FW: ISA probléma

Anka Gyula Attila techinfo at ward-maria.sulinet.hu
2009. Feb. 25., Sze, 10:31:12 CET


Tökéletes!
köszönöm a segítséget, működik a dolog.
gyula


Tamas GAL írta:
> joreg,
> mivel 40k a megengedett attach meret, a 80k-s kepem gaz :), ezert ujrakuldom a levelet. 
> a kep itt is megvan: http://www.inetpub.hu/gtamas/isawpauth.png
>
> --
> Gál Tamás
> Szakmai vezető - TechNet :: Microsoft Magyarország
> v-tagal at microsoft.com :: http://www.microsoft.com/hun/technet
>
>
> -----Original Message-----
> From: Tamas GAL 
> Sent: Wednesday, February 25, 2009 8:53 AM
> To: 'Techinfo'
> Subject: RE: ISA probléma
>
> nagyjabol jo erted, de nezzuk kicsit pontositva:
>
> 1. az Internal halo web proxy reszen kell beallitani (lasd csatolt kep) 
> 2. azt is be kell allitani h _kotelezo_ legyen (kep) 
> 3. mindenkeppen kell a usernek, csoportnak, IP tartomanynak egy megengedo tuzfal szabaly 
> 4. akar bejelentkezik a domainbe, akar nem, ha van fiokja/jelszava, es vonatkozik ra a megengedo szabaly, tud netezni, a kulonbseg a hitelesites eloterben/hatterben torteno mukodeseben van 
> 5. nem kell babralni, ofkorz van csoporthazirend erre is, a user settings-ben az aljan keresgeljunk, az IE opciok kozott 
> 6. ha nincs domainben, akkor kell babralni 1x
>
> +info
> - a csatolt kepen az is latszik, h tud az ISA RADIUS hitelesitest is (pl. mas nevterbol fogadni user auth infokat RADIUS proxykent), meg (user) tanusitvanyost is. a digest meg egy kulon finom kis tortenet, de mar igy is regenyt irtam :D
> - hasznaljuk a csoporthazirendet mindenre, ws03 sp2 + xp sp2 eseten kb. 1800, ws08+vista sp1 eseten kb. 3000 opcio van es gyarapszik, sőt a ws08 r2-ben csomó kellemes valtozas van :)
>
> --
> Gál Tamás
> Szakmai vezető - TechNet :: Microsoft Magyarország v-tagal at microsoft.com :: http://www.microsoft.com/hun/technet
>
> -----Original Message-----
> From: techinfo-bounces at lista.sulinet.hu [mailto:techinfo-bounces at lista.sulinet.hu] On Behalf Of Anka Gyula Attila
> Sent: Tuesday, February 24, 2009 10:25 PM
> To: Techinfo
> Subject: Re: ISA probléma
>
> Szóval, ha jól értem az ISA-n beállítom az integrated hitelesítést, megadom a kliens gépeken (ott is, ahol nem jelentkezik be a tartományba a user) proxy-ként az ISA-mat, meg a portját. És ezentúl, ha nem jelentkezik is be valaki, tud netezni, feltéve ha az ISA-n van ezt engedő szabály?
> De a kliens böngészőjét mindenképp babrálni kell. Biztos fel lehet ezt venni valahogy a házirendbe, hogy ne kelljen egyesével mindenkinek megadni a proxy-t, nem?
>
> gyula
>  
> Tamas GAL írta:
>   
>> Pedig ez igy megy, pontosabban pl. az alap egyben SSL nélkul nem is ajanlott "Basic" (clear text, vagy base64) hitelesitesi metodusnal megy igy.
>>  
>> Ha viszont az "Integrated" (NTLM) hitelesitest kovetelem meg az ISA-ban, akkor meg hitelesitesi ablak sincs, ugyanis ennel a modszernel a hitelesitesi infok (pl. windows domain eseten a belepesi adatok) a hatterban mennek el, azaz ha jogosult a tuzfalszabalyok alapjan, akkor mehet a weboldal, ha nem, akkor hibauzenet lesz. 
>>
>> Mas kerdes, h a hatterben torteno integrated hitelesites, ami NTLM, az csak IE-vel megy, illetve azert az ujabb bongeszokkel is, asszem pl. az 1.7-es Mozillatol, plusz Firefox (de lehet h van olyan amit kihagytam). 
>>  
>> --
>> Gál Tamás
>> Szakmai vezető - TechNet :: Microsoft Magyarország
>> v-tagal at microsoft.com :: http://www.microsoft.com/hun/technet
>>
>>
>> -----Original Message-----
>> From: techinfo-bounces at lista.sulinet.hu [mailto:techinfo-bounces at lista.sulinet.hu] On Behalf Of Sass Róbert
>> Sent: Tuesday, February 24, 2009 6:44 PM
>> To: Techinfo
>> Subject: Re: ISA probléma
>>
>> Na ez érdekel.
>> Úgy érted, hogy mondjuk első böngészőnyitáskor jelszót kér?
>> Én eddig erre csak 3rd party fizetős megoldást láttam...
>>
>> Tamas GAL írta:
>>   
>>     
>>> Részben igaz, mert az a teljes, minden protokollra kiterjedő szűrés, amikor is az fw kliens minden mást lelök a winsocket-ről, és direktben közvetít az alkalmazások számára transzparens módon az OS és az ISA között. Azonban ha web proxy kliensként működik a kliens OS (azaz pl. böngészője), akkor a http, a https, valamint a http-be ágyazott ftp esetén is lehet (akár kötelező) hitelesítést kérni és mondjuk naplózni, vagy akár tiltani.
>>>
>>> --
>>> Gál Tamás
>>> Szakmai vezető - TechNet :: Microsoft Magyarország
>>> v-tagal at microsoft.com :: http://www.microsoft.com/hun/technet
>>>
>>>   
>>>     
>>>       
>> _______________________________________________
>> Techinfo mailing list
>> Techinfo at lista.sulinet.hu
>> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
>> Illemtan: http://www.1let.hu/illemtan.html
>> Ügyfélszolgálat FAQ: http://www.kozhalo2.hu/Faq.aspx
>> _______________________________________________
>> Techinfo mailing list
>> Techinfo at lista.sulinet.hu
>> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
>> Illemtan: http://www.1let.hu/illemtan.html
>> Ügyfélszolgálat FAQ: http://www.kozhalo2.hu/Faq.aspx
>>
>> __________ ESET NOD32 Antivirus - Vírusdefiníciós adatbázis: 3886 (20090224) __________
>>
>> Az üzenetet az ESET NOD32 Antivirus ellenőrizte.
>>
>> http://www.eset.hu
>>
>>
>>
>>
>>   
>>     
>
> _______________________________________________
> Techinfo mailing list
> Techinfo at lista.sulinet.hu
> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
> Illemtan: http://www.1let.hu/illemtan.html
> Ügyfélszolgálat FAQ: http://www.kozhalo2.hu/Faq.aspx
> _______________________________________________
> Techinfo mailing list
> Techinfo at lista.sulinet.hu
> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
> Illemtan: http://www.1let.hu/illemtan.html
> Ügyfélszolgálat FAQ: http://www.kozhalo2.hu/Faq.aspx
>
>   



További információk a(z) Techinfo levelezőlistáról