IIS, ISA server וקישור בין Domains

  • פותח הנושא talf
  • פורסם בתאריך
T

talf

New member
IIS, ISA server וקישור בין Domains

אצלי בעבודה מותקנים שני דומיין של Win2000 (נקרא להם Dx & Dy), המקושרים ב-Trust דו-כיווני ביניהם. אחד השרתים ב-Dx מריץ שרת IIS, ושרת ב-Dy משמש כ-ISA עבור נגישות המשתמשים מדומיין זה לאינטרא-נט (כלומר לשרת IIS שבדומיין Dx). הבעייה מתחילה כאשר משתמשים מ-Dy רוצים לגשת לספריית web לא אנונימית, והאתר אמור לזהות את פרטי המשתמש דרך NTLM (נכון?). בפועל, הדפדפן מבקש Username+password עבור משתמש המוגדר בדומיין Dx. זיהוי המשתמש לא מתבצע בפועל למרות ה-Trust. מישהו מכיר את הבעייה? מישהו יכול להפנות אותי למקורות עזרה (בנוסף לאתר מיקרוסופט)? תודה רבה.
 
U

udicol

New member
ובכן בנוסף לבדיקה בTechnet

אני מציע שתבדוק באמת את ההגדרה של Trust Domain ו- Relationship. ברגע שאתה עושה trust בין שני דומיינים, אז משתמש בדומיין Dy יכול להכנס למשאבים של Dx ברמת ה- Resource בלי קשר להפעלת שרת האינטרנט. מז"א ? המשתמש יכול להכנס דרך ה-File explorer או שכנים ברשת ולא דרך Internet explorer (וכמובן UNC). כי רק שם יכול להתבצע מהלך אבטחה תקין בין שני דומיינים .
 
C

Catalyst

New member
קודם כל

ב-2000 יש לך Automatic Two Way Transitive Trust Relationship, אז ככה שלא צריך לדאוג לענייני TRUST-ים (אלא אם שינית פעם). דבר נוסף, אני לא בטוח שה-AUTHERNICATION של IIS הוא NTLM, יש לך בחירה של 4 אפשרויות, ומה שאתה צריך זה Integrated Windows Authentication, או Digest Authentication (ששם צריך לבחור ב- Reverse Key או משהו כזה בUSER של ה-IIS ב-AD...) מבחינת ה-ISA הכל אמור להיות בסדר כי אתה מגיע לחלון ה- Auth. (ותקנו אותי אם אני טועה.) קטליסט.
 
T

talf

New member
אני אבדוק, אך..

ה-NTLM לא קשור למסך ה-(Security (Digest, Integrated. גם לא הצלחתי להגדיר משהו נוסף ב-Digest, וכשבחרתי אותו, הוא פתח לי מעיין חלון זיהוי משתמש (בדפדפן) מוזר, עם תיבת בחירה של דומיינים, שהייתה בכלל ריקה. האם העובדה שאני מגיע לחלון ה-Auth לאו דווקא מוכיחה שיש בעייה עם ה-ISA?
 
A

antidot

New member
---->

כיוון שאתה טוען שאתה מקבל חלון של user/password ללא שדה domain, אני מסיק שמוגדר לך Basic authentication. כעקרון: Basic Authentication - תמיכה בכל הדפדפנים. הסיסמא ושם המשתמש מועברים בclear text לשרת IIS ונבדקים מול הPDC/BDC (אם זה NT) או מול Active Directory. Digest Authentication - מה שמועבר הוא למעשה רק הhash במקום הסיסמא עצמה. השיטה נתמכת רק בIE5 ומעלה. נטסקייפ ודומיו לא מכירים בשיטה זו. התנאי לעבודה תקינה הוא שמירה של סיסמאות של משתמשים בAD כ-clear text ולא מוצפניות (ברירת מחדל) Windows Authentication - הכוונה לשיטת challenge/response. מה שמועבר ברשת הוא שוב רק הhash של הסיסמא. כל דפדפני IE תומכים בכך החל מגרסא 2 (לדעתי גם גרסאות אחרונות של נטסקייפ תומכות, אך שווה בדיקה). מדובר למעשה בNTLM ההבדל בין שיטה זו לDigest הוא שDigest מדבר עם AD דרך ldap וWindows integrated מדבר דרך NTLM. אגב, העובדה שחלון הדומיינים ריק מרמזת על כך שהTRUST בין הדומיינים הוא flat trust בשיטת הNT ואין Global Catalog של 2000 בסביבה. האם שני הדומיינים באותו forest או באותו tree ? או שבכלל מדובר בNT ? Antid0t
 
You must log in or register to reply here.

Copyright©1996-2021,Tapuz Media Ltd. Forum software by XenForo® © 2010-2020 XenForo Ltd.

למעלה