Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Webproxy Authentifizierung

Hallo,
ich habe mal eine generelle Frage zum Webproxy und deren Profilmöglichkeiten.
Zur Zeit haben wir hier nur 1 generelles Profil.
Alle PCs aus dem internen Netz dürfen den Proxy zu jeder Zeit nutzen.

Jetzt komt natürlich die Anfrage seitens der GF, ob man das ganze nicht ein wenig differenzierter nutzen kann.

Ich würde gerne anhand der ActiveDirectory Integration hier etwas realisieren.
Genutzt wird ausschliesslich der Internetexplorer auf den lokalen / TS Maschinen

Wenn ich im ersten Step den Operation Mode von Standard auf Activediretory SSO umstelle, muss sich der Benutzer zusätzlich authentifizeiren, wenn er den IE das erste mal morgends öffnet oder geschieht dies im Hintergrund ohne Benutzereingaben?

Im 2.Step möchte ich mir dann ein Regelwerk mit AD Gruppen aufbauen.
1.Gruppe: Standardbenutzer, nennen wir diese hier einfach "Internet-Einfach"
2.Gruppe: Geschaftsleitung, AD Gruppe: "Internet-GF"

Jetzt soll die erste Gruppe nur auf explizit freigegebenen Seiten surfen können, die Gruppe der Geschäftsleitung auf allen Seiten.

Und wieder die Frage, muss der User sich beim ersten Start des IE immer anmelden am Proxy, oder geht das ohne explizietes Anmelden?
Wie sieht es bei Terminalservermaschinen aus? Wird die IP an den Benutzer gekoppelt? Oder wirklich jeder einzelne Sitzung für sich gehandelt?

Danke
Gruß
Markus


This thread was automatically locked due to age.
Parents
  • Hallo Markus,
    wir haben das ActiveDirectrory SSO seit der Version 7 am laufen (aktuelle Version 7.405). Der IE/Firefox gibt den Benutzernamen und das Passwort des Windows Login des Benutzer an die Astaro weiter. Diese prüft es gegen das Aktive Directory.
    Ich habe diesen Link von Astaro erhalten:
    http://www.astaro.com/webinars/Astaro_Security_Gateway_Tipps_Tricks_fuer_Anwender.wmv
    In dem Video gibt es auch einen Teil über den Web Proxy, vielleicht hilft der dir etwas weiter. 
    Wenn sich ein Benutzer am TS oder lokalen Maschine Anmeldet bekommt er immer die Seiten die auf der Astaro freigegeben.
    Bitte beachte, wenn du AD Gruppen anlegst und diese abfragst, das Benutzer nicht doppelt angelegt sind. Diese führte bei uns dazu das einmal der Internet Zugang für den Benutzer funktionierte und dann wieder nicht.


    Gruß
    Sven
Reply
  • Hallo Markus,
    wir haben das ActiveDirectrory SSO seit der Version 7 am laufen (aktuelle Version 7.405). Der IE/Firefox gibt den Benutzernamen und das Passwort des Windows Login des Benutzer an die Astaro weiter. Diese prüft es gegen das Aktive Directory.
    Ich habe diesen Link von Astaro erhalten:
    http://www.astaro.com/webinars/Astaro_Security_Gateway_Tipps_Tricks_fuer_Anwender.wmv
    In dem Video gibt es auch einen Teil über den Web Proxy, vielleicht hilft der dir etwas weiter. 
    Wenn sich ein Benutzer am TS oder lokalen Maschine Anmeldet bekommt er immer die Seiten die auf der Astaro freigegeben.
    Bitte beachte, wenn du AD Gruppen anlegst und diese abfragst, das Benutzer nicht doppelt angelegt sind. Diese führte bei uns dazu das einmal der Internet Zugang für den Benutzer funktionierte und dann wieder nicht.


    Gruß
    Sven
Children
  • Danke, Video schau ich mir dann mal an.

    Wie soll ich "Doppelt angelegt" verstehen?
    Im AD gibts doch immer nur eine eindeutige Kennung.
    Oder dürfen die User nicht nochmals auf der Astaro angelegt sein?
    Ich nutze derzeit für VPN einmal die integriete Userauthentifizierung (sind nur 20 User) und habe versuchsweise mal die AD Integration mit nächtlicher Sync gegen das AD aktiviert.
    Neue User im AD werden dann automatisch in der Astaro angelegt.
    Die Funktion werde ich aber wohl wieder entfernen oder nur gegen eine bestimmte Gruppe laufen lassen.