Доброго времени суток всем.
Хотел бы поговорить с теми, кто уже использует технологию WebVPN на базе Cisco IOS.
Особенно интересен доступ в OWA посредством данной технологии, авторизация через microsoft RADIUS, поддержка https между Cisco и msExchange.
Расскажу как у меня.
Поднят WebVPN на маршрутизаторе 3825. авторизация через msRadius, и один единственный линк на OWA (будет больше линков, так же планирую мапинг портов, но это на будущее). Все замечательно работает, но напрягает несколько моментов, а именно:
1. т.к. используется авторизация msRADIUS, то при вводе нескольких раз (5) неправильного пароля, блокируется учетная запись в домене. таким образом можно залочить всех пользователей в домене, прямо из интернета :) Хотя стоит опция "security authentication failure rate 3 log", а лочится с 5й попытки (доменная политика) Видимо эта опция не действует на RADIUS авторизацию :( Как избежать блокирование учетных записей?
2. для доступа пользователя к OWA, по сути надо 2а раза вводить одни и теже учетные данные. один раз для доступа к WebVPN, второй раз для непосредственно OWA. Возможно ли сие вообще избежать?
3. т.к. сертификаты OWA и CISCO являются самоподписанными, CISCO не может обратиться к OWA по https - сертификат не проверенный. Как можно интегрировать публичный сертификат OWA в CISCO? Сейчас у меня OWA работает по http, но этот косяк надо исправить.И последнее: вариант вывода мелкософтового софта наружу исключен. Я знаю, что если поставить OWA снаружи - все проблемы решаться, но будет другая проблема: мелкомяхкие снаружи :) и это потребует дополнительной железки, хотябы персоналки, да и вообще - это не обсуждается.
Неужели никто не делал доступ к OWA посредством cisco WebVPN?
>Неужели никто не делал доступ к OWA посредством cisco WebVPN?у нас организовано так -
циска 2821 - 80 и 443 порт на ИСУ - с ИСЫ уже на ОВА.
безо всякого впна, просто по www
Это просто Вы выпустили ИСА в интернет. для меня - это неприемлимо, поэтому я организовал WebVPN.
Хотелось бы поговорить как раз об этой технологии.