Eingeschränkter HTTP-Proxy

Unter der 7er haben nun alle (auch die eingeschränkten User) kompletten Webzugriff. 

Zur Info: Wir haben kein Web-Filtering lizensiert.

Hängt das nun mit der fehlenden Lizenz zusammen oder habe ich eine Fehlkonfiguration gemacht?

Gruss, Lupo

Wenn man sich den Ablauf der HTTP Profiles im Überblick anschaut, dann kann man sehen das als letzte Prüfung die Einstellungen von Web Security/HTTP/GLOBAL/ genommen werden.

Sollte also ein User in den Filtern vorher nicht "getroffen" worden sein, dann ziehen die Globalen Einstellungen (s.o.) als letztes.

Astaro KN -> http://portal.knowledgebase.net/article.asp?article=239612&p=5956

Wenn man sich den Ablauf der HTTP Profiles im Überblick anschaut, dann kann man sehen das als letzte Prüfung die Einstellungen von Web Security/HTTP/GLOBAL/ genommen werden.

Sollte also ein User in den Filtern vorher nicht "getroffen" worden sein, dann ziehen die Globalen Einstellungen (s.o.) als letztes.

Astaro KN -> http://portal.knowledgebase.net/article.asp?article=239612&p=5956

Genau das ist das "blöde"
Wieso findet in der V7 keine Authentifizierung gegen den Proxy statt ? Wieso hat ein User ohne Gruppenmitgliedschaft alle Zugriffsmöglichkeiten ? Deine Aussage kann insofern nicht stimmen, als ich dort in den globalen Einstellungen alles zugemacht habe. Trotzdem kann ein User ohne Gruppenmitgliedschaft alle Seiten fein ansurfen.

Bei der V6 war es recht easy:
Entsprechend den Groupen den Zugriff geregelt. Wenn jetzt ein Benutzer versucht hat auf den Proxy zuzugreifen der in KEINER der Gruppen Mitglied ist, poppte das Anmeldefenster im Browser auf und er hatte die Chance sich zu authentifizieren. Wenn er es nicht konnte wurde ihm der Zugang verweigert. In der V7 hat ein Benutzer vollen Zugriff per default, wenn er KEIN Mitglied einer der definierten Gruppen ist. Finde ich persönlich ziemlich doof.

Greetings Ralf

 ... In der V7 hat ein Benutzer vollen Zugriff per default, wenn er KEIN Mitglied einer der definierten Gruppen ist. Finde ich persönlich ziemlich doof.

So wie ich das verstehe muss man nur in den globalen Einstellungen HTTP/GLOBAL/ die allowed networks rauswerfen und dann sollte kein Mitglied ohne Gruppenzugehörigkeit mehr surfen können....

Hallo zusammen, 

ich muss hier ein paar sachen klarstellen, denn alles was ihr machen wollt, ist moeglich.

Zur Info: Wir haben kein Web-Filtering lizensiert.
Hängt das nun mit der fehlenden Lizenz zusammen oder habe ich eine Fehlkonfiguration gemacht?

Jain, in V7 wurde alle filterfunktionalitaeten unter die WebSubscription gestellt, damit es klarer ist was man lizensieren muss.
Authentifizierung und Basis Proxy Funktionen sind weiterhin in der Basis Lizenz enthalten.

Wenn man sich den Ablauf der HTTP Profiles im Überblick anschaut, dann kann man sehen das als letzte Prüfung die Einstellungen von Web Security/HTTP/GLOBAL/ genommen werden.

Sollte also ein User in den Filtern vorher nicht "getroffen" worden sein, dann ziehen die Globalen Einstellungen (s.o.) als letztes.

Das ist so nicht korrekt. 
Als erstes wird das passende Proxy Profil rein anhand der Client IP adresse selektiert. 
Wenn einmal eine Proxy Profil dafuer ausgewaehlt wurde wird dieses nicht mehr geaendert. 

Basierend auf dem Profile wird dann der Authentifizierungstyp festgelegt.
Wenn authentifizierung aktiviert ist wird der user authentifiziert.
Ist die authentifizierung erfolgreich ist geht es weiter zum content filterung, wenn nicht (password falsch, user existiert nicht) wird der user bereits hier geblockt.

Ist der User authentifizert werden seine Gruppen informationen ausgewertet.
Danach werden die 'Filter Assignments' von open nach unten durchgegangen, und es wird gechecked ob der user in eine der Assignments enthalten ist.

Wenn ja, wird die dort hinterlegte Filter Action fuer diesen User angewendet.
Wenn keine der Filter Assignments matched, da der User z.b. in keiner Gruppe ist, dann wird die 'Fallback Action' Angewendet.
Wenn man dort nicht alles verbietet hat man besagtes phaenomen das man denkt alle nutzer koennen surfen.

Einfach einen Block All Action anlegen und nur authentifiziert nutzer koennen surfen.

Ich hoffe das war verstaendlich. 

Mfg
Gert

Hallo Gert,

erstmal danke für Deinen Beitrag. Leider schaut die Praxis anders aus. Ich habe es genau wie Du beschrieben hast eingerichtet. Trotzdem konnte ein User ohne Gruppenmitgliedschaft bequem surfen. Ich werde es aber noch einmal testen. Ich habe nämlich mitlerweile auch festgestellt, dass die Authentifizierung via AD SSO ein wenig "hängt" in der Astaro. Soll heißen wenn ich Änderungen im AD vornehme dauert es eine ziemliche Zeit bis die Astaro das mitbekommt. Somit könnte ich theoretisch mit meinem Mustermann User auf den dem falschen Weg gewesen sein.

Greetings Ralf

So...ich habe nun einen 2. Testuser mit dem Namen "Feuerstein" eingerichtet. Dieser ist ohne Astarobezogene Gruppenmitgliedschaft. Nach Deiner Aussage @Gertn Hansen sollte die Astaro nun die FallBack Action ausführen. Tut sie aber nicht. Feuerstein kann fröhlich im Internet surfen.
Wenn ich jetzt einmal davon ausgehe, dass die Astaro den User noch gar nicht kennt, weil die AD Infos noch nicht aktualisiert sind, so müsste die den User doch trotzdem blocken und nicht freigeben. 

im Proxy Profil ist BLOCK ALL als Fallback Action eingetragen. BLOCK ALL ist auch genau wie der Name impliziert konfiguriert.
In dem globalen Einstellungen sind ebenfalls alle Zugriffe blockiert.

It is a Bug or a Feature ?

Ich kann nur sagen: Astaro bitte fixen !

Greetings Ralf

Es belibt dabei. Auch nach weiteren Tests hat sich nichts geändert.

1. Bei Benutzern, die in einer entsprechenden Gruppe Mitglied sind greifen die Regeln des Profils
2. Bei Benutzern, die nicht Mitglied einer Gruppe sind, sollte die Fallback Action ausgeführt werden. Leider ist das NICHT der Fall.

Nichts desto trotz habe ich eine akzeptable Lösung gefunden:
1. Im AD eine Gruppe anlegen die für User ohne Zugriff gelten soll
2. Auf der Astaro entsprechend eine Gruppe anlegen
3. Filter erstellen
4. Filter Assignment erstellen
5. Im Profil Filter aktivieren und die Fallback Action auf diesen setzen

Somit gelten für User auch OHNE Gruppenmitgliedschaft die Filter der Gruppe ohne Rechte. Warum unter diesen Gesichtspunkten die Fallback Action greift, aber nicht ohne das eine entsprechende Gruppe vorhanden ist gehört wohl zu den Geheimnissen von Astaro.

Greetings Ralf

hi,

wenn im default profile nicht sso ausgewählt ist, können alle surfen und keine profile greifen.
selbst wenn im default profile, lock all gewählt ist, geht alles durch.

lösung: im default profile sso einstellen, dann klappt es mit dem nachbarn.

sven

hi,

wenn im default profile nicht sso ausgewählt ist, können alle surfen und keine profile greifen.
selbst wenn im default profile, lock all gewählt ist, geht alles durch.

lösung: im default profile sso einstellen, dann klappt es mit dem nachbarn.

sven