derhoeppi
Goto Top

Watchguard Firebox X5500e und SSO mit AD

Hallo Leute,

wir haben hier eine Watchguard Firebox X5500e mit der Firmware 11.2.3 stehen. Mit der Watchguard wollen wir unseren ISA Server ablösen - bzw. eine weitere Sicherheitsstufe davor aufbauen. Bei uns im Unternehmen gibt es eine AD Gruppe, die den Mitarbeitern das Surfen im Internet gestattet. Für alle anderen ist das Internet tabu. Wir wollen nun ähnliches mit der Watchguard realisieren. Dazu habe ich jedoch ein paar Fragen. Wir verwalten eine Domain. In dieser Domain gibt es zahlreiche Sub OU's in denen sich die User befinden. Wenn ich nun im Policy Manager der Watchguard unter Setup->Authentication->Authentication Servers bin und dort den Reiter Active Directory aufschlage, dann habe ich dort die IP eines DC's angeben und in der Search Base "dc=domain". Bei dem Group String und dem Login Attribute habe ich nichts verändert. Hier ist nun meine Frage wie ich das ganze kontrollieren kann?

Die zweite Frage ist, wie richte ich SSO ein? DIe Hilfe der Watchguard ist dabei nicht sehr aussagekräftig. Ich habe auf einem DC den SSO Agent / Gateway installiert und SSO über die WebGui (da ich es in der Konsole nicht gefunden habe) aktiviert. Wie kann ich die Funktion von SSO überprüfen?

Gruß
derhoeppi

Content-Key: 145658

Url: https://administrator.de/contentid/145658

Ausgedruckt am: 28.03.2024 um 16:03 Uhr

Mitglied: guenterpick
guenterpick 25.06.2010 um 12:43:17 Uhr
Goto Top
Hallo,

bei Search-Base muss der vollständige Domainname (wie angeben mit Komma usw.) eingegeben werden:
Beispiel:

test.mustermann.com

dann:
dc=test,dc=mustermann,dc=com

Bei Group-String gibt man member of und bei login-Attributa sAmaAccountname ein

Danach legt man in der AD eine Gruppe an: z. B. Internet_all und Internet_standard usw.,
sortiert dann die User ein.

Im Policy Manager kann man dann der AD-Gruppe, die einzelnen Policies zuweisen. Hier empfiehlt sich auch mehrere Proxys anzulegen.
Benutzer mit beschränkten und mit Vollzugriff.

Ob der SSO-Agent funktioniert sieht man im Reiter Authenication List des System Managers. Dort sollten dann alle NAmen zu sehen sein.

Viel Spaß mit der Watchguard. Wenn man sie mal ins Herz geschlossen hat, gibt es nichts besseres.

Grüße

Günter
Mitglied: derhoeppi
derhoeppi 25.06.2010 um 13:35:11 Uhr
Goto Top
Hallo quenterpick,

ich lege mir also im AD eine Gruppe (G-Internet) an. In der Watchguard gehe ich wieder in die Authentication Server und geben bei SearchBase "dc=domain" ein. Unsere Domain heißt nur domain.local. Von daher müsste doch meine SearchBase ausreichen.

Wenn ich nur die AD Authentication nutze, bekommen die AD User dann eine Abfrage? Unser Provider der uns die Watchguard bereitstellt ist der Meinung, dass dann eine Abfrage kommt, deshalb haben wir uns gedanken zum SSO gemacht.

Gruß
derhoeppi
Mitglied: 45877
45877 25.06.2010 um 13:39:40 Uhr
Goto Top
Hallo,

dc=domain, dc=local
muss es heissen..
Mitglied: derhoeppi
derhoeppi 25.06.2010 um 16:20:47 Uhr
Goto Top
Hallo Leute,

ich habe diese Änderungen vorgenommen. Im Policy Manager unter Setup -> Authentication -> Authetication Users/Groups habe ich eine Gruppe hinzugefügt, die G-Internet heißt. Beschreibung habe ich leer gelassen und den Auth Server aufs AD eingestellt. Wenn ich nun mit meinem Testclient surfen möchte, kann er mir die Seite nicht anzeigen. Im Host Watch sehe ich das der Client geblockt wird.

Ich habe das Gefühl, dass die WG gar nicht meinen Domain Server fragt.

Wie ist das eigentlich mit der Authentifiezierung im AD. Bekomme ich eine LoginPage oder lässt er mich einfach so durch? Benötige ich für die Watchguard einen Proxy Eintrag im Internet Explorer?

Gruß
derhoeppi
Mitglied: 45877
45877 25.06.2010 um 16:39:01 Uhr
Goto Top
Hallo,

ob der proxy transparent ist muss im Handbuch stehen, aber SSO proxies sind meist nicht transparent.
Bei der Watchguard kann man bestimmt den Proxy Port ändern, da siehst du dann auch welcher es aktuell ist (meist 8080).
Mitglied: derhoeppi
derhoeppi 25.06.2010 um 16:55:39 Uhr
Goto Top
Hallo Chewbakka,

wir sind es bisher gewohnt, dass wir im IE einen Proxy Eintrag setzen müssen. Bei der Watchguard erhoffen wir uns eigentlich, dass sich dieser Eintrag erledigt, so dass es ein Transparenter Proxy ist - jedoch mit Authentifizierung. User muss in der AD-Gruppe G-Internet sein und die Watchguard prüft ob es der Fall ist. Wenn ja soll er den User ins Internet lassen und wenn nicht eine Fehlermeldung bringen oder eben eine Loginseite, die man vielleicht modifizieren kann.

Da sich meine Fähigkeiten auf den ISA Server beschränken, wäre ich über jede Hilfe froh.

Gruß
derhoeppi
Mitglied: guenterpick
guenterpick 26.06.2010 um 15:35:00 Uhr
Goto Top
Hallo,

Wenn alles korrekt wie beschrieben eingerichtet ist, kommen alle ins Internet die dürfen. Alle anderen werden geblockt.

Wenn Du eine Loginseite möchtest, dann musst Du die Firebox-User aktivieren. Dazu muss aber jeder angelegt werden. Eignet sich nur bei kleinen Netzwerken

Grüße
Mitglied: derhoeppi
derhoeppi 28.06.2010 um 07:51:40 Uhr
Goto Top
Hallo quenterpick,

das hört sich so an, wie wir es gern hätten. Momentan ist es leider noch nicht so. Bekommen die Leute die nicht in meiner Gruppe G-Internet sind eine Fehlermeldung oder einfach nur "Die Seite kann nicht angezeigt werden." vom IE? Kann man diese Seite vielleicht auch noch editieren?

Gruß
derhoeppi
Mitglied: derhoeppi
derhoeppi 28.06.2010 um 19:25:39 Uhr
Goto Top
Hallo an alle,

wir haben es heute hinbekommen. Jedoch verstehe ich eins nicht. Warum funktioniert die AD Abfrage nur wenn ich in der WebGUI SSO aktiviere. Zum einen interessiert es mich, ob einer von euch die SSO Einstellung im System Manager gefunden hat (Firmware 11.2.3) und zum anderen warum ich SSO in der WebGUI nicht mehr deaktivieren kann.

An alle die eine Watchguard mit einem AD betreiben haben ich eine weitere Frage. Ich habe in meinem HTTP Proxy die Gruppe G-Internet als Gruppe hinzugefügt. Wenn ich nun den Host Watcher beobachte und ich surfe, tauchen zwei Dinge auf. Zum einen die Gruppe G-Internet und zum anderen mein AD CN@ActiveDirectory. Mich verwunder es nur dahingehend, dass ich nun nicht weiß, ob er etwas über SSO gemacht hat oder er das ActiveDirectory gefragt hat. Funktioniert die AD Abfrage überhaupt ohne SSO?

Gruß
derhoeppi