Proxy Web - Autenticación (NTLM)
Ben ha publicado esto el 28 de abril de 2011 00:12
Autor: Ben
aplica a la plataforma: UTM> 2.4
En esta lección se ilustran los pasos necesarios para configurar un proxy web más avanzada con
Microsoft Active Directory (NTLM) la integración en un dispositivo típico Endian. El uso de este tipo de
proxy web, podemos utilizar los grupos de Active Directory ya existentes y los usuarios crear perfiles de
filtrado para diferentes niveles de acceso a la web.
Nota
El uso de Active Directory (NTLM) basado es la única manera de lograr una solución en la que los
usuarios no tienen que volver a autenticarse en el navegador "Sign On-Single". En otras palabras, cuando
un usuario inicia sesión en su equipo también están autenticadas para el proxy web de forma automática.
Ejemplo de configuración
El diagrama anterior ilustra algunos de los pasos básicos con la autenticación proxy web (modo específico
de Active Directory). En nuestro ejemplo concreto, vamos a utilizar dos grupos de AD (usuarios
administradores y general) para definir diferentes niveles de filtrado con una política más restrictiva para
los usuarios en general.
Habilitar el Proxy Web
El primer paso es habilitar el proxy web haciendo clic en el botón gris (que se pondrá verde cuando está
activado). Vamos a configurar el modo de funcionamiento para cada red que queremos filtrar ser "no
transparente".
Advertencia
Cuando se utiliza el proxy web con autenticación de modo compatible sólo no es transparente.
Configurar las opciones de registro
Dado que queremos tener todos los accesos web (permitidos y bloqueados) registrado para fines de
revisión, vamos a permitir que las opciones de registro correspondientes.
Haga clic en Guardar y luego aplicar los cambios para continuar.
Configurar el perfil filtro de contenido # 1 (usuarios generales)
El primer perfil que construiremos será para nuestro grupo de usuarios en general, que será más
restrictiva en términos de acceso a la web. En este ejemplo, sólo vamos a configurar el filtrado de URL
Blacklist (sólo) con fines de facilidad y administración web. Lo primero que vamos a hacer es asegurar
que nuestro antivirus HTTP se habilita marcando la casilla correspondiente. Puede seleccionar toda la
categoría para bloquear haciendo clic en la flecha verde o, alternativamente, puede desplegar las
subcategorías y seleccionar aquellos individualmente para bloquear algunos y no a otros. También puede
adjuntar listas negras blanco o personalizados a este perfil también.
Haga clic en Actualizar perfil y luego aplicar los cambios para continuar.
Configurar el perfil filtro de contenido # 2 (Usuarios Administrativos)
El siguiente perfil es para el grupo de administración y será menos restrictiva para el acceso web. Una vez
más, sólo estamos utilizando la lista negra de URL para la simplicidad, pero se puede utilizar las otras
formas de filtrado también.
Nota
Cuando se habilita el filtrado de frases (Content Filtering) esto bloqueará las categorías de frases de
contenido "dentro de la página", que dará lugar a una estrategia de bloqueo más agresiva y con una tasa
de falsos positivos más altos web.
Configuración de la autenticación proxy
El siguiente paso es configurar la pieza de autenticación del proxy web que requiere unir el aparato
Endian a su servidor de Active Directory. Las piezas clave de información son el (1) dominio de
autenticación, que es sólo el dominio, (2) el nombre de dominio, (3) el PDC nombre de host del servidor
de AD y (4) la dirección IP PDC. La información BDC no se requiere para que pueda dejar esta sección en
blanco.
Haga clic en Guardar y luego aplicar los cambios para continuar.
Nota
El protocolo de autenticación de red que se utiliza en Active Directory (Kerberos) tiene requisitos estrictos
de tiempo, lo que significa que los relojes de los hosts involucrados deben estar sincronizados.Lo mejor
es indicar el PDC y BDC hosts como servidores NTP de Endian.
Únete a la Endian al servidor de anuncios
Ahora podemos unir al dominio, proporcionando un nombre de usuario administrador de dominio y la
contraseña (que tiene permisos para realizar dominio se une).
Una vez hecho esto, haga clic en Únete ADS y usted debería ver un mensaje de éxito (ilustrado arriba).
Configure la directiva de acceso (usuario general)
El último paso es la creación de una política de acceso que asignar el perfil de filtrado de contenidos
basado en una configuración de red específica. En el ejemplo anterior, estamos creando una política para
la zona verde (toda la red) para cualquier usuario en el grupo "Los usuarios en general" que utiliza el
filtrado de contenidos perfil # 1 (por defecto).
Haga clic en Crear directiva .
Configure la directiva de acceso (usuario admin)
Ahora vamos a configurar una política de acceso independiente para asignar cualquier usuario de la red
verde que pertenece al grupo "admin dominio" para utilizar el filtrado de contenidos perfil # 2 (admin).
Haga clic en Crear directiva y luego aplicar los cambios.
Ajuste de configuración del lado del cliente
La solución más sencilla es utilizar el proxy web Endian con la autenticación de forma semi-transparente
es que el Endian también se encargan de DHCP para las redes que desea ofrecer el proxy web. El uso de
este método, todos los parámetros necesarios DHCP se configuran automáticamente y entregados a
estaciones de trabajo cliente Endian para que detectan y usan el proxy asumiendo automáticamente la
configuración anterior para Internet Explorer está configurado. Esta opción "Detectar la configuración
automáticamente" debe estar habilitado (que es por defecto) para que el navegador IE para encontrar
automáticamente el proxy sin ningún manual más configuraiton (archivo PAC).
La configuración del navegador IE en general se pueden encontrar en Herramientas> Opciones de
Internet> ficha Conexiones> Configuración de LAN
Pruebe el Proxy Web
Puede probar la configuración actual de la navegación por Internet desde la red verde y probando
diferentes inicios de sesión de usuario (usuario admin y general) para verificar el contenido apropiado se
aplican perfiles de filtrado.
Verificar registro
También debe ser capaz de ver todo el tráfico web en tiempo real, vaya a Registros> Visor de registros en
vivo y seleccione la opción "Proxy Web" log que desea ver. Se dará cuenta, tanto en el visor de registros
en vivo y registros de proxy regulares (foto de arriba) que se puede identificar el nombre de usuario para
el tráfico de persona que le puede ayudar en el control de la conducta usuarios web.
Top Related