ISA ügyfelek
2004/02/22 22:22
1165 megtekintés
A cikk már legalább egy éve nem frissült, az akkor még aktuális információk lehet, hogy mára elavultak.
Mivel több kérdés és kérés is érkezik az ISA Server-rel kapcsolatban, ezért ebben a hónapban erre e termékre helyezzük a hangsúlyt. Így most áttekinthetjük az ISA ügyfelek témakört is.

Ebben a részben az ügyfélszámítógépek és az ISA kapcsolatáról lesz szó. A cél az hogy ki tudjuk választani, hogy az ügyfélgépek és az ISA Server mely kapcsolódási megoldás mentén dolgozzanak együtt.

Három kapcsolódási mód létezik

  • SNAT (Secure NAT)
  • Web proxy
  • Tűzfal kliens

Secure NAT kliens

Azokat az ügyfélszámítógépeket, melyekre nincs tűzfal ügyfélszoftver telepítve, SecureNAT ügyfeleknek nevezzük. A SecureNAT ügyfelek használhatják az ISA Server legtöbb funkcióját, így például a hozzáférést szabályozó funkciók nagy részét is, kivéve a magasszintű protokollok támogatását és a felhasználószintű hitelesítést. Ez utóbbi azt jelenti, hogy csoportokat és felhasználókat nem adhatunk meg a különböző, pl. protokoll vagy tartalom szabályoknál, csak IP címekre korlátozhatunk. További fontos dolog, hogy Secure NAT kliens lehet bármilyen operációs rendszer amelyen a TCP/IP protokoll megtalálható.

Az ISA Server az ISA Server házirendek SecureNAT ügyfelekre való kikényszerítésével bővíti ki a Windows 2000 címfordítási (NAT = Network Address Translation) képességeit. Így a forgalom áthalad az ISA alkalmazásszűrőin (Application/Web Filter), valamint a házirendek és a sávszélesség-szabályozás érvényesülhet rajtuk. Minden ISA Server szabály (protokollhasználat, célállomások és tartalom típusa) alkalmazható a SecureNAT ügyfelekre. A SecureNAT működéséből adódóan a tűzfalszolgáltatás átadja a HTTP kéréseket a web proxy szolgáltatásnak, amely a gyorsítótárat (is) kezeli, így ezen kliensek is kihasználhatják a gyorsítótár előnyeit.

A SecureNAT használatakor az ügyfélszámítógépek semmilyen beállítást nem igényelnek, így az ISA Serverhez való kapcsolódás felhasználók számára észrevétlen, az üzmeeltető számára pedig egyszerűbb. Bár igaz az, hogy a SecureNAT ügyfelek semmilyen különleges szoftvert nem igényelnek, az alapértelmezett átjárót úgy kell rajtuk beállítani, hogy az összes Internet felé irányuló forgalom az ISA Server-en haladjon át vagy a belső DNS szerver segítségével, vagy például úgy, hogy az ISA Server IP címét állítjuk be alapértelmezett átjáróként a kliens számítógépeken. Ha van a hálózatban DHCP Server, akkor ennek segítségével ezt könnyedén megtehetjük.

Web proxy kliens

Web proxy kliensként is működhet bármilyen operációs rendszer, amely tartalmaz egy böngészőprogramot. Ugyanis egy ügyfélgép attól válik web proxy klienssé, hogy a böngészőben beállítjuk az ISA szerver IP címét/vagy nevét és a portját. Ezt az Internet Explorerben az Eszközök/Beállítások/Kapcsolatok (Tools/Internet Options/Connections) pontban tehetjük meg, Mozillában vagy Netscape-ben pedig az Edit/Preferences/Advanced/Proxies panelen. Egy Windows tartományban természetesen nem kell ezt kliens gépenként egyesével megtenni, hiszen a Csoportházirend segítségével ezt kötelezően előirhatjuk.

Fontos tudni, hogy a web proxy klinsek csak és kizárólag a HTTP/HTTPS/FTP protokollokat támogatják (iskolai környezetben, hacsak nincs ennál több igény, ez nem is rossz korlátozás :D), és azt is, hogy az SNAT és a tűzfal kliensek is lehetnek egyben web proxy kliensek. Valamint természetesen a gyorsítótár előnyeit is kihasználhatják.

Különbség az SNAT klienshez képest még az is, hogy egy web proxy ügyfél képes a hitelesítéshez szükséges felhasználói adatokat is elküldeni a szervernek (név/jelszó), így készíthetünk csoport vagy felhasználó szintű szabályokat az ISA-ban. Célszerű is kötelezően előírni a hitelesítést, ehhez az ISA MMC-ben kattintsunk a szerverünk nevére a jobb gombbal, majd Properties/Outgoing Web Requests. Itt két dolgunk lesz, először is a panel alján pipáljuk be az Ask unauthenticated users for identification négyzetet, majd a panel közepén az Identification > Edit, és itt válasszuk ki a megfelelő hitelesítési típust.

Ha csak IE-vel rendelkezünk, elég az Integrated is, amely lehetővé teszi, hogy az IE a háttérben elküldje a szükséges adatokat. Ha a hálózatban vannak más, ezt az autentikációt nem ismerő böngészők is, akkor a Basic with this domain típust is be kell pipálnunk, amely viszont nem tud a háttérban dolgozni, ezért minden session elején fel fog dobni egy hitelesítést bekérő ablakot a klienseken, ráadasul titkosítás nélkül küldi el ezeket az adatokat. Itt lehet beállítani és kötelezővé tenni a hitelesítést

Tűzfal kliens

A tűzfal kliens a legmagasabb színtű funkcionaltást adja a kliensek küzöl. Ha telepítjük (az ISA szerveren lévő MSPCLNT megosztásból a setup.exe-vel) szintén lehetővé teszi a hozzáférési házirendek hitelesített felhasználókra való alkalmazását is, nemcsak az ügyfélszámítógépek IP címeire. Nincs szükség az ISA-n az autentikáció beállítására, mert ez automatikusan folyik. Így érvényesíthetünk hozzáférési és sávszélesség szabályokat az Active Directory tartományi felhasználókra és felhasználói csoportokra, amelyek NTLM, vagy Kerberos jegyek segítségével vannak hitelesítve. Emellett a többi klienshez hasonlóan ezzel is kiaknázhatjuk a gyorsítótár előnyeit. A tűzfal kliens telepítője az ISA alapbeállításai alapján a klienst web proxy kliensnek is beállítja automatikusan.

A tűzfal kliens nagy előnye, hogy támogatja a WinSock alkalmazásokat is, így többnyire ezt telepítjük ha az átlagosan használt protokollokon kívül többre van szükségünk. Telepítése nem változtat a WinSock alkalmazások beállításain, hanem ugyanazt a winsock.dll fájlt használja, amit az alkalmazások. A tűzfalügyfél elfogja az alkalmazások hívásait, és eldönti, hogy továbbítsa-e a kérést az ISA Server számítógépnek.

Ez az ügyfél viszont kizárólag csak 32 bites Windows operációs rendszert futtató gépekre telepíthető.

Csatlakozz hozzánk!

Ajánljuk

European Schoolnet Academy Ingyenes online tanfolyamok tanároknak
School Education Gateway Ingyenes tanfolyamok és sok más tanárok számára
ENABLE program Program iskoláknak a bullying ellen
Jövő osztályterme Modern tanulási környezetekről a Sulineten