我的一亩三分地 我就喜欢!
13fen  设为主页
 收藏本站
 
当前位置: > 一亩三分地:首页 > 操作系统 > 服务器 > IIS Server > ISA2004Web代理服务拒绝用户再次进行身份验证一
热门文章排行
热门文章排行 启动与关闭服务器(12-28)
服务器应用:用serv-u建立FTP一(11-16)
破解局域网内不能互访的六大经典问题(12-28)
Windows中IIS内FTP服务器高级配置(11-16)
怎样设置域名的DNS服务器(11-16)
精采文章排行
精采文章排行 在Windows Server 2003中为Web站点(11-16)
IP基础--DNS协定(11-16)
怎样设置域名的DNS服务器(11-16)
DNS—bind安装与配置的关键技术揭秘(11-16)
Exchange Server 服务器通讯端口(11-16)
技术专题推荐
网管论坛交流
 

ISA2004Web代理服务拒绝用户再次进行身份验证一 

作者:佚名   来源:Linux 宝库   点击:   日期:2006-12-28


  前言:可能很多人都遇到过这个问题,当配置ISA防火墙(ISA Server 2004)的Web代理使用集成身份验证时,如果当前登录的用户没能通过验证,那么ISA防火墙就会直接拒绝用户的访问,而不是和ISA Server 2000中一样弹出窗口要求用户输入账户信息进行身份验证,这让许多ISA防火墙管理员在选择Web代理的身份验证方式时,不得不选择基本身份验证。不过,通过这篇文章,你可以学习到如何配置ISA防火墙来允许这一行为,从而让你使用更为安全的集成身份验证而不是基本身份验证。
  
  可能很多人都遇到过这个问题,当配置ISA防火墙(ISA Server 2004)的Web代理使用集成身份验证时,如果当前登录的用户没能通过验证,那么ISA防火墙就会直接拒绝用户的访问,而不是和ISA Server 2000中一样弹出窗口要求用户输入账户信息进行身份验证,这让许多ISA防火墙管理员在选择Web代理的身份验证方式时,不得不选择基本身份验证。
  
  其实从集成身份验证的原理来说,当用户没有通过身份验证时,是会弹出窗口要求用户输入账户信息进行身份验证的。但是在ISA Server 2004中从安全角度考虑,当用户提交的账户信息未能通过身份验证时,ISA Server 2004会返回代码为502的错误信息(ISA防火墙拒绝了对指定URL的访问)拒绝客户的访问,而不是返回另外一个代码为407(要求客户进行身份验证)的错误信息,所以浏览器就不会再次提示用户进行身份验证,而是显示用户的访问被拒绝。
  
  这个配置通过ISA防火墙中某个ISA防火墙网络所对应的Web代理服务侦听器(默认侦听8080端口)的ReturnDeniedIfAuthenticated属性来进行控制,它的值默认设置为FALSE;如果你将其设置为TRUE,那么当用户提交的身份验证信息未能通过身份验证时,ISA Server 2004会返回另外一个代码为407(要求客户进行身份验证)的错误信息,此时浏览器就会再次提示你进行身份验证。
  
  Tristank在他的Blog上提供了一个用于修改此属性的脚本,如下面所示,其中的Internal代表你想要修改的代理服务侦听器所对应的网络名,在此我们想要修改默认的内部网络。请根据你的需要修改此脚本文件中第一行的网络名,支持中文网络名,但是必须保存为ANSI文件格式。你可以点击此下载完整的脚本文件,使用之前请记得做好ISA防火墙当前配置的备份:
  
  ISA2004-neverdeny.vbs
  
  TheOnlyOneOfInterest = "Internal" 'we want to reset the internal network listener
  
  setting = True 'True = Enabled, False = Disabled (default)
  
  found = 0
  
  set root = CreateObject("FPC.Root")
  
  set firewall = root.GetContainingArray
  
  set networks = firewall.NetworkConfiguration.Networks
  
  for each network in networks
  
  'Wscript.echo network.name
  
  if TheOnlyOneOfInterest = network.name then
  
  found = found + 1
  
  Wscript.echo "Found network: " + network.name
  
  network.WebListenerProperties.ReturnAuthRequiredIfAuthUserDenied = setting
  
  ' this is pure bumf- feel free tocomment it out if you don't want to be prompted
  
  ' the Wscript.stdin.readline line requires the latest version of the VBScript/WSH components
  
  ' Wscript.echo "Property Set - press Enter to Save the change."
  
  ' Wscript.stdin.readline
  
  Wscript.echo "Please wait..."
  
  ' Commit the configuration change
  
  network.WebListenerProperties.Save
  
  end if
  
  next
  
  if found = 0 then
  
  Wscript.echo "Target network was not found."
  
  else
  
  Wscript.echo "Done."
  
  end if
  
  执行方式为运行
  
  Cscript ISA2004-neverdeny.vbs







文章评论】 【收藏本文】 【推荐好友】 【打印本文】 【论坛讨论

   相关文章:
·Win2003下Exchange2003安装全图解二 ·处理外部邮件的Exchangeserver设置
·准备好升级你的Exchange2003 ·Exchange2000安装的系统需求
·安装秘诀:Exchange2000容量与拓朴计算器 ·安装秘诀:将现有的Exchange2000群集节点

   文章评论:(条)
  
 请留名: 匿名评论   点击查看所有评论 网管论坛
 

  责任编辑:一分  声明:刊登此文章是为了传递更多信息,文章内容仅供参考,转载请注明出处。