Auth Server für den Verkehr ins Internet mit Hindernissen

W

wbs

Jungspund
Hallo zusammen,

ich habe mal eine Frage an Euch...
Vielleicht könnt ihr mir bei der Überlegung helfen.

Zur Zeit es ist es so, das sich jeder User über einen im Browser eingetragenen Proxy authentifizieren muss.
Das an sich ist ja erst mal nicht schlecht.

Nur bringt diese Lösung leider oft Probleme mit sich...
Hier und da muss der Proxy für bestimmte Aktionen deaktiviert werden oder die Ausschlussliste muss bearbeitet werden etc.
Weiterhin ist hier das Problem, das sich der Benutzer jedesmal neu authentifizieren muss, wenn er der Browserfenster geschlossen hat.

Das ist irgendwie also nicht der wahre Weg und ich will versuchen, den eingetragenen Proxy los zu werden. Nun ist es aber so, das ich auf Seiten des Providers auf jeden Fall diesen Proxy brauche, sonst kommt keiner raus.

Es gibt zwar für Admins und Server ne extra Leitung ohne Proxy, die kann jedoch nicht dafür genutzt werden.

Ich hatte mir überlegt, einen Server aufzusetzen, welcher gegen das AD authentifiziert. Wenn ich dann einmal authentifiziert bin, dann für X Stunden.
Meinetwegen 8h. Danach sollte neu angemdelt werden müssen.

Dieser soll quasi vor dem Router des Provides stehen, welcher die Verbindung ins Netz, zum Proxy bereit hält.

Ich hatte mir das so vorgestellt, das eben in dem Server dann dieser Proxy des Providers eingtragen wird, mit einem universellen Auth Benutzer, also welcher dann gegen den Provider authentifiziert.

Also noch mal zusammengefasst:

1.) Kein eingetragenenr Proxy beim Benutzer mehr
2.) Provider Proxy wird in diesem neuen Server eingetragen
2.) Server / Benutzer sollte sich gegen AD authentifizieren
3.) Benutzer sollte nach dem Auth für X Stunden auf diesem Server freigeschaltet sein. Der Provider Auth ist zeitlich unbegrenzt.

Mir gehts hier wie gesagt darum, das ich eben nicht ständig ein Auth vornhemen muss, wenn ich das Browserfenster schließe (aus Sicht des Benutzer) aber, das aus Sicht des Admins dieser Access nicht länger als X Stunden ohne neues Auth möglich ist, den Benutzer in die Liste des Provider Proxies aufnhemen muss etc. Das ich nicht ständig die Proxyliste also Ausschlussliste im Browser anpassen muss etc.

Meint ihr, das kriegt man hin?
Mit einem Linuxserver? Also Linuxserver schon, aber welcher Server, welche Version, Squid oder was nehmen?
 
Zuletzt bearbeitet:
Hi wbs.

Wenn die Benutzer sich schon an der AD angemeldet haben (bei der Windowsanmeldung), könnte diese Anmeldung per NTLM/Single-Sign-On einfach "weitergereicht" werden.
Die Benutzer müssten sich dann nicht nocheinmal anmelden. Wobei für mich nicht klar hervorging ob du das explizit wolltest...

Mittlerweile überstützt einiges an Software NTLM wie zB. Firefox, Samba oder gar Squid.

// Edit:
Alternativ könntest du auch Kerberos verwenden. Allerdings hab ich hiermit keine Erfahrung wie "leicht" es einzurichten ist..

Grüße
 
Zuletzt bearbeitet:
Hey karru,

danke für deine Antwort.
Mir gehts tatsächlich darum, zu verhindern, das man sich jedesmal neu einloggen muss, wenn man das Browserfenster schließt.
Allerdings sollte ein einmaliges Login für den Zugriff auf das Internet erforderlich sein. Das Single Sign In hatte ich auch überlegt, das wird aber nicht gewünscht.

Das hat z.B. damit zutun, das wir Terminals im Eingangsbereich stehen haben, welche nicht ins Netz sollen... Meine Argumentation war, einfach nicht in die Gruppe mit dem Terminalbenutzer. Man will ein einmaliges Login für mindestens 8h und danach ein erneutes Login.

Also wenn man das so durchziehen kann, wäre schon gut.
Ich überlege halt nur, welches System den genannten Anforderungen eben entspricht. Denn dieser Server müsste ja vor dem Provider Proxy stehen und alles an diesen weiterreichen. Und darum geht es eben hauptsächlich, das ich eben keinen Proxy mehr eintragen muss im Browser der Benutzer.
 

Ähnliche Themen

Nginx als Reverse Proxy für Nextcloud und Emby

Authentifizieren/Authorisieren mit LinOTP/AD

Squid als RPCoHTTPS Proxy für Outlook Anywhere

Falsche Rechte gesetzt beim Anlegen von Ordnern via Samba-Client

Benutzerprofile werden vom Server nicht kopiert

Zurück
Oben