Frage zur zertifikatsbasierenden Authentfizierung

21/10/2009 - 19:11 von AndiMX50 | Report spam
Hallo zusammen,

im Augenblick habe ich auf unserer ISA 2006 OWA mit FBA und Radius OTP
veröffentlicht. Hinzukommen soll jetzt die Veröffentlichung von Active
Sync bzw. EAS.

Da mir zur Zeit nur eine externe IP zur Verfügung steht möchte ich
beide Dienste mit einem Listener konfigurieren, was ja, unter ISA
2006, dank automatischem Fallback zu Basic Authentifizierung,
grundsàtzlich möglich ist. Bin ich so weit korrekt?

Basic Auth hàtte jedoch den Nachteil, dass sich der mobile User bei
jedem Sync neu anmelden muss?! Sprechen darüber hinaus auch
sicherheitstechnische Bedenken gegen diese Lösung?

Die Alternative wàre (Benutzer)Zertfikatsauthentifizierung doch dann
sehe ich ein Problem bei Verwendung mit einem einzelnen Listener. Der
nutzt ja nur Basic Auth wenn FBA seitens des Clients nicht möglich
ist, sehe ich das richtig? Wàre dem so, dann bliebe mir wohl nichts
anderes übrig als eine weitere IP zu beantragen, oder gibt es
vielleicht doch noch einen anderen Weg mit einem Listener (einer IP).

Dann hàtte ich zur Zertifikatsauthentifizierung noch eine weiter
Frage. Irgendwo habe ich gelesen, dass der ISA Server hierfür zwingend
Mitglied in der AD sein muss, ist dies korrekt? Die ISA steht bei uns
in der DMZ, hinter einer Cisco Firewall (externe IP wird auf die ISA
genNATet) - welche Ports müsste ich auf der Cisco freischalten lassen,
damit die ISA ausreichend Zugriff auf das Active Directory im LAN hat
bzw. gar selber Mitglied werden kann? Wàre Letzteres nicht etwa ein
Sicherheitsrisiko?

Bin für alle Tipps und Infos dankbar!

Grüße
Andreas
 

Lesen sie die antworten

#1 Jens Baier
21/10/2009 - 19:30 | Warnen spam
Hi,

Da mir zur Zeit nur eine externe IP zur Verfügung steht möchte ich
beide Dienste mit einem Listener konfigurieren, was ja, unter ISA
2006, dank automatischem Fallback zu Basic Authentifizierung,
grundsàtzlich möglich ist. Bin ich so weit korrekt?



ACK, Fallback von FBA auf Basic!

Basic Auth hàtte jedoch den Nachteil, dass sich der mobile User bei
jedem Sync neu anmelden muss?! Sprechen darüber hinaus auch
sicherheitstechnische Bedenken gegen diese Lösung?



noe, da SSL verwendet wird!

Dann hàtte ich zur Zertifikatsauthentifizierung noch eine weiter
Frage. Irgendwo habe ich gelesen, dass der ISA Server hierfür zwingend
Mitglied in der AD sein muss, ist dies korrekt? Die ISA steht bei uns
in der DMZ, hinter einer Cisco Firewall (externe IP wird auf die ISA
genNATet) - welche Ports müsste ich auf der Cisco freischalten lassen,



fuer Client Certificate Deployment ja!

damit die ISA ausreichend Zugriff auf das Active Directory im LAN hat
bzw. gar selber Mitglied werden kann? Wàre Letzteres nicht etwa ein
Sicherheitsrisiko?



nein, sehe ich kein problem!


Gruss Jens
www.it-training-grote.de
www.forefront-tmg.de
https://mvp.support.microsoft.com/p...Marc.Grote
http://blog.it-training-grote.de

Ähnliche fragen