Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Eingeschränkter HTTP-Proxy

Hallo zusammen!

Habe heute Nacht unsere Astaro von 6.311 auf 7.011 hochgezogen. Läuft soweit alles ganz gut. Das einzige, was mir auffällt, hängt mit den eingeschränkten Webzugriff zusammen. Wir nutzen den Proxy im Zusammenhang mit SSO per Active Directory.

Dort habe ich 3 Gruppen eingerichtet, um die Benutzer auf vollen und eingeschränkten Webzugriff zu kategorisieren. Lief unter der 6er ohne Probleme.

Unter der 7er haben nun alle (auch die eingeschränkten User) kompletten Webzugriff. 

Zur Info: Wir haben kein Web-Filtering lizensiert.

Hängt das nun mit der fehlenden Lizenz zusammen oder habe ich eine Fehlkonfiguration gemacht?

Gruss, Lupo


This thread was automatically locked due to age.
Parents

  • Unter der 7er haben nun alle (auch die eingeschränkten User) kompletten Webzugriff. 

    Zur Info: Wir haben kein Web-Filtering lizensiert.

    Hängt das nun mit der fehlenden Lizenz zusammen oder habe ich eine Fehlkonfiguration gemacht?

    Gruss, Lupo


    Wenn man sich den Ablauf der HTTP Profiles im Überblick anschaut, dann kann man sehen das als letzte Prüfung die Einstellungen von Web Security/HTTP/GLOBAL/ genommen werden.

    Sollte also ein User in den Filtern vorher nicht "getroffen" worden sein, dann ziehen die Globalen Einstellungen (s.o.) als letztes.

    Astaro KN -> http://portal.knowledgebase.net/article.asp?article=239612&p=5956
  • Wenn man sich den Ablauf der HTTP Profiles im Überblick anschaut, dann kann man sehen das als letzte Prüfung die Einstellungen von Web Security/HTTP/GLOBAL/ genommen werden.

    Sollte also ein User in den Filtern vorher nicht "getroffen" worden sein, dann ziehen die Globalen Einstellungen (s.o.) als letztes.

    Astaro KN -> http://portal.knowledgebase.net/article.asp?article=239612&p=5956


    Genau das ist das "blöde"
    Wieso findet in der V7 keine Authentifizierung gegen den Proxy statt ? Wieso hat ein User ohne Gruppenmitgliedschaft alle Zugriffsmöglichkeiten ? Deine Aussage kann insofern nicht stimmen, als ich dort in den globalen Einstellungen alles zugemacht habe. Trotzdem kann ein User ohne Gruppenmitgliedschaft alle Seiten fein ansurfen.

    Bei der V6 war es recht easy:
    Entsprechend den Groupen den Zugriff geregelt. Wenn jetzt ein Benutzer versucht hat auf den Proxy zuzugreifen der in KEINER der Gruppen Mitglied ist, poppte das Anmeldefenster im Browser auf und er hatte die Chance sich zu authentifizieren. Wenn er es nicht konnte wurde ihm der Zugang verweigert. In der V7 hat ein Benutzer vollen Zugriff per default, wenn er KEIN Mitglied einer der definierten Gruppen ist. Finde ich persönlich ziemlich doof.

    Greetings Ralf
  •  ... In der V7 hat ein Benutzer vollen Zugriff per default, wenn er KEIN Mitglied einer der definierten Gruppen ist. Finde ich persönlich ziemlich doof.


    So wie ich das verstehe muss man nur in den globalen Einstellungen HTTP/GLOBAL/ die allowed networks rauswerfen und dann sollte kein Mitglied ohne Gruppenzugehörigkeit mehr surfen können....
  • Hallo zusammen, 

    ich muss hier ein paar sachen klarstellen, denn alles was ihr machen wollt, ist moeglich.


    Zur Info: Wir haben kein Web-Filtering lizensiert.
    Hängt das nun mit der fehlenden Lizenz zusammen oder habe ich eine Fehlkonfiguration gemacht?


    Jain, in V7 wurde alle filterfunktionalitaeten unter die WebSubscription gestellt, damit es klarer ist was man lizensieren muss.
    Authentifizierung und Basis Proxy Funktionen sind weiterhin in der Basis Lizenz enthalten.


    Wenn man sich den Ablauf der HTTP Profiles im Überblick anschaut, dann kann man sehen das als letzte Prüfung die Einstellungen von Web Security/HTTP/GLOBAL/ genommen werden.

    Sollte also ein User in den Filtern vorher nicht "getroffen" worden sein, dann ziehen die Globalen Einstellungen (s.o.) als letztes.


    Das ist so nicht korrekt. 
    Als erstes wird das passende Proxy Profil rein anhand der Client IP adresse selektiert. 
    Wenn einmal eine Proxy Profil dafuer ausgewaehlt wurde wird dieses nicht mehr geaendert. 

    Basierend auf dem Profile wird dann der Authentifizierungstyp festgelegt.
    Wenn authentifizierung aktiviert ist wird der user authentifiziert.
    Ist die authentifizierung erfolgreich ist geht es weiter zum content filterung, wenn nicht (password falsch, user existiert nicht) wird der user bereits hier geblockt.

    Ist der User authentifizert werden seine Gruppen informationen ausgewertet.
    Danach werden die 'Filter Assignments' von open nach unten durchgegangen, und es wird gechecked ob der user in eine der Assignments enthalten ist.

    Wenn ja, wird die dort hinterlegte Filter Action fuer diesen User angewendet.
    Wenn keine der Filter Assignments matched, da der User z.b. in keiner Gruppe ist, dann wird die 'Fallback Action' Angewendet.
    Wenn man dort nicht alles verbietet hat man besagtes phaenomen das man denkt alle nutzer koennen surfen.

    Einfach einen Block All Action anlegen und nur authentifiziert nutzer koennen surfen.

    Ich hoffe das war verstaendlich. 

    Mfg
    Gert
  • Hallo Gert,

    erstmal danke für Deinen Beitrag. Leider schaut die Praxis anders aus. Ich habe es genau wie Du beschrieben hast eingerichtet. Trotzdem konnte ein User ohne Gruppenmitgliedschaft bequem surfen. Ich werde es aber noch einmal testen. Ich habe nämlich mitlerweile auch festgestellt, dass die Authentifizierung via AD SSO ein wenig "hängt" in der Astaro. Soll heißen wenn ich Änderungen im AD vornehme dauert es eine ziemliche Zeit bis die Astaro das mitbekommt. Somit könnte ich theoretisch mit meinem Mustermann User auf den dem falschen Weg gewesen sein.

    Greetings Ralf
Reply
  • Hallo Gert,

    erstmal danke für Deinen Beitrag. Leider schaut die Praxis anders aus. Ich habe es genau wie Du beschrieben hast eingerichtet. Trotzdem konnte ein User ohne Gruppenmitgliedschaft bequem surfen. Ich werde es aber noch einmal testen. Ich habe nämlich mitlerweile auch festgestellt, dass die Authentifizierung via AD SSO ein wenig "hängt" in der Astaro. Soll heißen wenn ich Änderungen im AD vornehme dauert es eine ziemliche Zeit bis die Astaro das mitbekommt. Somit könnte ich theoretisch mit meinem Mustermann User auf den dem falschen Weg gewesen sein.

    Greetings Ralf
Children
  • So...ich habe nun einen 2. Testuser mit dem Namen "Feuerstein" eingerichtet. Dieser ist ohne Astarobezogene Gruppenmitgliedschaft. Nach Deiner Aussage @Gertn Hansen sollte die Astaro nun die FallBack Action ausführen. Tut sie aber nicht. Feuerstein kann fröhlich im Internet surfen.
    Wenn ich jetzt einmal davon ausgehe, dass die Astaro den User noch gar nicht kennt, weil die AD Infos noch nicht aktualisiert sind, so müsste die den User doch trotzdem blocken und nicht freigeben. 

    im Proxy Profil ist BLOCK ALL als Fallback Action eingetragen. BLOCK ALL ist auch genau wie der Name impliziert konfiguriert.
    In dem globalen Einstellungen sind ebenfalls alle Zugriffe blockiert.

    It is a Bug or a Feature ?

    Ich kann nur sagen: Astaro bitte fixen !

    Greetings Ralf
  • Es belibt dabei. Auch nach weiteren Tests hat sich nichts geändert.

    1. Bei Benutzern, die in einer entsprechenden Gruppe Mitglied sind greifen die Regeln des Profils
    2. Bei Benutzern, die nicht Mitglied einer Gruppe sind, sollte die Fallback Action ausgeführt werden. Leider ist das NICHT der Fall.

    Nichts desto trotz habe ich eine akzeptable Lösung gefunden:
    1. Im AD eine Gruppe anlegen die für User ohne Zugriff gelten soll
    2. Auf der Astaro entsprechend eine Gruppe anlegen
    3. Filter erstellen
    4. Filter Assignment erstellen
    5. Im Profil Filter aktivieren und die Fallback Action auf diesen setzen

    Somit gelten für User auch OHNE Gruppenmitgliedschaft die Filter der Gruppe ohne Rechte. Warum unter diesen Gesichtspunkten die Fallback Action greift, aber nicht ohne das eine entsprechende Gruppe vorhanden ist gehört wohl zu den Geheimnissen von Astaro.

    Greetings Ralf
  • hi,

    wenn im default profile nicht sso ausgewählt ist, können alle surfen und keine profile greifen.
    selbst wenn im default profile, lock all gewählt ist, geht alles durch.

    lösung: im default profile sso einstellen, dann klappt es mit dem nachbarn.

    sven

    Astaro user since 2001 - Astaro/Sophos Partner since 2008