使用ISA实现用户级验证(1~3篇)
生活随笔
收集整理的這篇文章主要介紹了
使用ISA实现用户级验证(1~3篇)
小編覺得挺不錯的,現(xiàn)在分享給大家,幫大家做個參考.
第一篇 使用ISA實現(xiàn)用戶級驗證 公司最近對用戶的上網(wǎng)行為進(jìn)行控制,原本是通過Watchguard X1000通過和公司內(nèi)部的AD關(guān)聯(lián)進(jìn)行用戶級的驗證(如下圖),但是后來發(fā)現(xiàn),同一個用戶名可以在多臺機上使用,于是通過實驗,有了這篇文章. 通過ISA的WEB客戶端可以對登陸的用戶進(jìn)行用戶級的驗證,可以實現(xiàn)允許的用戶才能登陸放行,還可以實現(xiàn)對特別的網(wǎng)站的訪問控制. 文中所涉及的知識及后面可能會要求建立域控制器及新建用戶和更改域控制器策略的相關(guān)的過程可以參考我以前的建立Windows群集的文章.
Windows群集服務(wù)安裝一([url]http://waringid.blog.51cto.com/65148/47213[/url])及
Windows群集服務(wù)安裝二([url]http://waringid.blog.51cto.com/65148/47215[/url])以
及Windows群集服務(wù)安裝三([url]http://waringid.blog.51cto.com/65148/47216[/url])
和Windows群集安裝服務(wù)四([url]http://waringid.blog.51cto.com/65148/47217[/url])
以及Windows群集安裝服務(wù)五[url]http://waringid.blog.51cto.com/65148/47218[/url])
一:網(wǎng)絡(luò)的配置圖如下:
域控制器(Domain Control)
系統(tǒng)版本:win2003 Enterprise 英文版
主機名稱:dc.test.com
IP地址:10.2.1.2 255.0.0.0 DNS : 10.2.1.2
網(wǎng)卡網(wǎng)關(guān):10.2.1.1
硬件相關(guān):單網(wǎng)卡 ISA服務(wù)器一(ISA Server)
系統(tǒng)版本:win2003 Enterprise 英文版
主機名稱:isa.test.com
外部地址:DHCP DNS : DHCP
內(nèi)部地址:10.2.1.1 255.0.0.0
硬件相關(guān):雙網(wǎng)卡 測試用客戶端
系統(tǒng)版本:WIN2000 中文專業(yè)版
主機名稱:dsxtest0001.test.com
外部地址:10.2.1.100 255.0.0.0 DNS : 10.2.1.2
硬件相關(guān):單網(wǎng)卡
各WEB代理設(shè)置如下:
第二篇 使用ISA實現(xiàn)用戶級驗證 按照使用ISA實現(xiàn)用戶級驗證一([url]http://waringid.blog.51cto.com/65148/49574[/url])的設(shè)置配置各機器的IP地址和主機名稱,請參考以下的文章建立test.com域,將isa及測試用的客戶端加入到test.com中.
Windows群集服務(wù)安裝一([url]http://waringid.blog.51cto.com/65148/47213[/url])及
Windows群集服務(wù)安裝二([url]http://waringid.blog.51cto.com/65148/47215[/url])以
及Windows群集服務(wù)安裝三([url]http://waringid.blog.51cto.com/65148/47216[/url])
和Windows群集安裝服務(wù)四([url]http://waringid.blog.51cto.com/65148/47217[/url])
以及Windows群集安裝服務(wù)五[url]http://waringid.blog.51cto.com/65148/47218[/url]) 一:根據(jù)企業(yè)的部門設(shè)置建立不同的組織單位和組 設(shè)置組的包含:在企業(yè)中,假定test_it_head是經(jīng)理或企業(yè)高層人員專用的組,它的權(quán)限可以查看本部門內(nèi)所有人員的資料,但是他們自已的一些文件則不能被本部門的一般人員查看.那么可以建立test_it_dept部門組,然后將test_it_head加入.這樣可以單獨針對test_it_head設(shè)定特定的權(quán)限. 正常安裝完AD以后,組是不能進(jìn)行嵌套定義的,必須要提升域的功能級別為"2000 native"(2000 純模式) 選定"test.com"右擊"Raise Domain Funcational level"(提升域的功能級別) 將圖中顯示的其它三個組加入到"test_it_dept"組中 二:新建不同的用戶 建立"isaadmin"賬戶用于管理ISA,將它加入"Domain admins"組及"test_it_dept"組. 三:安裝ISA2006中文標(biāo)準(zhǔn)版 安裝的過程就沒有截圖了,Windows下的安裝是比較簡單的,只需要注意四點:一是登陸時使用"isaadmin"登陸到"test.com"中進(jìn)行安裝,另一個是選內(nèi)部地址的時候選"LAN"網(wǎng)卡. 第三點是雖然系統(tǒng)沒有提示要重啟,但個人建議重啟一下計算機,同樣以"isaadmin"登陸到"test.com"中;第四點是系統(tǒng)重啟后會有一個SQL的服務(wù)運行圖標(biāo),它可能顯示不在運行狀態(tài),你要在服務(wù)器中輸入"isa\msfw"然后再刷新它.
第三篇 使用ISA實現(xiàn)用戶級驗證 按照上面的第一篇、第二篇,設(shè)置好相關(guān)參數(shù),現(xiàn)在開始配置ISA2006.在本文中設(shè)置"test_it_dept"下的所有用戶都可以通過代理上網(wǎng),但是不允許"test\administrator"訪問Google這個網(wǎng)站. 一:設(shè)置ISA的外網(wǎng)卡能通過DHCP獲取IP 打開ISA2006,選擇"查看"-"顯示系統(tǒng)策略",加入外網(wǎng)網(wǎng)絡(luò),加入后的結(jié)果如圖示: 二:建立測試用戶集 選擇最右邊的面板-"工具箱"-"用戶"-"新建"
"Test it Dept"包括用戶zshan,isaadmin;
"Domain Test User"包括用戶administrator 三:建立測試域名集 選擇最右邊的面板-"工具箱"-"域名集"-"新建"
四:新建內(nèi)部訪問外網(wǎng)的訪問策略 選取左邊面板的"防火墻策略",在右邊面板上新建訪問策略,新建允許內(nèi)部網(wǎng)絡(luò)訪問外部網(wǎng)絡(luò)的策略.具體參數(shù)如圖示:
五:新建禁止administrator訪問google.com網(wǎng)站策略 注意:每新增加一條策略,要點"應(yīng)用"才能生效
方法同上所示,如圖: 六:測試結(jié)果 以administrator登陸的結(jié)果 以isaadmin登陸的情況 PS:所有的硬件防火墻在使用基于用戶級認(rèn)證的功能時都不能解決一個用戶名在多臺計算機上登陸的情況.所以使用軟件+硬件結(jié)合的方式比較好控制.因為使用軟件ISA的方法,用戶的驗證是在系統(tǒng)登陸時進(jìn)行的,所以只需控制系統(tǒng)登陸的事件就可以了,在AD的用戶中有設(shè)置"登陸到.."這個選項,可以設(shè)定每個用戶只能登陸到哪些計算機或是確定為哪一臺.當(dāng)然,如果有更好的方法希望大家一起討論. 本文出自 “虛擬的現(xiàn)實” 博客,請務(wù)必保留此出處[url]http://waringid.blog.51cto.com/65148/49650[/url]
Windows群集服務(wù)安裝一([url]http://waringid.blog.51cto.com/65148/47213[/url])及
Windows群集服務(wù)安裝二([url]http://waringid.blog.51cto.com/65148/47215[/url])以
及Windows群集服務(wù)安裝三([url]http://waringid.blog.51cto.com/65148/47216[/url])
和Windows群集安裝服務(wù)四([url]http://waringid.blog.51cto.com/65148/47217[/url])
以及Windows群集安裝服務(wù)五[url]http://waringid.blog.51cto.com/65148/47218[/url])
一:網(wǎng)絡(luò)的配置圖如下:
域控制器(Domain Control)
系統(tǒng)版本:win2003 Enterprise 英文版
主機名稱:dc.test.com
IP地址:10.2.1.2 255.0.0.0 DNS : 10.2.1.2
網(wǎng)卡網(wǎng)關(guān):10.2.1.1
硬件相關(guān):單網(wǎng)卡 ISA服務(wù)器一(ISA Server)
系統(tǒng)版本:win2003 Enterprise 英文版
主機名稱:isa.test.com
外部地址:DHCP DNS : DHCP
內(nèi)部地址:10.2.1.1 255.0.0.0
硬件相關(guān):雙網(wǎng)卡 測試用客戶端
系統(tǒng)版本:WIN2000 中文專業(yè)版
主機名稱:dsxtest0001.test.com
外部地址:10.2.1.100 255.0.0.0 DNS : 10.2.1.2
硬件相關(guān):單網(wǎng)卡
各WEB代理設(shè)置如下:
第二篇 使用ISA實現(xiàn)用戶級驗證 按照使用ISA實現(xiàn)用戶級驗證一([url]http://waringid.blog.51cto.com/65148/49574[/url])的設(shè)置配置各機器的IP地址和主機名稱,請參考以下的文章建立test.com域,將isa及測試用的客戶端加入到test.com中.
Windows群集服務(wù)安裝一([url]http://waringid.blog.51cto.com/65148/47213[/url])及
Windows群集服務(wù)安裝二([url]http://waringid.blog.51cto.com/65148/47215[/url])以
及Windows群集服務(wù)安裝三([url]http://waringid.blog.51cto.com/65148/47216[/url])
和Windows群集安裝服務(wù)四([url]http://waringid.blog.51cto.com/65148/47217[/url])
以及Windows群集安裝服務(wù)五[url]http://waringid.blog.51cto.com/65148/47218[/url]) 一:根據(jù)企業(yè)的部門設(shè)置建立不同的組織單位和組 設(shè)置組的包含:在企業(yè)中,假定test_it_head是經(jīng)理或企業(yè)高層人員專用的組,它的權(quán)限可以查看本部門內(nèi)所有人員的資料,但是他們自已的一些文件則不能被本部門的一般人員查看.那么可以建立test_it_dept部門組,然后將test_it_head加入.這樣可以單獨針對test_it_head設(shè)定特定的權(quán)限. 正常安裝完AD以后,組是不能進(jìn)行嵌套定義的,必須要提升域的功能級別為"2000 native"(2000 純模式) 選定"test.com"右擊"Raise Domain Funcational level"(提升域的功能級別) 將圖中顯示的其它三個組加入到"test_it_dept"組中 二:新建不同的用戶 建立"isaadmin"賬戶用于管理ISA,將它加入"Domain admins"組及"test_it_dept"組. 三:安裝ISA2006中文標(biāo)準(zhǔn)版 安裝的過程就沒有截圖了,Windows下的安裝是比較簡單的,只需要注意四點:一是登陸時使用"isaadmin"登陸到"test.com"中進(jìn)行安裝,另一個是選內(nèi)部地址的時候選"LAN"網(wǎng)卡. 第三點是雖然系統(tǒng)沒有提示要重啟,但個人建議重啟一下計算機,同樣以"isaadmin"登陸到"test.com"中;第四點是系統(tǒng)重啟后會有一個SQL的服務(wù)運行圖標(biāo),它可能顯示不在運行狀態(tài),你要在服務(wù)器中輸入"isa\msfw"然后再刷新它.
第三篇 使用ISA實現(xiàn)用戶級驗證 按照上面的第一篇、第二篇,設(shè)置好相關(guān)參數(shù),現(xiàn)在開始配置ISA2006.在本文中設(shè)置"test_it_dept"下的所有用戶都可以通過代理上網(wǎng),但是不允許"test\administrator"訪問Google這個網(wǎng)站. 一:設(shè)置ISA的外網(wǎng)卡能通過DHCP獲取IP 打開ISA2006,選擇"查看"-"顯示系統(tǒng)策略",加入外網(wǎng)網(wǎng)絡(luò),加入后的結(jié)果如圖示: 二:建立測試用戶集 選擇最右邊的面板-"工具箱"-"用戶"-"新建"
"Test it Dept"包括用戶zshan,isaadmin;
"Domain Test User"包括用戶administrator 三:建立測試域名集 選擇最右邊的面板-"工具箱"-"域名集"-"新建"
四:新建內(nèi)部訪問外網(wǎng)的訪問策略 選取左邊面板的"防火墻策略",在右邊面板上新建訪問策略,新建允許內(nèi)部網(wǎng)絡(luò)訪問外部網(wǎng)絡(luò)的策略.具體參數(shù)如圖示:
五:新建禁止administrator訪問google.com網(wǎng)站策略 注意:每新增加一條策略,要點"應(yīng)用"才能生效
方法同上所示,如圖: 六:測試結(jié)果 以administrator登陸的結(jié)果 以isaadmin登陸的情況 PS:所有的硬件防火墻在使用基于用戶級認(rèn)證的功能時都不能解決一個用戶名在多臺計算機上登陸的情況.所以使用軟件+硬件結(jié)合的方式比較好控制.因為使用軟件ISA的方法,用戶的驗證是在系統(tǒng)登陸時進(jìn)行的,所以只需控制系統(tǒng)登陸的事件就可以了,在AD的用戶中有設(shè)置"登陸到.."這個選項,可以設(shè)定每個用戶只能登陸到哪些計算機或是確定為哪一臺.當(dāng)然,如果有更好的方法希望大家一起討論. 本文出自 “虛擬的現(xiàn)實” 博客,請務(wù)必保留此出處[url]http://waringid.blog.51cto.com/65148/49650[/url]
轉(zhuǎn)載于:https://blog.51cto.com/liweibird/133633
總結(jié)
以上是生活随笔為你收集整理的使用ISA实现用户级验证(1~3篇)的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: SQL语句性能调整原则
- 下一篇: Xen和虚拟化技术学习指南