none
Forefront TMG - Acesso a intenet somente para úsuarios autenticados RRS feed

 > 

  • Pergunta

  • Question
    Entrar para Votar
    0
    Entrar para Votar

    Boa tarde!

    Estou com o seguinte problema na empresa: temos uma regra que libera o acesso a intenet para os usuários, porém tenho problemas quando aplico a regra para All authenticated Users, para que somente usuários autenticados tenham acesso.

    Com a regra dessa forma alguns aplicativos não conseguem se conectar a internet, mesmo que eu inclua as informações de proxy, como o IP do servidor de proxy, usuário e senha, maualmente no aplicativo, ele não consegue se conectar.

    Um exemplo é o Drop Box, nele eu tenho a opçao de de configurar as informações de proxy, mesmo assim não consegue se conectar.

    Outo exemplo é o Microsoft Online Services- BPOS, nessa aplicação não existe a opção de configurar o proxy, ele tambem não consegue se conectar a internet.

    Com regra aplicada para All Users eu ja não tenho esse problema, porém o ambiemte não fica seguro.

    Existe alguma forma de usar  All authenticated Users na regra e fazer com que as aplicações funcionem corretamente?

    Atenciosamente

    Thiago Ramos Cirqueira

    Support TI | JVAZ Consulting

    Tel : (5511) 6691-5280 / 8576-3930


    Atenciosamente

    Thiago Ramos Cirqueira

    Support TI | JVAZ Consulting

    Tel : (5511) 6691-5280 / 8576-3930

    sábado, 16 de junho de 2012 16:01
    |

Respostas

  • Question
    Entrar para Votar
    0
    Entrar para Votar

    Thiago,

    Estava com o mesmo problema. Após um pouco de pesquisa/testes, cheguei à solução no meu ambiente (caso Dropbox). Não sei se ainda está com o problema, mas fica para quem pesquisar no futuro:

    Temos uma regra de saída para a internet funcionar apenas para 'Usuários Autenticados'. Alterando para 'All Users' o Dropbox funcionava.


    Então temos que criar uma nova regra permitindo navegação HTTP/HTTPS, de origem interna e saída ao Dropbox (descritos abaixo) e para 'All Users'. Desta forma funciona o modo 'Auto-Detect' do proxy do Client do Dropbox (opção default) e garantimos a outra regra de navegação HTTP/HTTPS aos 'Authenticated Users'.

    Os destinos são (criar e adicionar):
    ==============================================================================================
    Criar uma URL Sets 
    Nome (sugerido): Dropbox.com 
    *.dropbox.com 
    *.dropbox.com/* 
    http://dropbox.com 
    https://dropbox.com

    -------------------------------------------------------------------------------------------------------------------------------------------------------------------------

    Criar um Computer sets 
    Nome (sugerido): Dropbox 
    sjc-not8.sjc.dropbox.com 199.47.217.148 
    v-client-1b.sjc.dropbox.com 199.47.217.172 
    v-client-2b.sjc.dropbox.com 199.47.217.173 
    v-client-4a.sjc.dropbox.com 199.47.218.159 
    v-client-4b.sjc.dropbox.com 199.47.219.159 
    v-client-5a.sjc.dropbox.com 199.47.218.160 
    v-d-1a.sjc.dropbox.com 199.47.216.177 
    v-misc-1a.sjc.dropbox.com 199.47.216.179 

    **Os IPs foram pegos utilizando um sniffer, e os nomes foram resultados de um ping -a (facilita para identificar duplicidade).

    ==============================================================================================

    Como utilizo o HTTPS Inspection, usando a dica do Diego Laranjeira, adicionei o mesmo 'Dropbox' acima mencionado à lista de excessões de verificação de certificado.

    Espero que seja útil.

    Abraços, 
    Renan Passos do Nascimento


    terça-feira, 11 de setembro de 2012 18:57
    |

Todas as Respostas

  • Question
    Entrar para Votar
    0
    Entrar para Votar

    Thiago, infelizmente alguns aplicativos que fazem o papel de agent para internet (ex: IE, firefox), usam o serviço de WINHTTP do Windows que executa a chamada ao proxy via SecureNat e nesse tipo de conexão não é possível autenticação.

    O que vc pode fazer é uma regra abrindo acesso para todos os usuários limitando a um set de sites previamente definidos.

    ex:

    De Internal

    Para - SitesPermitidos

    All users

    Vc pode também fazer, via script, que o serviço de winhttp saia via proxy sem ser via secure nat e assim conseguindo autenticação.

    Execute na linha de command prompt o seguinte comando:

    netsh winhttp set proxy <name or IP address of proxy server>:<port>

    Abs.

    Uilson Souza | MCTS ISA Server | MTAC - Microsoft Technical Audience Contributor http://uilson76.wordpress.com

    quarta-feira, 20 de junho de 2012 20:53
    |
  • Question
    Entrar para Votar
    1
    Entrar para Votar
    No caso do Dropbox, você tem HTTPS Inspection habilitado? Caso tenha, você tem duas alternativas, ou desabilitar esse recurso, ou criar um Domain Name Set e configurar ele no Destination Exception do HTTPS Inspection e marcar para não validar o certificado.

    diego laranjeira

    quinta-feira, 28 de junho de 2012 14:55
    |
  • Question
    Entrar para Votar
    0
    Entrar para Votar

    Vou fazer um teste no fim de semana, e respondo se resolveu o problema.

    Thiago Ramos Cirqueira

    Support TI | JVAZ Consulting

    terça-feira, 24 de julho de 2012 14:24
    |
  • Question
    Entrar para Votar
    0
    Entrar para Votar

    Thiago,

    Estava com o mesmo problema. Após um pouco de pesquisa/testes, cheguei à solução no meu ambiente (caso Dropbox). Não sei se ainda está com o problema, mas fica para quem pesquisar no futuro:

    Temos uma regra de saída para a internet funcionar apenas para 'Usuários Autenticados'. Alterando para 'All Users' o Dropbox funcionava.


    Então temos que criar uma nova regra permitindo navegação HTTP/HTTPS, de origem interna e saída ao Dropbox (descritos abaixo) e para 'All Users'. Desta forma funciona o modo 'Auto-Detect' do proxy do Client do Dropbox (opção default) e garantimos a outra regra de navegação HTTP/HTTPS aos 'Authenticated Users'.

    Os destinos são (criar e adicionar):
    ==============================================================================================
    Criar uma URL Sets 
    Nome (sugerido): Dropbox.com 
    *.dropbox.com 
    *.dropbox.com/* 
    http://dropbox.com 
    https://dropbox.com

    -------------------------------------------------------------------------------------------------------------------------------------------------------------------------

    Criar um Computer sets 
    Nome (sugerido): Dropbox 
    sjc-not8.sjc.dropbox.com 199.47.217.148 
    v-client-1b.sjc.dropbox.com 199.47.217.172 
    v-client-2b.sjc.dropbox.com 199.47.217.173 
    v-client-4a.sjc.dropbox.com 199.47.218.159 
    v-client-4b.sjc.dropbox.com 199.47.219.159 
    v-client-5a.sjc.dropbox.com 199.47.218.160 
    v-d-1a.sjc.dropbox.com 199.47.216.177 
    v-misc-1a.sjc.dropbox.com 199.47.216.179 

    **Os IPs foram pegos utilizando um sniffer, e os nomes foram resultados de um ping -a (facilita para identificar duplicidade).

    ==============================================================================================

    Como utilizo o HTTPS Inspection, usando a dica do Diego Laranjeira, adicionei o mesmo 'Dropbox' acima mencionado à lista de excessões de verificação de certificado.

    Espero que seja útil.

    Abraços, 
    Renan Passos do Nascimento


    terça-feira, 11 de setembro de 2012 18:57
    |
  • Question
    Entrar para Votar
    0
    Entrar para Votar

    Muito Obrigado Renan! ainda não implantamos somente usuários autenticados no TMG, assim que implantarmos seguirei sua dica ok, agradeço pelo interesse em ajudar!

    Atenciosamente

    Thiago Ramos Cirqueira

    Support TI | JVAZ Consulting

    thiago.cirqueira@jvazconsulting.com

    Thiago Ramos Cirqueira Support TI | JVAZ Consulting thiago.cirqueira@jvazconsulting.com

    quarta-feira, 12 de setembro de 2012 15:36
    |