Usuário com melhor resposta
Anonymous + Proxy

Pergunta
-
Pessoal,
Estou tendo problemas com autenticação de usuários Anonymous. Quando retiro o proxy das estações clientes, eles navegam sem passar pelas regras...
Por exemplo:
Montei uma regra que estava funcionando corretamente usando autenticação pelo meu AD.... Porém tenho na empresa uns Pockets que utilizam a internet para sincronizar com meu servidor fora... Eles usam a conexão das máquinas para acessar a internet...
Se deixo a regra como somente usuários liberados do meu AD, ele bloqueia os Anonymous... Sendo assim da pau na sincronização...
Pra resolver o problema eu coloquei na minha regra "Todos os usuários"... Mas e ai que ta... As estações clientes, se for removido o proxy, eles navegam sem problemas por sites proibidos...
Se alguém puder me dar uma dica...
Obrigado pessoal!
Respostas
-
-
-
E aí Fábio tudo bem?
Não sou o Luiz mas talvez eu consiga te ajudar.
Isso tá com problema de ser o tipo de cliente que voce tá usando... Tá usando SecureNAT (gateway com o ip do isa configurado), WebProxy (proxy configurado no IE) ou os dois juntos?
Lembrando que o SecureNAT não suporta autenticação, portanto, se a regra valer apenas para usuários autenticados, o SecureNat não funciona.
Outra dica, pra ele não logar como usuário anônimo, marque a seguinte opção:
Configuration > Networks > Internal Network > Propriedades
Na guia Web Proxy > Botão Authentication
Marque a opção "Requires all user to authenticate"
E ve se funciona. Se alguem sentar numa maquina e logar local por exemplo, quando abrir o IE ele vai pedir usuario e senha. Se tiver no domínio, ele usa as proprias credenciais para acesso.
Teste e retorne os resultados... Abraço- Marcado como Resposta Fábio Gomes terça-feira, 3 de março de 2009 19:12
-
Legal cara...
Só pra complementar, tem um vídeo do Bruno Cesar Silva muito bom sobre os clientes ISA. Se interessar, segue o link:
http://video.msn.com/video.aspx/?mkt=pt-br&vid=217e1943-e623-4a33-a72f-2b6098f2959b&wa=wsignin1.0
Se útil, classifique!
Abraço velho!
MCDST MCS Server 2003 Tudo posso naquele que me fortalece!- Marcado como Resposta Fábio Gomes terça-feira, 3 de março de 2009 19:12
Todas as Respostas
-
-
-
-
-
Luiz tudo bem?
Estava precisando de outra ajuda sobre usuários anonymous. É um seguinte...
Eu estava criando regras de bloqueio e liberação para devidos setores... Até ai tudo bem. Com isso só navegavam quem era autenticado pelo meu AD...
Bom, então comecei a ter problemas em acessar alguns sites como "Google"... Com o monitoramento de trafego percebi que ele estava se autenticando como usuário anonymous e não com usuário que está logado na máquina... Estou achando isso mto estranho...
Com isso tive que retirar minhas regras que eu utilizava por setor e colocar uma regra padrão liberando para todos usuários...
Poderia-me dar alguma dica?
Abs.
-
E aí Fábio tudo bem?
Não sou o Luiz mas talvez eu consiga te ajudar.
Isso tá com problema de ser o tipo de cliente que voce tá usando... Tá usando SecureNAT (gateway com o ip do isa configurado), WebProxy (proxy configurado no IE) ou os dois juntos?
Lembrando que o SecureNAT não suporta autenticação, portanto, se a regra valer apenas para usuários autenticados, o SecureNat não funciona.
Outra dica, pra ele não logar como usuário anônimo, marque a seguinte opção:
Configuration > Networks > Internal Network > Propriedades
Na guia Web Proxy > Botão Authentication
Marque a opção "Requires all user to authenticate"
E ve se funciona. Se alguem sentar numa maquina e logar local por exemplo, quando abrir o IE ele vai pedir usuario e senha. Se tiver no domínio, ele usa as proprias credenciais para acesso.
Teste e retorne os resultados... Abraço- Marcado como Resposta Fábio Gomes terça-feira, 3 de março de 2009 19:12
-
Fala Marcelo!
Bom hj meu cenario é assim...
Tenho um Link ligado a meu Roteador e dele para ISA...
Realmente no ISA esta com SecureNAT e WebProxy configurado no IE sim....
Em primeiro lugar vou retirar o SecureNAT e efetuar essas configurações que vc me passou...
Te retorno já já...
Abs. -
-
-
Legal cara...
Só pra complementar, tem um vídeo do Bruno Cesar Silva muito bom sobre os clientes ISA. Se interessar, segue o link:
http://video.msn.com/video.aspx/?mkt=pt-br&vid=217e1943-e623-4a33-a72f-2b6098f2959b&wa=wsignin1.0
Se útil, classifique!
Abraço velho!
MCDST MCS Server 2003 Tudo posso naquele que me fortalece!- Marcado como Resposta Fábio Gomes terça-feira, 3 de março de 2009 19:12
-
-
-
Fábio,
O problema acredito que ficou mascarado.
Porque, toda primeira comunicação entre client e ISA vai como anonimo, então semprea aparecerá no monitoramento.
Cuidado em retirar o securenat, pois sem ele, seus aplicativos de e-mail podem não funcionar.
ao menos que vc utilize o Firewall client.Mais uma dica, ess ebotão que vc marcou "Requires all user to authenticate" pode trazer problemas em aplicações. Normalmente não usamos o mesmo.
abraços
Luiz Fernando Dias -
Luiz,
Quanto ao secure Nat realmente cheguei a citar pra ele testar sem tirar essa opção... muitos aplicativos não vão realmente funcionar direito sem o secureNat. Agora, poderia me dar uma dica de pq não usamos a opção REquires all user do authenticate?
Aqui eu uso pro caso de alguns notebooks que não estão no domínio, eles configuram o proxy e ele pede autenticação.. sem a opção marcada, não consigo dar acesso pra eles, a não ser que libere pra all users.
Pode me dar uma dica?
Valeu! ABraço
MCDST MCS Server 2003 Tudo posso naquele que me fortalece! -
Marcelo,
A experiencia externa com essa opção marcada não é muito boa, pois na maioria dos casos, dependendo do seu ambiente vc faz parar algumas aplicações que se comunicam com a internet.
No seu caso, basta vc colocar o tipo BASIC de autenticação para trabalhar juntamente com o INTEGRATED, que toda vez que uma maquina não estiver no dominio, e vc chamar um navegador será aberto o prompt para ele inserir usuário e senha válidos.
Faz um teste e me diz.
Abraços
Luiz Fernando Dias -
-
-
Grande Luiz tudo bem?
Desculpem a demoro...
Luiz é um seguinte,
Fiz vários testes com as três opções de autenticação. Hoje acabou ficando assim... Secure Nat, Sem a opção de Requires all user do authenticate e com Web Proxy...
Como vc mesmo disse... Quando retiro o Secure Nat e deixo como Requires All user do Authenticate alguns serviços param de funcionar... Até ai minha rede está funcionando blz...
Como Marcelo disse, aqui na empresa tb tem algumas máquinas fora do domínio, mas quando tentam acessar a internet aparece a tela do prompt para eles inserirem o usuário... Bom, as vezes sim e outras não... Não sei o por que...
O meu maior problema está sendo com acesso ao Google... Às vezes ele trava e não conseguimos acessar mais a página... Como usamos algumas funcionalidades do google Maps, isso esta gerando um transtorno muito grande....Neste caso vc teria alguma dica?
-
Fabio,
Vc deixando BASIC e INTEGRATED no modo de autenticação, mesmos os usuários que estao fora do dominio terãoq eu autenticar com a caixinha que esta aparecendo.
Acredito que nao deva estar aparecendo a caixinha por dois motivos:
- vc tem uma regra liberando determinados sites para ALL USERS.
- O usuário esta com sessao do IE aberta, consequentemente o usuario ja inserido será utilizado.
Sobre o google, precisava dar uma analisada no monitoramento para ver onde est aparando, vc ja o fez?
Abraços
Luiz Fernando Dias - MVP