Eine VLAN basierte Lösung wie vom Support vorgeschlagen ist für unseren Use-Case nur mit unverhältnismäßig großem Aufwand umsetzbar, da hierfür jeder User ein eigenes VLAN benötigen würde.

Manche Regeln müssen individuell für einzelne Benutzer (und nicht Benutzergruppen) definiert werden.

Es ist auch wichtig, das der Benutzer sich nicht manuell an der Firewall authentifizieren muss. Stattdessen muss die UTM die Mapping Information (IP->User) automatisch ermitteln oder mitgeteilt bekommen.

Denkbar wäre dabei ein clientbasierter Dienst, der sich bei der UTM authentifiziert. Besser jedoch ein Dienst auf den Domänencontrollern welcher die aktuellen Anmeldeinformationen beispielsweise aus dem Ereignisprotokoll entnimmt und an die UTM weiterreicht. Dieser müsste außerdem die angemeldeten Clients überwachen um nicht mehr erreichbare wieder abzumelden.

Unsere vorherige Firewall (Cyberoam) konnte das schon ewig. Dazu wird auf dem DC ein Dienst installiert, der User-Anmeldungen aus dem Event-Log fischt und die Firewall dann darüber informiert hinter welcher IP welcher User aktuell steckt.