Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 21 replies
  • Subscribers 39 subscribers
  • Views 27411 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Bestimmte Websites von der Authentifizierung ausnehmen

Matthias Mey

Hallo zusammen,

ich bekomme es einfach nicht hin und hoffe, ihr könnt mir weiterhelfen.

Ich stehe vor folgendem Problem:

Bei uns sollen sich alle Nutzer, die eine Berechtigung für das Internet haben (geregelt über ein LDAP-Attribut) für die Internetnutzung im Browser anmelden (Proxy im Standard-Modus, Browseranmeldung, block access on authentication failure). Dies wird global gesetzt. Nun gibt es jedoch Websites, die auch ohne Anmeldung genutzt werden dürfen. Block on failure deaktivieren hat im Test keinen Erfolg gebracht (meldet sich ja auch kein Nutzer an).

In der Base Policy wird alles blockiert (alle categories, uncategorized und ab trusted). Im Bereich "Websites" der Base Policy ist eine Whitelist mit den erlaubten Websites angelegt und zusätzlich werden Websites mit dem Tag "Ohne Passwort" ebenso erlaubt (Whitelist und Tag-Websites ist deckungsgleich). Auch eine Umstellung auf "alles erlauben" ändert nichts.

Es gibt eine zusätzliche Filter-Policy, die die Anmeldung auf die LDAP-Attribut-User einschränkt. Das funktioniert auch tadellos.

Ebenso können bestimmte Server, die ohne Anmeldung am Proxy bestimmte Ziele erreichen müssen, diese auch erreichen (extra Web Filter Profile im Transparent-Proxy-Modus). Hier scheint die Whitelist zu greifen.
Sobald ich aber Netzwerke (IP-Adressbereiche der Nutzer-PCs) diesem extra Profil hinzufüge, funktioniert die Whitelist nicht, so dass die Websites von einem PC aus durch einen dann nicht angemeldeten Nutzer auf einmal nicht mehr aufgerufen werden können.

Ich habe es auch mit und ohne Exceptions versucht, leider immer ohne Erfolg.

Ich hatte noch an eine gesonderte Kategorie für die Base Policy gedacht, die ich dann direkt dort erlauben wollen würde, doch leider habe ich keinen Ort gefunden, an dem ich Websites einer Kategorie zuweisen kann; lediglich die vordefinierten Bereiche konnte ich auswählen, was in meinem Falle nicht wirklich weiter hilft.

Ich hoffe ich konnte mich klar genug ausdrücken. 

 

Danke und Gruß

Matthias



This thread was automatically locked due to age.
  • 0 in reply to Matthias Mey

    Exception=""

    Is a problem.  You should see something like

    Exception="auth"

    in the log file.   (I do not remember the exact keyword right now.).  The exception is not being applied.

  • 0 in reply to DouglasFoster

    Die Exception "Websites ohne Passwort", die ich am 23 Apr 2018 6:29 AM geposted habe (siehe Screenshot oben), ist weiterhin aktiv. Es macht keinen Unterschied, ob ich die Authentifizierung skippe oder nicht. Beide Varianten führen zum bekannten Fehler.

     

    Edit:
    Wenn ich im Policy Hepdesk einen Benutzer eintrage (auch einen Benutzer ohne Zugang zum Internet), dann greift die Exception und Websites mit Tag/auf der Whitelist dürfen aufgerufen werden.
    Lasse ich den Nutzer weg (also ohne Authentifizierung), dann wird für die selbe Website der Fehler ausgegeben, dass ein Nutzer erforderlich ist.

  • 0 in reply to Matthias Mey

    Thanks, Doug, for noticing exception="" in the log line.  That made me see user="" - that's the problem, Matthias.  Does unchecking 'Authentication' in the Exception fix this?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    No, it does not, unfortunately.

     

    Edit: Entschuldigung. Nein, leider hilft es nicht.

     

    MfG Matthias

  • 0 in reply to BAlfson

    Ich habe herausgefunden, dass, sobald ich einen User eintrage, egal ob in der Gruppe LDAP-Users oder nicht, die Policies und Filter alle funktionieren (via Policy Helpdesk). Sobald ich den Usernamen frei lasse, also ohne Authentifizierung den Proxy anspreche, werde ich weiterhin gehindert. 

  • 0 in reply to Matthias Mey

    OK, Matthias, that means that user authentication is not taking place.  I've seen this happen with NTLM - unreliable auth.  Try unjoining/rejoining the UTM to your domain.  You unjoin by using incorrect credentials on the 'Single Sign-On' tab of 'Authentication Services'.

    If that doesn't resolve this, try using the explicit proxy with an FQDN instead of a numeric IP to force auth by Kerberos instead of NTLM.  You don't need to change anything in the UTM as your Transparent mode Profiles will work as if they were in Standard mode.

    If none of that works, I think you've got a case for Sophos Support.  Please let us know what they find.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    Bob raises an important detail.   When I was launching UTM with Standard Mode web proxy, I had trouble and support told me to use an FQDN instead of an IP address.   They did not explain why, but they were right.  My proxy script has been very reliable ever since.   If you are using an IP address in your proxy script or proxy GPO, that may be the first item to change.

  • 0 in reply to DouglasFoster

    Hallo Bob, hallo Douglas,

    danke für eure tollen Tipps!

    Leider hat auch das nicht geholfen. Weder ein Rejoin in die Domain (müsste es nicht aber eigentlich auch ohne gehen? - Die LDAP-Abfrage geht gegen ein eDirectory, der Proxy ist aber auch Domain member, unter Authenication Services habe ich NUR LDAP zugelassen, wenn ich eDir und/oder AD aktiviere ändert sich jedoch nichts), noch die Eintragung des FQDN in die proxy.pac haben geholfen. In der .pac war der FQDN die ganze Zeit (in diesem Falle leider) schon eingetragen.

    Ich werde wohl ein Support Ticket eröffnen.

    Solltet ihr noch weitere Ideen haben, dann gerne posten. Sobald ich eine Lösung vom Support habe, melde ich es hier zurück.

    Danke und mit freundlichen Grüßen

    Matthias

  • 0 in reply to Matthias Mey

    I went back to log at your log sample one more time.

    In the "Block" entry, this policy is being applied to: REF_HttCffWhiteZulas (Allow whitelist)

    However, within that policy, no overrides are being applied, so the default rules are being enforced and the URL is blocked based on category.

    Try this:

    • On the Filter Action associated with this profile, go to the websites tab, and add an entry in the Tags section, to Allow sites with your special website tag.

    Or this

    • On your Exception entry, check the box for "URL Filtering". This is what you need to do.

    Then check your logs carefully.   Many websites use embedded content from unrelated websites.   If a component of your allowed website is not on the white list, the behavior or appearance of the allowed site may be unsatisfactory.

  • 0 in reply to DouglasFoster

    Hey Douglas,

     

    danke für Dein nicht locker lassen!

    Leider funktioniert es nicht. Sobald ich den Filter aktiviere funktioniert das Whitelisting einwandfrei! Ich kann auf einmal keine anderen Seiten als berechtigter LDAP_User mehr aufrufen. Diese werden geblockt.

    Den Versuch mit der Exception hatte ich schon vorher gemacht und war gescheitert, ich habe es soeben ohne Erfolg wiederholt.

    Leider zwei Fehlschläge. :-(

Unfiltered HTML