שאלה על owa -

[notbird]

שאלה על owa -

שלום רב , לאחרונה יישמנו owa בארגוננו הקט . האם על מנת לאפשר למשתמש להתחבר לשרת exchange דרך ה-owa מכל מחשב המחובר לאינטרנט , יש להגדיר ב-ad תחת המשתמש הרלוונטי --> שיהיה ניתן להתחבר מכל שם מחשב עם שם המשתמש הנ"ל ( יעני Logon to tab ) . ננסח את את השאלה אחרת - ישנם משתמשים המסתובבים הרבה בארץ ובעולם ואנחנו רוצים לתת להם גישה לדואר שלהם דרך ה-owa מכל מחשב . האם יש להגדיר ב-ad users and computers הגדרה תחת logon to tab , הגדרה המאפשרת למשתמש להתחבר מכל מחשב ??? ואם כן האם אין מדובר באיזושהי בעיית אבטחה ? תודה

 

[ttlsysop]

אין

צורך. אם יש לך חיבור VPN לתוך המשרד, העובד צריך להקליד את שם השרת ה-OWA שלך. אם אין לך VPN פנימה, אזי אתה יכול להפנות ב-FW או נתב שלך מבחוץ לכיוון שרת ה-OWA, כאשר אתה עובד עם SSL ולא עם פורט 80 .

 

[notbird]

לא בטוח בזה -

החיבור אינו חיבור vpn . המטרה היא שהמתשמים המרוחקים יוכלו להתחבר מכל מחשב המחובר לאינטרנט לשרת ה-fw בפורט 443 (ssl ) . ה-fw לצורך העניין שהוא שרת isa יפנה את הבקשה לשרת הדואר . עכשיו - כאשר המשתמשים יגיעו לשרת ה-exchange הם ייתבקשו לתת דומיין + שם משתמש + סיסמא . שרת הדואר יוודא את הפרטים מול dc הנמצא בדומיין . למעשה האוטנטיקציה נעשית מול ה-ad . מה שמחזיר אותי לאותה שאלה - האם עלינו לאפשר ב-ad users and computers התחברות למשתמשים המורשים מכל מחשב ,כאמור - ad users and computer --> users --> logon to לתת הרשאה למשתמש להתחבר מכל מחשב . ואם אכן חייבים לעשות זאת - האם אין הדבר יוצר בעייה אבטחתית ? [ המטרה היא שמשתמשים יוכלו להתחבר לתיבת הדואר שלהם דרך האינטרנט ממקומות שונים ] תודה :*|

 

[Motel]

אין שום קשר

user-Workstations קובע לאיזה תחנות המשתמש יכול לבצע log on. משתמשים בזה כדי לאכוף על המשתמש גישה לתחנות-עבודה ספציפיות. מה שאתה רוצה נעשה ברמה של ה-Router/Firewall, לא של Active Directory.

 

[notbird]

תנו לי להבין

כאשר המשתמש שולח שם משתמש וסיסמא הוא משתמש בשם משתמש וסיסמא של הדומיין - רק ככה תהיה לו גישה לשרת הדואר domain\user password שרת הדואר בסופו של דבר נמצא בתוך הדומיין ועל מנת להגיע אליו גם דרך האינטרנט ב-ssl יש לספק את ה-credentionals של הדומיין . לסיכום - גלשנו לשרת הדואר שלנו דרך האינטרנט - https://owa.mydomain.co.il התבקשנו לתת שם משתמש וסיסמא של הדומיין על מנת לקבל גישה לשרת הדואר - username - mydomain\myusername password - mypassword כעת קיבלנו גישה לשרת הדואר הנמצא בתוך הדומיין . התופעה שקוראת אצלנו היא שעל מנת שמשתמש יוכל להתחבר מכל מחשב אינטרנטי עלינו לשנות ב-ad users and computers את ההגדרה האומרת שלמשתמש זה צריך לתת גישה מכל שם מחשב . במידה ולא הגדרנו את הגדרה זו המשתמש לא מצליח להתחבר לשרת הדואר . או במילים אחרות - האוטנטיקציה לשרת הדואר דרך ssl הינה בדיוק כמו אוטנטיקציה של המשתמש בתוך הדומיין ולכן המשתמשים המתחברים דרך האינטרנט ב-ssl לא מצליחים לקבל גישה לחשבון שלהם בשרת הדואר . אז שוב אשאל את השאלה - האם על מנת לאפשר גישה למשתמש מכל מחשב אינטרנטי ( המשתמש מטייל בארץ ובעולם ) . יש לשנות ב-ad users and computers את הגדרת ה-logon to לכל מחשב ? במידה ובאמת אין קשר לכך - אשמח לקבל חיזוק אחרון . תודה\

 

[notbird]

הקפצה

תודה