ISA-Server-2004-Web代理服务拒绝用户再次进行身份验证.doc

ISA Server 2004 Web代理服务拒绝用户再次进行身份验证 参考Tristanks Blog和Dr. Tom Shinders ISA Firewall Space 前言：可能很多人都遇到过这个问题，当配置ISA防火墙（ISA Server 2004）的Web代理使用集成身份验证时，如果当前登录的用户没能通过验证，那么ISA防火墙就会直接拒绝用户的访问，而不是和ISA Server 2000中一样弹出窗口要求用户输入账户信息进行身份验证，这让许多ISA防火墙管理员在选择Web代理的身份验证方式时，不得不选择基本身份验证。不过，通过这篇文章，你可以学习到如何配置ISA防火墙来允许这一行为，从而让你使用更为安全的集成身份验证而不是基本身份验证。 可能很多人都遇到过这个问题，当配置ISA防火墙（ISA Server 2004）的Web代理使用集成身份验证时，如果当前登录的用户没能通过验证，那么ISA防火墙就会直接拒绝用户的访问，而不是和ISA Server 2000中一样弹出窗口要求用户输入账户信息进行身份验证，这让许多ISA防火墙管理员在选择Web代理的身份验证方式时，不得不选择基本身份验证。 其实从集成身份验证的原理来说，当用户没有通过身份验证时，是会弹出窗口要求用户输入账户信息进行身份验证的。但是在ISA Server 2004中从安全角度考虑，当用户提交的账户信息未能通过身份验证时，ISA Server 2004会返回代码为502的错误信息（ISA防火墙拒绝了对指定URL的访问）拒绝客户的访问，而不是返回另外一个代码为407（要求客户进行身份验证）的错误信息，所以浏览器就不会再次提示用户进行身份验证，而是显示用户的访问被拒绝。 这个配置通过ISA防火墙中某个ISA防火墙网络所对应的Web代理服务侦听器（默认侦听8080端口）的ReturnDeniedIfAuthenticated属性来进行控制，它的值默认设置为FALSE；如果你将其设置为TRUE，那么当用户提交的身份验证信息未能通过身份验证时，ISA Server 2004会返回另外一个代码为407（要求客户进行身份验证）的错误信息，此时浏览器就会再次提示你进行身份验证。 Tristank在他的Blog上提供了一个用于修改此属性的脚本，如下面所示，其中的Internal代表你想要修改的代理服务侦听器所对应的网络名，在此我们想要修改默认的内部网络。请根据你的需要修改此脚本文件中第一行的网络名，支持中文网络名，但是必须保存为ANSI文件格式。你可以点击此下载完整的脚本文件，使用之前请记得做好ISA防火墙当前配置的备份： ISA2004-neverdeny.vbs - TheOnlyOneOfInterest = Internal we want to reset the internal network listener setting = True True = Enabled, False = Disabled (default) found = 0 set root = CreateObject(FPC.Root) set firewall = root.GetContainingArray set networks = firewall.NetworkConfiguration.Networks for each network in networks Wscript.echo if TheOnlyOneOfInterest = then found = found + 1 Wscript.echo Found network: + network.WebListenerProperties.ReturnAuthRequiredIfAuthUserDenied = setting this is pure bumf- feel free tocomment it out if you dont want to be prompted the Wscript.stdin.readline line requires the latest version of the VBScript/WSH components Wscript.echo Property Set - press Enter to Save the change. Wscript.stdin.readline Wscript.echo Please wait. Commit the configuration change network.WebListenerProperties.Save end if next if found = 0 then Wscript.echo Target network was not found. else Wscript.echo Done. end if - 执行方式为运行 Cscript ISA2004-neverdeny.vbs 命令完成后，复位对应网络的Web代理服务（禁用再启用此网络的Web代理服务，记得每个步骤都必须点击 应用 按钮保存修改和更新防火墙策略）即可。 在此我给大家演示一下： 我在ISA Server 2004的访问规则中要求进行用户身份验证，如下图所示，默认内部网络中启用了Web代理服务，并且只使用了集成身份验证， 配置客户为Web代理客户， 当我在浏览器中输入ISA中文站的地址时，由于当前登录账户未能通过ISA Server 2004的集成身份验证，所以访问被拒绝，错误代码是502，ISA防火墙拒绝了指定的URL地址。 从Sniffer上捕获的数据可以看出，ISA防火墙在用户提交的身份验证信息未能通过验证时，返回了一个502的错误信息，拒绝用户的访问。 现在，我执行脚本文件来修改ReturnDeniedIfAuthenticated属性，命令成功完成， 然后复位内部网络的Web代理服务（禁用再启用内部网络的Web代理服务，记得每次修改后点击应用按钮保存修改和更新防火墙策略）。 现在我们再打开浏览器来访问ISA中文站，注意，此时虽然同样未能通过ISA防火墙的集成身份验证，但是浏览器却弹出对话框提示你输入身份验证信息， 输入可以通过验证的账户信息， 此时，用户输入的身份验证信息通过ISA防火墙的验证，ISA防火墙允许客户的访问。 同样在Sniffer上查看捕获的数据包，你可以发现ISA防火墙这次返回的是407的错误信息（要求用户进行身份验证）而不是返回502来拒绝客户的访问。 如果你查看一下ISA防火墙中的会话，你会发现比较有趣的事情，会话中相同的客户IP地址却有三个不同的Web代理会话，这是为什么呢？ 这是因为ISA防火墙认为Web代理客户会话是IP地址和用户