forum.opennet.ru

Составление сообщения

Исходное сообщение

"поделитесь опытьм использования WebVPN на базе Cisco IOS"
Отправлено Markoff, 11-Окт-08 10:51

Доброго времени суток всем.
Хотел бы поговорить с теми, кто уже использует технологию WebVPN на базе Cisco IOS.
Особенно интересен доступ в OWA посредством данной технологии, авторизация через microsoft RADIUS, поддержка https между Cisco и msExchange.
Расскажу как у меня.
Поднят WebVPN на маршрутизаторе 3825. авторизация через msRadius, и один единственный линк на OWA (будет больше линков, так же планирую мапинг портов, но это на будущее). Все замечательно работает, но напрягает несколько моментов, а именно:
1. т.к. используется авторизация msRADIUS, то при вводе нескольких раз (5) неправильного пароля, блокируется учетная запись в домене. таким образом можно залочить всех пользователей в домене, прямо из интернета :) Хотя стоит опция "security authentication failure rate 3 log", а лочится с 5й попытки (доменная политика) Видимо эта опция не действует на RADIUS авторизацию :( Как избежать блокирование учетных записей?
2. для доступа пользователя к OWA, по сути надо 2а раза вводить одни и теже учетные данные. один раз для доступа к WebVPN, второй раз для непосредственно OWA. Возможно ли сие вообще избежать?
3. т.к. сертификаты OWA и CISCO являются самоподписанными, CISCO не может обратиться к OWA по https - сертификат не проверенный. Как можно интегрировать публичный сертификат OWA в CISCO? Сейчас у меня OWA работает по http, но этот косяк надо исправить.
И последнее: вариант вывода мелкософтового софта наружу исключен. Я знаю, что если поставить OWA снаружи - все проблемы решаться, но будет другая проблема: мелкомяхкие снаружи :) и это потребует дополнительной железки, хотябы персоналки, да и вообще - это не обсуждается.

Исходное сообщение
"поделитесь опытьм использования WebVPN на базе Cisco IOS" Отправлено Markoff, 11-Окт-08 10:51
Доброго времени суток всем. Хотел бы поговорить с теми, кто уже использует технологию WebVPN на базе Cisco IOS. Особенно интересен доступ в OWA посредством данной технологии, авторизация через microsoft RADIUS, поддержка https между Cisco и msExchange. Расскажу как у меня. Поднят WebVPN на маршрутизаторе 3825. авторизация через msRadius, и один единственный линк на OWA (будет больше линков, так же планирую мапинг портов, но это на будущее). Все замечательно работает, но напрягает несколько моментов, а именно: 1. т.к. используется авторизация msRADIUS, то при вводе нескольких раз (5) неправильного пароля, блокируется учетная запись в домене. таким образом можно залочить всех пользователей в домене, прямо из интернета :) Хотя стоит опция "security authentication failure rate 3 log", а лочится с 5й попытки (доменная политика) Видимо эта опция не действует на RADIUS авторизацию :( Как избежать блокирование учетных записей? 2. для доступа пользователя к OWA, по сути надо 2а раза вводить одни и теже учетные данные. один раз для доступа к WebVPN, второй раз для непосредственно OWA. Возможно ли сие вообще избежать? 3. т.к. сертификаты OWA и CISCO являются самоподписанными, CISCO не может обратиться к OWA по https - сертификат не проверенный. Как можно интегрировать публичный сертификат OWA в CISCO? Сейчас у меня OWA работает по http, но этот косяк надо исправить. И последнее: вариант вывода мелкософтового софта наружу исключен. Я знаю, что если поставить OWA снаружи - все проблемы решаться, но будет другая проблема: мелкомяхкие снаружи :) и это потребует дополнительной железки, хотябы персоналки, да и вообще - это не обсуждается.

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Доброго времени суток всем.
> Хотел бы поговорить с теми, кто уже использует технологию WebVPN на базе 
> Cisco IOS.
> Особенно интересен доступ в OWA посредством данной технологии, авторизация через microsoft 
> RADIUS, поддержка https между Cisco и msExchange.
> Расскажу как у меня.
> Поднят WebVPN на маршрутизаторе 3825. авторизация через msRadius, и один единственный линк 
> на OWA (будет больше линков, так же планирую мапинг портов, но 
> это на будущее). Все замечательно работает, но напрягает несколько моментов, а 
> именно: 
> 1. т.к. используется авторизация msRADIUS, то при вводе нескольких раз (5) неправильного 
> пароля, блокируется учетная запись в домене. таким образом можно залочить всех 
> пользователей в домене, прямо из интернета :) Хотя стоит опция "security 
> authentication failure rate 3 log", а лочится с 5й попытки (доменная 
> политика) Видимо эта опция не действует на RADIUS авторизацию :( Как 
> избежать блокирование учетных записей?
> 2. для доступа пользователя к OWA, по сути надо 2а раза вводить 
> одни и теже учетные данные. один раз для доступа к WebVPN, 
> второй раз для непосредственно OWA. Возможно ли сие вообще избежать?
> 3. т.к. сертификаты OWA и CISCO являются самоподписанными, CISCO не может обратиться 
> к  OWA по https - сертификат не проверенный. Как можно 
> интегрировать публичный сертификат OWA в CISCO? Сейчас у меня OWA работает 
> по http, но этот косяк надо исправить.

> И последнее: вариант вывода мелкософтового софта наружу исключен. Я знаю, что если 
> поставить OWA снаружи - все проблемы решаться, но будет другая проблема: 
> мелкомяхкие снаружи :) и это потребует дополнительной железки, хотябы персоналки, да 
> и вообще - это не обсуждается.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру