Quel mode d'authentification est utilisé par isa server ?
Le PC client sont-il dans un domaine ? isa aussi ?
granta
j'ai configuré le proxy dans les propriétés d'IE de mes utilisateurs.
parfois en navigant une fenêtre d'authentification s'affiche !
Comment cela peut-il se faire ??
bekermoui
Bonjour,
Tu as également trois type de client à prendre en compte.
Le client proxy : En configurant le proxy dans ie ou tiers.
Le client Securenat : En configurant ISA comme passerelle dans les propriétés TCP/IP.
Le client Pare-Feu : en installant le client pare-feu d'ISA.
En partant du principe qu' aucuns users non authentifié n'a le droit de sortir :
Selon l'application utilisé tu te retrouve être l'un de ces trois client. Si toutes tes applications te donnent la possibilité de configurer le proxy, tu es considéré comme client proxy par ISA Server. Dans ce cas tu n'as pas besoin du client pare-feu. Si tu utilise une application type Outlook tu as besoin du client pare-feu pour t'authentifier (déjà expliqué par DaleX avec le FTP).
NB : Pour le FTP, ISA server bloque l'upload par défaut, il te faut modifier le filtre FTP pour autoriser l'upload.
granta
merci beaucoup de toutes ces précisions
DaleX
Contrairement à la plupart des routeurs/pare-feux matériels, ISA Server est un parefeu/proxy applicatif (couche 7 du modèle OSI).
Si tu définis une règle pour laisser sortir un flux (FTP par exemple), ISA va comparer ta règle avec l'identification qui est passée par le client FTP. Si tu n'as rien configuré coté ID/Proxy dans ton client FTP (Filezilla par exemple) alors ISA va bloquer.
Par contre si tu rajoutes le client ISA, c'est le client ISA qui va "capturer" les trames envoyées pas ton client FTP et transmettre au passage au serveur ISA tes "credentials". A la comparaison, ISA va dire "OK tu peux passer".
Attention aux groupes génériques du genre "tous les utilisateurs". C'est différent du groupe "Tout le monde" par exemple. "Tout le monde" inclut les accès anonymes alors que tous les utilisateurs sous-entend utilisateurs authentifié (=> obligation d'avoir le client ISA)
Au final si tu veux faire du Web pur (avec proxy) configurer le proxy dans ton navigateur suffit. Pour les autres protocoles (et en particulier les applis qui ne proposent pas de configurer un proxy) le client ISA est obligatoire.
granta
oui c'est ce que je veux faire mais ça ne marche pas. cad que si j'installe pas le client ISA sur mon poste client y a rien qui marche (même avec la passerelle) !
isa est en mode pare-feu de périmètre juste derrière le router. les clts sont en xp pro sp2. c'est bizarre, non ? qd je regarde ce qui se passe sur isa qd je fais un http://www.google.fr avec un clt qui a juste la passerelle, j'ai accès refusé anonymous (la règle d'accès http concerne tous les utilisateurs) !!
en gros ce que je veux dire c'est comment faire passer les utilisateurs par ISA pour l'accès Internet ? La plupart c'est pour du HTTP mais qq uns FTP, POP et MSN 1. installer le clt ISA ? 2. sur le poste client mettre comme passerelle l'ip d'ISA ? 3. mettre juste dans les propriétés d'IE : utiliser le svr proxy ISA ?
Merci !
ba ca depend de ce que tu veux faire.
si tu veux faire de ton ISA une passerelle qui controlera tout, alors il faut la mettre entre le reseau et le routeur. dans ce cas la elle devient une passerelle, avec toute les restrictions que ca apporte niveaux de l identification.
granta
en gros ce que je veux dire c'est comment faire passer les utilisateurs par ISA pour l'accès Internet ? La plupart c'est pour du HTTP mais qq uns FTP, POP et MSN
1. installer le clt ISA ?
2. sur le poste client mettre comme passerelle l'ip d'ISA ?
3. mettre juste dans les propriétés d'IE : utiliser le svr proxy ISA ?
Merci !
Z_cool
J ai pas compris grand chose a ta question.
en gros, si ISA est en passerelle, tu filtrera tout les protocole. Mais attention en effet, certain sont difficilement proxiable avec une identifiaction par username
granta
j'ai remarqué quand mettant uniquement la passerelle l'authentification Windows ne semble pas super bien marcher et les utilsiateurs ont accès refusé. Pourtant si je met utiliser le serveur proxy et je met le nom et le port du svr ISA la navigation web fonctionne (mais pas le FTP ou le POP par d'autre logiciel par exemple)
donc le client semble impératif ? quelqu'un peut me confirmer ?? Merci
granta
Bonjour,
Avec ISA 2004 un client est fourni, quel intérêt par rapport au fait de mettre comme apsserelle aus clients l'adresse ip du svr isa ?
