使用ISA实现用户级验证(1~3篇)
生活随笔
收集整理的這篇文章主要介紹了
使用ISA实现用户级验证(1~3篇)
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
第一篇 使用ISA實現用戶級驗證 公司最近對用戶的上網行為進行控制,原本是通過Watchguard X1000通過和公司內部的AD關聯進行用戶級的驗證(如下圖),但是后來發現,同一個用戶名可以在多臺機上使用,于是通過實驗,有了這篇文章. 通過ISA的WEB客戶端可以對登陸的用戶進行用戶級的驗證,可以實現允許的用戶才能登陸放行,還可以實現對特別的網站的訪問控制. 文中所涉及的知識及后面可能會要求建立域控制器及新建用戶和更改域控制器策略的相關的過程可以參考我以前的建立Windows群集的文章.
Windows群集服務安裝一([url]http://waringid.blog.51cto.com/65148/47213[/url])及
Windows群集服務安裝二([url]http://waringid.blog.51cto.com/65148/47215[/url])以
及Windows群集服務安裝三([url]http://waringid.blog.51cto.com/65148/47216[/url])
和Windows群集安裝服務四([url]http://waringid.blog.51cto.com/65148/47217[/url])
以及Windows群集安裝服務五[url]http://waringid.blog.51cto.com/65148/47218[/url])
一:網絡的配置圖如下:
域控制器(Domain Control)
系統版本:win2003 Enterprise 英文版
主機名稱:dc.test.com
IP地址:10.2.1.2 255.0.0.0 DNS : 10.2.1.2
網卡網關:10.2.1.1
硬件相關:單網卡 ISA服務器一(ISA Server)
系統版本:win2003 Enterprise 英文版
主機名稱:isa.test.com
外部地址:DHCP DNS : DHCP
內部地址:10.2.1.1 255.0.0.0
硬件相關:雙網卡 測試用客戶端
系統版本:WIN2000 中文專業版
主機名稱:dsxtest0001.test.com
外部地址:10.2.1.100 255.0.0.0 DNS : 10.2.1.2
硬件相關:單網卡
各WEB代理設置如下:
第二篇 使用ISA實現用戶級驗證 按照使用ISA實現用戶級驗證一([url]http://waringid.blog.51cto.com/65148/49574[/url])的設置配置各機器的IP地址和主機名稱,請參考以下的文章建立test.com域,將isa及測試用的客戶端加入到test.com中.
Windows群集服務安裝一([url]http://waringid.blog.51cto.com/65148/47213[/url])及
Windows群集服務安裝二([url]http://waringid.blog.51cto.com/65148/47215[/url])以
及Windows群集服務安裝三([url]http://waringid.blog.51cto.com/65148/47216[/url])
和Windows群集安裝服務四([url]http://waringid.blog.51cto.com/65148/47217[/url])
以及Windows群集安裝服務五[url]http://waringid.blog.51cto.com/65148/47218[/url]) 一:根據企業的部門設置建立不同的組織單位和組 設置組的包含:在企業中,假定test_it_head是經理或企業高層人員專用的組,它的權限可以查看本部門內所有人員的資料,但是他們自已的一些文件則不能被本部門的一般人員查看.那么可以建立test_it_dept部門組,然后將test_it_head加入.這樣可以單獨針對test_it_head設定特定的權限. 正常安裝完AD以后,組是不能進行嵌套定義的,必須要提升域的功能級別為"2000 native"(2000 純模式) 選定"test.com"右擊"Raise Domain Funcational level"(提升域的功能級別) 將圖中顯示的其它三個組加入到"test_it_dept"組中 二:新建不同的用戶 建立"isaadmin"賬戶用于管理ISA,將它加入"Domain admins"組及"test_it_dept"組. 三:安裝ISA2006中文標準版 安裝的過程就沒有截圖了,Windows下的安裝是比較簡單的,只需要注意四點:一是登陸時使用"isaadmin"登陸到"test.com"中進行安裝,另一個是選內部地址的時候選"LAN"網卡. 第三點是雖然系統沒有提示要重啟,但個人建議重啟一下計算機,同樣以"isaadmin"登陸到"test.com"中;第四點是系統重啟后會有一個SQL的服務運行圖標,它可能顯示不在運行狀態,你要在服務器中輸入"isa\msfw"然后再刷新它.
第三篇 使用ISA實現用戶級驗證 按照上面的第一篇、第二篇,設置好相關參數,現在開始配置ISA2006.在本文中設置"test_it_dept"下的所有用戶都可以通過代理上網,但是不允許"test\administrator"訪問Google這個網站. 一:設置ISA的外網卡能通過DHCP獲取IP 打開ISA2006,選擇"查看"-"顯示系統策略",加入外網網絡,加入后的結果如圖示: 二:建立測試用戶集 選擇最右邊的面板-"工具箱"-"用戶"-"新建"
"Test it Dept"包括用戶zshan,isaadmin;
"Domain Test User"包括用戶administrator 三:建立測試域名集 選擇最右邊的面板-"工具箱"-"域名集"-"新建"
四:新建內部訪問外網的訪問策略 選取左邊面板的"防火墻策略",在右邊面板上新建訪問策略,新建允許內部網絡訪問外部網絡的策略.具體參數如圖示:
五:新建禁止administrator訪問google.com網站策略 注意:每新增加一條策略,要點"應用"才能生效
方法同上所示,如圖: 六:測試結果 以administrator登陸的結果 以isaadmin登陸的情況 PS:所有的硬件防火墻在使用基于用戶級認證的功能時都不能解決一個用戶名在多臺計算機上登陸的情況.所以使用軟件+硬件結合的方式比較好控制.因為使用軟件ISA的方法,用戶的驗證是在系統登陸時進行的,所以只需控制系統登陸的事件就可以了,在AD的用戶中有設置"登陸到.."這個選項,可以設定每個用戶只能登陸到哪些計算機或是確定為哪一臺.當然,如果有更好的方法希望大家一起討論. 本文出自 “虛擬的現實” 博客,請務必保留此出處[url]http://waringid.blog.51cto.com/65148/49650[/url]
Windows群集服務安裝一([url]http://waringid.blog.51cto.com/65148/47213[/url])及
Windows群集服務安裝二([url]http://waringid.blog.51cto.com/65148/47215[/url])以
及Windows群集服務安裝三([url]http://waringid.blog.51cto.com/65148/47216[/url])
和Windows群集安裝服務四([url]http://waringid.blog.51cto.com/65148/47217[/url])
以及Windows群集安裝服務五[url]http://waringid.blog.51cto.com/65148/47218[/url])
一:網絡的配置圖如下:
域控制器(Domain Control)
系統版本:win2003 Enterprise 英文版
主機名稱:dc.test.com
IP地址:10.2.1.2 255.0.0.0 DNS : 10.2.1.2
網卡網關:10.2.1.1
硬件相關:單網卡 ISA服務器一(ISA Server)
系統版本:win2003 Enterprise 英文版
主機名稱:isa.test.com
外部地址:DHCP DNS : DHCP
內部地址:10.2.1.1 255.0.0.0
硬件相關:雙網卡 測試用客戶端
系統版本:WIN2000 中文專業版
主機名稱:dsxtest0001.test.com
外部地址:10.2.1.100 255.0.0.0 DNS : 10.2.1.2
硬件相關:單網卡
各WEB代理設置如下:
第二篇 使用ISA實現用戶級驗證 按照使用ISA實現用戶級驗證一([url]http://waringid.blog.51cto.com/65148/49574[/url])的設置配置各機器的IP地址和主機名稱,請參考以下的文章建立test.com域,將isa及測試用的客戶端加入到test.com中.
Windows群集服務安裝一([url]http://waringid.blog.51cto.com/65148/47213[/url])及
Windows群集服務安裝二([url]http://waringid.blog.51cto.com/65148/47215[/url])以
及Windows群集服務安裝三([url]http://waringid.blog.51cto.com/65148/47216[/url])
和Windows群集安裝服務四([url]http://waringid.blog.51cto.com/65148/47217[/url])
以及Windows群集安裝服務五[url]http://waringid.blog.51cto.com/65148/47218[/url]) 一:根據企業的部門設置建立不同的組織單位和組 設置組的包含:在企業中,假定test_it_head是經理或企業高層人員專用的組,它的權限可以查看本部門內所有人員的資料,但是他們自已的一些文件則不能被本部門的一般人員查看.那么可以建立test_it_dept部門組,然后將test_it_head加入.這樣可以單獨針對test_it_head設定特定的權限. 正常安裝完AD以后,組是不能進行嵌套定義的,必須要提升域的功能級別為"2000 native"(2000 純模式) 選定"test.com"右擊"Raise Domain Funcational level"(提升域的功能級別) 將圖中顯示的其它三個組加入到"test_it_dept"組中 二:新建不同的用戶 建立"isaadmin"賬戶用于管理ISA,將它加入"Domain admins"組及"test_it_dept"組. 三:安裝ISA2006中文標準版 安裝的過程就沒有截圖了,Windows下的安裝是比較簡單的,只需要注意四點:一是登陸時使用"isaadmin"登陸到"test.com"中進行安裝,另一個是選內部地址的時候選"LAN"網卡. 第三點是雖然系統沒有提示要重啟,但個人建議重啟一下計算機,同樣以"isaadmin"登陸到"test.com"中;第四點是系統重啟后會有一個SQL的服務運行圖標,它可能顯示不在運行狀態,你要在服務器中輸入"isa\msfw"然后再刷新它.
第三篇 使用ISA實現用戶級驗證 按照上面的第一篇、第二篇,設置好相關參數,現在開始配置ISA2006.在本文中設置"test_it_dept"下的所有用戶都可以通過代理上網,但是不允許"test\administrator"訪問Google這個網站. 一:設置ISA的外網卡能通過DHCP獲取IP 打開ISA2006,選擇"查看"-"顯示系統策略",加入外網網絡,加入后的結果如圖示: 二:建立測試用戶集 選擇最右邊的面板-"工具箱"-"用戶"-"新建"
"Test it Dept"包括用戶zshan,isaadmin;
"Domain Test User"包括用戶administrator 三:建立測試域名集 選擇最右邊的面板-"工具箱"-"域名集"-"新建"
四:新建內部訪問外網的訪問策略 選取左邊面板的"防火墻策略",在右邊面板上新建訪問策略,新建允許內部網絡訪問外部網絡的策略.具體參數如圖示:
五:新建禁止administrator訪問google.com網站策略 注意:每新增加一條策略,要點"應用"才能生效
方法同上所示,如圖: 六:測試結果 以administrator登陸的結果 以isaadmin登陸的情況 PS:所有的硬件防火墻在使用基于用戶級認證的功能時都不能解決一個用戶名在多臺計算機上登陸的情況.所以使用軟件+硬件結合的方式比較好控制.因為使用軟件ISA的方法,用戶的驗證是在系統登陸時進行的,所以只需控制系統登陸的事件就可以了,在AD的用戶中有設置"登陸到.."這個選項,可以設定每個用戶只能登陸到哪些計算機或是確定為哪一臺.當然,如果有更好的方法希望大家一起討論. 本文出自 “虛擬的現實” 博客,請務必保留此出處[url]http://waringid.blog.51cto.com/65148/49650[/url]
轉載于:https://blog.51cto.com/liweibird/133633
總結
以上是生活随笔為你收集整理的使用ISA实现用户级验证(1~3篇)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: SQL语句性能调整原则
- 下一篇: Xen和虚拟化技术学习指南