none
Публикация WSUS с авторизацией по сертификату RRS feed

  • Вопрос

  • Есть WSUS сервер стоящий во внутренней сети. Есть задача опубликовать его через ISA 2006 Ent SP1 в мир чтобы нужные клиентымогли с него обновляться. Но загвоздка в том что надо аутентифицировать клиентов по сертификату. Внешние клиенты не являются членами домена где стоит WSUS. Могу ли я экспортировать сертификат для аутентификации в файл или же прийдется на каждом клиенте заходить на сайт и запрашивать себе сертификат? Из того что нашел, есть авторизация по SSL сертификату в ISA Server, и аналогичные настройки в свойствах самгого узла в IIS, но не пойму где настраивать. Интересует решение максимально упрощающее настройку клиента

    8 октября 2008 г. 9:10

Ответы

  • Могу порекомендовать отличную статью по этой теме: Implementing WSUS with ISA Server 2004 to Manage Remote Clients.
     Sypalo Sergey написано:

    Но загвоздка в том что надо аутентифицировать клиентов по сертификату. Внешние клиенты не являются членами домена где стоит WSUS. Могу ли я экспортировать сертификат для аутентификации в файл или же прийдется на каждом клиенте заходить на сайт и запрашивать себе сертификат?

    В любом случае Ва мнеобходимо будет запросить сертификат от имени клиента, с которым этот сертификат будет ассоциирован. После обработки запроса и получения сертификата Вы можете этот сертификат экспортировать и перемещать на любом удобном носителе.

     Sypalo Sergey написано:

    Из того что нашел, есть авторизация по SSL сертификату в ISA Server, и аналогичные настройки в свойствах самгого узла в IIS, но не пойму где настраивать. Интересует решение максимально упрощающее настройку клиента


    С точки зрения безопасности и снижения нагрузки на внутренние сервера аутентификацию пользователей нужно проводить на ISA Server, чтобы исключить возможность прохода неавторизованного трафика до сетевых интерфейсов внутренних инфраструктурных серверов. Так как на внутренних серверах пользователям также необходимо пройти процедуру аутентификации, при таком сценарии пользователь должен аутентифицироваться дважды. Чтобы исключить повторную аутентификацию на внутренних серверах и сделать этот процесс прозрачным для пользователей в правиле публикации ISA Server нужно настраивать делегирование пользовательских верительных данных.
    Резюмируем: в свойствах Web Listener выставляется требование аутентификации пользователей посредством сертификатов, в настройках правила публикации ISA Server включается делегирование в режиме Negotiate или Kerberos Constrained Delegation, а в настройках безопасноти веб-узла IIS выставляется поддержка Windows Integrated Authentication. Отмечу, что для успешного прохождения пользователями процедуры аутентификации необходима длополнительная настройка учетных записей компьютеров с ISA Server и WSUS в оснастке AD Users and Computers.
    • Помечено в качестве ответа Sergey Sypalo 28 марта 2012 г. 8:14
    9 октября 2008 г. 7:01

Все ответы

  • Могу порекомендовать отличную статью по этой теме: Implementing WSUS with ISA Server 2004 to Manage Remote Clients.
     Sypalo Sergey написано:

    Но загвоздка в том что надо аутентифицировать клиентов по сертификату. Внешние клиенты не являются членами домена где стоит WSUS. Могу ли я экспортировать сертификат для аутентификации в файл или же прийдется на каждом клиенте заходить на сайт и запрашивать себе сертификат?

    В любом случае Ва мнеобходимо будет запросить сертификат от имени клиента, с которым этот сертификат будет ассоциирован. После обработки запроса и получения сертификата Вы можете этот сертификат экспортировать и перемещать на любом удобном носителе.

     Sypalo Sergey написано:

    Из того что нашел, есть авторизация по SSL сертификату в ISA Server, и аналогичные настройки в свойствах самгого узла в IIS, но не пойму где настраивать. Интересует решение максимально упрощающее настройку клиента


    С точки зрения безопасности и снижения нагрузки на внутренние сервера аутентификацию пользователей нужно проводить на ISA Server, чтобы исключить возможность прохода неавторизованного трафика до сетевых интерфейсов внутренних инфраструктурных серверов. Так как на внутренних серверах пользователям также необходимо пройти процедуру аутентификации, при таком сценарии пользователь должен аутентифицироваться дважды. Чтобы исключить повторную аутентификацию на внутренних серверах и сделать этот процесс прозрачным для пользователей в правиле публикации ISA Server нужно настраивать делегирование пользовательских верительных данных.
    Резюмируем: в свойствах Web Listener выставляется требование аутентификации пользователей посредством сертификатов, в настройках правила публикации ISA Server включается делегирование в режиме Negotiate или Kerberos Constrained Delegation, а в настройках безопасноти веб-узла IIS выставляется поддержка Windows Integrated Authentication. Отмечу, что для успешного прохождения пользователями процедуры аутентификации необходима длополнительная настройка учетных записей компьютеров с ISA Server и WSUS в оснастке AD Users and Computers.
    • Помечено в качестве ответа Sergey Sypalo 28 марта 2012 г. 8:14
    9 октября 2008 г. 7:01
  • добрый день !!!

    можно здесь подробнее описать

    как сделать интегрированную идентификацию ISA с AD

    и про дополнительную настройку учетных записей компьютеров с ISA Server и WSUS в оснастке AD Users and Computers для для успешного прохождения пользователями процедуры аутентификации

     

    Заранее спасибо Сергей

    22 июня 2010 г. 8:47
  • Уважаемая Tatyana Malkova,

    расскажите, что вы хотите получить как результат, и что вы имели в виду под " интегрированную идентификацию ISA с AD"?

    28 июня 2010 г. 8:37
    Модератор
  • Уважаемый пользователь!
    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.
    30 июня 2010 г. 6:51
    Модератор