Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 1 subscriber
  • Views 4432 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Proxy Profile - Verständnisfrage bzw. was sagt Ihr dazu?

testosteron
Hallo!

Ich kämpfe immer noch mit den perfekten Proxy Einstellungen, die absolut jedes Gerät frisst [:)] Und da ich mittlerweile echt an mir zweifele wollte ich mal Eure Meinung hören zu folgender Einrichtung hören.

Alle Clients werden per WPAD konfiguriert und bekommen als Proxy den DNS (viruswall.domain.local) Namen der Firewall übergeben.

Unter Web Protection -> Webfilter sind alle Netze zugelassen, der Proxy läuft im transparenten Modus mit Browser Authentifizierung (dient ja, meines Wissens nach als Default bzw. Fall-Back- Regel??).

Unter Webfilter-Profile habe ich drei Profile, jeweils für alle Netze, eingerichtet:
1) Betriebsmodus: Standard, Authentifizierung: Active Directory SSO
2) Betriebsmodus: Standard, Authentifizierung: Einfache Benutzerauthentifizierung
3) Betriebsmodus: Transparent, Authentifizierung: Browser

Jetzt müsste es doch so sein dass alle Rechner in der Domain schon mit Profil 1 abgearbeitet werden könnten.
Wenn Profil 1 fehlschlägt, müsste ein Login Fenster vom Browser erscheinen, bei dem man sich dann mit seinen Zugangsdaten anmeldet.
Und wenn der Client die Autoconfig Datei nicht mag, schaltet sich Profil 3 im transparenten Modus dazwischen.

Oder habe ich da einen Denkfehler bei?

Grüße

Christian


This thread was automatically locked due to age.
Parents
  • 0
    Auch hier gilt, die Regeln werden von oben nach unten abgearbeitet und die First Matching Rule wird verwendet. Unter Webfilter-Profile - Übersicht ist es ja auch schön dargestellt.

    Die Fall-Back Aktion definierst du dann im Proxy-Profile.

    Hast du ein generelles Authentifizierungsproblem?
    Kann deine UTM überhaupt Anfragen an das AD weiterleiten und bekommt eine Antwort?
    Definitionen & Benutzer - Server und Single Sign-On muss natürlich konfiguriert sein.

    Nice greetings
  • 0 in reply to GuyFawkes
    Also doch mehrere Profile pro Subnet, und dass was als erstes Passt wird verwendet?! [:S]

    Authentifizierung klappt wunderbar! Das nicht das Problem!
    "Problem" welches ich habe ist dass ich gerne Port 443 über den Proxy schleusen würde, was der transparente Modus aber nicht unterstützt.
    Deswegen meine Idee:
    1) Proxy wird erkannt -> SSO geht -> Alles super!
    2) Proxy wird erkannt -> SSO geht nicht -> Benutzer muss manuell seine Daten angeben -> Alles super!
    3) Proxy wird NICHT erkannt -> Transparenter Modus wird verwendet -> Surfen geht nur auf normalen HTTP Seiten (kein HTTPs)


    Zur Authentifizierung bzw. Gruppenzuordnung hätte ich auch noch ne Frage, aber dafür gibt's die Tage einen neuen Post. Sonst wird es zu unübersichtlich [:)]

    Grüße

    Christian
  • 0 in reply to testosteron
    Das Auth-Popup sollte nur erscheinen, wenn mit dem SSO etwas nicht funktioniert (da ja als Fallback eingestellt).
    Wenn das gesamte Profil (z.B. für dieses Subnet oder zumindest für eine Gruppe von Hosts) nicht greift, würde er auf das globale (General) Profil zurückfallen und wenn auch hier nichts hinhaut (User kennt Logindaten nicht) dann = block.

    Es klingt wirklich so, als wenn deine ADS-Auth bzw. SSO nicht funktioniert. Normalerweise funzt das für der UTM bekannte (Backend-Synced) User wunderbar.

    Manue
  • 0 in reply to ManuelKarl
    Doch das SSO usw. klappt wunderbar!
    Clients die SSO können (sind ja nur diejenigen die in der Domain sind) authentifizieren sich auch via SSO!
    Auch die "Einfache Benutzerauthentifizierung" klappt super! Und auch über den Browser ist das Anmelden kein Problem! (wenn ich es nach und nach manuell teste)

    Noch mal erklärt was ich gerne hätte: Alle drei Authentifizierungsmethoden sollen nacheinander versucht werden.
    So hätte ich es gerne:
    Client versucht sich über SSO zu authentifizieren:
    Möglichkeit 1: Klappt -> SUPER!
    Möglichkeit 2: Geht nicht -> Client versucht sich über "Einfache Benutzerauthentifizierung" anzumelden:
    Möglichkeit 1: Klappt -> SUPER!
    Möglichkeit 2: Client erkennt den Proxy nicht -> Transparenter Modus greift.


    So ist es momentan:
    Client versucht sich über SSO zu authentifizieren:
    Möglichkeit 1: Klappt -> SUPER!
    Möglichkeit 2: Geht nicht -> Authentifikation Error!


    Ich habe zum Testen ein Client aus dem WLAN Netz genommen, der nicht in der Doamain ist.
    Wenn ich im FireFox keinen Proxy eintrage kommt die Browser Authentifizierung. Wenn ich mich da anmelde kann ich surfen, nur keine HTTPS Seiten aufrufen. Ist OK so!

    Dann habe ich den Proxy eingetragen. Sowohl als IP als auch als DNS Name. Es kam sofort ein Authentifizierung Fehler von der ASTARO.
    Ist auf der einen Seite klar, da der Benutzer vom Client NICHT im Active Directory bekannt ist, und somit die Authentifizierung zwangsläufig fehlschlagen muss.
    Aber es kommt dann keine Abfrage von Benutzername und Kennwort.

    Also die Fallback Option greift nicht!

    Grüße!
  • 0 in reply to testosteron
    Hi, ich habe das eben mal nachgestellt da wir ein ganz ähnliches Konstrukt einsetzen.

    #1 User in Domäne + Proxy = OK
    #2 User in Domäne kein Proxy = Astaro Website (Authentification required)
    #3 User nicht in Domäne kein Proxy = Astaro Website (Authentification required)
    #4 User nicht in Domäne + Proxy = verbindung herstellen mit "Firewall" Fenster mit Username Password abfrage erscheint

    Unter Webfilter habe ich Transparenzmodus & Authentifizierungsmodus Browser, zugelassene Benutzer Astaro Lokale (für Gastzugang).

    Im Webfilter profil habe ich 1. AD-Gruppe-Strict -> 2. AD-Gruppe-Standard 3. AD-Gruppe-Full -> 4. Standard-Filterzuweisung | Ersatzaktion: default content filter block action | Betriebsmodus: Transparent | Auth.-Methode: Browser


    Cu, Abyss_X
Reply
  • 0 in reply to testosteron
    Hi, ich habe das eben mal nachgestellt da wir ein ganz ähnliches Konstrukt einsetzen.

    #1 User in Domäne + Proxy = OK
    #2 User in Domäne kein Proxy = Astaro Website (Authentification required)
    #3 User nicht in Domäne kein Proxy = Astaro Website (Authentification required)
    #4 User nicht in Domäne + Proxy = verbindung herstellen mit "Firewall" Fenster mit Username Password abfrage erscheint

    Unter Webfilter habe ich Transparenzmodus & Authentifizierungsmodus Browser, zugelassene Benutzer Astaro Lokale (für Gastzugang).

    Im Webfilter profil habe ich 1. AD-Gruppe-Strict -> 2. AD-Gruppe-Standard 3. AD-Gruppe-Full -> 4. Standard-Filterzuweisung | Ersatzaktion: default content filter block action | Betriebsmodus: Transparent | Auth.-Methode: Browser


    Cu, Abyss_X
Children
  • 0 in reply to Abyss_X
    Verstehe ich das richtig:

    Client-PC/Notebook ist Domänencomputer.
    Domänenuser meldet sich an, kann surfen (SSO, standardmodus, Proxy via GPO mitgeteilt o.ä.).
    Nichtdomänenuser meldet sich (lokal) am PC/NB an, kriegt Block-Seite der UTM oder weitere Möglichkeit der Authentifizierung (Maske/Browser)?
  • 0 in reply to Abyss_X
    Hey Abyss_X!

    Du hast überall nur den Transparenten Modus, und trotzdem geht SSO?

    Bei mir frisst der Browser die Ersatzaktion nicht. Habe es auch extra an mehreren Rechnern versucht.
    Ist der Browser angewiesen einen Proxy zu verwenden (egal ob manuell, oder per WPAD) und in dem Subnetz gibt es ein Proxy Profil mit SSO, ist genau dann Schluss wenn der Browser sich nicht authentifizieren kann.
    Es wird keine Anmeldemaske des Browsers angezeigt, sondern nur eine Fehlermeldung [:(]


    Verstehe ich das richtig:

    Client-PC/Notebook ist Domänencomputer.
    Domänenuser meldet sich an, kann surfen (SSO, standardmodus, Proxy via GPO mitgeteilt o.ä.).
    Nichtdomänenuser meldet sich (lokal) am PC/NB an, kriegt Block-Seite der UTM oder weitere Möglichkeit der Authentifizierung (Maske/Browser)?

    Ja, so schaut es!
  • 0 in reply to testosteron
    Mir ist grade noch was eingefallen:

    Meine Überlegung war ja wenn das SSO nicht klappt geht er auf das Default Profil zurück.

    ABER: Der Browser soll (entweder per GPO oder WPAD festgelegt) den Proxy verwenden. Das Default Profil ist aber Transparent!! Kann ja nicht gehen. Oder?!

    Meine Überlegung nun:
    Als Fallback Proxy im Standard Modus mit Einfacher Benutzerauthentifizierung.

    2 Profile:
    1) Proxy im Standard Modus mit SSO
    2) Transparent mit Browser Authentifizierung
    jeweils für alle Netze


    Überlegung:
    Client ist für Proxy eingestellt -> Profil 1 greift (SSO) -> OK!
    Falls Profil 1 fehl schlägt greift Fallback Regel -> Einfache Benutzerauthentifizierung -> OK
    Client kennt keinen Proxy -> Profil 2 greift (Transparenter Proxy mit Browser Authentifizierung)

    Oder habe ich schon wieder ein Denkfehler?!
  • 0 in reply to testosteron
    Hi testosteron, im lan habe ich unter den Proxy Profilen Standard AD-SSO und im Webfilter Transparent Browser.

    Ausschließlich im Gast WLAN hab ich Transparent Browser im Proxy Profil da das ein anderes Subnetz ist, bin um ein Profil verrutscht.

    Cu, Abyss_X
Cookie Information Banner