Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 1 subscriber
  • Views 6090 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Proxy - Drei Gruppen anlegen

malta
Hallo zusammen,

wir haben die Astaro GW 7.506 im Einsatz bzw. sind noch mitten in der Konfiguration. Die Astaro soll später erstmal unseren alten VPN Router ersetzen, d.h. die Nullroute unseres Gateways (ein Dlink Layer 3 Switch) zeigt später auf die Astaro.

Wir möchten unseren bisherigen Squid ablösen und die Proxy Funktion der Astaro nutzen. Unter Benutzer/Authentifizierung habe ich zwei Server hinzugefügt:

a) adirectory  
und
b) ldap

Beide Zugriffsmöglichkeiten funktionieren, der Test der Servereinstellungen wird aktzeptiert. Was für Vorteile mir SSO bringen soll, muss ich noch nachlesen. Aber das ist jetzt eher sekundär.

Auf geht es zum Punkt "Web Security / HTTP/S":
Bei zugelassene Netzwerke habe ich unser internal network hinzugefügt, der Betriebsmodus ist momentan auf "transparent mit Authentifizierung" eingestellt. Hintergrund ist der, dass wir möglichst nichts an den Clients einstellen wollen, d.h. die Proxy Einstellungen wollen wir nicht via gpo oder manuell den Clients einfügen. Benutzer/Gruppen habe ich auf unserem AD angelegt:

a) restriktiv
b) nicht restriktiv
c) special

Diese "Gruppen" kann ich auch in der Astaro auswählen.

Bei HTTP/S-Profile habe ich drei Proxy Profile:

a) restriktiv
b) nicht restriktiv
c) special

Filterzuweisungen habe ich drei Arten:

a) restriktiv
b) nicht restriktiv
c) special

und Filteraktionen ebenfalls:

a) restriktiv
b) nicht restriktiv
c) special

Der restriktive Zugang klappt ziemlich gut. Wir habe ca. 40 URLs importiert und nur die AD-User, die sich in der Grußße restriktiv befinden, können diese 40 URLs aufrufen. Alles andere wird blockiert.

Nun habe ich aber auch einige User (nicht restriktiv), die einen Vollzugriff erhalten sollen. Wie stelle ich das genau ein? Darüberhinaus gibt es noch die dritte Gruppe "special", das sind einige Server, die 2 oder 3 URLs aufrufen dürfen. Bei der Gruppe "special" möchte ich aber mit IP Adressen arbeiten,  nicht mit AD-Anmeldenamen.

Gibt es hier ein paar Tipps oder steht eine detaillierte Anleitung für den Proxy zur Verfügung, insbesondere dann, wenn man verschiedene Gruppen definieren möchte?

Herzlichen Dank für die Unterstützung.
malta


This thread was automatically locked due to age.
  • 0
    Hi,

    gibts: https://support.astaro.com/support/index.php/ASGV7_HTTP_Profiles_Guide_EN_-Active_Directory

    Ein Wort vorneweg: Proxy Profile sind die Quellnetze. Hier gilt: first match! Sprich, nur ein Proxy Profil pro Quellnetzwerk definieren. Dann hier zwei Filterzuweisungen (restriktiv, nicht restriktiv) machen und nicht restriktiv nach oben packen. Dann hier auf die Usernamen triggern und restriktiv als fallback action definieren.

    Für Special: zweites Proxyprofil mit den spezifischen IPs angeben, dieses vor das andere Profil packen. Ich empfehle Dir einfach als "Quellnetzwerk" Hostnetze zu nehmen: ich bin gerade überfragt, ob Du hier auch ne Network Group angeben kannst, in der die IP Adressen zu finden sind.


    HTH
    Christian
  • 0
    @christianlouis 

    besten Dank für die schnelle Hilfe. Die Anleitung ist ziemlich gut!

    "Restriktiv" und "nicht restriktiv" anhand der AD Gruppen funktioniert tadellos. Das "Special" werde ich mir heute noch vornehmen, das wird schon. Zwei Fragen habe ich aber noch:

    1) Bei meinem Proxy Profil steht in den filter assigments "nicht restriktiv", "restriktiv" und "default content filter pofile assigment". Als "Fallback action" habe ich in den "filter actions" noch eine "block all" hinzugefügt.

    Wo kann ich die "default content filter profile assigment" Einstellung sehen und auch ändern?


    2) den Operation Mode meines Proxy bei "web security - HTTP/S" habe ich auf "transparent with authentication" gesetzt. Die Gründe habe ich ja oben schon genannt. Die Nullroute unseres Gateway zeigt ja später auf die Astaro, d.h. der Operation Mode "transparent with authentication" funktioniert auch in dieser Konstellation? Ist das korrekt? Ich muss also keine Proxy Einstellungen bei den Clients vornehmen?

    Momentan hängt unsere Astaro einfach nur in unserem LAN und ich teste die Proxy Einstellungen mit Firefox, dem ich manuell die IP der Astaro in den Proxy Einstellungen zugewiesen habe. Das soll später natürlich ohne jegliche Eingriffe im Browser funktionieren.

    Herzlichen Dank!
    Gruß,
    malta
  • 0 in reply to malta
    @christianlouis 

    die "special" Variante habe ich nun auch konfiguriert. Läuft super! Zwei Server, zwei IP Adressen und eine dafür vorgesehene white-list mit einer Handvoll URLs. 

    Ich bin sehr zufrieden. 3 Gruppen im Proxy, 2 davon via Active Directory, eine Gruppe anhand IP Adressen. Perfekt!

    Jetzt beschäftige ich mich mit der VPN Einwahl. Fragen folgen ;-)
  • 0
    Ich habe heute den Proxy mit zwei AD User getestet, die unterschiedliche Rechte besitzen. Einer hat einen restriktiven Zugang (User A), der zweite User einen nicht restriktiven Zugang (User B). 

    Wir haben Workstations, die von mehreren User genutzt werden. Meldet sich User A an der Workstation (d.h. an der Domäne) an, öffnet den Browser, gibt sein Benutzernamen und Passwort bei "authenication required" an, dann hat dieser einen restriktiven Zugang. Sehr gut.

    Meldet sich nun User A ab und User B meldet sich sofort danach an der selben Workstation an, dann hat User B ebenfalls einen restriktiven Zugang? Es erscheint für User B auch kein Anmeldefenster (authentication required, please login your username and password).

    Es scheint so, als ob User B noch mit dem "User A Filter" surft.

    Das ist natürlich ärgerlich. Woran liegt es? Hat jemand darauf eine Antwort?



    P.S.
    Der "Authentication timeout" ist auf 600s gesetzt. Aber das hat ja mit meinem Problem nichts zu tun.
  • 0
    Genau das hat mit Deinem Problem zu tun.
    Nach Schließen des Popups wird die Session weitere 600s by default dem angemeldeten Nutzer zugeordnet. Wenn Du diesen Wert runtersetzt (bspw. auf 10s) sollte das Problem nicht auftauchen; Neuanmeldung ist auch solang das Popup auf ist, nicht nowendig.

    Einziger Umweg: Dein so "verhasstes" GPO Setting nutzen und AD SSO nutzen. Spart auch die Passworteingabe.
  • 0
    Hallo,

    besten Dank nochmals für die Tipps. Ich werde dann wohl doch die GPO Settings nutzen. 
    Bei der Authentifizierung wollte ich heute SSO aktivieren, leider aber erhalte ich die Meldung:

    "Domänenbeitritt fehlgeschlagen"

    Ich habe unter der Rubrik "Benutzer/Authentifizierung/Single Sign On" unsere Domäne angegeben, unseren AD-Server angegeben (wird unter Networks auch angezeigt, konnte ich auswählen), den Admin Benutzername + Passwort eingetragen und alles bestätigt.

    Es kommt immer und immer wieder "Domänenbeitritt fehlgeschlagen". 

    Gibt es irgendwelche gute Infos, was hier noch zu beachten ist? Besten Dank für die Hilfe!

    EDIT:

    DNS habe ich gerade getestet. Über Support/Tools/Ping wird unser AD-Server (Hostname) auch aufgelöst. Das klappt also, aber der Domänenbeitritt will einfach nicht funktionieren.
  • 0
    @tov

    das wurde alles bereits beachtet. Trotzdem danke.

    Hab es aber jetzt herausgefunden und es ist mir auch ein Stück weit peinlich ;-)

    Der Hostname der Astaro war unvollständig, d.h. die Domain hatte am Ende gefehlt. Dem Namen habe ich nun unsere Domain(.local) hinzugefügt, und SSO hat sofort funktioniert.
  • 0
    @christianlouis  

    Da SSO nun bei mir funktioniert und die User nicht mehr extra ihre Benutzerdaten in der Anmeldemaske eingeben müssen, stellt sich mir nur noch die Frage, wie das genau mit dem "Authentication Code" abläuft.

    Diese 240 Sekunden, die momentan eingestellt sind, werden jetzt auch noch genutzt? Das heißt, alle 240 Sekunden wird via SSO gecheckt, welcher AD User gerade angemeldet ist? Da wir User mit unterschiedlichen Rechten haben (Vollzugriff, restriktiv, etc.), die sich an- und abmelden, die Workstation wechseln, dann könnte praktisch ein restriktiver User innerhalb der 4 Minuten sich gleich neu anmelden und hat dann noch für die restliche Zeit vollen Zugang, wenn der Vorgänger an der Workstation volle Rechte hatte?

    Ist das ein "performance-problem", wenn ich den Authentication Timeout auf 60 Sekunden setze?

    Vielen Dank für die Antwort.
  • 0
    Hi Malta,

    Authentication Timeout greift nur für Transparent Mode, nicht für AD SSO. Hier wird mit jeder Browseranfrage via NTLM / Kerberos das "Passwort" (vereinfacht gesagt) mitgeschickt. Daher solltest Du nicht in die von Dir beschriebenen Probleme reinlaufen.

    LG
    Christian