none
Anonymous + Proxy RRS feed

  • Pergunta

  •  

    Pessoal,

     

                  Estou tendo problemas com autenticação de usuários Anonymous. Quando retiro o proxy das estações clientes, eles navegam sem passar pelas regras...

     

                  Por exemplo:

    Montei uma regra que estava funcionando corretamente usando autenticação pelo meu AD.... Porém tenho na empresa uns Pockets que utilizam a internet para sincronizar com meu servidor fora... Eles usam a conexão das máquinas para acessar a internet...

     

                  Se deixo a regra como somente usuários liberados do meu AD, ele bloqueia os Anonymous... Sendo assim da pau na sincronização...

     

                  Pra resolver o problema eu coloquei na minha regra "Todos os usuários"... Mas e ai que ta... As estações clientes, se for removido o proxy, eles navegam sem problemas por sites proibidos...

     

    Se alguém puder me dar uma dica...

     

    Obrigado pessoal!

     

    sexta-feira, 23 de janeiro de 2009 19:09

Respostas

  • Fabinho,

     

    Oque vc pode fazer nesse caso é bloquear a alteração do proxy no internet explorer.

    JA q vc nao pode bloquear o acesso para usuarios autenticados.

     

     

    Espero ter ajudado.

     

    Se util nao esqueça de marcar como resposta.

     

    abraços

    sábado, 24 de janeiro de 2009 16:03
    Moderador
  • Crie uma regra específica  para a url, domain, ou ip do "servidor" que os clientes precisam para sincronizar as informações liberando o acesso para  all users.

     

    segunda-feira, 26 de janeiro de 2009 19:11
  • E aí Fábio tudo bem?

    Não sou o Luiz mas talvez eu consiga te ajudar.

    Isso tá com problema de ser o tipo de cliente que voce tá usando... Tá usando SecureNAT (gateway com o ip do isa configurado), WebProxy (proxy configurado no IE) ou os dois juntos?
    Lembrando que o SecureNAT não suporta autenticação, portanto, se a regra valer apenas para usuários autenticados, o SecureNat não funciona.

    Outra dica, pra ele não logar como usuário anônimo, marque a seguinte opção:

    Configuration > Networks > Internal Network > Propriedades

    Na guia Web Proxy > Botão Authentication

    Marque a opção "Requires all user to authenticate"

    E ve se funciona. Se alguem sentar numa maquina e logar local por exemplo, quando abrir o IE ele vai pedir usuario e senha. Se tiver no domínio, ele usa as proprias credenciais para acesso.

    Teste e retorne os resultados... Abraço

    • Marcado como Resposta Fábio Gomes terça-feira, 3 de março de 2009 19:12
    terça-feira, 3 de março de 2009 17:34
  • Legal cara...

    Só pra complementar, tem um vídeo do Bruno Cesar Silva muito bom sobre os clientes ISA. Se interessar, segue o link:

    http://video.msn.com/video.aspx/?mkt=pt-br&vid=217e1943-e623-4a33-a72f-2b6098f2959b&wa=wsignin1.0

    Se útil, classifique!

    Abraço velho!


    MCDST MCS Server 2003 Tudo posso naquele que me fortalece!
    • Marcado como Resposta Fábio Gomes terça-feira, 3 de março de 2009 19:12
    terça-feira, 3 de março de 2009 18:25

Todas as Respostas

  • Fabinho,

     

    Oque vc pode fazer nesse caso é bloquear a alteração do proxy no internet explorer.

    JA q vc nao pode bloquear o acesso para usuarios autenticados.

     

     

    Espero ter ajudado.

     

    Se util nao esqueça de marcar como resposta.

     

    abraços

    sábado, 24 de janeiro de 2009 16:03
    Moderador
  • Crie uma regra específica  para a url, domain, ou ip do "servidor" que os clientes precisam para sincronizar as informações liberando o acesso para  all users.

     

    segunda-feira, 26 de janeiro de 2009 19:11
  • Vou testar na parte da tarde e te falo se deu certo.

     

    Obrigado

     

    terça-feira, 27 de janeiro de 2009 12:13
  •  

    Blzura.

    qq coisa grita.

    terça-feira, 27 de janeiro de 2009 12:17
    Moderador
  •  Luiz tudo bem?

    Estava precisando de outra ajuda sobre usuários anonymous. É um seguinte...

    Eu estava criando regras de bloqueio e liberação para devidos setores... Até ai tudo bem. Com isso só navegavam quem era autenticado pelo meu AD...

    Bom, então comecei a ter problemas em acessar alguns sites como "Google"... Com o monitoramento de trafego percebi que ele estava se autenticando como usuário anonymous e não com usuário que está logado na máquina... Estou achando isso mto estranho...

    Com isso tive que retirar minhas regras que eu utilizava por setor e colocar uma regra padrão liberando para todos usuários...

    Poderia-me dar alguma dica?

    Abs.




    terça-feira, 3 de março de 2009 17:11
  • E aí Fábio tudo bem?

    Não sou o Luiz mas talvez eu consiga te ajudar.

    Isso tá com problema de ser o tipo de cliente que voce tá usando... Tá usando SecureNAT (gateway com o ip do isa configurado), WebProxy (proxy configurado no IE) ou os dois juntos?
    Lembrando que o SecureNAT não suporta autenticação, portanto, se a regra valer apenas para usuários autenticados, o SecureNat não funciona.

    Outra dica, pra ele não logar como usuário anônimo, marque a seguinte opção:

    Configuration > Networks > Internal Network > Propriedades

    Na guia Web Proxy > Botão Authentication

    Marque a opção "Requires all user to authenticate"

    E ve se funciona. Se alguem sentar numa maquina e logar local por exemplo, quando abrir o IE ele vai pedir usuario e senha. Se tiver no domínio, ele usa as proprias credenciais para acesso.

    Teste e retorne os resultados... Abraço

    • Marcado como Resposta Fábio Gomes terça-feira, 3 de março de 2009 19:12
    terça-feira, 3 de março de 2009 17:34
  •  Fala Marcelo!

               Bom hj meu cenario é assim...

               Tenho um Link ligado a meu Roteador e dele para ISA...

               Realmente no ISA esta com SecureNAT e WebProxy configurado no IE sim....

               Em primeiro lugar vou retirar o SecureNAT e efetuar essas configurações que vc me passou...

    Te retorno já já...


    Abs.
    terça-feira, 3 de março de 2009 17:53
  • Fabio, antes de tirar o SecureNat, marque a opção de autenticação e teste... só depois, se não der certo, voce tira o secure ok?

    Abraço
    MCDST MCS Server 2003 Tudo posso naquele que me fortalece!
    terça-feira, 3 de março de 2009 17:54
  • Olha parece que deu certo...  Vou monitorar aqui e no final da tarde te aviso.

    Muito obrigado!



    terça-feira, 3 de março de 2009 18:20
  • Legal cara...

    Só pra complementar, tem um vídeo do Bruno Cesar Silva muito bom sobre os clientes ISA. Se interessar, segue o link:

    http://video.msn.com/video.aspx/?mkt=pt-br&vid=217e1943-e623-4a33-a72f-2b6098f2959b&wa=wsignin1.0

    Se útil, classifique!

    Abraço velho!


    MCDST MCS Server 2003 Tudo posso naquele que me fortalece!
    • Marcado como Resposta Fábio Gomes terça-feira, 3 de março de 2009 19:12
    terça-feira, 3 de março de 2009 18:25
  • Marcelo muito obrigado. Era exatamente esse minha duvida. Agora ficou mto bem esclarecido.

    Vlw!
    terça-feira, 3 de março de 2009 19:13
  • Legal cara! Esse vídeo do Bruno é show mesmo.. me ajudou muito a primeira vez que vi!

    Abraço
    MCDST MCS Server 2003 Tudo posso naquele que me fortalece!
    terça-feira, 3 de março de 2009 19:15
  • Fábio,

    O problema acredito que ficou mascarado.
    Porque, toda primeira comunicação entre client e ISA vai como anonimo, então semprea aparecerá no monitoramento.

    Cuidado em retirar o securenat, pois sem ele, seus aplicativos de e-mail podem não funcionar.
    ao menos que vc utilize o Firewall client.

     

    Mais uma dica, ess ebotão que vc marcou "Requires all user to authenticate" pode trazer problemas em aplicações. Normalmente não usamos o mesmo.

     

    abraços


    Luiz Fernando Dias
    terça-feira, 3 de março de 2009 19:55
    Moderador
  • Luiz,

    Quanto ao secure Nat realmente cheguei a citar pra ele testar sem tirar essa opção... muitos aplicativos não vão realmente funcionar direito sem o secureNat. Agora, poderia me dar uma dica de pq não usamos a opção REquires all user do authenticate?

    Aqui eu uso pro caso de alguns notebooks que não estão no domínio, eles configuram o proxy e ele pede autenticação.. sem a opção marcada, não consigo dar acesso pra eles, a não ser que libere pra all users.

    Pode me dar uma dica?

    Valeu! ABraço
    MCDST MCS Server 2003 Tudo posso naquele que me fortalece!
    terça-feira, 3 de março de 2009 20:25
  • Marcelo,

    A experiencia externa com essa opção marcada não é muito boa, pois na maioria dos casos, dependendo do seu ambiente vc faz parar algumas aplicações que se comunicam com a internet.

    No seu caso, basta vc colocar o tipo BASIC de autenticação para trabalhar juntamente com o INTEGRATED, que toda vez que uma maquina não estiver no dominio, e vc chamar um navegador será aberto o prompt para ele inserir usuário e senha válidos.

    Faz um teste e me diz.

    Abraços
    Luiz Fernando Dias
    quarta-feira, 4 de março de 2009 13:24
    Moderador
  • Luiz,

    Obrigado pela explicação! Vou fazer os testes no fim de semana! Grande abraço!
    MCDST MCS Server 2003 Tudo posso naquele que me fortalece!
    quarta-feira, 4 de março de 2009 17:05
  • MArcelo,

    Ok depois posta aqui o resultado blz?

    ficamos no aguardo

    abraços
    Luiz Fernando Dias
    quinta-feira, 5 de março de 2009 14:52
    Moderador
  •  Grande Luiz tudo bem?

             Desculpem a demoro...

    Luiz é um seguinte,

              Fiz vários testes com as três opções de autenticação. Hoje acabou ficando assim... Secure Nat, Sem a opção de Requires all user do authenticate e com Web Proxy...

              Como vc mesmo disse... Quando retiro o Secure Nat e deixo como Requires All user do Authenticate alguns serviços param de funcionar... Até ai minha rede está funcionando blz...

              Como Marcelo disse, aqui na empresa tb tem algumas máquinas fora do domínio, mas quando tentam acessar a internet aparece a tela do prompt para eles inserirem o usuário... Bom, as vezes sim e outras não... Não sei o por que...


               O meu maior problema está sendo com acesso ao Google... Às vezes ele trava e não conseguimos acessar mais a página... Como usamos algumas funcionalidades do google Maps, isso esta gerando um transtorno muito grande....

               Neste caso vc teria alguma dica?

    quinta-feira, 12 de março de 2009 15:02
  • Fabio,

    Vc deixando BASIC e INTEGRATED no modo de autenticação, mesmos os usuários que estao fora do dominio terãoq eu autenticar com a caixinha que esta aparecendo.

    Acredito que nao deva estar aparecendo a caixinha por dois motivos:

    - vc tem uma regra liberando determinados sites para ALL USERS.

    - O usuário esta com sessao do IE aberta, consequentemente o usuario ja inserido será utilizado.

     

    Sobre o google, precisava dar uma analisada no monitoramento para ver onde est aparando, vc ja o fez?

     

    Abraços


    Luiz Fernando Dias - MVP
    quinta-feira, 12 de março de 2009 15:31
    Moderador