首页业界动态通用技术技术文章-ISA技术文章-ISA 2006ForeFront TMG相关下载 登录论坛 @联系我们
ISA中文站 > 信息 > 技术文章-ISA > ISA-常规 > ISA Server 2004 Web代理服务拒绝用户再次进行身份验证
现在时间是: 2018-12-16 10:32
ISA Server 2004 Web代理服务拒绝用户再次进行身份验证

(2005-09-25 22:51)
来源:ISA中文站

ISA Server 2004 Web代理服务拒绝用户再次进行身份验证

参考Tristank's BlogDr. Tom Shinder's ISA Firewall Space

 

前言:可能很多人都遇到过这个问题,当配置ISA防火墙(ISA Server 2004)的Web代理使用集成身份验证时,如果当前登录的用户没能通过验证,那么ISA防火墙就会直接拒绝用户的访问,而不是和ISA Server 2000中一样弹出窗口要求用户输入账户信息进行身份验证,这让许多ISA防火墙管理员在选择Web代理的身份验证方式时,不得不选择基本身份验证。不过,通过这篇文章,你可以学习到如何配置ISA防火墙来允许这一行为,从而让你使用更为安全的集成身份验证而不是基本身份验证。

 

可能很多人都遇到过这个问题,当配置ISA防火墙(ISA Server 2004)的Web代理使用集成身份验证时,如果当前登录的用户没能通过验证,那么ISA防火墙就会直接拒绝用户的访问,而不是和ISA Server 2000中一样弹出窗口要求用户输入账户信息进行身份验证,这让许多ISA防火墙管理员在选择Web代理的身份验证方式时,不得不选择基本身份验证。

其实从集成身份验证的原理来说,当用户没有通过身份验证时,是会弹出窗口要求用户输入账户信息进行身份验证的。但是在ISA Server 2004中从安全角度考虑,当用户提交的账户信息未能通过身份验证时,ISA Server 2004会返回代码为502的错误信息(ISA防火墙拒绝了对指定URL的访问)拒绝客户的访问,而不是返回另外一个代码为407(要求客户进行身份验证)的错误信息,所以浏览器就不会再次提示用户进行身份验证,而是显示用户的访问被拒绝。

这个配置通过ISA防火墙中某个ISA防火墙网络所对应的Web代理服务侦听器(默认侦听8080端口)的ReturnDeniedIfAuthenticated属性来进行控制,它的值默认设置为FALSE;如果你将其设置为TRUE,那么当用户提交的身份验证信息未能通过身份验证时,ISA Server 2004会返回另外一个代码为407(要求客户进行身份验证)的错误信息,此时浏览器就会再次提示你进行身份验证。

Tristank在他的Blog上提供了一个用于修改此属性的脚本,如下面所示,其中的Internal代表你想要修改的代理服务侦听器所对应的网络名,在此我们想要修改默认的内部网络。请根据你的需要修改此脚本文件中第一行的网络名,支持中文网络名,但是必须保存为ANSI文件格式。你可以点击此下载完整的脚本文件,使用之前请记得做好ISA防火墙当前配置的备份

 

ISA2004-neverdeny.vbs

----------------------------------------------------------------------------------

TheOnlyOneOfInterest = "Internal" 'we want to reset the internal network listener

setting = True 'True = Enabled, False = Disabled (default)

found = 0

 

set root = CreateObject("FPC.Root")

set firewall = root.GetContainingArray

set networks = firewall.NetworkConfiguration.Networks

for each network in networks

'Wscript.echo network.name

if TheOnlyOneOfInterest = network.name then

found = found + 1

Wscript.echo "Found network: " + network.name

network.WebListenerProperties.ReturnAuthRequiredIfAuthUserDenied = setting

' this is pure bumf- feel free tocomment it out if you don't want to be prompted

' the Wscript.stdin.readline line requires the latest version of the VBScript/WSH components

' Wscript.echo "Property Set - press Enter to Save the change."

' Wscript.stdin.readline

Wscript.echo "Please wait..."

' Commit the configuration change

network.WebListenerProperties.Save

end if

next

if found = 0 then

Wscript.echo "Target network was not found."

else

Wscript.echo "Done."

end if

----------------------------------------------------------------------------------

执行方式为运行

Cscript ISA2004-neverdeny.vbs

命令完成后,复位对应网络的Web代理服务(禁用再启用此网络的Web代理服务,记得每个步骤都必须点击 应用 按钮保存修改和更新防火墙策略)即可。



作者:风间子
责任编辑:风间子

[1] [2] [3] 下一页>>
上一篇:ISA Server 2004 FAQ :硬件防火墙设备
下一篇:访问规则和服务发布规则的区别 v1.1
相关信息:

How to :配置ISA Server 2004中的Web链
[补丁]ISA Server 2004防火墙警告:修复在被SYN攻击淹没中的连接不稳定现象
ISA防火墙优化方法及使用技巧(第一部分)
How to :让VPN客户解析内部网络中的计算机名
关于服务发布中请求转发选项的说明

热点信息 TOP 10
ISA 2004 王者归来
ISA Server 2004 SP3 使用指南
ISA Server 2004 中的HTTP筛选
HTTP 应用层过滤的兼容性问题及解决方案 v1.2
ISA Server实现HTTP Proxy中基本身份验证、Windows集成身份验证及其安全性
理解ISA Server 2004中的网络
ISA Server 2004中的通讯重定向
ISA Server 2004 Web代理服务拒绝用户再次进行身份验证
升级到ISA 2004防火墙的原因
ISA Server 客户端类型

搜索 SEARCH
关键字:
包含:
搜索于:


Copyright © ISACN.ORG 2004-2018 All Rights Reserved..