Тихие всплывающие окна Outlook относительно самоподписанного сертификата при соединении с pop3-ssl сервером
Существует пара вещей, которые можно сделать с Google Apps.
Можно установить сервер SAML, подключенный к Рекламной сети, и затем установить Google к аутентификации доступ Google Apps против сервера SAML. Мы использовали php приложение, названное simpleSAMLphp, потому что у нас уже есть установка серверов для выполнения PHP, и у нас есть разработчики с php навыками. Недостаток использования одного только решения SAML состоит в том, что можно только войти в учетные записи через сеть. Это означает, что Вы не можете получить доступ к своему почтовому ящику через IMAP/поп, и Вы не можете войти в разговор о Google ни с каким старым клиентом XMPP.
Используя SAML автоматически не создает учетные записи в домене Google Apps. Вам также, вероятно, будет нужен инструмент, который будет синхронизировать счета, которые можно использовать инструмент синхронизации Google Apps Directory. Это позволит Вам создавать учетные записи, но это все еще не будет синхронизировать пароли по умолчанию, потому что хеши пароля Windows не обратимы, и Google ничего не может сделать с ними.
Возможно использовать что-то как PasswdHk, чтобы прервать изменения пароля в Вашем AD и затем сохранить пароль в формате (несоленый sha1), который утилита синхронизации каталогов Google может использовать для установки паролей Google Apps. Но это действительно добавляет немного угрозы безопасности, так как Google только примет несоленый md5 или sha1 хэши пароля посредством его Настройки API, и синхронизировать с Google, в основном необходимо сохранить эти хеши. Если необходимо использовать это, очень важно сохранить эти хеши безопасными.
Hmmph. У Вас был я, весь взволновал о SAML до бита о IMAP/населении. Это уничтожило бы всех людей, использующих Windows Mobile и клиенты ежевики, не так ли? Какие-либо умные альтернативы там?
Если Вы готовы признать, что риск хранения хэшей пароля затем может объединить SSO и каталог, синхронизирующий вместе для получения рабочей системы.
Как альтернатива кто-то мог разработать интранет-портал, куда пользователи в Вашем домене пойдут, чтобы инициализировать их учетную запись Google и установить пароль для учетной записи Google. Я рассмотрел разработку чего-то вроде этого, но не мог заставить моих коллег соглашаться, что это был способ пойти.
Основная идея - это, создайте веб-приложение это
- Жизни на Вашей интранет и проходят проверку подлинности против Вашего активного каталога
- Имеет функцию, которая возьмет имя пользователя и пароль, в который пользователь раньше входил к интранет-сайту и получал любую другую информацию, в которой Вы нуждаетесь от AD и затем используете Google Provisioning API, чтобы добавить/обновить, что пользователи считают.
Здание инструмента действительно не должно быть слишком трудным, я оценил для вырубания чего-то основного, только потребуется 12-16 часов времени разработки. Преимущество этого решения состоит в том, что оно дает Вам 100%-ю функциональность Google Apps, оборотная сторона - то, что оно несколько причиняет беспокойство конечному пользователю.
Добавьте сертификат хранилищу сертификатов компьютера. Если Ваши компьютеры находятся в домене, необходимо смочь сделать это групповой политикой.
Это открывает диалоговое окно, потому что оно хочет, чтобы пользователь знал, что он принимает самоподписанный сертификат. Обычно, если вы используете самозаверяющий сертификат в среде, важно позволить пользователю проверить его.
Кроме того, если у вас нет домена, вы можете сделать это вручную, вам просто нужно установите сертификат, когда появится всплывающее окно. Вы должны иметь возможность нажать «Подробнее», а затем «Установить сертификат».