Webauthentifizierung

Sie können Active Directory SSO oder das Captive-Portal verwenden, um Benutzer zu authentifizieren. Benutzer werden dann in der Protokollierung und in der Berichterstattung angezeigt und als Übereinstimmungskriterien in Firewallregeln und Internetrichtlinien verwendet.

Active Directory Single Sign-On (SSO) versucht, Benutzer, die mit XG Firewall an Endgeräten angemeldet sind, ohne Benutzereingriff im Hintergrund zu authentifizieren.

Das Captive-Portal ist eine Webseite, die Benutzer hinter der Firewall dazu auffordert, sich zu authentifizieren, wenn diese versuchen, auf eine Website zuzugreifen. Sie können auch das Verhalten und Aussehen des Captive-Portals festlegen.

Captive-Portal-URL: https://<IP-Adresse von XG Firewall>:8090

Nach der Authentifizierung am Captive-Portal erlaubt XG Firewall Benutzern zu ihrem angefragten Ziel zu gelangen oder sie leitet sie zu einer von Ihnen festgelegten URL um.

Um die authentifizieren-Benutzer zu sehen, gehen Sie zu Aktuelle Aktivitäten > Live-Benutzer.

Unauthentifizierte Benutzer für den Internetzugriff autorisieren

Die Einstellungen, die Sie hier angeben, werden basierend auf den Firewallregeln und den Internetrichtlinien für unbekannte Benutzer sowie authentifizierte Benutzer und Benutzergruppen angewendet.

Firewallregeleinstellung: Webauthentifizierung für unbekannte Benutzer verwenden

Verhalten

An

Bei nicht authentifizierten Internetanfragen, die mit der Firewallregel übereinstimmen, werden die Benutzer authentifiziert.

Aus

Nicht authentifizierte Anfragen sind zulässig. Wenn die Anfragen aufgrund der Internetrichtlinie blockiert sind, werden die Benutzer authentifiziert.

Grund für die Authentifizierung

AD SSO konfiguriert

Verhalten

Firewallregel trifft zu.

Ja

Wenn nicht authentifizierte Internetanfragen gestellt werden, versucht AD SSO, Benutzer, die bei Endgeräten angemeldet sind, im Hintergrund zu authentifizieren. Wenn die Authentifizierung fehlschlägt, werden Anfragen an das Captive-Portal umgeleitet. Sobald die Benutzer authentifiziert sind, wird die Seite neu geladen und die Internetrichtlinie der Benutzer neu ausgewertet.

Es gilt eine Internetrichtlinie, die für unbekannte Benutzer oder Gruppen festgelegt wurde und auf Blockieren gesetzt ist.

Ja

Firewallregel trifft zu.

Nein

Wenn nicht authentifizierte Internetanfragen gestellt werden, werden die Anfragen an das Captive-Portal umgeleitet.

Die Internetrichtlinie für unbekannte Benutzer oder Gruppen ist auf Blockieren gesetzt.

Nein

Wenn nicht authentifizierte Internetanfragen blockiert werden, wird eine Sperrseite angezeigt. Sie können den Captive-Portal-Link auf der Sperrseite anzeigen.

XG Firewall unterstützt zwei AD-SSO-Mechanismen, NTLM und Kerberos. Kerberos ist schneller und sicherer als NTLM, hat aber mehr Voraussetzungen.

Option

Beschreibung

Nur NTLM

Enthält nur NTLM in Authentifizierungsheadern. Verwenden Sie diese Option, wenn Sie Legacy-Clients haben, die Kerberos-Header nicht verarbeiten können.

Kerberos & NTLM

Standard

Enthält sowohl NTLM als auch Kerberos in Authentifizierungsheadern. Browser wählen den zu verwendenden Mechanismus aus.

Anmerkung Wenn Active Directory konfiguriert ist, können Sie den Zugriff auf AD SSO von bestimmten Netzwerkzonen aus aktivieren, z.B. LAN. Gehen Sie zu Verwaltung > Appliance-Zugriff und wählen Sie die Zonen unter Zugriffssteuerungsliste (ZSL) für lokale Dienste aus.

Captive-Portal-Verhalten

Geben Sie die Einstellungen für das Captive-Portal an.

Benutzerportal-Link anzeigen
Zeigt den Benutzerportal-Link auf der Captive-Portal-Seite an.
Webseite nach Anmeldung anzeigen
Leitet Benutzer nach der Authentifizierung auf die Seite, die sie angefordert haben, oder eine selbstdefinierte Seite.
Webseite öffnen

Option

Beschreibung

In einem neuen Browserfenster

Öffnet die Webseite in einem neuen Browserfenster. Die Captive-Portal-Seite bleibt geöffnet.

Im Captive-Portal-Fenster

Öffnet die Webseite im aktuellen Tab und ersetzt die Captive-Portal-Seite.

Webseite

Option

Beschreibung

Ursprünglich vom Benutzer angefragt

Öffnet die Webseite, die ursprünglich von den Benutzern angefordert wurde, bevor sie zum Captive-Portal umgeleitet wurden.

Eigene

Geben Sie eine Seite an, zu der die Benutzer umgeleitet werden. Öffnen Sie beispielsweise nach der Anmeldung eine interne Startseite.

Benutzer abmelden

Option

Beschreibung

Wenn die Captive-Portal-Seite geschlossen oder umgeleitet wird

Meldet Benutzer ab, wenn sie das Captive-Portal-Tab schließen oder eine andere Seite im gleichen Tab öffnen.

Wenn der Benutzer inaktiv ist

Geben Sie an, wie viel Daten innerhalb eines Zeitraums übertragen werden müssen, damit ein Benutzer als aktiv betrachtet wird.

Nie

Benutzer sind nicht abgemeldet.

Unsicheres HTTP statt HTTPS verwenden
Ermöglicht Benutzern den Zugriff auf das Captive-Portal über HTTP.
Wir empfehlen den Einsatz von HTTPS. Die Übertragung unverschlüsselter Kennwörter über ein Netzwerk stellt ein erhebliches Sicherheitsrisiko dar.
XG Firewall wird mit einem vorinstallierten selbstsignierten HTTPS-Zertifikat ausgeliefert. Um Warnungen wegen des Browserzertifikats zu verhindern, können Sie es durch ein Zertifikat ersetzen, das Sie selbst erzeugt (und verteilt haben, um das Client-Vertrauen zu gewährleisten) oder von einer Zertifizierungsstelle erworben haben.

Um Änderungen zu speichern, wählen Sie Übernehmen.

Captive-Portal-Aussehen

Verwenden Sie diese Einstellungen, um das Aussehen und den Inhalt des Captive-Portals anzupassen. Sie können zum Beispiel Ihr Unternehmenslogo und eigenen Text festlegen. Klicken Sie auf die Schaltfläche Vorschau unten, um zu sehen, wie die Seite für Benutzer aussehen wird.

Option

Beschreibung

Standard-Layout

Verwendet den Sophos Standardport.

Eigenes HTML

Wählen Sie diese Option, um den HTML- und CSS-Code zu bearbeiten. Sie können auch JavaScript verwenden.

Der Code muss folgendes Element enthalten: <div id="__loginbox"></div>. Das System wird die erforderlichen Benutzereingabe-Elemente im div-Element einbetten.

Standard-Logo

Verwendet das Sophos Logo.

Eigene-Logo

Wählen Sie diese Option, um Ihr eigenes Logo zu verwenden. Laden Sie ein Bild hoch oder geben Sie einen Link zu Ihrem Logo ein.

HTML für Header der Anmeldungsseite

Geben Sie den Text ein, der über dem Anmeldefeld angezeigt werden soll. Sie können HTML verwenden.

Mit Textfarbe für Kopf- und Fußzeile können Sie die Schriftfarbe anpassen.

Benutzerabfrage

Sie können den Standardtext ändern.

Bezeichnung für Benutzernamenfeld

Sie können die Bezeichnung des Benutzernamenfelds ändern.

Bezeichnung für Kennwortfeld

Sie können die Bezeichnung des Kennwortfelds ändern.

Bezeichnung für Anmeldeschaltfläche

Sie können die Bezeichnung der Anmeldungsschaltfläche ändern.

Bezeichnung für Abmeldeschaltfläche

Sie können die Bezeichnung der Abmeldungsschaltfläche ändern.

Bezeichnung für Benutzerportal-Link

Sie können den Namen des Benutzerportallinks ändern.

HTML für Fußzeile der Anmeldungsseite

Geben Sie den Text ein, der unter dem Anmeldefeld angezeigt werden soll. Sie können HTML verwenden.

Mit Textfarbe für Kopf- und Fußzeile können Sie die Schriftfarbe anpassen.

Hintergrundfarbe

Sie können die Hintergrundfarbe der ganzen Seite ändern.

Textfarbe für Kopf- und Fußzeile

Sie können die Schriftfarbe der Kopf- und Fußzeile ändern. Sie wird nur sichtbar sein, wenn Sie eine Kopf- oder Fußzeile angegeben haben.

Hintergrundfarbe für eigenes Logo

Sie können die Hintergrundfarbe des Felds ändern, das das Logo enthält.

Textfarbe für Benutzerabfrage

Sie können die Schriftfarbe der Benutzerabfrage ändern.

Textfarbe für Benutzerportal-Link

Sie können die Schriftfarbe des Benutzerportallinks ändern.

Um die Einstellungen zu speichern, wählen Sie Übernehmen.

Um die selbstdefinierten Einstellungen aufzuheben, klicken Sie auf Auf Standard zurücksetzen.