QIP через ISA 2006

[ank-omon.livejournal.com]

Подскажите плиз, как настроить правило в ISA2006, пропускающее трафик от QIP и обратно? Бьюсь уже неделю, ничего не получается, нет в QIP соединения (((. На ISA аутентификация по доменным именам, на клиентах нет возможности использовать FWC

Comments

[3jia5l-ca6aka.livejournal.com]

там же есть журналирование, замечательно красненьким показывает, если что-то не пускает.

[mr-quietest.livejournal.com]

В чем проблема?



Не забудь разрешить протокол ICQ

[ank-omon.livejournal.com]

Мммм...
При такой настройке действительно нет проблем. Однако у нас пользователи раз в месяц самостоятельно меняют свой доменный пароль. Поменять его в настройках Квипа у них, простите, не хватит сообразительности.
В идеале требуется настройка, чтоб квип соединялся с пустыми полями Логин и Пароль.

Если я делаю правило "разрешить все и всем" - работает и без указания логинпасса в квипе. Хочется, чтоб работало так же, но только касательно определнной группы и только для квипа. Т.е. сейчас правило выглядит "разрешить из внутренней во внешнюю для протоколов ICQ и ICQ2000 для пользователей группы ICQ-доступ". Но не работает...

[mr-quietest.livejournal.com]

"Поменять его в настройках Квипа у них, простите, не хватит сообразительности."

Это их проблемы.

В идеале, использовать ПО, поддерживающее NTLM- аутентификацию: тот же Windows Messenger, и неебет.

Все прочее - головная боль самих юзеров: свой инструментарий надо знать.

[dna2.livejournal.com]

> Все прочее - головная боль самих юзеров: свой инструментарий надо знать.

Не соответствует реальному положению вещей.

[mr-quietest.livejournal.com]

И что?

Не умеете отбрыкаться от тупоголовых юзеров - разошлите письмо с описанием процедуры смены имени-пароля

[dna2.livejournal.com]

> И что?

И всё. Пожалуйте по собственному.

[haviras.livejournal.com]

+1
Собсно в чем проблема мануал написать и разослать?

[ank-omon.livejournal.com]

У нас в компании пользователь, если что то не работает, просто кликает на создание задачи в Сервис-Деске, и все, инженер пошел устранять. Так что хочется избавить себя от лишней беготни )

[dna2.livejournal.com]

Создайте правило, открывающее протокол ICQ наружу. В графе "кому можно использовать" напишите All. Поставьте это правило выше всех правил, предполагающих авторизацию. В кипе поставьте прямое подключение.

Предполагается, что NAT настроен.

[mr-quietest.livejournal.com]

"Хочется, чтоб работало так же, но только касательно определнной группы и только для квипа. "

http://community.livejournal.com/useful_faq/9834886.html?thread=97557894#t97557894

Можно, конечно, выебнуться, типа: раздача адресов через DHCP с жесткой привязкой к МАС-адресу и допуск к протоколу только для определенных IP

Но это - костыли.

Правильный метод описан выше.

[dna2.livejournal.com]

Правильный метод - это файрвол клиента раскатать политиками. Но топикстартеру почему-то нельзя.

Не, я не спорю, кип - программа удивительная, но это лучший ICQ клиент (собственно, единственный, от которого не тошнит). А без ICQ в России очень часто невозможно вести бизнес.

[dna2.livejournal.com]

А, простите, не прочитал каммент про авторизацию.

Добавьте в домен пользователя с неустаревающим паролем, запрещённым к изменению. Настройте кип на авторизацию от имени этого пользователя, как сказал mr_quietest. Разрешите использование протокола ICQ только этому пользователю.

[ank-omon.livejournal.com]

Благодарю, завтра опробую.
Хотя решение слегка половинчатое, например, сложнее будет анализировать логи, скажем, кто из пользователей злоупотребляет передачей больших файлов через квип.