{"id":2140,"date":"2010-11-02T20:12:00","date_gmt":"2010-11-02T19:12:00","guid":{"rendered":"https:\/\/www.boc.de\/watchguard-info-portal\/xtm-sso-exceptions-jetzt-auch-als-host-range-und-network-ip\/"},"modified":"2016-08-23T14:51:34","modified_gmt":"2016-08-23T12:51:34","slug":"xtm-sso-exceptions-jetzt-auch-als-host-range-und-network-ip","status":"publish","type":"post","link":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2010\/11\/xtm-sso-exceptions-jetzt-auch-als-host-range-und-network-ip\/","title":{"rendered":"XTM: SSO Exceptions jetzt auch als Host Range und Network IP"},"content":{"rendered":"<p>Bei einer WatchGuard Firebox oder XTM hat <span style=\"font-weight:bold;\">Single Sign On (SSO)<\/span> in Verbindung mit <span style=\"font-weight:bold;\">Active Directory<\/span> die Aufgabe, automatisch zu erkennen, welcher Windows-User an einem PC angemeldet ist und dies an die WatchGuard Firebox zu melden, damit Firewall-Regeln angewendet werden, die auf einer Gruppenmitgliedschaft oder einem Usernamen basieren. Wie beim h\u00e4ndischen Ausf\u00fcllen der Authentication Page (Port 4100) lernt die WatchGuard mit Hilfe des SSO Agent (und des optionalen SSO Client) dabei, welcher User sich hinter einer bestimmten IP &#8220;verbirgt&#8221; und in welchen Active Directory Gruppen dieser User Mitglied ist.<\/p>\n<p>Die automatische Erkennung per SSO macht jedoch nur Sinn bei <span style=\"font-weight:bold;\">Standalone-PCs<\/span>, die <span style=\"font-weight:bold;\">Mitglied einer Windows-AD-Dom\u00e4ne<\/span> sind &#8211; und an denen jeweils nur <span style=\"font-weight:bold;\">ein User gleichzeitig<\/span> angemeldet ist. In der Regel ist es empfehlenswert, Maschinen, die kein AD-Dom\u00e4nenmitglied sind oder kein Windows-Betriebssystem haben (z.B. Apple Mac, Linux oder Windows Mobile Clients) sowie Windows-Server von der automatischen User-Erkennung per SSO auszuschlie\u00dfen.<\/p>\n<p>Bislang konnte die Liste der so genannten &#8220;SSO Exceptions&#8221; nur relativ umst\u00e4ndlich bef\u00fcllt werden. Jede dementsprechende IP-Adresse musste einzeln eingetippt werden. Mit dem aktuellen WatchGuard System Manager (WSM) und Fireware XTM 11.3.2 lassen sich nun auch die von normalen Firewall-Regeln her bekannten Auswahlen <span style=\"font-weight:bold;\">Host Range, Network IP<\/span> und <span style=\"font-weight:bold;\">Host Name (DNS lookup)<\/span> verwenden, was das Bef\u00fcllen der SSO Exception List in vielen Umgebungen sicher deutlich vereinfachen wird:<\/p>\n<p><a href=\"http:\/\/1.bp.blogspot.com\/_haYpXd-8uFA\/TNBh4Tg5Z2I\/AAAAAAAAAMc\/vVY0HknKnso\/s1600\/SSO-Exceptions.JPG\"><img decoding=\"async\" style=\"cursor:pointer; cursor:hand;width: 320px; height: 194px;\" src=\"http:\/\/1.bp.blogspot.com\/_haYpXd-8uFA\/TNBh4Tg5Z2I\/AAAAAAAAAMc\/vVY0HknKnso\/s320\/SSO-Exceptions.JPG\" border=\"0\" alt=\"\"id=\"BLOGGER_PHOTO_ID_5535031561977161570\" \/><\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Bei einer WatchGuard Firebox oder XTM hat Single Sign On (SSO) in Verbindung mit Active Directory die Aufgabe, automatisch zu erkennen, welcher Windows-User an einem PC angemeldet ist und dies an die WatchGuard Firebox zu melden, damit Firewall-Regeln angewendet werden, die auf einer Gruppenmitgliedschaft oder einem Usernamen basieren. Wie beim h\u00e4ndischen Ausf\u00fcllen der Authentication Page (Port 4100) lernt die WatchGuard mit Hilfe des SSO Agent &hellip; <a href=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2010\/11\/xtm-sso-exceptions-jetzt-auch-als-host-range-und-network-ip\/\" class=\"more-link\">Weiterlesen <span class=\"screen-reader-text\">XTM: SSO Exceptions jetzt auch als Host Range und Network IP<\/span> <span class=\"meta-nav\">&raquo;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[69,283,313,314,315,312],"class_list":["post-2140","post","type-post","status-publish","format-standard","hentry","category-watchguard-technischer-blog","tag-active-directory","tag-fireware-xtm","tag-single-sign-on","tag-sso-agent","tag-sso-client","tag-user-authentication"],"_links":{"self":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/2140"}],"collection":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/comments?post=2140"}],"version-history":[{"count":1,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/2140\/revisions"}],"predecessor-version":[{"id":2305,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/2140\/revisions\/2305"}],"wp:attachment":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/media?parent=2140"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/categories?post=2140"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/tags?post=2140"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}