2
MS Forefront TMG Integrierte Anmeldung und zusätzlich Anmeldeaufforderung möglich?
Hallo 
habe jetzt Google und auch das Administrator-Forum durchsucht nur leider nichts finden können.
Wäre Nett, wenn jemand helfen könnte oder zumindest eine Anregung zu dem Thema geben kann.
Momentan setzen wir bei uns im Betrieb auf den MS ISA 06 Server als Proxylösung, wir wollen allerdings jetzt umstellen auf
den MS Forefront Threat Management Gateway (TMG).
Das ist auch soweit erstmal kein Problem gewesen, aber ich stoße jetzt auf ein Problem, an dem ich mir die Zähne grade ausbeiße.
Und zwar ist es so, dass auf dem alten Server für die Authetifizierung der Benutzer am Proxy, um aufs Internet zugreifen zu dürfen,
ein RADIUS-Dienst eine Benutzerkennung mit Passwort abfragt. Diese Anmeldung soll jetzt entfallen, der TMG bietet als
Authentifizierungsmöglichkeit auch eine "Integrierte Auth." an, hierbei wird der als Benutzerkennung der angemeldete Benutzer genommen.
Dieser wird, so habe ich es zumindest eingestellt ;), mit der der WWW-Benutzer Gruppe verglichen, wenn dieser Benutzer in dieser
Gruppe ist wird er automatisch durchgewinkt. Das funktioniert, ohne Probleme.
Jetzt aber soll es so sein, dass falls der Benutzer nicht in der WWW-Benutzer Gruppe ist, dieser eine Anmeldeaufforderung bekommt
(quasi so wie vorher), sodass andere Benutzer, die die Berechtigung haben sich am Proxy auth. können ohne den anderen Nutzer abmelden zu müssen.
Diese Aufforderung soll aber nicht über den RADIUS-Dienst laufen.
Das bekomme ich beim besten Willen gerade nicht hin, eine Kollege sagte mir, dass er mal darüber gelesen hätte, das also prinzipiell
möglich wäre, er wüßte nur nicht mehr wo.
Ich hoffe, dass mir jemand helfen kann, oder mich zumindest mich in die richtige Richtung schubst
Gruß newbay
den MS Forefront Threat Management Gateway (TMG).
Das ist auch soweit erstmal kein Problem gewesen, aber ich stoße jetzt auf ein Problem, an dem ich mir die Zähne grade ausbeiße.
Und zwar ist es so, dass auf dem alten Server für die Authetifizierung der Benutzer am Proxy, um aufs Internet zugreifen zu dürfen,
ein RADIUS-Dienst eine Benutzerkennung mit Passwort abfragt. Diese Anmeldung soll jetzt entfallen, der TMG bietet als
Authentifizierungsmöglichkeit auch eine "Integrierte Auth." an, hierbei wird der als Benutzerkennung der angemeldete Benutzer genommen.
Dieser wird, so habe ich es zumindest eingestellt ;), mit der der WWW-Benutzer Gruppe verglichen, wenn dieser Benutzer in dieser
Gruppe ist wird er automatisch durchgewinkt. Das funktioniert, ohne Probleme.
Jetzt aber soll es so sein, dass falls der Benutzer nicht in der WWW-Benutzer Gruppe ist, dieser eine Anmeldeaufforderung bekommt
(quasi so wie vorher), sodass andere Benutzer, die die Berechtigung haben sich am Proxy auth. können ohne den anderen Nutzer abmelden zu müssen.
Diese Aufforderung soll aber nicht über den RADIUS-Dienst laufen.
Das bekomme ich beim besten Willen gerade nicht hin, eine Kollege sagte mir, dass er mal darüber gelesen hätte, das also prinzipiell
möglich wäre, er wüßte nur nicht mehr wo.
Ich hoffe, dass mir jemand helfen kann, oder mich zumindest mich in die richtige Richtung schubst
Gruß newbay
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 152762
Url: https://administrator.de/contentid/152762
Printed on: April 19, 2024 at 21:04 o'clock
2 Comments
Latest comment
der TMG bietet als Authentifizierungsmöglichkeit auch eine "Integrierte Auth." an
Genauso wie der ISA...
Doppelte Auth hab ich nie gebraucht, aber vielleicht geht es hiermit: http://www.collectivesoftware.com/Products/Captivate
Hm ich will keine doppelte Auth. benutzen, sondern nur die integrierte Auth., nur falls der Benutzer nicht Berechtigt ist soll eine Anmeldeaufforderung erscheinen.
Das Collective Software erscheint mir insofern unbrauchbar, da Nutzer sich dann wieder separat anmelden müssen, auch wenn die Berechtigung vorliegt und auf ein externes Programm zugegriffen werden muss (was auch bezahlt werden müsste).
Aber trotzdem danke für den Vorschlag!
Hintergrund ist, dass in unserem Betrieb Sammelaccounts bestehen für eine Abetilung, an dem dann an einem Hauptarbeitsplatz viele Menschen arbeiten können, im Regelfall haben normale Benutzer bei uns keinen Internetzugang.
Allerdings kommt es häufiger mal vor, dass z.b. ein Abteilungsleiter an diesem Arbeitsplatz arbeitet, dieser hat dann auch die Berechtigung auf das Internet zuzugreifen, sollte sich aber nicht erst ab- und anmelden müssen um darauf zugreifen zu dürfen, da es den Arbeitsfluß doch arg verlangsamen würde.
Ist solch eine Umsetzung denn möglich?
Das Collective Software erscheint mir insofern unbrauchbar, da Nutzer sich dann wieder separat anmelden müssen, auch wenn die Berechtigung vorliegt und auf ein externes Programm zugegriffen werden muss (was auch bezahlt werden müsste).
Aber trotzdem danke für den Vorschlag!
Hintergrund ist, dass in unserem Betrieb Sammelaccounts bestehen für eine Abetilung, an dem dann an einem Hauptarbeitsplatz viele Menschen arbeiten können, im Regelfall haben normale Benutzer bei uns keinen Internetzugang.
Allerdings kommt es häufiger mal vor, dass z.b. ein Abteilungsleiter an diesem Arbeitsplatz arbeitet, dieser hat dann auch die Berechtigung auf das Internet zuzugreifen, sollte sich aber nicht erst ab- und anmelden müssen um darauf zugreifen zu dürfen, da es den Arbeitsfluß doch arg verlangsamen würde.
Ist solch eine Umsetzung denn möglich?
