鸿 网 互 联 www.68idc.cn

ISA2004Web代理服务拒绝用户再次进行身份验证二

来源:互联网 作者:佚名 时间:2015-06-10 04:02
命令完成后 复位对应网络的Web代理服务(禁用再启用此网络的Web代理服务 记得每个步骤都必须点击 应用 按钮保存修改和更新防火墙策略)即可 在此我给大家演示一下 我在ISA Server 的访问规则中要求进行用户身份验证 如下图所示 默认内部网络中启用了Web代理

  命令完成后复位对应网络的Web代理服务(禁用再启用此网络的Web代理服务记得每个步骤都必须点击 应用 按钮保存修改和更新防火墙策略)即可
  
  在此我给大家演示一下
  
  我在ISA Server 的访问规则中要求进行用户身份验证如下图所示默认内部网络中启用了Web代理服务并且只使用了集成身份验证
  
 

  配置客户为Web代理客户
  
 

  当我在浏览器中输入ISA中文站的地址时由于当前登录账户未能通过ISA Server 的集成身份验证所以访问被拒绝错误代码是ISA防火墙拒绝了指定的URL地址
  
 

  从Sniffer上捕获的数据可以看出ISA防火墙在用户提交的身份验证信息未能通过验证时返回了一个的错误信息拒绝用户的访问
   
  
点击看大图

  
  现在我执行脚本文件来修改ReturnDeniedIfAuthenticated属性命令成功完成
  
 

  然后复位内部网络的Web代理服务(禁用再启用内部网络的Web代理服务记得每次修改后点击应用按钮保存修改和更新防火墙策略)
  
  现在我们再打开浏览器来访问ISA中文站注意此时虽然同样未能通过ISA防火墙的集成身份验证但是浏览器却弹出对话框提示你输入身份验证信息
  
 

  输入可以通过验证的账户信息
  
 

  此时用户输入的身份验证信息通过ISA防火墙的验证ISA防火墙允许客户的访问
  
 

  同样在Sniffer上查看捕获的数据包你可以发现ISA防火墙这次返回的是的错误信息(要求用户进行身份验证)而不是返回来拒绝客户的访问
  
 

  
点击看大图

  
  如果你查看一下ISA防火墙中的会话你会发现比较有趣的事情会话中相同的客户IP地址却有三个不同的Web代理会话这是为什么呢?
  

  这是因为ISA防火墙认为Web代理客户会话是IP地址和用户名的结合在这个客户的IP地址上总共有三个用户登录(虽然Anonymous和前面一个s开头的用户被ISA防火墙拒绝访问)所以ISA防火墙认为有三个Web代理客户会话
  
  该脚本支持ISA Server 的标准版和企业版对于企业版的环境可以在任何一台ISA Server服务器上执行此脚本
网友评论
<