt damit zurecht. Nat\u00fcrlich sollte heutzutage die AD-Migration kein Problem mehr sein, will aber nat\u00fcrlich trotzdem gut vorbereitet sein. F\u00fcr die \u00dcbergangszeit kann daher mit einem Trick gearbeitet werden, der zwar nicht offiziell supported wird, aber trotzdem funktioniert: <strong>anstelle der direkten Active Directory Authentication auf LDAP umstellen<\/strong> &#8211; mit ansonsten identischen Einstellungen:<\/p>\n<p><a href=\"http:\/\/3.bp.blogspot.com\/_haYpXd-8uFA\/S7UBIqwpPRI\/AAAAAAAAAIE\/4qG3NjSDMUk\/s1600\/ldap-auth.JPG\"><img decoding=\"async\" style=\"cursor:pointer; cursor:hand;width: 253px; height: 320px;\" src=\"http:\/\/3.bp.blogspot.com\/_haYpXd-8uFA\/S7UBIqwpPRI\/AAAAAAAAAIE\/4qG3NjSDMUk\/s320\/ldap-auth.JPG\" border=\"0\" alt=\"\"id=\"BLOGGER_PHOTO_ID_5455267772058123538\" \/><\/a><\/p>\n<p>In der Pulldown-Liste von <strong>Login Attribute<\/strong> findet sich bei LDAP jedoch nicht das klassische Windows-Attribut <strong>sAMAccountName<\/strong>. Dies kann dort aber h\u00e4ndisch \u00fcber die Tastatur eingegeben werden&#8230; Nat\u00fcrlich m\u00fcssen dann ggfs. noch die in Firewallregeln verwendeten Gruppennamen unter <em>Setup > Authentication > Authorized Users and Groups<\/em> nachgezogen werden. Und unter <em>VPN > Mobile VPN<\/em> muss auch an den entsprechenden Stellen von Active Directory auf LDAP umgestellt werden.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die Release Notes von WSM und Fireware XTM v11 enthalten den lapidaren Satz &#8220;We no longer support Microsoft Windows 2000&#8221;. Eine damit zusammenh\u00e4ngende Erscheinung hat mir die Tage etwas Kopfzerbrechen beschert: User Authentication gegen\u00fcber einer nativen Windows 2000 Dom\u00e4ne. Nach dem Upgrade von WSM\/Fireware 10.2.7 auf 11.2.1 funktionierte sowohl die Web Authentication \u00fcber Port 4100 nicht mehr (&#8220;user name or password invalid&#8221;) als auch die &hellip; <a href=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2010\/04\/fireware-xtm-v11-und-windows-2000-active-directory-user-authentication\/\" class=\"more-link\">Weiterlesen <span class=\"screen-reader-text\">Fireware XTM v11 und Windows 2000 Active Directory User Authentication<\/span> <span class=\"meta-nav\">&raquo;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[69,282,283,140,304,137,312,279],"class_list":["post-2177","post","type-post","status-publish","format-standard","hentry","category-watchguard-technischer-blog","tag-active-directory","tag-fireware-11","tag-fireware-xtm","tag-policy-manager","tag-ssl-vpn","tag-update","tag-user-authentication","tag-wsm"],"_links":{"self":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/2177"}],"collection":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/comments?post=2177"}],"version-history":[{"count":1,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/2177\/revisions"}],"predecessor-version":[{"id":2323,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/2177\/revisions\/2323"}],"wp:attachment":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/media?parent=2177"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/categories?post=2177"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/tags?post=2177"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}