Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)
-   -   Прозрачная авторизация на терминальном сервере (http://forum.oszone.net/showthread.php?t=249019)

Pavlon 13-12-2012 10:14 2044462
Прозрачная авторизация на терминальном сервере
 
В дата-центре на сервер установлен Windows Server 200R2. Сервер в рабочей группе, AD нет.
Сервер смотрит в инет напрямую, без шлюза, ip - выделенное. Зарегистрировано доменное имя test.ru. Сервер называется srv. В зоне у регистратора сделаны соответствующие A записи DNS на test.ru и на rdp.test.ru

Подняты IIS и Remote Desktop Services. RDS лицензировано. Создан виртуальный сервер RD Web Access. Развернуты RemoteApp. Опубликовано приложение (база данных).
Уровень безопасности в свойствах RDP-tcp стоит согласование, шифрование – совместимый с клиентским.
C помощью центра сертификации StartSSL получен SSL сертификат. Сертификат получен на DNS имена: test.ru и rdp.test.ru . Сертификат установлен в IIS - сертификаты сервера (получатель rdp.test.ru). На Defaul Web Site сертификат в привязках сайта установлен на 443 порт. Так же этот сертификат в RemoteApp установлен в качестве цифровой подписи (rdp.test.ru).

Заведены пользователи, которые добавлены в группу Remote Desktop Users.

В IIS - проверка подлинности - анонимная проверка подлинности. Перенаправление протокола http стоит https://test.ru/rdweb
В результате, вводим в эксплорере адрес https//test.ru , идет перенаправление на страницу https://test.ru/RDWeb/Pages/ru-RU/lo...l=default.aspx и появляется окно для ввода логина/пароля. Заходим под зарегистрированным пользователем, видим опубликованное приложение. Адрес страницы в этот момент https://test.ru/RDWeb/Pages/ru-RU/default.aspx , запускаем приложение, база открывается, все ok.

Была поставлена задача организовать запуск опубликованных приложений прозрачно для пользователей через веб-кабинет. Веб-кабинет у нас есть, пользователь заходит туда под своим логином/паролем. Веб-кабинет находится на другом доменном имени, например web.ru и у другого хостера.

Программисты организовали доступ к опубликованному приложению с помощью, как они сказали команды POST, которой передается логин/пароль. Т.е. при нажатии определенной кнопки в веб-кабинете автоматически открывается страница https://test.ru/RDWeb/Pages/ru-RU/lo...l=default.aspx и туда передаются учетные данные типа srv/user с паролем 111. В результате имеем открытую страницу https://test.ru/RDWeb/Pages/ru-RU/default.aspx с опубликованным приложением.
В логах безопасности на самом сервере видно, что этот пользователь успешно залогинился.

Кликаем еще раз на приложение, чтобы запустить его, видим предупреждающее сообщение по поводу сертификата rdp.test.ru (это удаленное приложение RemoteApp можен нанести вред …), жмем ok и в результате ловим еще одно окно с авторизацией, которого при ручном вводе логина и пароля не было. Если там еще раз авторизоваться, то приложение запускается, но мне-то это второе окно не нужно! Мне нужна прозрачная авторизация.

Где косяк не могу разобраться … Что-то не так с авторизацией в RD Web Access …


Время: 13:23.

Время: 13:23.
© OSzone.net 2001-