Hi,
wir sind auf der Suche unseren MS TMG Server zu ersetzten.
Wir möchten einige Dienste über eine Reverse Proxy veröffentlichen, jedoch sollen sich die User am Reverse Proxy authentifizieren.
Der Abgleich der User soll über das zentrale AD/LDAP geschehen.
Ich würde gerne hierfür gerne OpenSense benutzen, da ich bisher gute Erfahrungen damit gemacht habe.
Gibt es einen Weg das über OpenSense zu realisieren?
VG
Dafür brauchst du einen SOCKS-Proxy oder HTTP Proxy mit CONNECT-Unterstützung wenn für das getunnelte Protokoll kein eigener Proxy da ist. Bin mir da nicht sicher ob wir da was haben (vielleicht geht's mit ein paar benutzerdefinierten Skripts mit dem squid, der eh schon im core enthalten ist. Ist aber eher eine heiße Sache.
Wenn du nur HTTP(S) haben willst, geht's mit dem nginx plugin (basic auth via LDAP).
Quote from: fabian on April 06, 2019, 07:28:48 PM
Wenn du nur HTTP(S) haben willst, geht's mit dem nginx plugin (basic auth via LDAP).
Das ist genau das was ich brauche....ich brauche nur HTTPS.
Gibt´s dafür irgendwo eine Anleitung? Ich habe bisher nur mit haproxy gearbeitet.
Vor allem natürlich der LDAP Abgleich. Die Basics sollten ja wie in haproxy ähnlich sein :-)
Ist ein bisschen versteckt, aber du kannst im HTTP Server den Authentifizierungsserver (LDAP Backend, das im System konfiguriert wurde) auswählen und in der location dann Advanced Authentication anhaken (siehe Bilder - erweiterte Optionen müssen aktiviert werden).
Hinweis: Das plugin unsterstützt keine Authentifizierungsmethode spezifisch, heißt es werden auch keine OUs etc. unterstützt - nur die pure authentfizierung (Passwort stimmt).
Am besten du testest das mal auf einer Testmaschine aus (auch aus Performancegründen).
Generische Tutorials habe ich übrigens genug gemacht: https://docs.opnsense.org/manual/reverse_proxy.html
oh Mann,
ich glaub ich hab voll am Thema durchgeschossen :-X
Ich suche eine Möglichkeit ein pre auth zu machen, so das der Reverse Proxy die Benutzerdaten abfragt und sich dann der Reverse Proxy damit an der OWA Oberfläche anmeldetet. So das der User nur das Eingabefeld vom Reverse Proxy hat und dann bei richtigem Paßwort direkt in das Postfach kommt.
So you are looking for an identity provider (IDP) using a common protocol (Shibboleth (SAML), OAuth2) and not a pre auth.
For this use case, no plugin exists.