Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Watchguard Firebox X5500e und SSO mit AD

Mitglied: derhoeppi

derhoeppi (Level 2) - Jetzt verbinden

25.06.2010 um 10:33 Uhr, 8892 Aufrufe, 9 Kommentare

Hallo Leute,

wir haben hier eine Watchguard Firebox X5500e mit der Firmware 11.2.3 stehen. Mit der Watchguard wollen wir unseren ISA Server ablösen - bzw. eine weitere Sicherheitsstufe davor aufbauen. Bei uns im Unternehmen gibt es eine AD Gruppe, die den Mitarbeitern das Surfen im Internet gestattet. Für alle anderen ist das Internet tabu. Wir wollen nun ähnliches mit der Watchguard realisieren. Dazu habe ich jedoch ein paar Fragen. Wir verwalten eine Domain. In dieser Domain gibt es zahlreiche Sub OU's in denen sich die User befinden. Wenn ich nun im Policy Manager der Watchguard unter Setup->Authentication->Authentication Servers bin und dort den Reiter Active Directory aufschlage, dann habe ich dort die IP eines DC's angeben und in der Search Base "dc=domain". Bei dem Group String und dem Login Attribute habe ich nichts verändert. Hier ist nun meine Frage wie ich das ganze kontrollieren kann?

Die zweite Frage ist, wie richte ich SSO ein? DIe Hilfe der Watchguard ist dabei nicht sehr aussagekräftig. Ich habe auf einem DC den SSO Agent / Gateway installiert und SSO über die WebGui (da ich es in der Konsole nicht gefunden habe) aktiviert. Wie kann ich die Funktion von SSO überprüfen?

Gruß
derhoeppi
Mitglied: guenterpick
25.06.2010 um 12:43 Uhr
Hallo,

bei Search-Base muss der vollständige Domainname (wie angeben mit Komma usw.) eingegeben werden:
Beispiel:

test.mustermann.com

dann:
dc=test,dc=mustermann,dc=com

Bei Group-String gibt man member of und bei login-Attributa sAmaAccountname ein

Danach legt man in der AD eine Gruppe an: z. B. Internet_all und Internet_standard usw.,
sortiert dann die User ein.

Im Policy Manager kann man dann der AD-Gruppe, die einzelnen Policies zuweisen. Hier empfiehlt sich auch mehrere Proxys anzulegen.
Benutzer mit beschränkten und mit Vollzugriff.

Ob der SSO-Agent funktioniert sieht man im Reiter Authenication List des System Managers. Dort sollten dann alle NAmen zu sehen sein.

Viel Spaß mit der Watchguard. Wenn man sie mal ins Herz geschlossen hat, gibt es nichts besseres.

Grüße

Günter
Bitte warten ..
Mitglied: derhoeppi
25.06.2010 um 13:35 Uhr
Hallo quenterpick,

ich lege mir also im AD eine Gruppe (G-Internet) an. In der Watchguard gehe ich wieder in die Authentication Server und geben bei SearchBase "dc=domain" ein. Unsere Domain heißt nur domain.local. Von daher müsste doch meine SearchBase ausreichen.

Wenn ich nur die AD Authentication nutze, bekommen die AD User dann eine Abfrage? Unser Provider der uns die Watchguard bereitstellt ist der Meinung, dass dann eine Abfrage kommt, deshalb haben wir uns gedanken zum SSO gemacht.

Gruß
derhoeppi
Bitte warten ..
Mitglied: 45877
25.06.2010 um 13:39 Uhr
Hallo,

dc=domain, dc=local
muss es heissen..
Bitte warten ..
Mitglied: derhoeppi
25.06.2010 um 16:20 Uhr
Hallo Leute,

ich habe diese Änderungen vorgenommen. Im Policy Manager unter Setup -> Authentication -> Authetication Users/Groups habe ich eine Gruppe hinzugefügt, die G-Internet heißt. Beschreibung habe ich leer gelassen und den Auth Server aufs AD eingestellt. Wenn ich nun mit meinem Testclient surfen möchte, kann er mir die Seite nicht anzeigen. Im Host Watch sehe ich das der Client geblockt wird.

Ich habe das Gefühl, dass die WG gar nicht meinen Domain Server fragt.

Wie ist das eigentlich mit der Authentifiezierung im AD. Bekomme ich eine LoginPage oder lässt er mich einfach so durch? Benötige ich für die Watchguard einen Proxy Eintrag im Internet Explorer?

Gruß
derhoeppi
Bitte warten ..
Mitglied: 45877
25.06.2010 um 16:39 Uhr
Hallo,

ob der proxy transparent ist muss im Handbuch stehen, aber SSO proxies sind meist nicht transparent.
Bei der Watchguard kann man bestimmt den Proxy Port ändern, da siehst du dann auch welcher es aktuell ist (meist 8080).
Bitte warten ..
Mitglied: derhoeppi
25.06.2010 um 16:55 Uhr
Hallo Chewbakka,

wir sind es bisher gewohnt, dass wir im IE einen Proxy Eintrag setzen müssen. Bei der Watchguard erhoffen wir uns eigentlich, dass sich dieser Eintrag erledigt, so dass es ein Transparenter Proxy ist - jedoch mit Authentifizierung. User muss in der AD-Gruppe G-Internet sein und die Watchguard prüft ob es der Fall ist. Wenn ja soll er den User ins Internet lassen und wenn nicht eine Fehlermeldung bringen oder eben eine Loginseite, die man vielleicht modifizieren kann.

Da sich meine Fähigkeiten auf den ISA Server beschränken, wäre ich über jede Hilfe froh.

Gruß
derhoeppi
Bitte warten ..
Mitglied: guenterpick
26.06.2010 um 15:35 Uhr
Hallo,

Wenn alles korrekt wie beschrieben eingerichtet ist, kommen alle ins Internet die dürfen. Alle anderen werden geblockt.

Wenn Du eine Loginseite möchtest, dann musst Du die Firebox-User aktivieren. Dazu muss aber jeder angelegt werden. Eignet sich nur bei kleinen Netzwerken

Grüße
Bitte warten ..
Mitglied: derhoeppi
28.06.2010 um 07:51 Uhr
Hallo quenterpick,

das hört sich so an, wie wir es gern hätten. Momentan ist es leider noch nicht so. Bekommen die Leute die nicht in meiner Gruppe G-Internet sind eine Fehlermeldung oder einfach nur "Die Seite kann nicht angezeigt werden." vom IE? Kann man diese Seite vielleicht auch noch editieren?

Gruß
derhoeppi
Bitte warten ..
Mitglied: derhoeppi
28.06.2010 um 19:25 Uhr
Hallo an alle,

wir haben es heute hinbekommen. Jedoch verstehe ich eins nicht. Warum funktioniert die AD Abfrage nur wenn ich in der WebGUI SSO aktiviere. Zum einen interessiert es mich, ob einer von euch die SSO Einstellung im System Manager gefunden hat (Firmware 11.2.3) und zum anderen warum ich SSO in der WebGUI nicht mehr deaktivieren kann.

An alle die eine Watchguard mit einem AD betreiben haben ich eine weitere Frage. Ich habe in meinem HTTP Proxy die Gruppe G-Internet als Gruppe hinzugefügt. Wenn ich nun den Host Watcher beobachte und ich surfe, tauchen zwei Dinge auf. Zum einen die Gruppe G-Internet und zum anderen mein AD CN@ActiveDirectory. Mich verwunder es nur dahingehend, dass ich nun nicht weiß, ob er etwas über SSO gemacht hat oder er das ActiveDirectory gefragt hat. Funktioniert die AD Abfrage überhaupt ohne SSO?

Gruß
derhoeppi
Bitte warten ..
Ähnliche Inhalte
Router & Routing
WatchGuard Firebox X700
Frage von amgm2006Router & Routing8 Kommentare

Hallo, uns ist ein Rechner agbeschmiert, wo die Firebox X700 Konfiguriert wurde. Jetzt finden wir die Passende Software nicht ...

Router & Routing

Watchguard Firebox T15 hinter Speedport Hybrid

gelöst Frage von greatmgmRouter & Routing7 Kommentare

Hallo zusammen, geht sowas irgendwie oder gibt es ein HowTo für. Das Speedport selber lässt sich ja weder als ...

DSL, VDSL

WatchGuard Firebox T15 mit Allnet ALL-MC115VDSL Modem

gelöst Frage von thomasjayDSL, VDSL12 Kommentare

Hallo zusammen, wir möchten gerne über die WatchGuard Firebox T15 ins Internet via (Netcologne VDSL) und einem Allnet ALL-MC115VDSL ...

Windows Netzwerk

Netzwerkkonzept mit neuer Firewall Watchguard Firebox M200

gelöst Frage von mario87Windows Netzwerk11 Kommentare

Hallo zusammen, unser Netzwerk ist langsam aber sicher voll. Es handelt sich um ein Class C-Netz. Nun soll eine ...

Neue Wissensbeiträge
Windows 7

Windows 7 - Server 2008 R2: Exploit für Total Meltdown verfügbar

Information von kgborn vor 19 StundenWindows 7

Kleine Information für Administratoren, die für die Updates von Windows 7 SP1 und Windows Server 2008 R2 SP1 verantwortlich ...

Sicherheit

Zero Day-Schwachstelle im Internet Explorer - wird von APT bereits ausgenutzt

Information von kgborn vor 1 TagSicherheit

Im Kernel des Internet Explorer scheint es eine Zero Day-Lücke zu geben, die von staatlichen Akteuren (APT) im Rahmen ...

Microsoft
Folder Security Viewer-Lizenzen zu gewinnen
Information von kgborn vor 1 TagMicrosoft

Ich nehme das Thema mal in Absprache mit Frank hier auf, da es für den einen oder anderen Administrator ...

Hardware

Feueralarm killt Festplatten in Rechenzentrum - führt zu größerem Ausfall

Information von kgborn vor 1 TagHardware12 Kommentare

Noch ein kleiner Beitrag für Administratoren, die in Rechenzentren aktiv sind - so als Fingerzeig. Denn es gibt Szenarien, ...

Heiß diskutierte Inhalte
Linux
Linux Server oder Windows Server - lohnt eine Umstellung auf Linux und ebenso basierende SW bei einer langfristigen Planung?
Frage von motus5Linux27 Kommentare

Wir brauchen bei uns einen neuen Server. Dieser wird als Fileserver, Domäne Controller sowie Exchange Server verwendet. Wir versuchen ...

C und C++
Frage1 C Programmierung-Makefile Frage2 PHP-Programmierung HTTP-Fehler 404
Frage von KatalinaC und C++24 Kommentare

Hallo, ich habe 2 Fragen, die nichts miteinander zu tun haben aber mit denen ich mich gerade beschäftige: 1. ...

LAN, WAN, Wireless
Watchguard T15 VPN Einrichtung
gelöst Frage von thomasjayLAN, WAN, Wireless22 Kommentare

Hallo zusammen, wir möchten gerne über unsere Watchguard T15 einen VPN-Tunnel (Mobile VPN with IPSec) einrichten! Als Client nutzen ...

DSL, VDSL
ISP Wechsel auf Vodefone Koax, Gebäudeverkabelung nur per Cat 7
gelöst Frage von wusa88DSL, VDSL18 Kommentare

Hallo Zusammen, ich bin momentan bei Mnet als Glasfaser Kunde und möchte Preis/Leistungs-Technisch zu Kabel Deutschland / Vodafone wechseln. ...