Bugriy
Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Насколько я понимаю логику ISA 2004, если есть 2 правила, разрешающие доступ по одному протоколу сначала аутентифицированным пользователям, а потом - всем, то доступ получат ТОЛЬКО аутентифицированные пользователи. Второе правило не отработает, потому что неаутентифицированные пользователи отсеятся при выполнении первого.
А вот что будет в случае Deny? Возьмём 2 правила:
1) Deny http/https <список урлов> из Inernal в External для All Users кроме Привелигированных пользователей
2) Allow http/https из Inernal в External для All Users.
Получается, что первое правило пошлёт лесом всех НЕаутентифицированных пользователей, а второе пустит их в интернет. Причём в логах второго правила естесственно будет присутствовать только anonymous.
Не понятно, как это реализуется на уровне взаимодействия с браузером.
(первое правило)
1) IE пытается получить доступ к сайту анонимно.
2) IE получает Deny так как правило №1 требует аутентификации.
3) если пользователь может аутентифицироваться, то он это сделает и:
а) если он в группе привелигированных пользователей, то он перескочит на следующее правило,
б) если он НЕ в группе привелигированных пользователей, то обработка правил для него заканчивается.
если пользователь не может аутентифицироваться, то IE окончательно получает Deny.
(второе правило)
4) привелигированные юзеры получат доступ в интернет, так как они добрались до этого правила.
пользователи не входящие в группу привелигированных до этого правила не добрались и доступа не получат.
А что с пользователями, которые так и не смогли аутентифицироваться? |
)
