none
Acesso anonimo à internet RRS feed

  • Pergunta

  • Amigos,

     

    Me ajudem no seguinte:

    Eu gostaria de que todos os meus usuários que utilizem a internet fizessem autenticaçao para ter acesso à mesma.

     

    eu ja fui la em redes e marquei "requer que todos os usuarios de autentiquem" porem quando fiz isso bloqueou todo o acesso interno.

     

    Como faço para que eles se autentiquem sem prejudicar em nada?

     

    Abraços

    quarta-feira, 25 de julho de 2007 16:45
    Moderador

Respostas

  • Não. Se você deixou a opção "Integrated" ativada lá em Networks "configure Alowed Authentication Methods", ele vai tentar autenticar na hora, com o usuário que tiver logado. Se a máquina tiver fora do domínio e você configurar o proxy no IE, ele pede usuário e senha. Se a máquina tiver no domínio, é automático.
    terça-feira, 31 de julho de 2007 14:18

Todas as Respostas

  • Boa tarde Luiz.

     

    Antes de realizar essa alteração que vc ativou vc deve criar no seu ISA um grupo amarrando o mesmo a um grupo no seu AD, aonde os usuários que terão acesso a net serão membros, na regra de liberação de acesso vc da acesso a esse grupo, ai vc realiza a alteração para que o ISA solicite autenticação.

    qualquer coisa post aqui.

    quarta-feira, 25 de julho de 2007 17:08
  • Na realidade sao todos os usuarios que acessam a internet.

    Eu devo criar um novo grupo?

    Nao existe uma maneira que eu deixe do jeito que esta e modifique uma config na parte de autenticaçao que mude isso??

     

    abraços

    quarta-feira, 25 de julho de 2007 18:36
    Moderador
  • Luiz, tudo bem?

    Deixe-me lhe explicar uma coisa, sobre as formas de acesso ao ISA server. Existem basicamente 3 formas: SecureNAT, Proxyclient, e ISA Client.

    O secureNAT seria o NAT seguro fornecido pelo ISA, onde você configura seus clientes com o ip do Gateway apontando para sua máquina ISA e configura um DNS para resolver os nomes externos. Essa configuração não exige nenhuma configuração específica nos navegadores, porém não fornece autenticação nenhuma, ou seja, todo cliente HTTP secureNAT é por definição, um acesso anônimo. Por isso, quando você clicou na placa de rede e exigiu autenticação, todos ficaram sem navegação.

    O Webproxy client, é a configuração onde normalmente você configura os navegadores apontando para seu ISA server como servidor proxy (nomalmente a configuração é XXX.XXX.XXX.XXX (ip do ISA server) na porta 8080, para todos os protocolos), e essa sim é uma forma de autenticar. Portanto, se você configurar a placa de rede exigindo autenticação para navegar, ao menos a configuração do proxy tem que ser feita. Se você deixar selecionada a opção INTEGRATED, e tiver AD na rede, o navegador vai autenticar automaticamente com o usuario que estiver logado. Você pode fazer a configuração de todos os clientes com internet explorer via GPO. Se quiser me passe um email que tenho um script para confifurar o firefox com proxy automaticamente.

    A terceira opção seria o ISA Client, porém, esta exige a instalação de software, no caso, o cliente do ISA server apontando adequadamente para o servidor.

    Resumindo então:

    Há duas formas válidas de autenticar os usuários: com autenticação integrada nos browsers, AD e proxy configurado ou ISA client instalado.

    Por favor, me diga se pude ajudá-lo.

    Um abraço


    sábado, 28 de julho de 2007 00:10
  •  

    Eduardo,

     

    Entao hj eu tenho todas as minhas placas clientes configuradas da seguinte maneira, obter automaticamente o IP porem com o gateway setado apontando para o meu isa, e os DNS.

    Ele só me registra no ISA quem tenta acessar algum site que esteja proibido. Por ex se eu acessar o orkut, ai sim ele marca la quem tentou acessar caso contrario ele mete um anonimo.

    OS navegadores estao com o proxy setados na porta 8080.

     

    Devo retirar o gateway da placa entao?

     

    Abraços

    segunda-feira, 30 de julho de 2007 18:45
    Moderador
  •  

    Oi Luiz,

     

    Não, não retire o Gateway da placa, pois se o fizer, as aplicações que usam SecureNAT deixam de funcionar, como email pop3, smtp e outras. Deixe o Gateway apontando para o ISA normalmente.

     

    Você disse que marcou a opção "requerer que todos os usuarios autentiquem", lá na rede interna. Desmarque essa opção. Crie uma regra específica para HTTP/HTTPs e FTP e ao invés de liberar para "All Uses" na condition, libere para "All Authenticated Users". É importanto que a regra contenha somente os protocolos HTTP/HTTPs e FTP, pois se contiver outros e você exigir autenticação, não funcionação, a menos que você instale o ISA Client.

     

    Então resumindo:

     

    Desmarque "requerer que todos autentiquem"

    Crie uma Regra para HTTP/HTTPs e FTP com a Condition de "All Authenticated Users"

    Verifique as configurações de proxy.

     

    Se der certo, dé um toque por aqui e indique o tópico como resposta adequada.

     

    Abraços

     

     

    Eduardo Honorato

    Microsoft Certified Professional

     

    segunda-feira, 30 de julho de 2007 21:04
  •  

    Oi Eduardo,

     

    Eu devo substituir a regra q eu tenho liberando o FTP entao?

    Ou faço uma regra bloqueando antes dessa que eu tenho???

     

    valeu pela ajuda

    abraçao

    segunda-feira, 30 de julho de 2007 21:20
    Moderador
  • Oi Luiz,

    Talvez você já saiba disso, mas as regras no ISA são executadas de  cima para baixo. Assim, se tiver duas regras tratando do mesmo protocolo, ele irá validar e aplicar a que vier primeiro. Para o caso do FTP, faça apenas se você quiser ter o controle sobre FTP também. Senão, pode deixar o acesso FTP como anonimo mesmo, e crie as  regras com autenticação apenas para HTTP/HTTPS.

    terça-feira, 31 de julho de 2007 12:33
  • oi Eduardo,

     

    Entao eu sei que sao de cima pra baixo, sem crise.

    Mas vc acha que se eu criar uma regra acima dessa minha que tenho hj, negando o acesso a todos e liberando somente para os autenticados em http e https ele vai me dar algum tipo de problema???

     

    Resumindo apenas crio mais uma regra negando o acesso e liberando para autenticados, dali pra baixo fica normal inclusive a que libera internet.

     

    O que vc acha?

     

    Abraços

    terça-feira, 31 de julho de 2007 12:58
    Moderador
  • Luiz,

     

    Faça o seguinte. Retire o HTTP e HTTPs de qualquer regra que você tiver atualmente, para não ter problemas. Crie uma regra específica pra HTTP/HTTPs liberando somente para autenticados. Não precisa criar regra nenhuma de negação a menos que você queira bloquear alguma coisa.

     

    É isso aí. 

    terça-feira, 31 de julho de 2007 13:49
  • Eduardo,

     

    Eu tava pensando no que vc falou, eu posso remover dessa minha regra que libera internet o "todos os usuarios"e deixar somente os "usuarios autenticados"?

    Da na mesma?

     

    abraços

     

    terça-feira, 31 de julho de 2007 14:02
    Moderador
  • Sim, dá na mesma, mas é preciso enfatizar algo que eu já disse antes.

    Se na regra você tiver algum protocolo além de HTTP/HTTPs e FTP todos os outros param de funcionar. Isso porque você estaria exigindo autenticação para qualquer protocolo funcionar, e os unicos que você consegue autenticar sem ISA Client é HTTP/HTTPs e FTP.

    Ok?
    terça-feira, 31 de julho de 2007 14:07
  •  

    NA regra eu tenho somente http, hhtps e ftp...as ouytras regras estao todas separadas.

    E ele passa a exigir autenticaçao quando? depois que fechar e abrir o IE??

     

    abraços

    terça-feira, 31 de julho de 2007 14:14
    Moderador
  • Não. Se você deixou a opção "Integrated" ativada lá em Networks "configure Alowed Authentication Methods", ele vai tentar autenticar na hora, com o usuário que tiver logado. Se a máquina tiver fora do domínio e você configurar o proxy no IE, ele pede usuário e senha. Se a máquina tiver no domínio, é automático.
    terça-feira, 31 de julho de 2007 14:18
  • Eduardo,

     

    show de bola funcionou que é uma blz...rsss

    Espero que nao me pare nada de funcionar...rsss

     

    Eu tenho um outro problema relacionado com VPN no isa vc manja tb?

    Se for o caso abro outro topico para conversarmos.

     

    Abraçaooo e obrigado

     

    ou se puder me mandar um email para conversarmos ou msn.

     

    hang_loose98@hotmail.com

     

    terça-feira, 31 de julho de 2007 16:37
    Moderador