Skip to end of metadata
Go to start of metadata


Beschreibung:

In einigen Szenarien ist es gewünscht, dass Benutzer auf einem Terminal-Server nur dann Zugriff zum Internet erhalten, wenn diese sich zuerst authentifizieren. Dies kann über die LANCOM R&S®Unified Firewall mit einer lokalen Benutzer-Authentifizierung in Verbindung mit dem intransparenten HTTP-Proxy realisiert werden.

In diesem Artikel wird beschrieben, wie in Terminal-Server Umgebungen der intransparente HTTP-Proxy in Verbindung mit einer lokalen Benutzer-Authentifizierung auf einer LANCOM R&S®Unified Firewall verwendet werden kann.

Die Authentifizierung von Netzwerk-Teilnehmern per Single Sign On an einem Active Directory ist in dem Knowledge Base Artikel Authentifizierung von Netzwerk-Teilnehmern per "Single Sign On" über eine LANCOM R&S®Unified Firewall mittels Gruppenrichtlinie eines Active Directory Servers realisieren beschrieben.



Voraussetzungen:

  • LANCOM R&S® Unified Firewall mit LCOS FX ab Version 10.4
  • Bereits eingerichtete und funktionsfähige Internet-Verbindung samt lokalem Netzwerk auf der Unified Firewall
  • Für das lokale Netzwerk darf es keine Firewall-Regeln geben, die HTTP und HTTPS erlauben!
  • Web-Browser zur Konfiguration der Unified Firewall.

    Es werden folgende Browser unterstützt:
    • Google Chrome
    • Chromium
    • Mozilla Firefox


Vorgehensweise:

1. Konfigurations-Schritte auf der Unified Firewall:

1.1 Konfiguration des HTTP-Proxy und der Benutzerauthentifizierung:

1.1.1 Öffnen Sie die Konfigurations-Oberfläche der Unified Firewall im Web-Browser und wechseln in das Menü UTM → Proxy → HTTP-Proxy-Einstellungen.

1.1.2 Wählen Sie bei Klartext-HTTP-Proxy und HTTPS-Proxy jeweils die Option Intransparent aus und aktivieren die Client-Authentifizierung.

Klicken Sie anschließend auf Speichern.

1.1.3 Wechseln Sie in das Menü Benutzerauthentifizierung → Internes Portal → Einstellungen.

1.1.4 Passen Sie folgende Parameter an und klicken auf Speichern:

  • Aktivieren Sie das Interne Portal über den Schieberegler.
  • Anmelde-Modus: Wählen Sie einen für Ihr Szenario geeigneten Modus aus. In diesem Beispiel ist nur die Einfache Anmeldung erlaubt.
  • Web-Login-Port: Dieser Port wird für den Zugriff auf die Authentifizierungs-Seite der Unified Firewall verwendet. Wird der hier angegebene Port bereits anderweitig verwendet (etwa durch den Reverse Proxy), muss der Port hier abgeändert werden (etwa auf 8443).


1.2 Aktivieren der Benutzerauthentifizierung für das verwendete Netzwerk- und/oder Host-Objekt:

Damit Netzwerk-Teilnehmer sich im Netzwerk anmelden können, muss die Anmeldung im verwendeten Netzwerk- und/oder Host-Objekt erlaubt werden.

1.2.1 Netzwerk-Objekt:

Klicken Sie auf dem Desktop auf das Netzwerk-Objekt und wählen das "Stift-Symbol" aus, um in die Einstellungen zu gelangen.

Stellen Sie sicher, dass die Anmeldung erlaubt ist.

1.2.2 Host-Objekt:

Wiederholen Sie diesen Schritt gegebenenfalls für weitere Host-Objekte.

Klicken Sie auf das Host-Objekt und wählen das "Stift-Symbol" aus, um in die Einstellungen zu gelangen.

Stellen Sie sicher, dass die Anmeldung erlaubt ist.


1.3 Erstellen eines lokalen Benutzers samt Firewall-Regeln auf der Unified Firewall:

Wiederholen Sie diesen Schritt gegebenenfalls für weitere lokale Benutzer. 

1.3.1 Wechseln Sie in das Menü Benutzerauthentifizierung → Lokale Benutzer und klicken auf das "Plus-Zeichen", um einen neuen lokalen Benutzer zu erstellen.

1.3.2 Vergeben Sie als Benutzernamen einen aussagekräftigen Namen und geben ein Kennwort ein. klicken Sie anschließend auf Erstellen.

1.3.3 Klicken Sie auf das Symbol zum Erstellen eines Benutzer-Objektes auf dem Desktop.

1.3.4. Passen Sie folgende Parameter an und klicken auf Erstellen:

  • Objekt-Name: Vergeben Sie einen aussagekräftigen Namen.
  • Benutzername: Wählen Sie den in Schritt 1.3.2 erstellten Benutzer aus.

1.3.5. Klicken Sie auf dem Desktop auf das in Schritt 1.3.4 erstellte Benutzer-Objekt, wählen das Verbindungswerkzeug aus und klicken auf das Internet-Objekt, um die Regeln aufzurufen.

Für das lokale Netzwerk darf es keine Regeln für die Protokolle HTTP und HTTPS geben, da der Datenverkehr sonst nicht über den HTTP-Proxy geleitet und somit umgangen wird!

1.3.6 Fügen Sie die Protokolle HTTP und HTTPS aus der Liste auf der rechten Seite hinzu.

1.3.7 Klicken Sie nacheinander bei HTTP und HTTPS unter Optionen jeweils auf NAT, um die erweiterten Einstellungen zu öffnen.

1.3.8 Setzen Sie jeweils den Haken bei Proxy für diesen Dienst aktivieren und klicken auf OK.

  

1.3.9 Klicken Sie auf Erstellen, um die Regeln zu erstellen.

1.3.10 Klicken Sie abschließend auf Aktivieren, damit die vorgenommenen Einstellungen übernommen werden.



2. Eintragen des HTTP-Proxy in den Web-Browser eines Netzwerk-Teilnehmers:

Tragen Sie den HTTP-Proxy im Web-Browser eines Netzwerk-Teilnehmers ein wie im Knowledge Base Artikel HTTP(S)-Proxy einer LANCOM R&S®Unified Firewall nur im Browser verwenden in Schritt 4. beschrieben.

Gegebenenfalls muss in den Proxy-Einstellungen Ihres Web-Browsers noch eine Ausnahme für die IP-Adresse der Unified Firewall hinterlegt werden, damit ein Zugriff auf die Login-Seite möglich ist.



3. Export des HTTP-Proxy Zertifikats und Import auf dem Netzwerk-Teilnehmer:

Exportieren Sie das HTTP-Proxy Zertifikat und importieren dieses auf dem Netzwerk-Teilnehmer. Die Vorgehensweise ist für einen Windows PC in dem Knowledge Base Artikel LANCOM R&S®Unified Firewall: Konfiguration des HTTP(S)-Proxy zur Nutzung von UTM-Funktionen in Schritt 3. beschrieben.



4. Authentifizierung eines Netzwerk-Teilnehmers mit dem lokalen Benutzer per Web-Browser:

4.1 Wird im Web-Browser eine Webseite aufgerufen, erfolgt automatisch eine Umleitung auf die Login-Seite. Geben Sie dort die Login-Daten ein (siehe Schritt 1.3.2).

Alternativ können Sie im Web-Browser eines zu authentifizierenden Netzwerk-Teilnehmers auch die IP-Adresse der Unified Firewall gefolgt vom Authentifizierungsport im Format <IP-Adresse der Unified Firewall>:<Authentifizierungs-Port> eingeben (z.B. 192.168.1.254:443).

4.2 Der Netzwerk-Teilnehmer kann nach der erfolgreichen Authentifizierung mit dem Internet kommunizieren.