ISA 2004, client ou passerelle - Windows & Software
Marsh Posté le 11-12-2006 à 12:11:28
j'ai remarqué quand mettant uniquement la passerelle l'authentification Windows ne semble pas super bien marcher et les utilsiateurs ont accès refusé. Pourtant si je met utiliser le serveur proxy et je met le nom et le port du svr ISA la navigation web fonctionne (mais pas le FTP ou le POP par d'autre logiciel par exemple)
donc le client semble impératif ? quelqu'un peut me confirmer ?? Merci
Marsh Posté le 11-12-2006 à 12:30:19
J ai pas compris grand chose a ta question.
en gros, si ISA est en passerelle, tu filtrera tout les protocole. Mais attention en effet, certain sont difficilement proxiable avec une identifiaction par username
Marsh Posté le 11-12-2006 à 14:51:28
en gros ce que je veux dire c'est comment faire passer les utilisateurs par ISA pour l'accès Internet ? La plupart c'est pour du HTTP mais qq uns FTP, POP et MSN
1. installer le clt ISA ?
2. sur le poste client mettre comme passerelle l'ip d'ISA ?
3. mettre juste dans les propriétés d'IE : utiliser le svr proxy ISA ?
Merci !
Marsh Posté le 11-12-2006 à 15:53:17
granta a écrit : en gros ce que je veux dire c'est comment faire passer les utilisateurs par ISA pour l'accès Internet ? La plupart c'est pour du HTTP mais qq uns FTP, POP et MSN Merci ! |
ba ca depend de ce que tu veux faire.
si tu veux faire de ton ISA une passerelle qui controlera tout, alors il faut la mettre entre le reseau et le routeur. dans ce cas la elle devient une passerelle, avec toute les restrictions que ca apporte niveaux de l identification.
Marsh Posté le 11-12-2006 à 16:19:24
oui c'est ce que je veux faire mais ça ne marche pas. cad que si j'installe pas le client ISA sur mon poste client y a rien qui marche (même avec la passerelle) !
isa est en mode pare-feu de périmètre juste derrière le router. les clts sont en xp pro sp2. c'est bizarre, non ? qd je regarde ce qui se passe sur isa qd je fais un http://www.google.fr avec un clt qui a juste la passerelle, j'ai accès refusé anonymous (la règle d'accès http concerne tous les utilisateurs) !!
Marsh Posté le 15-12-2006 à 13:24:13
Contrairement à la plupart des routeurs/pare-feux matériels, ISA Server est un parefeu/proxy applicatif (couche 7 du modèle OSI).
Si tu définis une règle pour laisser sortir un flux (FTP par exemple), ISA va comparer ta règle avec l'identification qui est passée par le client FTP. Si tu n'as rien configuré coté ID/Proxy dans ton client FTP (Filezilla par exemple) alors ISA va bloquer.
Par contre si tu rajoutes le client ISA, c'est le client ISA qui va "capturer" les trames envoyées pas ton client FTP et transmettre au passage au serveur ISA tes "credentials". A la comparaison, ISA va dire "OK tu peux passer".
Attention aux groupes génériques du genre "tous les utilisateurs". C'est différent du groupe "Tout le monde" par exemple. "Tout le monde" inclut les accès anonymes alors que tous les utilisateurs sous-entend utilisateurs authentifié (=> obligation d'avoir le client ISA)
Au final si tu veux faire du Web pur (avec proxy) configurer le proxy dans ton navigateur suffit. Pour les autres protocoles (et en particulier les applis qui ne proposent pas de configurer un proxy) le client ISA est obligatoire.
Marsh Posté le 22-12-2006 à 10:20:04
Bonjour,
Tu as également trois type de client à prendre en compte.
Le client proxy : En configurant le proxy dans ie ou tiers.
Le client Securenat : En configurant ISA comme passerelle dans les propriétés TCP/IP.
Le client Pare-Feu : en installant le client pare-feu d'ISA.
En partant du principe qu' aucuns users non authentifié n'a le droit de sortir :
Selon l'application utilisé tu te retrouve être l'un de ces trois client.
Si toutes tes applications te donnent la possibilité de configurer le proxy, tu es considéré comme client proxy par ISA Server. Dans ce cas tu n'as pas besoin du client pare-feu. Si tu utilise une application type Outlook tu as besoin du client pare-feu pour t'authentifier (déjà expliqué par DaleX avec le FTP).
NB : Pour le FTP, ISA server bloque l'upload par défaut, il te faut modifier le filtre FTP pour autoriser l'upload.
Marsh Posté le 03-01-2007 à 17:10:43
j'ai configuré le proxy dans les propriétés d'IE de mes utilisateurs.
parfois en navigant une fenêtre d'authentification s'affiche !
Comment cela peut-il se faire ??
Marsh Posté le 09-01-2007 à 09:32:17
Quel mode d'authentification est utilisé par isa server ?
Le PC client sont-il dans un domaine ? isa aussi ?
Marsh Posté le 08-12-2006 à 16:26:48
Bonjour,
Avec ISA 2004 un client est fourni, quel intérêt par rapport au fait de mettre comme apsserelle aus clients l'adresse ip du svr isa ?