1 votes

tomfanning avatar

La fonctionnalité de modification du mot de passe ne fonctionne pas dans OWA sans configuration SSL

Demandé el 17 de Juin, 2009
Quand la question a-t-elle été
2389 affichage
Nombre de visites la question a
4 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je déploie Outlook Web Access sur Exchange 2003 avec une authentification basée sur des formulaires sans SSL (exigence de la direction - ils ont accepté le risque, et cela ne sera pas modifié)

J'ai tout en place sauf la fonctionnalité de modification du mot de passe. J'ai suivi toute la documentation "standard" disponible sur le web :

  • créé le répertoire virtuel IISADMPWD
  • défini l'entrée de registre DisablePassword=0
  • défini l'entrée de registre AllowRetailHTTPAuth
  • défini l'entrée de métabase PasswordChangeFlags=1

Le seul problème restant est que le bouton de modification du mot de passe sur la page Options dans OWA tente de rediriger vers une URL commençant par HTTPS, pas HTTP, et l'utilisateur reçoit une erreur de délai d'attente du serveur (nous n'écoutons même pas sur le port HTTPS).

https://notredomaine.com/iisadmpwd/aexp2b.asp?http://notredomaine.com/exchange/whois/?Cmd=close

Cela doit rediriger vers la même adresse, mais sans SSL

http://notredomaine.com/iisadmpwd/aexp2b.asp?http://notredomaine.com/exchange/whois/?Cmd=close

Qui peut m'aider ? Qu'est-ce que j'ai raté ?

Merci Tom

EDIT : J'ai depuis découvert que bien que cela semblait fonctionner, le fait d'avoir PasswordChangeFlags défini sur 1 provoque la mise hors service de l'application pool pour Outlook Web Access avec Connection_Abandoned_By_AppPool dans les journaux HTTPERR. Par conséquent, j'ai dû abandonner cela et je ne recommanderais à personne d'essayer la même chose.

Demandé el 17 de Juin, 2009 par tomfanning

0 votes

Avatar de Ryan Raten Kuhar

Je suis sans voix sur la façon dont quelqu'un pourrait ne pas exiger de SSL sur les choses de nos jours, surtout avec les prix bon marché des certificats. Par curiosité, pourquoi cette exigence absurde est-elle en place ?

Commenté el 4 de Novembre, 2009 par Ryan Raten Kuhar

0 votes

Avatar de tomfanning

Gestion insensée.

Commenté el 5 de Novembre, 2009 par tomfanning

Réponses

Trop de publicités?

3voto

ThatGraemeGuy avatar
ThatGraemeGuy Points 15255

Vous ne pouvez pas utiliser la fonctionnalité de changement de mot de passe sans implémenter SSL.

KB297121

Répondu el 17 de Juin, 2009 par ThatGraemeGuy (15255 Points )

0 votes

Avatar de tomfanning

Cette KB explique en fait (partiellement) comment permettre le changement de mot de passe via une connexion non-SSL (définir PasswordChangeFlags à 1)

Commenté el 18 de Juin, 2009 par tomfanning

1voto

tomfanning avatar
tomfanning Points 3248

Je ai fait fonctionner cela avec un peu de bidouillage.

(Le certificat SSL auto-signé n'est pas une option en raison des invites que nous recevrions, et SSL n'est pas une option - exigence absolue de la direction, aussi peu avisée soit-elle.)

La fonction javascript openChangePassword() dans Outlook Web Access a nécessité une modification car elle était codée en dur pour utiliser HTTPS. J'ai trouvé cette fonction dans toute une série de fichiers du dossier exchweb. Cela a arrangé le bouton.

J'ai également réenregistré iispwchg.dll, tel qu'indiqué dans un autre KB.

aexp2b.asp a également nécessité une édition car il était également codé en dur pour envoyer des données à une URL HTTPS.

J'ai également raté une étape de configuration - l'entrée de metabase PasswordExpirePreNotifyDays devait également être définie. Cela venait de ici.

Merci quand même.

Répondu el 17 de Juin, 2009 par tomfanning (3248 Points )

0voto

Rob Moir avatar
Rob Moir Points 31534

Cela ne se produira pas. Vous avez besoin de SSL pour exécuter l'applet de changement de mot de passe car Microsoft considère évidemment que diffuser des mots de passe via un trafic HTTP non crypté est trop risqué en termes de sécurité. Pour ce que cela vaut, je suis d'accord avec eux.

Si les personnes qui demandent cela ne veulent pas dépenser d'argent pour un certificat SSL, peut-être peuvent-elles en générer un elles-mêmes et l'utiliser.

Répondu el 17 de Juin, 2009 par Rob Moir (31534 Points )

0 votes

Avatar de tomfanning

L'auto-certification n'est pas une option ici en raison des invites de confiance. J'espère passer à un déploiement SSL lorsque nous passerons à Exchange 2007.

Commenté el 18 de Juin, 2009 par tomfanning

0voto

Utilisateur non enregistré avatar
Utilisateur non enregistré Points 0

qu'avez-vous fait dans votre texte ci-dessous spécifiquement car je suis dans la même situation et ma direction ne veut rien entendre d'autre ?

La fonction javascript openChangePassword() dans Outlook Web Access nécessitait une modification car elle était codée en dur pour utiliser HTTPS. J'ai trouvé cette fonction dans tout un tas de fichiers dans le dossier exchweb. Cela a résolu le problème du bouton.

Répondu el 4 de Novembre, 2009 par Utilisateur non enregistré (0 Points )

1 votes

Avatar de tomfanning

Tandis que je ne recommande pas d'emprunter cette voie selon l'édition de suivi de ma question initiale (crash du pool d'applications IIS), si vous cherchez tous les fichiers dans le dossier exchweb pour la chaîne openChangePassword(), vous devrez modifier toutes ces fonctions pour changer HTTPS en HTTP. Veuillez bien relire mon suivi ci-dessus avant de tenter cela.

Commenté el 5 de Novembre, 2009 par tomfanning

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X