|
|
|
|
| |
|
ISA Server 2006 / 2004
: Accedere ad Internet
con credenziali utente alternative
|
Autore:
Giulio Martino
Data: 22.11.2006
Informazioni sull'Autore:
opera su sistemi Microsoft
fin dai tempi del DOS
senza trascurare sistemi
Unix, Linux. Le sue competenze
spaziano anche nella installazione
e configurazione di apparati
di rete, firewall e sistemi
di posta. Svolge la propria
attività a Matera.
Domande
sull'articolo? Scrivi
sul forum di ISAServer.it
>>
|
ISA Server 2006
/ 2004 : Accedere
ad Internet
con credenziali
utente alternative
|
Scenario:
1) Server DC/AD con
win2003 server
2) ISA2004 membro di AD
installato su WIN2003
Server(*)
(*) Abilitare solo Autenticazione
Integrata su ISA Server
2004 (ISA2004 -> Network
-> Internal -> WebProxy
-> Authentication)
Introduzione:
Queste note sono rivolte
a tutti coloro che utilizzano
l’autenticazione
integrata e hanno
la necessità di
fornire credenziali alternative,
nel caso quelle di logon
immesse all’avvio
del PC, non fossero sufficienti
a transitare attraverso
ISA2004.
Autenticazione Integrata
Se abbiamo abilitato l’accesso
ad internet tramite ISA
SERVER ai soli utenti
che appartengono al gruppo
di protezione Utenti
Internet creato in
Active Directory, in automatico
AD e ISA si scambiano
le informazioni immesse
durante il logon del PC,
e quindi se l’utente
appartiene al gruppo Utenti
Internet va direttamente
su internet senza dover
ridigitare user name e
password, altrimenti gli
viene presentata una pagine
di errore.
Chi ha già usato
ISA Server 2000,
era abituato, nel caso
di credenziali non sufficienti,
alla presentazione di
una maschera di login,
dove era possibile fornire
credenziali alternative
temporanee legate solo
all’utilizzo di quel
servizio.
Quando un utente senza
autorizzazioni cercava
di andare su Internet,
al posto della finestra
di errore, gli veniva
presentata una maschera
dove fornire le credenziali
alternative, che alla
chiusura del browser venivano
eliminate.
Questo servizio è
abilitato di default,
e la sua gestione (Enable/Disable)
è legata a questa
chiave di registro:
HKLM\SYSTEM\CurrentControlSet\
Services\W3proxy\Parameters\
ReturnDeniedIfAuthenticated
Vedi http://msdn2.microsoft.com/en-us/library/ms828072.aspx
Nel passaggio da ISA Server
2000 a ISA Server 2004
questa funzione si perde,
perché Microsoft
ha pensato bene, per una
questione di sicurezza,
di disattivare per default
questa funzione.
Non esiste più
la chiave di registro,
in quanto è stata
sostituita dalla proprietà
ReturnAuthRequiredIfAuthUserDenied
dell’oggetto COM
chiamato FPCWebListenerProperties.Per
la modifica della suddetta
proprietà è
possibile utilizzare lo
script RequestAuth.vbs
(vedi Riferimenti),
che ci permette di abilitare/disabilitare
la funzione.
Abilitare la funzionalità:
Lo script deve essere
utilizzato in questo modo:
RequestAuth.vbs
/network:Internal
/enable
Disabilitare la funzionalità:
Lo script deve essere
utilizzato in questo modo:
RequestAuth.vbs
/network:Internal
/disable
Lo script deve essere
eseguito sulla macchina
ISA Server 2006/2004,
e la modifica è
fatta sull'oggetto Network
Internal.
Riferimenti:
http://www.cybermesa.com/~bstewart/isa/RequestAuth.vbs
http://msdn2.microsoft.com/en-us/library/ms826234.aspx
http://www.isaserver.org/pages/newsletters/april2005.asp
Thread sul forum di
ISAServer.it:
http://www.isaserver.it/forum/topic.asp?TOPIC_ID=408
Buon Lavoro con ISAServer.it
Giulio Martino
ISAServer.it
ed i suoi Autori non sono
responsabili per danni
di qualsiasi tipo - inclusi
danni per perdita o mancato
guadagno, interruzione
dell'attivita', perdita
di informazioni commerciali
o altre perdite pecuniarie
- derivanti o correlati
all'utilizzo o all'incapacita'
di utilizzo delle informazioni
e degli esempi riportati
- per quanto testati e
funzionanti -. Le informazioni
e gli script sono "cosi'
come sono", senza
garanzia di nessun tipo.
L'intero rischio derivante
dall'uso delle informazioni
e degli script di esempio
e' interamente a proprio
carico. L'utilizzo è
consentito solo accettando
le presenti condizioni.
|
|
| |
|
|
| |
| |
| |
| |
| |
|
|
|
|
