none
Problemas autenticação Radius utilizando IAS no isa 2004 (Ajuda) RRS feed

  • Pergunta

  •  

    Estou implementando um ISA com autenticação via RADIUS (IAS) e estou tendo os seguintes problemas:


    Estrutura:

    1 ISA - 2 Placas de rede (Internet e Interna) - O ISA não faz parte do domínio
    Habilitei a descoberta do wpad no isa.
    Configurei a autenticacao via RADIUS apontando para meu servidor IAS.

    1 DC, DNS Integrado e IAS (Na mesma máquina) - DC Nível Funcional Win 2003
    Criei um grupo chamado gerente e um chamado adm para teste. Criei 2 usuários. 1 adicionei ao grupo gerente e outro ao grupo adm.
    Configurei o IAS para permitir acesso remoto para o grupo gerente e adm.
    DNS encaminhando para DNS do meu provedor para consultas externas.

    Criei um wpad (cname) no meu dns apontando para placa de rede interna do meu isa.

    1 Servidor Membro para teste.
    O DNS primário apontando para meu DC.


    Problemas:

    Quando crio uma Firewall Policy permitindo acesso http, https, dns da rede interna para internet e com o grupo dominio\gerente ou adm não consigo acesso a www.globo.com por exemplo.
    Depois de muito bater cabeça eu criei a mesma policy mais dando permissão para o dominio\usuario e o acesso ao site www.globo.com funcionou.

    Pergunta: Na autenticação via RADIUS só funciona firewall policy para usuário?

    Caso funcione também para grupo alguém pode me dar uma dica de como resolver o problema?


    Quando eu coloco no Internet explorer para detectar as configurações automaticamente meu acesso a internet não funciona.

    Para funcionar eu tenho que configurar o proxy automaticamente com o ip interno do meu isa porta 8080.


    Eu precisarei criar uma firewall policy permitindo o servidor onde está meu servidor DNS para consultar DNS na internet?

    Eu criei essa firewall policy e deixei como a primeira da lista mais também não funcionou nos casos q demostro abaixo.


    Regras que testei no firewall, umas funcionaram outras não:

    1º Funciona:

    Permite dominio\usuario da rede interna para externa dns, http e https. (dessa forma a autenticacao RADIUS funciona).


    2º Não funciona:

    Permite dominio\grupo (gerente ou adm) da rede interna para externa dns, http e https. (dessa forma a autenticacao RADIUS não funciona).


    3º funciona:

    Primeira regra: permite allusers do servidor DNS para rede interna para externa - DNS.
    Segunda regra: Permite dominio\usuario da rede interna para externa dns, http e https. (dessa forma a autenticacao RADIUS funciona).


    4º Não funciona:

    Primeira regra: permite allusers do servidor DNS para rede interna para externa - DNS.
    Segunda regra: Permite dominio\grupo (gerente ou adm) da rede interna para externa dns, http e https. (dessa forma a autenticacao RADIUS não funciona)

     


    Alguém que já tenha implementado radius no isa poderia me dar umas dicas de como resolver esses probleminhas?

     


     

    • Movido Hengzhe Li quarta-feira, 28 de março de 2012 04:25 (De:ISA Server 2004)
    quarta-feira, 23 de abril de 2008 04:21

Respostas

Todas as Respostas

  • Olá Bruno,

     

    Você tem alguma necessidade em particular para usar RADIUS? Por que você não usa LDAP Authentication? Digo isso pois a autenticação com RADIUS traz uma série de limitações no ISA, veja o artigo abaixo para maiores informações:

    http://www.microsoft.com/technet/isa/2004/isaradiuswebproxy.mspx

     

    No seu caso você provavelmente está tendo a limitação descrita nesta parte do artigo:

    When you create an access rule with RADIUS authentication, you can specify that the rule should apply to specific users, or to all users in the RADIUS namespace. This may be a limitation if you wish to control access for a particular group of users. If you want to apply the rule to a particular group of users, you can configure a remote access policy on the RADIUS server to limit user access to a specific group.

    Para a questão da configuração automática, a pergunta é: você já configurou o WPAD no DNS/DHCP? Caso não tenha configurado ainda, veja o artigo abaixo que explica como implementar:

    http://www.microsoft.com/technet/isa/2004/plan/automaticdiscovery.mspx

     

    Espero que isso lhe ajude.

     

    Grato,

     

    _____________________

    Yuri Diogenes [MSFT]

    http://blogs.technet.com/yuridiogenes

     

     

    segunda-feira, 28 de abril de 2008 17:05
  • Yuri,

     

    A questão do WPAD eu já criei sim mas somente no DNS. Vou tentar criar no DHCP também e verificar.

     

    Eu não quero colocar a máquina no domínio para autenticação no AD. Isso deixaria meu ISA mais vulnevável a ataques.

     

    É, realmente eu descobri que o RADIUS possui essa limitação.

     

    Obrigado.

    segunda-feira, 28 de abril de 2008 17:14
  • Olá Bruno,

     

    Você não precisa colocar no domínio para usar LDAP. Aqui a documenação acerca deste método:

    http://technet.microsoft.com/en-us/library/bb839060.aspx

     

    Além disso, se você usar Certificate Services, você ainda poderá configura LDAPs para publicação de servidores Web. Aqui mais uma doc que exemplifica isso:

    http://www.microsoft.com/technet/isa/2006/secure_web_publishing.mspx

     

    Abraço,

     

    Yuri Diogenes [MSFT]

    http://blogs.technet.com/yuridiogenes

     

    segunda-feira, 28 de abril de 2008 18:26
  •  

    Isso funciona com o ISA 2004 ou somente com o ISA 2006?
    segunda-feira, 28 de abril de 2008 18:38
  • Olá Bruno,

     

    A autenticação LDAP não é de fato suportada no ISA 2004, porém se há uma demanda grande para manter a configuração do ISA em workgroup então talvez este seja um bom momento para enumerar as vantagens do ISA 2006 neste aspecto.

     

    Grande abraço,

     

    ___________________________________

    Yuri Diogenes [MSFT]

    http://blogs.technet.com/yuridiogenes

     

    segunda-feira, 28 de abril de 2008 18:44
  • Vou tentar criar um ambiente de teste com ISA 2006 e implementar essa nova funcionalidade. Com o LDAP não há nenhuma limitação em criar policys no ISA com grupos como acontece no RADIUS/IAS?

     

    Muito obrigado pela atenção.

     

    Você não teria um documento que fala sobre as novidades do ISA 2006 em relação ao ISA 2004?

     

     

    Bruno

     

     

    segunda-feira, 28 de abril de 2008 18:56
  • Olá Bruno,

     

    No que diz respeito a Autenticação tem o artigo abaixo que explica as novidades do ISA 2006:

    http://www.microsoft.com/technet/isa/2006/authentication.mspx

     

    Faça um lab e veja se as suas necessidades neste aspecto são cobertas pelo ISA 2006.

     

     

    segunda-feira, 28 de abril de 2008 19:16
  •  

    Olá Bruno,

     

    Só para clarificar este artigo que fala de autenticação que mencionei acima (pois não está explícito): a autenticação LDAP é um recurso novo no 2006, mas para publicação de recursos não para "access rule". Se você pensa em implementar isso para "acess rule" receberá a seguinte mensagem de erro:

     

    "The authentication method (LDAP) selected for user set is not valid for an access. The rule connot be saved until you change the authentication method or select a different user set."

     

    Desta forma, se o objetivo é access rule então terás esta limitação, porém se o objetivo final é publishing rules então poderás utilizar.

     

    Abraço,

     

     

    terça-feira, 29 de abril de 2008 01:28
  • É Yuri, meu objetivo era criação de access rules. Mais tudo bem, já foi de grande ajuda suas dicas.

     

    Muito obrigado.

     

     

    Bruno

    terça-feira, 29 de abril de 2008 12:21