notempty
- Layoutanpassung
Benutzer Authentifizierung am HTTP-Proxy
Neben dem transparenten Modus des HTTP-Proxy besteht auch die Möglichkeit, dass sich Benutzer für die Internet Nutzung vorher authentifizieren müssen. Diese Authentifizierung kann entweder gegen die Benutzerverwaltung der UTM oder eines Authentifizierungs-Server wie Active Directory, LDAP oder Radius erfolgen.
Um die Authentifizierung am HTTP-Proxy nutzen zu können, ist es notwendig den Proxy im Browser einzutragen und Änderungen an den Portfiltereinstellungen vorzunehmen.
Proxy Einstellung im Browser
In den Verbindungseinstellungen des jeweils genutzten Browsers kann die IP-Adresse der entsprechenden Schnittstelle der UTM unter Manuelle Proxy-Konfiguration eingetragen werden.
Außerdem muss der Port eingetragen werden, welcher in der UTM unter . Im Auslieferungszustand der UTM handelt es sich um den Port 8080.
Damit auch Webseiten, die über HTTPS aufgerufen werden, über den Proxy geleitet werden können, muss die Funktion für alle Protokolle diesen Proxy Server verwenden aktiviert sein.
Einstellungen im Portfilter
Im Auslieferungszustand der UTM ist eine Portfilterregel festgelegt, die den Zugriff aus dem internen Netzwerk in das Internet mit allen Diensten (any) zulässt.
Da Benutzer auf die Idee kommen könnten, die Proxy Einstellungen des Browsers zu ändern, um die Authentifizierung zu umgehen, sollte diese Regel deaktiviert werden oder eine entsprechende Dienstgruppe anstatt any für diese Regel angelegt werden.
Mehr Informationen zu den Portfilterregeln finden sich hier.
Authentifizierung über die Benutzerverwaltung der UTM
Proxy-Nutzer Gruppe anlegen | |||
| Zunächst wird eine Benutzergruppe benötigt. Hierzu muss unter Reiter Gruppen Schaltfläche angeklickt werden. |
 | ||
| Gruppenname: | Proxy-Group | Eindeutigen Namen wählen Es darf kein Leerzeichen verwendet werden.
| |
| HTTP-Proxy: | Ein | Funktion HTTP-Proxy aktivieren | |
| Speichert die Einstellungen | |||
| Wenn später verschiedene Proxy-Nutzer unterschiedlich behandelt werden sollen, dann können weitere Gruppen angelegt werden. | |||
Benutzer anlegen | |||
| Als nächstes muss unter Reiter Benutzer Schaltfläche angeklickt werden. |  | ||
| Anmeldename: | User1 | Anmeldenamen vergeben | |
| Passwort: | Sicheres Passwort vergeben | ||
| Passwort bestätigen: | Passwort erneut eingeben | ||
| Gruppen: | » ✕Proxy-Group | Zuvor eingestellte Gruppe auswählen | |
| Speichert die Einstellungen | |||
| Dieser Vorgang muss für jeden Benutzer, der angelegt werden soll, wiederholt werden. Weitere Informationen zur Benutzerverwaltung finden sich hier. | |||
Authentifizierung im HTTP-Proxy aktivieren | |||
| Die Authentifizierung im HTTP-Proxy kann unter Reiter Allgemein aktiviert werden. |  | ||
| Authentifizierungsmethode: | Methode im Drop-Down Menü auswählen | ||
| Speichert die Einstellungen | |||
| Wenn nun ein (wie oben vorbereiteter) Browser gestartet wird, so erscheint eine Authentifizierungsabfrage vor dem Aufbau der ersten Webseite die aufgerufen wird. |  | ||
Authentifizierung mit Active Directory
| Zunächst muss dafür gesorgt werden, dass die UTM die Domäne auch findet. Unter kann im Abschnitt DNS-Server die localhost IP-Adresse eingetragen werden. |
 | ||
| Primärer Nameserver: | 127.0.0.1 | Localhost IP-Adresse eintragen | |
| Anschließend muss Reiter Zonen Schaltfläche aufgerufen werden, um eine neue Relay-Zone mit der lokalen Domain und der IP-Adresse des Domain-Controllers anzulegen. |  | ||
| Zonenname: | securepoint.local | Zonennamen wählen | |
| Typ: | Typ "Relay" auswählen | ||
| IP-Adresse eingeben und Port auswählen. Dann | |||
| Speichert die Einstellungen | |||
UTM an das Active Directory anbinden | |||
| Um die UTM an das Active Directory anbinden zu können, muss unter die Schaltfläche geklickt werden. Daraufhin müssen die vier Schritte des Assistenten durchlaufen werden. | |||
Schritt 1: Verzeichnistyp
| |||
| Verzeichnistyp: | Das Active Directory wählen |  | |
| Weiter zu Schritt 2 | |||
Schritt 2: Einstellungen
|
 | ||
| IP oder Hostname: | » ✕Idap.example.com | Namen wählen | |
| Domain: | securepoint.local | Domäne eintragen | |
| Arbeitsgruppe: | securepoint | Voreingestellt | |
| Appliance Account: | UTM | Voreingestellt | |
| Weiter zu Schritt 3 | |||
Schritt 3: Nameserver
|
 | ||
| Wenn dieser Schritt bereits gemacht wurde, dann ist die IP-Adresse bereits voreingestellt. Falls nicht, so kann über die IP-Adresse eingetragen werden. | |||
| Weiter zu Schritt 4 | |||
Schritt 4: Beitreten
|
 | ||
| Administratorname: | Administrator | Namen wählen | |
| Passwort: | Sicheres Passwort vergeben | ||
| Schließt den Vorgang ab | |||
| Wenn nun alles richtig funktioniert hat, so zeigt der Verbindungsstatus: nun einen grünen Kreis an. |  | ||
Proxy-Nutzer Gruppe anlegen für das Active Directory | |||
| Zunächst wird eine Benutzergruppe benötigt. Hierzu muss unter Reiter Gruppen Schaltfläche angeklickt werden. |
| ||
| Gruppenname: | Proxy-Group | Eindeutigen Namen wählen Es darf kein Leerzeichen verwendet werden.
| |
| HTTP-Proxy: | Ein | Funktion HTTP-Proxy aktivieren | |
| Speichert die Einstellungen | |||
| Wenn später verschiedene Proxy-Nutzer unterschiedlich behandelt werden sollen, dann können weitere Gruppen angelegt werden. | |||
Authentifizierung im HTTP-Proxy aktivieren für das Active Directory | |||
| Um die Authentifizierung am Proxy aktivieren zu können, muss unter Reiter Allgemein die Authentifizierungsmethode auf NTLM/Kerberos eingestellt werden. |  | ||
| Authentifizierungsmethode: | Methode im Drop-Down Menü auswählen | ||
| Speichert die Einstellungen | |||
| Die Authentifizierungsmethode NTLM hat den Vorteil, dass der Proxy nicht mehr beim Öffnen des Web-Browser den Nutzernamen und das Passwort abfragt. Die Authentifizierung erfolgt in diesem Fall schon beim Starten des Betriebssystems mit der Anmeldung an die Domain. | |||