Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 1 subscriber
  • Views 6090 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Proxy - Drei Gruppen anlegen

malta
Hallo zusammen,

wir haben die Astaro GW 7.506 im Einsatz bzw. sind noch mitten in der Konfiguration. Die Astaro soll später erstmal unseren alten VPN Router ersetzen, d.h. die Nullroute unseres Gateways (ein Dlink Layer 3 Switch) zeigt später auf die Astaro.

Wir möchten unseren bisherigen Squid ablösen und die Proxy Funktion der Astaro nutzen. Unter Benutzer/Authentifizierung habe ich zwei Server hinzugefügt:

a) adirectory  
und
b) ldap

Beide Zugriffsmöglichkeiten funktionieren, der Test der Servereinstellungen wird aktzeptiert. Was für Vorteile mir SSO bringen soll, muss ich noch nachlesen. Aber das ist jetzt eher sekundär.

Auf geht es zum Punkt "Web Security / HTTP/S":
Bei zugelassene Netzwerke habe ich unser internal network hinzugefügt, der Betriebsmodus ist momentan auf "transparent mit Authentifizierung" eingestellt. Hintergrund ist der, dass wir möglichst nichts an den Clients einstellen wollen, d.h. die Proxy Einstellungen wollen wir nicht via gpo oder manuell den Clients einfügen. Benutzer/Gruppen habe ich auf unserem AD angelegt:

a) restriktiv
b) nicht restriktiv
c) special

Diese "Gruppen" kann ich auch in der Astaro auswählen.

Bei HTTP/S-Profile habe ich drei Proxy Profile:

a) restriktiv
b) nicht restriktiv
c) special

Filterzuweisungen habe ich drei Arten:

a) restriktiv
b) nicht restriktiv
c) special

und Filteraktionen ebenfalls:

a) restriktiv
b) nicht restriktiv
c) special

Der restriktive Zugang klappt ziemlich gut. Wir habe ca. 40 URLs importiert und nur die AD-User, die sich in der Grußße restriktiv befinden, können diese 40 URLs aufrufen. Alles andere wird blockiert.

Nun habe ich aber auch einige User (nicht restriktiv), die einen Vollzugriff erhalten sollen. Wie stelle ich das genau ein? Darüberhinaus gibt es noch die dritte Gruppe "special", das sind einige Server, die 2 oder 3 URLs aufrufen dürfen. Bei der Gruppe "special" möchte ich aber mit IP Adressen arbeiten,  nicht mit AD-Anmeldenamen.

Gibt es hier ein paar Tipps oder steht eine detaillierte Anleitung für den Proxy zur Verfügung, insbesondere dann, wenn man verschiedene Gruppen definieren möchte?

Herzlichen Dank für die Unterstützung.
malta


This thread was automatically locked due to age.
Parents
  • 0
    @christianlouis  

    Da SSO nun bei mir funktioniert und die User nicht mehr extra ihre Benutzerdaten in der Anmeldemaske eingeben müssen, stellt sich mir nur noch die Frage, wie das genau mit dem "Authentication Code" abläuft.

    Diese 240 Sekunden, die momentan eingestellt sind, werden jetzt auch noch genutzt? Das heißt, alle 240 Sekunden wird via SSO gecheckt, welcher AD User gerade angemeldet ist? Da wir User mit unterschiedlichen Rechten haben (Vollzugriff, restriktiv, etc.), die sich an- und abmelden, die Workstation wechseln, dann könnte praktisch ein restriktiver User innerhalb der 4 Minuten sich gleich neu anmelden und hat dann noch für die restliche Zeit vollen Zugang, wenn der Vorgänger an der Workstation volle Rechte hatte?

    Ist das ein "performance-problem", wenn ich den Authentication Timeout auf 60 Sekunden setze?

    Vielen Dank für die Antwort.
Reply
  • 0
    @christianlouis  

    Da SSO nun bei mir funktioniert und die User nicht mehr extra ihre Benutzerdaten in der Anmeldemaske eingeben müssen, stellt sich mir nur noch die Frage, wie das genau mit dem "Authentication Code" abläuft.

    Diese 240 Sekunden, die momentan eingestellt sind, werden jetzt auch noch genutzt? Das heißt, alle 240 Sekunden wird via SSO gecheckt, welcher AD User gerade angemeldet ist? Da wir User mit unterschiedlichen Rechten haben (Vollzugriff, restriktiv, etc.), die sich an- und abmelden, die Workstation wechseln, dann könnte praktisch ein restriktiver User innerhalb der 4 Minuten sich gleich neu anmelden und hat dann noch für die restliche Zeit vollen Zugang, wenn der Vorgänger an der Workstation volle Rechte hatte?

    Ist das ein "performance-problem", wenn ich den Authentication Timeout auf 60 Sekunden setze?

    Vielen Dank für die Antwort.
Children
No Data