Toon posts:

[ISA 2000] user authentication

Pagina: 1
Acties:

Verwijderd

Topicstarter
Van het weekend een internet tracker (GFI) geinstalleerd op onze server, welke gebruik maakt van de ISA server die standaard in win 2000 SBS zit.

Nu kan ik echter wel nakijken welke IP adressen op welke sites hebben gezeten, maar er wordt geen user aan gehangen.

Na wat pielen in technet en microsoft.com echter niks kunnen vinden hoe ik authentication kan inschakelen op SBS 2000, of hoe het zou kunnen komen dat er geen user aan een IP adres wordt gehangen. Hierdoor kan ik dus ook niet via de active directory user toestemming geven tot het internet, wat weer tot gevolg heeft dat iedereen het internet op kan, wat dus ook weer niet de bedoeling is.

Ik werk met de standaard DHCP server van win 2000 SBS, server is gepatched en draait het laatste service pack

Volgens mij moet het iets heel simpels zijn, maar kan niet vinden wat het is.

Verwijderd

Nou, wat het "probleem" is, is dat jouw users zgn. SecureNAT clients zijn. Dat betekent dat internettoegang volledig geregeld wordt op layer 3, met IP-adressen dus. Er worden geen users of NetBIOS/DNS-namen aan die IP's gehangen omdat daar in de authenticatie ook niets mee gebeurt.

Als je dat wilt veranderen kun je gebruik maken van een vorm van authenticatie met ofwel het gebruik van proxy-login (je-weet-wel, waarvoor je die proxy-instellingen in je browser kunt kloppen) of een Firewall Client voor je clients.

In een van de laatste gevallen kun je dus ook gebruik maken van Active Directory users en krijg je als het goed is ook statistieken waarin users voorkomen :)

Tip: als je een ISA Server gaat beheren, verdiep je eens in de werking van de software. Er zijn ontzettend veel mogelijkheden en leuke dingen om te ontdekken, daarvan een heleboel die je niet direct zelf ontdekt maar die in verschillende boeken wel behandeld worden :)

Edit: nog even voor de duidelijkheid; je moet dit compleet in ISA Server zoeken. Dáár moet je zijn voor user-authenticatie etc. Daartoe ook even je topictitel aangepast :)

[ Voor 9% gewijzigd door Verwijderd op 14-09-2004 16:53 ]


  • StevenK
  • Registratie: Februari 2001
  • Laatst online: 02:35
AFAIK kun je ook de SecureNAT clients op Account authenticeren ipv ip IP; ik heb hier alleen ff geen ISA bak bij de hand om te controleren.

Was advocaat maar vindt het juridische nog steeds leuk. Doet tegenwoordig iets in de metaal.


Verwijderd

Hmm, nu zeg je wat :P

Je kunt inderdaad in Protocol Access Rules users en groepen aangeven, zie ik op mijn ISA bak.

Verwijderd

Topicstarter
Ik kan inderdaad groepen aangeven in de ISA server, echter omdat bij het aanloggen de clients als IP adres worden gezien en niet als user, kan ik in ISA het onderscheid niet maken, en wordt de groep "Internet users" niet herkend als zodanig. Dit heeft als resultaat dat als ik de regel inschakel, niemand meer het internet op kan.

Ik weet ook niet zeker of de authentiocation zoals ik het graag zou willen zien wordt ondersteund door windows Small business server, aangezien er wel meer zaken zijn welke in SBS zijn "weggelaten", maar deze heb ik nu eenmaal "ge erfd" van de voorgangers. Omdat ik de server zelf ook niet heb ingericht is het erg lastig dingen toevoegen/vernaderen in de active directory, omdat je nooit weet wat je sloopt.

Hoop dat ik nog een beetje duidelijk ben.

Verwijderd

Als het goed is bevat SBS 2000 gewoon ISA Server 2000 Standard Edition, waar dat mee kan. Je kunt eventueel als test eens gebruik gaan maken van proxy-authentication.

  • kell.nl
  • Registratie: Januari 2002
  • Laatst online: 27-09-2023

kell.nl

Fizzgig's evil twin

Er zijn 2 opties die je kunt doen.
Je kan inderdaad de gebruikers verplichten een proxy te gebruiken.
Je moet dan http access niet voor "everyone" openzetten, maar voor bijvoorbeeld
"domain users".
Of je kunt in de eigenschappen van de ISA server, onder "outgoing web requests" de optie: "ask unidentified users for identification" aanvinken.

De andere optie, voor als je geen gebruik wilt maken van de proxy, of als je ook ander verkeer dan HTTP/FTP e.d. op gebruikersniveau wil loggen/restricten, is het installeren van de ISA firewall client op de desbetreffende computers.

PS. Ik heb geen ISA hier om te checken, dus het kan zijn dat de opties iets anders heten, dan ik ze noem B)

  • Clueless
  • Registratie: Juli 2001
  • Laatst online: 21-02 19:09
Thuis op mijn ISA bak werk ik zelf net de Firewall-client en dat werkt perfect. Ik kan in de rapportages van ISA gewoon de User zien die bepaalde adressen heeft opgevraagd. En door gebruik te maken van je access rules kan je aangeven wie wel en niet toegang heeft tot internet. De users worden in dit geval gewoon uit de Active Directory gehaald.

I Don't Know, So Don't Shoot Me


Verwijderd

Topicstarter
heb mezelf op de laptop even als proefpersoon ingezet voor jullie oplossingen.

De volgende resultaten :

Als ik via een proxy het web opga, dus in de internet explorer instelling aangeven, proxy xxx.xxx.x.x poort 8080, pakt de GFI en dus ISA server niet de user, maar het IP adres. De optie automatich is uitgevinkt. Ook opnieuw inloggen geeft geen sjoege.

Als ik in de ISA server aangeeft dat unauthenticated users zich moeten autentificeren, kan er niemand het internet meer op, en krijg ik ook geen melding of inlog boxje waarin je username + wachtwoord op kan ingeven. In de active directory en in ISA server zijn toch echt groepen aangemaakt, en de groep "internet users" is ook in allebei aangegeven. Het uitvinken van deze optie geeft iedereen weer toegang.

overigens de foutmelding die ik in de browser krijg is

HTTP 502 Proxy Error - The ISA Server denies the specified Uniform Resource Locator (URL). (12202)
Internet Security and Acceleration Server

Als ik de protocollen en users instel zoals het zou moeten

[ Voor 16% gewijzigd door Verwijderd op 15-09-2004 13:30 ]


  • Clueless
  • Registratie: Juli 2001
  • Laatst online: 21-02 19:09
code:
1
2
3
4
HTTP Error 502
    Bad Gateway: The server, while acting as a gateway or proxy, received an invalid
 response from the upstream server it accessed in attempting to fulfill the request. 
Please contact the Web server's administrator if the problem persists.

hmm raar. Wat als je de Firewall-client installeert? Zelf heb ik em zo geinstalleerd staan en dat werkt perfect.

[ Voor 3% gewijzigd door Clueless op 15-09-2004 17:23 ]

I Don't Know, So Don't Shoot Me


Verwijderd

Topicstarter
Weer wat testen gedaan.

Nu de ISA client bij mezelf geinstalleerd, het mag echter niet baten. User is nog steeds unauthenticated en de webaccess wordt per IP adres aangegeven.

Morgen (Zaterdag) moet ik toch wat onderhoud in de serverruimte doen, en zijn er maar weinig gebruikers actief. Ik zal proberen de server te herstarten (nu een uptime van 82 dagen) en de laatste updates er op zetten van de win update site.

als iemand nog ndere ideeen heeft hoor ik het graag, is er misschien ergens een nieuwere versie van ISA server beschikbaar??

Verwijderd

herstarten is niet nodig voor isa. herstarten van services bij monitoring in de isa mmc is genoeg. heb je bij logging zowieso wel het veldje "username" aanstaan?

[ Voor 28% gewijzigd door Verwijderd op 17-09-2004 10:58 ]


Verwijderd

Topicstarter
In de reports en in de looging staat allebei zowel client IP als client Username aangevinkt

  • Zwelgje
  • Registratie: November 2000
  • Laatst online: 20-01 19:37
Verwijderd schreef op 17 september 2004 @ 10:42:
Weer wat testen gedaan.

Nu de ISA client bij mezelf geinstalleerd, het mag echter niet baten. User is nog steeds unauthenticated en de webaccess wordt per IP adres aangegeven.

Morgen (Zaterdag) moet ik toch wat onderhoud in de serverruimte doen, en zijn er maar weinig gebruikers actief. Ik zal proberen de server te herstarten (nu een uptime van 82 dagen) en de laatste updates er op zetten van de win update site.

als iemand nog ndere ideeen heeft hoor ik het graag, is er misschien ergens een nieuwere versie van ISA server beschikbaar??
ISA 2004 is inmidddels als uit (standard edition) enterprise duurt nog even

A wise man's life is based around fuck you


Verwijderd

Topicstarter
Na herstart van server en alle updates op gheinstalleerd te hebben, mag het dus niet baten :(

wordt er erg depressief van. Al jullie adviezen opgevolgd, ISA client draait op mijn laptop, ISA server draait als proxy, en nog steeds zijn alle user unauthenticated.

toch maar es ISA 2004 proberen.

Is het misschien een idee om ISA server compleet te deinstalleren (heb de server nu eenmaal geerfd, dus zelf erg weinig ingericht) en dan opnieuw te installeren en alle protocollen opnieuw aan te maken?? Of is dat wel heel erg drastisch en maak ik dan meer kapot dan goed.

Liefst zou ik alles eraf gooien en dan helemaal opnieuw beginnen, maar dat vind mijn baas niet goed.

Verwijderd

ipv usernaam kan je niet op comp naam zoeken. ip halen uit de dhcp log halen en vervolgens ip filteren uit isalogs. ff batchje van maken en klaar...

zoek verder gewoon even op isaserver.org voor een howto, want username logging is gewoon mogelijk...
Pagina: 1