Jetzt wird es wieder mal ein wenig technischer. Denn im Rahmen einer Projektvorbereitung für einen Kundentermin war es notwendig, mich mal ein wenig intensiver mit dem WebFilter von Barracuda zu beschäftigen. Der Barracuda WebFilter ist eine Proxy Appliance auf Squid basierend, welche anhand von Filterkategorien, welche Regelmäßig von Barracuda gepflegt werden, den Internettraffic entsprechend blockt oder zulässt. Auch eine einfache Viren- und Spywareinspektion bietet das Produkt.
Da die Konfiguration der Appliance im großen und ganzen recht simpel ist, möchte ich hier auch nicht weiter auf Details eingehen und mich lediglich der Anbindung via LDAP an das AD beschäftigen, sowie die Konfiguration der Single-Sign-On.
Zunächst setzte ich einen Grundkonfigurierten WebFilter voraus. Im Menu “User/Groups” gibt es den Unterpunkt “Authentification”. Hier können wir nun unser LDAP Profil anlegen. Zunächst wird ein beliebiger Alias sowie die IP-Adresse bzw. DNS-Name des Domänen-Controllers definiert. Weiterhin muss hier noch der Port angegeben, welcher sich defaultmäßig auf 389 befindet. Ich habe in meinem Test-Szenario keine Verschlüsselung verwendet, dies kann jedoch auf dem Controller und auf dem WebFilter konfiguriert werden.
Jetzt kommen wir zu den interessanten Dingen, wir müssen einen Domänen-Administrator inklusive FQDN sowie das Passwort eingeben. Auch die LDAP Suchbasis müssen wir definieren. Da ich jetzt mit einem AD arbeite muss ich nun noch das User ID Attribut definieren. Bei OpenLDAP oder Novell eDirectory lautet das Attribut “cn”. Für das AD benutzen wir aber “sAMAccountName”.
Wenn wir all diese Daten eingeben haben, können wir ein “Test LDAP” bzw. ein “LDAP Discovery” durchführen, welches in meinem Testszenario erfolgreich verlaufen ist.
Um die ganze Geschichte noch Benutzerfreundliche zu gestalten verwende ich zusätzlich noch einen Single-Sign-On. Hierfür ist es notwendig, einen Client auf dem primären Domänen-Controller zu installieren. Dieser Client überwacht in regelmäßigen Abständen die aktiven Client Sessions direkt auf dem Domänen Controller. Dieser wird ganz normal Installiert, und ist quasi selbsterklärend zu konfigurieren. Wichtig ist, nachdem man Änderungen in der Anwendung vorgenommen hat, muss der Barracuda DC Dienst manuell neu gestartet werden.
Damit wir unsere Session Manager Verbindung im DC Client testen können, müssen wir auf dem Webfilter noch den SSO konfigurieren. Hier wird lediglich die IP des DC, Port, Sync Intervall und LDAP Profil hinterlegt. Nun können wir die Verbindung im DC Client testen.
Wenn alle Verbindungen getestet sind ist der Single-Sign-On mit LADP Anbindung auch schon voll funktionstätig. Um das ganze an einem Client zu testen, habe ich über eine Gruppenrichtlinie den Proxy auf einem Windows 7 Client eingestellt, und mich an dem Client angemeldet. Nach dem starten des Internet-Explorers konnte ich nun ganz normal surfen, ohne je Zugangsdaten eingeben zu haben.
Um aber zu überprüfen ob der SSO wirklich funktioniert hat, habe ich auf dem WebFilter WebInterface ins Weblog geschaut. Hier sah ich letztendlich die einzelnen Aufrufe die mein Client durchgeführt hat, als User war auch mein AD Benutzer zu sehen, somit hat der Single-Sign-On ohne Probleme funktioniert.
