Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 1891 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Generelle Frage zur Benutzerauthentifizierung

Corain
Hallo,

ich habe eine generelle Frage zur Benutzerauthentifizierung des ASG Proxy.

Konstellation/Voraussetzungen:
Wie schon in einem früheren Post einmal geschrieben, haben wir 3 Standorte mit jeweils einem ASG 110/120. Alle 3 Gateways sind per VPN untereinander verbunden.
An allen 3 Standorten sollen sich die Benutzer für den Web-Zugriff über den Browser mit einem Login anmelden müssen.

Soweit ich jetzt gelesen habe ist dafür wohl ein AD-Server die richtige Wahl, da dieser dann hier am Hauptstandort an der Astaro angeschlossen sein soll und sich alle Benutzer über diesen Server authentifiziern sollen.

Jetzt kommt jedoch das größte Problem, worüber ich nirgends etwas finden konnte:
Da dieser AD-Server extra nur für die Authentifizierung im Internet (bzw. an der Astaro) hängt, werden die Benutzer darin eigentlich auch nicht gepflegt, da sie ja eben nur dafür und nicht für eine aktive Domäne genutzt werden.
Um dieses System also praktikabel nutzen zu können, müsste es den Benutzern möglich sein, ihr Passwort direkt am Internet PC zu ändern. Ich dachte dies ginge vielleicht über dieses User-Portal, habe dazu aber nichts gefunden, deshalb gehe ich erst einmal davon aus, dass es nicht funktioniert.

Die zweite Frage wäre, ob der Aufwand mit dem W2K3-Server überhaupt notwendig wäre und man die User nicht vielleicht doch direkt auf der Astaro anlegen kann? Könnten dann alle anderen anderen Standorte ihr Benutzer über die eine Astaro an der Hauptstelle authentifizieren?

Es wäre nett wenn mir jemand eine Ressource zu diesem Problem nennen oder mir bei der grundsätzlichen Entscheidung helfen könnte.

Vielen Dank im Voraus.
Corain


This thread was automatically locked due to age.
Parents
  • 0
    Hey Christian,

    schon mal vielen Dank dass Du fragst.
    Die Besonderheit bei uns ist, dass die Internet PCs allesamt standalone Geräte sind. Das Produktivnetz läuft separat und hat damit rein gar nichts zu tun.

    Im Detail sieht es so aus, dass wir pro Standort mehrere Internet PCs mit Windows XP haben, welche an einem Switch zusammenlaufen, welcher an eine Astaro angeschlossen ist und diese sich wiederum über ein ADSL-Modem einwählt.
    Du siehst also, dass es eigentlich ziemlich simpel ist, fast wie zu Hause :-)
    Die Computer hängen auch in keiner Domäne, da es keine Notwendigkeit dafür gibt, also nur Arbeitsgruppe ... Die Astaros sind dann über VPN IPSec miteinander verbunden.

    Das Problem was wir jetzt haben ist, dass wir für jeden Benutzer ein Login brauchen, damit nicht jemand unbekannterweise im Internet surfen und uns bzw. dem Vorstand rechtliche Probleme daraus entstehen können. Des Weiteren soll es möglich sein im Schadensfall nachzuvollziehen, wer wann auf welcher Seite gewesen ist. Ich vermute Du kannst Dir denken wie das mittlerweile in den Betrieben ist, denn im Endeffekt wäre (meines Wissens) der Vorstand dafür haftbar, wenn denn was passieren sollte.
    Außerdem macht mir mittlerweile die Innenrevision Druck, dass diese Benutzerauthentifizierung aktiviert wird.

    Nicht nur betriebsfremde Personen könnten ja theoretisch an so einem Internet PC Unfug veranstalten, sondern auch Reinigungskräfte o.ä..

    Im Grunde haben wir also in diesem Internet (und mehr ist es ja eigentlich nicht) keinerlei Server und hatten dort eigentlich auch keine geplant. So wie ich es aber jetzt verstanden habe ist eine AD Voraussetzung für eine Benutzerauthentifizierung. Mein Problem ist jetzt, festzustellen, welche Methode für uns geeignet wäre und wie die Benutzer dann ihr Kennwort automatisch ändern können. Wenn ich initial ein Passwort vergebe, sollten sie das natürlich nach erstmaliger Anmeldung ändern (die Funktion Kennwort bei Erstanmeldung ändern wäre aber keine Pflicht, das könnte man den Mitarbeitern einfach auferlegen, schön wäre es aber trotzdem).

    Im Grunde ist es einfach nicht wirtschaftlich hier alle Benutzer noch einmal anzulegen und deren Passwörter zu pflegen, oder wenn sie es vergessen haben es jedes Mal zu ändern. Die Mitarbeiter sind teilweise geographisch schon weiter entfernt und müssten ja dann zum Passwort ändern jedes Mal an die Hauptstelle und es dann bei einem Admin ändern (die Revision macht mir Probleme, wenn ich das Kennwort kenne ...)! Das ist also einfach keine Lösung.

    Hast Du vielleicht schon eine Idee?

    Gruß Corain
Reply
  • 0
    Hey Christian,

    schon mal vielen Dank dass Du fragst.
    Die Besonderheit bei uns ist, dass die Internet PCs allesamt standalone Geräte sind. Das Produktivnetz läuft separat und hat damit rein gar nichts zu tun.

    Im Detail sieht es so aus, dass wir pro Standort mehrere Internet PCs mit Windows XP haben, welche an einem Switch zusammenlaufen, welcher an eine Astaro angeschlossen ist und diese sich wiederum über ein ADSL-Modem einwählt.
    Du siehst also, dass es eigentlich ziemlich simpel ist, fast wie zu Hause :-)
    Die Computer hängen auch in keiner Domäne, da es keine Notwendigkeit dafür gibt, also nur Arbeitsgruppe ... Die Astaros sind dann über VPN IPSec miteinander verbunden.

    Das Problem was wir jetzt haben ist, dass wir für jeden Benutzer ein Login brauchen, damit nicht jemand unbekannterweise im Internet surfen und uns bzw. dem Vorstand rechtliche Probleme daraus entstehen können. Des Weiteren soll es möglich sein im Schadensfall nachzuvollziehen, wer wann auf welcher Seite gewesen ist. Ich vermute Du kannst Dir denken wie das mittlerweile in den Betrieben ist, denn im Endeffekt wäre (meines Wissens) der Vorstand dafür haftbar, wenn denn was passieren sollte.
    Außerdem macht mir mittlerweile die Innenrevision Druck, dass diese Benutzerauthentifizierung aktiviert wird.

    Nicht nur betriebsfremde Personen könnten ja theoretisch an so einem Internet PC Unfug veranstalten, sondern auch Reinigungskräfte o.ä..

    Im Grunde haben wir also in diesem Internet (und mehr ist es ja eigentlich nicht) keinerlei Server und hatten dort eigentlich auch keine geplant. So wie ich es aber jetzt verstanden habe ist eine AD Voraussetzung für eine Benutzerauthentifizierung. Mein Problem ist jetzt, festzustellen, welche Methode für uns geeignet wäre und wie die Benutzer dann ihr Kennwort automatisch ändern können. Wenn ich initial ein Passwort vergebe, sollten sie das natürlich nach erstmaliger Anmeldung ändern (die Funktion Kennwort bei Erstanmeldung ändern wäre aber keine Pflicht, das könnte man den Mitarbeitern einfach auferlegen, schön wäre es aber trotzdem).

    Im Grunde ist es einfach nicht wirtschaftlich hier alle Benutzer noch einmal anzulegen und deren Passwörter zu pflegen, oder wenn sie es vergessen haben es jedes Mal zu ändern. Die Mitarbeiter sind teilweise geographisch schon weiter entfernt und müssten ja dann zum Passwort ändern jedes Mal an die Hauptstelle und es dann bei einem Admin ändern (die Revision macht mir Probleme, wenn ich das Kennwort kenne ...)! Das ist also einfach keine Lösung.

    Hast Du vielleicht schon eine Idee?

    Gruß Corain
Children
No Data