none
Validarme con Usuarios de Directorio Activo con Isa Server RRS feed

  • Pregunta

  • Buenas necesito de su ayuda.El problema que quiero resolver es el siguiente:

    Tengo en un servidor DNS,DCHP y Exchange en un servidor (mi dominio es willybusch.com.pe) y en otro tengo mi isa server normal cuando pongo las reglas en mi isa server 2004.Cuando los usuarios que no se validan al dominio y quieren salir por internet  le sale un cuadro donde tiene que validarse.

    El probelma es en que los usuarios de windows 2000 le sale:

    la direccion de mi proxy(no quiero que se muestre mi direccion)

    usuario:

    contraseña:

    dominio:

    (el domino no quiero que salga sino lo tome por default)

    y el otro problema es que lo usuarios de windows xp le sale:

    la direccion de mi proxy(no quiero que se muestre mi direccion)

    usuario:

    contraseña:

    (en el usuario tengo que digitar no solo el usuario si todo el dominio Ej. usuario@willybusch.com.pe)

    Habra una forma para poder evitar eso.Por favor me gustaria su ayuda es muy urgenete ya que me gustaria con eso dale mas seguridad a mi red.

     

    jueves, 1 de febrero de 2007 20:32

Respuestas

  • Hola!

    Creo que la mejor solución seria dejar la autenticación integrada, ya que cuando los usuario invitados que no están en el dominio intenten entrar al internet, el ISA les pedirá la autenticación como si fuera la Básica, siempre y cuando tengan el servidor proxy configurado en el explorador o tú tengas la opción de que detecten el proxy automáticamente... Como van a ser invitados y no necesitan una cuenta en el dominio te recomiendo que crees una cuenta de "invitado" en el dominio para que la usen en común, así te evitaras crear una cuenta para cada una de las personas que te visitaran. A esta cuenta puedes crearle una regla en el isa para que no utilicen todos los protocolos a la hora de visitar el internet (http, https, etc...), puedes activarle la opcion de que nunca se venza y que no puedan cambiarle la contraseña.

    Lo de no mostrar el nombre es casi imposible porque la única forma de no mostrarlo seria configurando los clientes por IP o SecureNAT como te mencione anteriormente.

    OJO:
    Con la autenticacion Basica estas expuesto a que un usuario que este haciendo sniffing (escuchando los puertos en la red) pueda capturar los passwords que van a parar al ISA. Por eso si capturan la cuenta de "invitado" no van a parar a ninguna parte y no les va a servir de nada.

    sábado, 3 de febrero de 2007 19:58
  • Gracis por la ayuda me sirvio de mucho.Mas adlante te seguire molestando para que me sigas ayudando.Gracias nuevamente.
    jueves, 8 de febrero de 2007 13:56

Todas las respuestas

  • Hola Natoman!

    Eso es sencillo... tienes que configurar la autenticacion integrada en el ISA en la parte de tu red interna.

    En la consola de administracion del ISA te vas a la parte de configuration, despues a network y despues a internal. Le das un click derecho y seleccionas propiedaddes.
    En la peldaña de Web Proxy te vas a authentication y solo seleccionas integrated y cotejas la opcion de abajo que dice "Require all users to authenticate", aplicas esto y listo!

    jueves, 1 de febrero de 2007 20:52
  • Hola Cesar:

    Segui lo pases que me indicastes ya lo tenia configurado asi..........sigue igual.

    El problema es en que los usuarios de windows 2000 cuando entran al internet se validan y le sale:

    la direccion de mi proxy(No quiero que se muestre mi direccion)

    usuario:

    contraseña:

    dominio:

    (el domino no quiero que salga sino lo tome por default)

    y el otro problema es que lo usuarios de windows xp cuando entran al internet se validan y le sale:

    la direccion de mi proxy(no quiero que se muestre mi direccion)

    usuario:

    contraseña:

    (en el usuario tengo que digitar no solo el usuario si todo el dominio Ej. usuario@willybusch.com.pe) solo quisiera que digite el usuario nada mas,mas no con el dominio.

    Por favor ayudame .Gracias.

    viernes, 2 de febrero de 2007 13:25
  • Natoman... Creo que la "maqué" (meti la pata), no lei muy bien la primera pregunta.

    Tienes un pequeño problema y es que si los usuarios no se validan en el computador al inicio de sesion entonces el ISA te preguntara el usuario y contraseña del dominio en el que estas.

    La unica forma de que este error no te salga es que pongas a los usuarios a conectarse al isa mediante direcciones IP y no validando los usuarios o que los conectes secure NAT pero no te lo recomiendo.

    viernes, 2 de febrero de 2007 17:09
  • Hola Cesar:

    Gracias nuevamente por responderme.La mayoria de mis usuarios de van a validar en el dominio,pero hay usuarios invitados que saldran por mi proxy,y ellos no quieron que se validen a mi dominio sino nada mas que salgan por mi porxy apuntando su gateway de su pc's y dns al mio.Para ellos quiero que se validen al momento de entrar al internet.Lo que hize es en configuracion de isa,en internal en la ficha web porxy,autentificacion elegi basica.Entonces cuando se validan ya no tienen que digitar el dominio mi dominio sale encriptado ya en el cuadro de validacion aunque sale asi: sv-siste05.willybusch.com.pe el nombre de sv-siste05 es el nombre de mi servidor isa habra una forma de no mostralo.Pero sabes cual es el problema a los que si se validan a mi dominio es decir los usuarios internos ellos cuando entran a internet les pide validarse de nuevo y para ellos tengo k elegir en la configuracion del isa server integrada.

    Entonces cual seria la mejor solucion.Gracias de antemano.

    sábado, 3 de febrero de 2007 15:51
  • Hola!

    Creo que la mejor solución seria dejar la autenticación integrada, ya que cuando los usuario invitados que no están en el dominio intenten entrar al internet, el ISA les pedirá la autenticación como si fuera la Básica, siempre y cuando tengan el servidor proxy configurado en el explorador o tú tengas la opción de que detecten el proxy automáticamente... Como van a ser invitados y no necesitan una cuenta en el dominio te recomiendo que crees una cuenta de "invitado" en el dominio para que la usen en común, así te evitaras crear una cuenta para cada una de las personas que te visitaran. A esta cuenta puedes crearle una regla en el isa para que no utilicen todos los protocolos a la hora de visitar el internet (http, https, etc...), puedes activarle la opcion de que nunca se venza y que no puedan cambiarle la contraseña.

    Lo de no mostrar el nombre es casi imposible porque la única forma de no mostrarlo seria configurando los clientes por IP o SecureNAT como te mencione anteriormente.

    OJO:
    Con la autenticacion Basica estas expuesto a que un usuario que este haciendo sniffing (escuchando los puertos en la red) pueda capturar los passwords que van a parar al ISA. Por eso si capturan la cuenta de "invitado" no van a parar a ninguna parte y no les va a servir de nada.

    sábado, 3 de febrero de 2007 19:58
  • Gracis por la ayuda me sirvio de mucho.Mas adlante te seguire molestando para que me sigas ayudando.Gracias nuevamente.
    jueves, 8 de febrero de 2007 13:56