Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Webproxy Authentifizierung

Hallo,
ich habe mal eine generelle Frage zum Webproxy und deren Profilmöglichkeiten.
Zur Zeit haben wir hier nur 1 generelles Profil.
Alle PCs aus dem internen Netz dürfen den Proxy zu jeder Zeit nutzen.

Jetzt komt natürlich die Anfrage seitens der GF, ob man das ganze nicht ein wenig differenzierter nutzen kann.

Ich würde gerne anhand der ActiveDirectory Integration hier etwas realisieren.
Genutzt wird ausschliesslich der Internetexplorer auf den lokalen / TS Maschinen

Wenn ich im ersten Step den Operation Mode von Standard auf Activediretory SSO umstelle, muss sich der Benutzer zusätzlich authentifizeiren, wenn er den IE das erste mal morgends öffnet oder geschieht dies im Hintergrund ohne Benutzereingaben?

Im 2.Step möchte ich mir dann ein Regelwerk mit AD Gruppen aufbauen.
1.Gruppe: Standardbenutzer, nennen wir diese hier einfach "Internet-Einfach"
2.Gruppe: Geschaftsleitung, AD Gruppe: "Internet-GF"

Jetzt soll die erste Gruppe nur auf explizit freigegebenen Seiten surfen können, die Gruppe der Geschäftsleitung auf allen Seiten.

Und wieder die Frage, muss der User sich beim ersten Start des IE immer anmelden am Proxy, oder geht das ohne explizietes Anmelden?
Wie sieht es bei Terminalservermaschinen aus? Wird die IP an den Benutzer gekoppelt? Oder wirklich jeder einzelne Sitzung für sich gehandelt?

Danke
Gruß
Markus


This thread was automatically locked due to age.
Parents
  • Hallo, Markus,

    Ich habe einen Startführer auf Englisch geschaffen, "Configuring the HTTP Proxy with AD in Astaro V7.5" den ich dir gern per E-Mail schicken würde.  Dannach wärst Du besser dran mit der "HTTP Profiles Guide" von der Astaro KnowledgeBase.

    Doch brauchen die Benutzer sich nicht zusätzlich zu authentifizeiren; alles ist für ihnen durchsichtig.

    Bei Terminalservermaschinen kann ich nicht sagen.

    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • Hallo, Markus,

    Ich habe einen Startführer auf Englisch geschaffen, "Configuring the HTTP Proxy with AD in Astaro V7.5" den ich dir gern per E-Mail schicken würde.  Dannach wärst Du besser dran mit der "HTTP Profiles Guide" von der Astaro KnowledgeBase.

    Doch brauchen die Benutzer sich nicht zusätzlich zu authentifizeiren; alles ist für ihnen durchsichtig.

    Bei Terminalservermaschinen kann ich nicht sagen.

    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • Hallo Markus,

    dein Szenario ist ziehmlich genau das, was ich zur Zeit realisiere. Das SSO (SingleSignOn) funktioniert bei IE/Firefox ausgezeichnet, wenn man ein paar Randbedingungen einhält (DNS Konfig, Zeitsychro - da gibts hier einige Threads zu, die das erklären). 

    Wir haben das hier mit zwei Subnetzen und 4 AD Gruppen gemacht und auch noch zeitliche Einschränkungen mit drin - klappt einwandfrei. Was mir noch nicht ganz klar ist, ist wie Anwendungen die Proxyfähig sind, die Anmeldung hinbringen (das liebe Elster Programm schafft das z.B. nicht). Zur Not geht das dann ohne SSO aber mit AD Backend Auth.

    Viele Grüße
    Manfred
  • Hallo Bob,
    ja den Guide hätte ich gerne.
    Kannst den an maniac (at) kaeferpower.de schicken, Danke.

    Hallo Manfred,
    setzt ihr bei euch auch Terminalserver ein? 90% sind hier Terminalserver Benutzer :-)
    Wie muss ich das SingeleSignOn (SSO) genau verstehen?
    Muss der User sich nicht extra einloggen?

    Gruß
    Markus