none
Autenticacion TMG RRS feed

  • Pregunta

  • Cordial Saludo,

    Tengo el siguiente escenario: Una red interna con tres direccionamientos 192.X.X.X, 172.X.X.X y 10.X.X.X. El direccionamiento 10.X.X.X corresponde a equipos de usuarios invitados que haran uso del servicio de Internet a través del Forefront TMG.  El caso es que se requiere que los usuarios invitados puedan navegar en Internet pero sin que se requiera autenticación, pero los demás usuarios ingresen con autenticación integrada al directorio activo. Si ingreso la ruta 10.X.X.X en la red interna del TMG, a los usuarios invitados les pide autenticación, si retiro esta subred de la red interna, el TMG toma el tráfico como spoofed. La red 10.X.X.X esta configurada como una ruta estática pero sigue apareciendo el mismo error. Si retiro la subred 10.x.x.x de la red interna del TMG me deniega el trafico DNS. He creado reglas para eso, pero sigue denegandolo.

    Quisiera saber si debo cambiar el modo de autenticación o cómo debo configurar la reglas de manera que los usuarios internos requieran autenticación para la navegación y los invitados también puedan acceder sin requerir datos de autenticación.

     

    Muchas Gracias,

    PaulaZ. 

     

    viernes, 8 de julio de 2011 19:45

Respuestas

  • Hola Paula

    Tu problema es muy común... Acá solo tienes dos posibles caminos (para usar el esquema que propones) lo que tendrias que hacer es ponerle una tarjeta de red adicional a TMG configurarla con la 10.x.x.x y de alguna manera (alambrica o inalambrica) entregarle a tus invitados una IP de ese rango, obviamente tambien debes de crear una regla que permita el trafico de esa red hasta internet...

    Por otro lado podrias seleccionar una rango de tu LAN que este como excepcion en el DHCP y creas una regla que permita el trafico desde ese rango de red hasta la red externa y que aplique para todos los usuarios, para que esto te funcione, debes de asegurarte que la opción "todos los usuarios requieren autenticacion" no este marcada con un check, esta opcion la encuentra en: Networking > Networks > Internal (clic derecho) > Properties > Web Proxy > Authentication

    Como recomendacion te puede decir que la mejor forma y ademas la mas segura es poner una NIC extra ya que si haces un Split de la LAN (como la segunda opcion) corres el riesgo que equipos que no son de tu red tengan acceso a ella y pueden meterte algun Malware o puedan representar algun riesgo para tu LAN, claro que mucho de esos riesgo se podrian reducir implementando NAP, sin embargo yo creo que es mejor la NIC adicional.

     

    Saludos,


    Jimcesse
    • Propuesto como respuesta Ismael Borche martes, 12 de julio de 2011 15:21
    • Marcado como respuesta Ismael Borche viernes, 15 de julio de 2011 14:35
    viernes, 8 de julio de 2011 21:06
    Moderador