none
TMG Integrierte Anmeldung und zusätzlich Anmeldeaufforderung möglich? RRS feed

  • Frage

  • Hallo,

    Momentan setzen wir bei uns im Betrieb auf den MS ISA 06 Server als Proxylösung, wir wollen allerdings jetzt umstellen auf
    den MS Forefront Threat Management Gateway (TMG).
    Das ist auch soweit erstmal kein Problem gewesen, aber ich stoße jetzt auf ein Problem, an dem ich mir die Zähne grade ausbeiße.

    Und zwar ist es so, dass auf dem alten Server für die Authetifizierung der Benutzer am Proxy, um aufs Internet zugreifen zu dürfen,
    ein RADIUS-Dienst eine Benutzerkennung mit Passwort abfragt. Diese Anmeldung soll jetzt entfallen, der TMG bietet als
    Authentifizierungsmöglichkeit auch eine "Integrierte Auth." an, hierbei wird der als Benutzerkennung der angemeldete Benutzer genommen.

    Dieser wird, so habe ich es zumindest eingestellt ;), mit der der WWW-Benutzer Gruppe verglichen, wenn dieser Benutzer in dieser
    Gruppe ist wird er automatisch durchgewinkt. Das funktioniert, ohne Probleme.

    Jetzt aber soll es so sein, dass falls der Benutzer nicht in der WWW-Benutzer Gruppe ist, dieser eine Anmeldeaufforderung bekommt
    (quasi so wie vorher), sodass andere Benutzer, die die Berechtigung haben sich am Proxy auth. können ohne den anderen Nutzer abmelden zu müssen.
    Diese Aufforderung soll aber nicht über den RADIUS-Dienst laufen.

    Das bekomme ich beim besten Willen gerade nicht hin, eine Kollege sagte mir, dass er mal darüber gelesen hätte, das also prinzipiell
    möglich wäre, er wüßte nur nicht mehr wo.
    Ich hoffe, dass mir jemand helfen kann, oder mich zumindest mich in die richtige Richtung schubst face-smile

    Gruß newbay
    • Typ geändert Newbay Mittwoch, 13. Oktober 2010 07:39
    • Typ geändert Newbay Mittwoch, 13. Oktober 2010 09:26
    Mittwoch, 13. Oktober 2010 06:59

Antworten

  • So Problem hat sich erledigt, es braucht jetzt nur noch die integrierte Auth. und im IE muss unter "Erweitert" die "Integrierte Windows Authetifizierung aktivieren" deaktiviert sein.

     

    Danke nochmal an alle für die schnellen Hilfestellungen.

    Mittwoch, 13. Oktober 2010 12:21

Alle Antworten

  • Hi,

    die funktion musst du mit folgendem Skript wieder aktivieren:

    http://msdn.microsoft.com/en-us/library/ms826234.aspx

    Gruß

    Christian

     

     


    Christian Groebner MVP Forefront
    Mittwoch, 13. Oktober 2010 07:11
    Moderator
  • Hi,

    dann musst Du zusaetzlich zu der integrierten Authentifizierung im TMG noch die Basic Authentication aktivieren, dann kommt ein Popup Fenster bei Usern wo nicht die integrierte Auth. durchgeschleift wird:
    Kann man auch programmatisch machen mit COM Objekten:
    http://msdn.microsoft.com/en-us/library/ms826234.aspx


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Mittwoch, 13. Oktober 2010 07:12
    Moderator
  • Vielen Dank!

    Funktion ist wieder aktiviert, habe jetzt allerdings noch das Problem, dass unter Windows XP im Internet Explorer bei der Abfrage nach dem Benutzer auch noch die Domäne angegeben werden muss (domäne\user), das man das Umstellen kann weiß ich ich weiß leider nur nicht mehr wo. Unter Windows 7 nimmt er automatisch die Domäne zur Authentifizierung.

    Hoffe ihr könnt mir hier auch nochmal kurz behilflich sein?.

     

    Mittwoch, 13. Oktober 2010 07:26
  • Hi,

    TMG Verwaltungskonsole - Vernetzung - Netzwerk Intern und dort "Authentifizierungsserver" - Domaene auswaehlen


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Mittwoch, 13. Oktober 2010 08:00
    Moderator
  • Hi,

    Soweit hab ich die Domäne dort schon angegeben, das Problem scheint eher an XP respektive dem IE zu liegen, ´da ich dieses unter Windows 7 nicht nachvollziehen kann.

    Mal ein Bild, nur um sicherzugehen, dass ihr wisst was ich meine :)
    http://i54.tinypic.com/atuhk3.png

    Aber trotzdem danke für die schnelle und qualifizierte Hilfe!

    Mittwoch, 13. Oktober 2010 08:16
  • Hi,

    in den Eigenschaften der Netzwerkobjekts Intern kannst du unter der Registerkarte Webproxy unter der Schaltfläche Authentifizierung eine Standarddomäne hinterlegen.

    Gruß

    Christian

     


    Christian Groebner MVP Forefront
    • Als Antwort markiert Newbay Mittwoch, 13. Oktober 2010 10:00
    • Tag als Antwort aufgehoben Newbay Mittwoch, 13. Oktober 2010 10:00
    Mittwoch, 13. Oktober 2010 09:52
    Moderator
  • Hi,

    habe ich bereits getan, das Problem besteht allerdings weiterhin und zwar nur unter Windows XP.
    Wie kann ich unter Win XP eine Standarddomäne hinterlegen, so dass diese Aufforderung direkt an die Domäne geht, wie z.B. unter Windows 7 es der Fall ist.

    Unter Win 7 habe ich nämlich bei der Aufforderung nicht mehr als Domäne "Proxy-Server" sonder "FQDN der Domäne" stehen.

    Mittwoch, 13. Oktober 2010 10:04
  • So Problem hat sich erledigt, es braucht jetzt nur noch die integrierte Auth. und im IE muss unter "Erweitert" die "Integrierte Windows Authetifizierung aktivieren" deaktiviert sein.

     

    Danke nochmal an alle für die schnellen Hilfestellungen.

    Mittwoch, 13. Oktober 2010 12:21
  • Hi,

    gut zu hören, dass es jetzt funktioniert.

    Wie die integrierte Authentifizierung allerdings stattfinden soll, wenn die im IE deaktiviert ist, ist mir ein Rätsel, aber man muss nicht alles verstehen :-)

    Gruß

    Christian

     


    Christian Groebner MVP Forefront
    Mittwoch, 13. Oktober 2010 13:12
    Moderator
  • Hallo zusammen,
    sorry wenn ich das nochmals aufwärme. Wir haben bei uns auch einige Vertriebler die nicht in der Domäne sind. Bei der Authentifizierung sind bei mir Standard und Integriert aktiviert. Bei mir kommt aber kein Anmeldefenster. Braucht man dazu noch separat eine FW Regel?

     

    Viele Grüße

    A. Speerle

    Mittwoch, 13. Juli 2011 18:10
  • Hi,

    das im Thread genannte Script hilft nicht?
    Eine zusaetzliche Firewallregel brauchst Du nicht
    Geht es bei keinem Nicht Domaenenmitglied? Welcher Browser wird verwendet?


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Mittwoch, 13. Juli 2011 18:21
    Moderator