Knowledge Base Explicit Proxy Authentication with NTLM/FSSO



Ähnliche Dokumente
Knowledge Base SIP-Konfiguration auf der Fortigate

Download unter:

Seite Out-Of-Band-Authentifizierung (OOBA) 8.1 Einleitung

How-to: HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server. Securepoint Security System Version 2007nx

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Umgang mit der Software ebuddy Ändern von IP Adresse, Firmware und erstellen von Backups von ewon Geräten.

Powermanager Server- Client- Installation

Technical Note ewon über DSL & VPN mit einander verbinden

How to install freesshd

Browserkonfiguration für Internet Explorer 6.0

Konfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version Deutsch

INTERNETZUGANG WLAN-ROUTER ANLEITUNG INSTALLATION SIEMENS GIGASET

Virtual Private Network

ISA Server 2004 Einzelner Netzwerkadapater

KNX BAOS Gadget. Installations- und Bedienanleitung. WEINZIERL ENGINEERING GmbH. DE Burgkirchen Web:

OP-LOG

Anleitung zur Nutzung des SharePort Utility

Zunächst müssen sie die MAC-Adresse ihres Gerätes für WLAN registrieren. 2. Die MAC Adresse (physikalische Adresse des WLAN) wird mit dem Befehl:

Dynamisches VPN mit FW V3.64

ISA Server Exchange RPC over HTTPS mit NTLM-Authentifizierung

Schritt 1: Starten Sie Hidemyass, wählen Sie "IP: Port Proxies"

Windows 8 Am Startbildschirm mit der Maus in die rechte obere Ecke navigieren und anschließend Einstellungen wählen:

Wie macht man einen Web- oder FTP-Server im lokalen Netzwerk für das Internet sichtbar?

Installation des Cisco VPN Client

Installationsanleitung. TFSInBox

Diese Anleitung erläutert die Einrichtung des Active Directory Modus im DNS-343.

Stefan Dahler. 1. Remote ISDN Einwahl. 1.1 Einleitung

How-to: Webserver NAT. Securepoint Security System Version 2007nx

estos UCServer Multiline TAPI Driver

Clientkonfiguration für Hosted Exchange 2010

Guide DynDNS und Portforwarding

Einrichtung des VPN-Clients unter Windows VISTA

HTBVIEWER INBETRIEBNAHME

TeamSpeak3 Einrichten

Step by Step VPN unter Windows Server von Christian Bartl

Konfigurationsbeispiel ZyWALL USG

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler Oktober 2008 Version 1.0.

Wissenswertes über LiveUpdate

GGAweb - WLAN Router Installationsanleitung Zyxel NBG 6616

FTP-Leitfaden RZ. Benutzerleitfaden

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Installation Benutzerzertifikat

Netzwerk einrichten unter Windows

Konfiguration der Yeastar MyPBX IP-Telefonanlagen mit iway Business SIP Trunk

Installation Server HASP unter Windows 2008 R2 Server 1 von 15. Inhaltsverzeichnis

Lizenzen auschecken. Was ist zu tun?

Installieren Sie den Janaserver auf dem Schulserver oder dem Lehrerrechner.

ASA Schnittstelle zu Endian Firewall Hotspot aktivieren. Konfiguration ASA jhotel

8. Bintec Router Redundancy Protocol (BRRP) 8.1 Einleitung

Fax einrichten auf Windows XP-PC

Anbinden der Visualisierung GILLES TOUCH (VNC)

IRF2000 Application Note Lösung von IP-Adresskonflikten bei zwei identischen Netzwerken

Inbetriebnahme einer Fritzbox-Fon an einem DSLmobil Anschluss Konfiguration einer PPPOE-Einwahl (DSLmobil per Funk)

Proxy. Krishna Tateneni Übersetzer: Stefan Winter

Die Anmeldung. Die richtigen Browser-Einstellungen. Microsoft Explorer 5.x, 6.x

Öffnen Sie den Internet-Browser Ihrer Wahl. Unabhängig von der eingestellten Startseite erscheint die folgende Seite in Ihrem Browserfenster:

Installationshinweise und Konfigurationshilfe SIP Account für eine AVM FritzBox 7270 Inhalt

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

2. Installation der minitek-app auf einem Smartphone. 3. Verbindung zwischen minitek-app und minitek herstellen

2. Die eigenen Benutzerdaten aus orgamax müssen bekannt sein

Abgesetzte Nebenstelle TECHNIK-TIPPS VON per VPN

PC-Kaufmann Supportinformation - Proxy Konfiguration für Elster

Konfiguration eines DNS-Servers

How-to: Mailrelay und Spam Filter. Securepoint Security System Version 2007nx

Kurzanleitung zur Softwareverteilung von BitDefender Produkten...2

Shellfire PPTP Setup Windows 7

Horstbox VoIP. Stefan Dahler. 1. HorstBox Konfiguration. 1.1 Einleitung

ecall Anleitung Outlook Mobile Service (OMS)

Ihr Benutzerhandbuch für das IntelliWebs - Redaktionssystem

Scharl 2010 Dokument ist Urheberrechtlich geschützt. Port Forwarding via PuTTY und SSH. Was ist Port forwarding?

Outlook Express: Einrichtung Account

Kurzanleitung zur Nutzung von BITel >FHdD HotSpots< Die BITel >FHdD HotSpots< stellen einen Standard WLAN-Zugang (802.11b/g) zur Verfügung.

LDAP Konfiguration nach einem Update auf Version 6.3 Version 1.2 Stand: 23. Januar 2012 Copyright MATESO GmbH

Inbetriebnahme Profinet mit Engineer. Inhaltsverzeichnis. Verwendete Komponenten im Beispiel:

Support Center Frankfurt Windows 2000 Server Neuer Client im Netzwerk

WLAN-Zugang mit Linux

Zugriff auf elektronische Angebote und Datenbanken der Hochschulbibliothek von externen Lokationen

Benutzerhandbuch. bintec elmeg GmbH. Benutzerhandbuch. be.ip. Workshops. Copyright Version 1.0, 2015 bintec elmeg GmbH

Tutorial -

Version Deutsch In diesem HOWTO wird beschrieben wie Sie Ihr vorhandenes PMS-System mit der IAC-BOX verbinden und konfigurieren.

Technical Note 0404 ewon

Security. Stefan Dahler. 4. Internet Verbindung. 4.1 Einleitung

Switching. Übung 7 Spanning Tree. 7.1 Szenario

Konfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung

Avira Support Collector. Kurzanleitung

BSV Software Support Mobile Portal (SMP) Stand

Anbindung des eibport an das Internet

Seite 1 von 14. Cookie-Einstellungen verschiedener Browser

Anleitung zur Einrichtung des WDS / WDS with AP Modus

Anbindung einer Gateprotect GPO 150

Klicken Sie mit einem Doppelklick auf das Symbol Arbeitsplatz auf Ihrem Desktop. Es öffnet sich das folgende Fenster.

Shellfire OpenVPN Setup Windows

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

SIP Konfiguration in ALERT

Anlegen eines DLRG Accounts

Loggen Sie sich in Ihrem teamspace Team ein, wechseln Sie bitte zur Verwaltung und klicken Sie dort auf den Punkt Synchronisation.

malistor Phone ist für Kunden mit gültigem Servicevertrag kostenlos.

Anleitung zur Einrichtung eines 3G/4G Internetzugangs Für DWR-921

teischl.com Software Design & Services e.u. office@teischl.com

Transkript:

Datum 26.07.2011 Hersteller Fortinet Modell Type(n) Fortigate Firmware FortiOS v4.2 Copyright Boll Engineering AG, Wettingen Autor sy Dokument-Version 1.1 Situation: In vielen Unternehmen arbeiten die Mitarbeiter nicht direkt mit Ihren eigenen Workstations (und damit mit ihren eigenen IP Adressen), sondern über einen (oder mehrere) Terminalserver. Das hat zur Folge, dass mehrere Mitarbeiter aus Sicht der Firewall mit der gleichen IP-Adresse daher kommen. Ist nun fürs Surfen im Internet eine User Authentifizierung an der Firewall erwünscht, ist das nicht mehr möglich, da die Firewall den Mitarbeiter über eine IP-Adresse identifiziert. Kommen nun mehrere Mitarbeiter über die gleiche IP-Adresse, kann die Firewall das nicht mehr auseinander halten. Seite 1 von 9 BOLL Engineering bemüht sich um die Richtigkeit aller in diesem Artikel aufgeführten Informationen und Daten. Eine Haftung oder Garantie für die Aktualität, Richtigkeit und Vollständigkeit dieser Informationen und Daten ist ausgeschlossen. BOLL Engineering behält sich vor, ohne Ankündigung Änderungen vorzunehmen. BOLL Engineering haftet weder für direkte noch indirekte Schäden, die durch die Nutzung der Informationen oder Daten dieses Artikels entstehen oder entstanden sind. Der Inhalt dieses Artikels ist urheberrechtlich geschützt. Die Vervielfältigung von Informationen oder Daten, insbesondere die Verwendung von Texten, Textteilen oder Bildmaterial bedarf der vorherigen Zustimmung von BOLL Engineering. Im Text vorkommende Produktenamen sowie Bezeichnungen von Technologien oder Konzepten sind meistens Warenzeichen oder eingetragene Warenzeichen der entsprechenden Firmen.

Lösung: Das Problem kann auf der Fortigate durch die Nutzung eines Proxyserver im Browser gelöst werden. Die Fortigate wird im Browser als Proxy angegeben und die Authentifizierung erfolgt nun über NTLM. Die Schnittstelle vom NTLM zur AD (zum User- und Passwordcheck) wird über das Fortinet Single-Sign On (FSSO, früher auch FSAE genannt) bereitgestellt. Konfiguration Folgende Konfigurationsschritte sind durchzuführen 1. Konfiguration des Proxyservers im Browser 2. Installation & Konfiguration des FSSO auf einem Rechner in der Domäne 3. Konfiguration der Fortigate a. Aktivieren des Explicit Proxy b. Anbindung des FSSO c. Generieren von Usergruppen d. Erstellen von Identity-based FW-Rules Seite 2 von 9

1. Konfiguration des Proxyservers im Browser Im jeweilig genutzten Browser muss die Fortigate als Webproxy angegeben werden. Diese Konfiguration ist natürlich Browser-abhängig. Als Beispiel sei der Internet Explorer 9 genannt. Die Einstellung wird hier unter Extras Internetoptionen Verbindungen LAN-Einstellungen vorgenommen. 2. Installation & Konfiguration des FSSO auf einem Rechner in der Domäne Die Kommunikation mit dem Active Directory wird vom FSSO-Agent erledigt. Dieser muss auf einem Rechner der Domäne installiert sein (für die reine NTLM Authentication muss es nicht zwingend der Domain Controller selber sein). Die Installationsdatei kann bei Fortinet downgeloaded werden und ist typischerweise im entsprechenden FortiOS-Verzeichnis mit Unterverzeichnis FSSO zu finden. Bsp: /FortiGate/v4.00/4.0MR3/MR3_Patch_1/FSSO. Seite 3 von 9

Ist die Installation erfolgt (muss mit Admin-Rechten geschehen und erzwingt einen Reboot), kann der FSSO Agent konfiguriert werden. Hierfür muss die Checkbox Support NTLM authentication aktiviert werden und ein Passwort für die Kommunikation mit der Fortigate gesetzt werden (dieses Passwort wird unter Schritt 3.b wieder benötigt). Weiterhin muss unter Select Domains To Monitor die verwendete Domäne ausgewählt werden. Um später auf der Fortigate das Memory ein wenig zu schonen, können mittels der Funktion Set Group Filters die Gruppen selektiert werden, die für die Authentication auf der Fortigate gebraucht werden. Werden hier keine Gruppen gesetzt, werden sämtliche Gruppen zur Fortigate synchronisiert egal ob diese gebraucht werden oder nicht. 3. Konfiguration der Fortigate a. Aktivieren des Explicit Proxy Zunächst muss auf der Fortigate der Web Proxy eingeschaltet werden. Dieses passiert unter System Network Web Proxy. Es werden die gewünschten Protokolle und die dazugehörigen Ports konfiguriert. Die angegebenen Ports finden Ihre Entsprechung in der Proxy-Konfiguration vom Browser (Schritt 1). Nun muss der Web Proxy der Fortigate noch auf dem Interface aktiviert werden, auf dem die Webanfragen eintreffen. Da die Clients in unserem Beispiel im LAN sitzen, wird im LAN Interface der Enable Explicit Web Proxy aktiviert. Seite 4 von 9

b. Anbindung des FSSO Nun muss auf der Fortigate die Verbindung zum FSSO hergestellt werden. Dieses geschieht unter User Directory Service Directory Service. Es wird die IP Adresse vom dem Rechner angegeben, auf dem der FSSO installiert wurde und das dort konfigurierte Passwort wiederholt. Nach Bestätigung dieser Eingaben kann nach einer gewissen Wartezeit (ca. 30 Sekunden) die Verbindung zum FSSO überprüft werden. Bei erfolgreicher Verbindung erscheint ein blaues Dreieck neben dem Collector, auf welchem per Mausklick die gewählte Domäne und deren Gruppen aufgelistet werden können. c. Generieren von Usergruppen Um in einer Firewall Regel eine Domänen Gruppe zu nutzen, muss diese in eine Fortigate User Gruppe integriert werden. Es können mehrere Domänengruppen pro Fortigate User Gruppe angegeben werden. Seite 5 von 9

d. Erstellen von Identity-based FW-Rules In einem letzten Schritt muss nun noch eine (oder mehrere) entsprechende Firewall Regeln erstellt werden, welche für das Surfen der Mitarbeiter verwendet wird. Zunächst muss darauf geachtet werden, dass als Source Interface nicht das LAN-Interface, sondern das Interface mit dem Namen web-proxy verwendet wird. Dieses Interface erscheint automatisch, sobald der Web Proxy bei Schritt 3.a aktiviert wird. Innerhalb dieser Firewall Regel kann nun die Identity based Policy verwendet werden, um jeder der konfigurierten Gruppen (Schritt 3.c) ein entsprechendes UTM Profile, sowie passende Schedule- und Logging-Einstellungen zuzuweisen. Seite 6 von 9

Troubleshooting Falls nach obiger Konfiguration beim Browsen doch ein explizites Authentifizierungsfenster angezeigt wird, bedeutet das, dass das NTLM nicht funktioniert. In diesem Fall können folgende Troubleshooting Schritte bei der Fehlersuche helfen. Die einzelnen Schritte überprüfen jeweils die obigen Konfigurationsschritte. Schritt 1: Ueberprüfen der richtigen Verbindung zwischen Client und Fortigate. Wird auf einem Client gesurft, sollte man im Netz eine Verbindung zwischen dem Client und der Fortigate auf dem im Browser konfigurierten Port (in unserem Fall Port 8080) sehen. Dieses kann mittels des Packetsniffer auf der Fortigate geprüft werden: diag sniffer packet <Name des LAN-Interfaces> port 8080 4 FG200B # diag sniffer packet port16 'port 8080' 4 interfaces=[port16] filters=[port 8080] 2.551828 port16 -- 10.41.0.208.52905 -> 10.41.0.1.8080: syn 2225319820 2.551879 port16 -- 10.41.0.1.8080 -> 10.41.0.208.52905: syn 2735539818 ack 2225319821 2.552099 port16 -- 10.41.0.208.52905 -> 10.41.0.1.8080: ack 2735539819 2.560620 port16 -- 10.41.0.208.52905 -> 10.41.0.1.8080: psh 2225319821 ack 2735539819 2.560650 port16 -- 10.41.0.1.8080 -> 10.41.0.208.52905: ack 2225320351 2.563445 port16 -- 10.41.0.1.8080 -> 10.41.0.208.52905: psh 2735539819 ack 2225320351 2.571112 port16 -- 10.41.0.208.52905 -> 10.41.0.1.8080: psh 2225320351 ack 2735540042 Wichtig ist, dass man hier eine aktive TCP-Verbindung sieht. Es müssen also der 3-way-tcp-handshake und nachfolgende Daten zu sehen sein. Alternativ kann auch der Wireshark (oder ein anderer Packetsniffer) auf dem Client verwendet werden, um die Proxy-Verbindung zwischen Client und Fortigate zu kontrollieren. Am besten nutzt man hier den Capture Filter port 8080 (oder den entsprechenden Proxy-Port), um uninteressanten Traffic auszublenden. In dem nachfolgenden Mitschnitt ist die NTLM-Authentication wunderschön zu verfolgen. Nach dem initialen GET vom Client (Packet #4) antwortet die Fortigate mit einem Proxy authentication required (#6). Der Client wiederholt nun den GET-Request mit einer NTLM-Negotiation (#7), der NTLM-Challenge wird von der Fortigate zurückgesendet (#8), worauf der Client seinen GET-Request mit der eigentlichen Authentifizierung wiederholt (#9). Nun erst wird die Webseite übertragen. Seite 7 von 9

Schritt 2: Ueberprüfen der FSSO Installation und dessen Kommunikation mit der Fortigate und dem AD Zunächst muss sichergestellt werden, dass die Fortigate mit dem FSSO-Agent kommunizieren kann. Dieses wird bereits bei der Konfiguration geprüft. Sobald das blaue Dreieck erscheint, ist die Kommunikation in Ordnung. Erscheint dieses Dreieck nicht, liegt ein Kommunikationsproblem vor. Prüfen Sie hier bitte noch mal die IP und das Passwort. Falls auf der Workstation, auf dem der FSSO installiert ist, eine Firewall läuft, stellen Sie bitte sicher, dass diese den Port 8000 (oder der Port, der für die Kommunikation konfiguriert wurde) auch zugelassen wird. Allenfalls muss wieder mit einem Packetsniffer geschaut werden, wo es hakt. Schritt 3: Ueberprüfen der NTLM Authentication der FG zum FSSO Auf der Fortigate kann mittels des debug application CLI-Kommandos die Kommunikation zwischen Fortigate und FSSO Client geprüft werden: FG200B # diag debug app wad 1024 FG200B # diag deb ena FG200B # wad_fsae_ntlm_req_send(252): req=0x9c564cc ntlm=0x9c52046/56 wad_fsae_proc_ntlm_resp(352): req=0x9c564cc code=0 len=240 wad_fsae_proc_ntlm_resp(364): nmsg=tlrmtvntuaaca AAAAAAAAAAA=BBER len=236 wad_fsae_ntlm_req_send(252): req=0x9c564cc ntlm=0x9c522e5/532 wad_fsae_proc_ntlm_result(404): uname=sy uname_len=2 grp= BOLL/DOMAIN USERS wad_fsae_group_parse(169): make membership=0x9c4e6c0 n_member=1 [member 1 len=17]: BOLL/DOMAIN USERS wad_fsae_ntlm_notify(188): uname=sy ms=0x9c4e6c0 uname_len=2 increased user count, quota:3000, n_user:1, n_shared_user:1, vd_used: 1, vd_max 0, vd_gurantee: 0 wad_auth_membership_match(272): grp->type=1 user->grp_type=1 ms=0x9c4e6c0 wad_auth_ldap_member_match(193): comparing grp_member=17/boll/domain USERS auth_member=17/boll/domain USERS wad_auth_ldap_member_match(199): auth_member used BOLL/DOMAIN USERS wad_hauth_req_authorize(391): authorized on policy=0x9c57940 group=ntlmtestgroup FG200B # diag deb dis FG200B # diag debug app wad 0 Und auf der Gegenseite, dem FSSO, kann das Log vom Collector Agent ausgelesen werden. Evtl. macht es Sinn, hier den LogLevel auf Information zu setzen. Collectorlog: 07/20/2011 17:37:41 [ 4392] Bytes received from FortiGate: 78 07/20/2011 17:37:41 [ 4792] process NTLM_AUTH_TYPE1MSG 07/20/2011 17:37:41 [ 4792] packet seq:1308071724 07/20/2011 17:37:41 [ 4792] seq:1308071724 NTLM msg len:56 07/20/2011 17:37:41 [ 4792] send NTLM_TYPE2_MSG, len:258 07/20/2011 17:37:41 [ 4392] Bytes received from FortiGate: 554 07/20/2011 17:37:41 [ 4032] process NTLM_AUTH_TYPE3MSG 07/20/2011 17:37:41 [ 4032] packet seq:1308071724 Seite 8 von 9

07/20/2011 17:37:41 [ 4032] seq:1308071724 NTLM msg len:532 07/20/2011 17:37:41 [ 4032] NTLM auth passed 07/20/2011 17:37:41 [ 4032] domain:boll 07/20/2011 17:37:41 [ 4032] user:sy 07/20/2011 17:37:41 [ 4032] workstation:sy-pc 07/20/2011 17:37:41 [ 4032] ad_user_get_groups_str(): BOLL/Domain Users 07/20/2011 17:37:41 [ 4032] all groups: BOLL/Domain Users 07/20/2011 17:37:41 [ 4032] sent groups: BOLL/Domain Users 07/20/2011 17:37:41 [ 4032] send NTLM_RESULT_MSG, len:130 count:51 Seite 9 von 9

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback