ISA Server 2006 - Client Zertifikate Weiterleiten

15/08/2008 - 15:46 von Alexander Kloes | Report spam
Hallo zusammen,
ich habe folgendes Scenario:

Aussen => Firewall => ISA Server (in DMZ) => Firewall => Innen

Von aussen sollen Clients nun OWA betreiben können.
Der Kniff: Die Clients sollen sich mit ihrem Client Zertifikat per SSL
authentisieren.
Wo ist im Prinzi egal, da der ISA Server jedoch zur Prüfung ein AD
voraussetzt scheidet das aus.

Deshalb müssen sich die Clients dierekt am IIS des Exchange authentisieren
können (Einstellung am IIS "Clienzertifikate voraussetzen").
Die Authentisierung am IIS habe ich deaktiviert.
Auf diese Weise erhalte ich jedoch bei Aufruf von aussen die Meldung "Diese
Seite erfordert ein Clientzertifikat"

Kann ich es irgendwie ermöglichen, dass sich Clients am ISA oder IIS per
Zertifikat authetisieren, OHNE in der DMZ einen AD Zugang zu haben?

Ich wàre dankbar für Tipps, wie ich das am besten lösen kann.

Gruß,
Alexander Klös
 

Lesen sie die antworten

#1 Jens Baier
15/08/2008 - 23:13 | Warnen spam
Hi,


Von aussen sollen Clients nun OWA betreiben können.
Der Kniff: Die Clients sollen sich mit ihrem Client Zertifikat per SSL
authentisieren.
Wo ist im Prinzi egal, da der ISA Server jedoch zur Prüfung ein AD
voraussetzt scheidet das aus.



wo ist eigentlich nicht egal? Eine Praeauthentifizierung waere aus meiner
Sicht sinnvoll!

Deshalb müssen sich die Clients dierekt am IIS des Exchange authentisieren
können (Einstellung am IIS "Clienzertifikate voraussetzen").



das heisst, die Anfrage durchlaeuft alle drei Firewalls und wird erts am IIS
authentifiziert? Warum dann drei Firewalls?

Kann ich es irgendwie ermöglichen, dass sich Clients am ISA oder IIS per
Zertifikat authetisieren, OHNE in der DMZ einen AD Zugang zu haben?



also ohne einen LDAP / RADIUS Zugang vom ISA ist keine Praeauthentifizierung
moeglich! Denkbar waere noch ein Verzeichnisabgleich a la Metadirectory,
aber das ist verdammt aufwaendig.
So oder so pustet Du doch ein "Loch" durch alle Firewall, wenn Du direkt am
IIS auth. laesst. Warum dann nicht eine Regel, die LDAP direkt vom ISA zu
einem DC/GC zulaesst?!

Gruss Jens
www.nt-faq.de
www.blog.it-training-grote.de
www.it-training-grote.de

Ähnliche fragen