8
IE 6 authentifiziert sich nicht korrekt am Proxy
Wir verwenden Clients mit Windows 2000 bis 7 in einer 2003er-Domäne. Auf einem zweiten Server ist ein Squid-Proxy zugange, der Seiten für bestimmte Nutzergruppen sperrt.
Hallöchen.
Mit dem Internet Explorer 6 werden alle Seiten gesperrt, obwohl die "Integrierte Windows-Authentifizierung" aktiviert ist. Dies gilt übrigens für alle Nutzer, auch die, für die keine Einschränkungen gelten sollen. Für Windows 2000 gibt es leider keine neuere Version als IE6. Wir verwenden dort zwar auch den Firefox 3.6, es gibt aber immer Nutzer, die unbedingt den IE verwenden wollen.
Kennt jemand dafür eine Lösung und wenn ja, wie lautet sie?
Freundliche Grüße, GG.
Hallöchen.
Mit dem Internet Explorer 6 werden alle Seiten gesperrt, obwohl die "Integrierte Windows-Authentifizierung" aktiviert ist. Dies gilt übrigens für alle Nutzer, auch die, für die keine Einschränkungen gelten sollen. Für Windows 2000 gibt es leider keine neuere Version als IE6. Wir verwenden dort zwar auch den Firefox 3.6, es gibt aber immer Nutzer, die unbedingt den IE verwenden wollen.
Kennt jemand dafür eine Lösung und wenn ja, wie lautet sie?
Freundliche Grüße, GG.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 139332
Url: https://administrator.de/contentid/139332
Ausgedruckt am: 25.11.2024 um 18:11 Uhr
8 Kommentare
Neuester Kommentar
Hey,
unabhängig von der Authentifizierung könntest du Firefox als Pflicht einstufen. MIt IE6 ins Internet zu gehen halte ich sowieso für bedenklich
Gruß
unabhängig von der Authentifizierung könntest du Firefox als Pflicht einstufen. MIt IE6 ins Internet zu gehen halte ich sowieso für bedenklich
Gruß
Ist der Proxy-Server in der Intranet-Zone?
Unabhängig davon, dass ich jeden Browser != Internet Explorer empfehlen würde:
Guck mal in den Internetoptionen unter "Erweitert" ob da ein Haken bei "HTTP/1.1 für Proxyverbindungen" gesetzt ist. Ohne dieses Häkchen bekommt es die Pestbeule aus Redmond meist nicht hin, sich überhaupt irgendwie an einem Proxy zu authentifizieren.
Btw: Sowohl Windows 2000 als auch der IE6 sind schon lange EOL - ergo gibt es keine Sicherheitsupdates mehr...
Guck mal in den Internetoptionen unter "Erweitert" ob da ein Haken bei "HTTP/1.1 für Proxyverbindungen" gesetzt ist. Ohne dieses Häkchen bekommt es die Pestbeule aus Redmond meist nicht hin, sich überhaupt irgendwie an einem Proxy zu authentifizieren.
Btw: Sowohl Windows 2000 als auch der IE6 sind schon lange EOL - ergo gibt es keine Sicherheitsupdates mehr...
Danke für die schnellen Antworten.
@ maxi89: Nach dem Häkchen werde ich morgen schauen. Ist mir vorhin auch schon ins Auge gesprungen, als ich nochmal nachgesehen habe, wie der Authentifizierungseintrag genau lautete.
@ dog: Der Proxy ist in der Intranet-Zone. Mit allen anderen Browsern funktioniert es übrigens. Bevor wir die Authentifizierung auf REQUIRED umgestellt haben, ging es auch mit dem IE6.
Gruß, GG.
@ maxi89: Nach dem Häkchen werde ich morgen schauen. Ist mir vorhin auch schon ins Auge gesprungen, als ich nochmal nachgesehen habe, wie der Authentifizierungseintrag genau lautete.
@ dog: Der Proxy ist in der Intranet-Zone. Mit allen anderen Browsern funktioniert es übrigens. Bevor wir die Authentifizierung auf REQUIRED umgestellt haben, ging es auch mit dem IE6.
Gruß, GG.
Hallo,
nutzt Ihr transparente Authentifizierung (durchreichen von Username/Password des angemeldeten AD-Users)? Wenn ja unterstüzt dies der IE6 nicht, Ihr müsst im Proxy
dann noch eine Basic Authenzifierung einrichten.
Gruß
Frank Jansen
nutzt Ihr transparente Authentifizierung (durchreichen von Username/Password des angemeldeten AD-Users)? Wenn ja unterstüzt dies der IE6 nicht, Ihr müsst im Proxy
dann noch eine Basic Authenzifierung einrichten.
Gruß
Frank Jansen
Hallo Frank,
wohin sollten Username & Passwort durchgereicht werden? Ich bin leider nur ein 4-Wochenstunden-Teilzeit-Administrator ohne spezielle Ausbildung und kenne mich da nicht so aus. Die Authentifizierung am Proxy Squid 3.0 hat den Zweck, dass nicht alle Nutzer alle Seiten angezeigt bekommen. Diese läuft über ICAP und ist an das AD gebunden.
### Authentifizierung an Microsoft Active Directory
auth_param negotiate program c:/squid/libexec/mswin_negotiate_auth.exe
auth_param negotiate children 10
auth_param ntlm max_challenge_reuses 1
auth_param ntlm max_challenge_lifetime 5 minutes
auth_param negotiate keep_alive on
Ich glaube, dabei handelt der Proxy nicht als Durchreiche. Der Cache ist obendrein aktiviert, damit mehrfach nachgefragte Seiten nicht mehrfach übers Internet geladen werden müssen.
Gruß, GG.
wohin sollten Username & Passwort durchgereicht werden? Ich bin leider nur ein 4-Wochenstunden-Teilzeit-Administrator ohne spezielle Ausbildung und kenne mich da nicht so aus. Die Authentifizierung am Proxy Squid 3.0 hat den Zweck, dass nicht alle Nutzer alle Seiten angezeigt bekommen. Diese läuft über ICAP und ist an das AD gebunden.
### Authentifizierung an Microsoft Active Directory
auth_param negotiate program c:/squid/libexec/mswin_negotiate_auth.exe
auth_param negotiate children 10
auth_param ntlm max_challenge_reuses 1
auth_param ntlm max_challenge_lifetime 5 minutes
auth_param negotiate keep_alive on
Ich glaube, dabei handelt der Proxy nicht als Durchreiche. Der Cache ist obendrein aktiviert, damit mehrfach nachgefragte Seiten nicht mehrfach übers Internet geladen werden müssen.
Gruß, GG.
Hallo,
der Proxy bekommt die Anmeldedaten des AD vom Web-Browser durchgereicht und weiß damit wer über ihn ins Internet will, das funktioniert mit dem IE6 nicht. Du musst dafür zusätzlich die Basic Authentifizierung einrichten (beim starten des IE6 und Zugriff auf die erste Webseite geht ein Fenster mit Usernamen und Passowrt auf), hier mal ein paar Config Zeilen aus einer funktionierenden Installation von mir:
auth_param basic program /usr/sbin/ncsa_auth /etc/squid/passwd
auth_param basic children 5
auth_param basic credentialsttl 2 hour
auth_param basic realm Squid proxy-caching web server
Der Nachteil an der Sache ist aber das Du dann diese User die mit dem IE6 ins Internet gehen, auf dem Squid selber mit Usernamen und PW pflegen musst. Aus sicherheitstechnischen Aspekten und aus Sicht der einfachereren Administrierbarkeit kann ich Dir auch nur raten einen aktuellen Browser wie den FireFox zu nutzen.
Gruß
Frank Jansen
der Proxy bekommt die Anmeldedaten des AD vom Web-Browser durchgereicht und weiß damit wer über ihn ins Internet will, das funktioniert mit dem IE6 nicht. Du musst dafür zusätzlich die Basic Authentifizierung einrichten (beim starten des IE6 und Zugriff auf die erste Webseite geht ein Fenster mit Usernamen und Passowrt auf), hier mal ein paar Config Zeilen aus einer funktionierenden Installation von mir:
auth_param basic program /usr/sbin/ncsa_auth /etc/squid/passwd
auth_param basic children 5
auth_param basic credentialsttl 2 hour
auth_param basic realm Squid proxy-caching web server
Der Nachteil an der Sache ist aber das Du dann diese User die mit dem IE6 ins Internet gehen, auf dem Squid selber mit Usernamen und PW pflegen musst. Aus sicherheitstechnischen Aspekten und aus Sicht der einfachereren Administrierbarkeit kann ich Dir auch nur raten einen aktuellen Browser wie den FireFox zu nutzen.
Gruß
Frank Jansen
Hallo Frank,
verstehe. Da ist es wohl am besten, ich lasse es, wie es ist. Da sind die Leute ja gezwungen, Firefox zu nehmen. ;)
@ maxi89: Das Häkchen bei "HTTP/1.1 über Proxy" hat auch nicht geholfen.
Naja, ist nicht wirklich schlimm. Es gibt ja Alternativen. Danke nochmal für die Gedankenmacherei.
verstehe. Da ist es wohl am besten, ich lasse es, wie es ist. Da sind die Leute ja gezwungen, Firefox zu nehmen. ;)
@ maxi89: Das Häkchen bei "HTTP/1.1 über Proxy" hat auch nicht geholfen.
Naja, ist nicht wirklich schlimm. Es gibt ja Alternativen. Danke nochmal für die Gedankenmacherei.
