Seitenhistorie

...

Description:

In einigen Szenarien ist es gewünscht, dass Benutzer auf einem Terminal-Server nur dann Zugriff zum Internet erhalten, wenn diese sich zuerst authentifizieren. Dies kann über die LANCOM R&S®Unified Firewall mit einer lokalen Benutzer-Authentifizierung in Verbindung mit dem intransparenten HTTP-Proxy realisiert werden.

Some scenarios require users on a terminal server to have access to the Internet only if they authenticate themselves first. This can be implemented using the LANCOM R&S®Unified Firewall with local user authentication in combination with the non-transparent HTTP proxy.

This article describes how to use the non-transparent HTTP proxy on a LANCOM R&S®Unified Firewall with local user authentication in terminal-server environmentsIn diesem Artikel wird beschrieben, wie in Terminal-Server Umgebungen der intransparente HTTP-Proxy in Verbindung mit einer lokalen Benutzer-Authentifizierung auf einer LANCOM R&S®Unified Firewall verwendet werden kann.

Requirements:

• LANCOM R&S® Unified Firewall mit  with LCOS FX ab Version as of version 10.4
• Bereits eingerichtete und funktionsfähige Internet-Verbindung samt lokalem Netzwerk auf der Unified Firewall
• Für das lokale Netzwerk darf es keine Firewall-Regeln geben, die HTTP und HTTPS erlauben!
• A configured and functional Internet connection with local network on the Unified Firewall
• The local network cannot have any firewall rules that allow HTTP and HTTPS!
• Web browser for configuring the Unified Firewall.
  
  The following browsers are supportedWeb-Browser zur Konfiguration der Unified Firewall.
  Es werden folgende Browser unterstützt:
  • Google Chrome
  • Chromium
  • Mozilla Firefox

Procedure:

1. Konfigurations-Schritte auf der ) Configuration steps on the Unified Firewall:

1.1 Konfiguration des HTTP-Proxy und der Benutzerauthentifizierung) Configuration of the HTTP proxy and user authentication:

1.1.1 Öffnen Sie die Konfigurations-Oberfläche der Unified Firewall im Web-Browser und wechseln in das Menü ) Open the configuration interface of the Unified Firewall in your browser and go to the menu UTM → Proxy → HTTP Proxy Settings.

1.1.2 Wählen Sie bei ) Under Plain HTTP Proxy und HTTPS Proxy jeweils die Option Intransparent aus und aktivieren die Client Authentication.proxy and HTTPS proxy, select the option non-transparent for each entry, and activate client authentication.

Then click on Klicken Sie anschließend auf Save.

1.1.3 Wechseln Sie in das Menü ) Navigate to the menu User Authentication → Internal Portal → Settings.

1.1.4 Passen Sie folgende Parameter an und klicken auf Save:) Modify the following parameters and then click Save:

• Use the slider to activate the Internal PortalAktivieren Sie das Internal Portal über den Schieberegler.
• Login Mode: Wählen Sie einen für Ihr Szenario geeigneten Modus aus. In diesem Beispiel ist nur die Single Login erlaubtChoose a mode suitable for your scenario. In this example, only Single Login is allowed.
• Web Login Port: Dieser Port wird für den Zugriff auf die Authentifizierungs-Seite der Unified Firewall verwendet. Wird der hier angegebene Port bereits anderweitig verwendet (etwa durch den Reverse Proxy), muss der Port hier abgeändert werden (etwa auf This port is used to access the authentication page of the Unified Firewall. If the port specified here is already being used elsewhere (e.g. by the reverse proxy), the port must be changed here (e.g. to 8443).

1.2 Aktivieren der Benutzerauthentifizierung für das verwendete Netzwerk- und/oder Host-Objekt:Damit Netzwerk-Teilnehmer sich im Netzwerk anmelden können, muss die Anmeldung im verwendeten Netzwerk- und/oder Host-Objekt erlaubt werden) Activating user authentication for the network and/or host object used:

In order for network users to log in to the network, login must be allowed in the network and/or host object being used.

1.2.1 Netzwerk-Objekt:

Klicken Sie auf dem Desktop auf das Netzwerk-Objekt und wählen das "Stift-Symbol" aus, um in die Einstellungen zu gelangen.

Image Removed

) Network object:

On the desktop, click on the Network object and select the pencil icon to get to the settings.

Image Added

Make sure that Allow login is activatedStellen Sie sicher, dass die Allow login ist.

1.2.2) Host -Objektobject:

Klicken Sie auf das Host-Objekt und wählen das "Stift-Symbol" aus, um in die Einstellungen zu gelangen.

Image Removed

Click on the Host object and select the pencil icon to get to the settings.

Image Added

Make sure that Allow login is activatedStellen Sie sicher, dass die Allow login ist.

1.3 Erstellen eines lokalen Benutzers samt Firewall-Regeln auf der ) Create a local user with firewall rules on the Unified Firewall:

1.3.1 Wechseln Sie in das Menü ) Change to the menu User Authentication → Local Users und klicken auf das "Plus-Zeichen", um einen neuen lokalen Benutzer zu erstellen and click on the “+” icon to create a new local user.

1.3.2 Vergeben Sie als User Name einen aussagekräftigen Namen und geben ein Password ein. klicken Sie anschließend auf ) Set the User name as a meaningful name and enter a password. Then click on Create.

1.3.3 Klicken Sie auf das Symbol zum Erstellen eines Benutzer-Objektes auf dem Desktop) Click the icon on the desktop to create a new user.

1.3.4. Passen Sie folgende Parameter an und klicken auf Erstellen) Modify the following parameters and then click Create:

• Object Name: Vergeben Sie einen aussagekräftigen NamenEnter a descriptive name.
• User Name: Wählen Sie den in Schritt Select the user created in step 1.3.2 erstellten Benutzer aus.

1.3.5. Klicken Sie auf dem Desktop auf das in Schritt ) On the desktop, click the user object created in step 1.3.4 erstellte Benutzer-Objekt, wählen das Verbindungswerkzeug aus und klicken auf das Internet-Objekt, um die Regeln aufzurufen., select the connection tool and click the Internet object to invoke the rules.

1.3.6 Fügen Sie die Protokolle HTTP und HTTPS aus der Liste auf der rechten Seite hinzu) Add the protocols HTTP and HTTPS from the list on the right.

1.3.7 Klicken Sie nacheinander bei HTTP und HTTPS unter Options jeweils auf NAT, um die erweiterten Einstellungen zu öffnen) For HTTP and HTTPS under Options, click NAT to open the advanced settings for each entry.

1.3.8 Setzen Sie jeweils den Haken bei Enable Proxy for this service und klicken auf ) For each one, check the box next to Enable proxy for this service and click on OK.

1.3.9 Klicken Sie auf Create, um die Regeln zu erstellen) Click Create to generate the firewall rule.

1.3.10 Klicken Sie abschließend auf Activate, damit die vorgenommenen Einstellungen übernommen werden) Finally, implement the changes by clicking Activate.

2. Eintragen des HTTP-Proxy in den Web-Browser eines Netzwerk-Teilnehmers:

Tragen Sie den HTTP-Proxy im Web-Browser eines Netzwerk-Teilnehmers ein wie im Knowledge Base Artikel HTTP(S)-Proxy einer LANCOM R&S®Unified Firewall nur im Browser verwenden in Schritt 4. beschrieben.

3. Export des HTTP-Proxy Zertifikats und Import auf dem Netzwerk-Teilnehmer:

) Entering the HTTP proxy in the web browser of a network user:

Enter the HTTP proxy into the web browser of a network user as described in the Knowledge Base article Use the HTTP(S) proxy of a LANCOM R&S®Unified Firewall only in the browser under step 4.

3) Export of the HTTP proxy certificate and import it for network users:

Export the HTTP proxy certificate and import it for each network user. The procedure is described for a Windows PC in the Knowledge Base article Exportieren Sie das HTTP-Proxy Zertifikat und importieren dieses auf dem Netzwerk-Teilnehmer. Die Vorgehensweise ist für einen Windows PC in dem Knowledge Base Artikel LANCOM R&S®Unified Firewall: Configuring the HTTP(S) proxy to use UTM functions in Schritt step 3. beschrieben.

4) Authenticating a network user with the local user via web browser4. Authentifizierung eines Netzwerk-Teilnehmers mit dem lokalen Benutzer per Web-Browser:

4.1 Wird im Web-Browser eine Webseite aufgerufen, erfolgt automatisch eine Umleitung auf die Login-Seite. Geben Sie dort die Login-Daten ein (siehe Schritt ) If a web browser tries to access a website, it automatically redirects to the login page. Enter the login data there (see step 1.3.2).

4.2 Der Netzwerk-Teilnehmer kann nach der erfolgreichen Authentifizierung mit dem Internet kommunizieren) After successfully authenticating, the network user can communicate with the Internet.