Настройка функции смены пароля

Функция смены пароля поддерживается при предоставлении клиентами учетных данных с использованием проверки подлинности на основе форм; Forefront TMG выполняет проверку подлинности клиентов с помощью одного из следующих методов.

  • Проверка подлинности с проверкой учетных данных клиента службой Active Directory на контроллере домена.

  • Проверка подлинности с проверкой учетных данных клиента LDAP-сервером.

Следует обратить внимание, что для осуществления связи служба Active Directory и LDAP-сервер используют протокол LDAP. Перед настройкой функции проверьте следующие моменты.

  • Подключение к LDAP-серверу или Active Directory на контроллере домена должно быть установлено на основе защищенного протокола LDAP (LDAPS). Для использования защищенного LDAP-соединения на контроллере домена необходимо установить сертификат сервера. Общее имя в сертификате должно совпадать с полным доменным именем (FQDN), указанным для проверки подлинности сервера.

  • Компьютер Forefront TMG должен иметь корневой сертификат центра сертификации (CA), который выдает сертификат сервера, в хранилище доверенных корневых центров сертификации для локального компьютера.

  • При использовании проверки подлинности LDAP необходимо создать набор LDAP-серверов, содержащий LDAP-серверы, которые будут применяться для проверки подлинности пользователей. Для набора LDAP-серверов настраиваются следующие параметры.

    • Установка подключения к LDAP-серверу с помощью защищенного соединения.

    • Определение FQDN для имени LDAP-сервера. Убедитесь, что FQDN соответствует общему имени, указанному в сертификате сервера, который установлен на LDAP-сервере (контроллере домена).

    • Отключение запросов глобального каталога (GC).

    • Указание домена, в котором выполняется идентификация учетных записей пользователей, и определение подробных сведений об учетной записи, которая будет использоваться для привязки к LDAP-серверу и для запроса учетных данных пользователей, входящих в систему.

    • Учетная запись необходима для привязки к серверу проверки подлинности и проверки состояния имени пользователя и пароля. В случае проверки подлинности домена это должна быть учетная запись домена с правами на внесение изменений в Active Directory.

Создание набора LDAP-серверов

  1. В дереве консоли управления Forefront TMG щелкните узел Политика веб-доступа.

  2. На вкладке Задачи щелкните Настройка параметров LDAP-сервера.

  3. Чтобы открыть диалоговое окно Добавление набора LDAP-серверов, на вкладке LDAP-серверы нажмите кнопку Добавить.

  4. Укажите имя набора LDAP-серверов.

  5. Чтобы добавить имя каждого LDAP-сервера, описание и период ожидания, нажмите кнопку Добавить. Период ожидания - это значение времени, выраженное в секундах, в течение которого Forefront TMG попытается получить отклик с LDAP-сервера, прежде чем связаться с другим LDAP-сервером из упорядоченного списка. Обратите внимание, что для изменения порядка, в котором осуществляется доступ к серверам, используются клавиши СТРЕЛКА ВВЕРХ и СТРЕЛКА ВНИЗ.

  6. В поле Домен укажите полное доменное имя (FQDN) для Active Directory. Учтите, что это домен, в котором определяются учетные записи пользователей, а не домен, в состав которого входит Forefront TMG.

  7. Выберите параметр Использовать глобальный каталог, если необходимо запросить глобальный каталог на LDAP-сервере.

  8. Выберите параметр Подключаться к LDAP-серверам через безопасное подключение, если нужно зашифровать LDAP-соединение (с использованием протокола LDAPS).

  9. Можно ввести учетные данные, используемые для подключения к Active Directory для проверки состояния учетной записи пользователя и смены паролей учетных записей. Благодаря этому становится доступной возможность управления паролями для проверки подлинности на основе HTML-форм. Дополнительные сведения см. в разделе Настройка форм.

  10. Нажмите кнопку ОК, чтобы закрыть диалоговое окно Добавление набора LDAP-серверов.

  11. В группе Выражение для входа нажмите кнопку Создать, чтобы добавить выражение для входа. С помощью выражения для входа определенной группе пользователей можно назначить набор LDAP-серверов. Например, один набор LDAP-серверов можно назначить пользователям FABRIKAM\*, а другой - пользователям CONTOSO\*. Forefront TMG попытается сопоставить выражения для входа в указанном порядке. Для изменения порядка воспользуйтесь клавишами СТРЕЛКА ВВЕРХ и СТРЕЛКА ВНИЗ.

  12. Нажмите кнопку Закрыть.

  13. В области сведений нажмите кнопку Применить, чтобы сохранить и обновить конфигурацию, а затем нажмите кнопку ОК.

Примечания

  • Дополнительные сведения о проверки подлинности в Forefront TMG см. в разделе Обзор проверки подлинности клиента.

  • При настройке Forefront TMG для проверки подлинности LDAP конфигурация LDAP-серверов применяется ко всем правилам или сетевым объектам, использующим проверку подлинности LDAP.

Настройка веб-прослушивателя для смены пароля

Для веб-прослушивателя, связанного с правилом публикации веб-клиента Outlook, которое использует проверку подлинности на основе форм, воспользуйтесь следующей процедурой, которая позволяет выполнить смену пароля пользователя.

Настройка веб-прослушивателя для смены пароля

  1. В дереве консоли управления Forefront TMG щелкните узел Политика межсетевого экрана.

  2. В области сведений выберите соответствующее правило публикации веб-клиента Outlook.

  3. На вкладке Задачи нажмите кнопку Изменить выбранное правило.

  4. На вкладке Прослушиватель нажмите кнопку Свойства. Либо можно сначала в раскрывающемся списке выбрать другой веб-прослушиватель или нажать кнопку Создать для создания нового веб-прослушивателя для данного правила.

  5. На вкладке Проверка подлинности проверьте, что выбран параметр Проверка подлинности на основе HTML-форм.

  6. На вкладке Формы выполните следующие действия.

    1. Выберите Использовать настроенные HTML-формы вместо форм по умолчанию.

    2. В поле Введите каталог набора настраиваемых форм HTML введите только имя каталога, например MyForms, а не полный путь.

    3. В раскрывающемся списке Отображать HTML-формы на данном языке выберите соответствующий язык. Например, чтобы убедиться в отображении всех форм только на английском языке, выберите вариант Английский [en].

    4. Выберите параметр Разрешать пользователям изменять пароль.

    5. Выберите параметр Напоминать пользователям об истечении срока действия пароля за данное количество дней, а затем укажите нужное количество дней.

  7. Нажмите кнопку ОК, а затем еще раз кнопку ОК, чтобы закрыть диалоговые окна.

  8. В области сведений нажмите кнопку Применить, чтобы сохранить и обновить конфигурацию, а затем нажмите кнопку ОК.

После правильной настройки веб-прослушивателя для правила публикации веб-клиента Outlook пользователи, выполняющие вход в систему с помощью проверки подлинности на основе форм, получат предупреждение, если срок действия их пароля почти истек. У них будет возможность изменить пароли до и после этого срока.