[Resolu] CAGE + Pré authentification + Authorization Policies

Hello la communauté,



j ai un cas particulier que j’arrive pas à gérer, du moins je sais pas par quel bout le prendre :stuck_out_tongue:



le topo :



2 box en HA, Access Gateway Enterprise Edition 8.0, Maintenance Build 53.2



Sur un VIP j ai besoin selon que le poste appartient a l’AD ou pas, pour un meme user, de lui donner accès à des ressources (hosts), ou si pas intégré à l’AD à des ressources limitées.



l’admin guide page 120 (AGEE_AdminGuide.pdf) parle des authorizations policies, mais l’exemple proposé ne semble pas être adapté a mon cas.



Christophe


personne n aurait un début de réponse :stuck_out_tongue:

On efface tout, on remet tout ça a plat … :stuck_out_tongue:



1 pré authentification sur une condition unique



1 groupe



2 stratégie d’authorisation

1 stratégie d’authorisation avec 2 expressions :

REQ.IP.DESTIP== && CLIENT.REG(

1 stratégie d’authorisation

REQ.IP.DESTIP



ce qui donne :



si j ai la condition dans le registre respectée j ai accés aux ressources cumulées des 2 stratégies

si j ai pas la condition du registre j ai accès uniquement à la ressource de ma 2 stratégie



le tour est joué



un clin d’oeil a kiki qu’i ma mis sur le chemin



christophe

oui mas c’'st toi qui a fait tout le boulot Mr l’expert CAGEE

:chav_MDR86:

Bonjour,



Je suis le “cas particulier” ;D



Pour plus le précision donc:



2 stratégies d’autorisation:

“NoDomain”: Accès autorisé à certaines ressources quelque soit la machine

REQ.IP.DESTIP == 192.168.X.X || REQ.IP.DESTIP == 192.168.X.Y



"Domain": Accès autorisé au poste du domaine (c’est facile de se faire passé pour un poste du domaine avec 1 clé de registre à modifier certe, mais on peut imaginer multiplier les test de présence de l’anti-virus connu …)

CLIENT.REG(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon_DefaultDomainName).VALUE == DOMAIN && (REQ.IP.DESTIP == 192.168.X.Z || REQ.IP.DESTIP == 192.168.X.W || REQ.IP.DESTIP == 192.168.X.V)



C’est bien un || (OU) entre les REQ.IP.DESTIP et pas && (ET) qu’il faut utiliser, sinon la condition est (je suppose) ma clé de registre est valide ET j’accède à toutes les ressources en même temps.



Les 2 policies d’authorisation sont lié à un groupe ou à un utilisateur.



=> Pour un même utilisateur:

Un poste hors domaine n’aura accès que à 192.168.X.X et 192.168.X.Y

Un poste du domaine aura accès à 192.168.X.X / 192.168.X.Y / 192.168.X.Z / 192.168.X.W / 192.168.X.V.



Voilà :wink:

slt Dark, ;D



"Domain": Accès autorisé au poste du domaine (c’est facile de se faire passé pour un poste du domaine avec 1 clé de registre à modifier certe



encore faut il connaitre les valeurs du test, et la y a que toi qui les connais :stuck_out_tongue:



merci pour ton post



[EDIT] tu me dira pour le coup du “Windows System cleanup” client prompt a off :wink:

Merci !



car les dinosaures que nous (je pense pouvoir parler au nom de 75% des modos…) sommes sont loin d’avoir les compétences AG/Netscaler/AAC aussi poussées que sur CPS :chav_cest_balo:

"ChristopheD" wrote:
tu me dira pour le coup du "Windows System cleanup" client prompt a off ;)

Pour ne plus l'avoir j'ai décoché la case "Client Cleanup Prompt" sur le global et rien précisé sur les profiles de session VPN