none
Аутентификация пользовательских запросов через Forefront TMG Proxy в DMZ RRS feed

  • Вопрос

  • Доброго времени суток.

    Есть насущная потребность организовать аутентификацию запросов пользователей  локальной сети к ресурсам Интернет на сервере Forefront TMG, установленном в периметре.

    В наличии имеется следующая конфигурация: Forefront TMG + Exchange Edge 2010 установлены на сервере с одним сетевым интерфейсом в периметре. Сам периметр организован включением 3-й подсети в основном брандмауэре (производства CheckPoint) по схеме "Trihomed DMZ". Интернет подключается напряму в основной брандмауэр, все пользователи сети "выходят" в Интернет исключительно через прокси-сервер, коим и работает Forefron TMG. На сервере с Forefront TMG, так же установлен Edge Transport с пограничной подпиской на организацию Exchange 2010 в локальной сети. Эта конфигурация работает нормально (боле или менее). Весь поток почты из Интернет маршрутизируется на сервер с Frorefront в DMZ.

    Хоется осуществлять контроль доступа пользователей к ресурсам Интернет на основании их учётных данных. Как выяснил, LDAP проверку в этом случае использовать нельзя, т.к. она предназначена для другого(?!) RADIUS использовать не совсем удобно, т.к. он не поддерживает группы AD, а нужно управлять довольно большим количеством пользователей. Думаю что можно как-то использовать AD LDS с кастомным инстансом и синхронизациией учетных данных из AD на основе членства в группе, но кажется - это очень сложно.

    Подскажите в каком направлении "копать"? Какие есть возможность ораничивать и контролировать доступ пользователей к Интернет в такой конфигурации?


    23 марта 2011 г. 12:44