none
Авторизация на TMG RRS feed

  • Вопрос

  • Здравствуйте.

     

    Появилась задача с установкой и настройкой TMG на предприятии.

    Сеть состоит из леса в котором есть корневой домен и подчиненные домены.

    TMG ставится в корневой домен и включатся в AD. IP адреса раздает DHCP.

    Теперь самое интересное - необходимо авторизовывать доменных пользователей на TMG без использования клиента.

    Трафик проходящий через TMG как обычный http так и с нестандартными портами (типа банк клиента)

    После установки и первоначальной настройке TMG создаю правило веб-доступа с разрешением определенных пользователей - результат - пользователей не пускает с ошибкой - пользователь не прошел проверку подлености. Ставлю в правиле "Для всех пользователей" - правило отрабатывает.

    Вот как то так, возможно ли авторизовывать пользователей без использования клиента?

    27 октября 2011 г. 15:14

Ответы

  • Тогда только через TMG клиента.
    • Помечено в качестве ответа Yuriy Lenchenkov 2 ноября 2011 г. 8:53
    28 октября 2011 г. 5:54
  • Хотелось бы понять как MS разрабатывал продукт и не заложил элементарную вещь как авторизацию своих же пользователей и с своего же AD.

    Сегодня ради интереса развернул Kerio Control (бесспорный на мой взгляд конкурент) так вот он абсолютно непринужденно авторизует АД пользователя без всякого клиента, причем без разницы по какому порту. Кроме это есть неплохой шейпер который так же режет скорость по AD пользователям. Единственное нельзя его собирать в массивы.

    Так собственно почему какой то Kerio Control превосходно справляется казалось бы с не типичной для него функцией, а TMG который согласно здравого смысла должен с этим функционалом работать на раз, два, три, а он .......


    Вы путаете теплое с мягким: керио не сможет аутенфицировать пользователей, он как и некоторые другие (циска например) делает банальную тупую вещь - динамически связывает на какое то время ip с именем пользователя и все, и потом авторизует юзера по ип, но без аутенфикации. МС не стала делать такого маразма, так как это никак не аутенфицирет пользователя и следовательно появляется лазейка которой легко воспользоваться (банально - терминальный сервер). а реально в IPv4 не существует понятия пользователь а следовательно и авторизовать по имени пользователя не может никто - это все делается через протоколы более выского уровня, например через прокси, клиента (который по своей сути очень близок к socks прокси), vpn (кстати может vpn подойдет? через него аутенфицируется любой трафик, включая icmp и ip level(gre, ipsec))
    • Помечено в качестве ответа Yuriy Lenchenkov 2 ноября 2011 г. 8:53
    31 октября 2011 г. 9:37
    Отвечающий
  • Я имею ввиду как выпустить пользователя не указывая в настройках прокси сервер. т.е. используя NAT. Допустим дать определенным пользователям доступ к внешней почте по портам pop и smtp.

    NAT технология не предусматривающая авторизации пользователей. Она ничего вообще о них не знает. Вдумайтесь в аббревиатуру Network Address Translation. Она работает на 3 уровне модели OSI. Какие пользователи? Только DHCP reservation и далее по IP адресам их машин.
    MCP:Exchange 2003
    • Помечено в качестве ответа Yuriy Lenchenkov 2 ноября 2011 г. 8:53
    1 ноября 2011 г. 11:32

Все ответы

  • Странно, это обычная конфигурация и все должно работать как говорится by-design.
    У нас все точно так же. Никаких вопросов при инсталяции и настройки авторизации не возникало.
    Ну ест-но изначально нужно создать необходимых AD пользователей (или группы) на самом TMG.


    Если используется нестандартное ПО на клиентах не поддерживающее авторизацию на прокси, то конечно без tmg клиента не обойтись.
    Если выйти в интернет через IE с адекватными настройками (использовать сквозную авторизацию в интрасети)  то все нормально?


    • Изменено Pavel Dm. _ 28 октября 2011 г. 2:41
    28 октября 2011 г. 2:40
  • Я имею ввиду как выпустить пользователя не указывая в настройках прокси сервер. т.е. используя NAT. Допустим дать определенным пользователям доступ к внешней почте по портам pop и smtp.
    28 октября 2011 г. 4:29
  • Тогда только через TMG клиента.
    • Помечено в качестве ответа Yuriy Lenchenkov 2 ноября 2011 г. 8:53
    28 октября 2011 г. 5:54
  • Неужели нет других вариантов. Такой продукт да за такие деньги и не умеет такую авторизацию?
    28 октября 2011 г. 6:06
  • Доступ к внешним pop и smtp.

    http://www.isaserver.org/articles/2004olpop3smtp.html


    MCITP. Знание - не уменьшает нашей глупости.
    28 октября 2011 г. 6:06
  • С данным продуктом - "TMG server" идет "TMG клиент" который и призван решать данную  проблему и к которому я отсылал вас выше. Кстати впринципе непонятно ваше нежелание его использоваться если он для этого и предназначен.

    Соответственно сказать, что TMG/ISA не не поддерживают данную фичу - нельзя.

     

    28 октября 2011 г. 6:15
  • Доступ к внешним pop и smtp.

    http://www.isaserver.org/articles/2004olpop3smtp.html


    MCITP. Знание - не уменьшает нашей глупости.
    pop и smtp были в качестве примера. В реале надо выпустить по другим портам (не стандартным)
    28 октября 2011 г. 6:22
  • С данным продуктом - "TMG server" идет "TMG клиент" который и призван решать данную  проблему и к которому я отсылал вас выше. Кстати впринципе непонятно ваше нежелание его использоваться если он для этого и предназначен.

    Соответственно сказать, что TMG/ISA не не поддерживают данную фичу - нельзя.

     

    есть компьютеры на которые нельзя ставить ничего лишнего, даже TMG клиента. А адрес они получают по dhcp, соответственно прописать их статически нельзя.
    28 октября 2011 г. 6:25
  • Рекомендую сделать DHCP резервирование для данного компа, а IP адрес все же вбить вручную, указать шлюзом по-умолчанию сервер TMG. Для локальной сети укажите второй роут, отправляющий на ваш шлюз в локальной сети.
    28 октября 2011 г. 8:04
  • 1. Создать диапазон компьютеров в TMG соответсвующий DHCP.

    2. Создать порты для доступа и предоставить доступ для диапазона компьютеров.

     


    MCITP. Знание - не уменьшает нашей глупости.
    28 октября 2011 г. 8:21
  • 1. Создать диапазон компьютеров в TMG соответсвующий DHCP.

    2. Создать порты для доступа и предоставить доступ для диапазона компьютеров.

     


    MCITP. Знание - не уменьшает нашей глупости.
    Да это все понятно, с таким вариантом справится любой фаервол. А мне надо так что бы если за комп сел другой пользователь и зашел с своей учетной записью, то у него не было доступа.
    28 октября 2011 г. 10:04
  • Поставте виртуальную машину, установите туда TMG. Создайте тестовую среду и протестируйте вашу конфигурацию. Для этого есть триальные версии. Откройте доки по TMG, тот же Help из установки прочитайте.  Вытягивать ваши пожелания по конфигурации нет никакого желания.
    MCITP. Знание - не уменьшает нашей глупости.
    28 октября 2011 г. 11:05
  • А что вытягивать? 

    Вроде четко спросил возможна ли авторизация доменных пользователей без использования клиента при условии что ip адреса раздает dhcp. Преимущественно использование не стандартных портов назначения.

    А конфигурация вполне стандартная LAN - TMG - Router - Интернет.

    28 октября 2011 г. 11:28
  • вам ответили вполне однозначно - нет, без использования клиента авторизацию настроить не получится.

    зайдите с другого края - разрешите запуск нужного софта только "разрешенным"  пользователям. остальные его запустить  не смогут и необходимости разруливать их на ТМГ  также не будет.


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    28 октября 2011 г. 11:51
  • Хотелось бы понять как MS разрабатывал продукт и не заложил элементарную вещь как авторизацию своих же пользователей и с своего же AD.

    Сегодня ради интереса развернул Kerio Control (бесспорный на мой взгляд конкурент) так вот он абсолютно непринужденно авторизует АД пользователя без всякого клиента, причем без разницы по какому порту. Кроме это есть неплохой шейпер который так же режет скорость по AD пользователям. Единственное нельзя его собирать в массивы.

    Так собственно почему какой то Kerio Control превосходно справляется казалось бы с не типичной для него функцией, а TMG который согласно здравого смысла должен с этим функционалом работать на раз, два, три, а он .......

    28 октября 2011 г. 16:35
  • Хотелось бы понять как MS разрабатывал продукт и не заложил элементарную вещь как авторизацию своих же пользователей и с своего же AD.

    Сегодня ради интереса развернул Kerio Control (бесспорный на мой взгляд конкурент) так вот он абсолютно непринужденно авторизует АД пользователя без всякого клиента, причем без разницы по какому порту. Кроме это есть неплохой шейпер который так же режет скорость по AD пользователям. Единственное нельзя его собирать в массивы.

    Так собственно почему какой то Kerio Control превосходно справляется казалось бы с не типичной для него функцией, а TMG который согласно здравого смысла должен с этим функционалом работать на раз, два, три, а он .......


    Вы путаете теплое с мягким: керио не сможет аутенфицировать пользователей, он как и некоторые другие (циска например) делает банальную тупую вещь - динамически связывает на какое то время ip с именем пользователя и все, и потом авторизует юзера по ип, но без аутенфикации. МС не стала делать такого маразма, так как это никак не аутенфицирет пользователя и следовательно появляется лазейка которой легко воспользоваться (банально - терминальный сервер). а реально в IPv4 не существует понятия пользователь а следовательно и авторизовать по имени пользователя не может никто - это все делается через протоколы более выского уровня, например через прокси, клиента (который по своей сути очень близок к socks прокси), vpn (кстати может vpn подойдет? через него аутенфицируется любой трафик, включая icmp и ip level(gre, ipsec))
    • Помечено в качестве ответа Yuriy Lenchenkov 2 ноября 2011 г. 8:53
    31 октября 2011 г. 9:37
    Отвечающий
  • Я имею ввиду как выпустить пользователя не указывая в настройках прокси сервер. т.е. используя NAT. Допустим дать определенным пользователям доступ к внешней почте по портам pop и smtp.

    NAT технология не предусматривающая авторизации пользователей. Она ничего вообще о них не знает. Вдумайтесь в аббревиатуру Network Address Translation. Она работает на 3 уровне модели OSI. Какие пользователи? Только DHCP reservation и далее по IP адресам их машин.
    MCP:Exchange 2003
    • Помечено в качестве ответа Yuriy Lenchenkov 2 ноября 2011 г. 8:53
    1 ноября 2011 г. 11:32