Webauthentifizierung

Sie können Active Directory SSO oder das Captive-Portal verwenden, um Benutzer zu authentifizieren. Benutzer werden dann in der Protokollierung und in der Berichterstattung angezeigt und als Übereinstimmungskriterien in Firewallregeln und Internetrichtlinien verwendet.

Active Directory Single Sign-On (SSO) versucht, Benutzer, die mit XG Firewall an Endgeräten angemeldet sind, ohne Benutzereingriff im Hintergrund zu authentifizieren.

Das Captive-Portal ist eine Webseite, die Benutzer hinter der Firewall dazu auffordert, sich zu authentifizieren, wenn diese versuchen, auf eine Website zuzugreifen. Sie können auch das Verhalten und Aussehen des Captive-Portals festlegen.

Captive-Portal-URL: https://<IP-Adresse von XG Firewall>:8090

Nach der Authentifizierung am Captive-Portal erlaubt XG Firewall Benutzern zu ihrem angefragten Ziel zu gelangen oder sie leitet sie zu einer von Ihnen festgelegten URL um.

Um die authentifizieren-Benutzer zu sehen, gehen Sie zu Aktuelle Aktivitäten > Live-Benutzer.

Unauthentifizierte Benutzer für den Internetzugriff autorisieren

Die Einstellungen, die Sie hier angeben, werden basierend auf den Firewallregeln und den Internetrichtlinien für unbekannte Benutzer sowie authentifizierte Benutzer und Benutzergruppen angewendet.


Firewallregeleinstellung: Webauthentifizierung für unbekannte Benutzer verwenden	Verhalten
An	Bei nicht authentifizierten Internetanfragen, die mit der Firewallregel übereinstimmen, werden die Benutzer authentifiziert.
Aus	Nicht authentifizierte Anfragen sind zulässig. Wenn die Anfragen aufgrund der Internetrichtlinie blockiert sind, werden die Benutzer authentifiziert.


Grund für die Authentifizierung	AD SSO konfiguriert	Verhalten
Firewallregel trifft zu.	Ja	Wenn nicht authentifizierte Internetanfragen gestellt werden, versucht AD SSO, Benutzer, die bei Endgeräten angemeldet sind, im Hintergrund zu authentifizieren. Wenn die Authentifizierung fehlschlägt, werden Anfragen an das Captive-Portal umgeleitet. Sobald die Benutzer authentifiziert sind, wird die Seite neu geladen und die Internetrichtlinie der Benutzer neu ausgewertet.
Es gilt eine Internetrichtlinie, die für unbekannte Benutzer oder Gruppen festgelegt wurde und auf Blockieren gesetzt ist.	Ja
Firewallregel trifft zu.	Nein	Wenn nicht authentifizierte Internetanfragen gestellt werden, werden die Anfragen an das Captive-Portal umgeleitet.
Die Internetrichtlinie für unbekannte Benutzer oder Gruppen ist auf Blockieren gesetzt.	Nein	Wenn nicht authentifizierte Internetanfragen blockiert werden, wird eine Sperrseite angezeigt. Sie können den Captive-Portal-Link auf der Sperrseite anzeigen.

XG Firewall unterstützt zwei AD-SSO-Mechanismen, NTLM und Kerberos. Kerberos ist schneller und sicherer als NTLM, hat aber mehr Voraussetzungen.


Option	Beschreibung
Nur NTLM	Enthält nur NTLM in Authentifizierungsheadern. Verwenden Sie diese Option, wenn Sie Legacy-Clients haben, die Kerberos-Header nicht verarbeiten können.
Kerberos & NTLM	Standard Enthält sowohl NTLM als auch Kerberos in Authentifizierungsheadern. Browser wählen den zu verwendenden Mechanismus aus.

Anmerkung Wenn Active Directory konfiguriert ist, können Sie den Zugriff auf AD SSO von bestimmten Netzwerkzonen aus aktivieren, z.B. LAN. Gehen Sie zu Verwaltung > Appliance-Zugriff und wählen Sie die Zonen unter Zugriffssteuerungsliste (ZSL) für lokale Dienste aus.

Captive-Portal-Verhalten

Geben Sie die Einstellungen für das Captive-Portal an.

Benutzerportal-Link anzeigen: Zeigt den Benutzerportal-Link auf der Captive-Portal-Seite an.

Webseite nach Anmeldung anzeigen

Leitet Benutzer nach der Authentifizierung auf die Seite, die sie angefordert haben, oder eine selbstdefinierte Seite.

Webseite öffnen


Option	Beschreibung
In einem neuen Browserfenster	Öffnet die Webseite in einem neuen Browserfenster. Die Captive-Portal-Seite bleibt geöffnet.
Im Captive-Portal-Fenster	Öffnet die Webseite im aktuellen Tab und ersetzt die Captive-Portal-Seite.

Webseite


Option	Beschreibung
Ursprünglich vom Benutzer angefragt	Öffnet die Webseite, die ursprünglich von den Benutzern angefordert wurde, bevor sie zum Captive-Portal umgeleitet wurden.
Eigene	Geben Sie eine Seite an, zu der die Benutzer umgeleitet werden. Öffnen Sie beispielsweise nach der Anmeldung eine interne Startseite.

Benutzer abmelden


Option	Beschreibung
Wenn die Captive-Portal-Seite geschlossen oder umgeleitet wird	Meldet Benutzer ab, wenn sie das Captive-Portal-Tab schließen oder eine andere Seite im gleichen Tab öffnen.
Wenn der Benutzer inaktiv ist	Geben Sie an, wie viel Daten innerhalb eines Zeitraums übertragen werden müssen, damit ein Benutzer als aktiv betrachtet wird.
Nie	Benutzer sind nicht abgemeldet.

Unsicheres HTTP statt HTTPS verwenden: Ermöglicht Benutzern den Zugriff auf das Captive-Portal über HTTP.; Wir empfehlen den Einsatz von HTTPS. Die Übertragung unverschlüsselter Kennwörter über ein Netzwerk stellt ein erhebliches Sicherheitsrisiko dar.; XG Firewall wird mit einem vorinstallierten selbstsignierten HTTPS-Zertifikat ausgeliefert. Um Warnungen wegen des Browserzertifikats zu verhindern, können Sie es durch ein Zertifikat ersetzen, das Sie selbst erzeugt (und verteilt haben, um das Client-Vertrauen zu gewährleisten) oder von einer Zertifizierungsstelle erworben haben.

Um Änderungen zu speichern, wählen Sie Übernehmen.

Captive-Portal-Aussehen

Verwenden Sie diese Einstellungen, um das Aussehen und den Inhalt des Captive-Portals anzupassen. Sie können zum Beispiel Ihr Unternehmenslogo und eigenen Text festlegen. Klicken Sie auf die Schaltfläche Vorschau unten, um zu sehen, wie die Seite für Benutzer aussehen wird.


Option	Beschreibung
Standard-Layout	Verwendet den Sophos Standardport.
Eigenes HTML	Wählen Sie diese Option, um den HTML- und CSS-Code zu bearbeiten. Sie können auch JavaScript verwenden. Der Code muss folgendes Element enthalten: `<div id="__loginbox"></div>`. Das System wird die erforderlichen Benutzereingabe-Elemente im `div`-Element einbetten.
Standard-Logo	Verwendet das Sophos Logo.
Eigene-Logo	Wählen Sie diese Option, um Ihr eigenes Logo zu verwenden. Laden Sie ein Bild hoch oder geben Sie einen Link zu Ihrem Logo ein.
HTML für Header der Anmeldungsseite	Geben Sie den Text ein, der über dem Anmeldefeld angezeigt werden soll. Sie können HTML verwenden. Mit Textfarbe für Kopf- und Fußzeile können Sie die Schriftfarbe anpassen.
Benutzerabfrage	Sie können den Standardtext ändern.
Bezeichnung für Benutzernamenfeld	Sie können die Bezeichnung des Benutzernamenfelds ändern.
Bezeichnung für Kennwortfeld	Sie können die Bezeichnung des Kennwortfelds ändern.
Bezeichnung für Anmeldeschaltfläche	Sie können die Bezeichnung der Anmeldungsschaltfläche ändern.
Bezeichnung für Abmeldeschaltfläche	Sie können die Bezeichnung der Abmeldungsschaltfläche ändern.
Bezeichnung für Benutzerportal-Link	Sie können den Namen des Benutzerportallinks ändern.
HTML für Fußzeile der Anmeldungsseite	Geben Sie den Text ein, der unter dem Anmeldefeld angezeigt werden soll. Sie können HTML verwenden. Mit Textfarbe für Kopf- und Fußzeile können Sie die Schriftfarbe anpassen.
Hintergrundfarbe	Sie können die Hintergrundfarbe der ganzen Seite ändern.
Textfarbe für Kopf- und Fußzeile	Sie können die Schriftfarbe der Kopf- und Fußzeile ändern. Sie wird nur sichtbar sein, wenn Sie eine Kopf- oder Fußzeile angegeben haben.
Hintergrundfarbe für eigenes Logo	Sie können die Hintergrundfarbe des Felds ändern, das das Logo enthält.
Textfarbe für Benutzerabfrage	Sie können die Schriftfarbe der Benutzerabfrage ändern.
Textfarbe für Benutzerportal-Link	Sie können die Schriftfarbe des Benutzerportallinks ändern.

Um die Einstellungen zu speichern, wählen Sie Übernehmen.

Um die selbstdefinierten Einstellungen aufzuheben, klicken Sie auf Auf Standard zurücksetzen.