Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 38 subscribers
  • Views 5026 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Bestimmte Webseiten ohne Authentifizierung?

testosteron
Hallo!

Im Moment läuft der Proxy so dass jeder Benutzer sich anmelden muss.
Je nach Gruppe bekommt er ein bestimmtes Proxy-Profil zugewiesen und dadurch unterschiedliche Surfrechte.

Ich würde es aber gerne so einrichten das bestimmte Seiten (z.B. Windows Update) immer ohne Authentifizierung aufgerufen werden können.

Hatte schon unter Web Security -> Webfilter -> Ausnahmen -> Microsoft Windows Update festgelegt dass eigentlich keine Authentifizierung benötigt wird.
Aber anscheinend greift das nicht.

Wie bekomme ich das hin?

Gruß

Christian


This thread was automatically locked due to age.
  • 0
    Hallo Christian,

    das ist auf jeden Fall möglich. Am besten postest du mal Screenshots von deiner Ausnahme und deinen Proxypofilkonfigurationen.

    Gruß
    Manfred
  • 0
    Hallo Manrfred,

    OK, dann wollen wir mal [:)]

    Teilweise beschrieben, teilweise Screenshots:
    Unter Web Protection -> Webfilter -> Allgemein sind unter "Zugelassene Netzwerke" unsere verschiedenen Netze eingetragen, der Transparenzmodus ist aktiv und Authentifizierung steht auf "Browser".
    Zugelassene Benutzer bzw. Gruppen sind Admins, Lehrer, Schüler und Sonstige.


    Unter Web Protection -> Webfilter -> Ausnahmen habe ich bei der vorhandenen Regel "Microsoft Windows Update" die Option Authentifizierung auslasen aktiviert.

    Zu den Proxy- Profilen. Es gibt zwei Stück. Diese sollen sich nachher nur anhand der Authentifizierung unterscheiden (die "fest installierten" Rechner sollen sich via Agent authentifizieren).
    Siehe Screenshot 1.
    Die Filterzuweisung ist eine 0815 Gruppen Zuweisung. Es gibt 4 Gruppen, die die gleichnamige Filteraktion zugewiesen bekommen. Als Beispiel siehe Screenshot 2.
    Die ganzen Filter sind im Moment noch nicht 100%ig angepasst. Also nicht über die eine oder andere Einstellung wundern.
    Die Windows Update Seite soll übrigens nur ein Beispiel sein. Einige ausgewählte andere Seiten sollen nachher auch ohne Authentifizierung aufrufbar sein.

    Schon mal vielen Dank für Deine Unterstützung!
  • 0
    Hm - aus den Screenshots und der Beschreibung würde ich zwei Dinge versuchen:

    1. Volltransparenzmodus deaktivieren (in der Hilfe steht was von 'öffentliche IP Adressen' - bin nicht sicher, aber das ist eher ungewöhnlich)
    2. Die Fallbackaction (Ersatzaktion) - da sollte es ein Einstellung geben die 'Default Content Filter Block Action' heißt.

    Ansonsten sieht das ziemlich normal und richtig aus.

    Versuch das mal, obwohl ich den zweite Einstellung am ehesten im Versdacht habe.

    Viele Grüße
    Manfred
  • 0
    (Sorry, my German-speaking brain isn't working.[:(])

    Please post example lines from the Web Filtering log where a problem existed.

    MfG - Bob (Bitte, auf Deutsch weiterhin.)
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    So, heute bin ich endlich zum testen gekommen!
    Das Problem lag irgendwie am URL Filter.

    Hab in den Log Einträgen folgendes entdeckt 
    2012:08:14-12:52:43 viruswall httpproxy[4231]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="192.168.103.20" dstip="" user="" statuscode="403" cached="0" profile="REF_HttProCshProxyAgent (CSH Proxy Agent Auth)" filteraction="REF_DefaultHTTPCFFBlockAction (Default content filter block action)" size="3010" request="0x96131a0" url="update.microsoft.com/" exceptions="av,auth,fileextension" error=""


    Nachdem ich bei den Ausnahmen bzw. bei der Update Ausnahmen auch noch den URL Filter deaktiviert habe, war das Problem gelöst.

    Vielen Dank an dieser Stelle für die Hilfe!


    Hab aber noch eine Frage, hoffe ich darf sie hinterher schießen:
    Kann ich es irgendwie einstellen dass erst versucht wird den User per Agent zu authentifizieren, und wenn dies scheitern sollte via Browser Loginmaske?

    Viele Grüße

    Christian
  • 0
    (Sorry, my German-speaking brain still isn't working.[:(])

    Hi, Christian,

    I'm glad that you found your own answer.  It's more fun to help people that show such determination!

    I do this with AD-SSO, but I haven't tried it with the Agent.  If the following works, please report that here.

    Create a Web Filtering Profile in Standard mode (this is the "trick") with Agent authentication.  Put the Main proxy in Transparent mode with Browser authentication.

    Now, a user configured to use the proxy on port 8080 and with an active Agent will be handled by the Profile.  A user that isn't configured to use the proxy on port 8080 will not qualify for the profile and will be handled by the transparent proxy.

    There's no way to accomplish this with Transparent mode only.

    MfG - Bob (Bitte, auf Deutsch weiterhin.)
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Habe ich das richtig verstanden dass beim SSO automatisch die Domain Anmeldedaten verwendet werden um sich am Proxy zu authentifizieren?
    Dann wäre dies natürlich viel besser [:)]

    Wenn ich das richtig verstanden habe, geht dies dann auch bei jedem Browser?

    Grüße

    Christian
  • 0
    Es ist zwar auf Englisch, aber...

    HTTP/S Proxy Access with AD-SSO (Caution, the section "Configure User Authentication" should be eliminated as it has no effect on AD-SSO and can cause problems in larger organizations)

    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hey Bob!

    Ja, die Seite habe ich mir schon mehrfach durchgelesen, mir stellen sich aber folgende Fragen:

    1) Im Moment bekomme ich beim Proxy nur drei Authentifizierungsmöglichkeiten angezeigt: "Keine", "Agent", "Browser".
    Kommt da noch eine vierte hinzu wenn ich SSO richtig konfiguriere?

    2) Es wird immer nur vom IE geschrieben. Macht der FireFox auch eine Kerberos Auth?

    Gruß

    Christian
  • 0
    (Sorry, my German-speaking brain isn't working again.[:(])

    Astaro/Sophos doesn't do SSO in Transparent mode.  There is a feature suggestion though: Transparent Proxy with Transparent Authentication (SSO).  You might want to vote for it and write a comment.

    When you put the Proxy in "Standard" mode, SSO authentication is possible.  This also works with Firefox, but you need to tell it to use the Windows 'Proxy Settings'.

    MfG - Bob (Bitte, auf Deutsch weiterhin.)
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML