Bestimmte Websites von der Authentifizierung ausnehmen

Guck Dir mal die vordefinierten Ausnahmen unter Webfilter -> Filteroptionen an. Dort kannst Du die Authentifizierung für bestimmte Webseiten überspringen.

Hey Thorsten, danke für die schnelle Antwort.

Leider hilft das nicht weiter.
Ich hatte schon eine Exception für die Liste (getaggte Websites, die aus den Nutzer-Bereichen aufgerufen werden) erstellt, die alle Optionen überspringt (ich habe nach und nach immer mehr ausgenommen). Leider ebenso erfolglos, wie der Rest. :-(

Gruß

Matthias

Aber gerne doch. :-)

Ich habe es mit allerlei Einstellungen (Häkchen) versucht.

Die ausgenommenen Websites habe ich mit dem Tag "Ohne Passwort" versehen.

Mit Dank und Gruß

Matthias

Hallo Matthias,

(Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

Please show a line or two from the Web Filtering log file where your solution doesn't work.

MfG - Bob (Bitte auf Deutsch weiterhin.)

Hey Bob,

danke für die Antwort. Ich könnte auch auf Englisch antworten, aber werde des deutschen Forums wegen weiterhin auf Deutsch schreiben. Englische Antworten sind kein Problem.

Hier nun zwei Zeilen und die Erklärung dazu:

1.:
2018:04:25-08:06:01 prx01-1 httpproxy[8062]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="10.10.XXX.XXX" dstip="10.0.YYY.YYY" user="abcd" group="LDAP Users" ad_domain="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_HttCffLdapusers2 (LDAP_Users)" size="4071" request="0xdb17ac00" url="https://www.borncity.com/" referer="" error="" authtime="2" dnstime="0" cattime="54" avscantime="0" fullreqtime="3439976" device="0" auth="4" ua="Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Safari/537.36" exceptions="" category="181" reputation="neutral" categoryname="Marketing/Merchandising"

Dies ist ein erfolgreicher Versuch, die Website aufzurufen. Der Filter ist NICHT aktiv. Der User (ich) wird korrekt erkannt (LDAP_Users) und darf auf die Website zugreifen.

2.:
2018:04:25-08:05:41 prx01-1 httpproxy[8062]: id="0060" severity="info" sys="SecureWeb" sub="http" name="web request blocked, forbidden category detected" action="block" method="CONNECT" srcip="10.10.XXX.XXX" dstip="" user="" group="" ad_domain="" statuscode="403" cached="0" profile="REF_HttProContaManagNetwo3 (Domains ohne Passwort)" filteraction="REF_HttCffWhiteZulas (Whitelist zulassen)" size="7638" request="0xde73d000" url="https://www.borncity.com/" referer="" error="" authtime="0" dnstime="0" cattime="76" avscantime="0" fullreqtime="206414" device="0" auth="0" ua="Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Safari/537.36" exceptions="" category="181" reputation="neutral" categoryname="Marketing/Merchandising" reason="category"

Dies ist ein NICHT erfolgreicher Versuch. Der Filter ist aktiviert. Die gleiche Website wird aufgerufen, diesmal wird der User (wieder eigentlich ich) nicht erkannt, sondern der Filter "Whitelist zulassen" im Bereich "Domains ohne Passwort" wird alleine(!) genutzt und blockt die Website. Das ist richtig, aber hindert ein Mitglied von LDAP_Users an der Nutzung des Internets.

Ziel ist es, dass Websites, die auf der Whitelist stehen, komplett ohne Authentifizierung aufzurufen sind, alle anderen Websites über die Gruppenmitgliedschaft in LDAP_Users zugelassen werden.

Ich hoffe es wird klar, was ich meine.

MfG Matthias

"Englische Antworten sind kein Problem."

Sowas habe ich erwartet, Matthias, und es ist deswegen dass ich hier im deutschen Forum fast immer auf Englisch poste.

Now you may want to prepare for a facepalm...

"web request blocked, forbidden category detected"

In your Exception, if you also select 'URL Filter', does this work as you want?

MfG - Bob (Bitte auf Deutsch weiterhin.)

Nope, Bob, das hilft leider nicht. Das hatte ich auch schon getestet. 

Der Fehlereintrag im Logfile sieht so aus:
2018:04:26-08:44:07 prx01-1 httpproxy[25154]: id="0060" severity="info" sys="SecureWeb" sub="http" name="web request blocked, forbidden category detected" action="block" method="CONNECT" srcip="10.10.XXX.XXX" dstip="" user="" group="" ad_domain="" statuscode="403" cached="0" profile="REF_HttProContaManagNetwo3 (Domains ohne Passwort)" filteraction="REF_HttCffWhiteZulas (Whitelist zulassen)" size="7638" request="0xd503f800" url="https://www.borncity.com/" referer="" error="" authtime="0" dnstime="0" cattime="107" avscantime="0" fullreqtime="203328" device="0" auth="0" ua="Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Safari/537.36" exceptions="" category="181" reputation="neutral" categoryname="Marketing/Merchandising" reason="category"

Hier wird beim Aufruf der Website die Zugehörigkeit zur Gruppe LDAP_Users nicht geprüft, denn diese Gruppe darf ja in Internet, sondern sofort die Block-Regel angewendet. Der User, der die Seite aufruft (ich) durfte direkt vor der Aktivierung und direkt nach der Deaktivierung auch wieder auf die Website surfen.

Web Filter Profile und Policy sind beide unten, also mit niedrigster Priorität, so dass eigentlich zuerst (wenn ich es richtig verstanden habe) die anderen Policies/Web Filter Profiles aktiv/genutzt werden müssten.

Danke und MfG

Matthias

Exception=""

Is a problem.  You should see something like

Exception="auth"

in the log file.   (I do not remember the exact keyword right now.).  The exception is not being applied.

Die Exception "Websites ohne Passwort", die ich am 23 Apr 2018 6:29 AM geposted habe (siehe Screenshot oben), ist weiterhin aktiv. Es macht keinen Unterschied, ob ich die Authentifizierung skippe oder nicht. Beide Varianten führen zum bekannten Fehler.

Edit:
Wenn ich im Policy Hepdesk einen Benutzer eintrage (auch einen Benutzer ohne Zugang zum Internet), dann greift die Exception und Websites mit Tag/auf der Whitelist dürfen aufgerufen werden.
Lasse ich den Nutzer weg (also ohne Authentifizierung), dann wird für die selbe Website der Fehler ausgegeben, dass ein Nutzer erforderlich ist.

Thanks, Doug, for noticing exception="" in the log line.  That made me see user="" - that's the problem, Matthias.  Does unchecking 'Authentication' in the Exception fix this?

MfG - Bob (Bitte auf Deutsch weiterhin.)

No, it does not, unfortunately.

Edit: Entschuldigung. Nein, leider hilft es nicht.

MfG Matthias

Ich habe herausgefunden, dass, sobald ich einen User eintrage, egal ob in der Gruppe LDAP-Users oder nicht, die Policies und Filter alle funktionieren (via Policy Helpdesk). Sobald ich den Usernamen frei lasse, also ohne Authentifizierung den Proxy anspreche, werde ich weiterhin gehindert. 

Ich habe herausgefunden, dass, sobald ich einen User eintrage, egal ob in der Gruppe LDAP-Users oder nicht, die Policies und Filter alle funktionieren (via Policy Helpdesk). Sobald ich den Usernamen frei lasse, also ohne Authentifizierung den Proxy anspreche, werde ich weiterhin gehindert. 

OK, Matthias, that means that user authentication is not taking place.  I've seen this happen with NTLM - unreliable auth.  Try unjoining/rejoining the UTM to your domain.  You unjoin by using incorrect credentials on the 'Single Sign-On' tab of 'Authentication Services'.

If that doesn't resolve this, try using the explicit proxy with an FQDN instead of a numeric IP to force auth by Kerberos instead of NTLM.  You don't need to change anything in the UTM as your Transparent mode Profiles will work as if they were in Standard mode.

If none of that works, I think you've got a case for Sophos Support.  Please let us know what they find.

MfG - Bob (Bitte auf Deutsch weiterhin.)

Bob raises an important detail.   When I was launching UTM with Standard Mode web proxy, I had trouble and support told me to use an FQDN instead of an IP address.   They did not explain why, but they were right.  My proxy script has been very reliable ever since.   If you are using an IP address in your proxy script or proxy GPO, that may be the first item to change.

Hallo Bob, hallo Douglas,

danke für eure tollen Tipps!

Leider hat auch das nicht geholfen. Weder ein Rejoin in die Domain (müsste es nicht aber eigentlich auch ohne gehen? - Die LDAP-Abfrage geht gegen ein eDirectory, der Proxy ist aber auch Domain member, unter Authenication Services habe ich NUR LDAP zugelassen, wenn ich eDir und/oder AD aktiviere ändert sich jedoch nichts), noch die Eintragung des FQDN in die proxy.pac haben geholfen. In der .pac war der FQDN die ganze Zeit (in diesem Falle leider) schon eingetragen.

Ich werde wohl ein Support Ticket eröffnen.

Solltet ihr noch weitere Ideen haben, dann gerne posten. Sobald ich eine Lösung vom Support habe, melde ich es hier zurück.

Danke und mit freundlichen Grüßen

Matthias