Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
974 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Publication IIS via ISA : problème d'authentification

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Publication IIS via ISA : problème d'authentification

n°22532
gloubiboul​ga
-
Posté le 17-07-2007 à 17:31:00  profilanswer
 

:hello:  
 
J'ai un problème sur une publication IIS sur ISA, au niveau de l'authentification.  
 
Le serveur IIS utilise SSO, mais on souhaite aussi faire une publication Web. Pour ce, j'utilise le reverse proxy que nous avons déjà : isa 2004.
Je modifie IIS pour accepter le header web, test sur le dns local > OK
Je teste la cnx d'isa -> iis (donc dmz -> lan) > OK
Le SSO fonctionne sans problème sur IE en local, et en s'authentifiant avec Firefox.  
Par contre, à partir du moment où je tente un accès via ISA, j'ai bien une demande d'auth, avec firefox ou IE, mais quoi que je rentre ça ne fonctionne pas ! :'(  
J'ai testé diverses options d'authentification dans ISA, aucune ne fonctionne.  
 
Ma règle :  
From : Anywhere
To : <mon serveur en lan>
"forward the original host header[...]" est décoché
Coché "request appear from isa server" (ne fonctionne pas en mode "from the original client" ).  
Traffic : http
Listener : HTTP Listener
Request from the following websites : j'ai bien le dns publique
Nous avons installé WebDirect (pour la redirection http -> https d'OWA), j'ai testé avec, mais ça n'est pas sa fonction première, et ça ne fonctionne pas plus.  
Le bridging est bien en mode Web Server, et les requêtes redirigées vers le port 80.
Quand au path, je redirige /* sur /monsite, mais rien de particulier.  
 
Des idées :??:  
 
Merci !


---------------
-
mood
Publicité
Posté le 17-07-2007 à 17:31:00  profilanswer
 

n°22768
gloubiboul​ga
-
Posté le 21-07-2007 à 20:10:51  profilanswer
 

Acun succès avec ces laitages :'(  
Le pire étant que ça fonctionne pour la publication OWA (qui utilise aussi SSO).


---------------
-
n°22787
El Pollo D​iablo
REACHED THE END OF CAKE
Posté le 23-07-2007 à 09:02:29  profilanswer
 

:hello:  
 
Ca te renvoie quoi comme erreur exactement ? T'as des traces dans les logs ISA ou IIS ?

n°22801
gloubiboul​ga
-
Posté le 23-07-2007 à 10:55:26  profilanswer
 

El Pollo Diablo a écrit :

:hello:  
 
Ca te renvoie quoi comme erreur exactement ? T'as des traces dans les logs ISA ou IIS ?


[:ninja dago]
 
HTTP Error 401.1 - Unauthorized: Access is denied due to invalid credentials.
Internet Information Services (IIS)
 
Logs IIS :  
 

Citation :

2007-07-23 08:22:27 W3SVC2036564676 10.63.52.112 GET /optiweb - 80 - 172.16.1.35 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+.NET+CLR+2.0.50727;+.NET+CLR+1.1.4322;+.NET+CLR+3.0.04506.30) 401 2 2148074254


 
J'y accède avec IE7 sur XP Pro. On voit bien l'IP du serveur ISA..  
 
Pour les logs ISA, au format mdf ([:ideenoire]), je ne peux pas les copier vu qu'ils sont bloqués par ISA, je ne peux pas les éditer, et je n'ai pas trouvé comment faire afficher ses logs à ISA.  
 
Par contre, toujours dans les logs ISA (c'est un serveur soit disant géré par un spécialiste ISA super caïd MCSE toussa), j'ai vu un certain nombre d'erreurs netlogon :  
 

Citation :

This computer was not able to set up a secure session with a domain controller in domain LEDOMAINE due to the following:  
The remote procedure call failed.  
This may lead to authentication problems. Make sure that this computer is connected to the network. If the problem persists, please contact your domain administrator.  
 
ADDITIONAL INFO  
If this computer is a domain controller for the specified domain, it sets up the secure session to the primary domain controller emulator in the specified domain. Otherwise, this computer sets up the secure session to any domain controller in the specified domain.
 


 
Ainsi que kerberos :  
 

Citation :

The kerberos subsystem encountered a PAC verification failure.  This indicates that the PAC from the client LESERVEURISA$ in realm LEDOMAINE had a PAC which failed to verify or was modified.  Contact your system administrator.


 
re-[:ideenoire]
 
Vu que le serveur est en DMZ, je pense savoir d'où vient le problème, mais j'ai un petit doute à mettre ça sur le dos de ces erreurs, vu que l'authentification OWA fonctionne sans problème.  
Si tu as des idées, je suis preneur. Merci !


---------------
-
n°22806
El Pollo D​iablo
REACHED THE END OF CAKE
Posté le 23-07-2007 à 11:28:27  profilanswer
 

Pour lire les logs ISA, normalement dans surveillance/journalisation tu peux lancer des requetes sur les bases qu'il a créé, et suivre en direct ce qui se passe. Si t'installe les outils d'amins SQL sur ton serveur tu peux aussi attaquer directement les bases.
Tu peux aussi basculer les logs en mode fichier a plat.
Et un truc genre wireshark peut etre bien pratique pour voir ce qui arrive et ce qui part exactement de tes serveurs, surtout si c'est du traffic en clair.

n°22813
gloubiboul​ga
-
Posté le 23-07-2007 à 11:55:38  profilanswer
 

Vu, merci.  
Effectivement, je vois passer le traffic, mais hormis les GET (qui passent avec succès après la cnx initiale), rien d'interressant.  
 
Je vais installer Ethereal / Wireshark sur le serveur, et voir ce qu'il en est.  
Merci !


---------------
-
n°22862
gloubiboul​ga
-
Posté le 23-07-2007 à 17:17:54  profilanswer
 

Idem avec Wireshark, rien d'interressant remonté, à priori.  
Mais je ne crois pas que le problème soit aussi "bas", je pense juste faire erreur dans la config d'ISA, mais je n'arrive pas à trouver où.


---------------
-
n°22864
El Pollo D​iablo
REACHED THE END OF CAKE
Posté le 23-07-2007 à 17:21:09  profilanswer
 

Si tu fais pas une regle de publication http, mais (si c'est possible) juste pour tester une redirection du port 80 vers ton serveur web, ça marche ?

n°22870
gloubiboul​ga
-
Posté le 23-07-2007 à 17:36:09  profilanswer
 

Nope, ça marche pô, mais de toutes manières, ça ne fait pas de reverse proxy, qui est le but dans mon cas.


Message édité par gloubiboulga le 23-07-2007 à 17:36:18

---------------
-
n°22872
El Pollo D​iablo
REACHED THE END OF CAKE
Posté le 23-07-2007 à 17:43:28  profilanswer
 

Oui, c'est juste pour tester, et si ça marche pas ce serait plutot un soucis de config côté IIS...

mood
Publicité
Posté le 23-07-2007 à 17:43:28  profilanswer
 

n°22875
gloubiboul​ga
-
Posté le 23-07-2007 à 17:51:05  profilanswer
 

Pourtant en interne, je n'ai aucun souci, le SSO fonctionne parfaitement, ou l'authentification manuelle quand j'utilise FF :??:


---------------
-
n°22877
El Pollo D​iablo
REACHED THE END OF CAKE
Posté le 23-07-2007 à 17:54:45  profilanswer
 

T'as pas des restrictions d'IP et/ou nom de domaine sur ton site ?

n°22879
gloubiboul​ga
-
Posté le 23-07-2007 à 18:05:40  profilanswer
 

Aucune :/

 

C'est mystique :d


Message édité par gloubiboulga le 23-07-2007 à 18:06:11

---------------
-
n°22881
gloubiboul​ga
-
Posté le 23-07-2007 à 18:16:03  profilanswer
 

je pense que mon problème est sur Kerberos. je vais faire ouvrir le port 88 vers les DCs, et on verra après.


---------------
-
n°22882
El Pollo D​iablo
REACHED THE END OF CAKE
Posté le 23-07-2007 à 18:16:43  profilanswer
 

Et le header configuré dans le site est bien le meme que l'adresse utilisée depuis le net (pas juste l'hote, mais le nom de domaine aussi) ?

n°22883
gloubiboul​ga
-
Posté le 23-07-2007 à 18:30:40  profilanswer
 

Yep, j'ai mis plusieurs headers, dont le full d'internet


---------------
-
n°22887
gloubiboul​ga
-
Posté le 23-07-2007 à 18:47:40  profilanswer
 

Bon, selon le mec qui gère le réseau, c'est déjà ouvert.  
Comme c'est un branque total, je lui ai demandé un monitoring de la machine, et demain j'aurais les logs, pour vérifier tout ça.  
Merci El Pollo ! La suite au prochain numéro ..


---------------
-
n°22961
gloubiboul​ga
-
Posté le 24-07-2007 à 16:22:35  profilanswer
 

Tiens, mes erreurs Kerberos ont disparu d'un seul coup, alors que c'était soit disant déjà ouvert. Mais ça ne marche toujours pas.

 

Par contre, j'ai testé de ISA > le serveur WEB (directement, en rdp) : ça ne marche pas non plus, je penche de plus en plus pour un problème réseau (FW). P'tain [:ideenoire]


Message édité par gloubiboulga le 24-07-2007 à 16:22:59

---------------
-

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Publication IIS via ISA : problème d'authentification

 

Sujets relatifs
problème connection serveur/routeur speedtouchproblème de lenteur récurrent sur poste en réseau
Problème de communication entre deux routeursxTradius & m0n0wall : Problème
l'authentification sur Windows Deployment Servicesproblème VPN [RÉSOLU]
Authentification linux sur Active Directory grace a SFUProblème de connexion Wi-Fi
probleme de configuration firewall symantecProblème VMware et svchost.exe 100%
Plus de sujets relatifs à : Publication IIS via ISA : problème d'authentification


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR