HTTP-Proxy Authentifizierung

Anleitung zur Authentifizierung am HTTP-Proxy

Letzte Anpassung zur Version: 14.1.1 (11.2025)

Neu:

Anpassung an die neuen HTTP Proxy Profile

Aktualisierung zum Redesign des Webinterfaces

notempty

Dieser Artikel bezieht sich auf eine Beta-Version

12.6.0 02.2023 11.7

Benutzer Authentifizierung am HTTP-Proxy

Neben dem transparenten Modus des HTTP-Proxy besteht auch die Möglichkeit, dass sich Benutzer für die Internet Nutzung vorher authentifizieren müssen.

Diese Authentifizierung kann entweder gegen die Benutzerverwaltung der UTM oder eines Authentifizierungs-Server wie Active Directory, LDAP oder Radius erfolgen.

Voraussetzungen für die Authentifizierung am HTTP-Proxy:

Der Proxy wurde im Browser eingetragen
Die Paketfiltereinstellungen wurden entsprechend angepasst

Proxy Einstellung im Browser

Proxy-Konfiguration im Browser, hier im Mozilla Firefox

In den Verbindungseinstellungen des jeweils genutzten Browsers kann die IP-Adresse der entsprechenden Schnittstelle der UTM unter Manuelle Proxy-Konfiguration eingetragen werden.

Außerdem muss der Port eingetragen werden, der in der UTM unter Anwendungen HTTP-Proxy gesetzt wird.

notempty

Neu ab v14.1.1

Das macht man entweder im globalen Profil oder einem optionalen weiteren Profil. Im Auslieferungszustand der UTM handelt es sich um den Port 8080.

Einstellungen im Paketfilter

Aufruf in Menü Firewall Paketfilter

Im Auslieferungszustand der UTM ist eine Paketfilterregel festgelegt, die den Zugriff aus dem internen Netzwerk in das Internet mit allen Diensten (any) zulässt.

Benutzer könnten potenziell die Proxy-Einstellungen des Browsers ändern, um die Authentifizierung zu umgehen.
Daher sollte

diese Regel deaktiviert werden oder alternativ
eine entsprechende Dienstgruppe für diese Regel angelegt werden, die any ersetzt

#	Quelle	Ziel	Dienst	NAT	Aktion	Aktiv	Paketfilter UTMbenutzer@firewall.name.fqdnFirewall Paketfilter Log Regeln aktualisieren Paketfiltereinstellungen für HTTP-Proxy Authentifizierung
	internal-network	internet	any	HN	Accept	Aus
	internal-network	internal-interface	proxy		Accept	Ein

Mehr Informationen zu den Paketfilterregeln finden sich hier.

Authentifizierung über die Benutzerverwaltung der UTM

Proxy-Nutzer Gruppe anlegen Aufruf in Menü Authentifizierung Benutzer
Gruppen
			Benutzer UTMbenutzer@firewall.name.fqdnAuthentifizierung 42 Benutzergruppe hinzufügen
	Gruppe hinzufügen	Klick auf die Schaltfläche Gruppe hinzufügen, um eine Benutzergruppe anzulegen

Beschriftung	Wert	Beschreibung	Gruppe hinzufügen UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer Benutzergruppe anlegen
Gruppenname:	Proxy-Group	Vergabe eines eindeutigen Gruppennamens Es darf kein Leerzeichen verwendet werden.
HTTP-Proxy:	Ein	Aktivierung der Funktion HTTP-Proxy
	Speichern und schließen	Speichert die Einstellungen und schließt den Dialog
Man legt weitere Gruppen an, wenn verschiedene Proxy-Nutzer unterschiedlich behandelt werden sollen


Benutzer anlegen
Benutzer			Benutzer UTMbenutzer@firewall.name.fqdnAuthentifizierung 42 Benutzer hinzufügen
	Benutzer hinzufügen	Klick auf die Schaltfläche Benutzer hinzufügen. Es öffnet sich ein neuer Dialog


Anmeldename:	User1	Anmeldenamen vergeben	Benutzer hinzufügen UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer Gruppe bearbeiten und HTTP-Proxy aktivieren
Passwort:	•••••••••••••••••••	Sicheres Passwort vergeben
Ablaufdatum	2028-01-05 00:00:00	Optional: Festlegung, wann das Passwort ablaufen soll
Passwort bestätigen:	•••••••••••••••••••	Passwort erneut eingeben
Gruppen:	»Proxy-Group	Zuvor eingestellte Gruppe auswählen
	Speichern und schließen	Speichert die Einstellungen und schließt den Dialog
Dieser Vorgang muss für jeden Benutzer, der angelegt werden soll, wiederholt werden. Weitere Informationen zur Benutzerverwaltung finden sich hier.

Authentifizierung im HTTP-Proxy aktivieren
Aufruf in Menü Anwendungen HTTP-Proxy notempty Neu ab v14.1.1 Auswahl des Profils. Man wählt hier entweder das Standard-Profil global aus oder ein weiteres Profil, das man selbst angelegt hat			HTTP-Proxy UTMbenutzer@firewall.name.fqdnAnwendungen HTTP-Proxy Log 42 Auswahl des HTTP Proxy Profils


Authentifizierungsmethode:	Basic	Methode im Drop-Down Menü auswählen	Konfigurationsprofil / Globales Konf… bearbeiten UTMbenutzer@firewall.name.fqdnAnwendungenHTTP-Proxy Authentifizierungsmethode "Basic"
Speichern		Speichert die Einstellungen


Wenn nun ein (wie oben vorbereiteter) Browser gestartet wird, so erscheint eine Authentifizierungsabfrage vor dem Aufbau der ersten Webseite die aufgerufen wird.			Authentifizierungsabfrage
			Authentifizierungsabfrage

Authentifizierung mit Active Directory

Aufruf in Menü Netzwerk Servereinstellungen DNS-Server Zunächst sorgt man dafür, dass die UTM die Domäne auch findet. Dazu trägt man die localhost IP-Adresse ein.			Servereinstellungen UTMbenutzer@firewall.name.fqdnNetzwerk 42 Localhost IP-Adresse eintragen
Primärer Nameserver:	127.0.0.1	Localhost IP-Adresse eintragen
Speichern		Speichert die Einstellungen

Aufruf in Menü Anwendungen Nameserver Zonen
	Relay-Zone hinzufügen	Festlegung einer neuen Relay-Zone mit der lokalen Domain und der IP-Adresse des Domain-Controllers	Nameserver UTMbenutzer@firewall.name.fqdnAnwendungen 42 Auf Schaltfläche Relay-Zone hinzufügen klicken

Zonenname:	securepoint.local	Zonennamen wählen	Relay-Zone hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungenNameserver Relay-Zone hinzufügen
Typ:	Relay	Typ Relay auswählen
	+ Server hinzufügen	Klick auf die Schaltfläche. Es öffnet sich ein neuer Dialog


IP-Adresse:	192.168.175.5	IP-Adresse eingeben	Server hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungenNameserverRelay-Zone hinzufügen Server hinzufügen
Port:	53	DNS Port auswählen. Standard: 53. Wenn man keinen Port spezifiziert, wird der Port 53 automatisch gesetzt
	Speichern und schließen	Speichert die Einstellungen und schließt den Dialog


	Speichern und schließen	Ein Klick auf die Schaltfläche speichert die Einstellungen für den Server
Der Relay-Zonen-Server securepoint.local wurde angelegt			Relay-Zone hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungenNameserver Der Relay-Zonen-Server securepoint.local


UTM an das Active Directory anbinden
Aufruf in Menü Authentifizierung AD/LDAP Authentifizierung
	Assistent	Ein Klick auf die Schaltfläche startet den Assistenten

Schritt 1: Verzeichnistyp
Verzeichnistyp:	AD - Active Directory	Das Active Directory wählen	AD/LDAP Authentifizierungs-Assistent UTMbenutzer@firewall.name.fqdnAuthentifizierungAD/LDAP Authentifizierung AD/LDAP Authentifizierungs-Assistent Schritt 1
	Weiter	Weiter zu Schritt 2


Schritt 2: Einstellungen
IP oder Hostname:	»ldap.ttt-point.de	Namen wählen Die Adresse muss der lokalen Umgebung angepasst werden!	AD/LDAP Authentifizierungs-Assistent Schritt 2
Domain:	securepoint.local	Domäne eintragen
Arbeitsgruppe:	securepoint	Voreingestellt
Appliance Account:	UTM	Voreingestellt
	Weiter	Weiter zu Schritt 3

Schritt 3: Nameserver
Wenn dieser Schritt bereits erfolgt ist, dann ist die IP-Adresse bereits voreingestellt. Falls nicht, so kann über + Server hinzufügen die IP-Adresse eingetragen werden.			AD/LDAP Authentifizierungs-Assistent Schritt 3
	Weiter	Weiter zu Schritt 4


Schritt 4: Beitreten
Administratorname:	Administrator	Namen wählen	AD/LDAP Authentifizierungs-Assistent Schritt 4
Passwort:	•••••••••••••••••••	Sicheres Passwort vergeben
	Fertig	Schließt den Vorgang ab

Status
Verbindungsstatus:		Die Verbindung wurde erfolgreich hergestellt	AD/LDAP Authentifizierung UTMbenutzer@firewall.name.fqdnAuthentifizierung Assistent AD/LDAP Authentifizierung abgeschlossen

Proxy-Nutzer Gruppe anlegen für das Active Directory
			Benutzer UTMbenutzer@firewall.name.fqdnAuthentifizierung 42 Benutzergruppe hinzufügen
	Gruppe hinzufügen	Klick auf die Schaltfläche Gruppe hinzufügen, um eine Benutzergruppe anzulegen


Gruppenname:	Proxy-Group	Vergabe eines eindeutigen Gruppennamens Es darf kein Leerzeichen verwendet werden.	Gruppe hinzufügen UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer
HTTP-Proxy:	Ein	Aktivierung der Funktion HTTP-Proxy
	Speichern und schließen	Speichert die Einstellungen und schließt den Dialog
Man legt weitere Gruppen an, wenn verschiedene Proxy-Nutzer unterschiedlich behandelt werden sollen

Authentifizierung im HTTP-Proxy aktivieren für das Active Directory Aufruf in Menü Anwendungen HTTP-Proxy
Auswahl des Profils. Man wählt hier entweder das Standard-Profil global aus oder ein weiteres Profil, das man selbst angelegt hat			HTTP-Proxy UTMbenutzer@firewall.name.fqdnAnwendungen HTTP-Proxy Log 42 Auswahl des HTTP Proxy Profils


Allgemein Die Authentifizierung am Proxy ist nur möglich, wenn die Authentifizierungsmethode auf NTLM/Kerberos eingestellt ist			Konfigurationsprofil / Globales Konf… bearbeiten UTMbenutzer@firewall.name.fqdnAnwendungenHTTP-Proxy Authentifizierungsmethode NTLM/Kerberos
Authentifizierungsmethode:	NTLM/Kerberos	Methode im Drop-Down Menü auswählen
	Speichern	Speichert die Einstellungen
Die Authentifizierungsmethode NTLM hat den Vorteil, dass der Proxy nicht mehr beim Öffnen des Web-Browser den Nutzernamen und das Passwort abfragt. Die Authentifizierung erfolgt in diesem Fall schon beim Starten des Betriebssystems mit der Anmeldung an die Domain.

Benutzer Authentifizierung am HTTP-Proxy

Proxy Einstellung im Browser

Einstellungen im Paketfilter

Authentifizierung über die Benutzerverwaltung der UTM

Proxy-Nutzer Gruppe anlegen

Benutzer anlegen

Authentifizierung im HTTP-Proxy aktivieren

Authentifizierung mit Active Directory

UTM an das Active Directory anbinden

Proxy-Nutzer Gruppe anlegen für das Active Directory

Authentifizierung im HTTP-Proxy aktivieren für das Active Directory