Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Webproxy Authentifizierung

Hallo,
ich habe mal eine generelle Frage zum Webproxy und deren Profilmöglichkeiten.
Zur Zeit haben wir hier nur 1 generelles Profil.
Alle PCs aus dem internen Netz dürfen den Proxy zu jeder Zeit nutzen.

Jetzt komt natürlich die Anfrage seitens der GF, ob man das ganze nicht ein wenig differenzierter nutzen kann.

Ich würde gerne anhand der ActiveDirectory Integration hier etwas realisieren.
Genutzt wird ausschliesslich der Internetexplorer auf den lokalen / TS Maschinen

Wenn ich im ersten Step den Operation Mode von Standard auf Activediretory SSO umstelle, muss sich der Benutzer zusätzlich authentifizeiren, wenn er den IE das erste mal morgends öffnet oder geschieht dies im Hintergrund ohne Benutzereingaben?

Im 2.Step möchte ich mir dann ein Regelwerk mit AD Gruppen aufbauen.
1.Gruppe: Standardbenutzer, nennen wir diese hier einfach "Internet-Einfach"
2.Gruppe: Geschaftsleitung, AD Gruppe: "Internet-GF"

Jetzt soll die erste Gruppe nur auf explizit freigegebenen Seiten surfen können, die Gruppe der Geschäftsleitung auf allen Seiten.

Und wieder die Frage, muss der User sich beim ersten Start des IE immer anmelden am Proxy, oder geht das ohne explizietes Anmelden?
Wie sieht es bei Terminalservermaschinen aus? Wird die IP an den Benutzer gekoppelt? Oder wirklich jeder einzelne Sitzung für sich gehandelt?

Danke
Gruß
Markus


This thread was automatically locked due to age.
Parents
  • Hallo Markus

    Ich meinte das mit dem Doppelt anlegen so.
    Am Anfang habe ich die Gruppen aus dem AD verwendet mit denen ich auch das Mapping für die Netzlaufwerke realisiere (ABT_GF, ABT_EDV, ABT_VT, ...). Wir haben die Zugriffsrechte nach Abteilung sortiert. In diesen ist es vorgekommen das Benutzer in zwei o. mehr Gruppen eingetragen waren. Diese hat dann zu Problemen geführt. Da die Abfrage nach dem Benutzersucht und nach dem ersten Fund stehenbleibt und Ihm die erlaubten Seiten freigibt. Kam es bei dieser Methode sporadisch dazu das Benutzer morgens die Seite aufrufen konnten und mittags nicht mehr.
    Heute habe ich spezielle Gruppen angelegt, die nur für den Webproxy gepflegt werden (Internet_EDV, Internet_GF, Internet_VT, ...). In diesen Gruppen ist jeder Benutzer nur einmal vorhanden. Wenn z.B. die EDV-Abt. vollen Internet Zugriff hat und ein Kollege vollen Internet Zugriff benötigt (Updates, Webinar, ...), entferne ich Ihn aus seiner Gruppe und füge Ihn der EDV Gruppe hinzu. Somit hat er vollen Internet Zugriff, wenn er fertig ist, lösche ich Ihn aus der EDV Gruppe und füge Ihn wieder seiner eigenen Gruppe hinzu.

    Gruß
    Sven
  • Danke, jetzt hab ich es verstanden.
    Da ich eh für diesen Zweck neue Gruppen anlege, sollte das passen.
  • Hallo Markus,

    der Sven hats ja schon alles erklärt - ich machs genauso (mit den expliziten Gruppen für den Internet Zugang). Und ja, MS TS ist kein Problem solange sich da die User mit ihren 'normalen' AD Kennungen anmelden (keine allgemeinen User wie TS_USER1 unter dem sich verschiedene Personen anmelden) - wie es mit Citrix usw. aussieht weiß ich nicht.

    Viele Grüße
    Manfred
Reply
  • Hallo Markus,

    der Sven hats ja schon alles erklärt - ich machs genauso (mit den expliziten Gruppen für den Internet Zugang). Und ja, MS TS ist kein Problem solange sich da die User mit ihren 'normalen' AD Kennungen anmelden (keine allgemeinen User wie TS_USER1 unter dem sich verschiedene Personen anmelden) - wie es mit Citrix usw. aussieht weiß ich nicht.

    Viele Grüße
    Manfred
Children
No Data