Problem http-Proxy -> Profile und Filterregeln

Hallo,

folgende Umgebung:
- ASG220 mit AD SSO-Integration
- http-Proxy-Mode: AD SSO
- Status: Benutzer können via SSO über den http-Proxy gehen

Aufgabe:
- Einrichtung von Proxy-Profilen für die im AD hinterlegten Gruppen mit verschiedenen Rechten zum Internetzugang
- die Abfrage des BaseDN für die verschiedenen Internet-User-Gruppen funktioniert korrekt

Problem:
- Irgendwie greift bei z.B. 4 angelegten Regeln immer nur die erste Regel
- Wenn man die Erste löscht, dann wird die danach an erster Stelle stehende Regel genommen

Aus dem http-Log komme ich zu der Vermutung, daß die User-Gruppenzuordung nicht korrekt durchgeführt wird und somit immer nur das erste Profil genommen wird?!

Anbei das Log für einen User der komplett mit einem angelegten "BLOCKED_PROFILE" geblockt werden sollte, aber wo gar nicht das Blocking-Profil, sondern das angelegte Standard-Profil (STD_PROFILE) mit nur wenigen Einschränkungen greift und der User somit surfen kann:

2010:02:16-19:41:50 maschine httpproxy[14383]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="10.10.10.100" user="Wachschutz" statuscode="204" cached="0" profile="REF_PwIbIWxNbv (STD_PROFILE)" filteraction="REF_SfHmJFoZew (STD_FILTER)" size="0" time="77 ms" request="0x886dc78" 
url="www.google.de/csi

Für das BLOCKED_PROFILE wurde eine Filteraction "alles blocken" (whitelist) angelegt.

Ergänzende Frage: Momentan ist bei den Netzwerken eine Netzwerkgruppe eingetragen, in der alle Netzwerke der User, egal ob sie vollen Zugriff haben oder geblockt werden sollen. Ich habe jetzt nochmal im Handbuch nachgelesen, daß hier für jedes Profil unterschiedliche Quellnetzwerke eingetragen werden müssen. Ich ging davon aus, daß bei einer AD SSO-Integration die Rechte rein an der Gruppe festgemacht werden? Ist so etwas nicht möglich? Kommt das in Ver. 7.503?

Vielen Dank. Grüße bitter

This thread was automatically locked due to age.