Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 2974 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Packet Filter Rules Based Upon Active Directory User/Group

blackpenk
Hi,

Im new to the forums and have been reading over the past couple of weeks and have now come up with a question that i havent seen asked before so here goes.

We have the ASG installed on a Dell R610 with 8 NICS

4 of the NICS are used for the WAN Connections

4 of the NICS are used for the LAN Connections

1 LAN Connection is planned to be our Server Network

1 LAN Connection to be our Staff Network

I will then open up the Packet Filter so our staff can access the AD Servers etc as normal in order to logon etc.

What our plan is then to only open up access to other servers and applications based upon who they are and which AD Group they are in.

My question is, Does ASG allow you to set a packet filter source based upon a Active Directory User Group?

I know i could test this but i havent setup Astaro to work with our AD Server yet and only want to if this works.


This thread was automatically locked due to age.
  • 0
    Before a "User Network" can be effective, the user must be known to the Astaro.  If you have a Web Security subscription, your goal is reached very easily with AD-SSO for the HTTP/S Proxy, and you don't need lots of complex packet filter rules.  I'm assuming that your applications are web-based.

    If you don't have Web Security, you are stuck with having the users login to the User Portal so as to identify themselves to the Astaro.  Then, you'll need a maze of packet filter rules just like working with a Cisco firewall.

    Cheers - Bob
  • 0
    Hi Bob,

    Thanks for your reply. But seems i have a problem on my hands - we didint go for the Web Security as we have a barracuda web filter doing all our web filtering for the office staff (not a decision i made by the way) and i did guess i would need a lot of packet filters rules as most of our staff applications are all made in house and are not yet web based so i have already started compling a list of all the ports used etc but wanted to know how i can give different users different access.

    Guess i may have to go with my other options

    1) Limit by Staff IP Address and then set each pc manually

    or

    2) Run seperate networks for each deparment as they are all contained with different parts of the building and each have their own switch so would be a matter of linking each deparment switch back to the astaro LAN ports.

    or

    3) Buy the Astaro Web Sub and tell the boss its the easiest option. - But with this would i still need to set the Packet filter rules up?
  • 0
    I bet Astaro will make a deal through your reseller to make you a "deal you can't refuse" for the Web Security Subscription. [:)]

    In an environment that is primarily Internet Explorer, the HTTP/S Proxy in AD-SSO authentication mode is an elegant, flexible tool. If your applications were web-based, it would be easy to create User Groups based on AD group memberships and assign allow/block rules for web traffic for each group.Although I do think you would find the Astaro Web Security more powerful than the Barracuda, it won't solve your present problem except that it will make it possible to create packet filter rules for AD groups.

    I agree that the best approach for now is to separate the departments by Astaro interface.  The Astaro DHCP server can assign different subnets on each interface.

    Cheers - Bob