Proxy Authentifizierung mit Windows User Logon

josch84 · December 2, 2016, 9:22pm

Hallo zusammen,

wir sind aktuell dabei, eine alte, bestehende Server 2003 Domäne auf einen Univention DC umzustellen.
Hierfür haben wir in einem abgetrennten Netz einen neuen Server installiert, auf dem die aktuellste UCS Version installiert wurde.
Dies läuft soweit auch alles gut, UCS läuft als Primärer DC, Aufnahme von Windows 7 Rechner in die Domain ohne Probleme, Userverwaltung, Freigaben usw klappt ebenfalls.

Beim aktuellen Schritt, dem Einbinden von IPFire als Proxy hängen wir aktuell kurz vor dem Ziel fest und wissen nicht weiter:
Ausgangslage sind 2 getrennte Netze, ein reines Intranet, in dem kein Router hängt sowie ein externes Netz, in dem nur der Router sowie Proxy sitzen.
Der Proxy ist in beiden Netzen und soll als Gateway fürs Intranet fungieren.

Ziel ist, dass der Internetzugriff durch den Proxy über die DC-User gesteuert wird, je nachdem ob ein User in der Gruppe “Internet” ist, hat er Internet oder eben nicht.

IPFire wurde auf einem physikalischen PC als Proxy installiert und konfiguriert
Aufnahme in die Domain ist erfolgt, Anbindung an den DC per LDAP funktioniert
Entsprechende notwendige Gruppe “Internet” wurde im Proxy hinterlegt.

Auf dem Client PC, einem Windows 7 Rechner, wurde Gateway, DNS, … per DHCP korrekt zugewiesen.
Startet man den Internet Explorer, fordert der Proxy eine Eingabe der Userdaten.
Geben wir hier die Zugangsdaten eines Berechtigten Users an, kommen wir ins Internet, mit Zugangsdaten eines Users ohne die Gruppe, sind wir ausgesperrt.
Der Proxy arbeitet also soweit korrekt, LDAP Zugriff und Kommunikation Proxy <-> DC funktioniert auch.

Unser Problem ist nun, dass der Internetzugriff rein über den unter Windows angemeldeten User laufen soll, beim Start des Internet Explorers bzw eines beliebigen anderen Browsers soll keine Anmeldemaske des Proxys erscheinen, es soll direkt eine Prüfung des Windows Users erfolgen und nachfolgend Internetzugriff gewährt oder verweigert werden.

Leider sind wir mittlerweile recht raltos, ob die Ursache eine Sicherheitseinstellung in ICS/Samba ist, eine Konfiguration von IPFire oder ein lokales Problem, evtl. Sicherheitsrichtlinien des Windows 7 PCs. Falls jemand einen Tip oder sogar die Lösung hat, würden wir uns sehr freuen.

SirTux · December 2, 2016, 11:18pm

Hallo,

gabs den IPFire schon in der Windows-Domäne und hat da die automatische Anmeldung funktioniert?

Für die automatische Anmeldung muß der Squid (oder welcher Proxy wird verwendet?) AFAIK entweder für NTLM oder Kerberos konfiguriert sein. Für letzteres müssen ja dann auch entsprechende Host-Keys angelegt sein.

Viele Grüße,
SirTux

josch84 · December 3, 2016, 10:36am

Danke erstmal für die Antwort.

der IPFire ist komplett frisch aufgesetzt und war nie in der alten Windows Domain.

Squid ist aktiv, das mit NTLM/Kerberos werden wir mal prüfen, melde mich wieder.

aborni · December 7, 2016, 9:44am

Ich klinke mich spontan mal ein. Wir nutzen ebenfalls einen frischen IPFire-Proxy und haben darauf im Web-Proxy-Modul die Authentifizierungsmethode “Windows Active Directory” gesetzt. In der squid.conf wird dadurch offensichtlich eine reine ntlm-Authentifizierung konfiguriert:

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 80

Das Problem ist bei uns mit dieser Konfiguration ist nun, dass squid alle paar Stunden einfriert. Kein Verkehr mehr…

Auch das setzten von weiteren Parametern:

auth_param ntlm max_challenge_reuses 20 auth_param ntlm max_challenge_lifetime 2 minutes

…brachte keinen erfolg.
Die Authentifizierungsmethoden “lokal” und “ohne” laufen ohne Probleme.

Interessant wäre also mal die Kerberos-Authentifizierung mit IP-Fire zu testen. Aus Zeitmangel hat das bei uns noch nicht geklappt. Hier gibt es dazu ja eine schöne Anleitung: http://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerberos
Wenn es dafür mal ein paar Hinweise für die Umsetzung gäbe, wäre das toll…

Viele Grüße

josch84 · December 8, 2016, 10:24pm

Nachdem wir leider auch mit dem Tipp von oben nicht weiter kamen, haben wir IPFire vorerst gegen den Endian Proxy ausgetauscht.
Hier hatten wir keine Probleme den Proxy in die Domain aufzunehmen und anschließend übers AD die Usergruppe “Internet” pro User auszulesen.
Nach ersten Tests scheinen wir hier genau das erreicht zu haben, was wir wollten, User haben sofortigen Zugriff aufs Internet über ihren Windows Zugang, falls der Windows User in der passenden AD Gruppe ist.

Weitere Tests und Einrichtungen folgen noch, da wir das Projekt jedoch nur in unserer Freizeit voran treiben, müssen wir immer sehen, wann Zeit ist.