19. juni 2009 - 10:53Der er
7 kommentarer og 1 løsning
Internet Access Control
Jeg vil gerne lave en internet løsning som følger, hvor alle mine klenter/brugere ikke kan tilgå internettet uden at angive brugernavn og password.
Jeg har et "server netværk" hvor alle servere er medlem af samme domain. Klient maskinerne er ikke medlem af dette eller noget andet domain. Som firewall ud mod internette står der en ISA server 2006.
Spørgsmålet er så, kan denne ISA server konfigureres så man kun kommer på ved at angive brugernavn og password fra "server domainets" AD? Og her mener jeg hele setupet.
Det er muligt at sætte specifikke brugere på dine ISA server firewall policies. Jeg mener én af standard-grupperne hedder 'authenticated users' og du kan også oprette en ny gruppe, der hedder fx. Domain Users, som du så relaterer til din AD-gruppe Domain Users.
Hvorfor er klient-maskinerne egentlig ikke medlem af domænet? Bare et spørgsmål af ren og skær nysgerrighed. Der er for mig at se langt flere fordele ved at gøre dem til medlemmer af dit AD, fremfor ulemper...
Det med brugerne kan man sgtens gøre, men jeg ved ikke hvordan jeg skal autorisere dem når de ikke er med i domainet?
Grunden til de ikke er med i domainet så simpelt som administration. Vi har en del der rejser rundt i verdenen med deres bærebare internet maskine. Og de kan ikke tilgå domainet når de sidder på et tilfældigt hotel i Sarajevo, foreksempel. Derudover og nok vigtigere får vi en del gæster ind i huset som vi så skulle melde ind i domainet og ud igen når de rejser.
Synes godt om
Slettet bruger
19. juni 2009 - 13:07#3
Det med at de rejser med deres bærbare og derfor ikke kan være på domænet bliver jo omgået med såkaldt cached logins - altså at hvis de har været på én gang mens computeren var på netværket, sagtens kan 'logge ind' selvom domænet ikke er tilgængeligt. Det har jeg set virke flere steder i praksis og har selv benyttet bærbare på denne måde uden problemer.
Nu skriver du ikke noget om jeres setup, men hvorfor vil du have brugerne til at skrive adgangskode for at komme på Internet? Måske kan det løses med en lokal bruger direkte på ISA serveren. Jeg har ikke prøvet dette, men i og med du kan referere nye grupper på ISA til fx. domain users, burde man vel egentlig også kunne oprette en lokal bruger som tilknyttes ISA og dermed kan benyttes til adgangskontrol ud mod Internet. Men i dette tilfælde vil de jo så skulle skrive det samme alle sammen :-)
Ja det er selvfølgelig rigtigt. havde ikke lige tænk på :)
Brugernavn og password er grundet vi skal logge al aktivitet på internettet, det er vi pålagt fra højere instans, surt men sådan er det jo....
Kunne måske godt referere til en lokal bruger, men det ville være mega tungt at administrere, eller de ville brude den samme konto, som du siger. Det kan vi grundet log føring ikke:(
Setupet er som følger:
ISA'en står som yderste punkt mod internettet, og den er i et server net, hvor alle servere er i et domain. I dette net er der kun servere og et par workstations. Alle er i domainet. Ved siden af dette net er der så x antal klient net som er koblet på ISA'en via det enkelte nets egen router og en fælles switch. Fra disse klient net skal internettet så kunne tilgås igennem ISA'en.
Synes godt om
Slettet bruger
19. juni 2009 - 14:53#5
Hvis det handler om logging er der ekstra god grund til at klienterne skal være medlem af domænet. På denne måde vil du have en ekstra god mulighed for at logge, da du dermed kan logge trafikken på brugeren.
Hvis det er en mulighed vil jeg foreslå dig at melde samtlige maskiner ind i domænet - brugerne er vel en del af domænet? Men du får ikke det optimale ud af setup'et, hvis ikke det hele er i et domæne.
Herefter skal du sørge for at klienternes browsere bliver konfigureret med ISA'en som proxy - på denne måde vil trafikken der logges på ISA vise den aktuelle brugers brugernavn også.
Du vil så i sidste ende kunne differenciere på brugere og grupper direkte fra AD og du vil i teorien ikke behøve authentication på adgangen til Internet, da det jo kun er dine domæne-brugere der har adgang genem ISA'en. Hvis du alligevel vil tillade brugere udenfor domænet - altså gæster e.l. så kan de bruge en standard AD-bruger til samme formål.
Jeg har engang testet på et lignende setup, hvor jeg sørgede for at trafikken på HTTP gennem vores ISA blev sat til autenticated users. Her var der tale om folk og maskiner på domænet, men folk fik pludselig en prompt og skulle skrive deres detaljer for at kunne tilgå hjemmesider på Internet.
Jeg er helt enig den optimale løsning er at have hele molevitten i et domaine, MEN det er ikke en option da vi skal logge hvad de evt. gæster laver... Og med en standard AD-bruger til gæster kan vi ikke dette.
Løsning er blevet at vi "går uden om" ISA, forstået på den måde at vi har fundet er 3. parts program der kan gøre det vi gerne vil have. Så bruger vi bare ISA som, godt nok en noget dyr en, firewall. For ISA'en kan ikke det vi gerne vil alene. Men som en del af et domaine er den super.
Desværre er vi grundet tidspress, deadline for at setuppet er operationelt er på fredag, har vi valgt den løsning med 3. parts programmet. Men på lang sigt skifter vi med stor sansynlighed til noget rent Microsoft eller evt. domain løsningen, som jeg også er overbevist om er den bedste løsning.
Tak for hjælpen og den tid du har brugt :)
Dropper du et svar så jeg kan lukke tråden?
Synes godt om
Slettet bruger
23. juni 2009 - 08:26#7
Hvis du sætter dine klienter op som web-proxy klienter - altså sætter ISA'en op som proxy på brugernes browsere, vil de blive bedt om credentials for at kunne tilgå ting gennem ISA. Dette kræver selvfølgelig at de regler der er på ISA kun har fx. authenticated users tilladt.
I loggen vil der så være klienternes ip-adresse og standard-brugeren. Du vil derfor ikke kunne bruge brugernavnet til noget, da der jo er flere der benytter denne, men du vil kunne bruge ip'en fra brugeren i tilfælde af at du skal dokumentere noget eller bevise noget.
Du vil, hvis i kører dhcp, kunne se hvilken maskine, der har haft en given ip-adresse, ligesom jeg formoder at ISA kan sættes til at logge maskinnavnet også.
Det er dog et stykke tid siden jeg har haft mulighed for hands-on på en ISA...
Synes godt om
Slettet bruger
14. juli 2009 - 21:43#8
Svar? Svar!
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.