none
Utilizadores autenticados e nao autenticados e Reports RRS feed

  • Pergunta

  • Ola, tenho lido alguns topicos, mas ainda nao encontrei nada que me responde-se a esta questao.

    Como obrigar que certos utilizadores sejam autenticados.

    Ou seja o que ja testei foi

    1 - regra que dá acesso a HTTP HTTPS para user USER1 USER2 USER3 (Com cliente isa instalado)
    2 - regra com acesso para All Outbound para o ALL USERS

    A resposta que esperaria do isa era que o USER1 USER2 e USER3 smp que fossem para a internet estivessem autenticados, e isso acontece.
    Mas no entanto todos os restantes (ALL USERS) nao tem qq acesso ficando bloqueados na 1ª regra.

    A outra questao que tenho é, estive a verificar os reports feitos pelo isa, e mts dos top web sites aparece com ip e nao com url pelo que ja li isto tem a ver com o SecureNat ou se o cliente está ou nao instalado.

    Alguma forma de forçar para que veja sempre com URL



    .
    quinta-feira, 26 de novembro de 2009 10:29

Respostas

  • Rafael,

    Vamos la, inicialmente eu não utilizaria o client, ao menos que você tenha aplicações SOCKS para executar, caso contrario recomendo fortemente a utilização de webproxy e securenat.

    Para que você force um usuário a ter seu acesso autenticado vc deve fazer a liberação da regra de internet por ex, para grupos como você citou ou todos os usuarios autenticados, não devendo deixar o ALL USERS....

    Você NÃO deve habilitar a opção Require all users to authenticat! isso pode te trazer muitos problemas de acessos na rede, por exemplo um anti virus que nao possua configurações de proxy, o ISA irá exigir autenticação e vc vai dançar....portanto autenticação deve-se ajustar nas regras.

    abraços

    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    quinta-feira, 26 de novembro de 2009 11:57
    Moderador
  • A minha duvida permanece, como é que consigo autenticar utilizadores, mas de alguma forma ter os serviços abertos para os que estao em SecureNat ou por proxy automatica ?


    Voce pode fazer dessa forma se é q entedi....

    1. ALLOW ALL OUTBOUB from computerSets para ALL USERS
    2 ALLOW HTTP from INTERNAL to SITES para users do group

    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    quinta-feira, 26 de novembro de 2009 23:17
  • Rafael,

    O WPAD funciona para outros navegadores sim, desde que eles possaum a opção de pegar configurações automaticas.

    Se todas as maquinas estao no dominio nao precisa se preocupar entao,....

    abraços
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    sexta-feira, 27 de novembro de 2009 14:06
    Moderador

Todas as Respostas

  • Em relação a autenticação nao entendi muito bem oq vc quer...

    Mas se vc quer que todos os usuarios da sua rede digitem senha para navegar, so vc volocar autenticação BASIC ou deixar marcada a opção Require all users to authenticat!

    Em quanto ao relatorio do ISA de uma olhada aki:

    http://social.technet.microsoft.com/Forums/pt-BR/isa2004pt/thread/d68fa9eb-3783-451f-a417-6d239bdbb2ba
    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    quinta-feira, 26 de novembro de 2009 10:43
  • Rafael,

    Vamos la, inicialmente eu não utilizaria o client, ao menos que você tenha aplicações SOCKS para executar, caso contrario recomendo fortemente a utilização de webproxy e securenat.

    Para que você force um usuário a ter seu acesso autenticado vc deve fazer a liberação da regra de internet por ex, para grupos como você citou ou todos os usuarios autenticados, não devendo deixar o ALL USERS....

    Você NÃO deve habilitar a opção Require all users to authenticat! isso pode te trazer muitos problemas de acessos na rede, por exemplo um anti virus que nao possua configurações de proxy, o ISA irá exigir autenticação e vc vai dançar....portanto autenticação deve-se ajustar nas regras.

    abraços

    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    quinta-feira, 26 de novembro de 2009 11:57
    Moderador
  • O luiz tem razão em nao deixar marcado a opção Require all users to authenticat, fora os problemas que vai ter com apliação JAVA.

    Em quanto a autenticação so vc deixar Integrated na sua rede interna, e liberar acesso para grupos, igual o Luiz citou!

    A nao ser que vc esteja querendo que sempre q o usuario abra o navegador pessa login e senha....
    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    quinta-feira, 26 de novembro de 2009 12:08
  • Ola,

    Obrigado pela vossa ajuda.

    Luiz, o unico facto de querer o isa client e que ele faz com que a autenticacao fique automatica pois tenho o Integraded mode activo e dp tb no caso do utilizador estar fora da empresa, pois temos mts portateis, eles nao precisaram de mudar nada para terem internet com outras configurações.

    No entanto colocando as regras como falou,

    1. ALLOW HTTP from INTERNAL to SITES para users do group x
    2. ALLOW ALL OUTBOUB from INTERNAL to EXTERNAL para ALL USERS

    Os utilizadores que estao por SecureNAT (sem proxy) nao conseguem qq internet ficam blokeados na regra 1 penso eu.
    Os que estao por proxy (em modo automatico, tenho o wpad no dhcp) nao acedem aos SITES, mas nao pede autenticacao
    Colocando a proxy aí sim pede a autenticaçao (tenho o modo digest activo).

    A minha duvida permanece, como é que consigo autenticar utilizadores, mas de alguma forma ter os serviços abertos para os que estao em SecureNat ou por proxy automatica ?

    Obrigado
    .
    quinta-feira, 26 de novembro de 2009 19:59
  • Rafael,

    Vamos la.

    Com o WPAD, vc anula a utilização do firewall client, concorda?

    Agora sobre a sua duvida com as regra seu nao entendi...

    Da maneira que esta vc nao esta conseguindo acessar?


    Abraços
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    quinta-feira, 26 de novembro de 2009 21:10
    Moderador
  • A minha duvida permanece, como é que consigo autenticar utilizadores, mas de alguma forma ter os serviços abertos para os que estao em SecureNat ou por proxy automatica ?


    Voce pode fazer dessa forma se é q entedi....

    1. ALLOW ALL OUTBOUB from computerSets para ALL USERS
    2 ALLOW HTTP from INTERNAL to SITES para users do group

    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    quinta-feira, 26 de novembro de 2009 23:17
  • Ola.

    Antes demais obrigado pela vossa resposta.

    Luiz,
    Com o WPAD, vc anula a utilização do firewall client, concorda?

    Sim, mas mesmo assim é necessário que o utilizador se autentique novamente, enquanto que com o Firewall Client ele faz a autenticaçao automatica, sendo transparente para o utilizador.

    Luiz pq desanconselha o uso do Firewall Client ? Pergunto pq a meu ver so tem mais valia, mas decerteza que tem os seus contras.

    David,
    Percebo a ideia, vou testar.

    Obrigado.
    .
    sexta-feira, 27 de novembro de 2009 10:24
  • Rafael,

    Como WPAD ele se estiver fora do dominio, precisará inserir a senhja uma unica vez...
    O Firewall client ajuda sim, porém só utilizamos ele em casos em que o webproxy nao esta resolvendo entendeu? Com aplicações SOCKS.
    Esses seus clientes estão fora do dominio?


    abraços
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    sexta-feira, 27 de novembro de 2009 12:10
    Moderador
  • Olá Luiz,
    Começo a perceber o seu ponto de vista.

    Todos os meus utilizadores estao no dominio.

    Mas no entanto o WPAD nao é valido para outros browsers q nao o internet explorer, certo ?
    Teriam de ser configurados, coisa que o isa client resolverá, certo ?

    Eu ainda estou num ambiente de laboratorio, neste momento estou a deixar passar tudo e sem autenticacao para os utilizadores.

    Mas vou considerar o que me esta a dizer.

    Obrigado.




    .
    sexta-feira, 27 de novembro de 2009 13:15
  • Rafael,

    O WPAD funciona para outros navegadores sim, desde que eles possaum a opção de pegar configurações automaticas.

    Se todas as maquinas estao no dominio nao precisa se preocupar entao,....

    abraços
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    sexta-feira, 27 de novembro de 2009 14:06
    Moderador
  • Rafael


    restou alguma duvida?

    abraços
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    terça-feira, 1 de dezembro de 2009 14:07
    Moderador