Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Watchguard Firebox X5500e und SSO mit AD

Frage Sicherheit Firewall

Mitglied: derhoeppi

derhoeppi (Level 2) - Jetzt verbinden

25.06.2010 um 10:33 Uhr, 8408 Aufrufe, 9 Kommentare

Hallo Leute,

wir haben hier eine Watchguard Firebox X5500e mit der Firmware 11.2.3 stehen. Mit der Watchguard wollen wir unseren ISA Server ablösen - bzw. eine weitere Sicherheitsstufe davor aufbauen. Bei uns im Unternehmen gibt es eine AD Gruppe, die den Mitarbeitern das Surfen im Internet gestattet. Für alle anderen ist das Internet tabu. Wir wollen nun ähnliches mit der Watchguard realisieren. Dazu habe ich jedoch ein paar Fragen. Wir verwalten eine Domain. In dieser Domain gibt es zahlreiche Sub OU's in denen sich die User befinden. Wenn ich nun im Policy Manager der Watchguard unter Setup->Authentication->Authentication Servers bin und dort den Reiter Active Directory aufschlage, dann habe ich dort die IP eines DC's angeben und in der Search Base "dc=domain". Bei dem Group String und dem Login Attribute habe ich nichts verändert. Hier ist nun meine Frage wie ich das ganze kontrollieren kann?

Die zweite Frage ist, wie richte ich SSO ein? DIe Hilfe der Watchguard ist dabei nicht sehr aussagekräftig. Ich habe auf einem DC den SSO Agent / Gateway installiert und SSO über die WebGui (da ich es in der Konsole nicht gefunden habe) aktiviert. Wie kann ich die Funktion von SSO überprüfen?

Gruß
derhoeppi
Mitglied: guenterpick
25.06.2010 um 12:43 Uhr
Hallo,

bei Search-Base muss der vollständige Domainname (wie angeben mit Komma usw.) eingegeben werden:
Beispiel:

test.mustermann.com

dann:
dc=test,dc=mustermann,dc=com

Bei Group-String gibt man member of und bei login-Attributa sAmaAccountname ein

Danach legt man in der AD eine Gruppe an: z. B. Internet_all und Internet_standard usw.,
sortiert dann die User ein.

Im Policy Manager kann man dann der AD-Gruppe, die einzelnen Policies zuweisen. Hier empfiehlt sich auch mehrere Proxys anzulegen.
Benutzer mit beschränkten und mit Vollzugriff.

Ob der SSO-Agent funktioniert sieht man im Reiter Authenication List des System Managers. Dort sollten dann alle NAmen zu sehen sein.

Viel Spaß mit der Watchguard. Wenn man sie mal ins Herz geschlossen hat, gibt es nichts besseres.

Grüße

Günter
Bitte warten ..
Mitglied: derhoeppi
25.06.2010 um 13:35 Uhr
Hallo quenterpick,

ich lege mir also im AD eine Gruppe (G-Internet) an. In der Watchguard gehe ich wieder in die Authentication Server und geben bei SearchBase "dc=domain" ein. Unsere Domain heißt nur domain.local. Von daher müsste doch meine SearchBase ausreichen.

Wenn ich nur die AD Authentication nutze, bekommen die AD User dann eine Abfrage? Unser Provider der uns die Watchguard bereitstellt ist der Meinung, dass dann eine Abfrage kommt, deshalb haben wir uns gedanken zum SSO gemacht.

Gruß
derhoeppi
Bitte warten ..
Mitglied: 45877
25.06.2010 um 13:39 Uhr
Hallo,

dc=domain, dc=local
muss es heissen..
Bitte warten ..
Mitglied: derhoeppi
25.06.2010 um 16:20 Uhr
Hallo Leute,

ich habe diese Änderungen vorgenommen. Im Policy Manager unter Setup -> Authentication -> Authetication Users/Groups habe ich eine Gruppe hinzugefügt, die G-Internet heißt. Beschreibung habe ich leer gelassen und den Auth Server aufs AD eingestellt. Wenn ich nun mit meinem Testclient surfen möchte, kann er mir die Seite nicht anzeigen. Im Host Watch sehe ich das der Client geblockt wird.

Ich habe das Gefühl, dass die WG gar nicht meinen Domain Server fragt.

Wie ist das eigentlich mit der Authentifiezierung im AD. Bekomme ich eine LoginPage oder lässt er mich einfach so durch? Benötige ich für die Watchguard einen Proxy Eintrag im Internet Explorer?

Gruß
derhoeppi
Bitte warten ..
Mitglied: 45877
25.06.2010 um 16:39 Uhr
Hallo,

ob der proxy transparent ist muss im Handbuch stehen, aber SSO proxies sind meist nicht transparent.
Bei der Watchguard kann man bestimmt den Proxy Port ändern, da siehst du dann auch welcher es aktuell ist (meist 8080).
Bitte warten ..
Mitglied: derhoeppi
25.06.2010 um 16:55 Uhr
Hallo Chewbakka,

wir sind es bisher gewohnt, dass wir im IE einen Proxy Eintrag setzen müssen. Bei der Watchguard erhoffen wir uns eigentlich, dass sich dieser Eintrag erledigt, so dass es ein Transparenter Proxy ist - jedoch mit Authentifizierung. User muss in der AD-Gruppe G-Internet sein und die Watchguard prüft ob es der Fall ist. Wenn ja soll er den User ins Internet lassen und wenn nicht eine Fehlermeldung bringen oder eben eine Loginseite, die man vielleicht modifizieren kann.

Da sich meine Fähigkeiten auf den ISA Server beschränken, wäre ich über jede Hilfe froh.

Gruß
derhoeppi
Bitte warten ..
Mitglied: guenterpick
26.06.2010 um 15:35 Uhr
Hallo,

Wenn alles korrekt wie beschrieben eingerichtet ist, kommen alle ins Internet die dürfen. Alle anderen werden geblockt.

Wenn Du eine Loginseite möchtest, dann musst Du die Firebox-User aktivieren. Dazu muss aber jeder angelegt werden. Eignet sich nur bei kleinen Netzwerken

Grüße
Bitte warten ..
Mitglied: derhoeppi
28.06.2010 um 07:51 Uhr
Hallo quenterpick,

das hört sich so an, wie wir es gern hätten. Momentan ist es leider noch nicht so. Bekommen die Leute die nicht in meiner Gruppe G-Internet sind eine Fehlermeldung oder einfach nur "Die Seite kann nicht angezeigt werden." vom IE? Kann man diese Seite vielleicht auch noch editieren?

Gruß
derhoeppi
Bitte warten ..
Mitglied: derhoeppi
28.06.2010 um 19:25 Uhr
Hallo an alle,

wir haben es heute hinbekommen. Jedoch verstehe ich eins nicht. Warum funktioniert die AD Abfrage nur wenn ich in der WebGUI SSO aktiviere. Zum einen interessiert es mich, ob einer von euch die SSO Einstellung im System Manager gefunden hat (Firmware 11.2.3) und zum anderen warum ich SSO in der WebGUI nicht mehr deaktivieren kann.

An alle die eine Watchguard mit einem AD betreiben haben ich eine weitere Frage. Ich habe in meinem HTTP Proxy die Gruppe G-Internet als Gruppe hinzugefügt. Wenn ich nun den Host Watcher beobachte und ich surfe, tauchen zwei Dinge auf. Zum einen die Gruppe G-Internet und zum anderen mein AD CN@ActiveDirectory. Mich verwunder es nur dahingehend, dass ich nun nicht weiß, ob er etwas über SSO gemacht hat oder er das ActiveDirectory gefragt hat. Funktioniert die AD Abfrage überhaupt ohne SSO?

Gruß
derhoeppi
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows Netzwerk
gelöst Netzwerkkonzept mit neuer Firewall Watchguard Firebox M200 (11)

Frage von mario87 zum Thema Windows Netzwerk ...

Windows Server
Windows Server 2012 R2 Benutzerkonto für Zugriff auf AD Benutzer (1)

Frage von JulianOhm zum Thema Windows Server ...

Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

Windows Server
AD-Berechtigungen von zwei Servern miteinander vergleichen (3)

Frage von s0m3ting zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...