Wechseln zu:Navigation, Suche
Wiki





























De.png
En.png
Fr.png








Anleitung zur Authentifizierung am HTTP-Proxy
Letzte Anpassung zur Version: 12.6.0
Neu:
  • Aktualisierung zum Redesign des Webinterfaces
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview

02.2023 11.7

Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115
Anwendungen HTTP-Proxy


Benutzer Authentifizierung am HTTP-Proxy

Neben dem transparenten Modus des HTTP-Proxy besteht auch die Möglichkeit, dass sich Benutzer für die Internet Nutzung vorher authentifizieren müssen. Diese Authentifizierung kann entweder gegen die Benutzerverwaltung der UTM oder eines Authentifizierungs-Server wie Active Directory, LDAP oder Radius erfolgen.

Um die Authentifizierung am HTTP-Proxy nutzen zu können, ist es notwendig den Proxy im Browser einzutragen und Änderungen an den Paketfiltereinstellungen vorzunehmen.



Proxy Einstellung im Browser

Win7 FF Proxy.png
Proxy-Konfiguration im Browser

In den Verbindungseinstellungen des jeweils genutzten Browsers kann die IP-Adresse der entsprechenden Schnittstelle der UTM unter Manuelle Proxy-Konfiguration eingetragen werden.

Außerdem muss der Port eingetragen werden, welcher in der UTM unter Anwendungen HTTP-Proxy . Im Auslieferungszustand der UTM handelt es sich um den Port 8080.

Damit auch Webseiten, die über HTTPS aufgerufen werden, über den Proxy geleitet werden können, muss die Funktion für alle Protokolle diesen Proxy Server verwenden aktiviert sein.



Einstellungen im Paketfilter

Im Auslieferungszustand der UTM ist eine Paketfilterregel festgelegt, die den Zugriff aus dem internen Netzwerk in das Internet mit allen Diensten (any) zulässt.

Da Benutzer auf die Idee kommen könnten, die Proxy Einstellungen des Browsers zu ändern, um die Authentifizierung zu umgehen, sollte diese Regel deaktiviert werden oder eine entsprechende Dienstgruppe anstatt any für diese Regel angelegt werden.

# Quelle Ziel Dienst NAT Aktion Aktiv
Dragndrop.png Network.svg internal-network World.svg internet Other.svg any HN Accept Aus
Dragndrop.png Network.svg internal-network Interface.svg internal-interface Service-group.svg proxy Accept Ein

Mehr Informationen zu den Paketfilterregeln finden sich hier.



Authentifizierung über die Benutzerverwaltung der UTM

Proxy-Nutzer Gruppe anlegen

Zunächst wird eine Benutzergruppe benötigt.
Hierzu muss unter Authentifizierung Benutzer  Bereich Gruppen Schaltfläche Gruppe hinzufügen angeklickt werden.
Gruppe hinzufügen UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer UTM v12.6 HTTP Proxy-Authentifizierung Gruppe hinzufuegen Proxy Group.png
Gruppenname: Proxy-Group Eindeutigen Namen wählen
  • Es darf kein Leerzeichen verwendet werden.
  • HTTP-Proxy: Ein Funktion HTTP-Proxy aktivieren
    Speichern und schließen
    Speichert die Einstellungen und schließt den Dialog
    Wenn später verschiedene Proxy-Nutzer unterschiedlich behandelt werden sollen, dann können weitere Gruppen angelegt werden.

    Benutzer anlegen

    Als nächstes muss unter Authentifizierung Benutzer  Bereich Benutzer Schaltfläche Benutzer hinzufügen angeklickt werden. Benutzer hinzufügen UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer UTM v12.6 HTTP Proxy-Authentifizierung Benutzer hinzufuegen Allgemein.pngGruppe bearbeiten und HTTP-Proxy aktivieren
    Anmeldename: User1 Anmeldenamen vergeben
    Passwort:     Sicheres Passwort vergeben
    Passwort bestätigen:     Passwort erneut eingeben
    Gruppen: »Proxy-Group Zuvor eingestellte Gruppe auswählen
    Speichern und schließen
    Speichert die Einstellungen und schließt den Dialog
    Dieser Vorgang muss für jeden Benutzer, der angelegt werden soll, wiederholt werden.
    Weitere Informationen zur Benutzerverwaltung finden sich hier.

    Authentifizierung im HTTP-Proxy aktivieren

    Die Authentifizierung im HTTP-Proxy kann unter Anwendungen HTTP-Proxy  Bereich Allgemein aktiviert werden. HTTP-Proxy UTMbenutzer@firewall.name.fqdnAnwendungen UTM v12.6 HTTP Proxy-Authentifizierung HTTP-Proxy Allgemein.pngAuthentifizierungsmethode "Basic"
    Authentifizierungsmethode: Basic Methode im Drop-Down Menü auswählen
    Speichern
    Speichert die Einstellungen
    Wenn nun ein (wie oben vorbereiteter) Browser gestartet wird, so erscheint eine Authentifizierungsabfrage vor dem Aufbau der ersten Webseite die aufgerufen wird. Win7 FF Userauth.png
    Authentifizierungsabfrage

    Authentifizierung mit Active Directory

    Zunächst muss dafür gesorgt werden, dass die UTM die Domäne auch findet.
    Unter Netzwerk Servereinstellungen kann im Abschnitt DNS-Server die localhost IP-Adresse eingetragen werden.
    Servereinstellungen UTMbenutzer@firewall.name.fqdn UTM v12.6 HTTP Proxy-Authentifizierung Primaerer Nameserver.pngLocalhost IP-Adresse eintragen
    Primärer Nameserver: 127.0.0.1 Localhost IP-Adresse eintragen
    Speichern
    Speichert die Einstellungen
    Anschließend muss Anwendungen Nameserver  Bereich Zonen Schaltfläche Relay-Zone hinzufügen aufgerufen werden, um eine neue Relay-Zone mit der lokalen Domain und der IP-Adresse des Domain-Controllers anzulegen.
    Zonenname: securepoint.local Zonennamen wählen Relay-Zone hinzufügen UTMbenutzer@firewall.name.fqdnRelay-Zone hinzufügenNameserver UTM v12.6 HTTP Proxy-Authentifizierung Relay-Zone hinzufuegen securepoint local.pngRelay-Zone hinzufügen
    Typ: Realy Typ "Relay" auswählen
    + Server hinzufügen IP-Adresse eingeben und Port auswählen.
    Dann
    Speichern und schließen
    Speichern und schließen
    Speichert die Einstellungen und schließt den Dialog

    UTM an das Active Directory anbinden

    Um die UTM an das Active Directory anbinden zu können, muss unter Authentifizierung AD/LDAP Authentifizierung die Schaltfläche
    Assistent
    geklickt werden. Daraufhin müssen die vier Schritte des Assistenten durchlaufen werden.
    Schritt 1: Verzeichnistyp
    Verzeichnistyp: AD - Active Directory Das Active Directory wählen AD/LDAP Authentifizierungs Assistent UTMbenutzer@firewall.name.fqdnAuthentifizierungAD/LDAP Authentifizierung UTM v12.6 HTTP Proxy-Authentifizierung AD LDAP Assistent Schritt 1.pngAD/LDAP Authentifizierungs Assistent Schritt 1
    Weiter Weiter zu Schritt 2
    Schritt 2: Einstellungen
    UTM v12.6 HTTP Proxy-Authentifizierung AD LDAP Assistent Schritt 2.png
    AD/LDAP Authentifizierungs Assistent Schritt 2
    IP oder Hostname: »ldap.ttt-point.de Namen wählen
  • Die Adresse muss der lokalen Umgebung angepasst werden!
  • Domain: securepoint.local Domäne eintragen
    Arbeitsgruppe: securepoint Voreingestellt
    Appliance Account: UTM Voreingestellt
    Weiter Weiter zu Schritt 3
    Schritt 3: Nameserver
    UTM v12.6 HTTP Proxy-Authentifizierung AD LDAP Assistent Schritt 3.png
    AD/LDAP Authentifizierungs Assistent Schritt 3
    Wenn dieser Schritt bereits gemacht wurde, dann ist die IP-Adresse bereits voreingestellt.
    Falls nicht, so kann über + Server hinzufügen die IP-Adresse eingetragen werden.
    Weiter Weiter zu Schritt 4
    Schritt 4: Beitreten
    UTM v12.6 HTTP Proxy-Authentifizierung AD LDAP Assistent Schritt 4.png
    AD/LDAP Authentifizierungs Assistent Schritt 4
    Administratorname: Administrator Namen wählen
    Passwort:     Sicheres Passwort vergeben
    Fertig Schließt den Vorgang ab
    Wenn alles richtig funktioniert hat, so zeigt der Verbindungsstatus: nun einen grünen Kreis an. AD/LDAP Authentifizierung UTMbenutzer@firewall.name.fqdnAuthentifizierung Assistent UTM v12.6 HTTP Proxy-Authentifizierung AD LDAP Assistent fertig.pngAD/LDAP Authentifizierung Abgeschlossen

    Proxy-Nutzer Gruppe anlegen für das Active Directory

    Zunächst wird eine Benutzergruppe benötigt.
    Hierzu muss unter Authentifizierung Benutzer  Bereich Gruppen Schaltfläche Gruppe hinzufügen angeklickt werden.
    Gruppe hinzufügen UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer UTM v12.6 HTTP Proxy-Authentifizierung Gruppe hinzufuegen Proxy Group.png
    Gruppenname: Proxy-Group Eindeutigen Namen wählen
  • Es darf kein Leerzeichen verwendet werden.
  • HTTP-Proxy: Ein Funktion HTTP-Proxy aktivieren
    Speichern und schließen
    Speichert die Einstellungen und schließt den Dialog
    Wenn später verschiedene Proxy-Nutzer unterschiedlich behandelt werden sollen, dann können weitere Gruppen angelegt werden.

    Authentifizierung im HTTP-Proxy aktivieren für das Active Directory

    Um die Authentifizierung am Proxy aktivieren zu können, muss unter → Anwendungen →HTTP-ProxyReiter Allgemein die Authentifizierungsmethode auf NTLM/Kerberos eingestellt werden. HTTP-Proxy UTMbenutzer@firewall.name.fqdnAnwendungen HTTP-Proxy Log UTM v12.6 HTTP Proxy-Authentifizierung HTTP-Proxy NTLM.pngAuthentifizierungsmethode NTLM/Kerberos
    Authentifizierungsmethode: NTLM/Kerberos Methode im Drop-Down Menü auswählen
    Speichern
    Speichert die Einstellungen
    Die Authentifizierungsmethode NTLM hat den Vorteil, dass der Proxy nicht mehr beim Öffnen des Web-Browser den Nutzernamen und das Passwort abfragt. Die Authentifizierung erfolgt in diesem Fall schon beim Starten des Betriebssystems mit der Anmeldung an die Domain.