Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 2503 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

HTTP-Profile wenn kein Proxy im Browser eingestellt ist

Giro
Hallo zusammen,

endlich habe ich wieder ein wenig Zeit mich der Konfiguration unserer Astaros zu widmen und bin auf ein kleines Problem gestoßen.

Wir haben nur ein Netzwerk eingerichtet in der Astaro und der Betriebsmodus ist Active-Directory SSO.
Ich habe das Standard-Profil so eingestellt, dass alle Seiten geblockt werden.

Dann habe ich im AD zwei Gruppen angelegt, eine Standard, eine Bevorzugt. Bei der Standard sind viele Seiten gesperrt, bei der Bevorzugt etwas weniger.

Die Astaro ist gleichzeitig auch das Default-Gateway.

Wenn ich jetzt in den Browsern die Astaro als Proxy eintrage funktioniert alles wunderbar und auch die Profile funktionieren.

Sobald ich aber den Proxy komplett im Browser entferne, kann jeder auf alle Seiten surfen, was natürlich so nicht gedacht ist.

Wo kann ich das in der Astaro einstellen, dass die Websecurity immer erzwungen wird? Geht das überhaupt?

Andere Möglichkeit wäre natürlich den Proxy über eine GPO zu erwingen, nur werden gerade in unserer Abteilung sehr viele verschiedene Browser benutzt was natürlich dein ein sehr hoher Aufwand wäre. Vorausgesetzt man kann mittlerweile bei allen Browsern diese Einstellungen überhaupt erzwingen.

Ich hoffe hier kann mir da jemand weiterhelfen.

Vielen Dank im Voraus.

Giro


This thread was automatically locked due to age.
  • 0
    Hi Giro,

    Blockiere den Webzugang per Paketfilterregel, dann geht auch kein Surfen ohne Proxy mehr.

    Christian
  • 0 in reply to christianlouis
    Hallo christianlouis,

    vielen Dank, das funktioniert super. :-)

    Gruß
    Marcel
  • 0
    Hallo,

    leider funktioniert es doch nicht ganz zu 100%. Und zwar haben wir ein paar Probleme mit kleineren Programmen die trotz Einstellungen des Proxy-Servers nicht funktionieren so lange der Paketfilter aktiv ist.

    Zwei Programme die bisher aufgefallen sind:

    Free Monitor for Google
    Google Adwords Editor

    Bei beiden kann man zwar einen Proxy angeben aber es hat keinerlei Auswirkungen und es kommt immer nur HTTP-Proxy Fehler.

    Im Livelog sieht das folgendermaßen aus:

    2010:05:21-08:51:04 astaro-1 httpproxy[7821]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="192.168.100.232" user="X.***" statuscode="200" cached="0" profile="REF_cBlzepKtKd (Internet)" filteraction="REF_NcYgwUdtdo (Offen)" size="7933" time="208474 ms" request="0xb29a0da8" url="ssl.google-analytics.com/" exceptions="" error="" category="178" reputation="neutral" categoryname="Internet Services" 

    Dabei wundert mich die sehr hohe Zeitangabe bei time"208474ms". Dies kommt bei allen Einträgen die scheinbar geblockt werden.

    Ist so ein Problem bekannt oder machen wir irgendwas falsch? Kann man eventuell wiederum Ausnahmen zu dem Paketfilter hinzufügen?

    Gruß
    Giro
  • 0 in reply to Giro
    Hallo noch mal,

    ok am Paketfilter liegt es doch nicht. Es ist egal ob dieser ein- oder ausgeschaltet ist. Wenn er ausgeschaltet ist und kein Proxy in den Programmen angegeben wurde, funktioniert es natürlich.

    Die Frage ist jetzt, was man machen kann damit unsere Tools die per Proxy ins Internet gehen, auch problemlos ins Internet kommen.

    Heute ist von unseren Programmierern noch eins dazu gekommen welches auch, laut Doku, eine Proxy-Anmeldung erlaubt. Leider funktioniert es dort auch nicht.

    Kann es sein, dass es am Modus "Active Directory SSO" liegt? Wenn ich, in dem Reiter Erweitert unter Transparenzmodus-Ausnahme die betroffenen Rechner hinzufüge, funktionieren die Programme, obwohl diese Ausnahmeliste ja nur greifen soll wenn wir den Transparenzmodus nutzen, was wir aber gar nicht machen.

    Habt ihr eine Idee?

    Vielen Dank im Voraus.
  • 0
    Ja, AD SSO funktioniert nur dann, wenn der Browser dies unterstützt. Das ist bspw.  bei IE und Firefox gegeben. bei Opera aber nicht.
    Daher für solche Fälle einen service user definieren, der in den entsprechenden Proxykonfigurationen angegeben wird.

    Alternativ exceptions für die Zieldomains, die Authentication nicht prüfen definieren.

    HTH
    Christian
  • 0 in reply to christianlouis
    Ja das AD-SSO nur beim IE und FF funktioniert hatte ich schon gelesen. Beim Opera ist es im Moment so, dass der nach Benutzername und Kennwort fragt und dann auch funktioniert wenn man diese eingibt.

    Das Problem sind eher die Programme die nicht funktionieren. In den Programmen selbst kann man Proxy-IP, Port, Benutzername und Kennwort angeben aber selbst wenn wir alles angeben, funktioniert es nicht.

    Liegt das auch am AD-SSO und wenn ja, kann man das umgehen oder müssen wir notgedrungen auf einen anderen Betriebsmodus wechseln?

    Problem ist, dass unser Chef es gerne hätte, dass man keinen Benutzernamen und Kennwort eingeben muss um ins Internet zu kommen.

    Gruß
    Giro
  • 0 in reply to Giro
    Hallo,

    also ich hab es jetzt mal nach deinem Vorschlag versucht, die Seiten, die von den Programmen aufgerufen werden, mit einer Ausnahme von der Authentifizierung auszuschließen. In dem Fall war es eigentlich nur alle Subdomains von google.de und google.com.

    Seitdem laufen die beiden oben genannten Programme einwandfrei.

    Das dritte dürfte schwieriger werden, da sich die Ziel-URL öfters ändert. Aber da muss ich mal mit dem Programmierer sprechen was das Programm genau macht.

    Vielen Dank schon mal für die Hilfe.

    Gruß
    Giro