Hello la communauté,
j ai un cas particulier que j’arrive pas à gérer, du moins je sais pas par quel bout le prendre
le topo :
2 box en HA, Access Gateway Enterprise Edition 8.0, Maintenance Build 53.2
Sur un VIP j ai besoin selon que le poste appartient a l’AD ou pas, pour un meme user, de lui donner accès à des ressources (hosts), ou si pas intégré à l’AD à des ressources limitées.
l’admin guide page 120 (AGEE_AdminGuide.pdf) parle des authorizations policies, mais l’exemple proposé ne semble pas être adapté a mon cas.
Christophe
personne n aurait un début de réponse
On efface tout, on remet tout ça a plat …
1 pré authentification sur une condition unique
1 groupe
2 stratégie d’authorisation
1 stratégie d’authorisation avec 2 expressions :
REQ.IP.DESTIP== && CLIENT.REG(
1 stratégie d’authorisation
REQ.IP.DESTIP
ce qui donne :
si j ai la condition dans le registre respectée j ai accés aux ressources cumulées des 2 stratégies
si j ai pas la condition du registre j ai accès uniquement à la ressource de ma 2 stratégie
le tour est joué
un clin d’oeil a kiki qu’i ma mis sur le chemin
christophe
oui mas c’'st toi qui a fait tout le boulot Mr l’expert CAGEE
:chav_MDR86:
Bonjour,
Je suis le “cas particulier” ;D
Pour plus le précision donc:
2 stratégies d’autorisation:
“NoDomain”: Accès autorisé à certaines ressources quelque soit la machine
REQ.IP.DESTIP == 192.168.X.X || REQ.IP.DESTIP == 192.168.X.Y
"Domain": Accès autorisé au poste du domaine (c’est facile de se faire passé pour un poste du domaine avec 1 clé de registre à modifier certe, mais on peut imaginer multiplier les test de présence de l’anti-virus connu …)
CLIENT.REG(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon_DefaultDomainName).VALUE == DOMAIN && (REQ.IP.DESTIP == 192.168.X.Z || REQ.IP.DESTIP == 192.168.X.W || REQ.IP.DESTIP == 192.168.X.V)
C’est bien un || (OU) entre les REQ.IP.DESTIP et pas && (ET) qu’il faut utiliser, sinon la condition est (je suppose) ma clé de registre est valide ET j’accède à toutes les ressources en même temps.
Les 2 policies d’authorisation sont lié à un groupe ou à un utilisateur.
=> Pour un même utilisateur:
Un poste hors domaine n’aura accès que à 192.168.X.X et 192.168.X.Y
Un poste du domaine aura accès à 192.168.X.X / 192.168.X.Y / 192.168.X.Z / 192.168.X.W / 192.168.X.V.
Voilà
slt Dark, ;D
"Domain": Accès autorisé au poste du domaine (c’est facile de se faire passé pour un poste du domaine avec 1 clé de registre à modifier certe
encore faut il connaitre les valeurs du test, et la y a que toi qui les connais
merci pour ton post
[EDIT] tu me dira pour le coup du “Windows System cleanup” client prompt a off
Merci !
car les dinosaures que nous (je pense pouvoir parler au nom de 75% des modos…) sommes sont loin d’avoir les compétences AG/Netscaler/AAC aussi poussées que sur CPS :chav_cest_balo:
Pour ne plus l'avoir j'ai décoché la case "Client Cleanup Prompt" sur le global et rien précisé sur les profiles de session VPN