Konfigurieren der Funktion zum Ändern von Kennwörtern

  • Artikel

Veröffentlicht: November 2009

Letzte Aktualisierung: Februar 2010

Betrifft: Forefront Threat Management Gateway (TMG)

Konfigurieren der Funktion zum Ändern von Kennwörtern

Die Funktion zum Ändern von Kennwörtern wird unterstützt, wenn Clients Anmeldeinformationen mithilfe der formularbasierten Authentifizierung bereitstellen und Forefront TMG Clients über eine der folgenden Methoden authentifiziert:

  • Authentifizierung mit Überprüfung der Clientanmeldeinformationen durch Active Directory auf einem Domänencontroller.

  • Authentifizierung mit Überprüfung von Clientanmeldeinformationen durch einen LDAP-Server.

Beachten Sie, dass sowohl Active Directory als auch der LDAP-Server das LDAP-Protokoll für die Kommunikation verwenden. Überprüfen Sie vor der Konfigurierung dieser Funktion Folgendes:

  • Die Verbindung zum LDAP-Server oder zu Active Directory auf dem Domänencontroller muss über sicheres LDAP (LDAPS) verlaufen. Damit eine sichere LDAP-Verbindung verwendet werden kann, muss ein Serverzertifikat auf dem Domänencontroller installiert werden. Der allgemeine Name auf dem Zertifikat muss mit dem vollständig qualifizierten Domänennamen (FQDN) übereinstimmen, den Sie für den Authentifizierungsserver angeben.

  • Der Forefront TMG-Computer muss über das Stammzertifikat der Zertifizierungsstelle verfügen, die das Serverzertifikat im Speicher für vertrauenswürdige Stammzertifizierungsstellen für den lokalen Computer ausstellt.

  • Bei Verwendung der LDAP-Authentifizierung müssen Sie einen LDAP-Serversatz erstellen, der die LDAP-Server enthält, die zum Authentifizieren von Benutzern verwendet werden. Konfigurieren Sie die folgenden Einstellungen für den LDAP-Serversatz:

    • Aktivieren Sie das Herstellen von sicheren Verbindungen zum LDAP-Server.

    • Geben Sie einen vollständig qualifizierten Domänennamen für den LDAP-Servernamen an. Stellen Sie sicher, dass der vollständig qualifizierte Domänenname mit dem allgemeinen Namen übereinstimmt, der auf dem Serverzertifikat angegeben ist, das auf dem LDAP-Server (Domänencontroller) installiert ist.

    • Deaktivieren Sie die Abfrage des globalen Katalogs (GC).

    • Geben Sie die Domäne an, in der Benutzerkonten erkannt werden können, und geben Sie die Details eines Kontos an, das dazu verwendet wird, die Bindung an einen LDAP-Server herzustellen und die Anmeldeinformationen von angemeldeten Benutzern abzufragen.

    • Für die Bindung an einen Authentifizierungsserver und zum Überprüfen von Benutzername und Kennwortstatus ist ein Konto erforderlich. Bei der Domänenauthentifizierung muss dies ein Domänenkonto mit Berechtigungen zum Durchführen von Änderungen an Active Directory sein.

So erstellen Sie einen LDAP-Serversatz

  1. Klicken Sie in der Konsolenstruktur der Forefront TMG-Verwaltung auf den Knoten Firewallrichtlinie.

  2. Klicken Sie auf der Registerkarte Aufgaben auf Einstellungen für den Authentifizierungsserver konfigurieren.

  3. Klicken Sie auf der Registerkarte LDAP-Server auf Hinzufügen, um das Dialogfeld LDAP-Serversatz hinzufügen zu öffnen.

  4. Geben Sie einen Namen für den LDAP-Serversatz an.

  5. Klicken Sie auf Hinzufügen, um die einzelnen LDAP-Servernamen, die Beschreibung und das Zeitlimit hinzuzufügen. Das Zeitlimit entspricht der Zeit (in Sekunden), in der Forefront TMG versucht, Antworten von einem LDAP-Server abzurufen, bevor der nächste LDAP-Server in der sortierten Liste getestet wird. Beachten Sie, dass Sie die Reihenfolge mithilfe der NACH-OBEN-TASTE und der NACH-UNTEN-TASTE ändern können, in der auf die Server zugegriffen wird.

  6. Geben Sie unter Domäne den vollqualifizierten Domänennamen (FQDN) für Active Directory an. Beachten Sie, dass es sich hierbei um die Domäne handelt, in der die Benutzerkonten definiert sind. Dies ist nicht die Domäne, der Forefront TMG beigetreten ist.

  7. Wenn Sie Globalen Katalog (GC) verwenden aktivieren, wird der globale Katalog auf dem LDAP-Server abgefragt.

  8. Wählen Sie LDAP-Server über sichere Verbindung verbinden aus, wenn Sie die LDAP-Kommunikation verschlüsseln möchten (LDAPS-Protokoll verwenden).

  9. Sie können die beim Herstellen der Verbindung zu Active Directory verwendeten Anmeldeinformationen eingeben, die zum Überprüfen des Benutzerkontostatus und zum Ändern der Kontokennwörter verwendet wurden. Dadurch erhalten Sie Kennwortverwaltungsfunktionen für die HTML-Formularauthentifizierung.

  10. Klicken Sie auf OK, um das Dialogfeld LDAP-Serversatz hinzufügen zu schließen.

  11. Klicken Sie in Anmeldeausdruck auf Neu, um einen Anmeldeausdruck hinzuzufügen. Mithilfe eines Anmeldeausdrucks können Sie einen LDAP-Serversatz zu einer bestimmten Benutzergruppe zuordnen. Sie können beispielsweise einen LDAP-Serversatz den Benutzern FABRIKAM\* und einen anderen LDAP-Serversatz den Benutzern CONTOSO\* zuweisen. Forefront TMG versucht, die Anmeldeausdrücke in der aufgeführten Reihenfolge abzugleichen. Sie können die Reihenfolge mithilfe der NACH-OBEN-TASTE und der NACH-UNTEN-TASTE ändern.

  12. Klicken Sie auf Schließen.

  13. Klicken Sie im Detailbereich auf die Schaltfläche Übernehmen, um die Konfiguration zu speichern und zu aktualisieren, und klicken Sie dann auf OK.

Hinweis

  • Weitere Informationen zur Authentifizierung in Forefront TMG finden Sie in Übersicht über die Authentifizierung in Forefront TMG.

  • Beim Konfigurieren von Forefront TMG für die LDAP-Authentifizierung wird die Konfiguration der LDAP-Server auf alle Regeln und Netzwerkobjekte angewendet, die die LDAP-Authentifizierung verwenden.

Konfigurieren eines Weblisteners für das Ändern von Kennwörtern

Verwenden Sie für den Weblistener, der einer Outlook Web Access-Veröffentlichungsregel zugeordnet ist, die die formularbasierte Authentifizierung verwendet, das folgende Verfahren, um den Benutzern das Ändern ihrer Kennwörter zu ermöglichen.

So konfigurieren Sie einen Weblistener für das Ändern von Kennwörtern

  1. Klicken Sie in der Konsolenstruktur der Forefront TMG-Verwaltung auf den Knoten Firewallrichtlinie.

  2. Klicken Sie im Detailbereich auf die entsprechende Outlook Web Access-Veröffentlichungsregel.

  3. Klicken Sie auf der Registerkarte Aufgaben auf Ausgewählte Regel bearbeiten.

  4. Klicken Sie auf der Registerkarte Listener auf Eigenschaften. Alternativ können Sie zuerst einen anderen Weblistener aus der Dropdownliste auswählen oder auf Neu klicken, um für diese Regel einen neuen Weblistener zu erstellen.

  5. Vergewissern Sie sich, dass auf der Registerkarte Authentifizierung die Option HTML-Formularauthentifizierung aktiviert ist.

  6. Führen Sie auf der Registerkarte Formulare die folgenden Schritte durch.

    1. Wählen Sie Benutzerdefiniertes HTML-Formular anstelle des Standardformulars verwenden aus.

    2. Geben Sie in Geben Sie das benutzerdefinierte HTML-Formularsatzverzeichnis ein nur den Namen und nicht den vollständigen Pfad des Verzeichnisses ein, z. B. "Eigene Formulare".

    3. Wählen Sie in der Dropdownliste HTML-Formular in dieser Sprache anzeigen die entsprechende Sprache aus. Wenn Sie z. B. sicherstellen möchten, dass die Formulare nur in Deutsch angezeigt werden, wählen Sie Deutsch [de] aus.

    4. Wählen Sie Änderung von Kennwörtern zulassen aus.

    5. Aktivieren Sie die Option Benutzer erinnern, dass das Kennwort in Anzahl Tagen abläuft, und wählen Sie dann die entsprechende Anzahl von Tagen aus.

  7. Klicken Sie auf OK und dann erneut auf OK, um die Dialogfelder zu schließen.

  8. Klicken Sie im Detailbereich auf die Schaltfläche Übernehmen, um die Konfiguration zu speichern und zu aktualisieren, und klicken Sie dann auf OK.

Nachdem der Weblistener ordnungsgemäß für die Outlook Web Access-Veröffentlichungsregel konfiguriert wurde, werden Benutzer gewarnt, die sich mithilfe der formularbasierten Authentifizierung anmelden, falls ihr Kennwort abläuft. Außerdem werden sie über die Möglichkeit informiert, dass sie ihr Kennwort vor und nach dem Ablaufen ändern können.

Verwandte Themen

Konzepte

Konfigurieren der Outlook Web Access-Veröffentlichung