Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 38 subscribers
  • Views 4743 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

AD Authentification & SSO bei Web-Proxy

modwheel
Hallo,

ich lese schon lange in diesem Forum mit und konnte allerdings keine Lösung zu meiner Frage finden. Ich habe hier 2 Astaro 425a im Hot-Standby betrieb aufgebaut und soweit funktioniert alles bestens, jedoch bei der Einstellung des Proxys um sich zu Authentifizieren hackt es noch etwas.

AD Anbindung und Domain-Join hat bestens geklappt, es wurde eine User Gruppe angelegt die auf eine Gruppe im AD verweist die die Mitarbeiter angibt welche über den Proxy ins Internet dürfen.

Das erste problem ist das bei aktiviertem SSO unter Zuweisung der Gruppe trotzdem jeder den Proxy verwenden kann und nicht nur die Gruppe. Das zweite Problem ist, das zeitweise immer diese Authentifizierungsfenster beim user aufpoppen und er sich erneut Authentifizieren muss. Ist das Astaro typisch oder sollte das nicht so oft bzw. gar nicht passieren.

Vielleicht kann jemand der es schon erfolgreich einsetzt kurz erläutert wie und was einzustellen ist damit es reibungslos klappt. Leider ist im Handbuch und in der KB keine genaue Anweisung zu finden.

Vielen Dank [8-)]


This thread was automatically locked due to age.
  • 0
    Hallo modwheel.

    Ich habe das gleiche Problem bei einem Kunden (7.104). Obwohl es eine Backend-Membership-Gruppe zum AD gibt und diese im Default-Profil hinterlegt ist, dürfen auch Benutzer, die nicht in dieser Gruppe sind, surfen. 
    Allerdings habe ich keine Auth-PopUps. Das http-Log zeigt alle Benutzernamen im AD brav an.
    Ich warte auf den Rückruf des Astaro-Supports um dieses Problem zu lösen. Doku, KB und Testumgebung haben mir keine Lösungsansätze geben können.

    Gruß

    Luis
  • 0 in reply to LuisMompoHanden
    Die benutzernamen werden auch angezeigt, nur kommt unregelmässig immer wieder ein authentifizierungsfenster [:(]

    Kannst Du ggf. genauer beschreiben wie du die Gruppe mit AD verbunden hast in der ASG?

    Bitte melden wenn der support was gesagt hat.
  • 0

    ...
    Das erste problem ist das bei aktiviertem SSO unter Zuweisung der Gruppe trotzdem jeder den Proxy verwenden kann und nicht nur die Gruppe. Das zweite Problem ist, das zeitweise immer diese Authentifizierungsfenster beim user aufpoppen und er sich erneut Authentifizieren muss. Ist das Astaro typisch oder sollte das nicht so oft bzw. gar nicht passieren.
    ...


    zu deinem erstem Problem: wahrscheinlich hast du kein entsprechendes Profil angelegt, welches AD-Usern die nicht in der Gruppe sind, das surfen verbietet.

    Ähnliche Aufgabenstellung habe ich so gelöst:
    Web Security->Http->Content Filter -> Block content aktiviert und unten alles nicht angehackt
    Web Security->Http-Profiles->Filter Action-> Neues Profil -> Proxy_Erlaubt ->  Mode allow by default
    Web Security->Http-Profiles->Filter Assignments-> neuer Filter -> User_aus_AD -> die entsprechende Gruppe  und Filter Action -> Proxy_Erlaubt
    Web Security->Http-Profiles->Proxy Profiles-> neues Profil -> Filter Assigments -> User_aus_AD , Fallback Action -> default Filter Action

    Zu dem zweitem problem:
    Ändere die Proxykonfiguration im Client auf den DNS-Namen der Firewall, anstelle von IP.

    Gregor Kemter
  • 0 in reply to gkemter
    Ahh, das mit dem dns-namen hätte ich auch mal ausprobieren können [:)] manchmal liegt das gut so nah....

    Okay, dann müssen wir den contentfilter erst lizensieren, weil das kann ich nicht auswählen.

    Vielen Dank für die 1a Hilfe !
  • 0 in reply to modwheel
    hmmm.....auch mit dns namen geht von zeit zu zeit das fenster zum anmelden auf. das scheints nicht gewesen zu sein [:(]
  • 0 in reply to gkemter
    @modwheel
    Per Gruppenrichtlinie ist die FQDN der ASG als Proxy auf allen Clients erzwungen. Alle Clients und die ASG haben ein Computerkonto in der Domäne und stehen im AD-integrierten DNS.
    Bei Rechnern, die nicht in der Domäne sind, bekomme ich auch AuthPopups. 

    wahrscheinlich hast du kein entsprechendes Profil angelegt, welches AD-Usern die nicht in der Gruppe sind, das surfen verbietet.


    Laut HTTP-Profiles-Guide ist es nicht nötig ein solches Profil anzulegen. Sprich es sollte auch ohne eine solche Regel funktionieren. Allerdings steht auf Seite 9 auch die IP und nicht die FQDN der ASG als Proxy drin [:D] 

    Each user in the AD group RnD must now enter the IP address of Astaro Security Gateway and the
    HTTP port number in his or her Internet Options proxy server settings (see Figure 8).


    Q: What happens if no profile, not even the default profile matches?
    A: In this case the request will be blocked.


    Gibt es eine Doku, die gegenteiliges aussagt? 
    Ich habe debug-Modus des Proxy von none auf users;auth gestellt und werde heute das Logfile zur Auswertung an den Astarosupport senden. Mal schauen was dabei rauskommt. 

    Gruß
  • 0 in reply to LuisMompoHanden
    Eigentlich sollte die IP der Firewall reichen, ich habe aber speziell bei Vista die Erfahrung gemacht, daß mit IP öfters das AnmeldeFenster kam. (mit FQDN war das Problem weg)

    Ob die Proxy-Docu aktuell ist, kann ich nicht beurteilen, hatte aber die selbe Frage während der Betatests zu 7.100 gestellt.

    Gregor Kemter
  • 0 in reply to LuisMompoHanden
    @modwheel
    Per Gruppenrichtlinie ist die FQDN der ASG als Proxy auf allen Clients erzwungen. Alle Clients und die ASG haben ein Computerkonto in der Domäne und stehen im AD-integrierten DNS.
    Bei Rechnern, die nicht in der Domäne sind, bekomme ich auch AuthPopups. 
     

    Genau so habe ich es auch gemacht, computer konten für alle und im dns die astaro hinterlegt. Hast Du AD über SSL oder normal verwendet?
  • 0 in reply to modwheel
    Bei welchen Browsern habt Ihr die Probleme mit auth ?
    Beim IE sollte es keine Probleme geben, beim Firefox spinnt das Single-Sign-On manchmal.
    Weiterer Punkt ist die Sicherheitsrichtlinie (NTLMV2 als Stichwort).

    Gregor Kemter
  • 0 in reply to gkemter
    Ja beim IE7 hab ich das wirklich überall, Firefox o.ä. benutzen manche auch - dafür hab ich die ntlm option eingetragen.

    Selbst mit dem DNS Namen kommen die pop ups zum authentifizieren [:(]
Unfiltered HTML