54SA.COM|专注于系统运维管理,为中国SA提供动力!
Getting online shouldn't be tough. $7.99 .COMs
系统管理员之家Banner
当前位置: 主页 > Windows > 服务器 > ISA >

ISA 2004 Web代理服务拒绝用户再次进行身份验证二

时间:2010-10-28 21:31来源:未知 编辑:Jenny

  命令完成后,复位对应网络的Web代理服务(禁用再启用此网络的Web代理服务,记得每个步骤都必须点击 应用 按钮保存修改和更新防火墙策略)即可。
  
  在此我给大家演示一下:
  
  我在ISA Server 2004的访问规则中要求进行用户身份验证,如下图所示,默认内部网络中启用了Web代理服务,并且只使用了集成身份验证,
  
 

  配置客户为Web代理客户,
  
 

  当我在浏览器中输入ISA中文站的地址时,由于当前登录账户未能通过ISA Server 2004的集成身份验证,所以访问被拒绝,错误代码是502,ISA防火墙拒绝了指定的URL地址。
  
 

  从Sniffer上捕获的数据可以看出,ISA防火墙在用户提交的身份验证信息未能通过验证时,返回了一个502的错误信息,拒绝用户的访问。
   
  
点击看大图

  
  现在,我执行脚本文件来修改ReturnDeniedIfAuthenticated属性,命令成功完成,
  
 

  然后复位内部网络的Web代理服务(禁用再启用内部网络的Web代理服务,记得每次修改后点击应用按钮保存修改和更新防火墙策略)。
  
  现在我们再打开浏览器来访问ISA中文站,注意,此时虽然同样未能通过ISA防火墙的集成身份验证,但是浏览器却弹出对话框提示你输入身份验证信息,
  
 

  输入可以通过验证的账户信息,
  
 

  此时,用户输入的身份验证信息通过ISA防火墙的验证,ISA防火墙允许客户的访问。
  
 

  同样在Sniffer上查看捕获的数据包,你可以发现ISA防火墙这次返回的是407的错误信息(要求用户进行身份验证)而不是返回502来拒绝客户的访问。
  
 

  
点击看大图

  
  如果你查看一下ISA防火墙中的会话,你会发现比较有趣的事情,会话中相同的客户IP地址却有三个不同的Web代理会话,这是为什么呢?
  

  这是因为ISA防火墙认为Web代理客户会话是IP地址和用户名的结合,在这个客户的IP地址上,总共有三个用户登录(虽然Anonymous和前面一个s开头的用户被ISA防火墙拒绝访问),所以ISA防火墙认为有三个Web代理客户会话。
  
  该脚本支持ISA Server 2004的标准版和企业版。对于企业版的环境,可以在任何一台ISA Server服务器上执行此脚本。

[责任编辑:Lavy]


------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
用户名:
最新评论 进入详细评论页>>