K Textersetzung - „sptable2 spezial“ durch „sptable2 Paketfilter“ |
Maltea (Diskussion | Beiträge) Keine Bearbeitungszusammenfassung |
||
| Zeile 17: | Zeile 17: | ||
<div class="Einrücken"> | <div class="Einrücken"> | ||
{{#var:Benutzer Authentifizierung am HTTP-Proxy--desc}} | {{#var:Benutzer Authentifizierung am HTTP-Proxy--desc}} | ||
</div | </div> | ||
| Zeile 30: | Zeile 30: | ||
<div class="Einrücken"> | <div class="Einrücken"> | ||
{{#var:Einstellungen im Paketfilter--desc}} | {{#var:Einstellungen im Paketfilter--desc}} | ||
{| class="sptable2 Paketfilter pd5 tr--bc__white zh1" | {| class="sptable2 Paketfilter pd5 tr--bc__white zh1" | ||
|- class="bold small no1cell" | |- class="bold small no1cell" | ||
| class="Leerzeile bc__default" | || <nowiki>#</nowiki> || style="min-width:12em;"| {{#var:Quelle}} || style="min-width:12em;"| {{#var:Ziel}} || style="min-width:12em;"| {{#var:Dienst}} || style="min-width:6em;"| NAT || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;"| | | class="Leerzeile bc__default" | || <nowiki>#</nowiki> || style="min-width:12em;" | {{#var:Quelle}} || style="min-width:12em;"| {{#var:Ziel}} || style="min-width:12em;"| {{#var:Dienst}} || style="min-width:6em;"| NAT || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;"| | ||
|- | |- | ||
| {{spc|drag|o|-}} || || {{spc|network|o|-}} internal-network || {{spc|world|o|-}} internet || {{spc|other|o|-}} any || {{Kasten|HN|blau}} || {{Kasten|Accept|grün}} || {{ButtonAus|{{#var:aus}} }} || {{Button||copy}}{{Button||w|fs=14}}{{Button||trash|fs=14}} | | {{spc|drag|o|-}} || || {{spc|network|o|-}} internal-network || {{spc|world|o|-}} internet || {{spc|other|o|-}} any || {{Kasten|HN|blau}} || {{Kasten|Accept|grün}} || {{ButtonAus|{{#var:aus}} }} || {{Button||copy}}{{Button||w|fs=14}}{{Button||trash|fs=14}} | ||
|- | |- | ||
| {{spc|drag|o|-}} || || {{spc|network|o|-}} internal-network || {{spc|interface|o|-}} internal-interface | | {{spc|drag|o|-}} || || {{spc|network|o|-}} internal-network || {{spc|interface|o|-}} internal-interface || {{spc|dienste|o|-}} proxy || || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||copy}}{{Button||w|fs=14}}{{Button||trash|fs=14}} | ||
|} | |} | ||
{{#var:Mehr Informationen Paketfilterregeln}} | {{#var:Mehr Informationen Paketfilterregeln}} | ||
</div><br clear=all> | </div><br clear=all> | ||
---- | ---- | ||
=== {{#var:Authentifizierung über die Benutzerverwaltung der UTM}} === | === {{#var:Authentifizierung über die Benutzerverwaltung der UTM}} === | ||
| Zeile 50: | Zeile 52: | ||
|- class="noborder" | |- class="noborder" | ||
| colspan="3" | {{#var:Proxy-Nutzer Gruppe anlegen--desc}} | | colspan="3" | {{#var:Proxy-Nutzer Gruppe anlegen--desc}} | ||
| class="Bild" rowspan="6" | {{Bild| {{#var:Proxy-Nutzer Gruppe anlegen--Bild}}| ||{{#var:Gruppe hinzufügen}}|{{#var:Authentifizierung}}|{{#var:Benutzer}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}} | | class="Bild" rowspan="6" | {{Bild| {{#var:Proxy-Nutzer Gruppe anlegen--Bild}}|||{{#var:Gruppe hinzufügen}}|{{#var:Authentifizierung}}|{{#var:Benutzer}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}} | ||
|- | |- | ||
| {{b|{{#var:Gruppenname}} }} || {{ic|Proxy-Group|class=available}} || {{#var:Gruppenname--desc}} | | {{b|{{#var:Gruppenname}} }} || {{ic|Proxy-Group|class=available}} || {{#var:Gruppenname--desc}} | ||
| Zeile 63: | Zeile 65: | ||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| colspan="3" | | | colspan="3" | | ||
==== {{#var:Benutzer anlegen}} ==== | ==== {{#var:Benutzer anlegen}} ==== | ||
|- class="noborder" | |- class="noborder" | ||
| Zeile 84: | Zeile 85: | ||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| colspan="3" | | | colspan="3" | | ||
==== {{#var:Authentifizierung im HTTP-Proxy aktivieren}} ==== | ==== {{#var:Authentifizierung im HTTP-Proxy aktivieren}} ==== | ||
|- class="noborder" | |- class="noborder" | ||
| Zeile 100: | Zeile 100: | ||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| | | | ||
|} | |} | ||
---- | ---- | ||
=== {{#var:Authentifizierung mit Active Directory}} === | === {{#var:Authentifizierung mit Active Directory}} === | ||
| Zeile 151: | Zeile 151: | ||
| {{b|{{#var:IP oder Hostname}} }} || {{ic|{{cb|ldap.ttt-point.de}}|class=available}} || {{#var:IP oder Hostname--desc}} <li class="list--element__alert list--element__warning">{{#var:IP oder Hostname--Hinweis}}</li> | | {{b|{{#var:IP oder Hostname}} }} || {{ic|{{cb|ldap.ttt-point.de}}|class=available}} || {{#var:IP oder Hostname--desc}} <li class="list--element__alert list--element__warning">{{#var:IP oder Hostname--Hinweis}}</li> | ||
|- | |- | ||
| {{b| | | {{b|Domain:}} || {{ic|securepoint.local|class=available}} || {{#var:Domain--desc}} | ||
|- | |- | ||
| {{b|{{#var:Arbeitsgruppe}} }} || {{ic|securepoint|class=available}} || ''{{#var:Voreingestellt}}'' | | {{b|{{#var:Arbeitsgruppe}} }} || {{ic|securepoint|class=available}} || ''{{#var:Voreingestellt}}'' | ||
|- | |- | ||
| {{b| | | {{b|Appliance Account:}} || {{ic|UTM|class=available}} || ''{{#var:Voreingestellt}}'' | ||
|- | |- | ||
| colspan="2" | {{Button|{{#var:Weiter}} }} || {{#var:Weiter zu Schritt}} 3 | | colspan="2" | {{Button|{{#var:Weiter}} }} || {{#var:Weiter zu Schritt}} 3 | ||
| Zeile 162: | Zeile 162: | ||
|- class="noborder" | |- class="noborder" | ||
| colspan="3" | {{Kasten|{{#var:Schritt 3}} }} | | colspan="3" | {{Kasten|{{#var:Schritt 3}} }} | ||
| class="Bild" rowspan="4" | {{Bild| {{#var:Schritt 3--Bild}}|{{#var:AD/LDAP Authentifizierungs Assistent}} {{#var:Schritt}} 3}} | | class="Bild" rowspan="4" | {{Bild| {{#var:Schritt 3--Bild}} |{{#var:AD/LDAP Authentifizierungs Assistent}} {{#var:Schritt}} 3}} | ||
|- class="noborder" | |- class="noborder" | ||
| colspan="3" | {{#var:Schritt 3--desc}} | | colspan="3" | {{#var:Schritt 3--desc}} | ||
| Zeile 171: | Zeile 171: | ||
|- class="noborder" | |- class="noborder" | ||
| colspan="3" | {{Kasten|{{#var:Schritt 4}} }} | | colspan="3" | {{Kasten|{{#var:Schritt 4}} }} | ||
| class="Bild" rowspan="5" | {{Bild| {{#var:Schritt 4--Bild}}|{{#var:AD/LDAP Authentifizierungs Assistent}} {{#var:Schritt}} 4}} | | class="Bild" rowspan="5" | {{Bild| {{#var:Schritt 4--Bild}} |{{#var:AD/LDAP Authentifizierungs Assistent}} {{#var:Schritt}} 4}} | ||
|- | |- | ||
| {{b|{{#var:Administratorname}} }} || {{ic|Administrator|class=available}} || {{#var:Administratorname--desc}} | | {{b|{{#var:Administratorname}} }} || {{ic|Administrator|class=available}} || {{#var:Administratorname--desc}} | ||
| Zeile 182: | Zeile 182: | ||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| colspan="3" | {{#var:Wenn nun alles richtig funktioniert hat}} | | colspan="3" | {{#var:Wenn nun alles richtig funktioniert hat}} | ||
| class="Bild" rowspan="2" | {{Bild| {{#var:Wenn nun alles richtig funktioniert hat--Bild}}|AD/LDAP {{#var:Authentifizierung}} {{#var:Abgeschlossen}}||AD/LDAP {{#var:Authentifizierung}}|{{#var:Authentifizierung}}|icon=fa-wand-magic-sparkles|icon-text={{#var:Assistent}}|icon2=fa-close}} | | class="Bild" rowspan="2" | {{Bild| {{#var:Wenn nun alles richtig funktioniert hat--Bild}} |AD/LDAP {{#var:Authentifizierung}} {{#var:Abgeschlossen}}||AD/LDAP {{#var:Authentifizierung}}|{{#var:Authentifizierung}}|icon=fa-wand-magic-sparkles|icon-text={{#var:Assistent}}|icon2=fa-close}} | ||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| | | | ||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| colspan="3" | | | colspan="3" | | ||
==== {{#var:Proxy-Nutzer Gruppe anlegen für das Active Directory}} ==== | ==== {{#var:Proxy-Nutzer Gruppe anlegen für das Active Directory}} ==== | ||
|- class="noborder" | |- class="noborder" | ||
| colspan="3" | {{#var:Proxy-Nutzer Gruppe anlegen--desc}} | | colspan="3" | {{#var:Proxy-Nutzer Gruppe anlegen--desc}} | ||
| class="Bild" rowspan="6" | {{Bild| {{#var:Proxy-Nutzer Gruppe anlegen--Bild}}| ||{{#var:Gruppe hinzufügen}}|{{#var:Authentifizierung}}|{{#var:Benutzer}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}} | | class="Bild" rowspan="6" | {{Bild| {{#var:Proxy-Nutzer Gruppe anlegen--Bild}} |||{{#var:Gruppe hinzufügen}}|{{#var:Authentifizierung}}|{{#var:Benutzer}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}} | ||
|- | |- | ||
| {{b|{{#var:Gruppenname}} }} || {{ic|Proxy-Group|class=available}} || {{#var:Gruppenname--desc}} | | {{b|{{#var:Gruppenname}} }} || {{ic|Proxy-Group|class=available}} || {{#var:Gruppenname--desc}} | ||
| Zeile 204: | Zeile 203: | ||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| colspan="3" | | | colspan="3" | | ||
==== {{#var:Authentifizierung im HTTP-Proxy aktivieren für das Active Directory}} ==== | ==== {{#var:Authentifizierung im HTTP-Proxy aktivieren für das Active Directory}} ==== | ||
|- class="noborder" | |- class="noborder" | ||
Version vom 28. Februar 2025, 11:34 Uhr
Anleitung zur Authentifizierung am HTTP-Proxy
Letzte Anpassung zur Version: 12.6.0
Neu:
- Aktualisierung zum Redesign des Webinterfaces
notempty
Dieser Artikel bezieht sich auf eine Beta-Version
Benutzer Authentifizierung am HTTP-Proxy
Neben dem transparenten Modus des HTTP-Proxy besteht auch die Möglichkeit, dass sich Benutzer für die Internet Nutzung vorher authentifizieren müssen.
Diese Authentifizierung kann entweder gegen die Benutzerverwaltung der UTM oder eines Authentifizierungs-Server wie Active Directory, LDAP oder Radius erfolgen.
Voraussetzungen für die Authentifizierung am HTTP-Proxy:
- Der Proxy wurde im Browser eingetragen
- Die Paketfiltereinstellungen wurden entsprechend angepasst
Proxy Einstellung im Browser
Proxy-Konfiguration im Browser, hier im Mozilla Firefox
In den Verbindungseinstellungen des jeweils genutzten Browsers kann die IP-Adresse der entsprechenden Schnittstelle der UTM unter Manuelle Proxy-Konfiguration eingetragen werden.
Außerdem muss der Port eingetragen werden, der in der UTM unter gesetzt wird.
notempty
Das macht man entweder im globalen Profil oder einem optionalen weiteren Profil. Im Auslieferungszustand der UTM handelt es sich um den Port 8080.
Neu ab v14.1.1
Einstellungen im Paketfilter
Im Auslieferungszustand der UTM ist eine Paketfilterregel festgelegt, die den Zugriff aus dem internen Netzwerk in das Internet mit allen Diensten (any) zulässt.
Benutzer könnten potenziell die Proxy-Einstellungen des Browsers ändern, um die Authentifizierung zu umgehen.
Daher sollte
- diese Regel deaktiviert werden oder alternativ
- eine entsprechende Dienstgruppe für diese Regel angelegt werden, die any ersetzt
| # | Quelle | Ziel | Dienst | NAT | Aktion | Aktiv | ||
 |
 internal-network |
 internet |
 any |
HN | Accept | Aus | ||
|
internal-network |
 internal-interface |
 proxy |
Accept | Ein |
Mehr Informationen zu den Paketfilterregeln finden sich hier.
Authentifizierung über die Benutzerverwaltung der UTM
Proxy-Nutzer Gruppe anlegen | |||
UTMbenutzer@firewall.name.fqdn Authentifizierung Benutzer 
| |||
| Gruppenname: | Proxy-Group | Vergabe eines eindeutigen Gruppennamens | |
| HTTP-Proxy: | Ein | Aktivierung der Funktion HTTP-Proxy | |
| Speichern und schließen | Speichert die Einstellungen und schließt den Dialog | ||
| Man legt weitere Gruppen an, wenn verschiedene Proxy-Nutzer unterschiedlich behandelt werden sollen | |||
Benutzer anlegen | |||
UTMbenutzer@firewall.name.fqdn Authentifizierung Benutzer  Gruppe bearbeiten und HTTP-Proxy aktivieren
| |||
| Anmeldename: | User1 | Anmeldenamen vergeben | |
| Passwort: | Sicheres Passwort vergeben | ||
| Passwort bestätigen: | Passwort erneut eingeben | ||
| Gruppen | »Proxy-Group | Zuvor eingestellte Gruppe auswählen | |
| Speichern und schließen | Speichert die Einstellungen und schließt den Dialog | ||
| Dieser Vorgang muss für jeden Benutzer, der angelegt werden soll, wiederholt werden. Weitere Informationen zur Benutzerverwaltung finden sich hier. | |||
Authentifizierung im HTTP-Proxy aktivieren | |||
UTMbenutzer@firewall.name.fqdn Anwendungen  Authentifizierungsmethode "Basic"
| |||
| Authentifizierungsmethode: | Methode im Drop-Down Menü auswählen | ||
| Speichern | Speichert die Einstellungen | ||
| Wenn nun ein (wie oben vorbereiteter) Browser gestartet wird, so erscheint eine Authentifizierungsabfrage vor dem Aufbau der ersten Webseite die aufgerufen wird. |  Authentifizierungsabfrage
| ||
Authentifizierung mit Active Directory
| Zunächst sorgt man dafür, dass die UTM die Domäne auch findet. Dazu trägt man die localhost IP-Adresse ein. |
UTMbenutzer@firewall.name.fqdn Netzwerk  Localhost IP-Adresse eintragen
| ||
| Primärer Nameserver: | 127.0.0.1 | Localhost IP-Adresse eintragen | |
| Speichern | Speichert die Einstellungen | ||
| Festlegung einer neuen Relay-Zone mit der lokalen Domain und der IP-Adresse des Domain-Controllers | |||
| Zonenname: | securepoint.local | Zonennamen wählen | UTMbenutzer@firewall.name.fqdn Relay-Zone hinzufügen Nameserver  Relay-Zone hinzufügen
|
| Typ | Typ Relay auswählen | ||
| Klick auf die Schaltfläche. Es öffnet sich ein neuer Dialog | |||
| Speichern und schließen | Speichert die Einstellungen und schließt den Dialog | ||
UTM an das Active Directory anbinden | |||
| Ein Klick auf die Schaltfläche startet den Assistenten | |||
Schritt 1: Verzeichnistyp
| |||
| Verzeichnistyp: | Das Active Directory wählen | UTMbenutzer@firewall.name.fqdn Authentifizierung AD/LDAP Authentifizierung  AD/LDAP Authentifizierungs-Assistent Schritt 1
| |
| Weiter zu Schritt 2 | |||
Schritt 2: Einstellungen
|
 AD/LDAP Authentifizierungs-Assistent Schritt 2
| ||
| IP oder Hostname: | »ldap.ttt-point.de | Namen wählen | |
| Domain: | securepoint.local | Domäne eintragen | |
| Arbeitsgruppe: | securepoint | Voreingestellt | |
| Appliance Account: | UTM | Voreingestellt | |
| Weiter zu Schritt 3 | |||
Schritt 3: Nameserver
|
 AD/LDAP Authentifizierungs-Assistent Schritt 3
| ||
| Wenn dieser Schritt bereits erfolgt ist, dann ist die IP-Adresse bereits voreingestellt. Falls nicht, so kann über die IP-Adresse eingetragen werden. | |||
| Weiter zu Schritt 4 | |||
Schritt 4: Beitreten
|
 AD/LDAP Authentifizierungs-Assistent Schritt 4
| ||
| Administratorname: | Administrator | Namen wählen | |
| Passwort: | Sicheres Passwort vergeben | ||
| Schließt den Vorgang ab | |||
UTMbenutzer@firewall.name.fqdn Authentifizierung  AD/LDAP Authentifizierung abgeschlossen
| |||
Proxy-Nutzer Gruppe anlegen für das Active Directory | |||
| UTMbenutzer@firewall.name.fqdn Authentifizierung Benutzer
| |||
| Gruppenname: | Proxy-Group | Vergabe eines eindeutigen Gruppennamens | |
| HTTP-Proxy: | Ein | Aktivierung der Funktion HTTP-Proxy | |
| Speichern und schließen | Speichert die Einstellungen und schließt den Dialog | ||
| Man legt weitere Gruppen an, wenn verschiedene Proxy-Nutzer unterschiedlich behandelt werden sollen | |||
Authentifizierung im HTTP-Proxy aktivieren für das Active Directory | |||
| Die Authentifizierung am Proxy ist nur möglich, wenn die Authentifizierungsmethode auf NTLM/Kerberos eingestellt ist | UTMbenutzer@firewall.name.fqdn Anwendungen  Authentifizierungsmethode NTLM/Kerberos
| ||
| Authentifizierungsmethode: | Methode im Drop-Down Menü auswählen | ||
| Speichern | Speichert die Einstellungen | ||
Die Authentifizierungsmethode NTLM hat den Vorteil, dass der Proxy nicht mehr beim Öffnen des Web-Browser den Nutzernamen und das Passwort abfragt. Die Authentifizierung erfolgt in diesem Fall schon beim Starten des Betriebssystems mit der Anmeldung an die Domain. | |||