TMG 2010 Konfiguration

[wicksupport 10]

Hallo zusammen!

 

Folgende Situation:

 

Ein TMG 2010 soll als interne Firewall dienen und auf einen externen Proxy verweisen. Der externe Proxy muss die User authentifizieren können, da hier verschiedenen Regeln für die AD User gelten sollen, ohne das die Benutzer noch einmal ein Passwort eingeben müssen. Wie kann das realisiert werden?

 

Danke und liebe Grüße

[NorbertFe 2.102]

Gar nicht. Du kannst eine proxyverkettung nicht userbezogen weitereichen afaik.

[djmaker 95]

Authentifiziere die User und Gruppen aus deinem AD an dem lokalen TMG, Der externe Proxy wird nur im TMG als Uplink eingetragen.

[wicksupport 10]

Das Problem ist, das der externe Proxy einen Contentfilter enthält, den wir nutzen müssen. Ist es dann eine Möglichkeit, dass der TMG einfach an den externen Proxy routet und selbst nicht als Proxy fungiert?

[Dunkelmann 96]

Moin,

 

Du benötigst am TMG nur eine Regel für 'Intern' an 'Proxy' mit dem entsprechneden Port. Zusätzlich natürlich noch eine Regel, die direkten Internetzugriff für die internen Clients unterbindet damit niemand am Proxy vorbei ins Internet geht.

Den Clients muss dann der externe Proxy per WPAD o.ä. mitgeteilt werden.

 

Das Ganze kann möglicherweise etwas aufwändiger werden, da der externe Proxy vermutlich nicht transparent läuft. Manche Programme/Dienste mögen so etwas nicht.

[djmaker 95]

Wenn der externe Proxy keine Anbindung an dein AD hat ist deine Idee nicht umzusetzen.

[NorbertFe 2.102]

Auch dann ist es nicht umzusetzen, denn dann müßte er als Proxy den externen Proxy verteilen. Dann braucht er aber kein TMG dazwischen. ;)

[djmaker 95]

Stimmt auch wieder. Es bleibt aber bei der Aussage das es nicht geht. :-)

[Dunkelmann 96]

Es stellt sich zunächst die Frage, was ist das für ein 'externer Proxy', von wem wird er betrieben usw.. Ein externer Proxy muss nicht zwangsläufig ein öffentlicher Proxy sein.

[NorbertFe 2.102]

Das ist technisch egal. Denn der Fakt, dass ein Upstream Proxy beim tmg keine userauthentifizierung erhält ist vom "was" unabhängig. ;)

[Dunkelmann 96]

Authentifizieren kann ich mich auch direkt am externen Proxy - sofern von diesem unterstützt - und den TMG komplett außen vor lassen.

[NorbertFe 2.102]

http://www.mcseboard.de/topic/193814-tmg-2010-konfiguration/?do=findComment&comment=1201012

 

Ach was. ;)

[Dunkelmann 96]

Als Reverse Proxy ist er vielleicht noch zu gebrauchen :cool:

[wicksupport 10]

Also der externe Proxy ist eine Appliance mit einem eingebauten Content-Filter. Dieser soll den Internetzugang benutzerabhängig freigeben. Eine AD Anbindung ist bereits realisiert. Die Appliance gilt quasi als externe Firewall. Der TMG soll eine interne Firewall sein, der auch den Zugriff aus dem internen Netz auf die Appliance steuert (muss nicht benutzerbezogen sein). Außerdem regelt der TMG den eingehenden Verkehr ins interne Netz und realisiert eine OWA Seite.