none
как опубликовать SCS? RRS feed

  • Вопрос

  • Направьте на путь истины.
    Имеем Sharepint service3.0, isa2006...
    На виртуалке hyper-v подняли SCS3.0 не регистрировали в AD и его надо опубликовать по 80-му порту наружу.Чего-то не выходит каменный цветок...
    Назвали test-server (изнутри нашей сети заходим: http://test-server/ далее форма на доступ.) Что же с доступом из вне?Никакие пока SSL не рассматриваются.

    11 июня 2009 г. 9:43

Все ответы

  • а что ты сделал чтобы его опубликовать?
    11 июня 2009 г. 10:40
    Отвечающий
  • В принципе на Sharepoint сделал альтернативный адрес (?!)
    Web site publishing rule:
    прослушиватель на 80-м порту с external.
    а вот с аутентификацией - пока не понятность.

    11 июня 2009 г. 11:24
  • ну во первых у исы для публикации sharepoint даже отдельная кнопка есть :)
    во вторых, читать мануал то пробовал?
    11 июня 2009 г. 12:08
    Отвечающий
  • да понимаю насчет кнопки...там ж ведь сертификаты нужны ssl.
    ну а разве нет возможности что-то типа публикации с авторизацией по форме, заранее добавленных пользователей в шарепоинт? да доступ будет не используюя AD.
    Изначально пробовал по:http://www.isadocs.ru/articles/how-to-publish-microsoft-sharepoint-service-isa-server-2006.html
    11 июня 2009 г. 12:55
  • Ребята выручайте...
    Чего-то запутался я.
    В альтернативном адресе шарепоинта указал имя (80): server-test.ru - вроде как для "наружи"
    Вот вопрос: 1.правильно-ли это? или с доменными именами проблема - как следствие я его не увижу снаружи?
    В исе же: 2. Какую выбирать аутентификацию, если доступ планируется людям не входящим в наш домен?
    В исе же: 3. Public name указываю server-test.ru ?
    Перечитал Шиндера isa 2004 насчет публикации, там вроде как все понятно, но msfirewall.org в примерах так он как существующий адрес в интернете есть. а с моим "неопубликованным" сервером что?Домен в интернете регистрировать?

    ---
    после некоторых "трудов", вбиваем IP(внешний isa) вместо альтернативного имени: снаружи error 403

    • Изменено bahtey 16 июня 2009 г. 13:13
    16 июня 2009 г. 11:33
  • поучилось войти по адресу,но работает windows connect...c логином\паролем.
    т.е. не срабатывает форма,что заведена в шарепонте?

    16 июня 2009 г. 13:49
  • По вопросу аутентификации Вам нужно понять две простые вещи:

    1) Максимально пользоваетля можно "заставить" проходить процедуру аутентификации дважды: при подключении к ISA Server (так называемая, pre-authentication) и при подключении к самому публикуемому серверу. Предпочтительным является вариант с предварительной аутентификацией пользователей на самом ISA Server. Но в этом случае пользователь должен дважды вводить свои верительные данные. Для исключения повторного ввода учетных данных пользователями в ISA Server существует механизм делегирования (Authentication Delegation).

    2) В Вашем случае на публикуемом сервере используется аутентификация с использованием HTML-форм, а значит делегировать учетные данные пользователь ISA Server не сможет. Посему варианта опять же 2: заставлять пользователя вводитьверительные данные дважды или же пробрасывать запросы пользователей прямо на веб-сервер (sharepoint) без аутентификации на ISA Server. Отмечу, что этот вариант менее предпочтителен с точки зрения безопасности.

    Для аутентификации пользователей на ISA Server без использования Active Directory или другой службы каталоге проще всего завести внешним пользователям учетные записи в локальной базе SAM сервера, на котором непосредственно установлен ISA Server.

    Вам же проще всего будет указать в правиле публикации на ISA Server в настройках аутентификации "No Authentication". Опять же обращаю Ваше внимание на то, что данное действие окажет негативное влияние на общий уровень безопасности предоставления удаленного доступа к sharepoint.

    Решение за Вами =)


    SINITSYN.ORG /{Бинарный} Форпост/ - Блог с фокусом на ISA Server, Forefront TMG, RMS и Windows Security
    17 июня 2009 г. 13:13
  • Да, насчет аутентификации на "исе" читал в книге и вроде понял. Придется завести пользователей в "иса", далее конечно буду рассматривать вопрос ssl.
    Но все же интересует вопрос теперь такого характера, почему ж не отображается  при подключении по http://ip форма заведенная на веб-сервере?т.е. грубо говоря есть в SQL(на веб-сервере) пользователь test-user - как раз он и должен вбиваться в форме на шарепонте для доступа.т.е. не видится база SQL снаружи. но для этого пользователь снаружи видит connecting to...

    19 июня 2009 г. 3:41
  • Вам необходимо разобраться с поставщиками проверки подлинности. Если Вы используете формы, то опубликовать за ISA с предварительной basic-аутентификацией так просто не получится, т.к. чтобы настроить две схемы аутентификации нужно создать новое веб-приложение, выбрать для него нужную схему, после чего сопоставить его с существущим.

    Вот что я вам советую сделать.
    0. настроить для веб-приложения Windows-аутентификацию.
    1. На SPS настраиваем Alternate Access Mapping (AAM). // Global Config - Operations.
    2. Установить сертификат, для обеспечения "внешнего" доступа с использованием SSL.
    3. Далее - настраиваем веб-приемник (web listener). // Сертификат с закрытым ключом на в хранилище "Личные" ("Personal") компьютера ISA не забудьте забросить. ISA должне доверять УЦ, который выпоустил для веб-узла шарика сертификат!
    3.1. Выбирем адрес в Internal и т.п., сертификат пр.
    3.2. Выбираем тип аутентификации. Выбираем формы. Выбираем, что публикуем - узел или ферму, несколько узлов. Если ISA является членом домена, то выбираем Kerberos Constrained Delegation (сервер ISA должен быть доверен для делегирования!): Negotiate. // Если ISA вне домена, то - Basic, но тогда к пунку 0 прибавляется настройка еще доного приложения на basic и связывание их.
    3.3. Никакую трансляцию ссылок и подстановки для пути сами не накручиваем. Все сделает AAM шарика.

    Вот.


    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    19 июня 2009 г. 8:42
    Отвечающий
  • Благодарю за содействие.
    К тому времени пока увидел ваш ответ на шарепоинт сервере уже создавался сертификат и импортировался в ису.

    Вроде как правило создал, но удаленному клиенту импортировал сертификат. но 403 Forbidden... Что не пускает, с сертификатом связано?

    21 июня 2009 г. 13:30
  • Всегда пожалуйста.

    Bahtey, можно подробнее - у кого и где "forbidden"?..


    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    21 июня 2009 г. 13:57
    Отвечающий
  • Это сообщение когда человек запускает по https://ip... т.е. система проверяет сертификат, человек нажимает Yes в браузере и после этого Error:403

    22 июня 2009 г. 2:33
  • Bahtey, т.е. аутентификации не происходит (не запрашиваются верительные данные)?
    Опишите подробно - как у Вас слушатель настроен?
    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    22 июня 2009 г. 5:36
    Отвечающий
  • Приветствую!
    Все по новой перебробовал, опять обратился к статье:http://www.isadocs.ru/articles/how-to-publish-microsoft-sharepoint-service-isa-server-2006.html

    Создал сертификат, его же в ису и в IIS web-сервера. вроде как в трастах сидит.
    Последние "извращения":
    Создаю правило опять же по статье.
    Public Name: что опубликован на web-сервере: https://ip
    Autentification Delegation - NTLM.
    Briging - на порт (что опубликован на web-сервере)
    Users - добавляю,тех что забил в группу пользователей ISA сервера (Хотя сама ISA в домене-AD, но web-сервер просто в раб.группе и доступ снаружи планируется для тех кто не в AD).
    Листенер:
    https 443
    Certificate
    Aut.Method - HTML: FBA with AD

    Пускает извне по http://ip появляется форма ИСЫ(общий компьютер/личный) на ввод данных домен\имя пользователя...
    Допустим ввожу:имя сервера\пользователь(что вбит в группу пользователей на сервере иса)
    Пароль.
    Enter
     И опять таже форма...
    Уже мозг начинает гудеть...

    23 июня 2009 г. 12:54