none
Forefront tmg 2 Faktor Authentifitkation RRS feed

  • Frage

  • Liebe Forummitglieder,

    das ist mein erster Beitrag zum Thema Microsoft Forefront. Ich suche nach einer Lösung und hoffe, hier Hilfe zu finden. Ich habe über den Forefront, OWA veröffentlich, jedoch schreiben unsere Firmenrichtlinien eine 2-Faktor Authentifizierung vor also neben den Domainzugangsdaten noch eine zusätzliche Sicherheitshürde.

    Wie habt ihr das gelöst, bietet MS was internes dazu an oder nur über Dritthersteller. Kann mir jemand Erfahrungsberichte , über seine Lösung geben und wie ihr das realisiert habt und die dazugehörigen Kosten.

    Vielen Dank für eure Mühe

    Sonntag, 13. Mai 2012 18:48

Antworten

  • Hi,

    wenn Du Forefront meinst, meinst Du Forefront TMG/UAG?:

    http://blog.forefront-tmg.de/?p=499
    Zwei Faktor Authentifizierung mit Bordmitteln geht zum Bsp. mit Windows integrierter Authentitifizierung und Zertifikaten:
    http://www.isaserver.org/tutorials/Publishing-Microsoft-SharePoint-2010-Forefront-TMG-different-authentication-options-Part2.html (Zertifikate)
    Wenn Du etwas in Form einer Smartcard haben willst, brauchst Du Third Party Software und entsprechende Smartcards (Aladdin, Safeword etc.).
    Die Kosten dafuer sind abhaengig von der Menge an Usern, welche Zwei Faktor Authentifizierung haben wollen und ob der Kunde die Smartcard auch noch fuer andere Authentifizierungen (SSO etc.) verwenden will.
    Grundsaetzlich ist das aber alles kein Problem, wenn man das ganze im Vorfeld entsprechend plant und sich auch Gedanken ueber das Lifecycle Management einer Smartcard/Zertifikat Infrastrutkur macht.
    Hier gibt es auch eine interessante Loesung mit SMS PAsscode: http://www.smspasscode.com/?gclid=CK2Mmer0_q8CFcfP3wodXjNSRw


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Montag, 14. Mai 2012 04:13
    Moderator
  • Moin,

    alle von Marc erwähnten 2-Faktor-Möglichkeiten haben wir im Kundeneinsatz gesehen und konfiguriert. Entschieden wird hier meist nach Kriegskasse und Glaubensrichtung. Eine Variante kannst du dir diese Woche anschauen kommen:

    http://blog.forefront-tmg.de/?p=822

    ;-)


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|

    Montag, 14. Mai 2012 06:00
  • Moin,

    "schreiben unsere Firmenrichtlinien eine 2-Faktor Authentifizierung vor" ... Wenn ihr eine solche Richtlinie habt, gibt es ja evt. schon ein 2-Faktor Authentifizierung ;)

    Da würede ich erstmal schauen, ob es was gibt und wenn ja ob es auch mit TMG zusammen arbeitet. Die meisten Kunden greiffen dafür auf dritthersteller (RSA-SecureID) zurück. Das lässt sich auch problemlos mit TMG verbinden.

    Wenn ihr Pushmail (Exchange ActiveSync) mit 2-Faktoren betreiben wollt, bleibt nur die Zertifikatslösung(Besuch beim Usergroup Treffen hilft dir dabei). Zertifikate kannst du auch für alle anderen Dienste zur Authentifizierung verwenden. Allerdings sollten die Zertifikate dann auf einem Token oder einer Smartcard gespeichert werden. Wenn das Zertifikat im Benutzerprofil des Anwenders liegt, hast du es wieder auf einen Faktor reduzuert ;)


    Viele Grüße Carsten

    Montag, 14. Mai 2012 06:23
  • Am 13.05.2012 schrieb Patriot7:
    Hi,

    Wie habt ihr das gelöst, bietet MS was internes dazu an oder nur über Dritthersteller. Kann mir jemand Erfahrungsberichte , über seine Lösung geben und wie ihr das realisiert habt und die dazugehörigen Kosten.

    Wir haben Safeword (Token) als OTP im TMG mit eingebunden. Funktioniert
    soweit gut, aber wie hier schon angesprochen wurde, funktioniert sowas
    natürlich nicht bei Outlook Anywhere oder EAS.

    Bye
    Norbert


    Frank, I never thought I'd say this again. I'm getting the pig!

    Montag, 14. Mai 2012 07:56

Alle Antworten

  • Hi,

    wenn Du Forefront meinst, meinst Du Forefront TMG/UAG?:

    http://blog.forefront-tmg.de/?p=499
    Zwei Faktor Authentifizierung mit Bordmitteln geht zum Bsp. mit Windows integrierter Authentitifizierung und Zertifikaten:
    http://www.isaserver.org/tutorials/Publishing-Microsoft-SharePoint-2010-Forefront-TMG-different-authentication-options-Part2.html (Zertifikate)
    Wenn Du etwas in Form einer Smartcard haben willst, brauchst Du Third Party Software und entsprechende Smartcards (Aladdin, Safeword etc.).
    Die Kosten dafuer sind abhaengig von der Menge an Usern, welche Zwei Faktor Authentifizierung haben wollen und ob der Kunde die Smartcard auch noch fuer andere Authentifizierungen (SSO etc.) verwenden will.
    Grundsaetzlich ist das aber alles kein Problem, wenn man das ganze im Vorfeld entsprechend plant und sich auch Gedanken ueber das Lifecycle Management einer Smartcard/Zertifikat Infrastrutkur macht.
    Hier gibt es auch eine interessante Loesung mit SMS PAsscode: http://www.smspasscode.com/?gclid=CK2Mmer0_q8CFcfP3wodXjNSRw


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Montag, 14. Mai 2012 04:13
    Moderator
  • Moin,

    alle von Marc erwähnten 2-Faktor-Möglichkeiten haben wir im Kundeneinsatz gesehen und konfiguriert. Entschieden wird hier meist nach Kriegskasse und Glaubensrichtung. Eine Variante kannst du dir diese Woche anschauen kommen:

    http://blog.forefront-tmg.de/?p=822

    ;-)


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|

    Montag, 14. Mai 2012 06:00
  • Moin,

    "schreiben unsere Firmenrichtlinien eine 2-Faktor Authentifizierung vor" ... Wenn ihr eine solche Richtlinie habt, gibt es ja evt. schon ein 2-Faktor Authentifizierung ;)

    Da würede ich erstmal schauen, ob es was gibt und wenn ja ob es auch mit TMG zusammen arbeitet. Die meisten Kunden greiffen dafür auf dritthersteller (RSA-SecureID) zurück. Das lässt sich auch problemlos mit TMG verbinden.

    Wenn ihr Pushmail (Exchange ActiveSync) mit 2-Faktoren betreiben wollt, bleibt nur die Zertifikatslösung(Besuch beim Usergroup Treffen hilft dir dabei). Zertifikate kannst du auch für alle anderen Dienste zur Authentifizierung verwenden. Allerdings sollten die Zertifikate dann auf einem Token oder einer Smartcard gespeichert werden. Wenn das Zertifikat im Benutzerprofil des Anwenders liegt, hast du es wieder auf einen Faktor reduzuert ;)


    Viele Grüße Carsten

    Montag, 14. Mai 2012 06:23
  • Am 13.05.2012 schrieb Patriot7:
    Hi,

    Wie habt ihr das gelöst, bietet MS was internes dazu an oder nur über Dritthersteller. Kann mir jemand Erfahrungsberichte , über seine Lösung geben und wie ihr das realisiert habt und die dazugehörigen Kosten.

    Wir haben Safeword (Token) als OTP im TMG mit eingebunden. Funktioniert
    soweit gut, aber wie hier schon angesprochen wurde, funktioniert sowas
    natürlich nicht bei Outlook Anywhere oder EAS.

    Bye
    Norbert


    Frank, I never thought I'd say this again. I'm getting the pig!

    Montag, 14. Mai 2012 07:56
  • Hallo Patriot7,

    Haben Dir die Antworten geholfen? Wenn ja - bitte markiere den hilfreichen Beitrag(oder die Beiträge) "als Antwort".

    Danke und Grüß,

    Alex


    Alex Pitulice, MICROSOFT 
    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Donnerstag, 17. Mai 2012 09:27
    Moderator