Kerio Control e Logon Script

Kerio Control è un popolare sistema firewall disponibile sia in versione hardware che software, potente, facile da configurare ed integrato con antivirus e controllo del traffico. Spesso nei nostri ambienti lo utilizziamo come appliance virtuale, sia per proteggere la LAN da Internet, sia come firewall intermedio tra VLAN.

Tra le richieste più comuni c’è la possibilità di consentire il traffico WEB (o parte di esso) solo per alcuni utenti; questi utenti devono essere identificati tramite Active Directory e quindi in un contesto di Single-Sign-On.

Ho quindi realizzato una utility che, distribuita tramite policy Active Directory, registra l’utente sul firewall Kerio al momento del logon e lo de-registra al momento del logoff.

Requisito iniziale è che Kerio Control sia integrato correttamente con l’Active Directory e che il suo certificato SSL sia riconosciuto come attendibile da tutta l’organizzazione.

L’implementazione è molto semplice, per prima cosa si registra nel DNS un record SRV con le informazioni di host e porta del firewall Kerio:

DNS Kerio SRV

Poi si realizza una policy di Logon/Logoff per gli utenti interessati, avviando l’utility:

AD Kerio Policy

Infine si configurano dei gruppi autorizzativi sull’Active Directory e si concedono i permessi nel content filter di Kerio:

Kerio Control Content Filter

Per i terminal server

Se in azienda si utilizza un terminal server / remote desktop per servire dei thin-client, tutti gli utenti si presenteranno con il medesimo indirizzo IP. Questo inganna Kerio Control (e qualsiasi firewall in generale) così l’ultimo entrato stabilirà le regole per tutti.

Il problema si risolve semplicemente attivando la virtualizzazione IP, affinché ogni utente prenda un IP dedicato come se avesse un PC fisico:

https://technet.microsoft.com/it-it/library/dd759263.aspx

Download “Kerio Control NTLM” KerioNTLM.zip – Scaricato 94 volte – 27 KB

 

Chiama subito per maggiori informazioni +39 0113473770
oppure lasciaci i tuoi recapiti e sarai contattato il prima possibile:



 

 

 

 

Lascia un commento