fabgg6
Goto Top

IE 6 authentifiziert sich nicht korrekt am Proxy

Wir verwenden Clients mit Windows 2000 bis 7 in einer 2003er-Domäne. Auf einem zweiten Server ist ein Squid-Proxy zugange, der Seiten für bestimmte Nutzergruppen sperrt.

Hallöchen.

Mit dem Internet Explorer 6 werden alle Seiten gesperrt, obwohl die "Integrierte Windows-Authentifizierung" aktiviert ist. Dies gilt übrigens für alle Nutzer, auch die, für die keine Einschränkungen gelten sollen. Für Windows 2000 gibt es leider keine neuere Version als IE6. Wir verwenden dort zwar auch den Firefox 3.6, es gibt aber immer Nutzer, die unbedingt den IE verwenden wollen.

Kennt jemand dafür eine Lösung und wenn ja, wie lautet sie?

Freundliche Grüße, GG.

Content-ID: 139332

Url: https://administrator.de/contentid/139332

Printed on: October 5, 2024 at 03:10 o'clock

kopie0123
kopie0123 Mar 28, 2010 at 17:35:18 (UTC)
Goto Top
Hey,

unabhängig von der Authentifizierung könntest du Firefox als Pflicht einstufen. MIt IE6 ins Internet zu gehen halte ich sowieso für bedenklich face-wink

Gruß
dog
dog Mar 28, 2010 at 18:38:11 (UTC)
Goto Top
Ist der Proxy-Server in der Intranet-Zone?
LordGurke
LordGurke Mar 28, 2010 at 18:39:49 (UTC)
Goto Top
Unabhängig davon, dass ich jeden Browser != Internet Explorer empfehlen würde:

Guck mal in den Internetoptionen unter "Erweitert" ob da ein Haken bei "HTTP/1.1 für Proxyverbindungen" gesetzt ist. Ohne dieses Häkchen bekommt es die Pestbeule aus Redmond meist nicht hin, sich überhaupt irgendwie an einem Proxy zu authentifizieren.


Btw: Sowohl Windows 2000 als auch der IE6 sind schon lange EOL - ergo gibt es keine Sicherheitsupdates mehr...
fabgg6
fabgg6 Mar 28, 2010 at 19:10:27 (UTC)
Goto Top
Danke für die schnellen Antworten.

@ maxi89: Nach dem Häkchen werde ich morgen schauen. Ist mir vorhin auch schon ins Auge gesprungen, als ich nochmal nachgesehen habe, wie der Authentifizierungseintrag genau lautete.

@ dog: Der Proxy ist in der Intranet-Zone. Mit allen anderen Browsern funktioniert es übrigens. Bevor wir die Authentifizierung auf REQUIRED umgestellt haben, ging es auch mit dem IE6.

Gruß, GG.
hdtaefj
hdtaefj Mar 28, 2010 at 19:40:04 (UTC)
Goto Top
Hallo,

nutzt Ihr transparente Authentifizierung (durchreichen von Username/Password des angemeldeten AD-Users)? Wenn ja unterstüzt dies der IE6 nicht, Ihr müsst im Proxy
dann noch eine Basic Authenzifierung einrichten.

Gruß
Frank Jansen
fabgg6
fabgg6 Mar 29, 2010 at 14:34:45 (UTC)
Goto Top
Hallo Frank,

wohin sollten Username & Passwort durchgereicht werden? Ich bin leider nur ein 4-Wochenstunden-Teilzeit-Administrator ohne spezielle Ausbildung und kenne mich da nicht so aus. Die Authentifizierung am Proxy Squid 3.0 hat den Zweck, dass nicht alle Nutzer alle Seiten angezeigt bekommen. Diese läuft über ICAP und ist an das AD gebunden.

### Authentifizierung an Microsoft Active Directory
auth_param negotiate program c:/squid/libexec/mswin_negotiate_auth.exe
auth_param negotiate children 10
auth_param ntlm max_challenge_reuses 1
auth_param ntlm max_challenge_lifetime 5 minutes
auth_param negotiate keep_alive on

Ich glaube, dabei handelt der Proxy nicht als Durchreiche. Der Cache ist obendrein aktiviert, damit mehrfach nachgefragte Seiten nicht mehrfach übers Internet geladen werden müssen.

Gruß, GG.
hdtaefj
hdtaefj Mar 29, 2010 at 20:09:58 (UTC)
Goto Top
Hallo,

der Proxy bekommt die Anmeldedaten des AD vom Web-Browser durchgereicht und weiß damit wer über ihn ins Internet will, das funktioniert mit dem IE6 nicht. Du musst dafür zusätzlich die Basic Authentifizierung einrichten (beim starten des IE6 und Zugriff auf die erste Webseite geht ein Fenster mit Usernamen und Passowrt auf), hier mal ein paar Config Zeilen aus einer funktionierenden Installation von mir:

auth_param basic program /usr/sbin/ncsa_auth /etc/squid/passwd
auth_param basic children 5
auth_param basic credentialsttl 2 hour
auth_param basic realm Squid proxy-caching web server

Der Nachteil an der Sache ist aber das Du dann diese User die mit dem IE6 ins Internet gehen, auf dem Squid selber mit Usernamen und PW pflegen musst. Aus sicherheitstechnischen Aspekten und aus Sicht der einfachereren Administrierbarkeit kann ich Dir auch nur raten einen aktuellen Browser wie den FireFox zu nutzen.

Gruß
Frank Jansen
fabgg6
fabgg6 Mar 31, 2010 at 20:54:43 (UTC)
Goto Top
Hallo Frank,

verstehe. Da ist es wohl am besten, ich lasse es, wie es ist. Da sind die Leute ja gezwungen, Firefox zu nehmen. ;)

@ maxi89: Das Häkchen bei "HTTP/1.1 über Proxy" hat auch nicht geholfen.

Naja, ist nicht wirklich schlimm. Es gibt ja Alternativen. Danke nochmal für die Gedankenmacherei.