none
Isa - Autenticação solicitada no IE RRS feed

  • Pergunta

  • Fala Pessoal!

    Blz?

    Tenho um Isa Server 2004 com Service Pack 2 aplicado e autentica os usuários no domínio microsoft (AD). A autenticação está configurada no tipo "Basic" e os clients são do tipo Web Client.

    Toda vez que um usuário abre o Internet Explorer, o Isa lhe pede a autenticaçao. O usuário entra com um login e senha, e uma vez autenticado consegue navegar. Se ele der um Crtl+N, abrindo uma nova janela a partir da que já está autenticada o site também carrega diretamente. No entanto, caso o usuário abra um novo IE e tente acessar um site, (mesmo tendo uma janela já autenticada), o Isa pede novamente a autenticação.

    De modo, que a cada janela nova aberta o Isa pede autenticação. Tentei também alterar a autenticação para Radius, mas o mesmo ocorre.

    A autenticação pode ser configurada de modo que caso o usuário abra um nova janela (quando já tem uma janela que ja foi autenticada com login e senha, pelo usuário), não seja necessário esse login redundante?

    obs: Como tentativa também liguei o modo de autenticação "Integrated"+"Basic" mas com ele a autenticação é feita aparentemente em background, e  precisava que o usuário digitasse login+senha.

    Valeu!

    Luke

    • Movido Hengzhe Li quinta-feira, 29 de março de 2012 04:32 (De:ISA Server 2004)
    sexta-feira, 27 de outubro de 2006 20:29

Todas as Respostas

  • Luke,

    Ao abrir um novo IE, você esta criando uma nova sessão independente da outra na sua estação. Quando você utiliza a opção de nova janela, as credenciais são passadas. Acredito não ter muito o que fazer nesse caso, mas cabe a pergunta.

    Porque você precisa que eles digitem user/senha ? Se esta integrado ao AD, a melhor coisa, na minha opinião, é o conceito de SSO (Single Sign On), ou seja, o usuário logou na estação de manha, a partir daí tem acesso a web, ao exchange, as pastas na rede, aos servidores SQL e assim vai... Esse conceito é tão forte que no ISA 2006 uma das grandes novidades é justamento o SSO na publicação, ou seja, quando  um usuário entrar no seu sharepoint, ele poderá abrir o owa ou outros sites sem precisar se autenticar novamente.

    Com login integrado, você pode fazer suas regras baseando-se em usuários da mesma forma.

    TechEd 2006, serão mais de 70 palestras de TI, vai ficar de fora ? Garanta sua vaga @ http://www.teched.com.br/IT

    Se esse post lhe ajudou, não esqueça de marca-lo como uma resposta/útil.

    Abraços,

    sábado, 28 de outubro de 2006 00:34
  • Eduardo, Muito Obrigado pela ajuda.

    No entanto, no nosso ambiente as máquinas não estão no domínio. Elas autenticam em outro sistema Ldap.

    Por isso precisavo que o usuário colocasse seu usuário e senha (a mesma que ja é utilizada para o acesso ao Exchange). Há algo que ainda posso fazer?

    Abraços,

    Luke

    segunda-feira, 30 de outubro de 2006 11:37
  • Ola Luke,

    Bom dia.

    Veja sobre os metodos de autenticação e como habilitar o modo integrado ao AD para que não seja exigido senha.

    http://www.isaserver.org/tutorials/Understanding_ISAs_different_Authentication_types.html
    http://www.microsoft.com/technet/isa/2004/plan/ts_client_rules.mspx
    http://www.isaserver.org/tutorials/2004recorduserinfo.html

    Abraços.

    segunda-feira, 30 de outubro de 2006 11:49
  • Bom dia, luke.

    Também considero o single sign on a melhor opção. Dê uma olhadinha neste link:

    http://technet2.microsoft.com/Office/en-us/library/3c78e886-5d20-44cb-b4e4-f823c4c019281033.mspx?mfr=true

    Abraços,

    segunda-feira, 30 de outubro de 2006 12:35
  • Então galera, valeu mesmo pela ajuda.

    No entanto, no meu ambiente as máquinas não estão no domínio. Os usuários logam em uma sistema Ldap (não microsoft). É um ambiente meio in

    De modo que quando habilito a autenticação integrada com o AD, o Internet Explorer não pede mais autenticação, e envia em background ao Isa as credenciais (usuário e senha) que foram utilizadas para logar na estação. De modo que as permissões e regras do Isa estão se baseando em grupos do AD, acabam por dar Access Denied as tentativas de acesso.

    Temos um AD, que contém um Exchange e os usuários possuem cada um usuário e senha que seriam utilizadas também para o Isa Server, no entanto ao habilitar a autenticação básica (para que o Isa solicite a autenticação ao usuário), ocorre o problema de que cada janela o Isa Server pede autenticação.

    Cheguei a encontrar no kb da microsoft, uma chave de registro que alterava no Isa 2k, que era para desabilitar logins redudantes (Não sei se funcionava no Isa2k, não tive como testar), no entanto essa não mais existe para Isa2k4.

    Valeu pela pronta ajuda galera! Abraços!

    Luke

    segunda-feira, 30 de outubro de 2006 13:30
  • Ola Luke,

    Bom dia.

    Como esta configurado os clientes da sua rede ? Default Gateway, Web Proxy ou Firewall Client ?

    Abraços.

    segunda-feira, 30 de outubro de 2006 13:39
  • Armindo,

    Aqui é um Isa Server 2004 que está com Service Pack 2 aplicado e autentica os usuriaos no dominio microsoft (AD). A autenticao está configurada no tipo "Basic" e os clients são do tipo Web Client.

    Valeu!

    Abrao!

    Luke

    segunda-feira, 30 de outubro de 2006 14:15
  • Ola Luke,

    Bom dia.

    Seu ISA esta integrado ao AD, pertence ao dominio ?

    Você leu os artigos acima para saber como modificar e como funciona cada metodo de autenticação ?

    Me diga qual o seu objetivo para esta thread.

    Abraços.

    segunda-feira, 30 de outubro de 2006 14:28
  • Armindo,

    O meu Isa está integrado ao AD, pertence ao domínio.

    Eu ja havia lido os artigos acima sobre como funciona cada método de autenticação.

    O meu objetivo com o Isa é: os usuários autenticarem no Isa Server da mesma forma como autenticam no webmail do Exchange, utilizando o mesmo usuário e senha.

    O problema que quero resolver é o seguinte:

    Toda vez que um usuário abre o Internet Explorer, o Isa lhe pede a autenticaçao. O usuário entra com um login e senha, e uma vez autenticado consegue navegar. Se ele der um Crtl+N, abrindo uma nova janela a partir da que já está autenticada o site também carrega diretamente. No entanto, caso o usuário abra um novo IE e tente acessar um site, (mesmo tendo uma janela já autenticada), o Isa pede novamente a autenticação.

    Já usei outros serviços de proxy (não microsoft) e isso não acontece. Isso é normal para o Isa Server 2004? A autenticação pode ser configurada de modo que caso o usuário abra um nova janela (quando já tem uma janela que ja foi autenticada com login e senha, pelo usuário), não seja necessário esse login redundante?

    Valeu! Abraços!

    segunda-feira, 30 de outubro de 2006 14:38
  • Luke,

    Veja se seu problema se encaixa nesse artigo: http://www.microsoft.com/technet/isa/2004/plan/ts_client_rules.mspx .Você está ciente de que utilizando basic authentication, está trafegando as senhas em texto puro? Porque não coloca suas máquinas no seu domínio com Exchange e cria uma relação de confiança com seu servidor LDAP? Se você puder detalhar um pouco mais o seu cenário, talvez possamos dar uma solução mais global para o problema.

    []'s

    Alberto

    segunda-feira, 30 de outubro de 2006 14:48
    Moderador
  • Tenho um problema similar.

    Quando estou usando uma maquina com conta local o ISA bloqueia o acesso a internet direto, enquanto o antigo servidor pedia uma conta com autorização.
    Minha duvida é como deixar essa solicitação disponivel.
    segunda-feira, 30 de outubro de 2006 16:59
  • Muito Obrigado pela ajuda,

    Havia olhado esse link qdo o Armindo enviou, mas não tinha me atentado a um item que aparentemente cai bem em cima do ponto:

    Credentials Required for Each Instance of Internet Explorer

    Problem: Users are prompted for credentials every time they open an instance of Internet Explorer.

    Cause: This is default behavior when Web Proxy settings on the network on which user requests are received are configured for Basic authentication. Basic authentication is per-request (for each instance of opening a browser), not per-session. This is in accordance with Request for Comments (RFC) 2617.

    Solution: None. This is standard behavior for Basic authentication.

    Pelo jeito não tem solução para esse problema, pq o padrão adotado pela Microsoft foi per-request, ao invés de per-session. De modo que cada vez que se abre um novo browser (nova instancia), é considerado um request e a cada request o Isa Server refaz todo o processo de autenticação descrito na RFC 2617 (que ainda num terminei de analisar).

    Não podemos colocar as máquinas no domínio nessa localidade, pq o AD está fora do Brasil e não temos permissão para o mesmo.

    Valeu pela pronta ajuda galera! Se tiverem mais dicas, por favor postem, pois estão sendo de muita ajuda.

    Abraço!

    Luke

    segunda-feira, 30 de outubro de 2006 17:19
  • Ola Luke,

    Bom dia.

    Disponha sempre que precisar, estaremos de olho para uma solução, se tiver mais noticias post para que possamos ajudar.

    Abraços.

    terça-feira, 31 de outubro de 2006 11:45