1 votes

tomfanning avatar

La fonction de changement de mot de passe ne fonctionne pas dans OWA sans configuration SSL

Demandé el 17 de Juin, 2009
Quand la question a-t-elle été
2384 affichage
Nombre de visites la question a
4 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je suis en train de déployer Outlook Web Access sur Exchange 2003 avec une authentification basée sur des formulaires sans SSL (exigence de la direction - ils ont accepté le risque, et cela ne sera pas modifié).

Tout fonctionne bien, sauf la fonctionnalité de modification du mot de passe. J'ai suivi toute la documentation "standard" disponible sur le web :

  • créé le répertoire virtuel IISADMPWD
  • définir l'entrée de registre DisablePassword=0
  • définir l'entrée de registre AllowRetailHTTPAuth
  • définir l'entrée de la métabase PasswordChangeFlags=1

Le seul problème qui subsiste est que le bouton Modifier le mot de passe de la page Options d'OWA tente de rediriger vers une URL commençant par HTTPS, et non par HTTP, et l'utilisateur obtient une erreur de dépassement de temps du serveur (nous n'écoutons même pas sur le port HTTPS).

https://ourdomain.com/iisadmpwd/aexp2b.asp?http://ourdomain.com/exchange/whois/?Cmd=close

Cela doit rediriger vers la même adresse, mais sans SSL.

http://ourdomain.com/iisadmpwd/aexp2b.asp?http://ourdomain.com/exchange/whois/?Cmd=close

Des preneurs ? Qu'est-ce que j'ai manqué ?

Merci Tom

EDIT : J'ai découvert depuis que, même si cela semblait fonctionner, le fait d'avoir PasswordChangeFlags à 1 provoque le crash du pool d'applications pour Outlook Web Access avec Connection_Abandoned_By_AppPool dans les journaux HTTPERR. Par conséquent, j'ai dû abandonner cette solution et je ne recommande à personne d'essayer la même chose.

Demandé el 17 de Juin, 2009 par tomfanning

0 votes

Avatar de Ryan Raten Kuhar

Je n'arrive pas à comprendre comment on peut ne pas exiger de SSL sur des choses de nos jours, surtout avec les prix bon marché des certificats. Par curiosité, pourquoi cette exigence absurde est-elle en place ?

Commenté el 4 de Novembre, 2009 par Ryan Raten Kuhar

0 votes

Avatar de tomfanning

La gestion des Daft.

Commenté el 5 de Novembre, 2009 par tomfanning

Réponses

Trop de publicités?

3voto

ThatGraemeGuy avatar
ThatGraemeGuy Points 15255

Vous ne pouvez pas utiliser la fonctionnalité de modification du mot de passe sans mettre en œuvre le protocole SSL.

KB297121

Répondu el 17 de Juin, 2009 par ThatGraemeGuy (15255 Points )

0 votes

Avatar de tomfanning

Cette KB explique en fait (partiellement) comment autoriser le changement de mot de passe via une connexion non-SSL (définir PasswordChangeFlags à 1).

Commenté el 18 de Juin, 2009 par tomfanning

1voto

tomfanning avatar
tomfanning Points 3248

I ont J'ai réussi à le faire fonctionner avec un peu de bricolage.

(Le certificat SSL auto-signé n'est pas une option en raison des invites que nous recevrions, et le SSL n'est pas une option - une exigence absolue de la direction, bien que peu judicieuse).

La fonction javascript openChangePassword() dans Outlook Web Access devait être modifiée car elle était codée en dur pour utiliser HTTPS. J'ai trouvé cette fonction dans un tas de fichiers dans le dossier exchweb. Cela a réglé le problème du bouton.

J'ai également réenregistré iispwchg.dll, conformément à une autre KB.

De même, aexp2b.asp a dû être modifié car il était également codé en dur pour afficher une URL HTTPS.

J'ai également oublié une étape de configuration : l'entrée de la métabase PasswordExpirePreNotifyDays devait également être configurée. Il s'agit de aquí .

Merci quand même.

Répondu el 17 de Juin, 2009 par tomfanning (3248 Points )

0voto

Rob Moir avatar
Rob Moir Points 31534

Ça n'arrivera pas. Vous avez besoin de SSL pour exécuter l'applet de changement de mot de passe, car Microsoft estime manifestement que la diffusion de mots de passe par le biais d'un trafic HTTP non crypté constitue un trop grand risque pour la sécurité. Je suis d'accord avec eux.

Si les personnes qui demandent ce service ne veulent pas dépenser de l'argent pour un certificat SSL, elles peuvent peut-être en générer un elles-mêmes et l'utiliser.

Répondu el 17 de Juin, 2009 par Rob Moir (31534 Points )

0 votes

Avatar de tomfanning

L'autocertification n'est pas une option ici en raison des invites de confiance. J'espère passer à un déploiement SSL lorsque nous passerons à Exchange 2007.

Commenté el 18 de Juin, 2009 par tomfanning

0voto

Utilisateur non enregistré avatar
Utilisateur non enregistré Points 0

qu'avez vous fait dans votre texte ci-dessous spécifiquement car je suis dans la même situation et ma direction ne veut rien entendre d'autre ?

La fonction javascript openChangePassword() dans Outlook Web Access devait être modifiée car elle était codée en dur pour utiliser HTTPS. J'ai trouvé cette fonction dans un tas de fichiers dans le dossier exchweb. Cela a réglé le problème du bouton.

Répondu el 4 de Novembre, 2009 par Utilisateur non enregistré (0 Points )

1 votes

Avatar de tomfanning

Bien que je ne recommande pas d'emprunter cette voie, conformément à la modification de suivi de ma question initiale (le pool d'applications IIS se bloque), si vous recherchez la chaîne openChangePassword() dans tous les fichiers du dossier exchweb, vous devrez modifier toutes ces fonctions pour passer de HTTPS à HTTP. Veuillez lire attentivement mon suivi ci-dessus avant de tenter cette opération.

Commenté el 5 de Novembre, 2009 par tomfanning

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X