none
rdweb ntlm RRS feed

  • Вопрос

  • добрый день.

    имеется сервер tmg, за ним exchange owa и remote desktop gateway с remoteapp. прослушиватель настроен на авторизацию html форм, с exchange все норм, выставил owa и ecp virtual directory и правиле публикации в tmg делегирование ntlm, все норм, сайт exchange 2013 закрыт за оболочкой tmg и при вводе пароля авторизуется сразу почтовый ящик или консоль администрирование ecp смотря куда лезешь. но вот с rdweb никак не могу такое сделать, выставлял и обычная и ntlm и делегирование по termsrv, http, remoteaccess, и прочее, проходит авторизацию на первом сайте оболочки tmg, после чего появляется веб сайт уже самого rdweb где нужно снова ввести логин и пароль, а хотелось бы чтобы сходу заходило уже на remoteapp после авторизации на оболочке tmg. если кто проделывал подобное отпишитесь пожалуйста, нете ничего путного не нарыл.

    p.s. что уже сделал: делал проверки в iis для rdweb только ntlm, только обычная, не помогает.


    Идти туда, где не ждут, Атаковать там, где не подготовились.


    23 марта 2014 г. 7:13

Ответы

  • снимаю вопрос.

    два дня теста дали результат! необходимо создать два правила публикации. распишу подробно, вдруг кто не знает многого, начнутся лишние вопросы.

    правило 1:

    [разрешить]- откуда понятно "везде", куда FQDN имя сервера RDG, ip по желанию. я не стал добавлять. запросы от tmg. прослушиватель должен быть настроен на проверку по html формам Active Directory. параметры приложения пусто, т.е. берем форму по дефолту. прописываем внешние имена вашей dns записи (внешней) например rdg.domain.com в пути указываем только /rdweb/*, мосты https, делегирование проверка подлинности NTLM, пользователи "все прошедшие проверку".

    правило 2:все аналогично правилу 1, только делегирование "без делегирование, но клиент может выполнять проверку", в путях указываем только /rpc/* и пользователи "все пользователи".

    теперь IIS на самом remote desktop gateway:

    нужно перейти на подсайт default web site\rdweb\pages и выставить там проверку windows убрав при этом аноним и по формам. так же можно но необязательно сделать тоже самое в подсайте default web site\rdweb\feed. ну и я еще убрал обычную проверку из default web site\rpc оставив только windows, а то не фен Шую как то)

    после таких махинаций, при вводе адреса в интернете появляется сначала оболочка TMG, где вы вводите логин и пароль, а после сразу попадаете уже не веб-интерфейс сайта авторизации RDG, а в приложения remoteapp, правда есть одно но, в первый раз при запуске приложения вас еще раз попросит ввести пароль, но так как уже проверка выставлена windows будет галочка сохранить его, и после это оно больше беспокоить не будет, пока юзер не сменит пароль на учетке. тогда придется просто повторно ввести и снова сохранить.


    Идти туда, где не ждут, Атаковать там, где не подготовились.


    27 марта 2014 г. 18:01