No banner in farm
iscriviti alla newsletter

ISAserver.it - No. 1 Unofficial European web site on Microsoft ISA Server 2006 2004 2000

Home di ISAserver.it
Google
 
Articoli
Autori di ISAserver.it
Forum Tecnico Iscriviti al feed RSS del forum di ISAserver.it
Blog di Luca Conte Iscriviti al feed RSS del blog di ISAserver.it
Software per ISA Server
Soluzioni Hardware per ISA Server
Eventi Tecnici e Formazione
Libreria di ISAserver.it
Contatti
Consigliati da ISAserver.it

No banner in farm
WORKBOOK

No banner in farm
Quale prodotto utilizzi

Quale prodotto utilizzi

VMexperts.org
Community tecnica italiana sulla Virtualizzazione
VOIPexperts.it
Community tecnica italiana sul VOIP
 
 
ISAserver.it Forum
ISAserver.it Forum
Home | Profile | Register | Active Topics | Members | Search | FAQ
 All Forums
 ISA Server - Infrastrutture
 Generale - Infrastrutture Sicure
 Metodi di autenticazione del Firewall Client

Note: You must be registered in order to post a reply.
To register, click here. Registration is FREE!

Screensize:
UserName:
Password:
Format Mode:
Format: BoldItalicizedUnderlineStrikethrough Align LeftCenteredAlign Right Horizontal Rule Insert HyperlinkInsert EmailInsert Image Insert CodeInsert QuoteInsert List
   
Message:

* HTML is OFF
* Forum Code is ON
Smilies
Smile [:)] Big Smile [:D] Cool [8D] Blush [:I]
Tongue [:P] Evil [):] Wink [;)] Clown [:o)]
Black Eye [B)] Eight Ball [8] Frown [:(] Shy [8)]
Shocked [:0] Angry [:(!] Dead [xx(] Sleepy [|)]
Kisses [:X] Approve [^] Disapprove [V] Question [?]

 
   

T O P I C    R E V I E W
IsaCab Posted - 29/01/2007 : 18:33:20
Ciao,

In uno scenario misto come fa il firewall client di ISA ad effettuare l'autenticazione partendo dal presupposto che utilizza di default l'autenticazine integrata windows ?


[Scenario 1]
1) Isa workGroup
2) PC/Server workgroup

Stesso workgroup, utenti replicati e il gioco dovrebbe funzionare.

Giusto ?

[Scenario 2]

1) ISA Domain
2) PC/Server workgroup

come fa il FC ad effettuare l'autenticazione ?


Ciao Giulio


Giulio Martino
Avaya IP Office TCLA

Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni.
14   L A T E S T    R E P L I E S    (Newest First)
IsaCab Posted - 31/01/2007 : 13:26:20
Ciao Luca

quote:
Originally posted by info@isaserver.it

Scenario 3.
Devi replicare su ISA, e non sulle singole workstation, gli account Username/Password degli utenti di dominio.

In piu' devi fare una operazione su ISA! Quale?

Learning by doing!!

Luca Conte
MCSE:Security MCT MCSA:Security

Fondatore di ISAServer.it
**********************************************
- Blog: http://www.isaserver.it/blog
- Articoli: http://www.isaserver.it/articoli
- Forum: http://www.isaserve.it/forum

per ulteriori info scrivi una mail a lconte<at>isasever<d0t>it.
---------------------------------------------------------
Sito web personale: http://www.lucaconte.it
**********************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni.



Mi vengono in mente tre cose :

1) Deve essere abilitato il netbios su TCP/IP
2) Nella Network Internal sezione Domain mettere *. o il nome host ISA
3) Nelle regole (Ma questo lo hai già detto tu) bisogna mettere all autenticated user


Quali delle tre è giusta ?

Ciao Giulio


Giulio Martino
Avaya IP Office TCLA

Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni.
lconte Posted - 31/01/2007 : 13:08:00
Scenario 3.
Devi replicare su ISA, e non sulle singole workstation, gli account Username/Password degli utenti di dominio.

In piu' devi fare una operazione su ISA! Quale?

Learning by doing!!

Luca Conte
MCSE:Security MCT MCSA:Security

Fondatore di ISAServer.it
**********************************************
- Blog: http://www.isaserver.it/blog
- Articoli: http://www.isaserver.it/articoli
- Forum: http://www.isaserve.it/forum

per ulteriori info scrivi una mail a lconte<at>isasever<d0t>it.
---------------------------------------------------------
Sito web personale: http://www.lucaconte.it
**********************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni.
IsaCab Posted - 31/01/2007 : 10:54:51
Ciao Luca

quote:
Tieni conto che la password non viene trasmessa...ma questi sono dettagli implementativi di NTLM.

Si ho visto.

quote:
La workstation deve avere lo stesso account - nomeutente/password - nella SAM senno' non puo' operare.

Qui hai detto una cosa importante e io non ho prestato la giusta attenzione.

Vediamo se ho capito bene :

tutti il client del dominio, devono avre il locale lo user name di accesso alla machina replicato nel SAM locale. Quindi se su una macchina accedono 10 utenti di dominio diversi, dovro' a manina replicarli nel sam locale del PC.

In più gli stessi utenti dovranno essere replicati su ISA server.

Dopo di che entrano in gioco il FWC ed ISA server nella fase di autenticazione NTLM.

Senza entrare troppo nei dettagli arriviamo direttamente al passaggio 3 del Challenge/Response :

Il FWC che provvede ad effettuare l'autenticazione integrata, userà NTLM essendo ISA fuori dal dominio, e qui avviene la magia.

Ho fatto un passo vanti o sono tornato indietro ?? :-)


Ciao Giulio

Giulio Martino
Avaya IP Office TCLA

Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni.
lconte Posted - 30/01/2007 : 14:23:43
Non è proprio corretto ma il concetto di fondo e' quello, direi che ci sei!
Tieni conto che la password non viene trasmessa...ma questi sono dettagli implementativi di NTLM.

La workstation deve avere lo stesso account - nomeutente/password - nella SAM senno' non puo' operare.

Alcuni link:
http://support.microsoft.com/kb/102716/en-us

http://support.microsoft.com/kb/906305/en-us

Vai alla grande Giulio!!

Luca Conte
MCSE:Security MCT MCSA:Security

Fondatore di ISAServer.it
**********************************************
- Blog: http://www.isaserver.it/blog
- Articoli: http://www.isaserver.it/articoli
- Forum: http://www.isaserve.it/forum

per ulteriori info scrivi una mail a lconte<at>isasever<d0t>it.
---------------------------------------------------------
Sito web personale: http://www.lucaconte.it
**********************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni.
IsaCab Posted - 30/01/2007 : 13:28:35
Ciao Luca,

quote:
Nel processo di autenticazione il nome del Workgroup non ti entra in gioco ma entra invece il gioco il nome host su cui è, o dovrebbe essere presente, l'account utente. Quindi l'host a cui vuoi aver accesso.

Se ISA1 è la tua macchina che fa parte del workgroup WRKB, ti devi autenticare come ISA1\User1 e non come WRKB\Us



Ok.



quote:
Non confondere il Workgroup con il Dominio!


Era proprio qui che entravo in confusione, nel senso che per un attimo ho pensato di doverli mettere sullo stesso piano e la cosa mi ha mandato in crash.

quote:
Durante il processo di autenticazione NTLM - quello che usi quando "NON SEI" in un dominio AD - passi le tue credenziali ad ISA secondo lo schema Challenge/Response di NTLM. ISA verifica la rispondenza con le credenziali che ha nel proprio database degli account - SAM - e Nega/Consente l'accesso.


e qui sono un asino. Poi ho letto questo :

http://davenport.sourceforge.net/ntlm.html#theType1Message

più precisamente questo :

Negotiate Workstation Supplied (0x00002000) Indicates that the client is sending its workstation name with the message.

e si è accesa la luce.

Quindi riepilogando, vediamo se ho capito bene :

1) Il FWC client del dominio passa ad isa le credenziali nella forma DOMINIO\utente

2) ISA essendo in un workgroup, utilizza NTLM per l'autenticazione e inizia a vedere se riesce a servire il client.

3) Quindi in pratica preleverà lo username (Togliendo DOMINIO\) e controllerà nel SAM se esiste e se la pwd corrisponde.

Dimmi che almeno mi sto avvicinado, altrimenti mi metto a studiare nei dettagli tutti i sistemi di autenticazione fino a che non capisco come possa una workstation autenticare un account di dominio.


Ciao Giulio


Giulio Martino
Avaya IP Office TCLA

Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni.
lconte Posted - 30/01/2007 : 13:08:07
Gli scenari tipo sono 4:
1. PC in Dominio, ISA in Dominio.
2. PC in WorkgroupA, ISA in WorkgroupB o PC/ISA in Workgroup
3. PC in Dominio, ISA in WorkgroupB.
4. PC in WorkgroupA, ISA in Dominio.

Gli scenari 1. e 2. sono un classico.
Lo scenario 3. è ancora percorribile con FWC.
Nello scenario 4. l'installazione del FWC puo' darti quel qualcosa in piu', non in termi di restriction del traffico su base utente ma in termini di logging del traffico. Pero' questo lo puoi ottenere solo "ibridando" lo scenario. Nello scenario 4., puro, il FWC non da alcun vantaggio.

Alcune considerazioni sull'autenticazione:
Nel processo di autenticazione il nome del Workgroup non ti entra in gioco ma entra invece il gioco il nome host su cui è, o dovrebbe essere presente, l'account utente. Quindi l'host a cui vuoi aver accesso.

Se ISA1 è la tua macchina che fa parte del workgroup WRKB, ti devi autenticare come ISA1\User1 e non come WRKB\User1.

Non confondere il Workgroup con il Dominio!

Durante il processo di autenticazione NTLM - quello che usi quando "NON SEI" in un dominio AD - passi le tue credenziali ad ISA secondo lo schema Challenge/Response di NTLM. ISA verifica la rispondenza con le credenziali che ha nel proprio database degli account - SAM - e Nega/Consente l'accesso.

Quando ISA è in dominio - Scenario 4. e 1. - entra anche in gioco l'autenticazione del computer account; questo non dipende dal FWC ma dal sistema di protezione di AD - Kerberos - che il firewall client non può bypassare.

Le 3.30? Martini...It's Party.



Luca Conte
MCSE:Security MCT MCSA:Security

Fondatore di ISAServer.it
**********************************************
- Blog: http://www.isaserver.it/blog
- Articoli: http://www.isaserver.it/articoli
- Forum: http://www.isaserve.it/forum

per ulteriori info scrivi una mail a lconte<at>isasever<d0t>it.
---------------------------------------------------------
Sito web personale: http://www.lucaconte.it
**********************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni.
IsaCab Posted - 30/01/2007 : 10:16:22
Ciao Luca,

quote:
ISA non puo' accedere alle credenziali utente del dominio quindi fa il massimo sforzo per capire chi sei sfruttando le informazioni passate dal FWC mediante lo schema di autenticazione NTLM


è proprio qui la mia perplessità, cerco di spiegarmi meglio :

[Metodi Autenticazione Integrata]

1) Kerberos
2) NTLM
3) Negotiate

inlotre l'autenticazione integrata prevede l'invio delle credenziali utente nella forma DOMINIO\nomeutente.

E qui Giulio resta perplesso :

DOMINIO\nomeutente è diversa da WORKGROUP\nomeutente quindi ISA non mi autenticherà mai a meno che DOMINIO = WORKGROUP.

Dico fesserie o sono sulla strada giusta ?

quote:
o' di macumba sulla Firewall Policy


o il trucco è qui ?


Ciao Giulio.


P.S. : Hai risposto alle 3.30, allora le cose sono tre :

1) Soffri di insonnia
2) Non sei umano
3) Hai un pargoletto

:-)

Giulio Martino
Avaya IP Office TCLA

Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni.
lconte Posted - 30/01/2007 : 03:30:53
non riesco a comprendere cosa ti lascia perplesso. Tieni conto che parliamo di ISA in Workgroup e Utente1/Client in Dominio.

Sul client è installato FWC.

ISA non puo' accedere alle credenziali utente del dominio quindi fa il massimo sforzo per capire chi sei sfruttando le informazioni passate dal FWC mediante lo schema di autenticazione NTLM. Creo Username/Password su ISA di Utente1 "uguali" a quelle in dominio con cui si logga sul Client + un po' di macumba sulla Firewall Policy per fare si che funzioni il tutto .

Creo una Access Policy con Authenticated Users da INT > EXT ed il gioco e' fatto.

Luca Conte
MCSE:Security MCT MCSA:Security

Fondatore di ISAServer.it
**********************************************
- Blog: http://www.isaserver.it/blog
- Articoli: http://www.isaserver.it/articoli
- Forum: http://www.isaserve.it/forum

per ulteriori info scrivi una mail a lconte<at>isasever<d0t>it.
---------------------------------------------------------
Sito web personale: http://www.lucaconte.it
**********************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni.
IsaCab Posted - 29/01/2007 : 20:34:42
Luca perdonami, ma non credo di aver capito molto bene, saresti così gentile da spiegarmi meglio questi passaggi :

quote:
replichi username/password sulla SAM di ISA. Il firewall client passa Username/Password dell'utente loggato; se sono corrispondenti allora esci altrimenti non esci.


Ma se le credenziali vegono fornite nella forma :

user@dominio

op. DOMINIO\user

non corrisponderanno mai...... a meno che il workgroup della macchina ISA corrisponda al nome dominio.

Giusto ?






Giulio Martino
Avaya IP Office TCLA

Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni.
lconte Posted - 29/01/2007 : 20:28:07
replichi username/password sulla SAM di ISA. Il firewall client passa Username/Password dell'utente loggato; se sono corrispondenti allora esci altrimenti non esci.
L'incubo è: Come gestire la sincronizzazione Username/Password fra l'account di dominio e l'account in ISA, specialmente quando hai delle Password Policy di dominio?
ISA non fa autenticazione dell'account macchina.

Luca Conte
MCSE:Security MCT MCSA:Security

Fondatore di ISAServer.it
**********************************************
- Blog: http://www.isaserver.it/blog
- Articoli: http://www.isaserver.it/articoli
- Forum: http://www.isaserve.it/forum

per ulteriori info scrivi una mail a lconte<at>isasever<d0t>it.
---------------------------------------------------------
Sito web personale: http://www.lucaconte.it
**********************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni.
IsaCab Posted - 29/01/2007 : 20:12:30
quote:
Originally posted by info@isaserver.it

Il tuo discorso non fa una grinza, ma se non hai IAS?

Luca Conte
MCSE:Security MCT MCSA:Security

Fondatore di ISAServer.it
**********************************************
- Blog: http://www.isaserver.it/blog
- Articoli: http://www.isaserver.it/articoli
- Forum: http://www.isaserve.it/forum

per ulteriori info scrivi una mail a lconte<at>isasever<d0t>it.
---------------------------------------------------------
Sito web personale: http://www.lucaconte.it
**********************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni.



Lo installo!!! :-)))

Scherzo, e questa volta la sparo :

Nell'application.ini del firewall client esiste una voce che dice :

ForceCredentials se messo a 1 dovrebbe forzare l'uso delle credenziali utente oltre che di quelle inserire al logon della macchina, ma dove si impostano o meglio da dove le prende queste altre credenziali ?


Ciao Giulio

Giulio Martino
Avaya IP Office TCLA

Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni.
lconte Posted - 29/01/2007 : 19:56:11
Il tuo discorso non fa una grinza, ma se non hai IAS?

Luca Conte
MCSE:Security MCT MCSA:Security

Fondatore di ISAServer.it
**********************************************
- Blog: http://www.isaserver.it/blog
- Articoli: http://www.isaserver.it/articoli
- Forum: http://www.isaserve.it/forum

per ulteriori info scrivi una mail a lconte<at>isasever<d0t>it.
---------------------------------------------------------
Sito web personale: http://www.lucaconte.it
**********************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni.
IsaCab Posted - 29/01/2007 : 19:00:09
quote:
Originally posted by info@isaserver.it

Il punto 1. e' chiaro!
Si replica nella SAM di ISA gli account - Username/Password - degli user del workgroup.

Il punto 2., rovesciamo lo scenario:

1. Dominio AD
2. PC1 in dominio con FWC installato
3. ISA1 fuori del dominio in Workgroup

Abilito l'autenticazione su ISA...Quali credenziali passa il firewall client ad ISA?

Luca Conte
MCSE:Security MCT MCSA:Security

Fondatore di ISAServer.it
**********************************************
- Blog: http://www.isaserver.it/blog
- Articoli: http://www.isaserver.it/articoli
- Forum: http://www.isaserve.it/forum

per ulteriori info scrivi una mail a lconte<at>isasever<d0t>it.
---------------------------------------------------------
Sito web personale: http://www.lucaconte.it
**********************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni.



Il Firewall Client passerà le credenziali con cui si è loggato e quindi :

1) Se è loggato in locale passerà user e pwd di workgroup workgroup\user + pwd
2) Se è loggato nel dominio passerà user e pwd di dominio user@dominio op. Dominio\user + pwd

e in questo caso implemento un bel radius è ho risolto la fase di autetnicazione con utenti di dominio per ISA non nel dominio.

Giusto ?

Ciao Giulio

Giulio Martino
Avaya IP Office TCLA

Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni.
lconte Posted - 29/01/2007 : 18:52:44
Il punto 1. e' chiaro!
Si replica nella SAM di ISA gli account - Username/Password - degli user del workgroup.

Il punto 2., rovesciamo lo scenario:

1. Dominio AD
2. PC1 in dominio con FWC installato
3. ISA1 fuori del dominio in Workgroup

Abilito l'autenticazione su ISA...Quali credenziali passa il firewall client ad ISA?

Luca Conte
MCSE:Security MCT MCSA:Security

Fondatore di ISAServer.it
**********************************************
- Blog: http://www.isaserver.it/blog
- Articoli: http://www.isaserver.it/articoli
- Forum: http://www.isaserve.it/forum

per ulteriori info scrivi una mail a lconte<at>isasever<d0t>it.
---------------------------------------------------------
Sito web personale: http://www.lucaconte.it
**********************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni.

ISAserver.it Forum © 2004-2014 Luca Conte - Tutti i diritti riservati Go To Top Of Page
Powered By: Snitz Forums 2000 Version 3.4.06


No banner in farm

ISAServer.it sostiene la campagna per la riduzione del riscaldamento globale e un uso più efficiente dell'energia da parte delle infrastrutture tecnologiche


ISAserver.it è parte del network GITCA - Global IT Community Association