|
|
|
Аутентификация в ISA 2000
|
|||
|---|---|---|---|
|
#18+
Здравствуйте все! Хочу настроить аутентификацию юзеров в ISA 2000. Сейачс все клиенты службы Web proxy работают как anonymous. При установке флажка Ask unauthenticated users for identification на вкладе Outgoing Web Requests (правильно хоть делаю то?) у всех юзеров отключается инет с сообщением 403 Forbidden - The ISA Server denies the specified Uniform Resource Locator (URL). (12202) На сервере-Win2000 Server Вероятно, я что-то не настроил, но не могу понять что? Заранее спасибо. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 25.09.2006, 13:23 |
|
||
|
Аутентификация в ISA 2000
|
|||
|---|---|---|---|
|
#18+
правильно.. забыли дать им права.. рекомендую обратить внимание на isaserver.org ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 25.09.2006, 13:34 |
|
||
|
Аутентификация в ISA 2000
|
|||
|---|---|---|---|
|
#18+
В правилах на вкладке "Applies to" были выбраны IP-адреса компов локальной сетки, которым разрешен доступ. Я пока выбрал там "Any request", но все равно ничего не работает.... Вообще-то IP-адреса ведь не изменились, поэтому все равно должно было работать, нет? Или если уж аутентификация, то надо обязательно там указывать пользователя/группу? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 25.09.2006, 13:39 |
|
||
|
Аутентификация в ISA 2000
|
|||
|---|---|---|---|
|
#18+
В ИС-е запрещено всё, на что нет явного разрешения. В частности, коли уж "Ask unauthenticated users for identification" то запрещён доступ тем юзерам (группам), кому доступ не разрешен явно. При этом IP как бы не при чём - точнее, при чём в том смысле, что ещё и IP должен попасть под разрешающее правило. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 25.09.2006, 13:52 |
|
||
|
Аутентификация в ISA 2000
|
|||
|---|---|---|---|
|
#18+
_Slash_Здравствуйте все! Хочу настроить аутентификацию юзеров в ISA 2000. Сейачс все клиенты службы Web proxy работают как anonymous. При установке флажка Ask unauthenticated users for identification на вкладе Outgoing Web Requests (правильно хоть делаю то?) у всех юзеров отключается инет с сообщением 403 Forbidden - The ISA Server denies the specified Uniform Resource Locator (URL). (12202) На сервере-Win2000 Server Вероятно, я что-то не настроил, но не могу понять что? Заранее спасибо. 1) Нужен домен или пользователи должны быть продублированы поименно и по-парольно на ISA-сервере. 2) Отключить все анонимные правила в Protocol Rules для HTTP и ВСЁ анонимные правила в Site and Content rules. 3) Создать в Protocol Rules для HTTP и в Site and Content rules правила с доступом для Applied To User and Group specified below. -------------------------- Ask unauthenticated users for identification включать не рекомендуется. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 25.09.2006, 14:02 |
|
||
|
Аутентификация в ISA 2000
|
|||
|---|---|---|---|
|
#18+
MOAВ ИС-е запрещено всё, на что нет явного разрешения. В частности, коли уж "Ask unauthenticated users for identification" то запрещён доступ тем юзерам (группам), кому доступ не разрешен явно. При этом IP как бы не при чём - точнее, при чём в том смысле, что ещё и IP должен попасть под разрешающее правило. Уже интересно.... И где же этот доступ требуется явно разрешить? Разве "Any request" это не явное разрешение? Я мыслю так: в правилах стояло ограничение по IP-адресам, я выставляю обязательную аутентификацию и заменяю его на ограничение по именам пользователей/групп домена. Или нужно где-то еще указать что этот юзер вообще имеет доступ к ISA? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 25.09.2006, 14:04 |
|
||
|
Аутентификация в ISA 2000
|
|||
|---|---|---|---|
|
#18+
aleks2 1) Нужен домен или пользователи должны быть продублированы поименно и по-парольно на ISA-сервере. Домен есть aleks2 2) Отключить все анонимные правила в Protocol Rules для HTTP и ВСЁ анонимные правила в Site and Content rules. То есть если есть ХОТЬ ОДНО анонимное правило то вообще ничего не работает? aleks2 Ask unauthenticated users for identification включать не рекомендуется. В инструкции по TrafficFilter написано что это надо включить :) У меня нет Web-серверов и удаленных юзеров, так что проблем быть не должно... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 25.09.2006, 14:10 |
|
||
|
Аутентификация в ISA 2000
|
|||
|---|---|---|---|
|
#18+
Правила ISA2000 применяет так: 1) анонимные запрещающие правила (включая правила по IP-адресу клиента) 2) анонимные разрешающие правила (включая правила по IP-адресу клиента) --------- если не подпадает ни под 1, ни под 2 ISA2000 требует авторизацию. -------- Если авторизация предоставлена клиентом 3) авторизованные запрещающие правила 4) авторизованные разрешаюшие правила Если не подпадаем ни под одно правило 5) запрещено, ибо не разрешено. ------------------------------ просмотр правил идет до первого подпадения - далее не правила просматриваются. Так что при разумном сочетании - анонимные правила не помеха. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 25.09.2006, 14:47 |
|
||
|
Аутентификация в ISA 2000
|
|||
|---|---|---|---|
|
#18+
Да и вообще-то у нее (ISA) журнал есть, где она прямо пишет на основании какого правила даден отлуп или даден доступ.... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 25.09.2006, 14:50 |
|
||
|
Аутентификация в ISA 2000
|
|||
|---|---|---|---|
|
#18+
aleks2Так что при разумном сочетании - анонимные правила не помеха. Вот и я думаю что не помеха... Тем не менее не работает! Я уже добился, что в сессиях появляется строка Web Proxy с корректным именем пользователя вместо anonymous. В правилах указано везде это же имя пользователя (правда в виде DOMAIN\USER, а в сессиях - просто USER). И он все равно не пускает! Смотрю лог (IPPEXTD*.*), там указано BLOCKED. Видимо, это значит, что он на нашел правила и по умолчанию заблокировал? Может дело в отличии DOMAIN\USER от USER? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 25.09.2006, 15:24 |
|
||
|
Аутентификация в ISA 2000
|
|||
|---|---|---|---|
|
#18+
_Slash_ aleks2Так что при разумном сочетании - анонимные правила не помеха. Вот и я думаю что не помеха... Тем не менее не работает! Я уже добился, что в сессиях появляется строка Web Proxy с корректным именем пользователя вместо anonymous. В правилах указано везде это же имя пользователя (правда в виде DOMAIN\USER, а в сессиях - просто USER). И он все равно не пускает! Смотрю лог (IPPEXTD*.*), там указано BLOCKED. Видимо, это значит, что он на нашел правила и по умолчанию заблокировал? Может дело в отличии DOMAIN\USER от USER? Доменные пользователи показываются в сессиях как DOMAIN\USER. Анализируй это... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 25.09.2006, 16:04 |
|
||
|
Аутентификация в ISA 2000
|
|||
|---|---|---|---|
|
#18+
aleks2 Доменные пользователи показываются в сессиях как DOMAIN\USER. Анализируй это... Харошая идея То есть некие проблемы с Integrated authorisation? Там в инструкциях мелькали всякие ужасы насчет протокола Kerberos и какой-то такой ерунды. Его не надо где-то настраивать? Есть вообще какой-нибудь способ просто проверить эту авторизацию безо всяких там ISA, типа net checkuser имя пароль и он тебе скажет есть такой или нет? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 25.09.2006, 16:14 |
|
||
|
Аутентификация в ISA 2000
|
|||
|---|---|---|---|
|
#18+
_Slash_ aleks2 Доменные пользователи показываются в сессиях как DOMAIN\USER. Анализируй это... Харошая идея То есть некие проблемы с Integrated authorisation? Там в инструкциях мелькали всякие ужасы насчет протокола Kerberos и какой-то такой ерунды. Его не надо где-то настраивать? Есть вообще какой-нибудь способ просто проверить эту авторизацию безо всяких там ISA, типа net checkuser имя пароль и он тебе скажет есть такой или нет? Способ есть... "Журнал безопасности" называется. Смотреть на компе с ISA. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.09.2006, 07:35 |
|
||
|
|
start [/forum/topic.php?fid=26&msg=34009696&tid=1509418]: |
0ms |
get settings: |
8ms |
get forum list: |
9ms |
check forum access: |
2ms |
check topic access: |
2ms |
track hit: |
148ms |
get topic data: |
8ms |
get forum data: |
2ms |
get page messages: |
33ms |
get tp. blocked users: |
1ms |
| others: | 238ms |
| total: | 451ms |
| 0 / 0 |
