No banner in farm
iscriviti alla newsletter

ISAserver.it - No. 1 Unofficial European web site on Microsoft ISA Server / Forefront TMG

Home di ISAserver.it
Google
 
Articoli
Autori di ISAserver.it
Forum Tecnico Iscriviti al feed RSS del forum di ISAserver.it
Blog di Luca Conte Iscriviti al feed RSS del blog di ISAserver.it
Software per ISA Server
Soluzioni Hardware per ISA Server
Eventi Tecnici e Formazione
Libreria di ISAserver.it
Contatti
Consigliati da ISAserver.it

No banner in farm
WORKBOOK

No banner in farm
Quale prodotto utilizzi

Quale prodotto utilizzi

VMexperts.org
Community tecnica italiana sulla Virtualizzazione
VOIPexperts.it
Community tecnica italiana sul VOIP
 
 

<< Torna all'elenco degli Articoli
 
ISA Server 2006 / 2004 : Accedere ad Internet
con credenziali utente alternative
Autore: Giulio Martino
Data:
22.11.2006
Informazioni sull'Autore:
opera su sistemi Microsoft fin dai tempi del DOS senza trascurare sistemi Unix, Linux. Le sue competenze spaziano anche nella installazione e configurazione di apparati di rete, firewall e sistemi di posta. Svolge la propria attività a Matera.

Domande sull'articolo? Scrivi sul forum di ISAServer.it >>


ISA Server 2006 / 2004 : Accedere ad Internet
con credenziali utente alternative

Scenario:
1) Server DC/AD con win2003 server
2) ISA2004 membro di AD installato su WIN2003 Server(*)

(*) Abilitare solo Autenticazione Integrata su ISA Server 2004 (ISA2004 -> Network -> Internal -> WebProxy -> Authentication)

Introduzione:
Queste note sono rivolte a tutti coloro che utilizzano l’autenticazione integrata e hanno la necessità di fornire credenziali alternative, nel caso quelle di logon immesse all’avvio del PC, non fossero sufficienti a transitare attraverso ISA2004.


Autenticazione Integrata
Se abbiamo abilitato l’accesso ad internet tramite ISA SERVER ai soli utenti che appartengono al gruppo di protezione Utenti Internet creato in Active Directory, in automatico AD e ISA si scambiano le informazioni immesse durante il logon del PC, e quindi se l’utente appartiene al gruppo Utenti Internet va direttamente su internet senza dover ridigitare user name e password, altrimenti gli viene presentata una pagine di errore.

ISA Server 2000

Chi ha già usato ISA Server 2000, era abituato, nel caso di credenziali non sufficienti, alla presentazione di una maschera di login, dove era possibile fornire credenziali alternative temporanee legate solo all’utilizzo di quel servizio.
Quando un utente senza autorizzazioni cercava di andare su Internet, al posto della finestra di errore, gli veniva presentata una maschera dove fornire le credenziali alternative, che alla chiusura del browser venivano eliminate.

Questo servizio è abilitato di default, e la sua gestione (Enable/Disable) è legata a questa chiave di registro:

HKLM\SYSTEM\CurrentControlSet\
Services\W3proxy\Parameters\ ReturnDeniedIfAuthenticated


Vedi http://msdn2.microsoft.com/en-us/library/ms828072.aspx


ISA Server 2006/2004

Nel passaggio da ISA Server 2000 a ISA Server 2004 questa funzione si perde, perché Microsoft ha pensato bene, per una questione di sicurezza, di disattivare per default questa funzione.

Non esiste più la chiave di registro, in quanto è stata sostituita dalla proprietà ReturnAuthRequiredIfAuthUserDenied dell’oggetto COM chiamato FPCWebListenerProperties.Per la modifica della suddetta proprietà è possibile utilizzare lo script RequestAuth.vbs (vedi Riferimenti), che ci permette di abilitare/disabilitare la funzione.

Abilitare la funzionalità:
Lo script deve essere utilizzato in questo modo:
RequestAuth.vbs /network:Internal /enable

Disabilitare la funzionalità:
Lo script deve essere utilizzato in questo modo:
RequestAuth.vbs /network:Internal /disable

Lo script deve essere eseguito sulla macchina ISA Server 2006/2004, e la modifica è fatta sull'oggetto Network Internal.


Riferimenti:
http://www.cybermesa.com/~bstewart/isa/RequestAuth.vbs
http://msdn2.microsoft.com/en-us/library/ms826234.aspx
http://www.isaserver.org/pages/newsletters/april2005.asp

Thread sul forum di ISAServer.it:
http://www.isaserver.it/forum/topic.asp?TOPIC_ID=408


Buon Lavoro con ISAServer.it

Giulio Martino


ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni.

 
 
 
 
 
 
 
 
No banner in farm


ISAserver.it - No. 1 Unofficial European web site on Microsoft ISA Server / Forefront TMG

Pubblicità su ISAserver.it - Note d'uso - Privacy
Copyright© 2004-2008 Luca Conte Tutti i diritti riservati.