Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Benutzer Authentifizierung

Hallo zusammen, 

ich bin auf der Suche nach einer Möglichkeit Benutzer zu Authentifizieren die auf eine AD-Netzwerk zugreifen möchten. 

Szenario: 

LAN 1 - 192.168.112.0 hier sitzt der Domaincontroller mit AD 

LAN 2 - 192.168.110.0 Netzwerk mit WAN zugriff. 

bevor die Benutzer aus dem LAN 2 auf das LAN 1 zugreifen dürfen sollen Sie sich an der Firewall als AD-User verifizieren. 

im LAN 2 sind AD-User und Fremduser nur die AD-User sollen zugriff auf LAN 1 erhalten.

Sophos STAS ist lauffähig und verifiziert zuverlässig User im LAN1 bedingt durch den fehlenden Zugriff von LAN2 auf LAN1 

kann STAS die User aus LAN2 nicht verifizieren. 

Mit dem Client Authentication Agent funktioniert das vorhaben, dies ist jedoch keine praktikable Lösung für uns. 

Gibt es eine andere Möglichkeit den User zu Verifizieren ohne vorherigen Zugriff auf das LAN1? 

z.B. Kerberos? wie läuft hier die Verifizierung ab? Leitet die Sophos anfragen ohne Beachtung der FW-Regeln an den Domaincontroller zur Abfrage weiter? 

Danke euch schonmal 

Gruß Dome  



This thread was automatically locked due to age.
Parents Reply Children
  • Weil der Nutzer sich auf dem LAN2 nicht am AD (LAN1) Anmelden kann ohne das die Firewall den User zuvor Authentifiziert. 

    Somit wird im AD kein Eventlog erzeugt. 

  • Dann wird auch Kerberos nicht funktionieren. Also im Grunde brauchst du so etwas wie Hotspot/Captive Portal, auch wenn ich den Use Case nicht so ganz verstehe. Unser Endpoint würde das auch SSO machen können. 

    __________________________________________________________________________________________________________________

  • Hintergrund zum Use Case. 

    LAN 2 bildet ein WLAN-Netzwerk (Unifi) ab, hier können Sich Benutzer mittels RADIUS einwählen, jedoch dürfen nicht alle Nutzer die mit dem WLAN (LAN2) verbunden sind auf das LAN1 zugreifen, sondern eben nur die User die sich am AD (LAN1) Angemeldet haben. Somit soll eine Trennung von AD-Benutzern und nicht AD-Benutzer umgesetzt werden. 

    Captiv Portal wäre auch ok, jedoch öffnet sich das Portal nicht selbständig, da der Zugriff von LAN2 auf WAN ohne Authentifizierung freigegeben ist.

    Heartbeat funktioniert, jedoch haben nicht alle Clients eine Intercept x 

  • Du solltest das Segmentieren: Das WLAN Netz sollte zwei VLANs abbilden: Intern und Extern. 

    __________________________________________________________________________________________________________________