FW: ISA probléma

Tamas GAL gtamas at tjszki.hu
2009. Feb. 25., Sze, 08:58:10 CET


joreg,
mivel 40k a megengedett attach meret, a 80k-s kepem gaz :), ezert ujrakuldom a levelet. 
a kep itt is megvan: http://www.inetpub.hu/gtamas/isawpauth.png

--
Gál Tamás
Szakmai vezető - TechNet :: Microsoft Magyarország
v-tagal at microsoft.com :: http://www.microsoft.com/hun/technet


-----Original Message-----
From: Tamas GAL 
Sent: Wednesday, February 25, 2009 8:53 AM
To: 'Techinfo'
Subject: RE: ISA probléma

nagyjabol jo erted, de nezzuk kicsit pontositva:

1. az Internal halo web proxy reszen kell beallitani (lasd csatolt kep) 
2. azt is be kell allitani h _kotelezo_ legyen (kep) 
3. mindenkeppen kell a usernek, csoportnak, IP tartomanynak egy megengedo tuzfal szabaly 
4. akar bejelentkezik a domainbe, akar nem, ha van fiokja/jelszava, es vonatkozik ra a megengedo szabaly, tud netezni, a kulonbseg a hitelesites eloterben/hatterben torteno mukodeseben van 
5. nem kell babralni, ofkorz van csoporthazirend erre is, a user settings-ben az aljan keresgeljunk, az IE opciok kozott 
6. ha nincs domainben, akkor kell babralni 1x

+info
- a csatolt kepen az is latszik, h tud az ISA RADIUS hitelesitest is (pl. mas nevterbol fogadni user auth infokat RADIUS proxykent), meg (user) tanusitvanyost is. a digest meg egy kulon finom kis tortenet, de mar igy is regenyt irtam :D
- hasznaljuk a csoporthazirendet mindenre, ws03 sp2 + xp sp2 eseten kb. 1800, ws08+vista sp1 eseten kb. 3000 opcio van es gyarapszik, sőt a ws08 r2-ben csomó kellemes valtozas van :)

--
Gál Tamás
Szakmai vezető - TechNet :: Microsoft Magyarország v-tagal at microsoft.com :: http://www.microsoft.com/hun/technet

-----Original Message-----
From: techinfo-bounces at lista.sulinet.hu [mailto:techinfo-bounces at lista.sulinet.hu] On Behalf Of Anka Gyula Attila
Sent: Tuesday, February 24, 2009 10:25 PM
To: Techinfo
Subject: Re: ISA probléma

Szóval, ha jól értem az ISA-n beállítom az integrated hitelesítést, megadom a kliens gépeken (ott is, ahol nem jelentkezik be a tartományba a user) proxy-ként az ISA-mat, meg a portját. És ezentúl, ha nem jelentkezik is be valaki, tud netezni, feltéve ha az ISA-n van ezt engedő szabály?
De a kliens böngészőjét mindenképp babrálni kell. Biztos fel lehet ezt venni valahogy a házirendbe, hogy ne kelljen egyesével mindenkinek megadni a proxy-t, nem?

gyula
 
Tamas GAL írta:
> Pedig ez igy megy, pontosabban pl. az alap egyben SSL nélkul nem is ajanlott "Basic" (clear text, vagy base64) hitelesitesi metodusnal megy igy.
>  
> Ha viszont az "Integrated" (NTLM) hitelesitest kovetelem meg az ISA-ban, akkor meg hitelesitesi ablak sincs, ugyanis ennel a modszernel a hitelesitesi infok (pl. windows domain eseten a belepesi adatok) a hatterban mennek el, azaz ha jogosult a tuzfalszabalyok alapjan, akkor mehet a weboldal, ha nem, akkor hibauzenet lesz. 
>
> Mas kerdes, h a hatterben torteno integrated hitelesites, ami NTLM, az csak IE-vel megy, illetve azert az ujabb bongeszokkel is, asszem pl. az 1.7-es Mozillatol, plusz Firefox (de lehet h van olyan amit kihagytam). 
>  
> --
> Gál Tamás
> Szakmai vezető - TechNet :: Microsoft Magyarország
> v-tagal at microsoft.com :: http://www.microsoft.com/hun/technet
>
>
> -----Original Message-----
> From: techinfo-bounces at lista.sulinet.hu [mailto:techinfo-bounces at lista.sulinet.hu] On Behalf Of Sass Róbert
> Sent: Tuesday, February 24, 2009 6:44 PM
> To: Techinfo
> Subject: Re: ISA probléma
>
> Na ez érdekel.
> Úgy érted, hogy mondjuk első böngészőnyitáskor jelszót kér?
> Én eddig erre csak 3rd party fizetős megoldást láttam...
>
> Tamas GAL írta:
>   
>> Részben igaz, mert az a teljes, minden protokollra kiterjedő szűrés, amikor is az fw kliens minden mást lelök a winsocket-ről, és direktben közvetít az alkalmazások számára transzparens módon az OS és az ISA között. Azonban ha web proxy kliensként működik a kliens OS (azaz pl. böngészője), akkor a http, a https, valamint a http-be ágyazott ftp esetén is lehet (akár kötelező) hitelesítést kérni és mondjuk naplózni, vagy akár tiltani.
>>
>> --
>> Gál Tamás
>> Szakmai vezető - TechNet :: Microsoft Magyarország
>> v-tagal at microsoft.com :: http://www.microsoft.com/hun/technet
>>
>>   
>>     
> _______________________________________________
> Techinfo mailing list
> Techinfo at lista.sulinet.hu
> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
> Illemtan: http://www.1let.hu/illemtan.html
> Ügyfélszolgálat FAQ: http://www.kozhalo2.hu/Faq.aspx
> _______________________________________________
> Techinfo mailing list
> Techinfo at lista.sulinet.hu
> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
> Illemtan: http://www.1let.hu/illemtan.html
> Ügyfélszolgálat FAQ: http://www.kozhalo2.hu/Faq.aspx
>
> __________ ESET NOD32 Antivirus - Vírusdefiníciós adatbázis: 3886 (20090224) __________
>
> Az üzenetet az ESET NOD32 Antivirus ellenőrizte.
>
> http://www.eset.hu
>
>
>
>
>   

_______________________________________________
Techinfo mailing list
Techinfo at lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.1let.hu/illemtan.html
Ügyfélszolgálat FAQ: http://www.kozhalo2.hu/Faq.aspx


További információk a(z) Techinfo levelezőlistáról