Спрашивающий
Порекомендуйте способ аутентификации пользователей

Вопрос
-
Есть два домена AD в разных подсетях инет для пользователей в которых, раздает ISA Server 2006+TrafficQuota. Пользователи домена, членом которого является ISA Server, аутентифицируются как пользователи и группы Windows из AD - тут проблем никаких. Пользователи другого домена заведены на сервере локально и аутентифицируются как локальные пользователи сервера ISA, что мне не нравится - куча учеток плодится на самом сервере, разные пароли для входа в домен и для доступа в интернет, локальные учетки блокируются, когда пользователь начинает упорно вбивать пароль для входа в домен в окно аутентификации на ISA. Как можно сделать сей процесс более удобным для пользователя?5 сентября 2008 г. 13:12
Все ответы
-
Например, установить доверительные отношения между доменами.5 сентября 2008 г. 13:18Модератор
-
Так-то да, но не подходит. Организации разные - пересекаться не должны.6 сентября 2008 г. 17:47
-
Можно сделать аутентификацию по LDAP, которую поддерживает ISA 2006. Достаточно, чтобы с ISA сервера был доступ по порту 389 (ну или 636) к домен-контроллерам второго домена.
7 сентября 2008 г. 4:41 -
Т.е. сам сервер с ISA можно даже не вводить в домен и при этом ISA будет понимать пользователей по доменным учеткам из разных доменов через LDAP. Правильно понял?13 сентября 2008 г. 14:13
-
Да, совершенно правильно. Это новая опция в ISA 2006, в 2004 версии ее не было. Раньше приходилось использовать RADIUS.
13 сентября 2008 г. 17:16 -
Подскажите где можно подробней почитать о реализации подобного решения? А то пока получается только вот что: "Метод проверки подлинности (LDAP), выбранный для набора учетных записей, не является допустимым для правила доступа".
Т.е. набор LDAP-серверов создан, туда добавляю пользователей, и после запроса логина/пароля для обращения к LDAP-серверам они нормально добавляются, но когда создаешь правило с этим набором учетных записей, то такая вот петрушка..16 сентября 2008 г. 6:51 -
LDAP работает только для правил публикации http://forums.isaserver.org/Can_ldap_be_used_for_Access_Rule_Authentication%3F/m_2002039988/tm.htm
(Посмотрите статьи Шиндера http://www.isaserver.org/tutorials/LDAP-Pre-authentication-ISA-2006-Firewalls-Part1.html и его пост http://blogs.isaserver.org/shinder/2006/07/10/advanced-ldap-authentication-options-in-isa-2006-firewalls/)
16 сентября 2008 г. 8:38Модератор -
А какая полезная штука могла бы быть.
Видимо так и придется всё оставлять, как было раньше, либо доверительные отношения устанавливать между доменами. А получится ли доверительные сделать, если две эти сети пересекаются только в ISA?
16 сентября 2008 г. 10:01 -
Доверительные отношения по умолчанию не дают никаких разрешений даже администраторам доменов! Все права прописываются конкретно ручками. Поэтому нет смысла опасаться доверительных отношений. И тем более через ISA, когда вам придется настроить маршрутизацию между DC обеих доменов и правила попуска трафика на ISA.
16 сентября 2008 г. 12:02Модератор -
А-а... Я пропустил, что у Вас ISA используется для раздачи Интернета, а не для публикации серверов наружу. В этом случае, да, придется делать все через доверительные отношения.
16 сентября 2008 г. 19:25