Isa log и анонимный пользователь
Модератор: Модераторы
Сообщений: 10
• Страница 1 из 1
Osg_Deed » 08 апр 2004, 16:49
Поиогите кто может ответить на два вопроса
1. Как заставить WinGate аторизироваться на ISA
2 Как избавиться от анонимногь пользоватля в логах засрал все лог фаелы
1. Как заставить WinGate аторизироваться на ISA
2 Как избавиться от анонимногь пользоватля в логах засрал все лог фаелы
Harry33 » 09 апр 2004, 11:33
Osg_Deed
1. Нужна архитектура
2. В оснастке ISA сервера правой кнопкой на сервер -> properties вкладка Outgoing Web Requests установить флажок Ask unauthentificated users for identification
1. Нужна архитектура
2. В оснастке ISA сервера правой кнопкой на сервер -> properties вкладка Outgoing Web Requests установить флажок Ask unauthentificated users for identification
Знания, которые нельзя применить - бесполезны
Osg_Deed » 10 апр 2004, 10:08
WinGate нехочет авторизироваться на ISA Servere если поставить эту галочку
spy.by » 12 апр 2004, 14:01
Мной было замечено следующее явление, запись в логе (пример):
date|time| mail.ru | WWWProxy | x.x.x.11 | MyDomain\User\ | HTTP | ....
date|time| mail.ru | WWWProxy | x.x.x.11 | anonymous | HTTP | ....
Т.е. первая сессия - авторизированный пользователь, а последующие - anonymous. Что доставляет особое неудобство при создании запрещающих правил - требует авторизации пользователя, т.е. первый запрос проходит /исой запрещается/, а следующие - просит авторизироваться - что за глюк ?!
date|time| mail.ru | WWWProxy | x.x.x.11 | MyDomain\User\ | HTTP | ....
date|time| mail.ru | WWWProxy | x.x.x.11 | anonymous | HTTP | ....
Т.е. первая сессия - авторизированный пользователь, а последующие - anonymous. Что доставляет особое неудобство при создании запрещающих правил - требует авторизации пользователя, т.е. первый запрос проходит /исой запрещается/, а следующие - просит авторизироваться - что за глюк ?!
Harry33 » 12 апр 2004, 17:04
spy.by
Вопрос зачем такая схема?
Для авторизации WG на ISA тебе надо установить на WG firewall Client создать учетную запись для сервиса WG и запускать сервис с этой учетной записью, при этом WG будет авторизоваться на ISA под учетной записью под которой запущенсервис. Зачем это делать, я понять не могу...
Вопрос зачем такая схема?
Для авторизации WG на ISA тебе надо установить на WG firewall Client создать учетную запись для сервиса WG и запускать сервис с этой учетной записью, при этом WG будет авторизоваться на ISA под учетной записью под которой запущенсервис. Зачем это делать, я понять не могу...
Знания, которые нельзя применить - бесполезны
spy.by » 12 апр 2004, 18:36
я не имел ввиду работу WG !!!
Работа WWW Proxy |т.е. самой ISA|.
Создаю запрещающее правило: пользователю BACR deny www.bulki.ru, ИСА так отрабатывает: запрашивает авторизацию ! ЗАЧЕМ ?!?!?!?!?!
Пробывал ip-адресу запретить: ip-адресу х.х.х.15 deny www.bulki.ru - опять, запрашивает авторизацию !
Зачем ? По логике: пришел запрос от х.х.х.15 на www.bulki.ru - почему просто не запретить ?
Скорее всего что-то с настройкой ISA, если так, то подскажите что нужно сделать, я /почти/ все перепробывал !
Работа WWW Proxy |т.е. самой ISA|.
Создаю запрещающее правило: пользователю BACR deny www.bulki.ru, ИСА так отрабатывает: запрашивает авторизацию ! ЗАЧЕМ ?!?!?!?!?!
Пробывал ip-адресу запретить: ip-адресу х.х.х.15 deny www.bulki.ru - опять, запрашивает авторизацию !
Зачем ? По логике: пришел запрос от х.х.х.15 на www.bulki.ru - почему просто не запретить ?
Скорее всего что-то с настройкой ISA, если так, то подскажите что нужно сделать, я /почти/ все перепробывал !
Harry33 » 13 апр 2004, 10:02
spy.by
Нет, с настройками ISA все в порядке, это не баг, это фича. Есть такая тонкость в ISA, по известной только MS причине запрещающие правила просят гору запросов авторизации и в финале если запрещено все равно не пускают (ну алгоритм работы так построен).
Для нормальной работы запрещающих правил узлов и содержимого я поступаю так.
1. Чудную "способность" ISA работать с группами и пользователями задвигаем в сад. Работаем с client sdress set и Dest Set т.е. с IP адресами.
2. В запрещающих правилах НЕ ИСПОЛЬЗУЕМ ЗАПРЕТЫ. Везде ставим перенаправление на внутренний хост или на http://127.0.0.1
3. Для отслеживание багов и неправильных насторек правил на внутреннем HTTP серваке рисуем несколько страниц для каждого правила и ставим в каждом правиле редирект на соответсвующую страниц. Это помогает понять пользователям, что они под колпаком и
Описанный механизм работает 100%
Нет, с настройками ISA все в порядке, это не баг, это фича. Есть такая тонкость в ISA, по известной только MS причине запрещающие правила просят гору запросов авторизации и в финале если запрещено все равно не пускают (ну алгоритм работы так построен).
Для нормальной работы запрещающих правил узлов и содержимого я поступаю так.
1. Чудную "способность" ISA работать с группами и пользователями задвигаем в сад. Работаем с client sdress set и Dest Set т.е. с IP адресами.
2. В запрещающих правилах НЕ ИСПОЛЬЗУЕМ ЗАПРЕТЫ. Везде ставим перенаправление на внутренний хост или на http://127.0.0.1
3. Для отслеживание багов и неправильных насторек правил на внутреннем HTTP серваке рисуем несколько страниц для каждого правила и ставим в каждом правиле редирект на соответсвующую страниц. Это помогает понять пользователям, что они под колпаком и
Описанный механизм работает 100%
Знания, которые нельзя применить - бесполезны
Osg_Deed » 14 апр 2004, 16:22
Да прорбовали его авторизировать через пользователя а он WG неавторизируется какие ещё варианты
Harry33 » 14 апр 2004, 16:44
Osg_Deed
FW клиента исового на WG ставили?
FW клиента исового на WG ставили?
Знания, которые нельзя применить - бесполезны
Сообщений: 10
• Страница 1 из 1
Вернуться в Межсетевые экраны (Firewall) и Прокси серверы (Proxy)
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 14