Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

AD Authentification & SSO bei Web-Proxy

Hallo,

ich lese schon lange in diesem Forum mit und konnte allerdings keine Lösung zu meiner Frage finden. Ich habe hier 2 Astaro 425a im Hot-Standby betrieb aufgebaut und soweit funktioniert alles bestens, jedoch bei der Einstellung des Proxys um sich zu Authentifizieren hackt es noch etwas.

AD Anbindung und Domain-Join hat bestens geklappt, es wurde eine User Gruppe angelegt die auf eine Gruppe im AD verweist die die Mitarbeiter angibt welche über den Proxy ins Internet dürfen.

Das erste problem ist das bei aktiviertem SSO unter Zuweisung der Gruppe trotzdem jeder den Proxy verwenden kann und nicht nur die Gruppe. Das zweite Problem ist, das zeitweise immer diese Authentifizierungsfenster beim user aufpoppen und er sich erneut Authentifizieren muss. Ist das Astaro typisch oder sollte das nicht so oft bzw. gar nicht passieren.

Vielleicht kann jemand der es schon erfolgreich einsetzt kurz erläutert wie und was einzustellen ist damit es reibungslos klappt. Leider ist im Handbuch und in der KB keine genaue Anweisung zu finden.

Vielen Dank [8-)]


This thread was automatically locked due to age.
Parents

  • ...
    Das erste problem ist das bei aktiviertem SSO unter Zuweisung der Gruppe trotzdem jeder den Proxy verwenden kann und nicht nur die Gruppe. Das zweite Problem ist, das zeitweise immer diese Authentifizierungsfenster beim user aufpoppen und er sich erneut Authentifizieren muss. Ist das Astaro typisch oder sollte das nicht so oft bzw. gar nicht passieren.
    ...


    zu deinem erstem Problem: wahrscheinlich hast du kein entsprechendes Profil angelegt, welches AD-Usern die nicht in der Gruppe sind, das surfen verbietet.

    Ähnliche Aufgabenstellung habe ich so gelöst:
    Web Security->Http->Content Filter -> Block content aktiviert und unten alles nicht angehackt
    Web Security->Http-Profiles->Filter Action-> Neues Profil -> Proxy_Erlaubt ->  Mode allow by default
    Web Security->Http-Profiles->Filter Assignments-> neuer Filter -> User_aus_AD -> die entsprechende Gruppe  und Filter Action -> Proxy_Erlaubt
    Web Security->Http-Profiles->Proxy Profiles-> neues Profil -> Filter Assigments -> User_aus_AD , Fallback Action -> default Filter Action

    Zu dem zweitem problem:
    Ändere die Proxykonfiguration im Client auf den DNS-Namen der Firewall, anstelle von IP.

    Gregor Kemter
  • @modwheel
    Per Gruppenrichtlinie ist die FQDN der ASG als Proxy auf allen Clients erzwungen. Alle Clients und die ASG haben ein Computerkonto in der Domäne und stehen im AD-integrierten DNS.
    Bei Rechnern, die nicht in der Domäne sind, bekomme ich auch AuthPopups. 

    wahrscheinlich hast du kein entsprechendes Profil angelegt, welches AD-Usern die nicht in der Gruppe sind, das surfen verbietet.


    Laut HTTP-Profiles-Guide ist es nicht nötig ein solches Profil anzulegen. Sprich es sollte auch ohne eine solche Regel funktionieren. Allerdings steht auf Seite 9 auch die IP und nicht die FQDN der ASG als Proxy drin [:D] 

    Each user in the AD group RnD must now enter the IP address of Astaro Security Gateway and the
    HTTP port number in his or her Internet Options proxy server settings (see Figure 8).


    Q: What happens if no profile, not even the default profile matches?
    A: In this case the request will be blocked.


    Gibt es eine Doku, die gegenteiliges aussagt? 
    Ich habe debug-Modus des Proxy von none auf users;auth gestellt und werde heute das Logfile zur Auswertung an den Astarosupport senden. Mal schauen was dabei rauskommt. 

    Gruß
  • Eigentlich sollte die IP der Firewall reichen, ich habe aber speziell bei Vista die Erfahrung gemacht, daß mit IP öfters das AnmeldeFenster kam. (mit FQDN war das Problem weg)

    Ob die Proxy-Docu aktuell ist, kann ich nicht beurteilen, hatte aber die selbe Frage während der Betatests zu 7.100 gestellt.

    Gregor Kemter
Reply
  • Eigentlich sollte die IP der Firewall reichen, ich habe aber speziell bei Vista die Erfahrung gemacht, daß mit IP öfters das AnmeldeFenster kam. (mit FQDN war das Problem weg)

    Ob die Proxy-Docu aktuell ist, kann ich nicht beurteilen, hatte aber die selbe Frage während der Betatests zu 7.100 gestellt.

    Gregor Kemter
Children
No Data