Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Einschränkung der Internetbenutzung

Frage Microsoft Windows Netzwerk

Mitglied: Holla

Holla (Level 1) - Jetzt verbinden

30.11.2010, aktualisiert 14:28 Uhr, 3529 Aufrufe, 6 Kommentare

Hallo zusammen,

ich bin auf der Suche nach einer gute und kostengünstigen Lösung (Software oder Hardware), die den Zugriff auf das Internet anhand von Organisationseinheiten bzw. Benutzergruppen steuert.

Mit Zugriff meine ich den rausgehenden Traffic auf bestimmten Ports (z.B. 80 und 443).

Wir haben derzeit eine Juniper Firewall SSG, die in Kombination mit dem „Network Policy Server“ diese Funktion bietet. Der Nachteil an dieser Lösung ist aber, dass der User sich bei der Benutzung des Webbrowsers jedes Mal authentifizieren muss.

Da die gesuchte Lösung ja eine klassische Aufgabe für einen Proxy-Server ist, habe ich mir "Squid" angeschaut. Leider verläuft hier die Authentifizierung nach dem gleichen Schema (siehe Bild).

8cc54e87f0a071241e7ef69d5578a862 - Klicke auf das Bild, um es zu vergrößern

Ich würde mich freuen, wenn Ihr mir ein paar Lösungsansätze mit ca. Kosten (über den dicken Daumen) geben könntet.

Unsere Netzwerk Umgebung besteht aus Windows Servern (2003 und 2008) und Windows Clients (XP und Win7). Alle Clients sind im gleichen IP-Bereich (halbes Class C bzw. /25).

Vielen Dank im Voraus
Michael



Quellenangabe Bild - http://www.squid-handbuch.de/hb/node5_id.html
Mitglied: aqui
30.11.2010 um 14:37 Uhr
Das ist doch auch gewollt das man sich authentifizieren muss ! Wie oder nach was willst du denn sonst den Zugriff steuern ???
Wenns nur Port TCP 80 oder 443 ist kannst du ja sonst ne simple ACL in der FW definieren und schaltest die Web Authentisierung ab !
Ansonsten ist deine Fragestellung etwas unklar..??
Bitte warten ..
Mitglied: Holla
30.11.2010 um 15:01 Uhr
Hallo Aqui,

ich stelle mir vor (hypothetisch), dass es auch eine Lösung gibt bei der man sich nicht aktiv mit Benutzernamen und Passwort authentifizieren muss. Zum Beispiel über die Abfrage eines Zertifikates im persönlichen Zertifikatspeicher. Analog zu diversen VPN Authentifizierungen-Methoden auf Basis von PEAP-TLS oder EAP-TLS.

Ein anderer hypothetischer Ansatz währe z.B. das der Proxy-Server prüft von welcher IP-Adresse die Anfrage kommt und dann beim Domänencontroller anfragt, wer an dieser Workstation angemeldet ist und ob der User zu einer bestimmten Gruppe gehört.

Vielleicht gibt es auch eine Lösung, bei der in Abhängigkeit vom angemeldeten User die Workstation in einen anderen IP-Bereich/VLan verschoben wird. So etwas Ähnliches ist in Abhängigkeit der Systemintegritätsprüfung machbar. Aber leider nicht auf Basis eine Gruppenzugehörigkeit.

Gruß
Michael
Bitte warten ..
Mitglied: daMopsi
30.11.2010 um 15:13 Uhr
Hallo Holla,

Ein anderer hypothetischer Ansatz währe z.B. das der Proxy-Server prüft von welcher IP-Adresse die Anfrage kommt und
dann beim Domänencontroller anfragt, wer an dieser Workstation angemeldet ist und ob der User zu einer bestimmten Gruppe
gehört.


all genau das kann der Squid-Proxy.
Squid authentifiziert sich als Domänenmitglied am Domänencontroller
und kann mit Hilfe von bestimmten ACL's Benutzereinschränkungen durchführen
Authentifizierung läuft über ntlm im Hintergrund beim öffnen einer Webseite ab.

Was besseres wie Squid wirst du als Proxy so schnell nicht finden
Bitte warten ..
Mitglied: Holla
30.11.2010 um 15:20 Uhr
Hallo daMopsi,

vielen Dank für die Information. Beim Lesen der Squid-Doku hat sich mir diese Funktion nicht erschlossen. Ich werde meine Recherche im Squid-Forum und –Wiki vertiefen. Danke.

Michael
Bitte warten ..
Mitglied: tikayevent
30.11.2010 um 15:34 Uhr
Squid + Auth_NTLM + SquidGuard und schon macht die ganze Sache Spaß.

Firefox (mit entsprechender Konfiguration) und Internet Explorer melden sich automatisch am Proxy an, also vollkommen transparent für den Benutzer. Opera solls auch können.
Bitte warten ..
Mitglied: dog
30.11.2010 um 19:45 Uhr
Was besseres wie Squid wirst du als Proxy so schnell nicht finden

In homogenen Windows-Umgebungen finde ich den ISA immer besser, aber auch wesentlich teurer.

Der kann über den Firewall-Client auch so nette Sachen wie allen Traffic zwischen Client und ISA verschlüsseln und auch Nicht-Web-Traffic einem Benutzer zuordnen. (Allerdings würde ich persönlich davon abraten)
Bitte warten ..
Ähnliche Inhalte
Windows Server
GPO - Einschränkungen über Gruppenrichtlinien
Frage von Didi2014Windows Server4 Kommentare

Hallo, habe in einer Übung folgende Fragestellung: "In der Abteilung „Einkauf“ arbeiten 10 Mitarbeiter. Alle Mitarbeiter befinden sich in ...

Exchange Server
Exchange 2007 + Einschränkung bei Nachrichtengröße
Frage von Fitzel69Exchange Server8 Kommentare

Hallo zusammen, anbei folgendes Problem: Wir setzen Outlook 2010 auf den Clients und als Server den Exchange 2007 ein. ...

Windows Server
Einschränkung Programmzugriff Terminalserver
Frage von DerAllesMachenMussWindows Server12 Kommentare

Hallo zusammen, auf unserem Terminalserver (2012 R2) sind etwa 30 Benutzer angemeldet. Auf dem Server ist unter anderem Office ...

LAN, WAN, Wireless
Zwei Netze mit Einschränkungen verbinden
Frage von MojitooLAN, WAN, Wireless13 Kommentare

Hallo! Ich hab zwei Netzwerke vorhanden: Netz1: 192.168.102.x - 255.255.255.0 Netz2: 192.168.2.x - 255.255.255.0 Ich möchte nun, dass die ...

Neue Wissensbeiträge
Batch & Shell

Open Object Rexx: Eine mittlerweile fast vergessene Skriptsprache aus dem Mainframebereich

Information von Penny.Cilin vor 6 StundenBatch & Shell7 Kommentare

Ich kann mich noch sehr gut an diese Skriptsprache erinnern und nutze diese auch heute ab und an noch. ...

Humor (lol)

"gimme gimme gimme": Automatischer Test stolpert über Easter Egg im man-Tool

Information von Penny.Cilin vor 8 StundenHumor (lol)6 Kommentare

Interessant, was man so alles als Easter Egg implementiert. Ist schon wieder Ostern? "gimme gimme gimme": Automatischer Test stolpert ...

MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 23 StundenMikroTik RouterOS8 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Information von BassFishFox vor 1 TagSicherheit1 Kommentar

Ein weiterer Grund, dass Drucker keinerlei Verbindung nach "auswaerts" haben sollen. Unter Verwendung spezieller Malware können Angreifer aus der ...

Heiß diskutierte Inhalte
Windows Server
RDP macht Server schneller???
Frage von JaniDJWindows Server17 Kommentare

Hallo Community, wir betrieben seit geraumer Zeit diverse virtuelle Maschinen und Server mit Windows Server 2012. Leider haben wir ...

Windows 10
Windows 10 dunkler Bildschirm nach Umfallen
Frage von AkcentWindows 1015 Kommentare

Hallo, habe hier einen Windows 10 Rechner der von einem User umgefallen wurde (Beine übers Knie, an den PC ...

Windows 10
Bitlocker nach Verschlüsselung nicht mehr aufrufbar!
gelöst Frage von alexlazaWindows 1013 Kommentare

Hallo, ich besitze ein HP ZBook 17 G4 mit einem Windows 10 Pro Betriebssystem. Bei diesem Problem handelt sich, ...

Batch & Shell
Neuste Datei via PowerShell kopieren
gelöst Frage von kaiuwe28Batch & Shell11 Kommentare

Hallo zusammen, ich hatte mir mit Hilfe der Suche im Forum einen kleinen Code von colinardo rausgesucht und versucht ...