none
TMG+OWA+eToken руководство и настройка RRS feed

  • Вопрос

  • Добрый день,

    Не так давно в компании началось внедрение системы двухфакторной аутентификации на основе продуктов Аладдин (SAM). Большинство пользователей уже заходят на своих рабочих местах по eToken. Но, полностью отказаться от паролей пока не можем, так как мобильным пользователям нужен OWA с чужих компьютеров.

    Exchange 2010, опубликовав через TMG 2010 мастером (как говорится по учебнику). Как настроить, изменить форму TMG для входа пользователя по смарт-карте не знаю. Если только вариант, проброс через TMG напрямую к IIS сервера Exchange, а там уже включить нужную проверку?

    Нужен практический опыт, может кто занимался данным вопросом, ссылки, инструкции, видео.

    Спасибо.



    • Изменено Rhamzes 5 февраля 2013 г. 5:14
    5 февраля 2013 г. 5:13

Все ответы

  • а зачем менять форму? разве простой галки в свойствах листенера требовать сертификат клиента недостаточно?

    5 февраля 2013 г. 14:46
    Отвечающий
  • Если поставить эту галку, мы получим проверку по сертификату для подключения к узлу, после все равно выйдем на форму OWA где требуется имя и пароль. Как не требовать имя и пароль, вход только по сертификату?
    6 февраля 2013 г. 4:28
  • вообще то двухфакторная аутентификация обязательно подразумевает ввод логина/пароля и второго фактора (сертификат, пинкод, otp и прочее)

    6 февраля 2013 г. 11:12
    Отвечающий
  • Вы что-то путаете, в нашем случаи получится трехфакторная. Сертификат хранится в защищенной памяти ключа, а ПИН (пароль) нужен для доступа к этой памяти.

    Не ужели не кто не сталкивался?

    6 февраля 2013 г. 19:09
  • а где там третий то фактор? их всего два: учетка ад (логин/пароль) и сертификат. пин-код ни в коей мере не может быть фактором аутентификации, потому как система не знает пин-кода и соответствия этого кода конкретному юзеру. это просто тупая защита аппаратного токена на случай утери или кражи.

    7 февраля 2013 г. 10:53
    Отвечающий
  • Если Вам интересно, на сайте Аладдин’а много написано про многофакторную аутентификацию: Двухфакторная аутентификация – усовершенствованный вид парольной защиты, при которой пользователь авторизуется, предоставляя не менее двух средств аутентификации, одно из которых - токен, как, например, USB-ключ или смарт-карта, а второе – персональный PIN-код пользователя.

    Суть в том, чтобы пользователи не знали свои пароли учетных записей в АД. Подскажите лучше, как мне решить задуманное, вход на OWA по смарт-карте через TMG?




    • Изменено Rhamzes 7 февраля 2013 г. 12:26
    7 февраля 2013 г. 12:25
  • если это делается через алладин нестандартным способом (стандартный для винды это логин+пароль+смарткарта), то у них и надо спрашивать про форму для tmg, для других провайдеров, например otp или rsa secure id у tmg есть встроенные средства или провайдеры поставляют плагины для своих средств аутентификации.

    • Помечено в качестве ответа Yuriy Lenchenkov 11 февраля 2013 г. 11:15
    • Снята пометка об ответе Rhamzes 15 февраля 2013 г. 3:30
    7 февраля 2013 г. 14:47
    Отвечающий
  • Так и есть, но плагин есть только для самого Exchange, точнее для его формы подключения к OWA. eToken от Аладдин 100% совместимая с ПО Microsoft смарт-карта, а TMG поддерживает работу смарт-картПолучается нужно настроить проверку подключения по смарт-карте на ТМГ или сделать правильный проброс портов на сам Exchange и там поставить плагин для OWA. Перекрутил весь TMG, результат 0.


    • Изменено Rhamzes 15 февраля 2013 г. 3:50
    15 февраля 2013 г. 3:49
  • в tmg есть галка требовать сертификат, само собой клиентский комп тоже уметь работать с етокеном, для этого обычно драйвер нужен.

    15 февраля 2013 г. 10:09
    Отвечающий
  • Rhamzes, Ваш вопрос актуален?

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    25 февраля 2013 г. 11:18
  • Актуален, еще как! Не знаю куда дальше уже копать... 
    28 февраля 2013 г. 3:42