Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 20 replies
  • Subscribers 1 subscriber
  • Views 9112 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Omitting exe-files and Login display

Fischer
Hello
I have made on Astaro ASG 8.0 rule that prevents downloading exe-files.
How can i make an exclusion for user and network. I configured an user and added a network on the exclusion. My goal is to allow the downlaod by displaying an user- and password-menu. How can I configure it. 
Although the certificate was imported, the login-menu is not displayed.
How is it to  be configured. Thanks for your answer.


This thread was automatically locked due to age.
  • 0
    Hi, Fischerxx, and welcome to the User BB!

    Is this a home-use situation, or what paid subscriptions do you have?  If a business, do you have Active Directory?  Are all clients PCs?

    What exact version of Astaro?  What certificate was imported where?  What login menu is not displayed?

    Cheers - Bob
  • 0
    Hello Bob
    Thank you. Astaro is really great. Thank you for your reply. It is a home version. The User-management is done directly in the Astaro. It is ASG 8.3x. Actually when you configure a new user in Astaro a certificate is generated in ASG. This certificate was downloaded and imported in Firefox 9.x. I would expect with the configured exception that a login menu would appear and would override the rule. Attached find the printscreens of the configuration.
    It works when I only choose network.
    Greetings
    Fischerxx
  • 0
    First, the "Test (User Network)" object is not "useable" (it's not resolved to an actual IP) unless you login via VPN, login to WebAdmin or run the Astaro Authentication Agent ("AAA" - see 'Definitions & Users >> Client Authentication').

    In fact, the user's cert isn't used in conjunction with the Web Proxy; it is used only with VPNs and Mail Encryption.

    I don't know what all you're trying to accomplish, but you might want to leave your general proxy in 'Transparent' mode, set yourself up with the AAA and use a 'Web Filtering Profile' in Standard mode with your browser's 'Proxy Settings' configured to use the Astaro.

    That's probably too much "Astaro-speak" for a newbie, so please explain a bit more who should be able to download and who shouldn't, and then many people here will be able to help.

    Cheers - Bob
  • 0
    Hello Bob
    I ommit every download of exe-files. But want to override this rule in following way.
    1. User wants to download an exe
    2. User gets a menu from astaro asking user-name and password
    3. User knows username and password and gets den file
    Can I accomplish this task and yes how. The firewall is configured in transparent mode.
    Greetings
    Fischerxx
  • 0
    This cannot be done in the way you propose.

    You can allow some users to download exe files and exclude that capabilty for others.  For example, ...

    - Configure 'Client Authentication', install the agent on your PC and log into the agent as test
    - In 'Web Filtering Profiles', create a 'Filter Action' that does not have exe in 'Blocked file extensions'
    - Now, create a 'Filter Assignment' with test in 'Users/Groups' with the Filter Action you just created
    - Finally, create a 'Profile' with "Internal (Network)" in 'Source networks', the Filter Assignment you just created, 'Fallback action: Default content filter action' (the primary settings), the same  'Operation mode' as the primary and 'Authentication mode: Agent'.


    Now, as test, you can download an exe file.

    Cheers - Bob
  • 0
    Heelo Bob
    Thank you. I will test it. Great.
    Regards
    Fischerxx
  • 0
    Hello Bob
    Thank you for your advise. Unfortunately it does not work. Openning a website results in a client authentication. It should only happen when an exe has to be downloaded. Installing the agent and trying to open results in error "could not validate certificate". 
    Regards
    Fischerxx
  • 0
    Do you get the following, or something else?

    Cheers - Bob
  • 0
    I tested my suggestion and discovered that, unlike with the other authentication methods, you can't use a "(User Network)" object in 'Source networks'!

    I made some changes in my above post, and that worked for me.  An additional advantage is that the new suggestion records the user name in the Web Filtering log file.

    Cheers - Bob
  • 0
    Hello Bob
    Thank you for the answer I will try it and give you feedback.
    It sounds great.
    Have a nice day
    Fischerxx