Proxy Web - Autenticacin (NTLM)

Ben ha publicado esto el 28 de abril de 2011 00:12

Autor: Ben aplica a la plataforma: UTM> 2.4 En esta leccin se ilustran los pasos necesarios para configurar un proxy web ms avanzada con Microsoft Active Directory (NTLM) la integracin en un dispositivo tpico Endian. El uso de este tipo de proxy web, podemos utilizar los grupos de Active Directory ya existentes y los usuarios crear perfiles de filtrado para diferentes niveles de acceso a la web.

Nota
El uso de Active Directory (NTLM) basado es la nica manera de lograr una solucin en la que los usuarios no tienen que volver a autenticarse en el navegador "Sign On-Single". En otras palabras, cuando un usuario inicia sesin en su equipo tambin estn autenticadas para el proxy web de forma automtica.

Ejemplo de configuracin

El diagrama anterior ilustra algunos de los pasos bsicos con la autenticacin proxy web (modo especfico de Active Directory). En nuestro ejemplo concreto, vamos a utilizar dos grupos de AD (usuarios administradores y general) para definir diferentes niveles de filtrado con una poltica ms restrictiva para los usuarios en general.

Habilitar el Proxy Web

El primer paso es habilitar el proxy web haciendo clic en el botn gris (que se pondr verde cuando est activado). Vamos a configurar el modo de funcionamiento para cada red que queremos filtrar ser "no transparente".

Advertencia
Cuando se utiliza el proxy web con autenticacin de modo compatible slo no es transparente.

Configurar las opciones de registro

Dado que queremos tener todos los accesos web (permitidos y bloqueados) registrado para fines de revisin, vamos a permitir que las opciones de registro correspondientes. Haga clic en Guardar y luego aplicar los cambios para continuar.

Configurar el perfil filtro de contenido # 1 (usuarios generales)

El primer perfil que construiremos ser para nuestro grupo de usuarios en general, que ser ms restrictiva en trminos de acceso a la web. En este ejemplo, slo vamos a configurar el filtrado de URL Blacklist (slo) con fines de facilidad y administracin web. Lo primero que vamos a hacer es asegurar que nuestro antivirus HTTP se habilita marcando la casilla correspondiente. Puede seleccionar toda la categora para bloquear haciendo clic en la flecha verde o, alternativamente, puede desplegar las subcategoras y seleccionar aquellos individualmente para bloquear algunos y no a otros. Tambin puede adjuntar listas negras blanco o personalizados a este perfil tambin. Haga clic en Actualizar perfil y luego aplicar los cambios para continuar.

Configurar el perfil filtro de contenido # 2 (Usuarios Administrativos)

El siguiente perfil es para el grupo de administracin y ser menos restrictiva para el acceso web. Una vez ms, slo estamos utilizando la lista negra de URL para la simplicidad, pero se puede utilizar las otras formas de filtrado tambin.

Nota
Cuando se habilita el filtrado de frases (Content Filtering) esto bloquear las categoras de frases de contenido "dentro de la pgina", que dar lugar a una estrategia de bloqueo ms agresiva y con una tasa de falsos positivos ms altos web.

Configuracin de la autenticacin proxy

El siguiente paso es configurar la pieza de autenticacin del proxy web que requiere unir el aparato Endian a su servidor de Active Directory. Las piezas clave de informacin son el (1) dominio de autenticacin, que es slo el dominio, (2) el nombre de dominio, (3) el PDC nombre de host del servidor de AD y (4) la direccin IP PDC. La informacin BDC no se requiere para que pueda dejar esta seccin en blanco. Haga clic en Guardar y luego aplicar los cambios para continuar.

Nota
El protocolo de autenticacin de red que se utiliza en Active Directory (Kerberos) tiene requisitos estrictos de tiempo, lo que significa que los relojes de los hosts involucrados deben estar sincronizados.Lo mejor es indicar el PDC y BDC hosts como servidores NTP de Endian.

nete a la Endian al servidor de anuncios

Ahora podemos unir al dominio, proporcionando un nombre de usuario administrador de dominio y la contrasea (que tiene permisos para realizar dominio se une). Una vez hecho esto, haga clic en nete ADS y usted debera ver un mensaje de xito (ilustrado arriba).

Configure la directiva de acceso (usuario general)

El ltimo paso es la creacin de una poltica de acceso que asignar el perfil de filtrado de contenidos basado en una configuracin de red especfica. En el ejemplo anterior, estamos creando una poltica para la zona verde (toda la red) para cualquier usuario en el grupo "Los usuarios en general" que utiliza el filtrado de contenidos perfil # 1 (por defecto). Haga clic en Crear directiva .

Configure la directiva de acceso (usuario admin)

Ahora vamos a configurar una poltica de acceso independiente para asignar cualquier usuario de la red verde que pertenece al grupo "admin dominio" para utilizar el filtrado de contenidos perfil # 2 (admin). Haga clic en Crear directiva y luego aplicar los cambios.

Ajuste de configuracin del lado del cliente

La solucin ms sencilla es utilizar el proxy web Endian con la autenticacin de forma semi-transparente es que el Endian tambin se encargan de DHCP para las redes que desea ofrecer el proxy web. El uso de este mtodo, todos los parmetros necesarios DHCP se configuran automticamente y entregados a estaciones de trabajo cliente Endian para que detectan y usan el proxy asumiendo automticamente la configuracin anterior para Internet Explorer est configurado. Esta opcin "Detectar la configuracin automticamente" debe estar habilitado (que es por defecto) para que el navegador IE para encontrar automticamente el proxy sin ningn manual ms configuraiton (archivo PAC). La configuracin del navegador IE en general se pueden encontrar en Herramientas> Opciones de Internet> ficha Conexiones> Configuracin de LAN

Pruebe el Proxy Web

Puede probar la configuracin actual de la navegacin por Internet desde la red verde y probando diferentes inicios de sesin de usuario (usuario admin y general) para verificar el contenido apropiado se aplican perfiles de filtrado.

Verificar registro

Tambin debe ser capaz de ver todo el trfico web en tiempo real, vaya a Registros> Visor de registros en vivo y seleccione la opcin "Proxy Web" log que desea ver. Se dar cuenta, tanto en el visor de registros en vivo y registros de proxy regulares (foto de arriba) que se puede identificar el nombre de usuario para el trfico de persona que le puede ayudar en el control de la conducta usuarios web.