none
Autenticação Integrada RRS feed

  • Pergunta

  • Boa Tarde a todos.

     

    Tenho um ISA Server 2006 STD em minha empresa, e estou tentando fazer a seguinte configuração.

     

    Fazer a liberação de alguns sites via Domain Name Sets, porem estou com o erro de SSL-Tunel na porta 443.

     

    Coloquei propositalmente a opção de autenticação via WEB-proxy, sendo que ela é Integrada e requer que todos os usuários se autentiquem.

     

    Porem sempre que tento navegar na pagina liberada, ele me nega nesse protocolo citado a cima e nessa porta.

    Tentei criar este protocolo liberando para All Users, porem não funcionou.

    Caso alguem já tenha passado por isso. Eu agradeço.

     

    Abraços. Fernando.

    segunda-feira, 21 de julho de 2008 17:28

Todas as Respostas

  • Dartanhan

     

    eu tive aqui esse problema e resolvi colocando o endereço do meu proxy no Secure ( https ) no meu IE. Vc já tentou isto? Outra coisa, se o site for local ( intranet ) selecione a opção de nao usar Proxy para endereço local.

     

     

    segunda-feira, 21 de julho de 2008 20:23
  • Ola amigo. Agradeço a resposta, porem realizei este procedimento agora e não deu certo.

    Inseri o endereço de meu proxy em sites confiáveis e não deu certo. Tem alguma outra idéia. Abraços. Fernando.

     

    segunda-feira, 21 de julho de 2008 20:32
  • Fernando,

     

    voce esta tentando navegar da maquina do ISA ou de qualquer estação? O site HTTPS esta dentro da sua rede ou fora? Outra coisa, na sua regra padrao de saida de internet o HTTPS esta junto com HTTP ou voce tem uma regra de HTTP para usuario autenticado e criou um Domain Set com HTTPS para ALL USERS?

    segunda-feira, 21 de julho de 2008 21:21
  • Ola amigo.

     

    Estou tentando navegar de uma estação qualquer e para qualquer site. Referente ao HTTPS foi sugestão do nosso amigo que postou acima, porem testei e não deu certo.

     

    O que acontece é que não navego em site nenhum pois ele bloqueia o Protocolo SSL-Tunnel na porta 443. Lembrando que eu coloquei autenticação integrada e a mesma é solicitada para all users propositalmente.

     

    A minha liberação esta sendo feita na regra que libera HTTP e HTTPS da rede interna para Domain Name Sets.

    A requisição cai na regra, porem o SSL bloqueia a conexão.

     

    Espero que eu tenha ajudado a mostrar o meu cenário.

     

    Abraços. Fernando.

     

    segunda-feira, 21 de julho de 2008 21:35
  •  

    Fernando,

     

    Só uma pergunta, você já usou nessa regra o All Authenticated Users? ou tem alguma coisa que lhe impede de fazer isto?

    segunda-feira, 21 de julho de 2008 22:02
  • Ola Amigo.

     

    Impedi sim, pois na verdade estou criando politicas por grupos. Infelizmente.

     

    Abraços. Fernando.

    segunda-feira, 21 de julho de 2008 22:11
  • Entendi,

     

    eu nao testei isto aqui na empresa pq nao precisei e utilizo Proxy Autenticado para todo mundo, mas acredito que dê certo para o vc precisa:

     

    http://www.andersonpatricio.org/Tutoriais/Tutoriais.asp?Tut=101

     

     

    segunda-feira, 21 de julho de 2008 22:15
  • Ola amigo.

     

    Foi realmente isso o que eu fiz. E ai esta me dando essa zica de negação do SSL-Tunnel.

     

    Mas agradeço a ajuda.

     

    Abraços. Fernando.

     

    segunda-feira, 21 de julho de 2008 22:24
  • Oi Fernando,

     

    Quem é a rede de origem na sua regra? Você poderia colar aqui o resultado do monitoramento do ISA, com a negação do acesso?

    Gostaria de verificar o result code.

    Assim fica mais fácil de ajudar. De qualquer forma, evite usar o user set all authenticated users. Prefira criar um user set personalizado e adicionar o grupo desejado dentro. Fica mais fácil de controlar os acessos, assim.

     

    []'s

    Alberto

    terça-feira, 22 de julho de 2008 00:54
    Moderador
  • Ola amigo.

    Bom, a minha regra é a seguinte.

     

    Acão - Allow

    Protocolo - HTTP - HTTPS

    Origem - Interna

    Destino - Domain Name Set ( Ex: *.ig.com.br )

    User - Acesso-Restrito ( Grupo criado no AD )


    Mensagem de erro -

     Destination IP  -   Destination Port  -  Protocol       -     Action   -      Rule          

     192.10.10.45       443                       SSL-tunnel         Deny            Defalt rule    

     

     Client IP          -    Client Username  -   Source Network   -   Destination Network   192.10.10.60         Dominio\user           Internal                   External

     

    URL

    urs.microsoft.com:443

     

    Abaixo tem o Troubleshooting

     

    Denied Connection
    Log type: Web Proxy (Forward)
    Status: 12202 The ISA Server denied the specified Uniform Resource Locator (URL).
    Rule: Default rule
    Source: Internal (192.10.10.60)
    Destination: External (192.10.10.45:443)
    Request: urs.microsoft.com:443
    Filter information: Req ID: 0dcc2a47; Compression: client=No, server=No, compress rate=0% decompress rate=0%
    Protocol: SSL-tunnel
    User: DOMINIO\USER
     Additional information
    • Client agent: VCSoapClient
    • Object source: Internet (Source is the Internet. Object was added to the cache.)
    • Cache info: 0x0
    • Processing time: 0 MIME type:

    OBS: O Site acessado foi o www.ig.com.br

     

    Espero que tenha ajudado....

     

    Abraços, Fernando

    terça-feira, 22 de julho de 2008 18:16
  • E-mail enviado conforme contato..

    rodou redondo aqui..

     

    abs,

     

     

     

    quinta-feira, 24 de julho de 2008 14:59
    Moderador
  • Fernando,

     

    Acho que o problema está aqui:

     

    Source: Internal (192.10.10.60)
    Destination: External (192.10.10.45:443)

     

    Seu DNS está resolvendo o IG para um ip interno da sua rede. Seu ISA possui duas placas?? Elas estao configuradas em redes diferentes??

    Do jeito que esta ai, não vai funcionar nunca.

    Verifique as configurações de sua internal e external, além de seu DNS, para corrigir o problema de resolução de nomes e configuração das placas.

     

    []'s

    Alberto

    sábado, 26 de julho de 2008 22:47
    Moderador
  • Ola Amigo, Bom dia.

     

    Respondendo suas perguntas.

     

    Sim, o meu isa possui 2 placas de rede onde uma esta configurado a rede 10.0.0.x (WAN) e a outra 192.10.10.45 ( LAN )

     

    E o meu DNS aparentemente esta ok, ele fica em meu AD e encaminha a resolução para o meu ISP.

     

    Você sabe o que poderia mudar. ?

     

    Abraços. Fernando.

     

    terça-feira, 29 de julho de 2008 13:32