Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

ISA ko join domain làm sao chứng thực user

Collapse
X
Collapse
 
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    ISA ko join domain làm sao chứng thực user

    Hiện mình đang xây dựng mạng với mô hình như sau
    - 1 ISA Firewall 2004 có 1 card LAN kết nối Internet và 1 card LAN nối với mạng nội bộ (ISA không join domain)
    - 1 DC (bao gồm luôn DNS, DHCP)
    - Các máy còn lại trong LAN đều join domain
    Yêu cầu: Làm thế nào để Firewall có thể lấy được danh sách các user trong AD để set rule (ví dụ: không cho group Sale vào net, cho phép group IT vào net) (Thực tế là mình dùng Plugin Bandwidth Splitter và muốn group IT có bandwidth nhiều hơn các group khác trong domain)
    ================================================== ===
    Ai có kinh nghiệm ISA chỉ giúp hen, mò hoài mà ko biết làm
    Tags: isa
  • #2
    Không join domain thì chỉ có thể dùng để xác thực user domain qua RADIUS server khi VPN thôi.Còn trường hợp của bạn thì đành chịu:106:

    Comment

    • #3
      Khong co cach nao khac a`? hix :106:

      Comment

      • #4
        ngoài cách ko join ISA vào domain, thì chỉ còn cách cài ISA server lên máy DC server thôi :D
        no car...no house...no money, but have only a sharing and friendly heart. What's the most important thing in this life "Heart or Money ?". Anything else can stead money ?

        :32::53::X:106:

        Nothing last forever...

        Comment

        • #5
          - Đã chứng thực Radius được rồi nhưng thấy các máy member phải vào IE cấu proxy trỏ vào IP Internal của ISA mới lên internet, không lẽ khi dùng phần mềm gì (Firefox, YM, IDM ...) trên máy member cũng phải cấu hình như vậy? Có cách nào cấu hình tự động ko (member ko phải cấu hình), dùng thêm ISA Client có giải quyét được ko?
          - Tại sao khi vào IE, nhập vào 1 địa chỉ web, thì IE không lấy username và password khi login vào windows để chứng thực luôn, mà bắt phải nhập lại 1 lần nữa?
          - Làm sao để cho 1 số máy VIP, không cần phải chứng thực gì hết, Ra vào net vô tư?
          - Thiết lập rule Allow protocol Radius và Radius Accounting ở trên, rồi thiết lập rule Allow all outbound traffic ở dưới cho tất cả các user đã được xác thực thì các user đó chính proxy trên IE có thể ra net, nhung ko dùng lệnh ping được?

          Comment

          • #6
            Bạn nên tìm hiểu về group policy của Windows và ISA Server kỹ hơn trước khi làm thực tế, bạn ạ. Cụ thể các vấn đề bạn đưa ra đều có cách giải quyết khá đơn giản :

            + Trong Group Policy có thể thiết lập proxy tự động cho client khi logon vào bằng user domain.
            + Hoặc bạn có thể cấu hình kết hợp DHCP và DNS để các máy Client tự động dò tìm proxy(Trang www.isaserver.org có đề cập đến vấn đề này).
            + Biết được IP của các máy VIP bạn có thể thiết lập riêng 1 rule allow all cho các Computer này đi internet không hạn chế.
            + Thiết lập trên ISA Server cho phép các client ping ISA Server và internet(Rule số 11 trong System Rule).

            Thân.

            Comment

            • #7
              Để Set Proxy cho IE mà không có Groupolicy thì bạn có thể dùng 1 file REG như sau để set:
              Windows Registry Editor Version 5.00

              [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Internet Settings]
              "User Agent"="Mozilla/4.0 (compatible; MSIE 6.0; Win32)"
              "IE5_UA_Backup_Flag"="5.0"
              "MigrateProxy"=dword:00000001
              "EmailName"="IEUser@"
              "AutoConfigProxy"="wininet.dll"
              "EnableHttp1_1"=dword:00000001
              "EnableNegotiate"=dword:00000001
              "ProxyEnable"=dword:00000001
              "PrivDiscUiShown"=dword:00000001
              "ProxyServer"="192.168.200.5:8080"
              "ProxyOverride"="<local>"
              Dĩ nhiên là nếu bạn có DC thì bạn cứ việc cho import nó run qua files Login Script

              Hướng dẫn cài đặt cấu hình Data Loss Prevention - MyQLP Appliance (Open Source)

              Hướng dẫn cài đặt và cấu hình Mdeamon 12.x

              Hướng dẫn cài đặt cấu hình ISA 2006 và Exchange 2003 - Mô hình Front-End Back-End

              Cài đặt và cấu hình Cacti - Giám Sát và Quản Lý Hệ Thống Mạng

              Hướng dẫn cài đặt cấu hình Retrospect Backup Server

              Cài đặt và cấu hình phần mềm FSA Audit Files Server

              CAMAPTRANG
              http://www.asterisk.vn

              Comment

              • #8
                Thanks mọi người!!!
                Muốn IE tự động nhận user trong máy thì vào IE, chọn Internet Options, vào tab Security, trong 2 mục Internet và Local Intranet chọn Custom level, kéo xuống dưới cùng, mục User Authentication >> Logon, tick vào Automatic logon with current user name and password nhưng làm vậy cũng vẫn phải nhập username và passs, kì vậy ta?

                Comment

                • #9
                  Tại sao không đẩy ISA lên thành 1 domain mới rồi trust 1 way với cái domain đang có, vậy phải dễ thở hơn không nè.

                  Comment

                  • #10
                    Originally posted by CoolMD View Post
                    Tại sao không đẩy ISA lên thành 1 domain mới rồi trust 1 way với cái domain đang có, vậy phải dễ thở hơn không nè.
                    Bạn có thể chỉ mình cách trust 1 way này ko?

                    Comment

                    • #11
                      minh cung vay? may da join vao dc roi ma sao khong thay users trong dc dau?
                      phai lam the nao de may isa(2006) co the thay users trong may dc

                      Comment

                      Previous template Next
                      Working...
                      X