Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 1890 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Generelle Frage zur Benutzerauthentifizierung

Corain
Hallo,

ich habe eine generelle Frage zur Benutzerauthentifizierung des ASG Proxy.

Konstellation/Voraussetzungen:
Wie schon in einem früheren Post einmal geschrieben, haben wir 3 Standorte mit jeweils einem ASG 110/120. Alle 3 Gateways sind per VPN untereinander verbunden.
An allen 3 Standorten sollen sich die Benutzer für den Web-Zugriff über den Browser mit einem Login anmelden müssen.

Soweit ich jetzt gelesen habe ist dafür wohl ein AD-Server die richtige Wahl, da dieser dann hier am Hauptstandort an der Astaro angeschlossen sein soll und sich alle Benutzer über diesen Server authentifiziern sollen.

Jetzt kommt jedoch das größte Problem, worüber ich nirgends etwas finden konnte:
Da dieser AD-Server extra nur für die Authentifizierung im Internet (bzw. an der Astaro) hängt, werden die Benutzer darin eigentlich auch nicht gepflegt, da sie ja eben nur dafür und nicht für eine aktive Domäne genutzt werden.
Um dieses System also praktikabel nutzen zu können, müsste es den Benutzern möglich sein, ihr Passwort direkt am Internet PC zu ändern. Ich dachte dies ginge vielleicht über dieses User-Portal, habe dazu aber nichts gefunden, deshalb gehe ich erst einmal davon aus, dass es nicht funktioniert.

Die zweite Frage wäre, ob der Aufwand mit dem W2K3-Server überhaupt notwendig wäre und man die User nicht vielleicht doch direkt auf der Astaro anlegen kann? Könnten dann alle anderen anderen Standorte ihr Benutzer über die eine Astaro an der Hauptstelle authentifizieren?

Es wäre nett wenn mir jemand eine Ressource zu diesem Problem nennen oder mir bei der grundsätzlichen Entscheidung helfen könnte.

Vielen Dank im Voraus.
Corain


This thread was automatically locked due to age.
  • 0
    Hi Corain,

    wie verwaltet Ihr denn Eure Rechner? Gibts da kein zentrales Benutzerverzeichnis (AD, eDirectory oder Ähnliches)? Welche Groupwarelösung nehmt Ihr denn und gibt es nirgends ein Ding in Eurer IT Umgebung, dass RADIUS, LDAP o.ä. sprechen kann?

    Am besten fängst Du mal an und beschreibst ein wenig, was neben den ASGs noch so bei Euch rumsteht.

    LG
    Christian
  • 0
    Hey Christian,

    schon mal vielen Dank dass Du fragst.
    Die Besonderheit bei uns ist, dass die Internet PCs allesamt standalone Geräte sind. Das Produktivnetz läuft separat und hat damit rein gar nichts zu tun.

    Im Detail sieht es so aus, dass wir pro Standort mehrere Internet PCs mit Windows XP haben, welche an einem Switch zusammenlaufen, welcher an eine Astaro angeschlossen ist und diese sich wiederum über ein ADSL-Modem einwählt.
    Du siehst also, dass es eigentlich ziemlich simpel ist, fast wie zu Hause :-)
    Die Computer hängen auch in keiner Domäne, da es keine Notwendigkeit dafür gibt, also nur Arbeitsgruppe ... Die Astaros sind dann über VPN IPSec miteinander verbunden.

    Das Problem was wir jetzt haben ist, dass wir für jeden Benutzer ein Login brauchen, damit nicht jemand unbekannterweise im Internet surfen und uns bzw. dem Vorstand rechtliche Probleme daraus entstehen können. Des Weiteren soll es möglich sein im Schadensfall nachzuvollziehen, wer wann auf welcher Seite gewesen ist. Ich vermute Du kannst Dir denken wie das mittlerweile in den Betrieben ist, denn im Endeffekt wäre (meines Wissens) der Vorstand dafür haftbar, wenn denn was passieren sollte.
    Außerdem macht mir mittlerweile die Innenrevision Druck, dass diese Benutzerauthentifizierung aktiviert wird.

    Nicht nur betriebsfremde Personen könnten ja theoretisch an so einem Internet PC Unfug veranstalten, sondern auch Reinigungskräfte o.ä..

    Im Grunde haben wir also in diesem Internet (und mehr ist es ja eigentlich nicht) keinerlei Server und hatten dort eigentlich auch keine geplant. So wie ich es aber jetzt verstanden habe ist eine AD Voraussetzung für eine Benutzerauthentifizierung. Mein Problem ist jetzt, festzustellen, welche Methode für uns geeignet wäre und wie die Benutzer dann ihr Kennwort automatisch ändern können. Wenn ich initial ein Passwort vergebe, sollten sie das natürlich nach erstmaliger Anmeldung ändern (die Funktion Kennwort bei Erstanmeldung ändern wäre aber keine Pflicht, das könnte man den Mitarbeitern einfach auferlegen, schön wäre es aber trotzdem).

    Im Grunde ist es einfach nicht wirtschaftlich hier alle Benutzer noch einmal anzulegen und deren Passwörter zu pflegen, oder wenn sie es vergessen haben es jedes Mal zu ändern. Die Mitarbeiter sind teilweise geographisch schon weiter entfernt und müssten ja dann zum Passwort ändern jedes Mal an die Hauptstelle und es dann bei einem Admin ändern (die Revision macht mir Probleme, wenn ich das Kennwort kenne ...)! Das ist also einfach keine Lösung.

    Hast Du vielleicht schon eine Idee?

    Gruß Corain
  • 0
    AD Server ist die beste Wahl wenn man Single-Sign On impementieren will, wann man aber darauf verzichten kann. Würde auch ein RADIUS Server gehen.

    Was sind die geneuen Anforderungen?
  • 0
    Also SSO kenn ich nur von unserem Produktivsystem und wenn es dasselbe macht, dann wäre es gerade nicht gewünscht, denn jeder Benutzer soll sich ständig neu anmelden am PC, da der PC von vielen MA benutzt wird.

    Ich weiß jetzt leider nicht, was Du mit genauen Anforderungen meinst, aber ich versuche es noch einmal genauer zu beschreiben:
    Wenn ein Mitarbeiter an den Internet PC kommt und versucht eine Website zu starten, soll ein Fenster mit Benutzereingaben aufpoppen und erst nach Eingabe seines Logins und seines Passwortes soll er den Browser benutzen können. Desweiteren sollen dann die besuchten Seiten zusammen mit seinem Login in der Astaro gespeichert werden.
    Sobald er den Internet PC verlässt soll er den Browser schließen und wenn der nächste MA kommt und den Browser wieder startet, soll auch dieser wieder sein Login eingeben.

    Am Anfang würde ich es so machen (so ist im Moment mein naiver Plan, vll geht es ja auch anders oder einfacher), dass ich alle Mitarbeiter mit einem speziellen Login entweder auf der Astaro oder eben in einer AD anlege und Ihnen ein Standardpasswort zuteile, den Benutzer aber standardmäßig erst einmal sperre.
    Sobald dann jemand kommt und Internet Zugang haben möchte (und natürlich die MA die mir bis jetzt schon bekannt sind), entsperre ich den User und fordere ihn auf sein Passwort zu ändern - und jetzt genau kommt das Problem:

    Wie ändert er das Passwort? Geht das überhaupt? Wenn ja wie?
    Und wenn er sein Passwort vergessen hat ... wie läuft es dann? Das ist für mich das große Rätsel

    Wäre nett wenn da jemand Tipps hätte, wie das zu realisieren ist.
  • 0 in reply to Corain
    kannst du nicht das "internet-netz" und das "Produktiv-netz" an einem punkt in verbindung bringen (an der astaro) und dort nur traffic astaro-DC durchlassen?
    dann kannst du doch die user-auth über das prod-ad laufen lassen, oder?