Embed Size (px)
Citation preview
Konfigurationsbeispiel ZyWALL USG
Studerus AG, Ringstr. 1, 8603 Schwerzenbach, www.studerus.ch September 2008 / ATA / Seite 1 von 6
Zywall USG und User Awareness über Active Directory (AD)
Ziel dieser Anleitung ist es, den Internet-Zugang benutzerbasierend zu regeln. Wer über den Web-Browser
(http) ins Internet gelangen will, muss sich vorher auf der Zywall USG authentifizieren. Dieses Beispiel be-
schränkt sich auf den Web-Zugriff. Der Mail-Verkehr funktioniert weiterhin ohne vorherige Authentifizie-
rung. Für die Benutzeridentifikation wird Active Directory (AD) benutzt.
Das Konfigurations-Beispiel nutzt folgende Active Directory-Struktur:
Konfigurationsbeispiel ZyWALL USG
Studerus AG, Ringstr. 1, 8603 Schwerzenbach, www.studerus.ch September 2008 / ATA / Seite 2 von 6
Die AD-Anbindung wird über das Menü Object > AAA Server konfiguriert.
Geben Sie als Host die IP-Adresse des AD-Servers an. Unter Bind DN wird in unserem Fall der Benutzer
administrator eingesetzt. Es kann auch ein anderer Benutzer mit Administratorrechten verwendet werden.
Der Pfad in unserem Beispiel lautet CN=administrator,CN=Users,DC=server2003,DC=local. Bei Password
geben Sie den des verwendeten Benutzers an. Unter Base DN wird der Pfad angegeben, auf dem die Zywall
mit der Suche nach den Benutzern starten soll.
Unter Object > Authentication Method ist per Default nur local (die lokale Datenbank) aufgeführt. Damit
die Zywall Authentifizierungs-Versuche von Benutzern die nicht lokal definiert sind an den AD-Server
weiterleitet, muss auch die eine AD-Gruppe 'group ad' hinzugefügt werden.
Editieren Sie dazu die Standard-Gruppe default:
Konfigurationsbeispiel ZyWALL USG
Studerus AG, Ringstr. 1, 8603 Schwerzenbach, www.studerus.ch September 2008 / ATA / Seite 3 von 6
Fügen Sie über [+] eine neue Zeile hinzu und wählen Sie group ad.
Nach dem Speichern zeigt sich die Übersicht um group ad erweitert wie folgt:
Konfigurationsbeispiel ZyWALL USG
Studerus AG, Ringstr. 1, 8603 Schwerzenbach, www.studerus.ch September 2008 / ATA / Seite 4 von 6
Im Menü Object > User/Group > Setting werden die Standard-Einstellungen der Benutzer definiert. Damit
sich ein User nicht mehrmals über die USG authentifizieren kann, limitieren wir die maximale Anzahl gleich-
zeitiger Anmeldungen auf 1.
Nach dem Speichern der Konfiguration, wird über das Plus-Symbol eine neue Benutzerregel erstellt:
So erstellen Sie eine User Policy, bei der die Authentifizierung aus dem LAN erzwungen wird:
Konfigurationsbeispiel ZyWALL USG
Studerus AG, Ringstr. 1, 8603 Schwerzenbach, www.studerus.ch September 2008 / ATA / Seite 5 von 6
Die Konfiguration der USG ist somit abgeschlossen. Ab sofort muss sich ein Benutzer der sich in der LAN-
Zone befindet, beim ersten Web-Zugriff authentifizieren. Beim Öffnen des Browsers erscheint dazu das
Login-Fenster der USG. Voraussetzung dafür ist, dass die Zywall USG der Standart-Gateway des PCs ist.
Geben Sie gemäss Ihrer Konfiguration die Benutzerdaten ein und klicken Sie auf Login:
Nachdem man sich erfolgreich authentifiziert hat, erscheint ein Popup-Fenster, welches anzeigt, wie viel
Zeit bis zu einer erzwungenen Neuanmeldung verbleibt. Dieses Fenster kann nur angezeigt werden, wenn
keinen Popup-Blocker aktiv ist. Beachten Sie entsprechende Warnungen Ihres Browsers.
Konfigurationsbeispiel ZyWALL USG
Studerus AG, Ringstr. 1, 8603 Schwerzenbach, www.studerus.ch September 2008 / ATA / Seite 6 von 6
Um die aktuell authentifizierten Benutzer aufzulisten, klicken Sie auf der Statusseite auf die Benutzerliste:
Mit der Funktion Force Logout kann der Administrator der USG einen Benutzer manuell trennen.
