Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 10 subscribers
  • Views 1421 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Benutzer Authentifizierung

Dome

Hallo zusammen, 

ich bin auf der Suche nach einer Möglichkeit Benutzer zu Authentifizieren die auf eine AD-Netzwerk zugreifen möchten. 

Szenario: 

LAN 1 - 192.168.112.0 hier sitzt der Domaincontroller mit AD 

LAN 2 - 192.168.110.0 Netzwerk mit WAN zugriff. 

bevor die Benutzer aus dem LAN 2 auf das LAN 1 zugreifen dürfen sollen Sie sich an der Firewall als AD-User verifizieren. 

im LAN 2 sind AD-User und Fremduser nur die AD-User sollen zugriff auf LAN 1 erhalten.

Sophos STAS ist lauffähig und verifiziert zuverlässig User im LAN1 bedingt durch den fehlenden Zugriff von LAN2 auf LAN1 

kann STAS die User aus LAN2 nicht verifizieren. 

Mit dem Client Authentication Agent funktioniert das vorhaben, dies ist jedoch keine praktikable Lösung für uns. 

Gibt es eine andere Möglichkeit den User zu Verifizieren ohne vorherigen Zugriff auf das LAN1? 

z.B. Kerberos? wie läuft hier die Verifizierung ab? Leitet die Sophos anfragen ohne Beachtung der FW-Regeln an den Domaincontroller zur Abfrage weiter? 

Danke euch schonmal 

Gruß Dome  



This thread was automatically locked due to age.
  • 0

    Warum kann das STAS nicht abbilden? Du kannst im STAS konfigurieren, welche Netze überprüft werden sollen. 

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Weil der Nutzer sich auf dem LAN2 nicht am AD (LAN1) Anmelden kann ohne das die Firewall den User zuvor Authentifiziert. 

    Somit wird im AD kein Eventlog erzeugt. 

  • 0 in reply to Dome

    Dann wird auch Kerberos nicht funktionieren. Also im Grunde brauchst du so etwas wie Hotspot/Captive Portal, auch wenn ich den Use Case nicht so ganz verstehe. Unser Endpoint würde das auch SSO machen können. 

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Hintergrund zum Use Case. 

    LAN 2 bildet ein WLAN-Netzwerk (Unifi) ab, hier können Sich Benutzer mittels RADIUS einwählen, jedoch dürfen nicht alle Nutzer die mit dem WLAN (LAN2) verbunden sind auf das LAN1 zugreifen, sondern eben nur die User die sich am AD (LAN1) Angemeldet haben. Somit soll eine Trennung von AD-Benutzern und nicht AD-Benutzer umgesetzt werden. 

    Captiv Portal wäre auch ok, jedoch öffnet sich das Portal nicht selbständig, da der Zugriff von LAN2 auf WAN ohne Authentifizierung freigegeben ist.

    Heartbeat funktioniert, jedoch haben nicht alle Clients eine Intercept x 

  • 0 in reply to Dome

    Du solltest das Segmentieren: Das WLAN Netz sollte zwei VLANs abbilden: Intern und Extern. 

    __________________________________________________________________________________________________________________

  • 0

    Hallo Dome,
    hast du mal geprüft ob es eine Lösung für dich wäre einen RODC im LAN2 zu positionieren. Der RODC repliziert sich mit dem Main-DC, somit hast du alle AD-Benutzer synchron. Dann das STAS auf den RODC + DC installieren. In der Firewallregel Zwischen LAN1 und LAN2 erlaubst du nur die Kommunikation zwischen DC und RODC.

    PS: Ich denke du weißt das eh, aber als Hinweis. Du musst die Standorte auf DC und RODC entsprechend konfigurieren.

    Viele Grüße Patrick

Unfiltered HTML