V7: OPNSense + SSO -- welche Einstellungen?

Hallo.
Ich frage mich schon länger, ob man in der OPNSense-FW unter Dienste --> WebProxy --> Single Sign On noch irgendwelche Einstellungen nachträglich tätigen muss und wie diese ggf auszusehen haben. Bei mir sieht das zur Zeit so aus (habe da seit der Installation nichts geändert – aber nicht alles steht auf „grün“/„ok“.


Also daher die Frage: Sind da noch Änderungen notwendig? Wie müssen die ggf aussehen?

Schöne Grüße,
Michael

Hallo Michael,

hier ist die Anleitung, wie man mit SSO verfahren muss, nach der
Installation:

zu den von dir angesprochenen roten Zeilen … die hab ich auch zum Teil.
Mal sind es mehr, mal weniger …

LG

Holger

Hi Holger
Krass. Hast du SSO bei dir aktiviert?

Ich blicke irgendwie noch nicht ganz durch ob/wann man das will oder nicht. Sehe ich aber richtig: Die Auth. über den Proxy entfällt mit SSO, wenn man sich bereits erfolgreich am Client angemeldet hat, ja? Bisher habe ich nur einen Testclient, der eh in der Gruppe „noproxy“ ist. Von daher habe ich bisher nicht gesehen, wo der Vorteil ist.
Schöne Grüße
Michael

Hallo Michael,

Krass. Hast du SSO bei dir aktiviert?

ja.

Ich blicke irgendwie noch nicht ganz durch ob/wann man das will oder
nicht. Sehe ich aber richtig: Die Auth. über den Proxy entfällt /mit/
SSO, wenn man sich bereits erfolgreich am Client angemeldet hat, ja?
Bisher habe ich nur /einen/ Testclient, der eh in der Gruppe „noproxy“
ist. Von daher habe ich bisher nicht gesehen, wo der Vorteil ist.

ich denke Clients in der noproxy kannst du nicht per WebUI steuern
(Internet an/aus).

Ich bin zufrieden mit SSO: seit September produktiv und hab bisher
nichts davon gemerkt …

LG

Holger

Hallo Holger,
gut, dann werde ich mir die SSO-Einstellungen nochmal ansehen … ist das --wie der Name vermuten lässt-- denn (später?) auch als „echtes“ Single-Sign-On gedacht? Also mit anderen Worten: „Einmal anmelden – alle Dienste offen“?

Oder anders gefragt: Bekommt man auch externe Dienste wie moodle, nextcloud da unter? Kann uU ja auch gar nicht gewollt sein – je nach Geschmack. Aber praktisch wäre es.

Schöne Grüße,
Michael

Hallo Michael,

Oder anders gefragt: Bekommt man auch externe Dienste wie moodle,
nextcloud da unter? Kann uU ja auch gar nicht gewollt sein – je nach
Geschmack. Aber praktisch wäre es.

da kenne ich mich zu wenig aus, aber ich nehme an, dass dem nicht so ist.
Der SSO Dienst ist ja nur nach innen auf und nur mit dem Proxy verbunden …

Beachte aber bei deinen Tests: das SSO funktioniert natürlich nur, wenn
der Client den Proxy auch eingetragen hat.
Beim ubuntu CLient erledigt das das Paket linuxmuster-client-adsso

LG

Holger

Hallo Holger,
Ok.
Sorry, wenn ich nochmal nachhake – aber dann sehe ich den Vorteil der ganzen Prozedur irgendwie noch nicht. In der Doku von oben steht als letzter Punkt

Nach erfolgreichem Test können die Benutzer nach erfolgter Domänenanmeldung am Client ohne weitere Authentifizierung surfen.

Wenn aber der Proxy im Firefox eingetragen ist (linuxmuster-client-adsso ist bereits erfolgreich durchgelaufen), kann der Client doch das gleiche? Wo ist dann noch der Vorteil von SSO?

Übrigens noch als Ergänzung: ein paar der Meldungen (Screenshot oben) bekommt man leicht weg.
So reichte z.B. ein touch /usr/local/etc/squid/squid.keytab, um die letzte Meldung bzgl der keytab-Datei los zu werden. Zudem wurde ja über den Eintrag 127.0.0.1 in der /etc/resolv.conf gemeckert. Das kann man gegen die IP der Firewall ersetzen und ist auch diesen Fehler los … die anderen rot markierten Meldungen sind mir aber weiterhin nicht ganz klar … scheint aber auch so zu funktionieren.

Schönen Gruß,
Michael

Hallo Micheal,

Sorry, wenn ich nochmal nachhake – aber dann sehe ich den Vorteil der
ganzen Prozedur irgendwie noch nicht. In der Doku von oben steht als
letzter Punkt

Nach erfolgreichem Test können die Benutzer nach erfolgter
Domänenanmeldung am Client ohne weitere Authentifizierung surfen.

Wenn aber der Proxy im Firefox eingetragen ist (linuxmuster-client-adsso
ist bereits erfolgreich durchgelaufen), kann der Client doch das
gleiche? Wo ist dann noch der Vorteil von SSO?

nicht wenn SSO nicht funktioniert.
Dann wirst du beim surfen andauernd genervt von nachfragen des Proxy
nach Credentials.

Versuch doch einfach mal mit einem lokalen user über den Proxy zu surfen
an einem Client der nicht in noproxy drin steht …

LG
Holger