6
Einschränkung der Internetbenutzung
Hallo zusammen,
ich bin auf der Suche nach einer gute und kostengünstigen Lösung (Software oder Hardware), die den Zugriff auf das Internet anhand von Organisationseinheiten bzw. Benutzergruppen steuert.
Mit Zugriff meine ich den rausgehenden Traffic auf bestimmten Ports (z.B. 80 und 443).
Wir haben derzeit eine Juniper Firewall SSG, die in Kombination mit dem „Network Policy Server“ diese Funktion bietet. Der Nachteil an dieser Lösung ist aber, dass der User sich bei der Benutzung des Webbrowsers jedes Mal authentifizieren muss.
Da die gesuchte Lösung ja eine klassische Aufgabe für einen Proxy-Server ist, habe ich mir "Squid" angeschaut. Leider verläuft hier die Authentifizierung nach dem gleichen Schema (siehe Bild).
Ich würde mich freuen, wenn Ihr mir ein paar Lösungsansätze mit ca. Kosten (über den dicken Daumen) geben könntet.
Unsere Netzwerk Umgebung besteht aus Windows Servern (2003 und 2008) und Windows Clients (XP und Win7). Alle Clients sind im gleichen IP-Bereich (halbes Class C bzw. /25).
Vielen Dank im Voraus
Michael
Quellenangabe Bild - http://www.squid-handbuch.de/hb/node5_id.html
Wir haben derzeit eine Juniper Firewall SSG, die in Kombination mit dem „Network Policy Server“ diese Funktion bietet. Der Nachteil an dieser Lösung ist aber, dass der User sich bei der Benutzung des Webbrowsers jedes Mal authentifizieren muss.
Da die gesuchte Lösung ja eine klassische Aufgabe für einen Proxy-Server ist, habe ich mir "Squid" angeschaut. Leider verläuft hier die Authentifizierung nach dem gleichen Schema (siehe Bild).
Ich würde mich freuen, wenn Ihr mir ein paar Lösungsansätze mit ca. Kosten (über den dicken Daumen) geben könntet.
Unsere Netzwerk Umgebung besteht aus Windows Servern (2003 und 2008) und Windows Clients (XP und Win7). Alle Clients sind im gleichen IP-Bereich (halbes Class C bzw. /25).
Vielen Dank im Voraus
Michael
Quellenangabe Bild - http://www.squid-handbuch.de/hb/node5_id.html
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 156046
Url: https://administrator.de/contentid/156046
Printed on: April 27, 2024 at 05:04 o'clock
6 Comments
Latest comment
Das ist doch auch gewollt das man sich authentifizieren muss ! Wie oder nach was willst du denn sonst den Zugriff steuern ???
Wenns nur Port TCP 80 oder 443 ist kannst du ja sonst ne simple ACL in der FW definieren und schaltest die Web Authentisierung ab !
Ansonsten ist deine Fragestellung etwas unklar..??
Wenns nur Port TCP 80 oder 443 ist kannst du ja sonst ne simple ACL in der FW definieren und schaltest die Web Authentisierung ab !
Ansonsten ist deine Fragestellung etwas unklar..??
Hallo Aqui,
ich stelle mir vor (hypothetisch), dass es auch eine Lösung gibt bei der man sich nicht aktiv mit Benutzernamen und Passwort authentifizieren muss. Zum Beispiel über die Abfrage eines Zertifikates im persönlichen Zertifikatspeicher. Analog zu diversen VPN Authentifizierungen-Methoden auf Basis von PEAP-TLS oder EAP-TLS.
Ein anderer hypothetischer Ansatz währe z.B. das der Proxy-Server prüft von welcher IP-Adresse die Anfrage kommt und dann beim Domänencontroller anfragt, wer an dieser Workstation angemeldet ist und ob der User zu einer bestimmten Gruppe gehört.
Vielleicht gibt es auch eine Lösung, bei der in Abhängigkeit vom angemeldeten User die Workstation in einen anderen IP-Bereich/VLan verschoben wird. So etwas Ähnliches ist in Abhängigkeit der Systemintegritätsprüfung machbar. Aber leider nicht auf Basis eine Gruppenzugehörigkeit.
Gruß
Michael
ich stelle mir vor (hypothetisch), dass es auch eine Lösung gibt bei der man sich nicht aktiv mit Benutzernamen und Passwort authentifizieren muss. Zum Beispiel über die Abfrage eines Zertifikates im persönlichen Zertifikatspeicher. Analog zu diversen VPN Authentifizierungen-Methoden auf Basis von PEAP-TLS oder EAP-TLS.
Ein anderer hypothetischer Ansatz währe z.B. das der Proxy-Server prüft von welcher IP-Adresse die Anfrage kommt und dann beim Domänencontroller anfragt, wer an dieser Workstation angemeldet ist und ob der User zu einer bestimmten Gruppe gehört.
Vielleicht gibt es auch eine Lösung, bei der in Abhängigkeit vom angemeldeten User die Workstation in einen anderen IP-Bereich/VLan verschoben wird. So etwas Ähnliches ist in Abhängigkeit der Systemintegritätsprüfung machbar. Aber leider nicht auf Basis eine Gruppenzugehörigkeit.
Gruß
Michael
Hallo Holla,
all genau das kann der Squid-Proxy.
Squid authentifiziert sich als Domänenmitglied am Domänencontroller
und kann mit Hilfe von bestimmten ACL's Benutzereinschränkungen durchführen
Authentifizierung läuft über ntlm im Hintergrund beim öffnen einer Webseite ab.
Was besseres wie Squid wirst du als Proxy so schnell nicht finden
Ein anderer hypothetischer Ansatz währe z.B. das der Proxy-Server prüft von welcher IP-Adresse die Anfrage kommt und
dann beim Domänencontroller anfragt, wer an dieser Workstation angemeldet ist und ob der User zu einer bestimmten Gruppe
gehört.
dann beim Domänencontroller anfragt, wer an dieser Workstation angemeldet ist und ob der User zu einer bestimmten Gruppe
gehört.
all genau das kann der Squid-Proxy.
Squid authentifiziert sich als Domänenmitglied am Domänencontroller
und kann mit Hilfe von bestimmten ACL's Benutzereinschränkungen durchführen
Authentifizierung läuft über ntlm im Hintergrund beim öffnen einer Webseite ab.
Was besseres wie Squid wirst du als Proxy so schnell nicht finden
Hallo daMopsi,
vielen Dank für die Information. Beim Lesen der Squid-Doku hat sich mir diese Funktion nicht erschlossen. Ich werde meine Recherche im Squid-Forum und –Wiki vertiefen. Danke.
Michael
vielen Dank für die Information. Beim Lesen der Squid-Doku hat sich mir diese Funktion nicht erschlossen. Ich werde meine Recherche im Squid-Forum und –Wiki vertiefen. Danke.
Michael
Squid + Auth_NTLM + SquidGuard und schon macht die ganze Sache Spaß.
Firefox (mit entsprechender Konfiguration) und Internet Explorer melden sich automatisch am Proxy an, also vollkommen transparent für den Benutzer. Opera solls auch können.
Firefox (mit entsprechender Konfiguration) und Internet Explorer melden sich automatisch am Proxy an, also vollkommen transparent für den Benutzer. Opera solls auch können.
Was besseres wie Squid wirst du als Proxy so schnell nicht finden
In homogenen Windows-Umgebungen finde ich den ISA immer besser, aber auch wesentlich teurer.
Der kann über den Firewall-Client auch so nette Sachen wie allen Traffic zwischen Client und ISA verschlüsseln und auch Nicht-Web-Traffic einem Benutzer zuordnen. (Allerdings würde ich persönlich davon abraten)