Proxy mit AD/Kerberos Authentifizierung

1. offizieller Beitrag

    Hallo an alle,

    ich teste mich gerade an die Endian Firewall ran und würde den Proxy nun gern so einrichten, dass die Benutzer sich gegenüber dem Proxy Authentifizieren müssen. Dazu habe ich bereits im Proxy die Authentifizierungsmethode "Windows Active Directory (NTLM)" eingerichtet. Dies funktioniert auch soweit und ich kann Regeln auf Basis meiner AD-Gruppen anlegen.

    Nun habe ich gehofft, dass der Client beim Authentifizieren gegenüber dem Proxy kein Kennwort eingeben muss, sondern das die Integrierte Windows-Authentifizierung greift. Leider kommt immer wieder im IE oder Firefox die Kennwortabfrage. Gibt man dort, die Benutzerdaten ein, dann gehts weiter.

    Kann Endian keine Windows Integrierte Authentifizierung (NTLM oder Kerberos) am Client?

    Als Version kommt die 2.4.1 zum Einsatz.

    Viele Grüße
    taucher4000

    • Offizieller Beitrag

    Moin,
    da du über den Browser auf den Proxy der Endian zugreifst kann die Endian ja nicht sehen welcher User da am Rechner sitzt.
    Der Browser übermittelt ja nicht den Benutzernamen und das Passwort von dem der am Rechner sitzt.
    Es geht ja darum das sich keiner der nicht zur Domäne gehört über die Endian ins Internet schleichen kann. S
    oweit Funktioniert das ja bei dir, jemand will über der Proxy ins Internet und der Proxy schaut nach ob es den User gibt wenn er sich Authentifiziert.

    Gruß Sabine

    EFW Version im Einsatz:
    2 x Endian UTM Enterprise Software Appliance 3.0.5
    1 x Endian Community 3.2.4
    2 x 2.5.1
    8 x 2.2 Final

    Hallo Sabine,

    da muss ich dir leider widersprechen. Der Browser (wie z.B. IE oder Firefox) übermitteln die Benutzerdaten mit Hilfe des NTLM-Protokolls (siehe hier: http://de.wikipedia.org/wiki/NTLM). Das ganze habe ich mit einem selbst kompilierten Squid in Verbindung mit winbind und SquidGuard auch schon am laufen. Wenn der Benutzer im AD bekannt ist, dann wird der Benutzer ohne Benutzername/Kennwort Abfrage gegenüber den Proxy authentifiziert. Wenn der Benutzer nicht bekannt ist, so kommt ein Login-Fenster.

    Ich habe nun gehofft, das Endian dies auch kann, da man die ACLs mit Endian viel besser verwalten kann.

    Gruß Taucher40000

    • Offizieller Beitrag

    Hallo taucher4000,
    das ist mir nicht bekannt das die Endian das kann, ich hatte das auch schon bei mir laufen und fand das mit der Abfrage sehr gut,
    der normale Benutzer glaubt dann mehr Kontrolliert zu werden.
    Das müsste aber auch mit der Endian zu machen sein, vielleicht findet sich noch jemand im Forum der das gemacht hat.

    Gruß sabine

    EFW Version im Einsatz:
    2 x Endian UTM Enterprise Software Appliance 3.0.5
    1 x Endian Community 3.2.4
    2 x 2.5.1
    8 x 2.2 Final