Доброго времени суток.
Есть насущная потребность организовать аутентификацию запросов пользователей локальной сети к ресурсам Интернет на сервере Forefront TMG, установленном в периметре.
В наличии имеется следующая конфигурация: Forefront TMG + Exchange Edge 2010 установлены на сервере с одним сетевым интерфейсом в периметре. Сам периметр организован включением 3-й подсети в основном брандмауэре (производства CheckPoint) по схеме
"Trihomed DMZ". Интернет подключается напряму в основной брандмауэр, все пользователи сети "выходят" в Интернет исключительно через прокси-сервер, коим и работает Forefron TMG. На сервере с Forefront TMG, так же установлен Edge Transport с пограничной
подпиской на организацию Exchange 2010 в локальной сети. Эта конфигурация работает нормально (боле или менее). Весь поток почты из Интернет маршрутизируется на сервер с Frorefront в DMZ.
Хоется осуществлять контроль доступа пользователей к ресурсам Интернет на основании их учётных данных. Как выяснил, LDAP проверку в этом случае использовать нельзя, т.к. она предназначена для другого(?!) RADIUS использовать не совсем удобно,
т.к. он не поддерживает группы AD, а нужно управлять довольно большим количеством пользователей. Думаю что можно как-то использовать AD LDS с кастомным инстансом и синхронизациией учетных данных из AD на основе членства в группе, но кажется - это
очень сложно.
Подскажите в каком направлении "копать"? Какие есть возможность ораничивать и контролировать доступ пользователей к Интернет в такой конфигурации?
