Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Verifizierung ohne AD | Benutzer auf Benutzerebene regeln

    Scheduled Pinned Locked Moved Deutsch
    9 Posts 4 Posters 923 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      Sessa45
      last edited by

      Hallo Community,

      durch den Vergleich einer anderen Firewall Lösung bin ich auf folgende Fragestellung gestoßen:

      • Wenn in der Umgebung hinter der Firewall kein AD läuft, wie funktioniert dann die Authetifizierung?
        und
      • Kann die PfSense auch auf Benutzerebene agieren? Sprich, wie kann ich als Person in der PfSense definiert werden? Wenn ich mich nun innerhalb einer Domäne an 2 verschiedenen Rechnern anmelde, kann ich in der PfSense entsprechende Regeln setzen, welche auf meinen Benutzernamen anfallen? Ich habe nur die Möglichkeit gesehen, entsprechende Regelwerke in Verbindung mit IPs / MAC Adressen zu regeln. Wenn ich mich jedoch an unterschiedlichen Clients anmelden, habe ich unterschiedliche IPs und unterschiedliche MAC Adressen.

      Danke und viele Grüße!

      V JeGrJ 2 Replies Last reply Reply Quote 0
      • S
        Sessa45
        last edited by

        Niemand eine Idee?

        1 Reply Last reply Reply Quote 0
        • V
          viragomann @Sessa45
          last edited by

          @sessa45 said in Verifizierung ohne AD | Benutzer auf Benutzerebene regeln:

          Wenn in der Umgebung hinter der Firewall kein AD läuft, wie funktioniert dann die Authetifizierung?

          Das AD kann irgendwo laufen. Dass es hinter der Firewall läuft, ist nicht zwingend.
          Aber vermutlich interessiert dich, wie die Authentifizierung generell ohne AD von statten geht. Mittels lokal angelegter Nutzer, so wie auf jedem anderen Rechner auch ohne AD.

          @sessa45 said in Verifizierung ohne AD | Benutzer auf Benutzerebene regeln:

          Wenn ich mich nun innerhalb einer Domäne an 2 verschiedenen Rechnern anmelde, kann ich in der PfSense entsprechende Regeln setzen, welche auf meinen Benutzernamen anfallen?

          Nicht auf Benutzerebene.
          pfSense arbeitet, wie auch andere Firewalls, vorwiegend im OSI Layer 3, das hat nichts mit benutzerspezifischen Zugriffsrechten auf anderen Rechnern zu tun.

          Was du suchst, ist wohl eher AD. Die Rechte kannst du dann auf den AD-Rechnern direkt definieren oder über Gruppenrichtlinien vom DC verteilen.

          S 1 Reply Last reply Reply Quote 0
          • S
            Sessa45 @viragomann
            last edited by

            @viragomann said in Verifizierung ohne AD | Benutzer auf Benutzerebene regeln:

            Das AD kann irgendwo laufen. Dass es hinter der Firewall läuft, ist nicht zwingend.
            Aber vermutlich interessiert dich, wie die Authentifizierung generell ohne AD von statten geht. Mittels lokal angelegter Nutzer, so wie auf jedem anderen Rechner auch ohne AD.

            Genau, dass meine ich. Bitte entschuldige für die Bescheidene Ausdrucksweise :)
            Sprich, ich lege auf der PfSense selber die Konten für die jeweiligen Benutzer an?

            @viragomann said in Verifizierung ohne AD | Benutzer auf Benutzerebene regeln:

            Nicht auf Benutzerebene.
            pfSense arbeitet, wie auch andere Firewalls, vorwiegend im OSI Layer 3, das hat nichts mit benutzerspezifischen Zugriffsrechten auf anderen Rechnern zu tun.
            Was du suchst, ist wohl eher AD. Die Rechte kannst du dann auf den AD-Rechnern direkt definieren oder über Gruppenrichtlinien vom DC verteilen.

            Super, danke für die Erläuterung!

            1 Reply Last reply Reply Quote 0
            • V
              viragomann
              last edited by

              Die Benutzer, die man auf der pfSense anlegen kann, dienen lediglich zur Autorisierung auf der pfSense sebst, bspw. für Anmeldung auf WebGUI oder Console oder für VPN-Authentifizierung.
              Am WebGUI kann einzelnen Benutzern Zugriff auf nur bestimmte Seiten erteilt werden.

              1 Reply Last reply Reply Quote 0
              • JeGrJ
                JeGr LAYER 8 Moderator @Sessa45
                last edited by

                @sessa45 said in Verifizierung ohne AD | Benutzer auf Benutzerebene regeln:

                Hallo Community,

                durch den Vergleich einer anderen Firewall Lösung bin ich auf folgende Fragestellung gestoßen:

                • Wenn in der Umgebung hinter der Firewall kein AD läuft, wie funktioniert dann die Authetifizierung?
                  und
                • Kann die PfSense auch auf Benutzerebene agieren? Sprich, wie kann ich als Person in der PfSense definiert werden? Wenn ich mich nun innerhalb einer Domäne an 2 verschiedenen Rechnern anmelde, kann ich in der PfSense entsprechende Regeln setzen, welche auf meinen Benutzernamen anfallen? Ich habe nur die Möglichkeit gesehen, entsprechende Regelwerke in Verbindung mit IPs / MAC Adressen zu regeln. Wenn ich mich jedoch an unterschiedlichen Clients anmelden, habe ich unterschiedliche IPs und unterschiedliche MAC Adressen.

                Danke und viele Grüße!

                Da sind so viele verschiedene Wünsche wie in einem Überraschungsei enthalten. ;)

                also zu 1) wurde denke ich schon genug geschrieben. Ohne AD (warum sollte das auch benötigt werden), wird der pfSense Login lokal abgehandelt. Klar. Er kann aber auch bspw. via installiertem FreeRadius erfolgen, das ist genauso eine Option.

                1. Das ist wieder eine komplett andere Baustelle und noch dazu seltsame Beispiele. Zum Einen gibt es keine Benutzerregeln wie schon gesagt wurde, weil Benutzer o.ä. eine viel höhere Schicht (Anwendung) sind, von der die Core-Firewall also der Paketfilter überhaupt nichts weiß. Man kann nun natürlich noch nen Proxy o.ä. als Paket installieren, der dann durchaus Userspezifisch agieren kann - eben auf Anwendungsebene - aber das ist eine ganz andere Baustelle.
                  Zudem gibt es auch die Möglichkeit bei Clients Radius Authentifizierung anhand des Benutzernamens zu machen (radius based VLAN und IP etc.) was wiederum durchaus die Möglichkeit bieten würde (rein theoretisch), dass ein Nutzer immer die gleiche IP Adresse bekommt - und dann im Paketfilter entsprechend behandelt werden kann.

                Es kommt aber letztendlich auf das Problem an. Ich lese da mehr so ein "wünsch-dir-was" ohne konkreten Use-Case. Also welcher Wunsch ist hier überhaupt der Vater des Gedanken und dann kann man darüber diskutieren ob "pfSense sowas kann". Einfach nur lustige Ideen zusammenkugeln ist da eher weniger zielführend ;)

                Gruß

                Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                V 1 Reply Last reply Reply Quote 1
                • V
                  viragomann @JeGr
                  last edited by

                  @jegr said in Verifizierung ohne AD | Benutzer auf Benutzerebene regeln:

                  also zu 1) wurde denke ich schon genug geschrieben.
                  Klar. Er kann aber auch bspw. via installiertem FreeRadius erfolgen, das ist genauso eine Option.

                  Da könnte man auch noch hinzufügen, dass man in pfSense auch einen LDAP-Server einbinden kann, um ein AD-Authentifizierung zu ermöglichen.
                  Aber ich denke, das ist hier gar nicht gefragt.

                  JeGrJ 1 Reply Last reply Reply Quote 2
                  • JeGrJ
                    JeGr LAYER 8 Moderator @viragomann
                    last edited by

                    @viragomann Stimmt völlig richtig. Ich hatte jetzt eher im Kopf was sich auf der Sense allein erledigen lässt und Radius lässt sich via FreeRadius Package ja einfach bewerkstelligen. Aber natürlich kann das auch ein externer sein oder auch gleich ein LDAP/AD. :)

                    Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                    If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                    1 Reply Last reply Reply Quote 0
                    • bepoB
                      bepo
                      last edited by

                      Hallo @Sessa45 ,

                      wenn ich deine Frage richtig verstanden habe, kann pfSense so etwas nicht.
                      Du meinst wahrscheinlich so etwas wie z. B. SonicWall mit dem SSO Feature umsetzt. Damit ist es dann möglich Firewall-Regeln für Benutzer und Gruppen zu konfigurieren.

                      Die einzige Möglichkeit so etwas ähnliches zu machen wäre wie @JeGr schon sagt über feste Zuweisungen von IP-Adressen für Benutzer. Das ist allerdings nicht wirklich bequem skalierbar auf größere Netzwerke.

                      Alternativ kannst du auch, wenn deine Switche 802.1X mit dynamischen VLANs unterstützen, auf der pfSense verschiedene VLANs für die Gruppen anlegen, und die Benutzer vom Switch über 802.1X dynamisch in das gewünschte VLAN stecken lassen. Wäre auf jeden Fall auch eine Idee, wie man das etwas skalierbarer über größere Gruppen hinbekommt.

                      Please use the thumbs up button if you received a helpful advice. Thank you!

                      1 Reply Last reply Reply Quote 0
                      • First post
                        Last post
                      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.