Forums Neueste Beiträge
 

OWA über ISA 2006 - Session beenden

03/11/2009 - 14:10 von Timo Sattler | Report spam
Hallo.

wir haben das OWA unseres 2003er Exchange über eine ISA 2006 Standard
veröffentlicht. Den Zugriff haben wir mit Hilfe eines Radius Servers
(ActivIdentity AAA / Auth via. Tokencode + Pin) abgesichert. Die
Authentifizierung gegenüber dem Exchange erfolgt über eine Eingeschrànkte
Kerberos Delegierung.

Soweit funktioniert auch alles wunderbar.

Nun ist mir jedoch folgendes aufgefallen:

Ein User authentifiziert sich erfolgreich am RADIUS Server und die ISA làsst
ihn somit zum Exchange durch und er kann mit OWA arbeiten.

Der User meldet sich ab (Nutzt hierzu den Abmelde Button im OWA) und
schließt den IE. Wenn ich den User nun nach schließen des IE direkt wieder
mit dem gleichen Tokencode (hab ihn aufgeschrieben) anmelde, làsst die ISA
ihn direkt wieder zum Exchange durch, ohne das eine erneute Anfrage an den
RADIUS gestellt wird, der diese ablehnen würde, würde er denn gefragt werden.

Für mich sieht es so aus, als würde die Session auf der ISA trotz Abmeldung
des Users weiterlaufen.

Auf der ISA habe ich konfiguriert, dass alle 4 Minuten eine neue
Authentifizierung notwendig ist. Warte ich nach der Abmeldung diese 4 Minuten
ab, fragt die ISA wieder beim RADIUS Server nach und der Zugang wird mir
korrekterweise verwehrt.

Nun die Frage: Wie kriege ich die ISA dazu, die Session komplett zu beenden,
sobald der User sich abmeldet ?

Anbei noch ein paar Fakten:

- ISA Server 2006 Standard
- Exchange Server 2003 Enterprise
- 2003er Domain
- RADIUS Server ActivIdentity AAA Fortress Server
- SSL mit gültigem Zertifikat - Sàmtlicher Traffic wird zu https umgeleitet
- Authentifizierungsdelegierung: Eingeschrànkte Kerberos Delegierung
- HTML Formularauthentifizierung ohne weitere delegierte
Benutzeranmeldeinformationen

Vielen Dank schonmal !
 

Lesen sie die antworten

#1 Jens Baier
03/11/2009 - 14:55 | Warnen spam
Hi,

Der User meldet sich ab (Nutzt hierzu den Abmelde Button im OWA) und
schließt den IE. Wenn ich den User nun nach schließen des IE direkt wieder
mit dem gleichen Tokencode (hab ihn aufgeschrieben) anmelde, làsst die ISA
ihn direkt wieder zum Exchange durch, ohne das eine erneute Anfrage an den
RADIUS gestellt wird, der diese ablehnen würde, würde er denn gefragt
werden.



Koennte das auf Dich zutreffen?
http://support.microsoft.com/kb/941162/en-us

Gruss Jens
www.it-training-grote.de
www.forefront-tmg.de
https://mvp.support.microsoft.com/p...Marc.Grote
http://blog.it-training-grote.de

Ähnliche fragen