9
Watchguard Firebox X5500e und SSO mit AD
Hallo Leute,
wir haben hier eine Watchguard Firebox X5500e mit der Firmware 11.2.3 stehen. Mit der Watchguard wollen wir unseren ISA Server ablösen - bzw. eine weitere Sicherheitsstufe davor aufbauen. Bei uns im Unternehmen gibt es eine AD Gruppe, die den Mitarbeitern das Surfen im Internet gestattet. Für alle anderen ist das Internet tabu. Wir wollen nun ähnliches mit der Watchguard realisieren. Dazu habe ich jedoch ein paar Fragen. Wir verwalten eine Domain. In dieser Domain gibt es zahlreiche Sub OU's in denen sich die User befinden. Wenn ich nun im Policy Manager der Watchguard unter Setup->Authentication->Authentication Servers bin und dort den Reiter Active Directory aufschlage, dann habe ich dort die IP eines DC's angeben und in der Search Base "dc=domain". Bei dem Group String und dem Login Attribute habe ich nichts verändert. Hier ist nun meine Frage wie ich das ganze kontrollieren kann?
Die zweite Frage ist, wie richte ich SSO ein? DIe Hilfe der Watchguard ist dabei nicht sehr aussagekräftig. Ich habe auf einem DC den SSO Agent / Gateway installiert und SSO über die WebGui (da ich es in der Konsole nicht gefunden habe) aktiviert. Wie kann ich die Funktion von SSO überprüfen?
Gruß
derhoeppi
wir haben hier eine Watchguard Firebox X5500e mit der Firmware 11.2.3 stehen. Mit der Watchguard wollen wir unseren ISA Server ablösen - bzw. eine weitere Sicherheitsstufe davor aufbauen. Bei uns im Unternehmen gibt es eine AD Gruppe, die den Mitarbeitern das Surfen im Internet gestattet. Für alle anderen ist das Internet tabu. Wir wollen nun ähnliches mit der Watchguard realisieren. Dazu habe ich jedoch ein paar Fragen. Wir verwalten eine Domain. In dieser Domain gibt es zahlreiche Sub OU's in denen sich die User befinden. Wenn ich nun im Policy Manager der Watchguard unter Setup->Authentication->Authentication Servers bin und dort den Reiter Active Directory aufschlage, dann habe ich dort die IP eines DC's angeben und in der Search Base "dc=domain". Bei dem Group String und dem Login Attribute habe ich nichts verändert. Hier ist nun meine Frage wie ich das ganze kontrollieren kann?
Die zweite Frage ist, wie richte ich SSO ein? DIe Hilfe der Watchguard ist dabei nicht sehr aussagekräftig. Ich habe auf einem DC den SSO Agent / Gateway installiert und SSO über die WebGui (da ich es in der Konsole nicht gefunden habe) aktiviert. Wie kann ich die Funktion von SSO überprüfen?
Gruß
derhoeppi
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 145658
Url: https://administrator.de/forum/watchguard-firebox-x5500e-und-sso-mit-ad-145658.html
Ausgedruckt am: 16.04.2025 um 22:04 Uhr
9 Kommentare
Neuester Kommentar
Hallo,
bei Search-Base muss der vollständige Domainname (wie angeben mit Komma usw.) eingegeben werden:
Beispiel:
test.mustermann.com
dann:
dc=test,dc=mustermann,dc=com
Bei Group-String gibt man member of und bei login-Attributa sAmaAccountname ein
Danach legt man in der AD eine Gruppe an: z. B. Internet_all und Internet_standard usw.,
sortiert dann die User ein.
Im Policy Manager kann man dann der AD-Gruppe, die einzelnen Policies zuweisen. Hier empfiehlt sich auch mehrere Proxys anzulegen.
Benutzer mit beschränkten und mit Vollzugriff.
Ob der SSO-Agent funktioniert sieht man im Reiter Authenication List des System Managers. Dort sollten dann alle NAmen zu sehen sein.
Viel Spaß mit der Watchguard. Wenn man sie mal ins Herz geschlossen hat, gibt es nichts besseres.
Grüße
Günter
bei Search-Base muss der vollständige Domainname (wie angeben mit Komma usw.) eingegeben werden:
Beispiel:
test.mustermann.com
dann:
dc=test,dc=mustermann,dc=com
Bei Group-String gibt man member of und bei login-Attributa sAmaAccountname ein
Danach legt man in der AD eine Gruppe an: z. B. Internet_all und Internet_standard usw.,
sortiert dann die User ein.
Im Policy Manager kann man dann der AD-Gruppe, die einzelnen Policies zuweisen. Hier empfiehlt sich auch mehrere Proxys anzulegen.
Benutzer mit beschränkten und mit Vollzugriff.
Ob der SSO-Agent funktioniert sieht man im Reiter Authenication List des System Managers. Dort sollten dann alle NAmen zu sehen sein.
Viel Spaß mit der Watchguard. Wenn man sie mal ins Herz geschlossen hat, gibt es nichts besseres.
Grüße
Günter
Hallo quenterpick,
ich lege mir also im AD eine Gruppe (G-Internet) an. In der Watchguard gehe ich wieder in die Authentication Server und geben bei SearchBase "dc=domain" ein. Unsere Domain heißt nur domain.local. Von daher müsste doch meine SearchBase ausreichen.
Wenn ich nur die AD Authentication nutze, bekommen die AD User dann eine Abfrage? Unser Provider der uns die Watchguard bereitstellt ist der Meinung, dass dann eine Abfrage kommt, deshalb haben wir uns gedanken zum SSO gemacht.
Gruß
derhoeppi
ich lege mir also im AD eine Gruppe (G-Internet) an. In der Watchguard gehe ich wieder in die Authentication Server und geben bei SearchBase "dc=domain" ein. Unsere Domain heißt nur domain.local. Von daher müsste doch meine SearchBase ausreichen.
Wenn ich nur die AD Authentication nutze, bekommen die AD User dann eine Abfrage? Unser Provider der uns die Watchguard bereitstellt ist der Meinung, dass dann eine Abfrage kommt, deshalb haben wir uns gedanken zum SSO gemacht.
Gruß
derhoeppi
Hallo,
dc=domain, dc=local
muss es heissen..
dc=domain, dc=local
muss es heissen..
Hallo Leute,
ich habe diese Änderungen vorgenommen. Im Policy Manager unter Setup -> Authentication -> Authetication Users/Groups habe ich eine Gruppe hinzugefügt, die G-Internet heißt. Beschreibung habe ich leer gelassen und den Auth Server aufs AD eingestellt. Wenn ich nun mit meinem Testclient surfen möchte, kann er mir die Seite nicht anzeigen. Im Host Watch sehe ich das der Client geblockt wird.
Ich habe das Gefühl, dass die WG gar nicht meinen Domain Server fragt.
Wie ist das eigentlich mit der Authentifiezierung im AD. Bekomme ich eine LoginPage oder lässt er mich einfach so durch? Benötige ich für die Watchguard einen Proxy Eintrag im Internet Explorer?
Gruß
derhoeppi
ich habe diese Änderungen vorgenommen. Im Policy Manager unter Setup -> Authentication -> Authetication Users/Groups habe ich eine Gruppe hinzugefügt, die G-Internet heißt. Beschreibung habe ich leer gelassen und den Auth Server aufs AD eingestellt. Wenn ich nun mit meinem Testclient surfen möchte, kann er mir die Seite nicht anzeigen. Im Host Watch sehe ich das der Client geblockt wird.
Ich habe das Gefühl, dass die WG gar nicht meinen Domain Server fragt.
Wie ist das eigentlich mit der Authentifiezierung im AD. Bekomme ich eine LoginPage oder lässt er mich einfach so durch? Benötige ich für die Watchguard einen Proxy Eintrag im Internet Explorer?
Gruß
derhoeppi
Hallo,
ob der proxy transparent ist muss im Handbuch stehen, aber SSO proxies sind meist nicht transparent.
Bei der Watchguard kann man bestimmt den Proxy Port ändern, da siehst du dann auch welcher es aktuell ist (meist 8080).
ob der proxy transparent ist muss im Handbuch stehen, aber SSO proxies sind meist nicht transparent.
Bei der Watchguard kann man bestimmt den Proxy Port ändern, da siehst du dann auch welcher es aktuell ist (meist 8080).
Hallo Chewbakka,
wir sind es bisher gewohnt, dass wir im IE einen Proxy Eintrag setzen müssen. Bei der Watchguard erhoffen wir uns eigentlich, dass sich dieser Eintrag erledigt, so dass es ein Transparenter Proxy ist - jedoch mit Authentifizierung. User muss in der AD-Gruppe G-Internet sein und die Watchguard prüft ob es der Fall ist. Wenn ja soll er den User ins Internet lassen und wenn nicht eine Fehlermeldung bringen oder eben eine Loginseite, die man vielleicht modifizieren kann.
Da sich meine Fähigkeiten auf den ISA Server beschränken, wäre ich über jede Hilfe froh.
Gruß
derhoeppi
wir sind es bisher gewohnt, dass wir im IE einen Proxy Eintrag setzen müssen. Bei der Watchguard erhoffen wir uns eigentlich, dass sich dieser Eintrag erledigt, so dass es ein Transparenter Proxy ist - jedoch mit Authentifizierung. User muss in der AD-Gruppe G-Internet sein und die Watchguard prüft ob es der Fall ist. Wenn ja soll er den User ins Internet lassen und wenn nicht eine Fehlermeldung bringen oder eben eine Loginseite, die man vielleicht modifizieren kann.
Da sich meine Fähigkeiten auf den ISA Server beschränken, wäre ich über jede Hilfe froh.
Gruß
derhoeppi
Hallo,
Wenn alles korrekt wie beschrieben eingerichtet ist, kommen alle ins Internet die dürfen. Alle anderen werden geblockt.
Wenn Du eine Loginseite möchtest, dann musst Du die Firebox-User aktivieren. Dazu muss aber jeder angelegt werden. Eignet sich nur bei kleinen Netzwerken
Grüße
Wenn alles korrekt wie beschrieben eingerichtet ist, kommen alle ins Internet die dürfen. Alle anderen werden geblockt.
Wenn Du eine Loginseite möchtest, dann musst Du die Firebox-User aktivieren. Dazu muss aber jeder angelegt werden. Eignet sich nur bei kleinen Netzwerken
Grüße
Hallo quenterpick,
das hört sich so an, wie wir es gern hätten. Momentan ist es leider noch nicht so. Bekommen die Leute die nicht in meiner Gruppe G-Internet sind eine Fehlermeldung oder einfach nur "Die Seite kann nicht angezeigt werden." vom IE? Kann man diese Seite vielleicht auch noch editieren?
Gruß
derhoeppi
das hört sich so an, wie wir es gern hätten. Momentan ist es leider noch nicht so. Bekommen die Leute die nicht in meiner Gruppe G-Internet sind eine Fehlermeldung oder einfach nur "Die Seite kann nicht angezeigt werden." vom IE? Kann man diese Seite vielleicht auch noch editieren?
Gruß
derhoeppi
Hallo an alle,
wir haben es heute hinbekommen. Jedoch verstehe ich eins nicht. Warum funktioniert die AD Abfrage nur wenn ich in der WebGUI SSO aktiviere. Zum einen interessiert es mich, ob einer von euch die SSO Einstellung im System Manager gefunden hat (Firmware 11.2.3) und zum anderen warum ich SSO in der WebGUI nicht mehr deaktivieren kann.
An alle die eine Watchguard mit einem AD betreiben haben ich eine weitere Frage. Ich habe in meinem HTTP Proxy die Gruppe G-Internet als Gruppe hinzugefügt. Wenn ich nun den Host Watcher beobachte und ich surfe, tauchen zwei Dinge auf. Zum einen die Gruppe G-Internet und zum anderen mein AD CN@ActiveDirectory. Mich verwunder es nur dahingehend, dass ich nun nicht weiß, ob er etwas über SSO gemacht hat oder er das ActiveDirectory gefragt hat. Funktioniert die AD Abfrage überhaupt ohne SSO?
Gruß
derhoeppi
wir haben es heute hinbekommen. Jedoch verstehe ich eins nicht. Warum funktioniert die AD Abfrage nur wenn ich in der WebGUI SSO aktiviere. Zum einen interessiert es mich, ob einer von euch die SSO Einstellung im System Manager gefunden hat (Firmware 11.2.3) und zum anderen warum ich SSO in der WebGUI nicht mehr deaktivieren kann.
An alle die eine Watchguard mit einem AD betreiben haben ich eine weitere Frage. Ich habe in meinem HTTP Proxy die Gruppe G-Internet als Gruppe hinzugefügt. Wenn ich nun den Host Watcher beobachte und ich surfe, tauchen zwei Dinge auf. Zum einen die Gruppe G-Internet und zum anderen mein AD CN@ActiveDirectory. Mich verwunder es nur dahingehend, dass ich nun nicht weiß, ob er etwas über SSO gemacht hat oder er das ActiveDirectory gefragt hat. Funktioniert die AD Abfrage überhaupt ohne SSO?
Gruß
derhoeppi
