| Автор | Сообщение |
Пользователь
Регистрация: 24.06.2007
Сообщения: 21
|
|
Добавлено: Чт 06 Сентября 2007 01:15
|
|
Здравствуйте. Использую вингейт 6.2 на ос вин2003 сервер, пользователи привязаны к своим айпишникам и в инет выходят через нат. Суть проблеммы вот в чем: вингейт установлен на контролере домена, использую привязку пользователей к ad, мне нужно отсеч пользователей, которые в домене не зарегестрированы, в сети есть пользователи, которые не в ходят в домен. Настраивал на вин2003 политики безопасности, сервер вообще не видно недоменным пользователям, однако вингейт их видит всех!!! и что еще хуже готов всех пропустить лишбы айпи адреса совпадали. В сети вне домена, адрес можно ручками поменять, вот и выходит, что злоумышленик из недоменной сети может сменить адрес ручками и вингейт принимает его за своего. Долго бился, не могу сообразить из-за чего сам сервер не хочет общаться с незарегестрированными пользователями, а вингейту побоку на все установки сервера, он всех пропускает. Вингейт клиента не могу использовать по техническим причинам. Так вот вопрос, как сделать так, что бы винегйт распозновал только доменных пользователей? Проблемма еще в том что я и в вин2003 не сильно разбираюсь, мож там чего поменять надо. Подскажите пожалуста, если в курсе, а то пока вроде пользователи не шалят этой лазейкой, но чую скоро начнут.
|
Администратор
Регистрация: 01.12.2006
Сообщения: 1349
|
|
Добавлено: Чт 06 Сентября 2007 10:17
|
|
он и будет их пускать, пользователи ведь не логиняться, а только определяются по наличию ИП адреса. Добавляй привязку не только по ИП но и по МАК адресу.
|
Пользователь
Регистрация: 24.06.2007
Сообщения: 21
|
|
Добавлено: Чт 06 Сентября 2007 23:39
|
|
опять таки проблемма, мак адреса у нас научились некоторые пользователи подменять, а узнать чужой мак адрес тоже не совсем проблематично, например используя сканер languard, он зараза всю подноготную сканируемого компьютера выдает. Можно было бы использовать полное доменное имя, например user.domain.net, но как не старался не смог добиться от вингейта определения полного имени, он хватал его только до точки, отбрасывая доменную часть.
Если возникнут какие-нибудь идеи просьба написать. А то даже сон потерял с этими настройками:)
|
Администратор
Регистрация: 01.12.2006
Сообщения: 1349
|
|
Добавлено: Пт 07 Сентября 2007 12:06
|
|
Ну тут собственно два варианта:
1. пользователи беруться из контроллера домена, а значит на них можно наложить групповую политику, а именно не возможность изменять настройки сетевых карт и тем более реестра.
2. делать авторизаци по логину и паролю в гейте.
|
Пользователь
Регистрация: 24.06.2007
Сообщения: 21
|
|
Добавлено: Пт 07 Сентября 2007 19:16
|
|
Первый вариант - не все пользователи подсоеденены к домену, т.е. групповая политика действует не на всех.
Второй, можно ли сделать авторизацию по логину и паролю без вингейт клиента?
Сразу несколько дополнительных вопросов:
Работает ли вингейт клиент через нат, т.к. когда ставил его, он работал только с виндовс редирект сервис?
Можно ли вингейт клиента активировать сразу с загрузкой компьютера, т.е. ввести пароль и логин, не заходя на сайты и т.д., и шоб он в трее постоянно висел, вроде удаленного соединения, один раз приконнектился, и он постоянно висит?
Можно ли закрыть с помощью настроек полити безопасности сервера доступ к вингейту, даже если в вингейте пользователь будет авторизирован?
|
Администратор
Регистрация: 01.12.2006
Сообщения: 1349
|
|
Добавлено: Пн 10 Сентября 2007 10:57
|
|
Можно, в вингейте есть NTLM авторизация, но, она включается только на прокси-сервисе. Клиент посути создает соединение для авторизации, а дальше если юзер пройдет авторизацию, то и в НАТ можно выпускать. Клиент и так всегда висит в трее, и его можно убрать оттуда.
|
Пользователь
Регистрация: 24.06.2007
Сообщения: 21
|
|
Добавлено: Вт 11 Сентября 2007 23:55
|
|
СПАСИБО ГРОМАДНЕЙШЕЕ, поставил, все работает, не могу нарадоваться. Я честно говоря во всех инструкция пропускал разде прокси, т.к. не пользовался, жаль что в нат нету ntml авторизации, но это хрен с ним, пустил ввв трафик через прокси, а остальное через нат и там и там пользователь должен быть подтвержден. И все заработало!!! А я полмесяца бился с этой проблеммой, планировал уже переход на isa сервер, хотя к вингейту привык. Вот еще вопрос один остался, когда я запускаю страничку и соответственно авторизируюсь в гейте, то я там вишу некоторое время, а потом проподаю, если ничего больше не делаю, хотя страничку не закрываю, а как сделать, шоб при открытой страничке сессия не закрывалась?
|
Администратор
Регистрация: 01.12.2006
Сообщения: 1349
|
|
Добавлено: Ср 12 Сентября 2007 10:20
|
|
Никак, только увеличить таймаут.
|
