none
Использования FBA одновременно со смарт картами RRS feed

  • Вопрос

  • Коллеги, подскажите возможно ли использовать на TMG одновременно FBA аутентификацию + аутентификацию по смарт картам, т.е. пользователь попадает на tmg аутентифицируется по смарткарте и затем попадает на страницу FBA где вводит "свой логин"(необходимо иметь возможность вводить только логин на который выдана смарт карта) и пароль.
    Задачка опубликовать RDS Web Access серверы, в текуще схеме  не устраивает что после аутентификации по смарт карте на tmg пользователи попадают на портал rdweb где могут ввести логин любого пользователя(необходимо чтобы пользователь имел возможность ввести только свою учетную запись на которую выдан сертификат)

    25 июля 2012 г. 6:42

Ответы

  • можно, в свойствах слушателя поставить галку о требовании сертификата

    • Помечено в качестве ответа Roman Shnyrev 26 июля 2012 г. 12:20
    26 июля 2012 г. 11:54
    Отвечающий
  • можно, только там сертификат и логин с паролем требуют сразу на одной странице, без переходов. стандартная двуфакторная аутентификация.
    • Помечено в качестве ответа Roman Shnyrev 26 июля 2012 г. 11:40
    25 июля 2012 г. 16:02
    Отвечающий

Все ответы

  • можно, только там сертификат и логин с паролем требуют сразу на одной странице, без переходов. стандартная двуфакторная аутентификация.
    • Помечено в качестве ответа Roman Shnyrev 26 июля 2012 г. 11:40
    25 июля 2012 г. 16:02
    Отвечающий
  • Дмитрий, а можете в кратце описать такую конфигурацию? Имеется ли в Вашей схеме взаимосвязь учетной записи пользователя в AD и сертификата, т.е. допустим на опубликованный узел заходим по сертификату Вася Пупкина, а логин и пароль в FBA вводим от Петя Попкина и аутентифицируемся успешно.
    Cейчас на TMG создан Listener с сертификатом, он привязан к правилу публикации портала rdweb. Пользователь попадает на узел опубликованный tmg, вводит пин код от токена и попадает на страницу rdweb, где может ввести любую учетку.

    26 июля 2012 г. 8:19
  • мы пока не используем сертификатов.

    в данном случае страница rdweb уже относится к другой системе и что там вводить юзер tmg контролировать не будет - на tmg аутентификация прошла, значит все ок. у вас получается двойная работа. при публикации rdweb либо все делается на tmg с kerberos делегированием дальше, либо на tmg пропускается без аутентификации и все делается на странице rdweb

    http://social.technet.microsoft.com/Forums/en-US/Forefrontedgegeneral/thread/5cbfdc32-5c4b-48ac-acdb-e8cab71b3e01
    26 июля 2012 г. 8:24
    Отвечающий
  • Касательно первого способа - а разве можно в правиле использовать и  FBA и SSL Clietn certificate Authentification, хочется понять логику создания правил на tmg что бы делегировать TMG все задачи по проверке подллиности пользователей
    • Помечено в качестве ответа Roman Shnyrev 26 июля 2012 г. 12:19
    • Снята пометка об ответе Roman Shnyrev 26 июля 2012 г. 12:19
    26 июля 2012 г. 11:43
  • можно, в свойствах слушателя поставить галку о требовании сертификата

    • Помечено в качестве ответа Roman Shnyrev 26 июля 2012 г. 12:20
    26 июля 2012 г. 11:54
    Отвечающий
  • Дмитрий, спасибо, получилось.
    26 июля 2012 г. 12:19