5
Webblocker Watchguard
Firebox WG
Admistration Server W2k3
SystemManager 11.3 läuft auf W2k3
Hallo zusammen
Es geht um den Webblocker auch URL Blocker von Watchguard.
Wenn ich unter https://192.168.X.X:4100 aufrufe kommt eine Login Maske.
Hier kann ich dann wählen zwischen :
Username:
Password:
Domain: (Firebox / Active Directory)
Egal was ich hier wähle. User Eintrage und kein Passwort angebe heisst es: You have been successfully authenticated.
Hab im SystemManager auch den Autentifizieren über AD gewählt.
Einstellungen dort hab ich so wie im Handbuch eingetragen
dc=domäne,dc=local
Wenn ich nun eine Policy erstelle und dort unter dem Punkt :
From z.b. Internet_Verbot als Gruppe des AD auswähle komme ich trotzdem ins Internet.
Wenn ich nun die Policy ändere und unter from die IP Eintrage
so ist dieser Rechner für die Eingetragen Seiten gesperrt.
Klar würde es nun über IP auch gehen, aber wenn ein anderer User mit mehr Berechtigung sich an diesem Rechner anmeldet so hat der User auch die Beschränkung sprich das Internetverbot.
Wie kann ich also folgendes realisieren:
- Keine Anmeldung des useres beim öffnen des Browsers
- Über AD Gruppe den Zugriff auf diverse Seiten sperren.
Danke für eure Hilfe.
Gruß
txwca
Es geht um den Webblocker auch URL Blocker von Watchguard.
Wenn ich unter https://192.168.X.X:4100 aufrufe kommt eine Login Maske.
Hier kann ich dann wählen zwischen :
Username:
Password:
Domain: (Firebox / Active Directory)
Egal was ich hier wähle. User Eintrage und kein Passwort angebe heisst es: You have been successfully authenticated.
Hab im SystemManager auch den Autentifizieren über AD gewählt.
Einstellungen dort hab ich so wie im Handbuch eingetragen
dc=domäne,dc=local
Wenn ich nun eine Policy erstelle und dort unter dem Punkt :
From z.b. Internet_Verbot als Gruppe des AD auswähle komme ich trotzdem ins Internet.
Wenn ich nun die Policy ändere und unter from die IP Eintrage
so ist dieser Rechner für die Eingetragen Seiten gesperrt.
Klar würde es nun über IP auch gehen, aber wenn ein anderer User mit mehr Berechtigung sich an diesem Rechner anmeldet so hat der User auch die Beschränkung sprich das Internetverbot.
Wie kann ich also folgendes realisieren:
- Keine Anmeldung des useres beim öffnen des Browsers
- Über AD Gruppe den Zugriff auf diverse Seiten sperren.
Danke für eure Hilfe.
Gruß
txwca
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 154853
Url: https://administrator.de/contentid/154853
Printed on: April 19, 2024 at 09:04 o'clock
5 Comments
Latest comment
Hi txwca,
was für eine WG hast du?
Wenn Firewall-Regeln auf Basis einer Active Directory Gruppenmitgliedschaft oder eines Active Directory Username geschrieben werden, muss der Name der Gruppe oder des Users auf der WatchGuard zuerst einmal "bekannt gemacht" werden: Setup > Authentication > Authorized Users/Groups. Als "Name" MUSS genau die gleiche Schreibweise bezüglich Groß-/Kleinschreibung verwendet werden mit der die Gruppe bzw. der User im Active Directory angelegt ist (sAMAccountName):
Quelle: http://de.watchguard-blog.com/search/label/Active%20Directory
anschließend eine Policy "http proxy" erstellen und unter From:
add user
Type: Firewall -- Group
dort wählst du deine gruppe aus. (Active Directory)
bestätigen und dann
Properties
Progy Action editieren
Webblocker wählen (und konfigurieren wenn noch nicht geschehen)
eventuell noch anpassen:
Setup
Authentication
Authentication Settings
Auto redirect user to ...... haken raus
der link oben ist übrigens sehr zu empfehlen!
Grüße
Edit:
browser starten mit google oder was auch immer die box muss nicht aufgerufen werden!
was für eine WG hast du?
Wenn Firewall-Regeln auf Basis einer Active Directory Gruppenmitgliedschaft oder eines Active Directory Username geschrieben werden, muss der Name der Gruppe oder des Users auf der WatchGuard zuerst einmal "bekannt gemacht" werden: Setup > Authentication > Authorized Users/Groups. Als "Name" MUSS genau die gleiche Schreibweise bezüglich Groß-/Kleinschreibung verwendet werden mit der die Gruppe bzw. der User im Active Directory angelegt ist (sAMAccountName):
Quelle: http://de.watchguard-blog.com/search/label/Active%20Directory
anschließend eine Policy "http proxy" erstellen und unter From:
add user
Type: Firewall -- Group
dort wählst du deine gruppe aus. (Active Directory)
bestätigen und dann
Properties
Progy Action editieren
Webblocker wählen (und konfigurieren wenn noch nicht geschehen)
eventuell noch anpassen:
Setup
Authentication
Authentication Settings
Auto redirect user to ...... haken raus
der link oben ist übrigens sehr zu empfehlen!
Grüße
Edit:
browser starten mit google oder was auch immer die box muss nicht aufgerufen werden!
Hi hab ich gemacht
Hab aber unter Authentication Settings
Single Sing on enable SOO with Active Directory angehackt und die IP des AD Servers eingetragen.
Leider geht es nicht.
Wo liegt das Problem ?
Hab eine 550e mit 11.3.2 OS
Hab aber unter Authentication Settings
Single Sing on enable SOO with Active Directory angehackt und die IP des AD Servers eingetragen.
Leider geht es nicht.
Wo liegt das Problem ?
Hab eine 550e mit 11.3.2 OS
Hi,
das ist soweit ja ok die wg muss ja wissen welchen server bzw welches Active directory sie nach dem user bzw der Gruppe fragen soll.
da du einer bestimmten gruppe aus dem ad den zugriff aus i-net gewähren willst must du diese gruppe aber trotzdem noch in der watchguard hinterlegen
"woher soll die wg sonst wissen welcher user zu eben dieser gruppe gehört"
muss der Name der Gruppe oder des Users auf der WatchGuard zuerst einmal "bekannt gemacht" werden: Setup > Authentication > Authorized Users/Groups
im ersten post steht der ganze text!
da du ja sonst in der eigentlichen policy unter from deine gruppe ja nicht siehst!
grüße
das ist soweit ja ok die wg muss ja wissen welchen server bzw welches Active directory sie nach dem user bzw der Gruppe fragen soll.
da du einer bestimmten gruppe aus dem ad den zugriff aus i-net gewähren willst must du diese gruppe aber trotzdem noch in der watchguard hinterlegen
"woher soll die wg sonst wissen welcher user zu eben dieser gruppe gehört"
muss der Name der Gruppe oder des Users auf der WatchGuard zuerst einmal "bekannt gemacht" werden: Setup > Authentication > Authorized Users/Groups
im ersten post steht der ganze text!
da du ja sonst in der eigentlichen policy unter from deine gruppe ja nicht siehst!
grüße
Hi
die ad Gruppe internet-verbot, Internet-erlaubt sind dort zufinden mit der Info
dass diese Gruppe aus dem AD kommen.
Hat die os 12.3.2 ein Bug oder geht das nicht weil die Rechner nach dem
msi install für den Zugriff nicht rebootet wurden ?
Thanks für weiter Hilfe .
Gruß
txwca
die ad Gruppe internet-verbot, Internet-erlaubt sind dort zufinden mit der Info
dass diese Gruppe aus dem AD kommen.
Hat die os 12.3.2 ein Bug oder geht das nicht weil die Rechner nach dem
msi install für den Zugriff nicht rebootet wurden ?
Thanks für weiter Hilfe .
Gruß
txwca
Hi,
mit dem msi install meinst du sicherlich den WG Auth client? lokal installiert auf dem PC?
diesen habe ich auf keinem Rechner installiert.
die groß kleinschreibung hast du auch beachtet?
probiere das ganze doch erst einmal mit einem user aus dem ad
um das ganze zu testen bzw zu sehen was passiert nimmst du am besten den firebox system manager
und da den traffic monitor
Gruß
mit dem msi install meinst du sicherlich den WG Auth client? lokal installiert auf dem PC?
diesen habe ich auf keinem Rechner installiert.
die groß kleinschreibung hast du auch beachtet?
probiere das ganze doch erst einmal mit einem user aus dem ad
um das ganze zu testen bzw zu sehen was passiert nimmst du am besten den firebox system manager
und da den traffic monitor
Gruß
