none
Forefront TMG - Acesso a intenet somente para úsuarios autenticados RRS feed

  • Pergunta

  • Boa tarde!

    Estou com o seguinte problema na empresa: temos uma regra que libera o acesso a intenet para os usuários, porém tenho problemas quando aplico a regra para All authenticated Users, para que somente usuários autenticados tenham acesso.

    Com a regra dessa forma alguns aplicativos não conseguem se conectar a internet, mesmo que eu inclua as informações de proxy, como o IP do servidor de proxy, usuário e senha, maualmente no aplicativo, ele não consegue se conectar.

    Um exemplo é o Drop Box, nele eu tenho a opçao de de configurar as informações de proxy, mesmo assim não consegue se conectar.

    Outo exemplo é o Microsoft Online Services- BPOS, nessa aplicação não existe a opção de configurar o proxy, ele tambem não consegue se conectar a internet.

    Com regra aplicada para All Users eu ja não tenho esse problema, porém o ambiemte não fica seguro.

    Existe alguma forma de usar  All authenticated Users na regra e fazer com que as aplicações funcionem corretamente?

    Atenciosamente

    Thiago Ramos Cirqueira

    Support TI | JVAZ Consulting

    Tel : (5511) 6691-5280 / 8576-3930


    Atenciosamente

    Thiago Ramos Cirqueira

    Support TI | JVAZ Consulting

    Tel : (5511) 6691-5280 / 8576-3930

    sábado, 16 de junho de 2012 16:01

Respostas

  • Thiago,

    Estava com o mesmo problema. Após um pouco de pesquisa/testes, cheguei à solução no meu ambiente (caso Dropbox). Não sei se ainda está com o problema, mas fica para quem pesquisar no futuro:

    Temos uma regra de saída para a internet funcionar apenas para 'Usuários Autenticados'. Alterando para 'All Users' o Dropbox funcionava.


    Então temos que criar uma nova regra permitindo navegação HTTP/HTTPS, de origem interna e saída ao Dropbox (descritos abaixo) e para 'All Users'. Desta forma funciona o modo 'Auto-Detect' do proxy do Client do Dropbox (opção default) e garantimos a outra regra de navegação HTTP/HTTPS aos 'Authenticated Users'.

    Os destinos são (criar e adicionar):
    ==============================================================================================
    Criar uma URL Sets 
    Nome (sugerido): Dropbox.com 
    *.dropbox.com 
    *.dropbox.com/* 
    http://dropbox.com 
    https://dropbox.com

    -------------------------------------------------------------------------------------------------------------------------------------------------------------------------

    Criar um Computer sets 
    Nome (sugerido): Dropbox 
    sjc-not8.sjc.dropbox.com 199.47.217.148 
    v-client-1b.sjc.dropbox.com 199.47.217.172 
    v-client-2b.sjc.dropbox.com 199.47.217.173 
    v-client-4a.sjc.dropbox.com 199.47.218.159 
    v-client-4b.sjc.dropbox.com 199.47.219.159 
    v-client-5a.sjc.dropbox.com 199.47.218.160 
    v-d-1a.sjc.dropbox.com 199.47.216.177 
    v-misc-1a.sjc.dropbox.com 199.47.216.179 

    **Os IPs foram pegos utilizando um sniffer, e os nomes foram resultados de um ping -a (facilita para identificar duplicidade).

    ==============================================================================================

    Como utilizo o HTTPS Inspection, usando a dica do Diego Laranjeira, adicionei o mesmo 'Dropbox' acima mencionado à lista de excessões de verificação de certificado.

    Espero que seja útil.

    Abraços, 
    Renan Passos do Nascimento


    terça-feira, 11 de setembro de 2012 18:57

Todas as Respostas

  • Thiago, infelizmente alguns aplicativos que fazem o papel de agent para internet (ex: IE, firefox), usam o serviço de WINHTTP do Windows que executa a chamada ao proxy via SecureNat e nesse tipo de conexão não é possível autenticação.

    O que vc pode fazer é uma regra abrindo acesso para todos os usuários limitando a um set de sites previamente definidos.

    ex:

    De Internal

    Para - SitesPermitidos

    All users

    Vc pode também fazer, via script, que o serviço de winhttp saia via proxy sem ser via secure nat e assim conseguindo autenticação.

    Execute na linha de command prompt o seguinte comando:

    netsh winhttp set proxy <name or IP address of proxy server>:<port>

    Abs.


    Uilson Souza | MCTS ISA Server | MTAC - Microsoft Technical Audience Contributor http://uilson76.wordpress.com

    quarta-feira, 20 de junho de 2012 20:53
  • No caso do Dropbox, você tem HTTPS Inspection habilitado? Caso tenha, você tem duas alternativas, ou desabilitar esse recurso, ou criar um Domain Name Set e configurar ele no Destination Exception do HTTPS Inspection e marcar para não validar o certificado.

    diego laranjeira

    quinta-feira, 28 de junho de 2012 14:55
  • Vou fazer um teste no fim de semana, e respondo se resolveu o problema.

    Thiago Ramos Cirqueira

    Support TI | JVAZ Consulting

    terça-feira, 24 de julho de 2012 14:24
  • Thiago,

    Estava com o mesmo problema. Após um pouco de pesquisa/testes, cheguei à solução no meu ambiente (caso Dropbox). Não sei se ainda está com o problema, mas fica para quem pesquisar no futuro:

    Temos uma regra de saída para a internet funcionar apenas para 'Usuários Autenticados'. Alterando para 'All Users' o Dropbox funcionava.


    Então temos que criar uma nova regra permitindo navegação HTTP/HTTPS, de origem interna e saída ao Dropbox (descritos abaixo) e para 'All Users'. Desta forma funciona o modo 'Auto-Detect' do proxy do Client do Dropbox (opção default) e garantimos a outra regra de navegação HTTP/HTTPS aos 'Authenticated Users'.

    Os destinos são (criar e adicionar):
    ==============================================================================================
    Criar uma URL Sets 
    Nome (sugerido): Dropbox.com 
    *.dropbox.com 
    *.dropbox.com/* 
    http://dropbox.com 
    https://dropbox.com

    -------------------------------------------------------------------------------------------------------------------------------------------------------------------------

    Criar um Computer sets 
    Nome (sugerido): Dropbox 
    sjc-not8.sjc.dropbox.com 199.47.217.148 
    v-client-1b.sjc.dropbox.com 199.47.217.172 
    v-client-2b.sjc.dropbox.com 199.47.217.173 
    v-client-4a.sjc.dropbox.com 199.47.218.159 
    v-client-4b.sjc.dropbox.com 199.47.219.159 
    v-client-5a.sjc.dropbox.com 199.47.218.160 
    v-d-1a.sjc.dropbox.com 199.47.216.177 
    v-misc-1a.sjc.dropbox.com 199.47.216.179 

    **Os IPs foram pegos utilizando um sniffer, e os nomes foram resultados de um ping -a (facilita para identificar duplicidade).

    ==============================================================================================

    Como utilizo o HTTPS Inspection, usando a dica do Diego Laranjeira, adicionei o mesmo 'Dropbox' acima mencionado à lista de excessões de verificação de certificado.

    Espero que seja útil.

    Abraços, 
    Renan Passos do Nascimento


    terça-feira, 11 de setembro de 2012 18:57
  • Muito Obrigado Renan! ainda não implantamos somente usuários autenticados no TMG, assim que implantarmos seguirei sua dica ok, agradeço pelo interesse em ajudar!

    Atenciosamente

    Thiago Ramos Cirqueira

    Support TI | JVAZ Consulting

    thiago.cirqueira@jvazconsulting.com


    Thiago Ramos Cirqueira Support TI | JVAZ Consulting thiago.cirqueira@jvazconsulting.com

    quarta-feira, 12 de setembro de 2012 15:36