Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Einschränkung der Internetbenutzung

Frage Microsoft Windows Netzwerk

Mitglied: Holla

Holla (Level 1) - Jetzt verbinden

30.11.2010, aktualisiert 14:28 Uhr, 3482 Aufrufe, 6 Kommentare

Hallo zusammen,

ich bin auf der Suche nach einer gute und kostengünstigen Lösung (Software oder Hardware), die den Zugriff auf das Internet anhand von Organisationseinheiten bzw. Benutzergruppen steuert.

Mit Zugriff meine ich den rausgehenden Traffic auf bestimmten Ports (z.B. 80 und 443).

Wir haben derzeit eine Juniper Firewall SSG, die in Kombination mit dem „Network Policy Server“ diese Funktion bietet. Der Nachteil an dieser Lösung ist aber, dass der User sich bei der Benutzung des Webbrowsers jedes Mal authentifizieren muss.

Da die gesuchte Lösung ja eine klassische Aufgabe für einen Proxy-Server ist, habe ich mir "Squid" angeschaut. Leider verläuft hier die Authentifizierung nach dem gleichen Schema (siehe Bild).

8cc54e87f0a071241e7ef69d5578a862 - Klicke auf das Bild, um es zu vergrößern

Ich würde mich freuen, wenn Ihr mir ein paar Lösungsansätze mit ca. Kosten (über den dicken Daumen) geben könntet.

Unsere Netzwerk Umgebung besteht aus Windows Servern (2003 und 2008) und Windows Clients (XP und Win7). Alle Clients sind im gleichen IP-Bereich (halbes Class C bzw. /25).

Vielen Dank im Voraus
Michael



Quellenangabe Bild - http://www.squid-handbuch.de/hb/node5_id.html
Mitglied: aqui
30.11.2010 um 14:37 Uhr
Das ist doch auch gewollt das man sich authentifizieren muss ! Wie oder nach was willst du denn sonst den Zugriff steuern ???
Wenns nur Port TCP 80 oder 443 ist kannst du ja sonst ne simple ACL in der FW definieren und schaltest die Web Authentisierung ab !
Ansonsten ist deine Fragestellung etwas unklar..??
Bitte warten ..
Mitglied: Holla
30.11.2010 um 15:01 Uhr
Hallo Aqui,

ich stelle mir vor (hypothetisch), dass es auch eine Lösung gibt bei der man sich nicht aktiv mit Benutzernamen und Passwort authentifizieren muss. Zum Beispiel über die Abfrage eines Zertifikates im persönlichen Zertifikatspeicher. Analog zu diversen VPN Authentifizierungen-Methoden auf Basis von PEAP-TLS oder EAP-TLS.

Ein anderer hypothetischer Ansatz währe z.B. das der Proxy-Server prüft von welcher IP-Adresse die Anfrage kommt und dann beim Domänencontroller anfragt, wer an dieser Workstation angemeldet ist und ob der User zu einer bestimmten Gruppe gehört.

Vielleicht gibt es auch eine Lösung, bei der in Abhängigkeit vom angemeldeten User die Workstation in einen anderen IP-Bereich/VLan verschoben wird. So etwas Ähnliches ist in Abhängigkeit der Systemintegritätsprüfung machbar. Aber leider nicht auf Basis eine Gruppenzugehörigkeit.

Gruß
Michael
Bitte warten ..
Mitglied: daMopsi
30.11.2010 um 15:13 Uhr
Hallo Holla,

Ein anderer hypothetischer Ansatz währe z.B. das der Proxy-Server prüft von welcher IP-Adresse die Anfrage kommt und
dann beim Domänencontroller anfragt, wer an dieser Workstation angemeldet ist und ob der User zu einer bestimmten Gruppe
gehört.


all genau das kann der Squid-Proxy.
Squid authentifiziert sich als Domänenmitglied am Domänencontroller
und kann mit Hilfe von bestimmten ACL's Benutzereinschränkungen durchführen
Authentifizierung läuft über ntlm im Hintergrund beim öffnen einer Webseite ab.

Was besseres wie Squid wirst du als Proxy so schnell nicht finden
Bitte warten ..
Mitglied: Holla
30.11.2010 um 15:20 Uhr
Hallo daMopsi,

vielen Dank für die Information. Beim Lesen der Squid-Doku hat sich mir diese Funktion nicht erschlossen. Ich werde meine Recherche im Squid-Forum und –Wiki vertiefen. Danke.

Michael
Bitte warten ..
Mitglied: tikayevent
30.11.2010 um 15:34 Uhr
Squid + Auth_NTLM + SquidGuard und schon macht die ganze Sache Spaß.

Firefox (mit entsprechender Konfiguration) und Internet Explorer melden sich automatisch am Proxy an, also vollkommen transparent für den Benutzer. Opera solls auch können.
Bitte warten ..
Mitglied: dog
30.11.2010 um 19:45 Uhr
Was besseres wie Squid wirst du als Proxy so schnell nicht finden

In homogenen Windows-Umgebungen finde ich den ISA immer besser, aber auch wesentlich teurer.

Der kann über den Firewall-Client auch so nette Sachen wie allen Traffic zwischen Client und ISA verschlüsseln und auch Nicht-Web-Traffic einem Benutzer zuordnen. (Allerdings würde ich persönlich davon abraten)
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Update
WSUS - trotz Einschränkung sind Updates für alle Produkte dabei?! (10)

Frage von tobitobsn zum Thema Windows Update ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...

Windows Tools
gelöst Aussendienst Datensynchronisierung (12)

Frage von lighningcrow zum Thema Windows Tools ...

Windows Server
Suche passender Treiber (12)

Frage von stolli zum Thema Windows Server ...