在公司内部,我们在打开一份RMS权限文档时都会首先连接到RMS服务器进行身份验证,验证后方能根据自身拥有的权限对文档进行操作,可是文档一旦带离公司到了外部后,就无法联系到RMS服务器了,也就是无法打开文档,为了能使外部的用户也能像内部一样正常打开RMS权限文档,需要对RMS服务器进行一些配置,最后通过防火墙将RMS服务器发布出去
在拓扑图中,cqwin7是一台外部工作组环境中的计算机,装有Office 2010,可以看做是员工家中的一台计算机,bjtmg为防火墙,通过它发布公司内部的bjrms(RMS服务器),本次试验将模拟这个情景,最终使员工在家中能顺利通过RMS验证并打开权限文档
1.配置RMS支持外部用户
打开RMS管理控制台,在bjrms上打开属性
切换到【群集 URL】卡片,勾选【Extranet URL】,并配置授权和认证URL地址
2.将RMS证书导出到TMG服务器
在TMG上发布RMS是需要用到证书的,先将bjrms上的证书导出,打开MMC,选择RMS证书,然后导出
一定要导出私钥
指定导出路径,这里导出到D:\ADRMS.pfx
导出完成后,将bjrms服务器D盘上的ADRMS.pfx复制到bjtmg的D盘中
在bjtmg上打开MMC,展开【证书(本地计算机)】-【个人】,在【证书】上选择导入
指定导入路径
导入成功后可以看到这张证书
3.创建Web侦听器
打开TMG管理控制台,在右侧工具箱中新建一个Web侦听器
指定Web侦听器名称
由于RMS授权认证站点是一个经过SSL加密的站点,这里要选择【需要与客户端建立 SSL 安全连接】
选择侦听【外部】,并选择一个IP地址(我这里TMG外部网卡绑定的IP较多,任选一个)
选择证书,就是刚才导入的RMS证书
选择【没有身份验证】
Web侦听器创建完成后,来创建一条网站发布规则
4.创建网站发布规则
在【防火墙策略】上新建【网站发布规则】
指定规则名称
选择【允许】
选择【发布单个网站或负载平衡器】
选择【使用 SSL 连接到发布的 Web 服务器或服务器场】
指定内部站点名称【bjrms.zf.com】
指定要发布站点下的哪些内容,这里用【/*】来表示全部
指定公用名称,也就是客户端打开权限文档后提交的域名,这里是【bjrms.zf.com】
指定Web侦听器
由于RMS存在身份验证,这里要选择【无委派,但是客户端可以直接进行身份验证】
5.配置外部客户端
首先要确保信认我们企业内部的根CA,外部客户端获取CA根证书可以从TMG发布的内部CA网站下载到,也可以在企业内部下载后通过U盘带回家再做导入,方法很多
确保外部客户端可以通过域名bjrms.zf.com解析到公司TMG服务器的外部网卡IP地址【222.16.2.3】,这需要在公网的DNS服务器上创建这条纪录
在IE浏览器中打开【Internet选项】,切换至【安全】面板,选择【本地Intranet】,将安全级别将至最低,然后打开【站点】
选择【高级】
将RMS站点的域名添至其中
打开我们从公司带回来的权限文档,此时会弹出身份验证框,这里我还是用IT部的jqq用户来进行验证,这份文档我在公司创建的时候应用了【IT部只读】这个权限策略模板
由于在TMG上发布了RMS服务器,这里顺利的下载到了权限
到这里我们就通过外部客户端成功的打开了RMS权限文档,我们来看看jqq有哪些权限,点击【查看权限】按钮后,发现用户jqq仅有查看权限
转载于:https://blog.51cto.com/jqq1982/1018168