Proxy-Authentisierung mit Kerbeors-Ticket
In Netzwerkstrukturen, bei denen die Benutzerverwaltung von TightGate-Pro per Active Directory (AD) erfolgt, ist es möglich, die von AD erstellten Tickets zu verwenden, um sich damit an Uplink-Proxys zu Authentisieren. Dies natürlich nur, sofern dieser eine Ticket basierte Anmeldung unterstützt. Die nachfolgende Anleitung beschreibt die Voraussetzungen sowie die Vorgehensweise bei der AD-Authentisierung an einem Proxy.
Voraussetzung:
- Es werden nur Proxys unterstützt, die als Authentifizierungsprotokoll Kerberos nutzen. Das veraltete NTLM-Protokoll wird nicht unterstützt.
- TightGate-Pro muss eine funktionierende AD-Anbindung besitzen.
- Die AD-Authentisierung am Proxy erfolgt nur mit dem Browser Mozilla Firefox. Der optionale Browser Chrome kann für eine Proxy-Authentisierung derzeit nicht verwendet werden.
- Damit die AD-Authentisierung am Proxy erfolgreich ist, muss der Browser Mozilla Firefox direkt mit dem Proxy kommunizieren. Das bedeutet, dass TightGate-Pro nicht protokollieren und auch nicht filtern kann/darf, da beides über einen internen Proxy erfolgt.
- Jede Benutzerkennung, die sich am Proxy per AD-Ticket autorisieren soll, muss in der AD-Sicherheitsgruppe tgunfiltered sein.
- Im AD muss für den Computer-Account von TightGate-Pro die Kerberos-Delegierung für Tickets erlaubt sein.
So geht's:
- Anmeldung am TightGate-Pro als Administrator config und Aufruf des Menüpunkts Proxy.
- Den Menüpunkt HTTP-Proxy auswählen und den Namen des Proxys eingetragen, an dem die AD-Authentisierung erfolgen soll.
Achtung: Es muss der Name des Proxys verwendet werden und dieser muss auflösbar sein. Das Verwenden einer IP-Adresse wird nicht funktionieren. - In den Menüpunkt HTTP-Proxy-Port den Port eintragen, über den der Proxy angesprochen wird.
- In den Menüpunkt HTTP-Proxy-Netz die IP-Adresse des Proxys eintragen. Falls mehrere Proxys verwendet werden, ist das Proxy-Netz in der Form IP/Valid Bits anzugeben.
- In den Menüpunkt Proxy-Ausnahmen zwei Ausnahmen eintragen. Einerseits die IP des Proxys und als Zweites den Namen des Proxys eintragen. Es ist unbedingt notwendig die IP-Adresse und den Namen des Proxys als Ausnahmen zu definieren.
- Bei dem Menüpunkt AD/Kerberos-Proxy-Anmeldung ist Ja auszuwählen.
- In den Menüpunkt AD/Kerberos-Proxy-Service den Wert HTTP eintragen, es sei denn, es wird ein anderer Service verwendet.
- In den Menüpunkt AD/Kerberos-Proxy-Realm ist der REALM des Proxys einzutragen, sofern er sich vom REALM des AD unterscheidet. Andernfalls kann das Feld leer gelassen werden.
- Abschließend die Einstellungen Speichern und Anwenden.
Fertig.