ISAServer2004Web代理服務(wù)拒絕用戶再次進(jìn)行身份驗(yàn)證

1、ISA Server 2004 Web代理服務(wù)拒絕用戶再次進(jìn)行身份驗(yàn)證 參考Tristank's Blog和Dr. Tom Shinder's ISA Firewall Space 前言：可能很多人都遇到過這個問題，當(dāng)配置ISA防火墻（ISA Server 2004）的Web代理使用集成身份驗(yàn)證時，如果當(dāng)前登錄的用戶沒能通過驗(yàn)證，那么ISA防火墻就會直接拒絕用戶的訪問，而不是和ISA Server 2000中一樣彈出窗口要求用戶輸入賬戶信息進(jìn)行身份驗(yàn)證，這讓許多ISA防火墻管理員在選擇Web代理的身份驗(yàn)證方式時，不得不選擇基本身份驗(yàn)證。不過，通過這篇文章，你可以學(xué)習(xí)到如何配置I

2、SA防火墻來允許這一行為，從而讓你使用更為安全的集成身份驗(yàn)證而不是基本身份驗(yàn)證。 可能很多人都遇到過這個問題，當(dāng)配置ISA防火墻（ISA Server 2004）的Web代理使用集成身份驗(yàn)證時，如果當(dāng)前登錄的用戶沒能通過驗(yàn)證，那么ISA防火墻就會直接拒絕用戶的訪問，而不是和ISA Server 2000中一樣彈出窗口要求用戶輸入賬戶信息進(jìn)行身份驗(yàn)證，這讓許多ISA防火墻管理員在選擇Web代理的身份驗(yàn)證方式時，不得不選擇基本身份驗(yàn)證。 其實(shí)從集成身份驗(yàn)證的原理來說，當(dāng)用戶沒有通過身份驗(yàn)證時，是會彈出窗口要求用戶輸入賬戶信息進(jìn)行身份驗(yàn)證的。但是在ISA Server 2004中從安全角度考慮，當(dāng)用

3、戶提交的賬戶信息未能通過身份驗(yàn)證時，ISA Server 2004會返回代碼為502的錯誤信息（ISA防火墻拒絕了對指定URL的訪問）拒絕客戶的訪問，而不是返回另外一個代碼為407（要求客戶進(jìn)行身份驗(yàn)證）的錯誤信息，所以瀏覽器就不會再次提示用戶進(jìn)行身份驗(yàn)證，而是顯示用戶的訪問被拒絕。 這個配置通過ISA防火墻中某個ISA防火墻網(wǎng)絡(luò)所對應(yīng)的Web代理服務(wù)偵聽器（默認(rèn)偵聽8080端口）的ReturnDeniedIfAuthenticated屬性來進(jìn)行控制，它的值默認(rèn)設(shè)置為FALSE；如果你將其設(shè)置為TRUE，那么當(dāng)用戶提交的身份驗(yàn)證信息未能通過身份驗(yàn)證時，ISA Server 2004會返回另外一

4、個代碼為407（要求客戶進(jìn)行身份驗(yàn)證）的錯誤信息，此時瀏覽器就會再次提示你進(jìn)行身份驗(yàn)證。 Tristank在他的Blog上提供了一個用于修改此屬性的腳本，如下面所示，其中的Internal代表你想要修改的代理服務(wù)偵聽器所對應(yīng)的網(wǎng)絡(luò)名，在此我們想要修改默認(rèn)的內(nèi)部網(wǎng)絡(luò)。請根據(jù)你的需要修改此腳本文件中第一行的網(wǎng)絡(luò)名，支持中文網(wǎng)絡(luò)名，但是必須保存為ANSI文件格式。你可以點(diǎn)擊此下載完整的腳本文件，使用之前請記得做好ISA防火墻當(dāng)前配置的備份： ISA2004-neverdeny.vbs - TheOnlyOneOfInterest = "Internal" 'we want

5、 to reset the internal network listener setting = True 'True = Enabled, False = Disabled (default) found = 0 set root = CreateObject("FPC.Root") set firewall = root.GetContainingArray set networks = firewall.NetworkConfiguration.Networks for each network in networks 'Wscript.echo n

6、 if TheOnlyOneOfInterest = then found = found + 1 Wscript.echo "Found network: " + network.WebListenerProperties.ReturnAuthRequiredIfAuthUserDenied = setting ' this is pure bumf- feel free tocomment it out if you don't want to be prompted '

7、the Wscript.stdin.readline line requires the latest version of the VBScript/WSH components ' Wscript.echo "Property Set - press Enter to Save the change." ' Wscript.stdin.readline Wscript.echo "Please wait." ' Commit the configuration change network.WebListenerPropert

8、ies.Save end if next if found = 0 then Wscript.echo "Target network was not found." else Wscript.echo "Done." end if - 執(zhí)行方式為運(yùn)行 Cscript ISA2004-neverdeny.vbs 命令完成后，復(fù)位對應(yīng)網(wǎng)絡(luò)的Web代理服務(wù)（禁用再啟用此網(wǎng)絡(luò)的Web代理服務(wù)，記得每個步驟都必須點(diǎn)擊 應(yīng)用 按鈕保存修改和更新防火墻策略）即可。 在此我給大家演示一下： 我在ISA Server 2004的訪問規(guī)則中要求進(jìn)行用戶身份驗(yàn)證，如下圖所示

9、，默認(rèn)內(nèi)部網(wǎng)絡(luò)中啟用了Web代理服務(wù)，并且只使用了集成身份驗(yàn)證， 配置客戶為Web代理客戶， 當(dāng)我在瀏覽器中輸入ISA中文站的地址時，由于當(dāng)前登錄賬戶未能通過ISA Server 2004的集成身份驗(yàn)證，所以訪問被拒絕，錯誤代碼是502，ISA防火墻拒絕了指定的URL地址。 從Sniffer上捕獲的數(shù)據(jù)可以看出，ISA防火墻在用戶提交的身份驗(yàn)證信息未能通過驗(yàn)證時，返回了一個502的錯誤信息，拒絕用戶的訪問。 現(xiàn)在，我執(zhí)行腳本文件來修改ReturnDeniedIfAuthenticated屬性，命令成功完成， 然后復(fù)位內(nèi)部網(wǎng)絡(luò)的Web代理服務(wù)（禁用再啟用內(nèi)部網(wǎng)絡(luò)的Web代理服務(wù)，記得每次修改后點(diǎn)

10、擊應(yīng)用按鈕保存修改和更新防火墻策略）。 現(xiàn)在我們再打開瀏覽器來訪問ISA中文站，注意，此時雖然同樣未能通過ISA防火墻的集成身份驗(yàn)證，但是瀏覽器卻彈出對話框提示你輸入身份驗(yàn)證信息， 輸入可以通過驗(yàn)證的賬戶信息， 此時，用戶輸入的身份驗(yàn)證信息通過ISA防火墻的驗(yàn)證，ISA防火墻允許客戶的訪問。 同樣在Sniffer上查看捕獲的數(shù)據(jù)包，你可以發(fā)現(xiàn)ISA防火墻這次返回的是407的錯誤信息（要求用戶進(jìn)行身份驗(yàn)證）而不是返回502來拒絕客戶的訪問。 如果你查看一下ISA防火墻中的會話，你會發(fā)現(xiàn)比較有趣的事情，會話中相同的客戶IP地址卻有三個不同的Web代理會話，這是為什么呢？ 這是因?yàn)镮SA防火墻認(rèn)為Web代理客戶會話是