Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Einschränkung der Internetbenutzung

Mitglied: Holla

Holla (Level 1) - Jetzt verbinden

30.11.2010, aktualisiert 14:28 Uhr, 3557 Aufrufe, 6 Kommentare

Hallo zusammen,

ich bin auf der Suche nach einer gute und kostengünstigen Lösung (Software oder Hardware), die den Zugriff auf das Internet anhand von Organisationseinheiten bzw. Benutzergruppen steuert.

Mit Zugriff meine ich den rausgehenden Traffic auf bestimmten Ports (z.B. 80 und 443).

Wir haben derzeit eine Juniper Firewall SSG, die in Kombination mit dem „Network Policy Server“ diese Funktion bietet. Der Nachteil an dieser Lösung ist aber, dass der User sich bei der Benutzung des Webbrowsers jedes Mal authentifizieren muss.

Da die gesuchte Lösung ja eine klassische Aufgabe für einen Proxy-Server ist, habe ich mir "Squid" angeschaut. Leider verläuft hier die Authentifizierung nach dem gleichen Schema (siehe Bild).

8cc54e87f0a071241e7ef69d5578a862 - Klicke auf das Bild, um es zu vergrößern

Ich würde mich freuen, wenn Ihr mir ein paar Lösungsansätze mit ca. Kosten (über den dicken Daumen) geben könntet.

Unsere Netzwerk Umgebung besteht aus Windows Servern (2003 und 2008) und Windows Clients (XP und Win7). Alle Clients sind im gleichen IP-Bereich (halbes Class C bzw. /25).

Vielen Dank im Voraus
Michael



Quellenangabe Bild - http://www.squid-handbuch.de/hb/node5_id.html
Mitglied: aqui
30.11.2010 um 14:37 Uhr
Das ist doch auch gewollt das man sich authentifizieren muss ! Wie oder nach was willst du denn sonst den Zugriff steuern ???
Wenns nur Port TCP 80 oder 443 ist kannst du ja sonst ne simple ACL in der FW definieren und schaltest die Web Authentisierung ab !
Ansonsten ist deine Fragestellung etwas unklar..??
Bitte warten ..
Mitglied: Holla
30.11.2010 um 15:01 Uhr
Hallo Aqui,

ich stelle mir vor (hypothetisch), dass es auch eine Lösung gibt bei der man sich nicht aktiv mit Benutzernamen und Passwort authentifizieren muss. Zum Beispiel über die Abfrage eines Zertifikates im persönlichen Zertifikatspeicher. Analog zu diversen VPN Authentifizierungen-Methoden auf Basis von PEAP-TLS oder EAP-TLS.

Ein anderer hypothetischer Ansatz währe z.B. das der Proxy-Server prüft von welcher IP-Adresse die Anfrage kommt und dann beim Domänencontroller anfragt, wer an dieser Workstation angemeldet ist und ob der User zu einer bestimmten Gruppe gehört.

Vielleicht gibt es auch eine Lösung, bei der in Abhängigkeit vom angemeldeten User die Workstation in einen anderen IP-Bereich/VLan verschoben wird. So etwas Ähnliches ist in Abhängigkeit der Systemintegritätsprüfung machbar. Aber leider nicht auf Basis eine Gruppenzugehörigkeit.

Gruß
Michael
Bitte warten ..
Mitglied: daMopsi
30.11.2010 um 15:13 Uhr
Hallo Holla,

Ein anderer hypothetischer Ansatz währe z.B. das der Proxy-Server prüft von welcher IP-Adresse die Anfrage kommt und
dann beim Domänencontroller anfragt, wer an dieser Workstation angemeldet ist und ob der User zu einer bestimmten Gruppe
gehört.


all genau das kann der Squid-Proxy.
Squid authentifiziert sich als Domänenmitglied am Domänencontroller
und kann mit Hilfe von bestimmten ACL's Benutzereinschränkungen durchführen
Authentifizierung läuft über ntlm im Hintergrund beim öffnen einer Webseite ab.

Was besseres wie Squid wirst du als Proxy so schnell nicht finden
Bitte warten ..
Mitglied: Holla
30.11.2010 um 15:20 Uhr
Hallo daMopsi,

vielen Dank für die Information. Beim Lesen der Squid-Doku hat sich mir diese Funktion nicht erschlossen. Ich werde meine Recherche im Squid-Forum und –Wiki vertiefen. Danke.

Michael
Bitte warten ..
Mitglied: tikayevent
30.11.2010 um 15:34 Uhr
Squid + Auth_NTLM + SquidGuard und schon macht die ganze Sache Spaß.

Firefox (mit entsprechender Konfiguration) und Internet Explorer melden sich automatisch am Proxy an, also vollkommen transparent für den Benutzer. Opera solls auch können.
Bitte warten ..
Mitglied: dog
30.11.2010 um 19:45 Uhr
Was besseres wie Squid wirst du als Proxy so schnell nicht finden

In homogenen Windows-Umgebungen finde ich den ISA immer besser, aber auch wesentlich teurer.

Der kann über den Firewall-Client auch so nette Sachen wie allen Traffic zwischen Client und ISA verschlüsseln und auch Nicht-Web-Traffic einem Benutzer zuordnen. (Allerdings würde ich persönlich davon abraten)
Bitte warten ..
Ähnliche Inhalte
Windows Server

GPO - Einschränkungen über Gruppenrichtlinien

Frage von Didi2014Windows Server4 Kommentare

Hallo, habe in einer Übung folgende Fragestellung: "In der Abteilung „Einkauf“ arbeiten 10 Mitarbeiter. Alle Mitarbeiter befinden sich in ...

Exchange Server

Exchange 2007 + Einschränkung bei Nachrichtengröße

Frage von Fitzel69Exchange Server8 Kommentare

Hallo zusammen, anbei folgendes Problem: Wir setzen Outlook 2010 auf den Clients und als Server den Exchange 2007 ein. ...

Windows Server

Einschränkung Programmzugriff Terminalserver

Frage von DerAllesMachenMussWindows Server12 Kommentare

Hallo zusammen, auf unserem Terminalserver (2012 R2) sind etwa 30 Benutzer angemeldet. Auf dem Server ist unter anderem Office ...

Vmware

Free Veeam + Free ESXi - Einschränkungen?

Frage von leon123Vmware3 Kommentare

Hallo zusammen, ist free ESX mit free Veeam (VeamZip) kompatibel? Welche Nachteile habe ich beim Sichern von Exchange wenn ...

Neue Wissensbeiträge
Windows 10

USB Maus und Tastatur versagen Dienst unter Windows 10

Erfahrungsbericht von hardykopff vor 1 TagWindows 105 Kommentare

Da steht man ziemlich dumm da, wenn der PC sich wegen fehlender USB Tastatur und Maus nicht bedienen lässt. ...

Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 2 TagenAdministrator.de Feedback18 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 2 TagenHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 3 TagenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Heiß diskutierte Inhalte
Router & Routing
WRT keine Verbindung zum Web Interface
Frage von ILeonardRouter & Routing15 Kommentare

Hallo, Ich habe einen TP-Link WR841n mit wrt geflasht, das Problem ist ich kann mich mit 192.168.1.1 nicht verbinden. ...

Windows Server
Standortvernetzung zu einem Strato VServer (Windows)
Frage von matzefratze81Windows Server10 Kommentare

Moin, ich komme aus einem Enterprise-Umfeld und habe den Fehler gemacht, dass ich mich auf ein kleines Unternehmen eingelassen ...

Grafikkarten & Monitore
4k EIZO Monitor, Fernseher und Splitter
Frage von LerxxeyGrafikkarten & Monitore9 Kommentare

Hallo Zusammen, vielleicht könnt ihr mir bei einem Problem helfen wo ich einfach nicht mehr weiterkomme Und zwar haben ...

Humor (lol)
Nerd Zeitschrift gesucht
Frage von 2SeitenHumor (lol)6 Kommentare

Hey Zusammen, Ich suche eine Zeitschrift bei der es ums technische Basteln geht. Pc zusammenschrauben, Arduino Projekte, Server Tipps ...