| Author |
 Topic  |
|
|
IsaCab
Moderator
3814 Posts |
 Posted - 21/11/2006 : 17:35:15
|
[SCENARIO]
Win2003 Server con DC + AD
Win2003 Server Server Membro di AD con ISA2004
[Regole]
Ho abilitato il WebProxy e l'accesso ad internet solo agli utenti che appartengono al gruppo di protezione Utenti Internet presente in AD.
[Problema]
Tutto funziona correttamente, nel senso che gli utenti inseriti nel gruppo Utenti Internet navigano e gli altri no.
Ora vorrei che per gli utenti che non possono navigare,se cercano di andare su internet con IE, venisse presentata una maschera di autenticazione, dove se inserite le opportune credenziali, mi permetta la navigazione.
Su ISA 2000 funzionava così e lo trovavo comodo.
Come si fa su 2004 ?
Grazie in anticipo
Giulio
---------------------------------------------------------------------------
Cert.: Avaya IP Office Technical Curriculum Level Assessment
http://www.isaserver.it/articoli.htm
http://www.isaserver.it/forum/forum.asp?FORUM_ID=22 |
|
|
lconte
Amministratore del Forum
1823 Posts |
Posted - 21/11/2006 : 20:54:05
|
Hai un gruppo di utenti abilitati all'accesso Internet - Utenti Internet -.
Nella regola che consente il traffico Internet - HTTP/HTTPS - e' presente solo il gruppo Utenti Internet =>
Solo ed esclusivamente gli account utente presenti in quel gruppo possono uscire e nessun altro.
Non puoi forzare ISA affinche' consenta la navigazione Internet ad utenti che non fanno parte del gruppo Utenti Internet.
Dato per assodato questo concetto e' il caso di verificare quali schemi di autenticazione implementi per il traffico Web Proxy.
Le credenziali dell'utente loggato al dominio sono passate automaticamente ad ISA Server mediante l'autenticazione Integrata, non viene visualizzata la finestra di richiesta credenziali. In un dominio con IE utilizzi sempre questa di default.
Se invece vuoi permettere la navigazione agli utenti del dominio indipendentemente dalle credenziali con cui hanno fatto logon, allora non devi utilizzare l'autenticazione Integrata. Devi utilizzare la BASIC o la DIGEST (in ISA 2004 con W2k3 hai la nuovissima WDIGEST); in questo modo ti viene visualizzata la finestra di richiesta credenziali. Per ottenere questo risultato devi "disabilitare" l'autenticazione integrata o su ISA o su IE.
Gli schemi di autenticazione li trovi nelle proprieta' dell'oggetto network Internal / Web Proxy.
Buon lavoro con ISAServer.it..
Luca Conte
MCSE MCT MCSA
Ideatore di ISAServer.it
**********************************************
- Analisi e Progettazione di infrastrutture sicure
- Consulenza tecnica e affiancamento
- Security Testing
- Training on the Job
- Seminari tecnici su tecnologie Microsoft
per ulteriori info scrivi una mail a lconte<at>isasever<d0t>it.
---------------------------------------------------------
Sito web personale: http://www.lucaconte.it
********************************************** |
 |
|
|
IsaCab
Moderator
3814 Posts |
Posted - 22/11/2006 : 08:51:48
|
Ciao Luca, e grazie per la risposta.
Si in effetti mi interessa solo che il web proxy, nel caso in cui le credenziali di logon non siano sufficenti a garamtirmi l'accesso ad internet, mi chieda delle nuove credenziali che se velide mi permettano di uscire. Mi è necessario, perchè l'azienda è grossa, e a volte mi capita di andare a lavorare su macchine loggate con utenti che hanno delle restrizioni ma che usano applicativi sui quali faccio manutenzione, e quindi in quel caso senza riloggarmi inserisco in IE le mie credenziali e vado su internet.
Ce le avevo sotto il naso..... Sto diventando cieco!! :-))
Provo e posto i risultati.
Ciao Giulio
---------------------------------------------------------------------------
Cert.: Avaya IP Office Technical Curriculum Level Assessment
http://www.isaserver.it/articoli.htm
http://www.isaserver.it/forum/forum.asp?FORUM_ID=22 |
|
|
|
lconte
Amministratore del Forum
1823 Posts |
Posted - 22/11/2006 : 09:50:07
|
Ciao Giulio,
se il problema e' solo questo ed interessa "solo te" allora utilizza il secondary logon. Non tocchi niente su ISA e sul client.
Ti basta lanciare, dal client di dominio su cui stai facendo manutenzione, il seguente comando:
runas /user:mydomain\myadminaccount "%programfiles%\Internet Explorer\iexplore.exe"
inserisci la tua password ed esci su Internet. Ovviamente il tuo account deve essere membro del gruppo Utenti Internet.
Se non ti piace lo script allora puoi usare il tasto destro del mouse su IE ed utilizzi il Runas o Esegui Come.
Luca Conte
MCSE MCT MCSA
Ideatore di ISAServer.it
**********************************************
- Analisi e Progettazione di infrastrutture sicure
- Consulenza tecnica e affiancamento
- Security Testing
- Training on the Job
- Seminari tecnici su tecnologie Microsoft
per ulteriori info scrivi una mail a lconte<at>isasever<d0t>it.
---------------------------------------------------------
Sito web personale: http://www.lucaconte.it
********************************************** |
|
|
|
IsaCab
Moderator
3814 Posts |
Posted - 22/11/2006 : 10:00:34
|
Buongiorno Luca,
in realtà, vorrei rendere standard la cosa, per fare in modo che anche gli utenti del ced e chiunque abbia le giuste credenziali possa operare su internet.
Spiego meglio la condizione specifica oltre alla mia. Ci sono un a serie di macchine inserite nel magazzino che si loggano con utenti con restrizioni. Su queste macchine, intervengono anche persone dedicate alla manutenzione dell'impianto automatico che a volte hanno la necessità di andare su internet, e non hanno molta dimestichezza con i pc. Con Isa2000 il sistema funzionava già in questo modo, e mi piacerebbe ridare lo stesso servizio.
Ciao Giulio
---------------------------------------------------------------------------
Cert.: Avaya IP Office Technical Curriculum Level Assessment
http://www.isaserver.it/articoli.htm
http://www.isaserver.it/forum/forum.asp?FORUM_ID=22 |
|
|
|
lconte
Amministratore del Forum
1823 Posts |
Posted - 22/11/2006 : 10:28:26
|
Se le tue macchine sono di dominio allora devi evitare che IE passi automaticamente le credenziali dell'utente loggato. In questo modo hai un account per il logon di dominio, ed un account per l'accesso ad Internet (HTTP/HTTPS).
Disabilita l'autenticazione integrata ed utilizza la Digest oppure non tocchi niente su ISA (meglio) e configuri i vari IE per non utilizzare l'autenticazione Integrata.
La digest di ISA 2004/W2k3 e' la Wdigest (dai una scorsa sull'help di ISA 2004).
Luca Conte
MCSE MCT MCSA
Ideatore di ISAServer.it
**********************************************
- Analisi e Progettazione di infrastrutture sicure
- Consulenza tecnica e affiancamento
- Security Testing
- Training on the Job
- Seminari tecnici su tecnologie Microsoft
per ulteriori info scrivi una mail a lconte<at>isasever<d0t>it.
---------------------------------------------------------
Sito web personale: http://www.lucaconte.it
********************************************** |
|
|
|
IsaCab
Moderator
3814 Posts |
Posted - 22/11/2006 : 10:41:15
|
[DIGEST]
Si ho visto, mi aspettavo sia il check digest che wdigest, invece ho visto che per disabilitare il wdigest e utilizzare il vecchio digest bisogna modificare una chiave di registro.
Per chi ci legge e fosse curioso puo' dare una lettura a questi link :
http://www.icosaedro.it/crittografia/digest.html
http://www.microsoft.com/technet/isa/2004/help/FW_DigestAuth.mspx?mfr=true
[AUTENTICAZIONE INTEGRATA]
Se faccio così però ho bisogno di effettuare una doppia autenticazione creado, e la cosa non mi piace molto (sono un rompi scatole lo so!! :-)) anche perchè tutta gli utenti del callcenter aziendale (non il classico callcenter), accedono alla posta usando owa (Server Interno) e la cosa bella con l'autenticazione integrata e che aprendo IE su OWA mi porta direttamente sull'account di login, e non solo, immagino già le proteste di utenti pigri che non apsettano altro che qualcosa cambi per ............ lasciamo perdere.
[TEST]
Vorrei provare una autenticazione integrata più autenticazione wdigest nel caso le credenziali fornite dalla integrata non fossero sufficenti. Se hai consigli in merito....... non esitare :-))
Ciao Giulio
---------------------------------------------------------------------------
Cert.: Avaya IP Office Technical Curriculum Level Assessment
http://www.isaserver.it/articoli.htm
http://www.isaserver.it/forum/forum.asp?FORUM_ID=22 |
|
|
|
IsaCab
Moderator
3814 Posts |
Posted - 22/11/2006 : 11:07:28
|
Ok forse ho trobato qualcosa, ma avrei bisogno del tuo conforto di Luca prima di procedere:
il documento a cui faccio riferimento è questo :
http://msdn2.microsoft.com/en-us/library/ms828072.aspx
e la chiave di registro trovata è questa :
HKLM\Software\microsoft\fpc\storage\(ssid)\ruleelements\weblisteners\(SSID)\WebListenersProperties
chiave : msFPCReturnAuthRequiredIfAuthUserDenied con valore 1
Ora mi chiedo, quele deve essere il valore giusto da inserire, a rigor di logica dovrebbe essere 0 ma ........
Ciao Giulio
---------------------------------------------------------------------------
Cert.: Avaya IP Office Technical Curriculum Level Assessment
http://www.isaserver.it/articoli.htm
http://www.isaserver.it/forum/forum.asp?FORUM_ID=22 |
|
|
|
lconte
Amministratore del Forum
1823 Posts |
Posted - 22/11/2006 : 11:30:30
|
Infatti il vantaggio dell'autenticazione Integrata e' proprio questo. Le credenziali sono passate automaticamente.
Disabilitando la integrata hai due fasi di autenticazione: 1-Dominio, 2-Internet. L'obiettivo è passare le credenziali ed i modi che hai sono quelli definiti in ISA (Web Proxy Authentication). Se abiliti piu' metodi ISA utilizza sempre il piu' sicuro, nell'ordine: Integrated, Digest, Basic. Il metodo utilizzato dipende anche dal Browser. Con IE utilizzi sempre la integrated.
Nel momento in cui l'utente si e' loggato le credenziali sono catturate da IE (se configurato con Integrated) e passate ad ISA.
ISA valuta la regola Protocol + From + To + Schedule + User = Allow o Deny. Come passare lo User dipende dallo schema di autenticazione che implementi (ISA+Browser).
Le strade sono quelle che ti ho indicato.
Luca Conte
MCSE MCT MCSA
Ideatore di ISAServer.it
**********************************************
- Analisi e Progettazione di infrastrutture sicure
- Consulenza tecnica e affiancamento
- Security Testing
- Training on the Job
- Seminari tecnici su tecnologie Microsoft
per ulteriori info scrivi una mail a lconte<at>isasever<d0t>it.
---------------------------------------------------------
Sito web personale: http://www.lucaconte.it
********************************************** |
|
|
|
lconte
Amministratore del Forum
1823 Posts |
Posted - 22/11/2006 : 11:43:30
|
Ottimo Giulio... , e' proprio cio' che ti occorre.
Per ISA 2004 fai riferimento a questa pagina:
http://msdn2.microsoft.com/en-us/library/ms826234.aspx
La precedente fa riferimento ad ISA 2000.
Il valore che devi settare e' True. E' anche disponibile lo script VB.
Credo che questo valga un breve articolo. Penso che altri utenti ISA Server 2004 possano trovarlo utile.
I client devono essere dei Windows XP.
Sul newsgroup Microsoft dedicato ad ISA Server c'e' un post (Autenticazione ISA 2004) fresco fresco a cui potresti dare risposta. Sembra risolvibile con la tua soluzione.
Luca Conte
MCSE MCT MCSA
Ideatore di ISAServer.it
**********************************************
- Analisi e Progettazione di infrastrutture sicure
- Consulenza tecnica e affiancamento
- Security Testing
- Training on the Job
- Seminari tecnici su tecnologie Microsoft
per ulteriori info scrivi una mail a lconte<at>isasever<d0t>it.
---------------------------------------------------------
Sito web personale: http://www.lucaconte.it
********************************************** |
|
|
|
IsaCab
Moderator
3814 Posts |
Posted - 22/11/2006 : 11:43:51
|
 RISOLTO.
Di seguito posto la soluzione adottata:
Su isa 2000 esisteva una chiave di registro così come indicato nel link microsoft postato al precedente post, che di default permetteva agli utenti non autorizzati, di rifornire le credenziali alternative, invece che il messaggio di errore nel caso di accesso ad internet e non solo.
Su Isa2004 questo parametro è disabilitato di default e fa parte di un oggetto com.
Per abilitare o disabilitare questa modalità, ho trovato in rete questo script e più esattamente dai fratellini americani
[Documento]
http://www.isaserver.org/pages/newsletters/april2005.asp
[SCRIPT]
http://www.cybermesa.com/~bstewart/isa/RequestAuth.vbs
Basta eseguire sulla macchina isa lo script in questo modo :
RequestAuth.vbs /network:Internal /enable
e il gioco è fatto.
FUNZIONA
Ciao e buon lavoro
---------------------------------------------------------------------------
Cert.: Avaya IP Office Technical Curriculum Level Assessment
http://www.isaserver.it/articoli.htm
http://www.isaserver.it/forum/forum.asp?FORUM_ID=22 |
|
|
|
IsaCab
Moderator
3814 Posts |
|
|
lconte
Amministratore del Forum
1823 Posts |
Posted - 22/11/2006 : 11:59:35
|
Ciao Giulio,
ti riporto i rank di ISAServer.it:
* - 10 post
** - 50 post
*** - 200 post
**** - 450 post
***** - 1000 post
come vedi anche per me la strada e' lunga...
Buon lavoro...
Luca Conte
MCSE MCT MCSA
Ideatore di ISAServer.it
**********************************************
- Analisi e Progettazione di infrastrutture sicure
- Consulenza tecnica e affiancamento
- Security Testing
- Training on the Job
- Seminari tecnici su tecnologie Microsoft
per ulteriori info scrivi una mail a lconte<at>isasever<d0t>it.
---------------------------------------------------------
Sito web personale: http://www.lucaconte.it
********************************************** |
|
|
| |
Topic |
|
Web Proxy e Autenticazione Client
