Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 38 subscribers
  • Views 6332 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Webproxy Authentifizierung

mschimmer
Hallo,
ich habe mal eine generelle Frage zum Webproxy und deren Profilmöglichkeiten.
Zur Zeit haben wir hier nur 1 generelles Profil.
Alle PCs aus dem internen Netz dürfen den Proxy zu jeder Zeit nutzen.

Jetzt komt natürlich die Anfrage seitens der GF, ob man das ganze nicht ein wenig differenzierter nutzen kann.

Ich würde gerne anhand der ActiveDirectory Integration hier etwas realisieren.
Genutzt wird ausschliesslich der Internetexplorer auf den lokalen / TS Maschinen

Wenn ich im ersten Step den Operation Mode von Standard auf Activediretory SSO umstelle, muss sich der Benutzer zusätzlich authentifizeiren, wenn er den IE das erste mal morgends öffnet oder geschieht dies im Hintergrund ohne Benutzereingaben?

Im 2.Step möchte ich mir dann ein Regelwerk mit AD Gruppen aufbauen.
1.Gruppe: Standardbenutzer, nennen wir diese hier einfach "Internet-Einfach"
2.Gruppe: Geschaftsleitung, AD Gruppe: "Internet-GF"

Jetzt soll die erste Gruppe nur auf explizit freigegebenen Seiten surfen können, die Gruppe der Geschäftsleitung auf allen Seiten.

Und wieder die Frage, muss der User sich beim ersten Start des IE immer anmelden am Proxy, oder geht das ohne explizietes Anmelden?
Wie sieht es bei Terminalservermaschinen aus? Wird die IP an den Benutzer gekoppelt? Oder wirklich jeder einzelne Sitzung für sich gehandelt?

Danke
Gruß
Markus


This thread was automatically locked due to age.
  • 0
    Hallo, Markus,

    Ich habe einen Startführer auf Englisch geschaffen, "Configuring the HTTP Proxy with AD in Astaro V7.5" den ich dir gern per E-Mail schicken würde.  Dannach wärst Du besser dran mit der "HTTP Profiles Guide" von der Astaro KnowledgeBase.

    Doch brauchen die Benutzer sich nicht zusätzlich zu authentifizeiren; alles ist für ihnen durchsichtig.

    Bei Terminalservermaschinen kann ich nicht sagen.

    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hallo Markus,

    dein Szenario ist ziehmlich genau das, was ich zur Zeit realisiere. Das SSO (SingleSignOn) funktioniert bei IE/Firefox ausgezeichnet, wenn man ein paar Randbedingungen einhält (DNS Konfig, Zeitsychro - da gibts hier einige Threads zu, die das erklären). 

    Wir haben das hier mit zwei Subnetzen und 4 AD Gruppen gemacht und auch noch zeitliche Einschränkungen mit drin - klappt einwandfrei. Was mir noch nicht ganz klar ist, ist wie Anwendungen die Proxyfähig sind, die Anmeldung hinbringen (das liebe Elster Programm schafft das z.B. nicht). Zur Not geht das dann ohne SSO aber mit AD Backend Auth.

    Viele Grüße
    Manfred
  • 0 in reply to Hallowach2
    Hallo Bob,
    ja den Guide hätte ich gerne.
    Kannst den an maniac (at) kaeferpower.de schicken, Danke.

    Hallo Manfred,
    setzt ihr bei euch auch Terminalserver ein? 90% sind hier Terminalserver Benutzer :-)
    Wie muss ich das SingeleSignOn (SSO) genau verstehen?
    Muss der User sich nicht extra einloggen?

    Gruß
    Markus
  • 0
    Hallo Markus,
    wir haben das ActiveDirectrory SSO seit der Version 7 am laufen (aktuelle Version 7.405). Der IE/Firefox gibt den Benutzernamen und das Passwort des Windows Login des Benutzer an die Astaro weiter. Diese prüft es gegen das Aktive Directory.
    Ich habe diesen Link von Astaro erhalten:
    http://www.astaro.com/webinars/Astaro_Security_Gateway_Tipps_Tricks_fuer_Anwender.wmv
    In dem Video gibt es auch einen Teil über den Web Proxy, vielleicht hilft der dir etwas weiter. 
    Wenn sich ein Benutzer am TS oder lokalen Maschine Anmeldet bekommt er immer die Seiten die auf der Astaro freigegeben.
    Bitte beachte, wenn du AD Gruppen anlegst und diese abfragst, das Benutzer nicht doppelt angelegt sind. Diese führte bei uns dazu das einmal der Internet Zugang für den Benutzer funktionierte und dann wieder nicht.


    Gruß
    Sven
  • 0 in reply to svend29
    Danke, Video schau ich mir dann mal an.

    Wie soll ich "Doppelt angelegt" verstehen?
    Im AD gibts doch immer nur eine eindeutige Kennung.
    Oder dürfen die User nicht nochmals auf der Astaro angelegt sein?
    Ich nutze derzeit für VPN einmal die integriete Userauthentifizierung (sind nur 20 User) und habe versuchsweise mal die AD Integration mit nächtlicher Sync gegen das AD aktiviert.
    Neue User im AD werden dann automatisch in der Astaro angelegt.
    Die Funktion werde ich aber wohl wieder entfernen oder nur gegen eine bestimmte Gruppe laufen lassen.
  • 0
    Hallo Markus

    Ich meinte das mit dem Doppelt anlegen so.
    Am Anfang habe ich die Gruppen aus dem AD verwendet mit denen ich auch das Mapping für die Netzlaufwerke realisiere (ABT_GF, ABT_EDV, ABT_VT, ...). Wir haben die Zugriffsrechte nach Abteilung sortiert. In diesen ist es vorgekommen das Benutzer in zwei o. mehr Gruppen eingetragen waren. Diese hat dann zu Problemen geführt. Da die Abfrage nach dem Benutzersucht und nach dem ersten Fund stehenbleibt und Ihm die erlaubten Seiten freigibt. Kam es bei dieser Methode sporadisch dazu das Benutzer morgens die Seite aufrufen konnten und mittags nicht mehr.
    Heute habe ich spezielle Gruppen angelegt, die nur für den Webproxy gepflegt werden (Internet_EDV, Internet_GF, Internet_VT, ...). In diesen Gruppen ist jeder Benutzer nur einmal vorhanden. Wenn z.B. die EDV-Abt. vollen Internet Zugriff hat und ein Kollege vollen Internet Zugriff benötigt (Updates, Webinar, ...), entferne ich Ihn aus seiner Gruppe und füge Ihn der EDV Gruppe hinzu. Somit hat er vollen Internet Zugriff, wenn er fertig ist, lösche ich Ihn aus der EDV Gruppe und füge Ihn wieder seiner eigenen Gruppe hinzu.

    Gruß
    Sven
  • 0 in reply to svend29
    Danke, jetzt hab ich es verstanden.
    Da ich eh für diesen Zweck neue Gruppen anlege, sollte das passen.
  • 0 in reply to mschimmer
    Hallo Markus,

    der Sven hats ja schon alles erklärt - ich machs genauso (mit den expliziten Gruppen für den Internet Zugang). Und ja, MS TS ist kein Problem solange sich da die User mit ihren 'normalen' AD Kennungen anmelden (keine allgemeinen User wie TS_USER1 unter dem sich verschiedene Personen anmelden) - wie es mit Citrix usw. aussieht weiß ich nicht.

    Viele Grüße
    Manfred
  • 0
    AD SSO ist problemlos im EInsatz mit Terminalservern, da hier echtes NTLM bzw. Keberos zurt ASuthentifizierung gemacht wird. SOlange sich jeder User mit einem individuellen Login am TS anmeldet, klappt dfas auch.
    Probleme gibts nur mit EDIR SSO, da hier die Authentifizierung nicht per Username sondern per IP-Adresse erfolgt - und somit alle User auf einem TS ja die selbe IP haben und sich dann gegenseitig  behindern.
Unfiltered HTML