(Antes que nada quiero decir que, esta entrada solo la basare en el acceso al portal del IMSS en México que tantos dolores de cabeza puede llegar a dar en una red basada en politicas y proxy para restricciones.)
Levantar una red basada en politicas de seguridad por windows es relativamente sencillo, incluir a los clientes en un filtrado de proxy es un trabajo regular, entrar a la pagina del imss con todo eso junto puede llegar a volverse traumante. En mexico, muchas aplicaciones y accesos web no estan minimamente pensados para entornos empresariales, es decir, asumen que ninguno de los clientes trabajan bajo un dominio y politicas de restriccion y que es como si todo el tiempo estuvieran en su casa. Por poner un ejemplo, trabajar con nomipaq puede ser una verdadera pesadilla, ya que se deben hacer modificaciones al registro para que funcione (por lo menos hasta la version que yo ocupaba asi era) el famoso SUA, otra aplicacion necesaria, estupida en su funcionamiento pero necesaria y en este caso la pagina del IMSS. Pero dejemos mis traumas informaticos y vayamos al tema
La pagina del imss trabaja con java, que como saben algunas veces no se lleva bien con los proxies, entonces debemos permitir que tenga una "conexion directa" a internet. Lo que tenemos que hacer es:
1.- Si el cliente tiene una direccion ip fija, cambiarla a obtener la direccion por DHCP (asumiendo que el DHCP da salida directa a internet) de esta manera, la puerta de enlace cambiara hacia el router y obtendra comunicacion pura.
2.- En ccproxy tenemos que obtener la direccion MAC del equipo, ya que la direccion ip estara cambiando con cierta regularidad, lo cual derivaria en que saldria de la lista de direccion permitidas, impidiendo el acceso a internet (depende de su configuracion). En otra entradas ya explique como obtener la direccion MAC
Esto seria en cuanto a configuracion "previa". Ahora vamos con los cambios que permitiran el acceso a la pagina
1.- Usuario: Si es un usuario estandar obviamente tendra restricciones, no podra entrar al panel de control por ejemplo, entonces habra que cambiarlo al contenedor de administradores para poder mostrar estos elementos y acceder al panel de java (tienes un contenedor de administradores, verdad?
2.- Descargar la ultima version de java. En google pones descargar java y el primer resultado que sale es la pagina oficial de java con su version mas reciente. Puedes instalarlo desde el admin o desde el usuario permitiendo que se ejecute como un usuario admin
3.- Dentro de la pagina del imss, hay una parte que dice "acceder con cualquier version de java" hay que descargar e instalar tambien este
4.- Vamos al panel de control, a las opciones de java y en conexion activamos la opcion de "conexion directa" damos aplicar y aceptar
En este punto entramos a la pagina del imss y ya deberiamos poder accesar. Recomiendo totalmente quitar todas las versiones de java anteriores, ya que si llegan a crear conflicto. Las pruebas que he hecho si funcionan con unicamente la version mas reciente, no necesite antes nada. Por si no lo notaron, no se hizo alguna modificacion a la ficha de proxy en internet explorer ya que no es necesaria. El proxy seguire haciendo el filtrado de la navegacion del usuario sin problemas y al mismo tiempo podra entrar a la tan odiada pagina. Si, se lo que piensan: "pero ahora tiene como gateway el proxy, va a poder hacer lo que quiera". No pasa nada. Si eres un admin creativo sabras que cosas hay que cerrar para que el usuario no pueda "colarse" usando su nuevo tipo de conexion, por eso es que recomiendo desde las politicas de dominio no permitir el acceso a la ficha de conexion de internet explorer, ya que podria remover los valores y tener salida directa y ya que muchos programas se basan en la configuracion de este, podrian salir sin problemas. Ahora que si el usuario puede instalar programas pues ya tienes un problema de administracion.
Nota importante:
He detectado que los usuario con privilegios administrativos, bajo un dominio windows 2003 estando en dhcp y este les de salida a un router (2wire por ejemplo) tienden a "desconectarse" del dominio, esto lo notaras si tratas de acceder a una pc con una carpeta compartida y te pide password para entrar, cosas asi. Esto no ocurrira si el usuario es un usuario comun del dominio, ya que no puede hacer cambios de DNS de manera automatica
No hay comentarios:
Publicar un comentario