HTTP Proxy mit Auth

nwoehler

Hallo zusammen,

folgendes möchte ich gern mit der efw abbilden:

1 Terminalserver (RDS - 2012R2)
Jeder Benutzer soll über den Proxy ins Internet gehen, sich aber bei jedem Aufruf des Browsers neu authentifizieren müssen.
Dies ist daraus geschuldet, dass sich die Benutzer aktuell mit "Gruppenlogins" am Terminalserver anmelden. Dies lässt sich auch nicht ändern, ist Datenschutztechnisch in diesem Fall aber auch unbedenklich.

NTLM oder LDAP gegen AD wären hier mein erster Gedanke. Bei NTLM authentifiziert er ja automatisch gegen den Anmeldenamen, das wäre nicht so gut. Jeder Mitarbeiter soll seinen eigenen Login im AD bekommen, mit dem er sich anmelden muss.
Bei LDAP bekomm ich das nicht hin, dass er mich bei jedem öffnen des Browsers fragt.

Aktuelle Konfiguration siehe Bild...

Jemand eine Idee wie ich das am schlausten umsetzen könnte?!

Sabine

Moin,
bei LDAP Authentifizierung :

Bind DN Benutzer:
O= xxx

LDAP Typ:
LADP v2 Server

Objekt-Klasse der Benutzer und Objekt-Klasse der Gruppe
User

Gruß Sabine

nwoehler

Hallo Sabine,

Dein Bind DN Benutzer (O=xxx) verstehe ich nicht. Der Zugriff auf das LDAP funktioniert ja einwandfrei, nur der Benutzer bekommt keine Aufforderung zur Authentifizierung.

Gruß Nils

Sabine

O= ist die oberste Organisation . .

Zitat

nur der Benutzer bekommt keine Aufforderung zur Authentifizierung.

Hast du den Proxy im Browser eingetragen ?

Steht der Proxy auf der Endian auf " nicht transparent " ?

Siehst du die Benutzer unter Proxy / HTTP / Zugriffsrichtlinien ?

Gruß Sabine

nwoehler

Ich kann in diesem Fall alle Fragen mit "ja" beantworten.

Trotzdem keine Authentifizierungsanforderung...

Sabine

Wenn du alle Benutzer auf der Endian siehst ( unter Zugriffsrichtlinien im Proxy )
Muss das Fenster im Browser kommen . . . . :roll:

Heißt das bei dir jetzt das die User einfach über den Proxy surfen ohne Anmeldung ?

nwoehler

So dachte ich auch Sabine, aber da kommt nix

Nach Neustart der Maschine kommt gar nichts mehr außer die Standard-Fehler-Seite der Endian:

FEHLER
Der angeforderte URL konnte nicht geholt werden

Sabine

Moin,

Zitat

Der angeforderte URL konnte nicht geholt werden

Kommt eigentlich nur wenn keine Verbindung nach außen besteht . .. . bzw. die DNS Auflösung nicht funktioniert . .

Ich brauche da mehr Infos. . . mach mal ein paar Screenshots . . . Proxy- Firewall Einstellung . . was sagen die Logs von der Firewall und dem Proxy ?

Gruß Sabine

nwoehler

Hallo Sabine,

die Authentifizierung funktioniert nun scheinbar schon mal, bekomme aber bei jedem Aufruf einer Webseite ein TCP_DENIED/403 ins squid.log.

Code

Apr  2 14:34:01 firewall01 (squid-1): 1396442041.244     69 192.168.33.8 TCP_DENIED/403 2550 GET http://heise.de/ nils.woehler HIER_NONE/- text/html
Apr  2 14:34:01 firewall01 (squid-1): 1396442041.344      0 192.168.33.8 TCP_DENIED/403 2572 GET http://heise.de/favicon.ico nils.woehler HIER_NONE/- text/html

DNS etc. funktioniert tadellos von der Maschine...

Hier mal die aktuelle Konfiguration:

Sabine

Wie sieht denn das bei dir aus . . . unter Zugriffsrichtlinien . . hast du da nur 2 User . .

( kleiner Außschnitt von meiner Endian )

Sabine

Zitat

Authentifizierung funktioniert nun scheinbar schon mal, bekomme aber bei jedem Aufruf einer Webseite ein TCP_DENIED/403 ins squid.log.

Was hast du für Web Filter drin ? Bei den Zugriffsrichtlinien ?

nwoehler

Ne, ich habe dort zwei Gruppen...

Einmal gibt es hier die Gruppe gl_Internet_beschraenkt - alle User in der Gruppe dürfen nur auf bestimmte Webseiten.
Dann gibt es aktuell noch die Gruppe gl_Internet_VZ - diese regelt später den Vollzugriff auf das Internet.

Die Authentifizierung funktioniert ja mittlerweile ganz gut, aber danach komme ich einfach nicht weiter.. siehe TCP_DENIED/403.

Meine Zugriffsrichtlinien habe ich momentan ausgeschaltet und arbeite zum testen einfach nur mit dem Standard "Viren filtern" - daran kann es nun eigentlich auch nicht mehr liegen.

Gruß Nils

Sabine

Wenn du nicht über Proxy gehst . . .sonder direkt über Port 80 . . gehen dann die Seiten ?

nwoehler

Die Webseiten gehen dann einwandfrei. Habe auch die FW als DNS eingetragen, auch das funktioniert einwandfrei.
Selbst wenn ich von der FW aus DNS-Auflösungen mache, bekomme ich immer vernünftige Antworten.

Sabine

Das kann nur eine Kleinigkeit sein . . . Filter hast du auch mal rausgenommen . .. also ohne . . auch ohne Virenscanner . . . .irgendwo scheint das im Filter hängen zu bleiben . . das ist irgendwie was ganz banales . . :?

nwoehler

Selbst wenn ich auf "keine" beim Filter stelle, bekomme ich die selbe Meldung. Ich hab mittlerweile das Gefühl, dass es an der 3.0.devel liegt...

Sabine

Bei Endian gibt es nur noch Devel . . . auch wenn es die Final ist . .

Hast du die letzte Version genommen ?

EFW-COMMUNITY-3.0.0-devel-201401272131-SRPMS.tar.gz

nwoehler

EFW-COMMUNITY-3.0.0-devel-201401151045.iso

Die habe ich drauf...

Sabine

Ja, das sollte die Finale sein . . . hast du mal nach Updates geschaut ?

nwoehler

No interesting upgrades available.

HTTP Proxy mit Auth

Ähnliche Themen

ENDIAN FIREWALL COMMUNITY Release 3.2.4 Verfügbar

VPN Portal - Reverse Proxy lauffähig?