Настройка брандмауэра ISA 2006 для поддержки смены пароля

Я видел много вопросов в последнее время о том, что функция смены пароля не работает должным образом на брандмауэре ISA Firewall, чаще всего связанные со сценариями публикации OWA. Я должен признать, что я частично ответственен за эту проблему. Почему? Потому что я думал, что вы можете включить смену пароля, когда брандмауэр ISA Firewall был членом домена. Я знаю, что мы могли сделать это в предыдущих версиях брандмауэра ISA, хотя нам пришлось пройти через множество обручей, чтобы заставить его работать.

На брандмауэре ISA 2006 намного проще включить смену пароля. Однако, чтобы заставить его работать, вам нужно сделать больше, чем просто сделать машину членом домена. На самом деле, ISA Firewall не обязательно должен быть членом домена, чтобы это работало. Что вам нужно сделать, чтобы функция смены пароля работала, так это включить аутентификацию LDAP на брандмауэре ISA.

Это не означает, что ISA Firewall не должен быть членом домена. Вы можете сделать брандмауэр ISA членом домена и использовать аутентификацию LDAP для ваших правил веб-публикации, для которых вы хотите включить функцию смены пароля. Вот что я делаю на практике: делаю брандмауэр ISA членом домена, а затем настраиваю брандмауэр ISA для поддержки аутентификации LDAP для функции смены пароля.

Вся эта проблема всплыла передо мной, когда я прочитал сообщение в блоге команды ISA Firewall. Самая важная цитата здесь:

« Вы должны использовать подключение LDAPS к серверу LDAP/dc»

Ну вот, понятнее и не скажешь!

ПРИМЕЧАНИЕ:
Ну, я думал, что вы не могли бы выразиться яснее, чем это. Джейсон Джонс сообщил мне, что брандмауэр ISA не нужно настраивать для использования сервера LDAP, если брандмауэр ISA является членом домена и на контроллерах домена установлены сертификаты сервера. Это имеет смысл, так как член домена может использовать LDAPS, когда на контроллере домена установлен сертификат сервера. Я неверно истолковал комментарий в блоге команды ISA Firewall, утверждая, что вам необходимо использовать аутентификацию сервера LDAP. Это было неправильно — вам просто нужно включить LDAPS, что можно сделать, настроив брандмауэр ISA на использование сервера LDAP или сделав брандмауэр ISA членом домена и настроив контроллеры домена с сертификатами сервера. Спасибо Джейсону Джонсу за информацию! Тем не менее, остальная часть статьи по-прежнему будет интересна вам, так как в ней содержится информация о том, как настроить брандмауэр ISA для использования сервера LDAP для предварительной аутентификации. Спасибо! -Том

В этой статье я покажу вам, как настроить брандмауэр ISA для поддержки аутентификации LDAP, чтобы ваши пользователи могли менять свои пароли.

Настройка брандмауэра ISA для поддержки аутентификации LDAP

Чтобы использовать аутентификацию LDAP, вам необходимо настроить брандмауэр ISA с именами серверов LDAP, которые вы хотите использовать для предварительной аутентификации входящих соединений. Есть две процедуры, связанные с настройкой серверов LDAP для использования брандмауэром ISA для предварительной аутентификации:

• Определите наборы серверов LDAP, к которым брандмауэр ISA Firewall может обращаться для аутентификации учетных данных пользователя.
• Определите выражения для входа в систему, которые брандмауэр ISA может использовать для определения маршрута запроса LDAP. Выражения входа определяют, какой сервер LDAP отвечает за конкретный запрос аутентификации.

Чтобы настроить серверы LDAP, откройте консоль брандмауэра ISA и разверните узел Массивы (если вы используете ISA Enterprise Edition), а затем разверните имя массива. Разверните узел Конфигурация и щелкните узел Общие. На средней панели щелкните ссылку Укажите серверы RADIUS и LDAP.

фигура 1

Перейдите на вкладку Серверы LDAP в диалоговом окне Серверы аутентификации. Нажмите кнопку «Добавить» рядом со списком наборов серверов LDAP.

В диалоговом окне Добавить набор серверов LDAP введите имя набора серверов LDAP. В этом примере мы создадим набор серверов LDAP для домена msfirewall.org, поэтому мы поместим MSFIREWALL в текстовое поле имени набора серверов LDAP.

Нажмите кнопку «Добавить» в диалоговом окне «Добавить набор серверов LDAP». В диалоговом окне Добавить сервер LDAP введите полное доменное имя контроллера домена msfirewall.org. В этом примере имя контроллера домена для контроллера домена msfirewall.org — exchange2003be.msfirewall.org, поэтому мы вводим его в текстовое поле Имя сервера. Поле Описание сервера является необязательным, и вы можете оставить значение Время ожидания (в секундах) без изменений, если только у вас нет проблем с сетью, которые могут потребовать увеличения этого значения.

фигура 2

Нажмите OK в диалоговом окне Добавить сервер LDAP.

Обратите внимание, что мы ввели полное доменное имя для имени сервера. Нам нужно сделать это, потому что мы будем использовать аутентификацию сертификата LDAPS, когда ISA Firewall взаимодействует с контроллером домена. Если вы ввели IP-адрес в текстовое поле Имя сервера, аутентификация LDAPS завершится ошибкой, поскольку значение в текстовом поле Имя сервера должно совпадать с общим/субъектным именем в сертификате сервера, установленном на контроллере домена. Поскольку мы установили ЦС предприятия на контроллере домена, на каждом из контроллеров домена был автоматически создан самозаверяющий машинный сертификат. Если бы мы не установили ЦС предприятия на контроллере домена, нам пришлось бы создавать сертификаты машины вручную.

Примечание:
Обратите особое внимание на последнее предложение в последнем абзаце. Важно, чтобы это не воспринималось легкомысленно. Назначение сертификата сервера для контроллеров домена в сценарии ЦС предприятия очень просто, поскольку мы установили ЦС предприятия на контроллере домена. Если вы не установили ЦС предприятия на все свои контроллеры домена, вы должны установить сертификат машины на каждый из контроллеров домена. Лучший способ сделать это — установить ЦС предприятия где-нибудь в вашей среде, а затем настроить групповую политику для автоматической подачи заявок на сертификаты компьютеров. Подробные инструкции по автоматической регистрации выходят за рамки этой статьи. Подробное описание того, как настроить автоматическую регистрацию (и все другие сценарии развертывания сертификатов), см. в ISA Server 2000 VPN Deployment Kit.

В текстовом поле Введите доменное имя Active Directory (используйте полное доменное имя) введите полное доменное имя доменного имени Active Directory, используемого набором серверов LDAP. В этом примере мы создаем набор для домена msfirewall.org, поэтому мы вводим это значение в текстовое поле.

Рисунок 3

Для поддержки изменения пароля пользователя с использованием предварительной аутентификации LDAP на брандмауэре ISA Firewall мы должны включить поддержку LDAP S. Чтобы LDAPS работал, вы должны установить сертификат машины на контроллерах домена с правильным общим/субъектным именем в сертификатах. Самый простой способ сделать это — использовать корпоративный ЦС и включить автоматическую регистрацию с помощью групповой политики, как упоминалось в примечании выше.

ISA Firewall нуждается в сертификате выдающего CA, установленного в его собственном хранилище сертификатов Trusted Root Certification Authorities (а не в хранилище пользователей или служб ), чтобы он доверял сертификатам, установленным на контроллерах домена. Мы уже установили сертификаты ЦС на брандмауэре ISA, когда установили сертификаты веб-сайта в хранилище сертификатов машины брандмауэра ISA. Кроме того, если брандмауэр ISA является членом домена, а вы используете корпоративный ЦС в своей среде, брандмауэр ISA автоматически установит сертификат корневого ЦС в хранилище сертификатов машины доверенных корневых центров сертификации.

Когда аутентификация LDAPS включена, параметр Использовать глобальный каталог должен быть отключен, и вы должны ввести полное доменное имя доменного имени Active Directory в текстовом поле Введите доменное имя Active Directory (используйте полное доменное имя). Если вы не хотите включать управление паролями, вы можете установить флажок Использовать глобальный каталог (GC) и оставить имя домена Active Directory пустым.

Поскольку мы хотим поддерживать смену паролей для удаленных пользователей, мы также должны предоставить учетные данные пользователя, которые можно использовать для доступа к Active Directory для проверки состояния учетной записи пользователя и изменения пароля учетной записи. Это может быть любой пользователь в Active Directory, и для этого не требуются учетные данные администратора домена. Введите имя пользователя в текстовое поле Имя пользователя и пароль в текстовое поле пароля. В этом примере мы будем использовать учетную запись пользователя доменного имени, как показано на рисунке выше.

Примечание:
Вам не нужно использовать учетную запись администратора домена. Вы можете использовать учетную запись обычного пользователя для подключения к Active Directory. В этом примере я использую учетную запись администратора домена Active Directory, потому что мне лень создавать нового пользователя.

Нажмите кнопку «ОК» в диалоговом окне «Добавить набор серверов LDAP», чтобы завершить настройку набора серверов LDAP msfirewall.org.

Теперь предположим, что вы хотите включить аутентификацию LDAP для другого домена. Это было бы полезно, если у вас есть несколько доменов без доверительных отношений между ними, но вы все же хотите, чтобы брандмауэр ISA обеспечивал возможность предварительной аутентификации и смены пароля. Мы можем сделать это, создав второй набор серверов LDAP.

Давайте создадим второй набор серверов LDAP для примера домена, pixkiller.net. Создайте второй набор серверов, используя информацию, представленную на рисунке ниже.

Рисунок 4

Предупреждение:
Если вы создаете второй набор серверов LDAP, убедитесь, что сертификаты серверов установлены на контроллерах домена для этого домена и что брандмауэр ISA имеет корневой сертификат ЦС для этого домена в своем хранилище сертификатов компьютера Trusted Root Certification Authorities. В случае второго домена, где брандмауэр ISA не является членом этого домена, вам нужно будет вручную установить сертификаты корневого ЦС на брандмауэр ISA — автоматическая регистрация для сертификата корневого ЦС работает только для домена, в котором установлен брандмауэр ISA. принадлежит.

Мы завершили первый шаг, который заключался в создании наборов серверов LDAP. Второй шаг — создать правила, которые брандмауэр ISA может использовать для перенаправления запросов аутентификации на правильный сервер аутентификации. Эти правила основаны на элементах строк журнала пользователей.

Например, пользователи могут войти на два сайта OWA, используя следующие строки входа:

[электронная почта защищена]

MSFIREWALLпользователь

[электронная почта защищена]

PIXKILLERпользователь

Основываясь на этой информации, мы можем создавать правила, основанные на подстановочных знаках и элементах этих строк аутентификации, чтобы брандмауэр ISA перенаправлял попытку аутентификации на правильный контроллер домена. Например:

*@msfirewall.org

MSбрандмауэр*

Попытки аутентификации, содержащие эти строки, будут перенаправлены на набор серверов LDAP MSFIREWALL. Другой пример:

*@pixkiller.net

ПИКСКИЛЛТЕР*

Попытки аутентификации, содержащие эти строки, будут перенаправляться на набор серверов LDAP PIXKILLER.

Чтобы создать эти правила, нажмите кнопку «Создать», расположенную справа от списка «Определить выражения для входа в систему», которые ISA Server будет использовать для соответствия списку строк входа пользователя. В диалоговом окне Новое сопоставление сервера LDAP введите выражение для входа в систему MSFIREWALL* в текстовом поле Выражение для входа в систему. В раскрывающемся списке «Набор серверов LDAP» выберите запись MSFIREWALL. Нажмите ОК.

Рисунок 5

Нажмите «Создать» еще раз и создайте второе сопоставление сервера LDAP. На этот раз введите выражение для входа в систему как *@msfirewall.org и выберите запись MSFIREWALL в раскрывающемся списке набора серверов LDAP.

Рисунок 6

Нажмите «Создать» еще раз, чтобы создать третье сопоставление сервера LDAP. На этот раз введите PIXKILLER* в текстовое поле Выражение для входа и выберите запись PIXKILLER в раскрывающемся списке наборов серверов LDAP. Нажмите ОК.

Рисунок 7

Щелкните Создать, чтобы создать последнее сопоставление сервера LDAP. Введите *@pixkiller.net в текстовое поле Выражение для входа. Выберите PIXKILLER в раскрывающемся списке «Набор серверов LDAP». Нажмите ОК.

Рисунок 8

На рисунке ниже показан список выражений входа в систему. Обратите внимание, что вы можете использовать стрелки вверх и вниз для изменения порядка правил (хотя на момент написания этой статьи я не мог придумать сценарий, в котором размещение в списке было бы проблемой). Нажмите «Применить», а затем нажмите «ОК». Нажмите «Применить», чтобы сохранить изменения и обновить политику брандмауэра, и нажмите «ОК» в диалоговом окне «Применить новую конфигурацию».

Рисунок 9

На этом этапе вы можете создать правила веб-публикации, которые используют группы пользователей LDAP, и пользователи смогут изменять свои пароли в форме, предоставляемой брандмауэром ISA.

Если у вас что-то не работает, рассмотрите следующие способы устранения неполадок:

• Сбой, поскольку сертификат не установлен.
  Сертификат сервера требуется независимо от того, используете ли вы аутентификацию LDAPS или Windows.
• Вход клиента происходит медленно при запуске брандмауэра ISA на компьютере с Windows Server 2003 SP2 или установленным Scalable Networking Pack.
  Взгляните на KB 555958 для решения.
• Вход клиента происходит медленно, если для сертификатов сервера настроены параметры назначения по умолчанию «Аутентификация сервера» и «Аутентификация клиента».
  Когда Windows Server 2003 обнаруживает настройку цели по умолчанию «Аутентификация клиента» в сертификате, она пытается выполнить TLS с взаимной аутентификацией. Процесс взаимной аутентификации требует, чтобы ISA Server имел доступ к закрытому ключу сертификата, а ISA Server не имеет (и не должен иметь) такого доступа. Чтобы решить эту проблему, удалите настройку цели «Аутентификация клиента» из свойств сертификата.
• Пользователи, аутентифицирующиеся на сервере LDAP, получают сообщение об ошибке 500 страницы.
  Пользователи могут вводить учетные данные, для которых не существует выражения входа в систему. Пользователи должны либо войти в систему, используя формат доменимя , либо вы должны создать выражение входа для обработки формата входа пользователя. Добавьте одно или несколько выражений для входа в набор серверов LDAP. Например, при создании выражения для входа *@contoso.com пользователь, вводящий учетные данные в формате [email protected], успешно войдет в систему.
• Ошибка смены пароля.
  Политика домена по умолчанию может иметь значение 1 или выше для минимального срока действия пароля. Если вы хотите, чтобы пользователи могли менять пароль чаще одного раза в день, установите минимальный срок действия пароля равным 0. Это важно учитывать при тестировании функциональности пароля в лаборатории. Я сталкивался с этим несколько раз, пока не понял, что это проблема групповой политики.
• После смены пароля пользователи по-прежнему могут проходить аутентификацию, используя свой старый пароль.
  Active Directory позволяет использовать как старый, так и новый пароль в течение одного часа для репликации. Чтобы убедиться, что это не проблема ISA Server, выйдите из системы и войдите снова, используя старый пароль. Информацию о ключе реестра для настройки времени см. в статье KB 906305. Это очень интересный факт, о котором я не знал, когда тестировал свои конфигурации смены пароля в лаборатории!

Резюме

В этой статье мы рассмотрели вопрос включения смены пароля в правилах веб-публикации на брандмауэре ISA. Мы увидели, что требуется аутентификация LDAP, а затем перешли к подробному описанию того, как брандмауэр ISA Firewall настроен для поддержки аутентификации LDAP. Одна важная проблема, которую вы должны иметь в виду, заключается в том, что вы должны использовать LDAPS для поддержки смены пароля. Это означает, что на всех ваших LDAPS-серверах (всех ваших контроллерах домена) должны быть установлены сертификаты серверов, а сертификат корневого ЦС каждого из выдающих ЦС должен быть установлен в хранилище сертификатов доверенных корневых центров сертификации брандмауэра ISA. Обратите особое внимание на имена в сертификатах. Убедитесь, что брандмауэр ISA может разрешать эти имена. Мы закончили с разделом по устранению неполадок, который содержал несколько очень полезных советов, любезно предоставленных командой ISA Firewall Team.