ISA 2004 Web代理服务拒绝用户再次进行身份验证一

樱子

　　前言：可能很多人都遇到过这个问题，当配置ISA防火墙（ISA Server 2004）的Web代理使用集成身份验证时，如果当前登录的用户没能通过验证，那么ISA防火墙就会直接拒绝用户的访问，而不是和ISA Server 2000中一样弹出窗口要求用户输入账户信息进行身份验证，这让许多ISA防火墙管理员在选择Web代理的身份验证方式时，不得不选择基本身份验证。不过，通过这篇文章，你可以学习到如何配置ISA防火墙来允许这一行为，从而让你使用更为安全的集成身份验证而不是基本身份验证。 　　 　　可能很多人都遇到过这个问题，当配置ISA防火墙（ISA Server 2004）的Web代理使用集成身份验证时，如果当前登录的用户没能通过验证，那么ISA防火墙就会直接拒绝用户的访问，而不是和ISA Server 2000中一样弹出窗口要求用户输入账户信息进行身份验证，这让许多ISA防火墙管理员在选择Web代理的身份验证方式时，不得不选择基本身份验证。 　　 　　其实从集成身份验证的原理来说，当用户没有通过身份验证时，是会弹出窗口要求用户输入账户信息进行身份验证的。但是在ISA Server 2004中从安全角度考虑，当用户提交的账户信息未能通过身份验证时，ISA Server 2004会返回代码为502的错误信息（ISA防火墙拒绝了对指定URL的访问）拒绝客户的访问，而不是返回另外一个代码为407（要求客户进行身份验证）的错误信息，所以浏览器就不会再次提示用户进行身份验证，而是显示用户的访问被拒绝。 　　 　　这个配置通过ISA防火墙中某个ISA防火墙网络所对应的Web代理服务侦听器（默认侦听8080端口）的ReturnDeniedIfAuthenticated属性来进行控制，它的值默认设置为FALSE；如果你将其设置为TRUE，那么当用户提交的身份验证信息未能通过身份验证时，ISA Server 2004会返回另外一个代码为407（要求客户进行身份验证）的错误信息，此时浏览器就会再次提示你进行身份验证。 　　 　　Tristank在他的Blog上提供了一个用于修改此属性的脚本，如下面所示，其中的Internal代表你想要修改的代理服务侦听器所对应的网络名，在此我们想要修改默认的内部网络。请根据你的需要修改此脚本文件中第一行的网络名，支持中文网络名，但是必须保存为ANSI文件格式。你可以点击此下载完整的脚本文件，使用之前请记得做好ISA防火墙当前配置的备份： 　　 　　ISA2004-neverdeny.vbs 　　 　　TheOnlyOneOfInterest = "Internal" 'we want to reset the internal network listener 　　 　　setting = True 'True = Enabled, False = Disabled (default) 　　 　　found = 0 　　 　　set root = CreateObject("FPC.Root") 　　 　　set firewall = root.GetContainingArray 　　 　　set networks = firewall.NetworkConfiguration.Networks 　　 　　for each network in networks 　　 　　'Wscript.echo network.name 　　 　　if TheOnlyOneOfInterest = network.name then 　　 　　found = found 1 　　 　　Wscript.echo "Found network: " network.name 　　 　　network.WebListenerProperties.ReturnAuthRequiredIfAuthUserDenied = setting 　　 　　' this is pure bumf- feel free tocomment it out if you don't want to be prompted 　　 　　' the Wscript.stdin.readline line requires the latest version of the VBScript/WSH components 　　 　　' Wscript.echo "Property Set - press Enter to Save the change." 　　 　　' Wscript.stdin.readline 　　 　　Wscript.echo "Please wait..." 　　 　　' Commit the configuration change 　　 　　network.WebListenerProperties.Save 　　 　　end if 　　 　　next 　　 　　if found = 0 then 　　 　　Wscript.echo "Target network was not found." 　　 　　else 　　 　　Wscript.echo "Done." 　　 　　end if 　　 　　执行方式为运行 　　 　　Cscript ISA2004-neverdeny.vbs <

5dok.com

大家好！我的小孩三岁了，现在已上幼儿园。最近有家公司到幼儿园推销一种叫"易读宝"的产品。还让小孩子带回家玩两天。我小孩也带了一支和几本图书回来，一到家他把书包一放，拿起它和几本图书就点，一边看、一边点、一边听、一边翻书，好认真啊！从来没有看过他玩什么东西这么认真过。 一下子想到：做为一位家长，看到孩子这样的举动，如果不把这产品买下来就不一个好家长。所以我决定把它买下来，但我不知该产品质量和服务怎么样，请知道的朋友告知一二，谢谢！ 你想为自己的小宝贝买一份既实用又有意义的礼物吗？ 你想为亲戚的小宝贝买一份既实用又有意义的礼物吗？ 你想为朋友的小宝贝买一份既实用又有意义的礼物吗？ 易读宝点读笔 2009大折扣——幼儿早教智力开发 请认准百度商城 此链接享受易读宝366元百度4.6折扣 http://youa.baidu.com/item/e53b3107eebb82ca12d64c62 此链接享受易读宝套装398元优惠 http://youa.baidu.com/item/eceb0c0618c964cbc628fc3a 货笔3家这里常年点读笔配套有声图书6-7折供货呢！易读宝点读笔4.6折 09特供！！！ 点读笔配套有声图书6-7折 实惠只为惠顾！ www.5dok.com 我棒网 支持你！ www.5dok.com 我棒网 支持你！www.5dok.com 我棒网 支持