Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Watchguard Firebox X5500e und SSO mit AD

Frage Sicherheit Firewall

Mitglied: derhoeppi

derhoeppi (Level 2) - Jetzt verbinden

25.06.2010 um 10:33 Uhr, 8577 Aufrufe, 9 Kommentare

Hallo Leute,

wir haben hier eine Watchguard Firebox X5500e mit der Firmware 11.2.3 stehen. Mit der Watchguard wollen wir unseren ISA Server ablösen - bzw. eine weitere Sicherheitsstufe davor aufbauen. Bei uns im Unternehmen gibt es eine AD Gruppe, die den Mitarbeitern das Surfen im Internet gestattet. Für alle anderen ist das Internet tabu. Wir wollen nun ähnliches mit der Watchguard realisieren. Dazu habe ich jedoch ein paar Fragen. Wir verwalten eine Domain. In dieser Domain gibt es zahlreiche Sub OU's in denen sich die User befinden. Wenn ich nun im Policy Manager der Watchguard unter Setup->Authentication->Authentication Servers bin und dort den Reiter Active Directory aufschlage, dann habe ich dort die IP eines DC's angeben und in der Search Base "dc=domain". Bei dem Group String und dem Login Attribute habe ich nichts verändert. Hier ist nun meine Frage wie ich das ganze kontrollieren kann?

Die zweite Frage ist, wie richte ich SSO ein? DIe Hilfe der Watchguard ist dabei nicht sehr aussagekräftig. Ich habe auf einem DC den SSO Agent / Gateway installiert und SSO über die WebGui (da ich es in der Konsole nicht gefunden habe) aktiviert. Wie kann ich die Funktion von SSO überprüfen?

Gruß
derhoeppi
Mitglied: guenterpick
25.06.2010 um 12:43 Uhr
Hallo,

bei Search-Base muss der vollständige Domainname (wie angeben mit Komma usw.) eingegeben werden:
Beispiel:

test.mustermann.com

dann:
dc=test,dc=mustermann,dc=com

Bei Group-String gibt man member of und bei login-Attributa sAmaAccountname ein

Danach legt man in der AD eine Gruppe an: z. B. Internet_all und Internet_standard usw.,
sortiert dann die User ein.

Im Policy Manager kann man dann der AD-Gruppe, die einzelnen Policies zuweisen. Hier empfiehlt sich auch mehrere Proxys anzulegen.
Benutzer mit beschränkten und mit Vollzugriff.

Ob der SSO-Agent funktioniert sieht man im Reiter Authenication List des System Managers. Dort sollten dann alle NAmen zu sehen sein.

Viel Spaß mit der Watchguard. Wenn man sie mal ins Herz geschlossen hat, gibt es nichts besseres.

Grüße

Günter
Bitte warten ..
Mitglied: derhoeppi
25.06.2010 um 13:35 Uhr
Hallo quenterpick,

ich lege mir also im AD eine Gruppe (G-Internet) an. In der Watchguard gehe ich wieder in die Authentication Server und geben bei SearchBase "dc=domain" ein. Unsere Domain heißt nur domain.local. Von daher müsste doch meine SearchBase ausreichen.

Wenn ich nur die AD Authentication nutze, bekommen die AD User dann eine Abfrage? Unser Provider der uns die Watchguard bereitstellt ist der Meinung, dass dann eine Abfrage kommt, deshalb haben wir uns gedanken zum SSO gemacht.

Gruß
derhoeppi
Bitte warten ..
Mitglied: 45877
25.06.2010 um 13:39 Uhr
Hallo,

dc=domain, dc=local
muss es heissen..
Bitte warten ..
Mitglied: derhoeppi
25.06.2010 um 16:20 Uhr
Hallo Leute,

ich habe diese Änderungen vorgenommen. Im Policy Manager unter Setup -> Authentication -> Authetication Users/Groups habe ich eine Gruppe hinzugefügt, die G-Internet heißt. Beschreibung habe ich leer gelassen und den Auth Server aufs AD eingestellt. Wenn ich nun mit meinem Testclient surfen möchte, kann er mir die Seite nicht anzeigen. Im Host Watch sehe ich das der Client geblockt wird.

Ich habe das Gefühl, dass die WG gar nicht meinen Domain Server fragt.

Wie ist das eigentlich mit der Authentifiezierung im AD. Bekomme ich eine LoginPage oder lässt er mich einfach so durch? Benötige ich für die Watchguard einen Proxy Eintrag im Internet Explorer?

Gruß
derhoeppi
Bitte warten ..
Mitglied: 45877
25.06.2010 um 16:39 Uhr
Hallo,

ob der proxy transparent ist muss im Handbuch stehen, aber SSO proxies sind meist nicht transparent.
Bei der Watchguard kann man bestimmt den Proxy Port ändern, da siehst du dann auch welcher es aktuell ist (meist 8080).
Bitte warten ..
Mitglied: derhoeppi
25.06.2010 um 16:55 Uhr
Hallo Chewbakka,

wir sind es bisher gewohnt, dass wir im IE einen Proxy Eintrag setzen müssen. Bei der Watchguard erhoffen wir uns eigentlich, dass sich dieser Eintrag erledigt, so dass es ein Transparenter Proxy ist - jedoch mit Authentifizierung. User muss in der AD-Gruppe G-Internet sein und die Watchguard prüft ob es der Fall ist. Wenn ja soll er den User ins Internet lassen und wenn nicht eine Fehlermeldung bringen oder eben eine Loginseite, die man vielleicht modifizieren kann.

Da sich meine Fähigkeiten auf den ISA Server beschränken, wäre ich über jede Hilfe froh.

Gruß
derhoeppi
Bitte warten ..
Mitglied: guenterpick
26.06.2010 um 15:35 Uhr
Hallo,

Wenn alles korrekt wie beschrieben eingerichtet ist, kommen alle ins Internet die dürfen. Alle anderen werden geblockt.

Wenn Du eine Loginseite möchtest, dann musst Du die Firebox-User aktivieren. Dazu muss aber jeder angelegt werden. Eignet sich nur bei kleinen Netzwerken

Grüße
Bitte warten ..
Mitglied: derhoeppi
28.06.2010 um 07:51 Uhr
Hallo quenterpick,

das hört sich so an, wie wir es gern hätten. Momentan ist es leider noch nicht so. Bekommen die Leute die nicht in meiner Gruppe G-Internet sind eine Fehlermeldung oder einfach nur "Die Seite kann nicht angezeigt werden." vom IE? Kann man diese Seite vielleicht auch noch editieren?

Gruß
derhoeppi
Bitte warten ..
Mitglied: derhoeppi
28.06.2010 um 19:25 Uhr
Hallo an alle,

wir haben es heute hinbekommen. Jedoch verstehe ich eins nicht. Warum funktioniert die AD Abfrage nur wenn ich in der WebGUI SSO aktiviere. Zum einen interessiert es mich, ob einer von euch die SSO Einstellung im System Manager gefunden hat (Firmware 11.2.3) und zum anderen warum ich SSO in der WebGUI nicht mehr deaktivieren kann.

An alle die eine Watchguard mit einem AD betreiben haben ich eine weitere Frage. Ich habe in meinem HTTP Proxy die Gruppe G-Internet als Gruppe hinzugefügt. Wenn ich nun den Host Watcher beobachte und ich surfe, tauchen zwei Dinge auf. Zum einen die Gruppe G-Internet und zum anderen mein AD CN@ActiveDirectory. Mich verwunder es nur dahingehend, dass ich nun nicht weiß, ob er etwas über SSO gemacht hat oder er das ActiveDirectory gefragt hat. Funktioniert die AD Abfrage überhaupt ohne SSO?

Gruß
derhoeppi
Bitte warten ..
Ähnliche Inhalte
Windows Server
WSUS in Samba AD (3)

Frage von NerfNed zum Thema Windows Server ...

Windows Server
gelöst AD RMS - Sharepoint mag ihn nicht (1)

Frage von DerWoWusste zum Thema Windows Server ...

Windows Server
Windows Server 2012R2 - Ausfall AD, DNS etc. nach Update (14)

Frage von m8ichael zum Thema Windows Server ...

Exchange Server
gelöst Reste von Exchange-Postfach aus AD-Benutzer entfernen (2)

Frage von Pretorian zum Thema Exchange Server ...

Neue Wissensbeiträge
Tipps & Tricks

Wie Hackt man sich am besten in ein Computernetzwerk ein

(29)

Erfahrungsbericht von Herbrich19 zum Thema Tipps & Tricks ...

Humor (lol)

Bester Vorschlag eines Supporttechnikers ever: APC

(15)

Erfahrungsbericht von DerWoWusste zum Thema Humor (lol) ...

Windows Server

Exchange 2010 Active Directory und Windows Server 2016

(4)

Erfahrungsbericht von Herbrich19 zum Thema Windows Server ...

Heiß diskutierte Inhalte
Internet
gelöst Mitarbeiter surft auf unerwünschter Seite - Wie damit umgehen? (52)

Frage von sabines zum Thema Internet ...

Netzwerke
LAN2LAN Verbindung sehr langsam flaschenhals gesucht (27)

Frage von PixL86 zum Thema Netzwerke ...

Router & Routing
PFsense - Netzverbindung steht, aber kein Internet vorhanden (25)

Frage von aschmid zum Thema Router & Routing ...

Windows Server
gelöst Windows 2016 Hyper-V und VHDS (19)

Frage von emeriks zum Thema Windows Server ...