locked
Serveur TMG Ou ISA avec demande d'authentification RRS feed

  • Question

  • Bonjour,

    Est-il possible d'installer un serveur TMG sur un réseau déjà existant, avec une AD, ne pas mettre le TMG sur ce même domaine (en workgroup).

    Et que les clients s'authentifient à chaque ouverture de IE via un popup ou un formulaire d'authentification par un utilistateur et mot de passe?

    Est ce compliqué à mettre en place?

    Par avance merci

    lundi 7 février 2011 22:35

Réponses

  • Bonjour,

    Dans le cas ou TMG n'est pas dans le domaine AD des utilisateurs et dans un contexte de Forward Proxy, les utilisateurs IE et FF auront un popup d'authentification HTTP. Cependant, les petites entreprises dépourvues de sécurité peuvent autoriser la fameuse case : "Enregistrer le mot de passe". Ainsi, les utilisateurs ne l'auront qu'une fois car la session du profil Windows conservera le mot de passe. Ils ne seraient donc plus invités à resaisir le mot de passe ultérieurement. Pour finir, il n'existe pas de solutions pour fournir un formulaire d'authentification dans ce contexte là.

    Et pourquoi ne pas mettre le serveur TMG dans le domaine ? Cela ne fait pas de modifications importantes. C'est tout comme si on insérait une station de travail dans le domaine.

    Concernant le client TMG, il n'y a pas de forte raisons de l'ajouter dans les clients; là par contre ça fait une grosse modifications sur les postes (LSP/NSP) et n'apportent pas réélement de grands avantages dans le contexte expliqué. Pour la configuration, par défaut IE est en découverte automatique. Une modification DNS ou DHCP suffirai à configurer le WPAD facilement. Sinon, on peut encore tout simplement utiliser une GPO pour configurer tous les IE. Et comme Firefox par défaut, utilise les paramètres IE dans les dernières version, alors aucune conf supplémentaire ne sera nécéssaire.

    Une petite note concernant le FTP, si TMG est utilisé en mode "carte réseau unique", seul le flux FTP over HTTP sera possible.

    Et voilà un lien qui explique configurer une stratégie d'accès Web : http://www.isaserver.org/tutorials/Creating-Web-Access-Policy-Forefront-Threat-Management-Gateway-TMG-Beta-1-Part1.html

    Bonne journée,
    Alex


    GIRAUD Alexandre - MVP Forefront France http://www.alexgiraud.net/blog
    dimanche 13 février 2011 23:11

Toutes les réponses

  • Bonjour,

    Bonjour,

    Est-il possible d'installer un serveur TMG sur un réseau déjà existant, avec une AD, ne pas mettre le TMG sur ce même domaine (en workgroup).

    Oui

    Et que les clients s'authentifient à chaque ouverture de IE via un popup ou un formulaire d'authentification par un utilistateur et mot de passe?

    Normalement via une pop-up.

    Est ce compliqué à mettre en place?

    Tout dépend de la politique sécurité et de ce que vous souhaitez mettre en place.
    Follow me on Twitter http://www.twitter.com/liontux | My Blog (French/English) : http://security.sakuranohana.fr/
    mardi 8 février 2011 12:29
  • Bonjour,

     

    Ok, merci, vous connaissez pas un site avec un tuto?

     

     

    jeudi 10 février 2011 12:14
  • Bonsoir,

    Pourriez vous donner plus de détails sur le scénario que vous souhaiteriez mettre en place afin de vous fournir un tuto adapté à vous besoin.


    Follow me on Twitter http://www.twitter.com/liontux | My Blog (French/English) : http://security.sakuranohana.fr/
    jeudi 10 février 2011 22:56
  • Bojour,

    En fait, un client me demande de bloquer des access a certains site à des utilisateurs. le réseau actuel comprend un serveur et des postes de travail. Je n'ai pas la maitrise ni l'envie de vouloir toucher à ce réseau. Mon idée était de placer le TMG sur la connexion internet sans toucher au réseau local. Après est il possible que les utilistateurs puissent s'authentifier à chaque connexion de IE firefox ou autre pour tout ce qui est Http, https  et FTP ?  Faut il le client TMG sur les postes ? Beaucoup de poste sont en libre service et chaue utilisateur aurait son propre login, qui n'aurait rien à voir avec le compte système du poste client.

    Maintenant, je ne sais pas si c'est réalisable. 

    Par avance merci

    vendredi 11 février 2011 09:53
  • Bonsoir,

    En fait, un client me demande de bloquer des access a certains site à des utilisateurs. 

    C'est tout à fait possible en créant une règle de deny vers ces sites.

    Après est il possible que les utilistateurs puissent s'authentifier à chaque connexion de IE firefox ou autre pour tout ce qui est Http, https et FTP ? Faut il le client TMG sur les postes ? Beaucoup de poste sont en libre service et chaue utilisateur aurait son propre login, qui n'aurait rien à voir avec le compte système du poste client. Maintenant, je ne sais pas si c'est réalisable. 

    C'est possible et vous avez raison le mieux serait d'avoir le client TMG afin "d'auto configurer" les différents navigateurs et transmettre plus simplement l'authentification au serveur TMG.

     

    Enfin pour créer un accès internet via le noeud Web Policy le wizard va créer pour vous les règles par défaut que vous pourrez modifier à votre convenance.


    Follow me on Twitter http://www.twitter.com/liontux | My Blog (French/English) : http://security.sakuranohana.fr/
    vendredi 11 février 2011 20:38
  • Ok mais je ne sais pas comment il faut faire pour avoir un popup quand l'utilisateur va initier sa connexion via son avigateur.
    vendredi 11 février 2011 21:19
  • Bonjour,

    Dans le cas ou TMG n'est pas dans le domaine AD des utilisateurs et dans un contexte de Forward Proxy, les utilisateurs IE et FF auront un popup d'authentification HTTP. Cependant, les petites entreprises dépourvues de sécurité peuvent autoriser la fameuse case : "Enregistrer le mot de passe". Ainsi, les utilisateurs ne l'auront qu'une fois car la session du profil Windows conservera le mot de passe. Ils ne seraient donc plus invités à resaisir le mot de passe ultérieurement. Pour finir, il n'existe pas de solutions pour fournir un formulaire d'authentification dans ce contexte là.

    Et pourquoi ne pas mettre le serveur TMG dans le domaine ? Cela ne fait pas de modifications importantes. C'est tout comme si on insérait une station de travail dans le domaine.

    Concernant le client TMG, il n'y a pas de forte raisons de l'ajouter dans les clients; là par contre ça fait une grosse modifications sur les postes (LSP/NSP) et n'apportent pas réélement de grands avantages dans le contexte expliqué. Pour la configuration, par défaut IE est en découverte automatique. Une modification DNS ou DHCP suffirai à configurer le WPAD facilement. Sinon, on peut encore tout simplement utiliser une GPO pour configurer tous les IE. Et comme Firefox par défaut, utilise les paramètres IE dans les dernières version, alors aucune conf supplémentaire ne sera nécéssaire.

    Une petite note concernant le FTP, si TMG est utilisé en mode "carte réseau unique", seul le flux FTP over HTTP sera possible.

    Et voilà un lien qui explique configurer une stratégie d'accès Web : http://www.isaserver.org/tutorials/Creating-Web-Access-Policy-Forefront-Threat-Management-Gateway-TMG-Beta-1-Part1.html

    Bonne journée,
    Alex


    GIRAUD Alexandre - MVP Forefront France http://www.alexgiraud.net/blog
    dimanche 13 février 2011 23:11
  • Bonjour,

     

    Merci beaucoup pour ces precisions, je vais monter une maquette. Je n'ai pas trop eu le temps de voir cette documentation en détails. Je vais m'y mettre.

     

    Bonne soirée.

     

    mercredi 16 février 2011 16:04