Функция смены пароля поддерживается при предоставлении клиентами учетных данных с использованием проверки подлинности на основе форм; Forefront TMG выполняет проверку подлинности клиентов с помощью одного из следующих методов.

• Проверка подлинности с проверкой учетных данных клиента службой Active Directory на контроллере домена.
  
  
• Проверка подлинности с проверкой учетных данных клиента LDAP-сервером.
  
  

Следует обратить внимание, что для осуществления связи служба Active Directory и LDAP-сервер используют протокол LDAP. Перед настройкой функции проверьте следующие моменты.

• Подключение к LDAP-серверу или Active Directory на контроллере домена должно быть установлено на основе защищенного протокола LDAP (LDAPS). Для использования защищенного LDAP-соединения на контроллере домена необходимо установить сертификат сервера. Общее имя в сертификате должно совпадать с полным доменным именем (FQDN), указанным для проверки подлинности сервера.
  
  
• Компьютер Forefront TMG должен иметь корневой сертификат центра сертификации, который выдает сертификат сервера, в хранилище доверенных корневых центров сертификации для локального компьютера.
  
  
• При использовании проверки подлинности LDAP необходимо создать набор LDAP-серверов, содержащий LDAP-серверы, которые будут применяться для проверки подлинности пользователей. Для набора LDAP-серверов настраиваются следующие параметры.
  
  
  • Установка подключения к LDAP-серверу с помощью защищенного соединения.
    
    
  • Определение FQDN для имени LDAP-сервера. Убедитесь, что FQDN соответствует общему имени, указанному в сертификате сервера, который установлен на LDAP-сервере (контроллере домена).
    
    
  • Отключение запросов глобального каталога (GC).
    
    
  • Указание домена, в котором выполняется идентификация учетных записей пользователей, и определение подробных сведений об учетной записи, которая будет использоваться для привязки к LDAP-серверу и для запроса учетных данных пользователей, входящих в систему.
    
    
  • Учетная запись необходима для привязки к серверу проверки подлинности и проверки состояния имени пользователя и пароля. В случае проверки подлинности домена это должна быть учетная запись домена с правами на внесение изменений в Active Directory.
    
    

1. В дереве консоли управления Forefront TMG щелкните узел Политика межсетевого экрана.

2. На вкладке Задачи щелкните Настройка параметров сервера проверки подлинности.

3. Чтобы открыть диалоговое окно Добавление набора LDAP-серверов, на вкладке LDAP-серверы нажмите кнопку Добавить.

4. Укажите имя набора LDAP-серверов.

5. Чтобы добавить имя каждого LDAP-сервера, описание и время ожидания, нажмите кнопку Добавить. Время ожидания — это значение времени, выраженное в секундах, в течение которого Forefront TMG попытается получить отклик с LDAP-сервера, прежде чем связаться с другим LDAP-сервером из упорядоченного списка. Обратите внимание, что для изменения порядка, в котором осуществляется доступ к серверам, используются клавиши СТРЕЛКА ВВЕРХ и СТРЕЛКА ВНИЗ.

6. В поле Домен укажите полное доменное имя (FQDN) для Active Directory. Обратите внимание, что это домен, в котором определяются учетные записи пользователей, а не домен, в состав которого входит сервер Forefront TMG.

7. Выберите параметр Использовать глобальный каталог, если необходимо запросить глобальный каталог на LDAP-сервере.

8. Выберите параметр Подключаться к LDAP-серверам через безопасное подключение, если нужно шифровать LDAP-соединение (с использованием протокола LDAPS).

9. Можно ввести учетные данные, используемые для подключения к Active Directory для проверки состояния учетной записи пользователя и смены паролей учетных записей. Благодаря этому становится доступной возможность управления паролями для проверки подлинности на основе HTML-форм.

10. Нажмите кнопку ОК, чтобы закрыть диалоговое окно Добавление набора LDAP-серверов.

11. В разделе Выражение для входа нажмите кнопку Создать, чтобы добавить выражение для входа. С помощью выражения для входа определенной группе пользователей можно назначить набор LDAP-серверов. Например, один набор LDAP-серверов можно назначить пользователям FABRIKAM\*, а другой — пользователям CONTOSO\*. Forefront TMG предпринимает попытки сопоставления выражений для входа в указанном порядке. Для изменения порядка воспользуйтесь клавишами СТРЕЛКА ВВЕРХ и СТРЕЛКА ВНИЗ.

12. Нажмите кнопку Закрыть.

13. В области сведений нажмите кнопку Применить, чтобы сохранить и обновить конфигурацию, а затем — кнопку ОК.

Примечание.
Дополнительные сведения о проверке подлинности в Forefront TMG см. в разделе Общие сведения о проверке подлинности в Forefront TMG. При настройке Forefront TMG для проверки подлинности LDAP конфигурация LDAP-серверов применяется ко всем правилам или сетевым объектам, использующим проверку подлинности LDAP.

Для веб-прослушивателя, связанного с правилом публикации веб-клиента Outlook, которое использует проверку подлинности на основе форм, воспользуйтесь следующей процедурой, которая позволяет выполнить смену пароля пользователя.

Настройка веб-прослушивателя для смены пароля

Основные понятия