Proxy-Authentisierung mit Kerbeors-Ticket

In Netzwerkstrukturen, bei denen die Benutzerverwaltung von TightGate-Pro per Active Directory (AD) erfolgt, ist es möglich, die von AD erstellten Tickets zu verwenden, um sich damit an Uplink-Proxys zu Authentisieren. Dies natürlich nur, sofern dieser eine Ticket basierte Anmeldung unterstützt. Die nachfolgende Anleitung beschreibt die Voraussetzungen sowie die Vorgehensweise bei der AD-Authentisierung an einem Proxy.

Voraussetzung:

  • Es werden nur Proxys unterstützt, die als Authentifizierungsprotokoll Kerberos nutzen. Das veraltete NTLM-Protokoll wird nicht unterstützt.
  • TightGate-Pro muss eine funktionierende AD-Anbindung besitzen.
  • Die AD-Authentisierung am Proxy erfolgt nur mit dem Browser Mozilla Firefox. Der optionale Browser Chrome kann für eine Proxy-Authentisierung derzeit nicht verwendet werden.
  • Damit die AD-Authentisierung am Proxy erfolgreich ist, muss der Browser Mozilla Firefox direkt mit dem Proxy kommunizieren. Das bedeutet, dass TightGate-Pro nicht protokollieren und auch nicht filtern kann/darf, da beides über einen internen Proxy erfolgt.
  • Jede Benutzerkennung, die sich am Proxy per AD-Ticket autorisieren soll, muss in der AD-Sicherheitsgruppe tgunfiltered sein.
  • Im AD muss für den Computer-Account von TightGate-Pro die Kerberos-Delegierung für Tickets erlaubt sein.

So geht's:

  • Anmeldung am TightGate-Pro als Administrator config und Aufruf des Menüpunkts Proxy.
  • Den Menüpunkt HTTP-Proxy auswählen und den Namen des Proxys eingetragen, an dem die AD-Authentisierung erfolgen soll.
    Achtung: Es muss der Name des Proxys verwendet werden und dieser muss auflösbar sein. Das Verwenden einer IP-Adresse wird nicht funktionieren.
  • In den Menüpunkt HTTP-Proxy-Port den Port eintragen, über den der Proxy angesprochen wird.
  • In den Menüpunkt HTTP-Proxy-Netz die IP-Adresse des Proxys eintragen. Falls mehrere Proxys verwendet werden, ist das Proxy-Netz in der Form IP/Valid Bits anzugeben.
  • In den Menüpunkt Proxy-Ausnahmen zwei Ausnahmen eintragen. Einerseits die IP des Proxys und als Zweites den Namen des Proxys eintragen. Es ist unbedingt notwendig die IP-Adresse und den Namen des Proxys als Ausnahmen zu definieren.
  • Bei dem Menüpunkt AD/Kerberos-Proxy-Anmeldung ist Ja auszuwählen.
  • In den Menüpunkt AD/Kerberos-Proxy-Service den Wert HTTP eintragen, es sei denn, es wird ein anderer Service verwendet.
  • In den Menüpunkt AD/Kerberos-Proxy-Realm ist der REALM des Proxys einzutragen, sofern er sich vom REALM des AD unterscheidet. Andernfalls kann das Feld leer gelassen werden.
  • Abschließend die Einstellungen Speichern und Anwenden.

Fertig.