No banner in farm
iscriviti alla newsletter

ISAserver.it - No. 1 Unofficial European web site on Microsoft ISA Server 2006 2004 2000

Home di ISAserver.it
Google
 
Articoli
Autori di ISAserver.it
Forum Tecnico Iscriviti al feed RSS del forum di ISAserver.it
Blog di Luca Conte Iscriviti al feed RSS del blog di ISAserver.it
Software per ISA Server
Soluzioni Hardware per ISA Server
Eventi Tecnici e Formazione
Libreria di ISAserver.it
Contatti
Consigliati da ISAserver.it

No banner in farm
WORKBOOK

No banner in farm
Quale prodotto utilizzi

Quale prodotto utilizzi

VMexperts.org
Community tecnica italiana sulla Virtualizzazione
VOIPexperts.it
Community tecnica italiana sul VOIP
 
 
ISAserver.it Forum
ISAserver.it Forum
Home | Profile | Register | Active Topics | Members | Search | FAQ
 All Forums
 ISA Server - Infrastrutture
 Generale - Infrastrutture Sicure
 Forefront/ISA è adatto per corporate portal?

Note: You must be registered in order to post a reply.
To register, click here. Registration is FREE!

Screensize:
UserName:
Password:
Format Mode:
Format: BoldItalicizedUnderlineStrikethrough Align LeftCenteredAlign Right Horizontal Rule Insert HyperlinkInsert EmailInsert Image Insert CodeInsert QuoteInsert List
   
Message:

* HTML is OFF
* Forum Code is ON
Smilies
Smile [:)] Big Smile [:D] Cool [8D] Blush [:I]
Tongue [:P] Evil [):] Wink [;)] Clown [:o)]
Black Eye [B)] Eight Ball [8] Frown [:(] Shy [8)]
Shocked [:0] Angry [:(!] Dead [xx(] Sleepy [|)]
Kisses [:X] Approve [^] Disapprove [V] Question [?]

 
   

T O P I C    R E V I E W
Etucapio Posted - 20/11/2010 : 10:26:12
Ho poi per caso notato in giro ISA Server/Forefront e, vi confesso, ancora non ho capito bene cosa sia e a cosa serva.

Ad ogni modo mi accingo a studiare e a capire se può effettivamente essermi utile.
Magari se mi date qualche dritta, ve ne sarei grato.

1)Cosa è ISA Server? Un firewall? Una sorta di governatore di servizi di rete? Una controparte Microsoft di pfSense o ZeroShell?
(per piacere non rimandatemi su Wikipedia)

2)La mia intenzione sarebbe realizzare un HotSpot per la mia azienda, nel quale ogni utente, prima di navigare in internet con il browser, deve inserire username e password, potendo poi registrare traffico e siti visitati.
Prima cosa: ISA Server PUO'? Se si, è abbastanza o è software sprecato, nel senso che il suo intento è fare molto di piu' e il mio intento è raggiungibile con software magari già integrato in Windows Server 2003/2008?
Avete dei link da leggere?
Grazie mille a tutti!!
18   L A T E S T    R E P L I E S    (Newest First)
IsaCab Posted - 24/11/2010 : 12:37:14
Ciao,

quote:
I programmini mi farebbero molto comodo, dimmi dove posso inviarti la mia email, o un contatto MSN/Skype.

Ho chiesto a Luca se li mette nella sezione download di ISAServer.it. In tutti i casi puoi mandami un messaggio privato e ti rispondo con gli allegati .

quote:
Ad ogni modo, mi stai facendo capire che ISA stesso ha un linguaggio di scripting interno oppure dà delle estensioni per powershell? Dll per Managed?

Si, espone delle api. Per utilizzarle è necessario che sia installata la mmc di ISA.

Qui trovi degli script, ma nulla toglie che tu possa scrivere un applicazione EXE.

http://www.isatools.org/index.htm


quote:
Intanto ho fatto qualche altra ricerca e sembra che PPPoE gestisca anche l'assegnazione di IP remoti, cosa che mi sarebbe molto utile.


Sinceramente credo che si riferisca alla possibilità di usare un modem per la connessione ad un ISP. Ma non avendo esperienza diretta mi limito a postarti un link.

http://technet.microsoft.com/en-us/library/cc984461.aspx

quote:
Avendo a disposizione 8 ip statici, potrei assegnarne 2-3 alla mia sede e i rimanenti darli alla sede remota per usarli come meglio credono.


Un modo ci sarebbe ma non ho mai provato. Dovresti creare una network rule (NAT) tra il range di IP della sede remota ed external e in NAT selezionare l'ip da assegnare al NAT. In questo modo le richieste provenianti da quella classe IP dovrebbe metchare la regola ed uscire con l'ip assegnato.

Ciao Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Etucapio Posted - 24/11/2010 : 00:31:34
quote:
Originally posted by IsaCab
Ecco perchè ti suggerivo di tenere un unico standard per entrambe le sedi



Preferisco tenere separati i 2 metodi di "controllo".

quote:

Esatto e questo e fattibile via script, ma non basta. Mi spiego :

Una volta stabilita la sessione (apro il browser e navigo) se vai sulla regola ed elimini l'ip, l'utente continuerà a navigare fino a che la sua sessione non verrà resettata (ad esempio chiude e riapre il browser) o direttamente da ISA. Questa operazione non è possibile farla via script, ma è necessario killare la sessione TCP. In passato (per un lavoro su un server FTP ed ISA) ho fatto qualcosa di simile ed ho scritto due programmini in VB6 e .NET che killano la sessione TCP. Nel caso fammi sapere che te li passo.


I programmini mi farebbero molto comodo, dimmi dove posso inviarti la mia email, o un contatto MSN/Skype.
Ad ogni modo, mi stai facendo capire che ISA stesso ha un linguaggio di scripting interno oppure dà delle estensioni per powershell? Dll per Managed?


quote:

A questa domanda non so rispondere, aspetta qualche risposta più autorevole.


Va bene!
Intanto ho fatto qualche altra ricerca e sembra che PPPoE gestisca anche l'assegnazione di IP remoti, cosa che mi sarebbe molto utile.
Avendo a disposizione 8 ip statici, potrei assegnarne 2-3 alla mia sede e i rimanenti darli alla sede remota per usarli come meglio credono.
Wikipedia è carente da questo punto di vista, dove dovrei cercare?

quote:
Dovrebbe essere possib ile ma non posso darti certezza in questo momento.

Va bene!
Se sai qualcosa posta pure qui, io intanto farò delle ricerche per conto mio.
Etucapio Posted - 24/11/2010 : 00:13:51
quote:
Originally posted by IsaCab
Ecco perchè ti suggerivo di tenere un unico standard per entrambe le sedi



Preferisco tenere separati i 2 metodi di "controllo".

quote:

Esatto e questo e fattibile via script, ma non basta. Mi spiego :

Una volta stabilita la sessione (apro il browser e navigo) se vai sulla regola ed elimini l'ip, l'utente continuerà a navigare fino a che la sua sessione non verrà resettata (ad esempio chiude e riapre il browser) o direttamente da ISA. Questa operazione non è possibile farla via script, ma è necessario killare la sessione TCP. In passato (per un lavoro su un server FTP ed ISA) ho fatto qualcosa di simile ed ho scritto due programmini in VB6 e .NET che killano la sessione TCP. Nel caso fammi sapere che te li passo.


I programmini mi farebbero molto comodo, dimmi dove posso inviarti la mia email, o un contatto MSN/Skype.
Ad ogni modo, mi stai facendo capire che ISA stesso ha un linguaggio di scripting interno oppure dà delle estensioni per powershell? Dll per Managed?


quote:

A questa domanda non so rispondere, aspetta qualche risposta più autorevole.


Va bene!
Intanto ho fatto qualche altra ricerca e sembra che PPPoE gestisca anche l'assegnazione di IP remoti, cosa che mi sarebbe molto utile.
Avendo a disposizione 8 ip statici, potrei assegnarne 2-3 alla mia sede e i rimanenti darli alla sede remota per usarli come meglio credono.
Wikipedia è carente da questo punto di vista, dove dovrei cercare?

quote:
Dovrebbe essere possib ile ma non posso darti certezza in questo momento.

Va bene!
Se sai qualcosa posta pure qui, io intanto farò delle ricerche per conto mio.
IsaCab Posted - 23/11/2010 : 20:21:33
Ciao,

quote:
In questo caso, la sede remota non avrà il suo buon utente che potrò disattivare via script PowerShell o checchè sia

Ecco perchè ti suggerivo di tenere un unico standard per entrambe le sedi

quote:
dovrò modificare (penso) una regola interna di ISA (per togliere tale IP dal gruppo dei navigatori in Internet)

Esatto e questo e fattibile via script, ma non basta. Mi spiego :

Una volta stabilita la sessione (apro il browser e navigo) se vai sulla regola ed elimini l'ip, l'utente continuerà a navigare fino a che la sua sessione non verrà resettata (ad esempio chiude e riapre il browser) o direttamente da ISA. Questa operazione non è possibile farla via script, ma è necessario killare la sessione TCP. In passato (per un lavoro su un server FTP ed ISA) ho fatto qualcosa di simile ed ho scritto due programmini in VB6 e .NET che killano la sessione TCP. Nel caso fammi sapere che te li passo.

quote:
TMG fa anche da PPPoE server? O PPPoE usa il server RADIUS? O forse non ho capito proprio niente?

A questa domanda non so rispondere, aspetta qualche risposta più autorevole.

quote:
Visto l'ADSL in sede ha 8 IP statici, è possibile con Forefront configurare in modo che, per esempio, tutto il traffico proveniente dall'IP 192.168.xxx.yyy (che sarebbe quello della sede remota) usando un determinato IP statico?

Dovrebbe essere possib ile ma non posso darti certezza in questo momento.

Ciao Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Etucapio Posted - 23/11/2010 : 14:30:38
quote:
Originally posted by IsaCab

Ciao,

ISA/TMG ti controlla il traffico da e per i vari oggetti network. Nel caso specifico controlla e disciplina il traffico tra Internal (LAN) ed External (Internet).

Facendo una access rule che autorizza internet solo per gli utenti del gruppo UserOK se un utente è nel gruppo va su internet se è fuori non ci va. Quindi tranne esigenze diverse il secondo gruppo non serve.



Giusto, non ci pensato. Pardon

quote:

La scelta è tua ma nessuno ti vieta di controllare anche la sede remota.


Si, è una mia scelta, so che volendo posso farlo anche per la sede remota (che poi tanto remota non è)

quote:

Il tutto cmq dipende (mi riferisco alla sede remota) su come è configurata la connessione.

Mi spiego meglio :

se la rete remota ha una classe Ip separata (come suppongo) e non fai nat verso la sede master, allora puoi fare una regola per range IP se non vuoi usare gli user).

Se invece fai NAT, allora farai una rule che autorizza l'ip della LAN che rappresenta l'ip di NAT.

In tutti casi non vedo ragioni per non lavorare via user anche dalla sede remota. Se la necessità è di lasciare più liberta nella sede remota, allora ti basta creare due regole per due gruppi separati.

Ciao Giulio



Da precisare che attualmente tutto questo è solo nella mia testa.
Comunque avrei in mente di fare NAT.
La sede principale metterei degli indirizzi privati di classe B, del tipo 192.168.xxx.xxx con 255.255.0.0 come subnet mask

Nella sede remota metto un router con 2 interfacce di rete con un indirizzo di classe B che NATTA gli indirizzi locali (che saran 192.168.1.xxx con 255.255.255.0 o quel che si voglia).

La soluzione è sicuramente buona, l'ultimo dubbio che mi rimane è:
In questo caso, la sede remota non avrà il suo buon utente che potrò disattivare via script PowerShell o checchè sia, ma dovrò modificare (penso) una regola interna di ISA (per togliere tale IP dal gruppo dei navigatori in Internet)
E' comunque possibile?

1) Visto che alla fine mi hai convinto, lavorerò eventualmente su base IP, per cultura personale:
TMG fa anche da PPPoE server? O PPPoE usa il server RADIUS? O forse non ho capito proprio niente?

2) Visto l'ADSL in sede ha 8 IP statici, è possibile con Forefront configurare in modo che, per esempio, tutto il traffico proveniente dall'IP 192.168.xxx.yyy (che sarebbe quello della sede remota) usando un determinato IP statico?

Grazie ancora per il vostro supporto.
IsaCab Posted - 23/11/2010 : 12:56:55
Ciao,

quote:
1) La soluzione dei 2 gruppi mi sembra abbastanza buona.
In che modo potrebbe bastare un solo gruppo?(pura curiosità)


ISA/TMG ti controlla il traffico da e per i vari oggetti network. Nel caso specifico controlla e disciplina il traffico tra Internal (LAN) ed External (Internet).

Facendo una access rule che autorizza internet solo per gli utenti del gruppo UserOK se un utente è nel gruppo va su internet se è fuori non ci va. Quindi tranne esigenze diverse il secondo gruppo non serve.

quote:
Premesso tutto ciò che ho scritto sopra (controllo degli utenti, accesso internet per loro), ho una mia seconda sede (succursale), distante alcuni chilometri, per la quale non arriva l'ADSL.
Così, visto la forte esigenza di connettività su Internet, abbiamo fatto fare alcune prove da tecnici, i quali hanno assicurato che, installando un paio di antenne sui tetti, è possibile passare il segnale internet dalla sede principale (dove sono io) a quella secondaria.
In pratica sul mio tetto c'è un grosso access point e dall'altro lato un ricevitore che fa anche da router eventualmente. Evito tutta la parte relativa al fatto che il segnale è criptato su base mac address e tutte quelle cialtronerie che mi hanno detto.


Ok

quote:
Il punto è che, per la sede succursale, non voglio avere la stessa granularità nel controllo degli accessi.


La scelta è tua ma nessuno ti vieta di controllare anche la sede remota.

Il tutto cmq dipende (mi riferisco alla sede remota) su come è configurata la connessione.

Mi spiego meglio :

se la rete remota ha una classe Ip separata (come suppongo) e non fai nat verso la sede master, allora puoi fare una regola per range IP se non vuoi usare gli user).

Se invece fai NAT, allora farai una rule che autorizza l'ip della LAN che rappresenta l'ip di NAT.

In tutti casi non vedo ragioni per non lavorare via user anche dalla sede remota. Se la necessità è di lasciare più liberta nella sede remota, allora ti basta creare due regole per due gruppi separati.

Ciao Giulio



________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Etucapio Posted - 23/11/2010 : 12:18:50
Grazie ancora per la risposta, comincio sempre meglio ad avere le idee piu' chiare.

1) La soluzione dei 2 gruppi mi sembra abbastanza buona.
In che modo potrebbe bastare un solo gruppo?(pura curiosità)

2) La situazione server va ripensata un attimo effettivamente. Grazie ai vsotri consigli ho rivalutato il "progetto" e quindi non c'è un effettivo bisogno di un altro router per i server.

In realtà la domanda era scaturita da un ulteriore problema che ho.
Non l'ho scritto subito per evitare una risposta del tipo "Ma vuoi la pappa pronta?"

Vi espongo il problema 2 sperando in un vostro aiuto.

Premesso tutto ciò che ho scritto sopra (controllo degli utenti, accesso internet per loro), ho una mia seconda sede (succursale), distante alcuni chilometri, per la quale non arriva l'ADSL.
Così, visto la forte esigenza di connettività su Internet, abbiamo fatto fare alcune prove da tecnici, i quali hanno assicurato che, installando un paio di antenne sui tetti, è possibile passare il segnale internet dalla sede principale (dove sono io) a quella secondaria.
In pratica sul mio tetto c'è un grosso access point e dall'altro lato un ricevitore che fa anche da router eventualmente. Evito tutta la parte relativa al fatto che il segnale è criptato su base mac address e tutte quelle cialtronerie che mi hanno detto.


Il punto è che, per la sede succursale, non voglio avere la stessa granularità nel controllo degli accessi.
Mentre qui (sede principale) voglio registrare il traffico e visualizzarlo catalogandolo per utente, dall'altro lato vorrei soltanto visualizzare il traffico generato da "SEDE SUCCURSALE" (ossia, dal router principale che si trova lì).
Se non mi trovo con le mie politiche, stacco internet a tutta la sede.
E' per questo che, girando su internet, ho visto che PPPoE può fare al caso mio visto che, impostando username e password nel router, posso autenticarlo e far navigare tutti i terminali ad esso collegato.
Per questo chiedevo se Forefront funge anche da PPPoE server.
In realtà non ho ancora capito se questa funzionalità è espletata sempre da un server RADIUS (per mia fortuna incluso in Windows Server 2008) oppure serve software specifico.

Vi ringrazio ancora per l'aiuto.
IsaCab Posted - 23/11/2010 : 09:08:45
Ciao,

quote:
1) Per la parte script, come dici tu, basterebbe creare 2 gruppi in Windows: Utenti Internet e Utenti No Internet. In Forefront configuro in modo da dare Internet al primo gruppo e solo normali servizi di rete al secondo
A questo accrocchio associo poi uno script (che sia un servizio C# o magari anche PowerShell) che ogni sera controlla il mio db con le date di scadenza bla bla bla e muove gli utenti tra i 2 gruppi.
Se la richiesta di Internet viene rifiutata (poichè appartieni al gruppo dei cattivi), faccio fare il redirect a una mia pagina e metto le mie cose

Esatto. IN realtà potrebbe bastare un solo gruppo, ma questo dipende molto dal tuo scenario.

quote:
Per i gruppi server, la soluzione (se ho capito bene) proposta da lconte è di collegare tutti i server sotto un router, instradare i pacchetti e configurare Forefront in modo da far passare tutti i pacchetti provenienti dall'indirizzo del router

Non proprio, Luca ti ha proposto, anzi consigliato, di configurare i server come Securenat client. Se devono passare o no da un router dipende dal tuo scenario. Se sono sullo stesso segmento fisico e logico di ISA/TMG non hai necessità di mettere altri router.

quote:
La cosa non mi sembra fattibile: sbaglio o anche se da un router, il pacchetto IP ha come source address l'indirizzo della macchina?

Se il router fa routing non modifica gli header del pacchetto IP. Se fa NAT si.

quote:
A tal proposito, curiosando sulla rete, ho trovato una cosa molto interessante: PPPoE
Sarebbe possibile creare un server PPPoE in Forefront, impostare utenti e altro, per poi far autenticare il router stesso?
In tal modo dal nome utente potrei risalire al router collegato e capire da chi proviene il traffico e dunque bloccarlo come un qualsiasi altro utente della rete.
Forefront prevede questa possibilità oppure è necessario affidarsi a un software esterno?


Diciamo che tranne eccezioni gestibili non ci sarebbero motivo per far andare su internet i server. Dove fosse necessario è possibile creare delle regole verticalizzate a consentire solo certi protocolli da certi IP.

Tu continui a parlare di server e di router e a meno di non avere uno scenario complesso (e se così fosse dovresti spiegare meglio il tutto) non hai bisogno di complicarti la vita più di tanto.

Ciao GIulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Etucapio Posted - 22/11/2010 : 21:57:56
Grazie ancora per la risposta.
Scusatemi se vi inondo di domane ma prima di tirar fuori i soldi per le licenze e macchine vorrei essere sicuro di quello che sto facendo!

1) Per la parte script, come dici tu, basterebbe creare 2 gruppi in Windows: Utenti Internet e Utenti No Internet. In Forefront configuro in modo da dare Internet al primo gruppo e solo normali servizi di rete al secondo
A questo accrocchio associo poi uno script (che sia un servizio C# o magari anche PowerShell) che ogni sera controlla il mio db con le date di scadenza bla bla bla e muove gli utenti tra i 2 gruppi.
Se la richiesta di Internet viene rifiutata (poichè appartieni al gruppo dei cattivi), faccio fare il redirect a una mia pagina e metto le mie cose.

Fin quì ci siamo. Virtualmente, il problema degli end user è terminato.

Per i gruppi server, la soluzione (se ho capito bene) proposta da lconte è di collegare tutti i server sotto un router, instradare i pacchetti e configurare Forefront in modo da far passare tutti i pacchetti provenienti dall'indirizzo del router.
La cosa non mi sembra fattibile: sbaglio o anche se da un router, il pacchetto IP ha come source address l'indirizzo della macchina?
Se si il sistema non funziona, in quanto non ho conoscenze a priori sugli ip della macchina collegata al router dei servers.

A tal proposito, curiosando sulla rete, ho trovato una cosa molto interessante: PPPoE
Sarebbe possibile creare un server PPPoE in Forefront, impostare utenti e altro, per poi far autenticare il router stesso?
In tal modo dal nome utente potrei risalire al router collegato e capire da chi proviene il traffico e dunque bloccarlo come un qualsiasi altro utente della rete.
Forefront prevede questa possibilità oppure è necessario affidarsi a un software esterno?
Sto cercando di documentarmi, per quanto ho letto, un server RADIUS sembra essere la soluzione per usare PPPoE.
Avete qualche dritta?

Grazie mille per il vostro supporto.
IsaCab Posted - 22/11/2010 : 08:56:24
Ciao,

quote:
Non ho intenzione di usare Active Directory prima cosa perché non ho esperienza e (correggimi se sbaglio), in questo modo escludo eventuale utenza non Windows.

Puoi avere più metodi di autenticazione contemporanei. Oppure, abilitando un flag, presentare la richiesta di credenziali (al posto della pagina di errore) per gli utenti non autenticati (integrata)

quote:
Togliendo da mezzo AD, rimane Radius

No, hai anche l'autenticazione di base,.......

quote:
Riguardo la data di scadenza che ho indicato prima, è una cosa fattibile?

Questo puoi farlo in diversi modi, quello a mio giudizio più pratico è via script direttamente sull'utente. Mi spiego meglio :

ISA non ha direttamente una gestione così come da te richiesta (abilitare un user per n gg).
Però nulla ti vieta (grazie ai suggerimento di Luca e usando altre tecniche) di farlo cmq. Ad esempio, usando l'autenticazione di base , puoi fare uno script (o un servizio, o quello che vuoi) che in automatico abilita o disabilita l'utente, o lo mette/toglie da un gruppo senza intervenire su ISA.

quote:
E' possibile con l'SDK (chiedo se hai già esperienza) e scrivendo una DLL appropriata, mettersi in mezzo all'autenticazione con Radius o nel passaggio traffico IP e effettuare controlli dedicati?

Devi scriverti un filtro applicazione per TMG.

Ciao Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Etucapio Posted - 21/11/2010 : 19:35:33
Grazie ancora per le risposte.
Ho già scaricato l'SDK e cercherò di studiare qualcosina appena possibile.

1) Non ho intenzione di usare Active Directory prima cosa perché non ho esperienza e (correggimi se sbaglio), in questo modo escludo eventuale utenza non Windows.

Togliendo da mezzo AD, rimane Radius come server di autenticazione (per gli utenti client), il che comunque non è male.

Per i server ok, invece di autenticare permetto comunicazioni all'IP al quale è collegato la macchina (o magari faccio passare il traffico del router dove saranno collegati tutti i server).

Riguardo la data di scadenza che ho indicato prima, è una cosa fattibile?
E' possibile con l'SDK (chiedo se hai già esperienza) e scrivendo una DLL appropriata, mettersi in mezzo all'autenticazione con Radius o nel passaggio traffico IP e effettuare controlli dedicati?
lconte Posted - 21/11/2010 : 19:12:04
Se hai un dominio AD e gli utenti sono di dominio, il processo di autenticazione e' trasparente...l'utente accede senza problemi. Se l'utente non e' autorizzato allora viene bloccato visualizzando una pagina di errore personalizzabile.
Senza AD agli utenti sara' presentata una finestra di Autenticazione. Solo gli autorizzati escono.
Per i server puoi consentire l'accesso su base IP invece che su base utente. Cmq per TMG/ISA e' indifferente se l'utente si connette da un server o un client. RADIUS ti puo' servire se vuoi autenticare gli utenti in un dominio AD separato.
Da TMG/ISA puoi vedere TUTTO quello che fanno gli utenti.
Qui trovi l'SDK di TMG.
Altre info sull'SDK le trovi qui:
Compiling Forefront TMG 2010 SDK Samples
Forefront TMG 2010 SDK Documentation

Luca Conte, MCSE/MCSA:Security, MCT, VMWare VCP
Consulting Services & Professional Training
----
ISA Server Jumpstart - http://www.isaserverjumpstart.com
ISA Server Technical Days - http://days.isaserverjumpstart.com
ISA Server Workbook 2a Ed - http://workbook.isaserverjumpstart.com
----
Contatti: lconte<at>isaserver<d0t>it
====
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Etucapio Posted - 21/11/2010 : 18:04:35
Ancora grazie mille per la risposta.
Man mano che mi aiuti e cerco sul web il mio problema sta prendendo sempre piu' una forma.

Allora su SDK e programmazione non ho problemi, basta la documentazione e poi parto.
Ecco l'attuale problema.

Nella mia azienda ho bisogno prima di tutto di un server WebCaching e di un firewall generico.

Inoltre ho N computer della mia azienda, per la quale ho bisogno di gestire il traffico internet.

In primis devo sapere le pagine web visitate, quindi registrare tutte le richieste ed eventualmente tutti i pacchetti inviati.

In secundis ho bisogno di un sistema di autenticazione che possa darmi tali funzionalità:

1) Una parte dei client dovrebbe poter accedere a Internet solo previo inserimento di username e password (non importa se via web, una finestrella automatica, basta che la mettano).

2) Una seconda parte delle macchine dovrebbe avere accesso a Internet sempre via username e password, ma poichè saran macchine server, dovrei automatizzare l'autenticazione.
A tal scopo ho pensato di mettere tali macchine sotto un router sempre acceso che eventualmente esegue l'autenticazione al posto loro, con RADIUS o qualcosa del genere.

Sia nel caso 1 che 2, a tali utenti vorrei poter assegnare una data di scadenza.
Da tal data in poi, l'unica cosa cosa disponibile è una pagina WEB in cui fare una richiesta di rinnovo collegamento a Internet.
Se io, analizzando il loro traffico, decido che l'utente in questione (che sia end user client o gruppo di server) si è comportato bene, gli ridò l'accesso per altri N giorni (cambiando la data di scadenza), altrimenti fuori.


Quello che voglio sapere è
1) Forefront può fare tutto ciò?
2) Il protocollo RADIUS è adatto per questo problema?
3) C'è un SDK che mi permette di agire sugli utenti e abilitare-disabilitare un utente o comunque controllare il processo di autenticazione, fornendo dei controlli da fare ed eventualmente rifiutare l'accesso ed effettuando il redirect su una pagina mia interna?

Thank you!!
lconte Posted - 21/11/2010 : 12:38:52
Non hai la pagina web fissa, come si vede negli aereoporti, ma all'utente e' presentata la classica finestra di richiesta credenziali Windows...
Cmq ISA/TMG hanno tutte un SDK..sono scriptable ed estensibili. Quindi se hai capacita' tecniche per cimentarti nello sviluppo hai la possibilita' di controllare un supermotore...TMG e' una vera potenza, molto piu' di ISA (es. URL filtering, NIS, HTTPS inspection ecc. ecc.).

Luca Conte, MCSE/MCSA:Security, MCT, VMWare VCP
Consulting Services & Professional Training
----
ISA Server Jumpstart 2009 - http://www.isaserverjumpstart.com
ISA Server Technical Days - http://days.isaserverjumpstart.com
ISA Server Workbook 2a Ed - http://workbook.isaserverjumpstart.com
----
Contatti: lconte<at>isaserver<d0t>it
====
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Etucapio Posted - 20/11/2010 : 18:20:15
In pratica voglio che quando venga aperto il browser non si possa navigare se prima non si inserisca username e password in una pagina web fissa.
IsaCab Posted - 20/11/2010 : 11:39:42
Ciao,

dovresti chiarire meglio cosa vorresti fare. Isa puo' autenticare il traffico usando diverse modalità di autewnticazione (anche la integrata) e questo non richiede nessuna programmazione, ti basta far passare il browser dal proxy.

Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Etucapio Posted - 20/11/2010 : 11:26:29
Grazie mille per la risposta.
Quindi fa anche le funzioni di squid (cache).

Mi sta bene.
Come corporate portal, ha già delle cose integrate o bisogna svilupparsele da se? Viene fornito un SDK per interfacciarsi con ASP NET?
IsaCab Posted - 20/11/2010 : 11:08:27
Ciao,

ISA è : Firewall/Proxy/Cache

Per fare quello che chiedi basta un proxy.

http://www.microsoft.com/forefront/threat-management-gateway/en/us/default.aspx

Ciao Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post

ISAserver.it Forum © 2004-2014 Luca Conte - Tutti i diritti riservati Go To Top Of Page
Powered By: Snitz Forums 2000 Version 3.4.06


No banner in farm

ISAServer.it sostiene la campagna per la riduzione del riscaldamento globale e un uso più efficiente dell'energia da parte delle infrastrutture tecnologiche


ISAserver.it è parte del network GITCA - Global IT Community Association