wznutzer 37 Geschrieben 16. April Melden Geschrieben 16. April Hallo und guten Abend, schon ziemlich lange habe ich LDAP-Signing und -Channel Binding aktiviert bzw. auf "erforderlich" sitzen. Nun gibt es eine neue Firewall und ich würde gerne von der VPN-User Authentifizierung mit separaten Usern, gerne gegen das AD authentifizieren. Leider aber kann Sophos auch mit SFOS 22 das nur, wenn kein LDAP-Signing erzwungen wird. Nun überlege ich, was das kleinere Übel ist, wieder lokale (lokale User der Sophos) VPN-Authentifizierung oder die LDAP-Einstellungen rückgängig machen. Wie macht Ihr das so? Hat jemand von euch eine Sophos und authentifiziert VPN-User gegen Entra ID? Falls ja, wie sieht der Login-Prozess mit OTP aus? Sorry für das Fragen, ich kann das natürlich auch testen, aber evtl. mag mir ein Sophos-Nutzer gerne antworten. Grüße und einen schönen Abend
NorbertFe 2.410 Geschrieben 16. April Melden Geschrieben 16. April vor 14 Minuten schrieb wznutzer: Leider aber kann Sophos auch mit SFOS 22 das nur, wenn kein LDAP-Signing erzwungen wird. Sicher? Simple bind über LDAPs und signing sollte doch funktionieren. Jedenfalls würde ich bei uns sonst Fehler sehen. Ich schau morgen aber gern noch mal los.
wznutzer 37 Geschrieben 16. April Autor Melden Geschrieben 16. April (bearbeitet) Guten Abend, ich habe das noch nicht getestet, derzeit baue ich das Konstrukt noch im Kopf zusammen. Diese Info habe ich von hier (ganz unten): https://docs.sophos.com/nsg/sophos-firewall/22.0/help/en-us/webhelp/onlinehelp/AdministratorHelp/Authentication/Servers/AD/index.html#supported-windows-servers Zitat Currently, the firewall doesn't support strict enforcement of LDAP channel binding and LDAP signing. Ich habe das auf "require" bzw. "erforderlich" stehen. bearbeitet 16. April von wznutzer
NorbertFe 2.410 Geschrieben 16. April Melden Geschrieben 16. April (bearbeitet) Steht es bei uns auch. Wie gesagt, ich schau morgen mal nach. Bei uns ist die Firewall aber auch definitiv nicht Mitglied des AD. bearbeitet 16. April von NorbertFe
wznutzer 37 Geschrieben 17. April Autor Melden Geschrieben 17. April (bearbeitet) vor 11 Stunden schrieb NorbertFe: Bei uns ist die Firewall aber auch definitiv nicht Mitglied des AD. An diese Variante habe ich noch gar nicht gedacht. Ich hatte immer AD-Mitglied im Kopf. Aber so langsam wird es hell im Kopf . Beim Simple-Bind per TLS wird dann keine Signatur erzwungen, weil der Zweck (Man-in-the-middle zu verhindern) durch TLS erfüllt ist. Beim Channel-Binding fehlt mir gerade die Idee, warum auf das Token verzichtet würde. Danke für Deine Mühe. bearbeitet 17. April von wznutzer Schreibfehler
MurdocX 1.062 Geschrieben 19. April Melden Geschrieben 19. April (bearbeitet) Am 17.4.2026 um 07:05 schrieb wznutzer: Beim Simple-Bind per TLS wird dann keine Signatur erzwungen, weil der Zweck (Man-in-the-middle zu verhindern) durch TLS erfüllt ist. Sooo ganz nicht korrekt. "Man-in-the-middle" -> Ist unterbunden, insofern auch "validate server certificat" aktiviert wurde. Wenn es - und das kenne ich fast nur so - deaktiviert ist, dann eben nicht. Am 17.4.2026 um 07:05 schrieb wznutzer: Beim Channel-Binding fehlt mir gerade die Idee, warum auf das Token verzichtet würde. Weil ChannelBinding nicht bei SimpleBind genutzt wird. (: Zitat CBT or EPA is used with TLS sessions when a SASL authentication method is used to authenticate the user. SASL means you use NTLM or Kerberos for user authentication. LDAP Simple Bind over TLS doesn't offer channel binding token protection and is therefore not recommended. Quelle: Domain controller LDAP server channel binding token requirements - Windows 10 | Microsoft Learn # --- Beispiel Auth bei mir im Testlab für eine Sophos XGS 22.0 GA --- Aktuelles LOG der Sophos XGS zur Auth gegen einen DC mit LDAPS und ChannelBindung = True. BIND_PROTOCOL:2 -> Simple Bind mit TLS. Zitat DEBUG Apr 19 10:33:33.022681Z [access_server]: (test_authserver_connection): ----------- TEST CONNECTION -------- DEBUG Apr 19 10:33:33.022685Z [access_server]: (test_authserver_connection): AUTHTYPE: 3 DEBUG Apr 19 10:33:33.022688Z [access_server]: (test_authserver_connection): IP: '192.168.20.100' DEBUG Apr 19 10:33:33.022690Z [access_server]: (test_authserver_connection): USER: 'BERLIN\svcsophos' DEBUG Apr 19 10:33:33.022693Z [access_server]: (test_authserver_connection): password not empty DEBUG Apr 19 10:33:33.022696Z [access_server]: (test_authserver_connection): LDAP_VERSION:3 DEBUG Apr 19 10:33:33.022699Z [access_server]: (test_authserver_connection): ----------------------------- DEBUG Apr 19 10:33:33.022701Z [access_server]: (test_authserver_connection): BIND_PROTOCOL:2 DEBUG Apr 19 10:33:33.022704Z [access_server]: (test_authserver_connection): ----------------------------- DEBUG Apr 19 10:33:33.022706Z [access_server]: (test_authserver_connection): CA_CERTIFICATE:n DEBUG Apr 19 10:33:33.022709Z [access_server]: (test_authserver_connection): ----------------------------- DEBUG Apr 19 10:33:33.050324Z [access_server]: adsauth_bind: asynchronus bind msgid: '1' INFO Apr 19 10:33:33.092140Z [access_server]: adsauth_bind: bind succedded for 'BERLIN\svcsophos' DEBUG Apr 19 10:33:33.092549Z [access_server]: tlvserver_handle_request: response sent bearbeitet 19. April von MurdocX Optimierungen 1
wznutzer 37 Geschrieben 19. April Autor Melden Geschrieben 19. April (bearbeitet) vor 2 Stunden schrieb MurdocX: Sooo ganz nicht korrekt. "Man-in-the-middle" -> Ist unterbunden, insofern auch "validate server certificat" aktiviert wurde. Wenn es - und das kenne ich fast nur so - deaktiviert ist, dann eben nicht. vor 2 Stunden schrieb MurdocX: Weil ChannelBinding nicht bei SimpleBind genutzt wird. (: OK, vielen Dank. Es ist mir jedes Mal eine Freude, solche Sachen hier fundiert erklärt zu bekommen. Am 17.4.2026 um 07:05 schrieb wznutzer: Aber so langsam wird es hell im Kopf Damit war natürlich mein Kopf gemeint, nicht dass wir uns falsch verstehen. LDAP mit Simple Bind werde ich auf jeden Fall testen. Zusätzlich soll die Sophos XGS auch gegen EntraID authentifizieren können. Da ich da schon jede Menge Conditial Access Regeln habe, würde mir es gefallen, wenn ich den VPN-Login darüber machen könnte und so evtl. sogar nur EntraID-Joined Geräte zulassen könnte. Und alle Externen haben wegen O365 sowieso schon einen eingerichteten Authenticator. bearbeitet 19. April von wznutzer Schreibfehler
MurdocX 1.062 Geschrieben 19. April Melden Geschrieben 19. April vor 26 Minuten schrieb wznutzer: Da ich da schon jede Menge Conditial Access Regeln habe, würde mir es gefallen, wenn ich den VPN-Login darüber machen könnte und so evtl. sogar nur EntraID-Joined Geräte zulassen könnte. Das ist bei uns auch ein Thema. Zusätzlich wollen wir noch unsere Passkeys verwenden können. vor 26 Minuten schrieb wznutzer: OK, vielen Dank. Es ist mir jedes Mal eine Freude, solche Sachen hier fundiert erklärt zu bekommen. Sehr gerne
wznutzer 37 Geschrieben 12. Juni Autor Melden Geschrieben 12. Juni (bearbeitet) Am 16.4.2026 um 20:47 schrieb NorbertFe: Sicher? Simple bind über LDAPs und signing sollte doch funktionieren. Jedenfalls würde ich bei uns sonst Fehler sehen. Ich schau morgen aber gern noch mal los. Ich weiß es ist eine Weile her, ich würde aber gerne nochmals darauf zurückkommen. Vorneweg, die Authentifizierung über EntraID funktioniert. Ist zwar etwas unschön, weil man den VPN-Nutzern die komplette "Office 365 App" in Conditional Access erlauben muss, aber um das wieder einigermaßen schön zu haben, kann man das dann wieder auf z. B. Entra ID joined devices einschränken. Die ganz normale LDAP-Anbindung funktioniert auch, also nicht AD-Mitglied, sondern simple Anfrage. Allerdings lassen sich per LDAP keine Gruppen importieren. Mir fallen nur zwei Wege ein, die Rechte auf bestimmte User zu beschränken. Den Base DN der LDAP-Anfrage auf eine OU setzen nach der nur noch User kommen die VPN dürfen. Das ist unpraktisch, weil ich die OUs ungern danach organisieren will, wer VPN darf und wer nicht. Die User einfach vom lokalen Netzwerk aus einmal im User Portal der Sophos anmelden lassen, dann sehe ich den User in der Sophos und kann den einer Gruppe auf der Sophos zuordnen und diese Gruppe darf dann halt VPN. Übersehe ich hier was oder ist es halt einfach so? Grüße und ein schönes Wochenende bearbeitet 12. Juni von wznutzer
daabm 1.474 Geschrieben 14. Juni Melden Geschrieben 14. Juni Wonach organisierst Du denn Deine OUs derzeit? Sie sind nicht dafür gedacht, Unternehmensstrukturen abzubilden 1
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden