BM Moves to Astaro

Yes, it is possible to do everything you want as long as you are using Active Directory (at least, that's all I know).  You have to remove the HTTP and HTTPS services from the packet filter, then make everyone go through your HTTP Proxy on port 8080 (you can change that port).  In the HTTP proxy, you can deny files by extensions and you can whitelist site (allowing access).

I have two groups that I'm using now, one is HTTP_RESTRICTED and HTTP_ACCESS.  For the restricted group, I'm denying based on web content (nudity, lifestyle, sports, drugs, annonymous web proxies, etc), basically those users can't surf for fun.  For the HTTP_ACCESS group, I just filter out virus and spyware.

One catch that I found out is you have to edit the localhosts file on the Astaro box to point it to a domain controller.

Thanks for the answer Rick. I'd like to go a few steps further than just two groups. I like to have 8-10 groups or policies and any one user could be a member of several of the groups. Is this possible? Using your groups for example:

Lets say everyone is a member of your HTTP_RESTRICTED group. This allows them to even authenticate. Some users who are members of that group are also members of the HTTP_ACCESS group. Does ASG check through all groups till it gets a positive deny or allow?
Thanks,
Daryn

Yes, more than two groups is possible, that was a requirement for me before I purchased it for my company.  You list the groups in order, so let's say a user belongs to more than one group.  The order of the groups determines their surfing restrictions.  If they are a member of group #1, then those settings will get applied.  If they are a member of group #6 and #10, then group #6 gets applied.  Hope this helps.

"If they are a member of group #6 and #10, then group #6 gets applied"

Meaning if policy #6 doesn't deny or allow that policy #10 won't be applied as the user/group exists in policy #6 - the user belongs to BOTH groups

Daryn

Meaning if policy #6 doesn't deny or allow that policy #10 won't be applied as the user/group exists in policy #6 - the user belongs to BOTH groups

Daryn

I'm no expert on this, you may want to ask technical support.  According to the manual, only one profile can be assigned per user or network (in this case AD security groups).

It kind of doesn't make sense to have two profiles kick in for a user, since one may conflict with the other.  If you want policy #10 to kick in before policy #6, you would move #10 above #6.

In my case, I created new security groups for two types of users, one that is really restricted and the other that only does virus and spyware.

Rick,

you are right. The manual says just one user or network but I'm talking about groups. If this only goes for users and networks then it may be possible to have groupmembers access controlled by more than one policy. The firewall that I'm currently using allows this and it checks through the policys ( ACLs ) and doesn't stop until it hits a positive, negative or last ACL. Depending on what it finds it grants or denys access.

My problem is that I have thousands of users that all have different permissions and I really don't want to have to create hundreds of profiles for them. If Astaro can do a top down ACL check, granting or denying permission after finding an definite positive or negative entry then my search is over.

Thanks
Daryn

We had the same dilema in trying to figure out how to duplicate our bordermanager ACL's.  Astaro just doesn't work the same way, bordermanager has to match both the rule AND the user for a positive match, Astaro is only looking at the user (that includes groups) and when it finds a match, it doesn't look at the rest of the profiles.

They aren't called ACL's they are profiles, and as soon as one of them matches, it doesn't look at the rest.  I thought this was going to be a huge problem, but it really isn't, just had to take a different approach.  We too have thousands of users with 20 our so groups for internet access, but we found that out of those 20 groups, only about 5 of them were completely unique on what they could access.

So we started with a a profile that denied access to anybody in our novell group that was a memeber of "no internet" since it was the first profile, we also had to make sure that nobody overlapped into this group who needed internet rights, or they wouldn't get it.  Next we put in the least restrictive group, let's say admins, who could basically get to anything, except pornographic websites.  Having that group second made sure they were going to get to the sites they needed, just in case they were also in a more restrictive group that got processed down the line, it wouldn't matter because there profile already granted access.

We progressively applied the more restrictive profiles down the line to the most restricted user groups.  There isn't a global blacklist, so if there was a website, or file type, etc that needs to be blocked for everybody, we made sure it was in each profile's blacklist.

So basically, instead of like bordermanager, were we applied a bunch of rules, and they all got processed, we take all those rules and combine them into a single profile for a group of users.  Then we do the same thing again for each group, anytime there is a difference in internet rights, we create a profile that contains EVERYTHING we want that group to have or not have access too.

So yes, at first it sounds like it won't work, but in the end, there is absolutely no mistake in what rights they should have, because everything that applies to a group is contained in a single profile, instead of having to figure out which ACL was messed up.

We had the same dilema in trying to figure out how to duplicate our bordermanager ACL's.  Astaro just doesn't work the same way, bordermanager has to match both the rule AND the user for a positive match, Astaro is only looking at the user (that includes groups) and when it finds a match, it doesn't look at the rest of the profiles.

They aren't called ACL's they are profiles, and as soon as one of them matches, it doesn't look at the rest.  I thought this was going to be a huge problem, but it really isn't, just had to take a different approach.  We too have thousands of users with 20 our so groups for internet access, but we found that out of those 20 groups, only about 5 of them were completely unique on what they could access.

So we started with a a profile that denied access to anybody in our novell group that was a memeber of "no internet" since it was the first profile, we also had to make sure that nobody overlapped into this group who needed internet rights, or they wouldn't get it.  Next we put in the least restrictive group, let's say admins, who could basically get to anything, except pornographic websites.  Having that group second made sure they were going to get to the sites they needed, just in case they were also in a more restrictive group that got processed down the line, it wouldn't matter because there profile already granted access.

We progressively applied the more restrictive profiles down the line to the most restricted user groups.  There isn't a global blacklist, so if there was a website, or file type, etc that needs to be blocked for everybody, we made sure it was in each profile's blacklist.

So basically, instead of like bordermanager, were we applied a bunch of rules, and they all got processed, we take all those rules and combine them into a single profile for a group of users.  Then we do the same thing again for each group, anytime there is a difference in internet rights, we create a profile that contains EVERYTHING we want that group to have or not have access too.

So yes, at first it sounds like it won't work, but in the end, there is absolutely no mistake in what rights they should have, because everything that applies to a group is contained in a single profile, instead of having to figure out which ACL was messed up.