none
Авторизация пользователя на TMG и совпадение портов назначения и прокси сервера. RRS feed

  • Вопрос

  • Всем привет!

    Столкнулся со следующей проблемой TMG:

    Пользователь внутри сети через прокси пытается получить доступ на сайт http://www.samaragost.ru к разделу Сервисы и БД > Тарифный справочник, на что получает ошибку на странице:

    503 Service Unavailable
    Failed to connect to server 213.156.218.249

    В журнале по этому поводу присутствует только один отказ:

    Отклоненное соединение	PROXYNAME 19.08.2013 13:29:07 
    Тип журнала: Веб-прокси (прямой) 
    Состояние: 12209 Для выполнения запроса компоненту Forefront TMG требуется авторизация. Доступ к фильтру веб-прокси запрещен.  
    Правило: Стандартный доступ в интернет 
    Источник: Внутренняя (W.X.Y.Z:57579) 
    Назначение: Внешняя (A.B.C.D:8080) 
    Запрос: GET http://213.156.218.249:8080/poverka/search_f_scn.jsp 
    Информация фильтра: Req ID: 069e0a64; Compression: client=No, server=No, compress rate=0% decompress rate=0% 
    Протокол: http 
    Пользователь: anonymous 

    Как видно совпадают порты доступа к прокси и порт сайта (http\8080), хотя как это может служить помехой я не понимаю. И, отчего-то, пользователь не признается, а шлется как анонимный.

    Правило, под которое попадает пользователь, сайт и протокол вот такое:

    Как видно, я даже создал отдельный протокол HTTP8080, который узнается при имитации трафика, но упорно не узнается при отказе (возможно так и должно быть):

    Есть у кого-нибудь соображения по поводу того, что пользователь пытается пролезть анонимно, хотя для доступа ко всем остальных компонентам данного сайта он успешно авторизуется?

    19 августа 2013 г. 10:25

Ответы

  • Возможно, сайт пытается выполнить в браузере приложение (например, на java), которое не поддерживает авторизацию.

    В таких случаях имеет смысл создать правило, разрешающее доступ для всех пользователей к указанному URL и разместить его выше любых (и запрещающих, и разрешающих) правил для протоколов HTTP и HTTPS, требующих аутентификации (т.е., включающих каких-либо пользователей кроме группы "все пользователи").

    PS Протокол в этом правиле должен быть указан как HTTP - для веб-прокси клиента TMG определяет тип протокола не по порту TCP а по URL.


    Слава России!

    • Помечено в качестве ответа LOOKrecy 19 августа 2013 г. 11:51
    19 августа 2013 г. 10:50

Все ответы

  • Возможно, сайт пытается выполнить в браузере приложение (например, на java), которое не поддерживает авторизацию.

    В таких случаях имеет смысл создать правило, разрешающее доступ для всех пользователей к указанному URL и разместить его выше любых (и запрещающих, и разрешающих) правил для протоколов HTTP и HTTPS, требующих аутентификации (т.е., включающих каких-либо пользователей кроме группы "все пользователи").

    PS Протокол в этом правиле должен быть указан как HTTP - для веб-прокси клиента TMG определяет тип протокола не по порту TCP а по URL.


    Слава России!

    • Помечено в качестве ответа LOOKrecy 19 августа 2013 г. 11:51
    19 августа 2013 г. 10:50
  • В таких случаях имеет смысл создать правило, разрешающее доступ для всех пользователей к указанному URL и разместить его выше любых (и запрещающих, и разрешающих) правил для протоколов HTTP и HTTPS, требующих аутентификации (т.е., включающих каких-либо пользователей кроме группы "все пользователи").

    Спасибо. Именно так и пришлось сделать. Правда еще дополнительно пришлось исключить для этого адреса из цепочки сервер, который занимался проверкой трафика на вирусы. Но тут уже другой продукт. Покручу его настройки отдельно.
    19 августа 2013 г. 11:55