none
Грамотная аутентификация RRS feed

  • Вопрос

  • Требуется совет по реализации грамотной аутентификации на ISA 2006.Сервер является членом домена доступ к AD включён.Как правильно настроить аутентификацию пользователей?Потребуется ли установка Firewall Client? 
    18 февраля 2009 г. 9:34

Ответы

  •  

    Несопровождаемая инсталляция с использованием ms_fwc.msi

    Если вы используете метод инсталляции с использованием файла Microsoft Windows Installer (.msi), обратите внимание на следующее:

    • ПО клиента Firewall, поставляемое вместе с ISA Server 2006 ил ISA Server 2004 уже включает в себя файл .msi: ms_fwc.msi.
    • Для развертывания последней версии клиента Firewall извлеките ms_fwc.msi из Web загрузки, введя следующую команду в командной строке: ISACLIENT-KB929556-ENU.EXE /c /t:c:\SoftwareDistributionShare

    Если вы хотите распределить клиент Firewall напрямую через файл MSI через скрипт запуска или что-либо в этом роде, выполните:

    msiexec /i ms_fwc.msi SERVER_NAME_OR_IP=Name of ISA Server ENABLE_AUTO_DETECT=0 REFRESH_WEB_PROXY=0 /qb /L*v c:\fwcinstl.log Parameters

    Параметры используются в командах следующим образом:

    • Path = путь к инсталляционному файлу клиента брандмауэра. Значение должно быть указано.
    • SERVER_NAME_OR_IP=ISAServerName = имя или IP адрес компьютера сервера ISA Server, к которому должен подключаться компьютер клиента.
    • ENABLE_AUTO_DETECT = Указание значения, равного 1, означающего, что компьютер клиента Firewall должен автоматически определять компьютер сервера ISA Server, с которым он должен соединиться. Значение 0 указывает, что автоматическое определение не включается на данном клиенте.
    • REFRESH_WEB_PROXY = Указание значения, равного 1, означающего, что конфигурация клиента Firewall должна обновляться согласно настройкам конфигурации Web proxy, указанным в ISA Server Management. Значение 0 указывает, что клиент не обновляется.

    Несопровождаемая установка с использованием setup.exe

    Вы можете запустить установку с использованием setup.exe:

    • Чтобы установить ПО клиента Firewall, поставленного вместе с ISA Server 2006 или ISA Server 2004 с помощью Setup.exe, введите следующую команду в командной строке: setup.exe /w /V"SERVER_NAME_OR_IP=Name of ISA Server ENABLE_AUTO_DETECT=0 REFRESH_WEB_PROXY=0 /qb /L*v c:\fwc_inst.log"




    http://support.microsoft.com/default.aspx/kb/838122

    Если сообщение полезно, нажмите "Сообщение было информативным". Если сообщение является ответом или частью ответа на Ваш вопрос, нажмите "Пометить как ответ".
    • Предложено в качестве ответа Aleksey Potapov 20 февраля 2009 г. 19:52
    • Помечено в качестве ответа Nikita PanovModerator 14 сентября 2009 г. 10:48
    20 февраля 2009 г. 19:52

Все ответы

  • Раз ISA Server член домена, значит можно использовать учётные данные пользователей из АД для распределения прав доступа к сети интернет
    Да, поставит Firewall Client стоит.
    Как автоматически развернуть клиент
    О клиенте ISA serv
    Как работает автоматическая настройка Web Proxy и клиента ISA



    Абсолютно нормальный парень...
    18 февраля 2009 г. 10:00
  • Про аутентификацию в ИСЕ описано  тут: http://technet.microsoft.com/en-us/library/bb794722.aspx
    Для чего нужен Firewall Client и какие типы клиентов бывают здесь http://technet.microsoft.com/en-us/library/bb794762.aspx
    18 февраля 2009 г. 10:22
  • Firewall client-а установил,а что должно быть в правилах доступа на ИСЕ по пользователям?Я так понимаю All Authenticated Users ? Какой тип аутентификации требуется установить в свойствах внутренней сети?
    18 февраля 2009 г. 15:11
  • Либо предложенный Вами вариант выше (для всех пользователей прошедших аутентификацию), либо выборочно пользователей можно загнать, создав группу через консоль ISA и добавив туда пользователей из А.
    Примерно так.
    К примеру можно создать группу deny internet - и загнать туда пользователей, которым интернет запрещён. Далее создать правило доступа из вашей внутренней подсети во внешнюю, в котором и будет фигурировать Ваша новая группа. Которой в итоге запрещён доступ в интернет. That's All.
    Комбинаций много.Всё зависит от Ваших необходимостей и задач )

    Абсолютно нормальный парень...
    18 февраля 2009 г. 16:03
  • А как быть в такой ситуации,у меня настроено несколько правил,в том числе на доступ в интернет,правило для ICQ клиентов,правило для POP и SMTP протоколов.Если я включаю аутентификацию пользователей для доступа в интернет,то перестает работать ICQ и POP с SMTP.Правила расположены в следующей последовательности:
    1)Закрыть HTTP доступ на опред. сайты (all users)
    2)Доступ к ICQ (all users)
    3)доступ к почте mail.ru, ya.ru: POP и SMTP протоколы (all users)
    3)Доступ в интернет (all users)
    4)Default Rule (all users)
    как только включаю аутентификацию на доступ в интернет,отваливается ICQ и перестаёт работать почта,как быть?
    19 февраля 2009 г. 7:16
  •  логи что пишут?
    19 февраля 2009 г. 8:25
    Отвечающий
  • А можно поподробнее описать правила - какие протоколы включают в себя они.
    Так же предоставьте логи как Вам говорит Дмитрий.

    У вас вообще есть клиенты (пользователи), которые работают в Вашей организации, но не имеют учётных записей в АД ?

    Абсолютно нормальный парень...
    19 февраля 2009 г. 8:38
  • Всем спасибо, вроде как разобрался.Для соединения с внешней почтой через ISA по протоколам POP и SMTP в настройках General\define firewall client на исе поставил значение 0 для outlook,для работы ICQ на клиентах указал использовать авторизацию.

    19 февраля 2009 г. 10:09
  • В следующий раз Вы пишите с каким клиентом работаете. В данной ситуации проблема с Outlook распространённая - и её решение описывается во многих статьях. Если бы вы указали клиента, что сразу бы получили ответ. :)

    Завершите обсуждение, если проблема решена.

    Абсолютно нормальный парень...
    • Помечено в качестве ответа Leonidik 19 февраля 2009 г. 11:03
    • Снята пометка об ответе Leonidik 20 февраля 2009 г. 14:00
    • Предложено в качестве ответа Aleksey Potapov 20 февраля 2009 г. 14:04
    • Отменено предложение в качестве ответа Leonidik 20 февраля 2009 г. 14:32
    19 февраля 2009 г. 10:49
  • Вопрос что называется в догонку,сделал установку FWC через групповые политики,всё бы ничего,но как сделать так,чтобы после установки FWC на клиенте не появлялось окошечко с его настройками а сразу сворачивалось в трей?
    20 февраля 2009 г. 13:59
  •  http://www.redline-software.com/rus/support/articles/isaserver/security/automatically-deploy-firewall-client.php
    Если сообщение полезно, нажмите "Сообщение было информативным". Если сообщение является ответом или частью ответа на Ваш вопрос, нажмите "Пометить как ответ".
    • Предложено в качестве ответа Aleksey Potapov 20 февраля 2009 г. 14:03
    • Отменено предложение в качестве ответа Leonidik 20 февраля 2009 г. 14:32
    • Предложено в качестве ответа Aleksey Potapov 20 февраля 2009 г. 19:52
    20 февраля 2009 г. 14:03
  • Эту статью я уже читал,но там ничего нет по поводу сворачивания в трей меню настроек клиента сразу после его установки.
    20 февраля 2009 г. 14:23
  •  

    Несопровождаемая инсталляция с использованием ms_fwc.msi

    Если вы используете метод инсталляции с использованием файла Microsoft Windows Installer (.msi), обратите внимание на следующее:

    • ПО клиента Firewall, поставляемое вместе с ISA Server 2006 ил ISA Server 2004 уже включает в себя файл .msi: ms_fwc.msi.
    • Для развертывания последней версии клиента Firewall извлеките ms_fwc.msi из Web загрузки, введя следующую команду в командной строке: ISACLIENT-KB929556-ENU.EXE /c /t:c:\SoftwareDistributionShare

    Если вы хотите распределить клиент Firewall напрямую через файл MSI через скрипт запуска или что-либо в этом роде, выполните:

    msiexec /i ms_fwc.msi SERVER_NAME_OR_IP=Name of ISA Server ENABLE_AUTO_DETECT=0 REFRESH_WEB_PROXY=0 /qb /L*v c:\fwcinstl.log Parameters

    Параметры используются в командах следующим образом:

    • Path = путь к инсталляционному файлу клиента брандмауэра. Значение должно быть указано.
    • SERVER_NAME_OR_IP=ISAServerName = имя или IP адрес компьютера сервера ISA Server, к которому должен подключаться компьютер клиента.
    • ENABLE_AUTO_DETECT = Указание значения, равного 1, означающего, что компьютер клиента Firewall должен автоматически определять компьютер сервера ISA Server, с которым он должен соединиться. Значение 0 указывает, что автоматическое определение не включается на данном клиенте.
    • REFRESH_WEB_PROXY = Указание значения, равного 1, означающего, что конфигурация клиента Firewall должна обновляться согласно настройкам конфигурации Web proxy, указанным в ISA Server Management. Значение 0 указывает, что клиент не обновляется.

    Несопровождаемая установка с использованием setup.exe

    Вы можете запустить установку с использованием setup.exe:

    • Чтобы установить ПО клиента Firewall, поставленного вместе с ISA Server 2006 или ISA Server 2004 с помощью Setup.exe, введите следующую команду в командной строке: setup.exe /w /V"SERVER_NAME_OR_IP=Name of ISA Server ENABLE_AUTO_DETECT=0 REFRESH_WEB_PROXY=0 /qb /L*v c:\fwc_inst.log"




    http://support.microsoft.com/default.aspx/kb/838122

    Если сообщение полезно, нажмите "Сообщение было информативным". Если сообщение является ответом или частью ответа на Ваш вопрос, нажмите "Пометить как ответ".
    • Предложено в качестве ответа Aleksey Potapov 20 февраля 2009 г. 19:52
    • Помечено в качестве ответа Nikita PanovModerator 14 сентября 2009 г. 10:48
    20 февраля 2009 г. 19:52