ASA 5510 und Internetzugriff

[carsten70 10]

Hallo,

wir haben vor einiger Zeit eine ASA 5510 installiert (bekommen).

Momentan gehen die 20 Clients über einen uralten MS-Proxy 2.0 ins Internet.

Ich möchte den Internetzugriff über die ASA laufen lassen. Die Authentifizierung soll über das AD unserer Domäne laufen.

Kann mir hier jemand ein paar Anhaltspunkte geben, wie ich vorgehen muss?

Zugriff habe ich auf die ASA über den ASDM6.

Vielen Dank.

 

Carsten

[Wordo 11]

Die ASA ist kein Proxy, du kannst höchstens aaa network authentication machen, bei ASDM ueber Firewall -> AAA Authentication

[carsten70 10]

Hallo,

will auch keinen Proxy haben.

Brauche nur einen Schalter. Internet an/aus.

Aber halt über die AD-Anmeldung vom Windows.

Muss ich da nicht irgendwo den AD-Server angeben?

 

Danke schon mal.

[Wordo 11]

Du musst als AAA Server ueber NTLM oder Radius konfigurieren, und dann im AAA Authentication die AAA Servergroup zuweisen, funktioniert eigentlich ganz gut.

 

Probiers einfach ...

[blackbox 10]

Hallo

 

@Wordo - wie ich das getestet habe - kam immer wieder das Login Fenster hoch - da sich er der Browser nicht mit dem "Account" des Users automatisch angemeldet hat - hast du das irgendwie gelöst ?

 

Ich mache das bei den Kunden meist mit dem CSC Modul und der Content COntrolle vom CSC - da kann ich sogar sagen wer wohin surfen darf.

[Otaku19 33]

hm, bei diesem cut through proxy sollte jede Verbindung neu authentifiziert werden, aber der Browser müsste das automatisch für den User erledigen ? Evtl. am Browser irgendwas gesperrt was man dazu braucht ?

[Wordo 11]

@blackbox: Welcher Browser war das? Also ich will explizit keine automatische Anmeldung. Pro Sitzung kommt das schoene Popup und man authentifiziert sich.

Hast du wegen dem CSC Modul paar coole Links, also nich nur Marketingsheets? Man liest halt immer was es so kann aber paar Configschnippsel und Screenshots wuerden mich schon interessieren.

[Otaku19 33]

nene, nicht komplett automatisch, eben nach dem ersten mal eingeben. Sonst würde man ja JEDE IP:IP Verbinudng einzeln freigben müssen...viel Spass bei den zig eingebetteten Geschichten auf den Webseiten (und beim Webseitenwechsel)

[blackbox 10]

@Wordo : Ich mache dir da mal ein paar Screenshots fertig - suche mir mal ne Installation raus - wo alles "böse" ist.

[Wordo 11]

nene, nicht komplett automatisch, eben nach dem ersten mal eingeben. Sonst würde man ja JEDE IP:IP Verbinudng einzeln freigben müssen...viel Spass bei den zig eingebetteten Geschichten auf den Webseiten (und beim Webseitenwechsel)

 

Ne, du machst ne Regel von inside auf any 80 und any 443. Wenn du dann den Browser oeffnest kommt n Popoup, du meldest dich an und bist dann fuer die AAA Regeln generell freigeschaltet (bis der Timout ablaeuft). Prinzipiell funktionierts ganz gut ( NUR NICHT MIT EASYVPN :mad: )

[Wordo 11]

@Wordo : Ich mache dir da mal ein paar Screenshots fertig - suche mir mal ne Installation raus - wo alles "böse" ist.

 

Blacklisten mit Gruppenrichtlinien und so Freischaltungen zur Mittagszeit faend ich sexy. Und vielleicht noch bisschen was wie das mit der Userlizenz laeuft :)

DANKE! :)

[blackbox 10]

Ich schau mal was ich tun kann..