Verifizierung ohne AD | Benutzer auf Benutzerebene regeln



  • Hallo Community,

    durch den Vergleich einer anderen Firewall Lösung bin ich auf folgende Fragestellung gestoßen:

    • Wenn in der Umgebung hinter der Firewall kein AD läuft, wie funktioniert dann die Authetifizierung?
      und
    • Kann die PfSense auch auf Benutzerebene agieren? Sprich, wie kann ich als Person in der PfSense definiert werden? Wenn ich mich nun innerhalb einer Domäne an 2 verschiedenen Rechnern anmelde, kann ich in der PfSense entsprechende Regeln setzen, welche auf meinen Benutzernamen anfallen? Ich habe nur die Möglichkeit gesehen, entsprechende Regelwerke in Verbindung mit IPs / MAC Adressen zu regeln. Wenn ich mich jedoch an unterschiedlichen Clients anmelden, habe ich unterschiedliche IPs und unterschiedliche MAC Adressen.

    Danke und viele Grüße!



  • Niemand eine Idee?



  • @sessa45 said in Verifizierung ohne AD | Benutzer auf Benutzerebene regeln:

    Wenn in der Umgebung hinter der Firewall kein AD läuft, wie funktioniert dann die Authetifizierung?

    Das AD kann irgendwo laufen. Dass es hinter der Firewall läuft, ist nicht zwingend.
    Aber vermutlich interessiert dich, wie die Authentifizierung generell ohne AD von statten geht. Mittels lokal angelegter Nutzer, so wie auf jedem anderen Rechner auch ohne AD.

    @sessa45 said in Verifizierung ohne AD | Benutzer auf Benutzerebene regeln:

    Wenn ich mich nun innerhalb einer Domäne an 2 verschiedenen Rechnern anmelde, kann ich in der PfSense entsprechende Regeln setzen, welche auf meinen Benutzernamen anfallen?

    Nicht auf Benutzerebene.
    pfSense arbeitet, wie auch andere Firewalls, vorwiegend im OSI Layer 3, das hat nichts mit benutzerspezifischen Zugriffsrechten auf anderen Rechnern zu tun.

    Was du suchst, ist wohl eher AD. Die Rechte kannst du dann auf den AD-Rechnern direkt definieren oder über Gruppenrichtlinien vom DC verteilen.



  • @viragomann said in Verifizierung ohne AD | Benutzer auf Benutzerebene regeln:

    Das AD kann irgendwo laufen. Dass es hinter der Firewall läuft, ist nicht zwingend.
    Aber vermutlich interessiert dich, wie die Authentifizierung generell ohne AD von statten geht. Mittels lokal angelegter Nutzer, so wie auf jedem anderen Rechner auch ohne AD.

    Genau, dass meine ich. Bitte entschuldige für die Bescheidene Ausdrucksweise :)
    Sprich, ich lege auf der PfSense selber die Konten für die jeweiligen Benutzer an?

    @viragomann said in Verifizierung ohne AD | Benutzer auf Benutzerebene regeln:

    Nicht auf Benutzerebene.
    pfSense arbeitet, wie auch andere Firewalls, vorwiegend im OSI Layer 3, das hat nichts mit benutzerspezifischen Zugriffsrechten auf anderen Rechnern zu tun.
    Was du suchst, ist wohl eher AD. Die Rechte kannst du dann auf den AD-Rechnern direkt definieren oder über Gruppenrichtlinien vom DC verteilen.

    Super, danke für die Erläuterung!



  • Die Benutzer, die man auf der pfSense anlegen kann, dienen lediglich zur Autorisierung auf der pfSense sebst, bspw. für Anmeldung auf WebGUI oder Console oder für VPN-Authentifizierung.
    Am WebGUI kann einzelnen Benutzern Zugriff auf nur bestimmte Seiten erteilt werden.


  • Moderator

    @sessa45 said in Verifizierung ohne AD | Benutzer auf Benutzerebene regeln:

    Hallo Community,

    durch den Vergleich einer anderen Firewall Lösung bin ich auf folgende Fragestellung gestoßen:

    • Wenn in der Umgebung hinter der Firewall kein AD läuft, wie funktioniert dann die Authetifizierung?
      und
    • Kann die PfSense auch auf Benutzerebene agieren? Sprich, wie kann ich als Person in der PfSense definiert werden? Wenn ich mich nun innerhalb einer Domäne an 2 verschiedenen Rechnern anmelde, kann ich in der PfSense entsprechende Regeln setzen, welche auf meinen Benutzernamen anfallen? Ich habe nur die Möglichkeit gesehen, entsprechende Regelwerke in Verbindung mit IPs / MAC Adressen zu regeln. Wenn ich mich jedoch an unterschiedlichen Clients anmelden, habe ich unterschiedliche IPs und unterschiedliche MAC Adressen.

    Danke und viele Grüße!

    Da sind so viele verschiedene Wünsche wie in einem Überraschungsei enthalten. ;)

    also zu 1) wurde denke ich schon genug geschrieben. Ohne AD (warum sollte das auch benötigt werden), wird der pfSense Login lokal abgehandelt. Klar. Er kann aber auch bspw. via installiertem FreeRadius erfolgen, das ist genauso eine Option.

    1. Das ist wieder eine komplett andere Baustelle und noch dazu seltsame Beispiele. Zum Einen gibt es keine Benutzerregeln wie schon gesagt wurde, weil Benutzer o.ä. eine viel höhere Schicht (Anwendung) sind, von der die Core-Firewall also der Paketfilter überhaupt nichts weiß. Man kann nun natürlich noch nen Proxy o.ä. als Paket installieren, der dann durchaus Userspezifisch agieren kann - eben auf Anwendungsebene - aber das ist eine ganz andere Baustelle.
      Zudem gibt es auch die Möglichkeit bei Clients Radius Authentifizierung anhand des Benutzernamens zu machen (radius based VLAN und IP etc.) was wiederum durchaus die Möglichkeit bieten würde (rein theoretisch), dass ein Nutzer immer die gleiche IP Adresse bekommt - und dann im Paketfilter entsprechend behandelt werden kann.

    Es kommt aber letztendlich auf das Problem an. Ich lese da mehr so ein "wünsch-dir-was" ohne konkreten Use-Case. Also welcher Wunsch ist hier überhaupt der Vater des Gedanken und dann kann man darüber diskutieren ob "pfSense sowas kann". Einfach nur lustige Ideen zusammenkugeln ist da eher weniger zielführend ;)

    Gruß



  • @jegr said in Verifizierung ohne AD | Benutzer auf Benutzerebene regeln:

    also zu 1) wurde denke ich schon genug geschrieben.
    Klar. Er kann aber auch bspw. via installiertem FreeRadius erfolgen, das ist genauso eine Option.

    Da könnte man auch noch hinzufügen, dass man in pfSense auch einen LDAP-Server einbinden kann, um ein AD-Authentifizierung zu ermöglichen.
    Aber ich denke, das ist hier gar nicht gefragt.


  • Moderator

    @viragomann Stimmt völlig richtig. Ich hatte jetzt eher im Kopf was sich auf der Sense allein erledigen lässt und Radius lässt sich via FreeRadius Package ja einfach bewerkstelligen. Aber natürlich kann das auch ein externer sein oder auch gleich ein LDAP/AD. :)



  • Hallo @Sessa45 ,

    wenn ich deine Frage richtig verstanden habe, kann pfSense so etwas nicht.
    Du meinst wahrscheinlich so etwas wie z. B. SonicWall mit dem SSO Feature umsetzt. Damit ist es dann möglich Firewall-Regeln für Benutzer und Gruppen zu konfigurieren.

    Die einzige Möglichkeit so etwas ähnliches zu machen wäre wie @JeGr schon sagt über feste Zuweisungen von IP-Adressen für Benutzer. Das ist allerdings nicht wirklich bequem skalierbar auf größere Netzwerke.

    Alternativ kannst du auch, wenn deine Switche 802.1X mit dynamischen VLANs unterstützen, auf der pfSense verschiedene VLANs für die Gruppen anlegen, und die Benutzer vom Switch über 802.1X dynamisch in das gewünschte VLAN stecken lassen. Wäre auf jeden Fall auch eine Idee, wie man das etwas skalierbarer über größere Gruppen hinbekommt.