Доброго времени суток всем. Хотел бы поговорить с теми, кто уже использует технологию WebVPN на базе Cisco IOS. Особенно интересен доступ в OWA посредством данной технологии, авторизация через microsoft RADIUS, поддержка https между Cisco и msExchange. Расскажу как у меня. Поднят WebVPN на маршрутизаторе 3825. авторизация через msRadius, и один единственный линк на OWA (будет больше линков, так же планирую мапинг портов, но это на будущее). Все замечательно работает, но напрягает несколько моментов, а именно: 1. т.к. используется авторизация msRADIUS, то при вводе нескольких раз (5) неправильного пароля, блокируется учетная запись в домене. таким образом можно залочить всех пользователей в домене, прямо из интернета :) Хотя стоит опция "security authentication failure rate 3 log", а лочится с 5й попытки (доменная политика) Видимо эта опция не действует на RADIUS авторизацию :( Как избежать блокирование учетных записей? 2. для доступа пользователя к OWA, по сути надо 2а раза вводить одни и теже учетные данные. один раз для доступа к WebVPN, второй раз для непосредственно OWA. Возможно ли сие вообще избежать? 3. т.к. сертификаты OWA и CISCO являются самоподписанными, CISCO не может обратиться к OWA по https - сертификат не проверенный. Как можно интегрировать публичный сертификат OWA в CISCO? Сейчас у меня OWA работает по http, но этот косяк надо исправить.И последнее: вариант вывода мелкософтового софта наружу исключен. Я знаю, что если поставить OWA снаружи - все проблемы решаться, но будет другая проблема: мелкомяхкие снаружи :) и это потребует дополнительной железки, хотябы персоналки, да и вообще - это не обсуждается.
|